“Kỹ thuật chống phân tích shellcode cố gắng ngăn chặn các nhà nghiên cứu thực hiện việc phân tích mã độc trên môi trường ảo hóa bằng cách quét toàn bộ bộ nhớ quy trình để tìm bất kỳ chuỗi nào có liên quan đến máy ảo”, Sarang Sonawane và Donato Onofri, hai nhà nghiên cứu của CrowdStrike cho biết trong một báo cáo kỹ thuật được công bố mới đây.
GuLoader, còn được gọi là CloudEyE, là trình tải xuống Visual Basic Script (VBS) được sử dụng để phân phối trojan truy cập từ xa (ví dụ như Remcos) trên các máy bị nhiễm. Nó được phát hiện lần đầu tiên vào năm 2019.
Vào tháng 11/2021, một dòng phần mềm độc hại JavaScript có tên là RATDispenser được phát hiện là có khả năng cài đặt GuLoader bằng Dropper (một phần mềm thiết kế chủ yếu để chuyển một payload đến mục tiêu) VBScript được mã hóa Base64.
Các mẫu GuLoader gần đây được CrowdStrike phân tích cho thấy một quy trình gồm ba giai đoạn, trong đó VBScript được thiết kế để cung cấp một giai đoạn tiếp theo thực hiện kiểm tra chống phân tích trước khi đưa shellcode được nhúng trong VBScript vào bộ nhớ. Bên cạnh việc kết hợp các phương pháp chống phân tích tương tự, shellcode này có nhiệm vụ tải xuống payload cuối cùng do tin tặc lựa chọn từ một máy chủ từ xa và thực thi nó trên máy chủ bị xâm nhập.
Các nhà nghiên cứu nhận xét: “Shellcode sử dụng một số thủ thuật chống phân tích và chống gỡ lỗi ở mỗi bước thực thi, đưa ra thông báo lỗi nếu shellcode phát hiện bất kỳ phân tích nào đã biết về cơ chế gỡ lỗi”. Ngoài ra, shellcode cũng có tính năng quét các phần mềm ảo hóa.
Một khả năng bổ sung mà các nhà nghiên cứu gọi là “cơ chế chèn mã dự phòng” để tránh các Hook NTDLL.dll được triển khai bởi các giải pháp phát hiện và phản hồi điểm cuối (EDR). Hook API NTDLL.dll là một kỹ thuật được các công cụ chống phần mềm độc hại sử dụng để phát hiện và gắn cờ các quy trình đáng ngờ trên Windows bằng cách giám sát các API bị các tác nhân đe dọa lạm dụng. Phương pháp này liên quan đến việc gọi các hàm API cần thiết để cấp phát bộ nhớ (NtAllocateVirtualMemory) và đưa shellcode tùy ý vào bộ nhớ thông qua Process Hollowing (một trong những kỹ thuật để ẩn dấu các quy trình).
Các nhà nghiên cứu kết luận: “GuLoader vẫn là một mối đe dọa nguy hiểm với nhiều biến thể sử dụng các phương pháp và kỹ thuật mới để lẩn tránh bị phát hiện bởi các phần mềm, ứng dụng bảo mật”.
Những phát hiện từ CrowdStrike cũng được đưa ra khi công ty an ninh mạng Cymulate trình diễn một kỹ thuật vượt qua EDR, được gọi là “Blindside”, kỹ thuật này cho phép chạy mã tùy ý bằng cách sử dụng Breakpoints (một điểm dừng) phần cứng để tạo ra một “quy trình chỉ có NTDLL ở trạng thái độc lập và không bị ràng buộc”.
Hồng Đạt
(theo The Hacker News)
10:00 | 18/01/2023
14:00 | 09/12/2022
09:00 | 25/12/2023
15:00 | 19/01/2023
10:00 | 30/03/2023
12:00 | 25/08/2022
07:00 | 03/04/2023
14:00 | 19/07/2022
07:00 | 08/04/2024
Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin đã đưa ra cảnh báo về thủ đoạn lừa đảo qua tin nhắn “kiếm tiền online”, “tri ân khách hàng”. Hình thức này vốn không mới khi đã từng xuất hiện trên mạng xã hội cách đây vài năm, tuy nhiên, chiêu trò của những kẻ gian ngày càng tinh vi hơn. Các đối tượng sử dụng thủ đoạn, lợi dụng sự nhẹ da, cả tin, mất cảnh giác của người dân thực hiện hành vi lừa đảo này.
15:00 | 04/04/2024
Chính quyền Đức đã tuyên bố đánh sập một thị trường ngầm bất hợp pháp có tên Nemesis Market chuyên buôn bán các mặt hàng như ma túy, dữ liệu bị đánh cắp và các dịch vụ tội phạm mạng khác.
14:00 | 19/02/2024
Một chiến dịch quảng cáo độc hại đang diễn ra nhắm mục tiêu vào người dùng nói tiếng Trung Quốc bằng cách lợi dụng các nền tảng nhắn tin phổ biến như Telegram hoặc LINE, với mục đích phát tán phần mềm độc hại. Điều thú vị là ứng dụng Telegram bị hạn chế rất nhiều và trước đó đã bị cấm ở Trung Quốc.
11:00 | 07/02/2024
Nhân dịp đón Xuân mới Giáp Thìn 2024, Tạp chí An toàn thông tin trân trọng gửi lời chúc mừng năm mới và lời cảm ơn sâu sắc nhất tới các đồng chí Lãnh đạo Ban Cơ yếu Chính phủ, Lãnh đạo các bộ, ban, ngành Trung ương và địa phương, các cơ quan đơn vị, các hiệp hội, tổ chức, doanh nghiệp, quý bạn đọc và cộng tác viên đã luôn quan tâm ủng hộ để Tạp chí hoàn thành tốt nhiệm vụ và có những bước phát triển mới trong năm qua.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024