Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

16:00 | 12/12/2019 | HACKER / MALWARE

Mới đây, một nhà nghiên cứu bảo mật của công ty bảo mật Nyotron (Israel) đã cảnh báo về một kỹ thuật tấn công mới được phát hiện. Kỹ thuật này cho phép mã độc tống tiền mã hóa các tệp trên hệ thống Windows mà không bị phát hiện bởi các sản phẩm phòng chống mã độc hiện có.

Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

Kỹ thuật này được đặt tên là RIPlace, cho phép phần mềm độc hại vượt qua hệ thống phòng thủ bằng cách sử dụng hoạt động “Đổi tên” hợp pháp của hệ thống tệp. Các nhà nghiên cứu bảo mật cho biết, nó hoạt động ngay cả với các hệ thống được vá đầy đủ và thực thi các giải pháp phòng chống mã độc (antivirus) hiện đại.

Theo các nhà nghiên cứu, RIPlace có thể được sử dụng để sửa đổi các tệp trên bất kỳ máy tính nào sử dụng hệ điều hành Windows XP hoặc các phiên bản mới hơn của hệ điều hành Microsoft.

Trong báo cáo chi tiết, các nhà nghiên cứu lưu ý rằng, hầu hết các mã độc tống tiền hoạt động bằng cách mở và đọc tệp gốc, mã hóa nội dung trong bộ nhớ và sau đó hủy tệp gốc bằng cách ghi nội dung được mã hóa như: lưu tệp mã hóa, xóa bản gốc, hoặc lưu tệp được mã hóa và dùng thao tác “Đổi tên” để thay thế nó.

Khi một yêu cầu “Đổi tên” được gọi IRP_MJ_SET_INFORMATION với FileInformationClass được đặt thành FileRenameInformation, trình xử lý phụ (filter driver) sẽ được gọi lại.

Các nhà nghiên cứu phát hiện ra rằng, nếu DefineDosDevice (một chức năng kế thừa tạo ra một liên kết tượng trưng (symlink)) được gọi trước khi thực hiện "Đổi tên", thì có thể thay đổi thành một tên tùy ý như tên thiết bị, cùng với đường dẫn tệp gốc là mục tiêu để trỏ tới.

Vấn đề nằm ở chức năng gọi lại của filter driver không thể phân tích đường dẫn đích khi sử dụng thủ tục FltGetDestinationFileNameInformation. Mặc dù một lỗi được trả về khi gửi đường dẫn DosDevice, thì lệnh "Đổi tên" vẫn thành công.

Sử dụng kỹ thuật này, mã độc có thể mã hóa các tệp và vượt qua các giải pháp antivirus không xử lý lệnh gọi lại IRP_MJ_SET_INFORMATION đúng cách. Các nhà nghiên cứu tin rằng, tin tặc có thể sử dụng kỹ thuật này để vượt qua các sản phẩm bảo mật dựa trên thủ tục FltGetDestination, FileNameInformation, cũng như tránh được mọi hoạt động ghi nhật ký, giám sát hệ thống của các giải pháp phòng chống mã độc.

Các nhà nghiên cứu đã phát hiện ra kỹ thuật này vào quý 1/2019 và đã liên hệ với Microsoft, các nhà cung cấp giải pháp bảo mật, các cơ quan thực thi pháp luật và các cơ quan chức năng. Tuy nhiên, họ cho biết, chỉ một số ít các nhà cung cấp sản phẩm bảo mật đã thừa nhận lỗ hổng này và sửa chữa, mặc dù rất nhiều sản phẩm đã bị ảnh hưởng.

Công ty Nyotron đã xuất bản 2 video minh họa cách thức RIPlace có thể vượt qua các giải pháp bảo mật (bao gồm: Symantec Endpoint Protection và Microsoft Defender Antivirus), cũng như phát hành một công cụ miễn phí cho phép mọi người thử nghiệm các sản phẩm bảo mật và sản phẩm hệ thống của họ chống lại kỹ thuật RIPlace.

Nguyễn Anh Tuấn

Theo Security Week

‹ › ×

Tin liên quan

Không thể ứng phó với mã độc tống tiền chỉ bằng sao lưu dữ liệu

15:00 | 02/03/2020

Không phải mọi cuộc tấn công mã độc tống tiền đều là sự cố không thể phòng tránh. Tuy nhiên, ngay cả những tổ chức được chuẩn bị kỹ lưỡng nhất cũng có thể gặp phải những sự cố quy mô nhỏ, trong thời đại nổi lên của mã độc tống tiền có chủ đích.

Mối nguy hiểm từ mã độc phần cứng

08:00 | 27/02/2020

Sửa đổi phần cứng độc hại trong quá trình thiết kế hoặc chế tạo các thiết bị đang là một mối quan tâm lớn trong công tác đảm bảo an toàn, an ninh thông tin. Mã độc phần cứng (Hardware Trojan – HT) làm cho mạch tích hợp (Integrated Circuit - IC) thay đổi về chức năng và gây hậu quả nghiêm trọng đối với các hệ thống thông tin. Quá trình kiểm tra theo tiêu chuẩn kiểm định thông thường rất khó phát hiện các HT, bởi bản chất “tiềm ẩn” trong chính luồng thiết kế - chế tạo IC. Bài báo này giới thiệu đôi nét về cấu tạo và những nguy cơ đặc biệt nguy hiểm của HT.

Phát hiện mã độc tống tiền nhắm tới người chơi Fortnite

10:00 | 11/09/2019

Các nhà nghiên cứu bảo mật của công ty cung cấp các giải pháp an toàn mạng Cyren (trụ sở chính tại Mỹ) đã phát hiện ra một họ mã độc tống tiền mới dựa trên phần mềm độc hại nguồn mở Hidden-Cry, nhắm đến người chơi Fortnite.

5 lưu ý đối với doanh nghiệp để phòng chống mã độc tống tiền

15:00 | 24/10/2019

Mối đe dọa về mã độc tống tiền ngày càng gia tăng với hình thức tinh vi hơn. Vậy phải làm thế nào để doanh nghiệp có thể bảo vệ tổ chức khỏi mối đe dọa về mã độc tống tiền?

Đôi nét về sandbox và kỹ thuật lẩn tránh của mã độc

08:00 | 24/01/2020

Phát hiện mã độc bằng cách sử dụng sandbox là một kỹ thuật phổ biến hiện nay. Bài viết dưới đây cung cấp đôi nét về sandbox, kỹ thuật lẩn tránh sandbox của mã độc và các biện pháp phát hiện ra chúng.

SynACK - mã độc tống tiền đầu tiên sử dụng kỹ thuật tấn công Process Doppelgänging

08:00 | 11/06/2018

Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã phát hiện ra SynACK - mã độc tống tiền đầu tiên sử dụng kỹ thuật Process Doppelgänging, để qua mặt các chương trình antivirus và các công cụ điều tra số hiện nay.

OSX.ThiefQuest - Mã độc tống tiền nhắm vào người dùng Mac

11:00 | 08/07/2020

Các chuyên gia an ninh mạng đã phát hiện một loại mã độc tống tiền mới trên hệ điều hành Mac OS với tên gọi là OSX.ThiefQuest. Mã độc này có khả năng chiếm quyền điều khiển máy tính nạn nhân, mã hóa các tệp tin quan trọng để đòi tiền chuộc. Hiện loại mã độc này đang được lan truyền phổ biến trên các torrent Internet tại Nga.

Tin cùng chuyên mục

Tội phạm mạng sử dụng AI để phát tán phần mềm độc hại trong các chiến dịch lừa đảo trên mạng xã hội

10:00 | 22/04/2024

Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.