“Kỹ thuật chống phân tích shellcode cố gắng ngăn chặn các nhà nghiên cứu thực hiện việc phân tích mã độc trên môi trường ảo hóa bằng cách quét toàn bộ bộ nhớ quy trình để tìm bất kỳ chuỗi nào có liên quan đến máy ảo”, Sarang Sonawane và Donato Onofri, hai nhà nghiên cứu của CrowdStrike cho biết trong một báo cáo kỹ thuật được công bố mới đây.
GuLoader, còn được gọi là CloudEyE, là trình tải xuống Visual Basic Script (VBS) được sử dụng để phân phối trojan truy cập từ xa (ví dụ như Remcos) trên các máy bị nhiễm. Nó được phát hiện lần đầu tiên vào năm 2019.
Vào tháng 11/2021, một dòng phần mềm độc hại JavaScript có tên là RATDispenser được phát hiện là có khả năng cài đặt GuLoader bằng Dropper (một phần mềm thiết kế chủ yếu để chuyển một payload đến mục tiêu) VBScript được mã hóa Base64.
Các mẫu GuLoader gần đây được CrowdStrike phân tích cho thấy một quy trình gồm ba giai đoạn, trong đó VBScript được thiết kế để cung cấp một giai đoạn tiếp theo thực hiện kiểm tra chống phân tích trước khi đưa shellcode được nhúng trong VBScript vào bộ nhớ. Bên cạnh việc kết hợp các phương pháp chống phân tích tương tự, shellcode này có nhiệm vụ tải xuống payload cuối cùng do tin tặc lựa chọn từ một máy chủ từ xa và thực thi nó trên máy chủ bị xâm nhập.
Các nhà nghiên cứu nhận xét: “Shellcode sử dụng một số thủ thuật chống phân tích và chống gỡ lỗi ở mỗi bước thực thi, đưa ra thông báo lỗi nếu shellcode phát hiện bất kỳ phân tích nào đã biết về cơ chế gỡ lỗi”. Ngoài ra, shellcode cũng có tính năng quét các phần mềm ảo hóa.
Một khả năng bổ sung mà các nhà nghiên cứu gọi là “cơ chế chèn mã dự phòng” để tránh các Hook NTDLL.dll được triển khai bởi các giải pháp phát hiện và phản hồi điểm cuối (EDR). Hook API NTDLL.dll là một kỹ thuật được các công cụ chống phần mềm độc hại sử dụng để phát hiện và gắn cờ các quy trình đáng ngờ trên Windows bằng cách giám sát các API bị các tác nhân đe dọa lạm dụng. Phương pháp này liên quan đến việc gọi các hàm API cần thiết để cấp phát bộ nhớ (NtAllocateVirtualMemory) và đưa shellcode tùy ý vào bộ nhớ thông qua Process Hollowing (một trong những kỹ thuật để ẩn dấu các quy trình).
Các nhà nghiên cứu kết luận: “GuLoader vẫn là một mối đe dọa nguy hiểm với nhiều biến thể sử dụng các phương pháp và kỹ thuật mới để lẩn tránh bị phát hiện bởi các phần mềm, ứng dụng bảo mật”.
Những phát hiện từ CrowdStrike cũng được đưa ra khi công ty an ninh mạng Cymulate trình diễn một kỹ thuật vượt qua EDR, được gọi là “Blindside”, kỹ thuật này cho phép chạy mã tùy ý bằng cách sử dụng Breakpoints (một điểm dừng) phần cứng để tạo ra một “quy trình chỉ có NTDLL ở trạng thái độc lập và không bị ràng buộc”.
Hồng Đạt
(theo The Hacker News)
10:00 | 18/01/2023
14:00 | 09/12/2022
09:00 | 25/12/2023
15:00 | 19/01/2023
10:00 | 30/03/2023
12:00 | 25/08/2022
07:00 | 03/04/2023
14:00 | 19/07/2022
10:00 | 29/03/2024
Chiều ngày 28/3, tại Hà Nội, Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền tổ chức Lễ phát động thi đua và ký giao ước thi đua năm 2024. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ tới dự và phát biểu chỉ đạo.
10:00 | 13/03/2024
Đầu tháng 3/2024, nhiều người dùng Facebook tại Việt Nam chia sẻ thông tin cảnh báo về một hình thức lừa đảo mới. Theo cảnh báo này, người dân sẽ bị chiếm quyền điều khiển điện thoại, bị chiếm đoạt tài sản khi quét mã QR trên phiếu trúng thưởng được gửi trong bưu phẩm do shipper chuyển đến.
16:00 | 01/02/2024
Hòa chung khí thế tưng bừng, phấn khởi của cả nước kỷ niệm 94 năm Ngày thành lập Đảng Cộng sản Việt Nam và chào đón Xuân Giáp Thìn 2024, sáng ngày 01/02, tại Hà Nội, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ long trọng tổ chức Lễ kỷ niệm 20 năm Ngày truyền thống của Trung tâm (05/02/2004 - 05/02/2024) và đón nhận Bằng khen của Thủ tướng Chính phủ.
10:00 | 31/01/2024
Những kẻ tấn công đang sử dụng các video quảng cáo trên YouTube có nội dung liên quan đến phần mềm bẻ khóa để dụ dỗ người dùng tải xuống phần mềm độc hại đánh cắp thông tin có tên là Lumma Stealer.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 18/4, Meta thông báo triển khai trợ lý AI thông minh nhất hiện nay - Meta AI miễn phí cho các nền tảng của mình. Theo CEO Meta Mark Zuckerberg, trợ lý có thể trả lời câu hỏi, tạo hình ảnh cho người dùng. Meta AI được xây dựng dựa trên mô hình ngôn ngữ lớn mới nhất của hãng mang tên Llama 3.
14:00 | 25/04/2024