Một phần mềm độc hại có thể sử dụng các kỹ thuật chèn mã để đưa mã độc được thiết kế cho một hoạt động cụ thể nào đó vào một tiến trình hợp lệ, từ đó giúp nó thực hiện được mục tiêu. Nhờ lợi dụng tiến trình này, mã độc có thể tàng hình và vượt qua các cơ chế bảo mật.
Itzik Kotler – Đồng sáng lập, Giám đốc Công nghệ của SafeBreach và Amit Klein – Phó Chủ tịch nghiên cứu bảo mật của công ty đã tóm tắt và kiểm thử hơn 20 kỹ thuật chèn mã phổ biến hiện nay. Nghiên cứu này đánh giá các kỹ thuật có ổn định hay không, điều kiện tiên quyết và hạn chế của chúng là gì và chỉ định các API chính mà chúng sử dụng. Trong khi một số phương pháp chèn code chỉ là lý thuyết, thì số khác đã bị phần mềm độc hại khai thác trong thực tế. Các nhà nghiên cứu đã thực hiện tất cả các kỹ thuật này trên máy Windows 10x64 dựa trên các tiến trình 64 bit.
Đáng chú ý, Windows 10 có một số tính năng được thiết kế để bảo vệ chống lại kỹ thuật chèn mã vào tiến trình, bao gồm bảo vệ kiểm soát dòng chảy (Control Flow Guard), đảm bảo an toàn mã động (Dynamic Code Security), chính sách chữ ký nhị phân (Binary Signature) và chính sách vô hiệu hóa các điểm mở rộng (Extension Point Disable).
Trong một phỏng vấn về bài thuyết trình tại Hội nghị an ninh mạng Black Hat (Mỹ), 2 nhà nghiên cứu đã cho biết, chỉ có 02 trong số các kỹ thuật được thử nghiệm là thất bại hoàn toàn trước biện pháp bảo vệ của Windows 10. 04 kỹ thuật đã thành công ở bất kể mức độ bảo vệ nào. Các phương pháp chèn mã còn lại tùy thuộc vào mức độ bảo vệ trên Windows 10.
Theo các nhà nghiên cứu, các kỹ thuật chèn mã có khả năng vượt qua các cơ chế bảo vệ trên Windows thường khá mạnh và dễ phát hiện hơn. Tuy nhiên, kỹ thuật mới mà họ đã tìm thấy với tên gọi StackBomber được cho là ẩn mình tốt hơn và khó phát hiện hơn, đồng thời không cần leo thang đặc quyền để thực hiện.
StackBomber được mô tả là một kỹ thuật thực thi mã mới, hoạt động tốt khi được kết hợp với một kỹ thuật viết bộ nhớ mới cũng được tìm ra bởi 2 nhà nghiên cứu này.
Microsoft không cho rằng kỹ thuật chèn mã vào tiến trình là lỗ hổng bảo mật, do đó các nhà nghiên cứu của SafeBreach sẽ không nhận được tiền thưởng sau khi báo cáo phát hiện của mình. Tuy nhiên, Microsoft đưa ra cam kết về vấn đề bảo mật và sẽ có hành động phù hợp cần thiết để bảo vệ khách hàng.
SafeBreach đã cung cấp tất cả các bằng chứng khái niệm (PoC) đã sử dụng trong quá trình nghiên cứu của mình và phát hành một chương trình mã nguồn mở có tên PINJECTRA, cho phép người dùng có thể tự thực hiện chèn mã vào tiến trình.
Công ty cũng nhận thức được rằng, những phát hiện của họ có thể bị lạm dụng bởi tin tặc, nhưng mục tiêu của họ là giúp cộng đồng và đặc biệt là các công ty chuyên trách về đảm bảo an toàn cho khách hàng đưa ra các biện pháp phòng thủ, bảo mật vào sản phẩm của họ.
Toàn Thắng
Theo SecurityWeek
08:00 | 19/07/2019
08:00 | 03/07/2019
08:00 | 05/06/2019
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
13:00 | 31/10/2024
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025