Một phần mềm độc hại có thể sử dụng các kỹ thuật chèn mã để đưa mã độc được thiết kế cho một hoạt động cụ thể nào đó vào một tiến trình hợp lệ, từ đó giúp nó thực hiện được mục tiêu. Nhờ lợi dụng tiến trình này, mã độc có thể tàng hình và vượt qua các cơ chế bảo mật.
Itzik Kotler – Đồng sáng lập, Giám đốc Công nghệ của SafeBreach và Amit Klein – Phó Chủ tịch nghiên cứu bảo mật của công ty đã tóm tắt và kiểm thử hơn 20 kỹ thuật chèn mã phổ biến hiện nay. Nghiên cứu này đánh giá các kỹ thuật có ổn định hay không, điều kiện tiên quyết và hạn chế của chúng là gì và chỉ định các API chính mà chúng sử dụng. Trong khi một số phương pháp chèn code chỉ là lý thuyết, thì số khác đã bị phần mềm độc hại khai thác trong thực tế. Các nhà nghiên cứu đã thực hiện tất cả các kỹ thuật này trên máy Windows 10x64 dựa trên các tiến trình 64 bit.
Đáng chú ý, Windows 10 có một số tính năng được thiết kế để bảo vệ chống lại kỹ thuật chèn mã vào tiến trình, bao gồm bảo vệ kiểm soát dòng chảy (Control Flow Guard), đảm bảo an toàn mã động (Dynamic Code Security), chính sách chữ ký nhị phân (Binary Signature) và chính sách vô hiệu hóa các điểm mở rộng (Extension Point Disable).
Trong một phỏng vấn về bài thuyết trình tại Hội nghị an ninh mạng Black Hat (Mỹ), 2 nhà nghiên cứu đã cho biết, chỉ có 02 trong số các kỹ thuật được thử nghiệm là thất bại hoàn toàn trước biện pháp bảo vệ của Windows 10. 04 kỹ thuật đã thành công ở bất kể mức độ bảo vệ nào. Các phương pháp chèn mã còn lại tùy thuộc vào mức độ bảo vệ trên Windows 10.
Theo các nhà nghiên cứu, các kỹ thuật chèn mã có khả năng vượt qua các cơ chế bảo vệ trên Windows thường khá mạnh và dễ phát hiện hơn. Tuy nhiên, kỹ thuật mới mà họ đã tìm thấy với tên gọi StackBomber được cho là ẩn mình tốt hơn và khó phát hiện hơn, đồng thời không cần leo thang đặc quyền để thực hiện.
StackBomber được mô tả là một kỹ thuật thực thi mã mới, hoạt động tốt khi được kết hợp với một kỹ thuật viết bộ nhớ mới cũng được tìm ra bởi 2 nhà nghiên cứu này.
Microsoft không cho rằng kỹ thuật chèn mã vào tiến trình là lỗ hổng bảo mật, do đó các nhà nghiên cứu của SafeBreach sẽ không nhận được tiền thưởng sau khi báo cáo phát hiện của mình. Tuy nhiên, Microsoft đưa ra cam kết về vấn đề bảo mật và sẽ có hành động phù hợp cần thiết để bảo vệ khách hàng.
SafeBreach đã cung cấp tất cả các bằng chứng khái niệm (PoC) đã sử dụng trong quá trình nghiên cứu của mình và phát hành một chương trình mã nguồn mở có tên PINJECTRA, cho phép người dùng có thể tự thực hiện chèn mã vào tiến trình.
Công ty cũng nhận thức được rằng, những phát hiện của họ có thể bị lạm dụng bởi tin tặc, nhưng mục tiêu của họ là giúp cộng đồng và đặc biệt là các công ty chuyên trách về đảm bảo an toàn cho khách hàng đưa ra các biện pháp phòng thủ, bảo mật vào sản phẩm của họ.
Toàn Thắng
Theo SecurityWeek
08:00 | 19/07/2019
08:00 | 03/07/2019
08:00 | 05/06/2019
16:00 | 19/09/2024
Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.
16:00 | 31/08/2024
Theo Entropia Intel, từ ngày 26/8, loạt trang web liên quan đến chính phủ Pháp đã ngừng hoạt động do bị tấn công từ chối dịch vụ (DDoS). Sự việc diễn ra sau khi Pháp bắt CEO Telegram Pavel Durov hôm 24/8.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 11/10/2024