Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

16:00 | 12/12/2019 | HACKER / MALWARE

Mới đây, một nhà nghiên cứu bảo mật của công ty bảo mật Nyotron (Israel) đã cảnh báo về một kỹ thuật tấn công mới được phát hiện. Kỹ thuật này cho phép mã độc tống tiền mã hóa các tệp trên hệ thống Windows mà không bị phát hiện bởi các sản phẩm phòng chống mã độc hiện có.

Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

Kỹ thuật này được đặt tên là RIPlace, cho phép phần mềm độc hại vượt qua hệ thống phòng thủ bằng cách sử dụng hoạt động “Đổi tên” hợp pháp của hệ thống tệp. Các nhà nghiên cứu bảo mật cho biết, nó hoạt động ngay cả với các hệ thống được vá đầy đủ và thực thi các giải pháp phòng chống mã độc (antivirus) hiện đại.

Theo các nhà nghiên cứu, RIPlace có thể được sử dụng để sửa đổi các tệp trên bất kỳ máy tính nào sử dụng hệ điều hành Windows XP hoặc các phiên bản mới hơn của hệ điều hành Microsoft.

Trong báo cáo chi tiết, các nhà nghiên cứu lưu ý rằng, hầu hết các mã độc tống tiền hoạt động bằng cách mở và đọc tệp gốc, mã hóa nội dung trong bộ nhớ và sau đó hủy tệp gốc bằng cách ghi nội dung được mã hóa như: lưu tệp mã hóa, xóa bản gốc, hoặc lưu tệp được mã hóa và dùng thao tác “Đổi tên” để thay thế nó.

Khi một yêu cầu “Đổi tên” được gọi IRP_MJ_SET_INFORMATION với FileInformationClass được đặt thành FileRenameInformation, trình xử lý phụ (filter driver) sẽ được gọi lại.

Các nhà nghiên cứu phát hiện ra rằng, nếu DefineDosDevice (một chức năng kế thừa tạo ra một liên kết tượng trưng (symlink)) được gọi trước khi thực hiện "Đổi tên", thì có thể thay đổi thành một tên tùy ý như tên thiết bị, cùng với đường dẫn tệp gốc là mục tiêu để trỏ tới.

Vấn đề nằm ở chức năng gọi lại của filter driver không thể phân tích đường dẫn đích khi sử dụng thủ tục FltGetDestinationFileNameInformation. Mặc dù một lỗi được trả về khi gửi đường dẫn DosDevice, thì lệnh "Đổi tên" vẫn thành công.

Sử dụng kỹ thuật này, mã độc có thể mã hóa các tệp và vượt qua các giải pháp antivirus không xử lý lệnh gọi lại IRP_MJ_SET_INFORMATION đúng cách. Các nhà nghiên cứu tin rằng, tin tặc có thể sử dụng kỹ thuật này để vượt qua các sản phẩm bảo mật dựa trên thủ tục FltGetDestination, FileNameInformation, cũng như tránh được mọi hoạt động ghi nhật ký, giám sát hệ thống của các giải pháp phòng chống mã độc.

Các nhà nghiên cứu đã phát hiện ra kỹ thuật này vào quý 1/2019 và đã liên hệ với Microsoft, các nhà cung cấp giải pháp bảo mật, các cơ quan thực thi pháp luật và các cơ quan chức năng. Tuy nhiên, họ cho biết, chỉ một số ít các nhà cung cấp sản phẩm bảo mật đã thừa nhận lỗ hổng này và sửa chữa, mặc dù rất nhiều sản phẩm đã bị ảnh hưởng.

Công ty Nyotron đã xuất bản 2 video minh họa cách thức RIPlace có thể vượt qua các giải pháp bảo mật (bao gồm: Symantec Endpoint Protection và Microsoft Defender Antivirus), cũng như phát hành một công cụ miễn phí cho phép mọi người thử nghiệm các sản phẩm bảo mật và sản phẩm hệ thống của họ chống lại kỹ thuật RIPlace.

Nguyễn Anh Tuấn

Theo Security Week

‹ › ×

Tin liên quan

Không thể ứng phó với mã độc tống tiền chỉ bằng sao lưu dữ liệu

15:00 | 02/03/2020

Không phải mọi cuộc tấn công mã độc tống tiền đều là sự cố không thể phòng tránh. Tuy nhiên, ngay cả những tổ chức được chuẩn bị kỹ lưỡng nhất cũng có thể gặp phải những sự cố quy mô nhỏ, trong thời đại nổi lên của mã độc tống tiền có chủ đích.

Mối nguy hiểm từ mã độc phần cứng

08:00 | 27/02/2020

Sửa đổi phần cứng độc hại trong quá trình thiết kế hoặc chế tạo các thiết bị đang là một mối quan tâm lớn trong công tác đảm bảo an toàn, an ninh thông tin. Mã độc phần cứng (Hardware Trojan – HT) làm cho mạch tích hợp (Integrated Circuit - IC) thay đổi về chức năng và gây hậu quả nghiêm trọng đối với các hệ thống thông tin. Quá trình kiểm tra theo tiêu chuẩn kiểm định thông thường rất khó phát hiện các HT, bởi bản chất “tiềm ẩn” trong chính luồng thiết kế - chế tạo IC. Bài báo này giới thiệu đôi nét về cấu tạo và những nguy cơ đặc biệt nguy hiểm của HT.

Phát hiện mã độc tống tiền nhắm tới người chơi Fortnite

10:00 | 11/09/2019

Các nhà nghiên cứu bảo mật của công ty cung cấp các giải pháp an toàn mạng Cyren (trụ sở chính tại Mỹ) đã phát hiện ra một họ mã độc tống tiền mới dựa trên phần mềm độc hại nguồn mở Hidden-Cry, nhắm đến người chơi Fortnite.

5 lưu ý đối với doanh nghiệp để phòng chống mã độc tống tiền

15:00 | 24/10/2019

Mối đe dọa về mã độc tống tiền ngày càng gia tăng với hình thức tinh vi hơn. Vậy phải làm thế nào để doanh nghiệp có thể bảo vệ tổ chức khỏi mối đe dọa về mã độc tống tiền?

Đôi nét về sandbox và kỹ thuật lẩn tránh của mã độc

08:00 | 24/01/2020

Phát hiện mã độc bằng cách sử dụng sandbox là một kỹ thuật phổ biến hiện nay. Bài viết dưới đây cung cấp đôi nét về sandbox, kỹ thuật lẩn tránh sandbox của mã độc và các biện pháp phát hiện ra chúng.

SynACK - mã độc tống tiền đầu tiên sử dụng kỹ thuật tấn công Process Doppelgänging

08:00 | 11/06/2018

Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã phát hiện ra SynACK - mã độc tống tiền đầu tiên sử dụng kỹ thuật Process Doppelgänging, để qua mặt các chương trình antivirus và các công cụ điều tra số hiện nay.

OSX.ThiefQuest - Mã độc tống tiền nhắm vào người dùng Mac

11:00 | 08/07/2020

Các chuyên gia an ninh mạng đã phát hiện một loại mã độc tống tiền mới trên hệ điều hành Mac OS với tên gọi là OSX.ThiefQuest. Mã độc này có khả năng chiếm quyền điều khiển máy tính nạn nhân, mã hóa các tệp tin quan trọng để đòi tiền chuộc. Hiện loại mã độc này đang được lan truyền phổ biến trên các torrent Internet tại Nga.

Tin cùng chuyên mục

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Khám phá chiến dịch phát tán RAT độc hại thông qua các nền tảng họp trực tuyến

10:00 | 13/03/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

Khám phá các kỹ thuật chống phân tích mới của phần mềm độc hại GuLoader

09:00 | 25/12/2023

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.