Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

16:00 | 12/12/2019 | HACKER / MALWARE

Mới đây, một nhà nghiên cứu bảo mật của công ty bảo mật Nyotron (Israel) đã cảnh báo về một kỹ thuật tấn công mới được phát hiện. Kỹ thuật này cho phép mã độc tống tiền mã hóa các tệp trên hệ thống Windows mà không bị phát hiện bởi các sản phẩm phòng chống mã độc hiện có.

Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

Kỹ thuật này được đặt tên là RIPlace, cho phép phần mềm độc hại vượt qua hệ thống phòng thủ bằng cách sử dụng hoạt động “Đổi tên” hợp pháp của hệ thống tệp. Các nhà nghiên cứu bảo mật cho biết, nó hoạt động ngay cả với các hệ thống được vá đầy đủ và thực thi các giải pháp phòng chống mã độc (antivirus) hiện đại.

Theo các nhà nghiên cứu, RIPlace có thể được sử dụng để sửa đổi các tệp trên bất kỳ máy tính nào sử dụng hệ điều hành Windows XP hoặc các phiên bản mới hơn của hệ điều hành Microsoft.

Trong báo cáo chi tiết, các nhà nghiên cứu lưu ý rằng, hầu hết các mã độc tống tiền hoạt động bằng cách mở và đọc tệp gốc, mã hóa nội dung trong bộ nhớ và sau đó hủy tệp gốc bằng cách ghi nội dung được mã hóa như: lưu tệp mã hóa, xóa bản gốc, hoặc lưu tệp được mã hóa và dùng thao tác “Đổi tên” để thay thế nó.

Khi một yêu cầu “Đổi tên” được gọi IRP_MJ_SET_INFORMATION với FileInformationClass được đặt thành FileRenameInformation, trình xử lý phụ (filter driver) sẽ được gọi lại.

Các nhà nghiên cứu phát hiện ra rằng, nếu DefineDosDevice (một chức năng kế thừa tạo ra một liên kết tượng trưng (symlink)) được gọi trước khi thực hiện "Đổi tên", thì có thể thay đổi thành một tên tùy ý như tên thiết bị, cùng với đường dẫn tệp gốc là mục tiêu để trỏ tới.

Vấn đề nằm ở chức năng gọi lại của filter driver không thể phân tích đường dẫn đích khi sử dụng thủ tục FltGetDestinationFileNameInformation. Mặc dù một lỗi được trả về khi gửi đường dẫn DosDevice, thì lệnh "Đổi tên" vẫn thành công.

Sử dụng kỹ thuật này, mã độc có thể mã hóa các tệp và vượt qua các giải pháp antivirus không xử lý lệnh gọi lại IRP_MJ_SET_INFORMATION đúng cách. Các nhà nghiên cứu tin rằng, tin tặc có thể sử dụng kỹ thuật này để vượt qua các sản phẩm bảo mật dựa trên thủ tục FltGetDestination, FileNameInformation, cũng như tránh được mọi hoạt động ghi nhật ký, giám sát hệ thống của các giải pháp phòng chống mã độc.

Các nhà nghiên cứu đã phát hiện ra kỹ thuật này vào quý 1/2019 và đã liên hệ với Microsoft, các nhà cung cấp giải pháp bảo mật, các cơ quan thực thi pháp luật và các cơ quan chức năng. Tuy nhiên, họ cho biết, chỉ một số ít các nhà cung cấp sản phẩm bảo mật đã thừa nhận lỗ hổng này và sửa chữa, mặc dù rất nhiều sản phẩm đã bị ảnh hưởng.

Công ty Nyotron đã xuất bản 2 video minh họa cách thức RIPlace có thể vượt qua các giải pháp bảo mật (bao gồm: Symantec Endpoint Protection và Microsoft Defender Antivirus), cũng như phát hành một công cụ miễn phí cho phép mọi người thử nghiệm các sản phẩm bảo mật và sản phẩm hệ thống của họ chống lại kỹ thuật RIPlace.

Nguyễn Anh Tuấn

Theo Security Week

‹ › ×

Tin liên quan

Không thể ứng phó với mã độc tống tiền chỉ bằng sao lưu dữ liệu

15:00 | 02/03/2020

Không phải mọi cuộc tấn công mã độc tống tiền đều là sự cố không thể phòng tránh. Tuy nhiên, ngay cả những tổ chức được chuẩn bị kỹ lưỡng nhất cũng có thể gặp phải những sự cố quy mô nhỏ, trong thời đại nổi lên của mã độc tống tiền có chủ đích.

Mối nguy hiểm từ mã độc phần cứng

08:00 | 27/02/2020

Sửa đổi phần cứng độc hại trong quá trình thiết kế hoặc chế tạo các thiết bị đang là một mối quan tâm lớn trong công tác đảm bảo an toàn, an ninh thông tin. Mã độc phần cứng (Hardware Trojan – HT) làm cho mạch tích hợp (Integrated Circuit - IC) thay đổi về chức năng và gây hậu quả nghiêm trọng đối với các hệ thống thông tin. Quá trình kiểm tra theo tiêu chuẩn kiểm định thông thường rất khó phát hiện các HT, bởi bản chất “tiềm ẩn” trong chính luồng thiết kế - chế tạo IC. Bài báo này giới thiệu đôi nét về cấu tạo và những nguy cơ đặc biệt nguy hiểm của HT.

Phát hiện mã độc tống tiền nhắm tới người chơi Fortnite

10:00 | 11/09/2019

Các nhà nghiên cứu bảo mật của công ty cung cấp các giải pháp an toàn mạng Cyren (trụ sở chính tại Mỹ) đã phát hiện ra một họ mã độc tống tiền mới dựa trên phần mềm độc hại nguồn mở Hidden-Cry, nhắm đến người chơi Fortnite.

5 lưu ý đối với doanh nghiệp để phòng chống mã độc tống tiền

15:00 | 24/10/2019

Mối đe dọa về mã độc tống tiền ngày càng gia tăng với hình thức tinh vi hơn. Vậy phải làm thế nào để doanh nghiệp có thể bảo vệ tổ chức khỏi mối đe dọa về mã độc tống tiền?

Đôi nét về sandbox và kỹ thuật lẩn tránh của mã độc

08:00 | 24/01/2020

Phát hiện mã độc bằng cách sử dụng sandbox là một kỹ thuật phổ biến hiện nay. Bài viết dưới đây cung cấp đôi nét về sandbox, kỹ thuật lẩn tránh sandbox của mã độc và các biện pháp phát hiện ra chúng.

SynACK - mã độc tống tiền đầu tiên sử dụng kỹ thuật tấn công Process Doppelgänging

08:00 | 11/06/2018

Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã phát hiện ra SynACK - mã độc tống tiền đầu tiên sử dụng kỹ thuật Process Doppelgänging, để qua mặt các chương trình antivirus và các công cụ điều tra số hiện nay.

OSX.ThiefQuest - Mã độc tống tiền nhắm vào người dùng Mac

11:00 | 08/07/2020

Các chuyên gia an ninh mạng đã phát hiện một loại mã độc tống tiền mới trên hệ điều hành Mac OS với tên gọi là OSX.ThiefQuest. Mã độc này có khả năng chiếm quyền điều khiển máy tính nạn nhân, mã hóa các tệp tin quan trọng để đòi tiền chuộc. Hiện loại mã độc này đang được lan truyền phổ biến trên các torrent Internet tại Nga.

Tin cùng chuyên mục

Tin tặc Triều Tiên sử dụng backdoor VeilShell mới nhắm mục tiêu vào các nước Đông Nam Á

07:00 | 17/10/2024

Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.

Cloudflare ngăn chặn cuộc tấn công DDoS lớn nhất từ trước đến nay với tốc độ 3,8 Tbps

13:00 | 09/10/2024

Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.

Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

14:00 | 11/09/2024

Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.

17.000 lỗ hổng mới đe dọa an ninh mạng Việt Nam trong nửa đầu 2024

11:00 | 03/09/2024

Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.