Kỹ thuật này được đặt tên là RIPlace, cho phép phần mềm độc hại vượt qua hệ thống phòng thủ bằng cách sử dụng hoạt động “Đổi tên” hợp pháp của hệ thống tệp. Các nhà nghiên cứu bảo mật cho biết, nó hoạt động ngay cả với các hệ thống được vá đầy đủ và thực thi các giải pháp phòng chống mã độc (antivirus) hiện đại.
Theo các nhà nghiên cứu, RIPlace có thể được sử dụng để sửa đổi các tệp trên bất kỳ máy tính nào sử dụng hệ điều hành Windows XP hoặc các phiên bản mới hơn của hệ điều hành Microsoft.
Trong báo cáo chi tiết, các nhà nghiên cứu lưu ý rằng, hầu hết các mã độc tống tiền hoạt động bằng cách mở và đọc tệp gốc, mã hóa nội dung trong bộ nhớ và sau đó hủy tệp gốc bằng cách ghi nội dung được mã hóa như: lưu tệp mã hóa, xóa bản gốc, hoặc lưu tệp được mã hóa và dùng thao tác “Đổi tên” để thay thế nó.
Khi một yêu cầu “Đổi tên” được gọi IRP_MJ_SET_INFORMATION với FileInformationClass được đặt thành FileRenameInformation, trình xử lý phụ (filter driver) sẽ được gọi lại.
Các nhà nghiên cứu phát hiện ra rằng, nếu DefineDosDevice (một chức năng kế thừa tạo ra một liên kết tượng trưng (symlink)) được gọi trước khi thực hiện "Đổi tên", thì có thể thay đổi thành một tên tùy ý như tên thiết bị, cùng với đường dẫn tệp gốc là mục tiêu để trỏ tới.
Vấn đề nằm ở chức năng gọi lại của filter driver không thể phân tích đường dẫn đích khi sử dụng thủ tục FltGetDestinationFileNameInformation. Mặc dù một lỗi được trả về khi gửi đường dẫn DosDevice, thì lệnh "Đổi tên" vẫn thành công.
Sử dụng kỹ thuật này, mã độc có thể mã hóa các tệp và vượt qua các giải pháp antivirus không xử lý lệnh gọi lại IRP_MJ_SET_INFORMATION đúng cách. Các nhà nghiên cứu tin rằng, tin tặc có thể sử dụng kỹ thuật này để vượt qua các sản phẩm bảo mật dựa trên thủ tục FltGetDestination, FileNameInformation, cũng như tránh được mọi hoạt động ghi nhật ký, giám sát hệ thống của các giải pháp phòng chống mã độc.
Các nhà nghiên cứu đã phát hiện ra kỹ thuật này vào quý 1/2019 và đã liên hệ với Microsoft, các nhà cung cấp giải pháp bảo mật, các cơ quan thực thi pháp luật và các cơ quan chức năng. Tuy nhiên, họ cho biết, chỉ một số ít các nhà cung cấp sản phẩm bảo mật đã thừa nhận lỗ hổng này và sửa chữa, mặc dù rất nhiều sản phẩm đã bị ảnh hưởng.
Công ty Nyotron đã xuất bản 2 video minh họa cách thức RIPlace có thể vượt qua các giải pháp bảo mật (bao gồm: Symantec Endpoint Protection và Microsoft Defender Antivirus), cũng như phát hành một công cụ miễn phí cho phép mọi người thử nghiệm các sản phẩm bảo mật và sản phẩm hệ thống của họ chống lại kỹ thuật RIPlace.
Nguyễn Anh Tuấn
Theo Security Week
15:00 | 02/03/2020
08:00 | 27/02/2020
10:00 | 11/09/2019
15:00 | 24/10/2019
08:00 | 24/01/2020
08:00 | 11/06/2018
11:00 | 08/07/2020
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
14:00 | 02/07/2024
Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024