MinhSec
Writer
Một kỹ thuật tấn công mới vừa được các nhà nghiên cứu an ninh mạng phát hiện cho thấy, ngay cả những phần mềm diệt virus mạnh mẽ nhất cũng có thể bị khai thác để trở thành “vật chủ” cho mã độc. Thay vì né tránh hay vượt qua lớp bảo vệ, kẻ tấn công có thể chèn mã trực tiếp vào quy trình của phần mềm diệt virus, giúp chúng thực thi mà không bị phát hiện.
Kỹ thuật này được công bố bởi nhà nghiên cứu có bí danh Two Seven One Three (@TwoSevenOneT), người đã mô tả chi tiết cách sao chép dịch vụ bảo vệ, chiếm quyền điều khiển các nhà cung cấp mật mã và chèn DLL độc hại vào thư mục cài đặt của phần mềm diệt virus. Cách tiếp cận này giúp kẻ tấn công vượt qua các biện pháp phòng vệ tiêu chuẩn, mở đường cho việc cài đặt backdoor ngay bên trong ứng dụng vốn được tin tưởng nhất trong hệ thống.
Điểm đáng chú ý là kỹ thuật này lợi dụng chính sự “bất khả xâm phạm” của các tiến trình diệt virus. Vì những quy trình này được hệ thống bảo vệ ở mức cao nhất để ngăn chặn việc bị tắt hay chỉnh sửa, khi mã độc được tiêm vào bên trong, nó sẽ mặc nhiên thừa hưởng mọi quyền hạn bao gồm khả năng ghi tệp vào thư mục bị hạn chế, giám sát hệ thống và thậm chí qua mặt các công cụ bảo mật khác.
Phần mềm diệt virus thường vận hành với quyền truy cập cấp hệ thống (SYSTEM) để có thể theo dõi toàn bộ hoạt động máy tính. Để bảo vệ chính mình, chúng sử dụng nhiều lớp kiểm tra tính toàn vẹn mã, cơ chế “Protected Process Light” (PPL) của Windows, cùng với các biện pháp xác minh chữ ký số. Tuy nhiên, Two Seven One Three đã chứng minh rằng, nếu kẻ tấn công có thể sao chép cấu hình dịch vụ diệt virus và lợi dụng Windows Cryptography API vốn được dùng để ký và mã hóa dữ liệu chúng có thể tạo ra một dịch vụ “bản sao” được bảo vệ, nhưng lại chứa mã độc bên trong.
Trong thí nghiệm, nhà nghiên cứu đã thực hiện việc này với Bitdefender, Trend Micro và Avast. Bằng cách chỉnh sửa registry, thay đổi nhà cung cấp mật mã và sử dụng chứng chỉ sao chép từ các chương trình hợp pháp (nhờ công cụ CertClone), ông đã khiến DLL độc hại được nạp mà không bị phát hiện. DLL này có thể thực hiện các thao tác đơn giản như ghi tệp mới vào thư mục cài đặt của phần mềm diệt virus điều mà mã độc thông thường không thể làm.
Để chứng minh khả năng của kỹ thuật, nhà nghiên cứu còn tạo ra công cụ mã nguồn mở mang tên IAmAntimalware, có thể tự động hóa toàn bộ quy trình chỉ bằng vài dòng lệnh. Công cụ này cho phép lựa chọn dịch vụ gốc, chỉ định tên bản sao, chứng chỉ và đường dẫn DLL cần chèn, sau đó khởi chạy dịch vụ được bảo vệ mới. Khi kiểm tra bằng Process Explorer, các tiến trình độc hại xuất hiện trong danh sách nhưng lại không thể bị dừng, do đã được Windows xem như một phần của phần mềm diệt virus thật.
Vụ việc này cho thấy ranh giới giữa “phần mềm bảo vệ” và “điểm yếu bảo mật” đang trở nên mờ nhạt hơn bao giờ hết. Khi các chương trình diệt virus ngày càng phức tạp, chúng cũng mang theo nhiều thành phần phụ trợ từ VPN, tường lửa đến giao diện đồ họa và mỗi phần có thể là một cánh cửa tiềm năng để bị khai thác.
Theo các chuyên gia, cách phòng tránh hiệu quả nhất hiện nay là tăng cường giám sát việc tải mô-đun từ các đường dẫn bất thường, xác minh chặt chẽ chứng chỉ số trong registry, và kết hợp thêm phân tích hành vi để phát hiện các tiến trình có hành vi ghi hoặc thay đổi trong thư mục cài đặt phần mềm bảo mật. Đồng thời, việc cập nhật liên tục và kiểm tra bảo mật nội bộ là yếu tố sống còn để ngăn các cuộc tấn công kiểu mới này.
Với phát hiện của Two Seven One Three, cộng đồng an ninh mạng một lần nữa được nhắc nhở rằng: không có phần mềm nào là bất khả xâm phạm kể cả chính những công cụ được thiết kế để bảo vệ hệ thống.
cybersecuritynews.com
Kỹ thuật này được công bố bởi nhà nghiên cứu có bí danh Two Seven One Three (@TwoSevenOneT), người đã mô tả chi tiết cách sao chép dịch vụ bảo vệ, chiếm quyền điều khiển các nhà cung cấp mật mã và chèn DLL độc hại vào thư mục cài đặt của phần mềm diệt virus. Cách tiếp cận này giúp kẻ tấn công vượt qua các biện pháp phòng vệ tiêu chuẩn, mở đường cho việc cài đặt backdoor ngay bên trong ứng dụng vốn được tin tưởng nhất trong hệ thống.
Điểm đáng chú ý là kỹ thuật này lợi dụng chính sự “bất khả xâm phạm” của các tiến trình diệt virus. Vì những quy trình này được hệ thống bảo vệ ở mức cao nhất để ngăn chặn việc bị tắt hay chỉnh sửa, khi mã độc được tiêm vào bên trong, nó sẽ mặc nhiên thừa hưởng mọi quyền hạn bao gồm khả năng ghi tệp vào thư mục bị hạn chế, giám sát hệ thống và thậm chí qua mặt các công cụ bảo mật khác.
Khi phần mềm bảo vệ trở thành mục tiêu bị lợi dụng
Phần mềm diệt virus thường vận hành với quyền truy cập cấp hệ thống (SYSTEM) để có thể theo dõi toàn bộ hoạt động máy tính. Để bảo vệ chính mình, chúng sử dụng nhiều lớp kiểm tra tính toàn vẹn mã, cơ chế “Protected Process Light” (PPL) của Windows, cùng với các biện pháp xác minh chữ ký số. Tuy nhiên, Two Seven One Three đã chứng minh rằng, nếu kẻ tấn công có thể sao chép cấu hình dịch vụ diệt virus và lợi dụng Windows Cryptography API vốn được dùng để ký và mã hóa dữ liệu chúng có thể tạo ra một dịch vụ “bản sao” được bảo vệ, nhưng lại chứa mã độc bên trong.
Trong thí nghiệm, nhà nghiên cứu đã thực hiện việc này với Bitdefender, Trend Micro và Avast. Bằng cách chỉnh sửa registry, thay đổi nhà cung cấp mật mã và sử dụng chứng chỉ sao chép từ các chương trình hợp pháp (nhờ công cụ CertClone), ông đã khiến DLL độc hại được nạp mà không bị phát hiện. DLL này có thể thực hiện các thao tác đơn giản như ghi tệp mới vào thư mục cài đặt của phần mềm diệt virus điều mà mã độc thông thường không thể làm.
Để chứng minh khả năng của kỹ thuật, nhà nghiên cứu còn tạo ra công cụ mã nguồn mở mang tên IAmAntimalware, có thể tự động hóa toàn bộ quy trình chỉ bằng vài dòng lệnh. Công cụ này cho phép lựa chọn dịch vụ gốc, chỉ định tên bản sao, chứng chỉ và đường dẫn DLL cần chèn, sau đó khởi chạy dịch vụ được bảo vệ mới. Khi kiểm tra bằng Process Explorer, các tiến trình độc hại xuất hiện trong danh sách nhưng lại không thể bị dừng, do đã được Windows xem như một phần của phần mềm diệt virus thật.
Bài học cho ngành an ninh mạng
Vụ việc này cho thấy ranh giới giữa “phần mềm bảo vệ” và “điểm yếu bảo mật” đang trở nên mờ nhạt hơn bao giờ hết. Khi các chương trình diệt virus ngày càng phức tạp, chúng cũng mang theo nhiều thành phần phụ trợ từ VPN, tường lửa đến giao diện đồ họa và mỗi phần có thể là một cánh cửa tiềm năng để bị khai thác.
Theo các chuyên gia, cách phòng tránh hiệu quả nhất hiện nay là tăng cường giám sát việc tải mô-đun từ các đường dẫn bất thường, xác minh chặt chẽ chứng chỉ số trong registry, và kết hợp thêm phân tích hành vi để phát hiện các tiến trình có hành vi ghi hoặc thay đổi trong thư mục cài đặt phần mềm bảo mật. Đồng thời, việc cập nhật liên tục và kiểm tra bảo mật nội bộ là yếu tố sống còn để ngăn các cuộc tấn công kiểu mới này.
Với phát hiện của Two Seven One Three, cộng đồng an ninh mạng một lần nữa được nhắc nhở rằng: không có phần mềm nào là bất khả xâm phạm kể cả chính những công cụ được thiết kế để bảo vệ hệ thống.
Hackers Can Inject Malicious Code into Antivirus to Create a Backdoor
A new technique enables attackers to exploit antivirus software by injecting harmful code directly into the antivirus processes. This approach makes it easier for them to evade detection and compromise the security that antivirus software is designed to provide.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
