Trong khi phân tích sâu những mẫu malware khác nhau, các nhà nghiên cứu bảo mật của Cyberbit đã phát hiện ra một kỹ thuật chèn mã mới, gọi là Early Bird, được sử dụng bởi ít nhất ba phần mềm độc hại tinh vi khác nhau để giúp kẻ tấn công tránh được sự phát hiện.

Early Bird là một kỹ thuật “đơn giản nhưng mạnh mẽ” cho phép kẻ tấn công tiêm mã độc hại vào một quy trình hợp pháp trước khi luồng (thread) chính của nó bắt đầu, và do đó tránh được sự phát hiện của các công cụ Windows hook engines mà được sử dụng bởi hầu hết các sản phẩm chống phần mềm độc hại.

Kỹ thuật chèn mã Early Bird “tải mã độc vào giai đoạn rất sớm của việc khởi tạo luồng, trước khi nhiều sản phẩm an ninh đặt các hook của chúng – điều này cho phép phần mềm độc hại có thể thực hiện các hành động nguy hiểm mà không bị phát hiện”.

Kỹ thuật này tương tự như kỹ thuật chèn mã AtomBombing, nó không cần dựa vào các cuộc gọi API để cho phép phần mềm độc hại đưa mã vào các quy trình theo cách mà không có công cụ chống phần mềm độc hại nào có thể phát hiện được.

Cách thức hoạt động của Kỹ thuật chèn mã Early Bird

Kỹ thuật chèn mã Early Bird dựa trên tính năng APC (Asynchronous Procedure Calls) của Windows cho phép các ứng dụng thực hiện mã không đồng bộ trong một phần của luồng cụ thể.

Dưới đây là một lời giải thích ngắn gọn về cách thức kẻ tấn công tiêm mã độc vào một quy trình hợp pháp theo cách mà nó được thực hiện trước khi chương trình chống phần mềm độc hại bắt đầu quét.

  • Tạo quy trình tạm dừng của một quy trình Windows hợp pháp (ví dụ: svchost.exe)
  • Phân bổ bộ nhớ trong quá trình đó (svchost.exe) và ghi mã độc hại vào vùng bộ nhớ được phân bổ,
  • Sắp xếp một cuộc gọi thủ tục không đồng bộ (APC) đến luồng chính của quá trình đó (svchost.exe),
  • Vì APC chỉ có thể thực hiện một quy trình khi nó ở trạng thái báo động, nên cần dùng hàm NtTestAlert để buộc hạt nhân thực hiện mã độc hại ngay sau khi luồng chính tiếp tục.

Theo các nhà nghiên cứu, có ít nhất ba loại phần mềm độc hại sau đây được tìm thấy trong kỹ thuật chèn mã Early Bird.

  • Backdoor “TurnedUp”, được phát triển bởi một nhóm hacker của Iran (APT 33)
  • Một biến thể của banking malware “Carberp”
  • Malware “DorkBot”

Ban đầu được phát hiện bởi FireEye vào tháng 9 năm 2017, TurnedUp là một backdoor có khả năng thu thập dữ liệu từ hệ thống mục tiêu, cho phép tạo ra các vỏ đảo, chụp màn hình cũng như thu thập thông tin hệ thống.

Tin tặc sử dụng kỹ thuật chèn mã mới để tránh bị phát hiện

DorBot là phần mềm độc hại của botnet được phân phối qua các liên kết trên các phương tiện truyền thông xã hội, các ứng dụng nhắn tin tức thì hoặc các phương tiện di động bị lây nhiễm và được sử dụng để đánh cắp các thông tin đăng nhập của người dùng cho các dịch vụ trực tuyến, bao gồm các dịch vụ ngân hàng, tham gia cuộc tấn công từ chối dịch vụ (DDoS), gửi thư rác và phân phối các phần mềm độc hại khác tới máy tính của nạn nhân.

Các nhà nghiên cứu cũng đã cung cấp một video cho thấy cách thức hoạt động của kỹ thuật chèn mã Early Bird mới.

Bình luận