Các nhà nghiên cứu bảo mật đã phát hiện ra mã độc đầu tiên sử dụng Process Doppelgänging-một kỹ thuật chèn mã mới, để giúp phần mềm độc hại tránh bị phát hiện.

Cuộc tấn công Process Doppelgänging tận dụng chức năng Windows tích hợp… NTFS Transaction và triển khai lỗi thời của quá trình Windows tải xuống để hoạt động trên tất cả các phiên bản hiện đại của Microsoft Windows OS, bao gồm Windows 10.

Cuộc tấn công Process Doppelgänging hoạt động bằng cách sử dụng các NTFS Transaction để khởi chạy một quá trình độc hại thông qua việc thay thế bộ nhớ của một quy trình hợp pháp, lừa các công cụ giám sát quá trình và công cụ chống vi-rút tin rằng quá trình hợp pháp đang chạy.

Một thời gian ngắn sau khi chi tiết cuộc tấn công Process Doppelgänging được công khai, một số tin tặc đã lạm dụng chúng để vượt qua các giải pháp bảo mật hiện đại.

Các nhà nghiên cứu bảo mật tại Kaspersky Lab hiện đã tìm thấy mã độc đầu tiên, một biến thể mới của SynAck, sử dụng kỹ thuật này để che dấu các hành động độc hại của nó và nhắm mục tiêu tới người dùng ở Hoa Kỳ, Kuwait, Đức và Iran.

Mã độc đầu tiên sử dụng Process Doppelgänging để tránh bị phát hiện
Mã độc đầu tiên sử dụng Process Doppelgänging để tránh bị phát hiện

Ban đầu được phát hiện vào tháng 9 năm 2017, mã độc SynAck sử dụng các kỹ thuật phức tạp để ngăn chặn kỹ thuật đảo ngược, nhưng các nhà nghiên cứu đã giải nén nó và chia sẻ phân tích của họ trong một bài đăng trên blog.

Một điều thú vị về SynAck là mã độc này không lây nhiễm cho người từ các quốc gia cụ thể, bao gồm Nga, Belarus, Ukraine, Georgia, Tajikistan, Kazakhstan và Uzbekistan.

Để xác định quốc gia của một người dùng cụ thể, phần mềm trả tiền SynAck khớp với bố cục bàn phím được cài đặt trên máy tính của người dùng dựa vào danh sách mã hóa được lưu trữ trong phần mềm độc hại. Nếu tìm thấy một kết quả phù hợp, phần mềm mã độc sẽ mất 30 giây và sau đó gọi ExitProcess để ngăn việc mã hóa các tệp.

Mã độc SynAck cũng ngăn phân tích sandbox tự động bằng cách kiểm tra thư mục từ nơi nó thực hiện. Nếu nó tìm thấy một nỗ lực để khởi chạy các tập tin thực thi độc hại từ một thư mục ‘không chính xác’, SynAck sẽ không tiến hành thêm và thay vào đó sẽ tự kết thúc.

Sau khi bị nhiễm, giống như bất kỳ phần mềm mã độc khác, SynAck mã hóa nội dung của mỗi tệp bị nhiễm bằng thuật toán AES-256-ECB và cung cấp cho nạn nhân một khóa giải mã cho đến khi họ liên lạc với những kẻ tấn công và đáp ứng nhu cầu của họ.

Mã độc đầu tiên sử dụng Process Doppelgänging để tránh bị phát hiện
Ghi chú mã độc SynAck

SynAck cũng có khả năng hiển thị một ghi chú mã độc cho màn hình đăng nhập Windows bằng cách sửa đổi các khóa LegalNoticeCaption và LegalNoticeText trong registry. Các mã độc thậm chí xóa các bản ghi sự kiện được lưu trữ bởi hệ thống để tránh phân tích forensic của máy bị nhiễm

Mặc dù các nhà nghiên cứu không nói cách SynAck xâm nhập vào máy tính nạn nhân, nhưng phần lớn các phần mềm gián điệp lây lan qua các email lừa đảo, quảng cáo độc hại trên trang web cũng như các ứng dụng và chương trình của bên thứ ba

Do đó, bạn nên luôn thận trọng khi mở các tài liệu được gửi qua email và nhấp vào các liên kết bên trong các tài liệu đó nếu chưa xác minh nguồn của chúng để có thể bảo vệ bản thân khỏi sự lây nhiễm mã độc.

Mặc dù trong trường hợp này chỉ có một vài phần mềm bảo mật và chống vi rút có thể bảo vệ hoặc cảnh báo bạn chống lại mối đe dọa, cho nên bạn cần có một bộ phần mềm chống virus hiệu quả trên hệ thống của mình và luôn nhớ cập nhật nó đều đặn.

Cuối cùng nhưng không kém phần quan trọng: để bảo vệ dữ liệu quý giá của bạn, luôn luôn có một bản sao lưu dự phòng để sao chép tất cả các tệp quan trọng sang thiết bị lưu trữ ngoài mà không phải lúc nào cũng được kết nối với máy tính của bạn.

Bình luận