-
30/08/2016
-
317
-
446 bài viết
Mã độc ẩn trong các phần mềm bẻ khóa vượt qua Windows Defender
Các nhà nghiên cứu an ninh mạng công bố đã lật tẩy một loại phần mềm độc hại ít được biết đến có tên là "MosaicLoader" giấu mình trong các phần mềm bẻ khóa.
Các nhà nghiên cứu Bitdefender cho biết những kẻ tấn công đằng sau MosaicLoader đã tạo ra một phần mềm độc hại có thể cung cấp bất kỳ đoạn mã thực thi trên hệ thống, để kiếm chác lợi nhuận. MosaicLoader xâm nhập hệ thống mục tiêu bằng cách đóng giả là những phần mềm cài đặt bị bẻ khóa, sau đó tải xuống một phần mềm độc hại có nhiệm vụ lấy danh sách URL từ máy chủ C2 và tải về các mã độc từ các liên kết nhận được.
Phần mềm độc hại được đặt tên như vậy vì cấu trúc bên trong khá phức tạp, được sắp xếp để ngăn chặn kỹ thuật đảo ngược (reverse engineering) và trốn tránh các sự phát hiện, phân tích.
Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật hiệu quả để phân phối phần mềm độc hại là SEO poisoning. Khi đó, tội phạm mạng mua các vị trí quảng cáo trong kết quả tìm kiếm để đẩy kết quả lên hàng đầu, từ đó tiếp cận người dùng tìm kiếm các cụm từ liên quan đến các phần mềm vi phạm bản quyền.
Sau khi lây nhiễm thành công, mã độc giả mạo như một trình cài đặt phần mềm trước khi nhận các mã thực thi từ máy chủ điều khiển từ xa. Đồng thời, mã độc cũng thêm các tính năng loại trừ (exclusions) cục bộ (local) cho phép qua mắt quá trình quét virus của Windows Defender.
Các loại trừ (exclusions) Windows Defender có thể được tìm thấy tại:
"prun.exe" cũng đáng chú ý với hàng loạt các kỹ thuật làm xáo trộn và chống đảo ngược bằng cách tách các đoạn mã bằng các byte điền ngẫu nhiên, với quy trình thực thi được thiết kế để "bỏ qua các phần này và chỉ thực thi các đoạn nhỏ, có ý nghĩa."
Với hàng loạt chức năng như vậy, MosaicLoader có thể biến các hệ thống bị xâm nhập thành mạng botnet, tạo điều kiện cho kẻ xấu phát tán nhiều phần mềm độc hại phức tạp, bao gồm cả phần mềm độc hại có sẵn và phần mềm độc hại tùy chỉnh. Mục đích là để giành được, mở rộng và duy trì trái phép truy cập vào máy tính và mạng của nạn nhân.
Các nhà nghiên cứu cho biết: “Cách tốt nhất để chống lại MosaicLoader là tránh tải các phần mềm bẻ khóa từ bất kỳ nguồn nào và kiểm tra tên miền chứa các tệp trước khi tải xuống".
Các nhà nghiên cứu Bitdefender cho biết những kẻ tấn công đằng sau MosaicLoader đã tạo ra một phần mềm độc hại có thể cung cấp bất kỳ đoạn mã thực thi trên hệ thống, để kiếm chác lợi nhuận. MosaicLoader xâm nhập hệ thống mục tiêu bằng cách đóng giả là những phần mềm cài đặt bị bẻ khóa, sau đó tải xuống một phần mềm độc hại có nhiệm vụ lấy danh sách URL từ máy chủ C2 và tải về các mã độc từ các liên kết nhận được.
Phần mềm độc hại được đặt tên như vậy vì cấu trúc bên trong khá phức tạp, được sắp xếp để ngăn chặn kỹ thuật đảo ngược (reverse engineering) và trốn tránh các sự phát hiện, phân tích.
Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật hiệu quả để phân phối phần mềm độc hại là SEO poisoning. Khi đó, tội phạm mạng mua các vị trí quảng cáo trong kết quả tìm kiếm để đẩy kết quả lên hàng đầu, từ đó tiếp cận người dùng tìm kiếm các cụm từ liên quan đến các phần mềm vi phạm bản quyền.
Sau khi lây nhiễm thành công, mã độc giả mạo như một trình cài đặt phần mềm trước khi nhận các mã thực thi từ máy chủ điều khiển từ xa. Đồng thời, mã độc cũng thêm các tính năng loại trừ (exclusions) cục bộ (local) cho phép qua mắt quá trình quét virus của Windows Defender.
Các loại trừ (exclusions) Windows Defender có thể được tìm thấy tại:
- File and folder exclusions - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- File type exclusions - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
- Process exclusions - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
"prun.exe" cũng đáng chú ý với hàng loạt các kỹ thuật làm xáo trộn và chống đảo ngược bằng cách tách các đoạn mã bằng các byte điền ngẫu nhiên, với quy trình thực thi được thiết kế để "bỏ qua các phần này và chỉ thực thi các đoạn nhỏ, có ý nghĩa."
Với hàng loạt chức năng như vậy, MosaicLoader có thể biến các hệ thống bị xâm nhập thành mạng botnet, tạo điều kiện cho kẻ xấu phát tán nhiều phần mềm độc hại phức tạp, bao gồm cả phần mềm độc hại có sẵn và phần mềm độc hại tùy chỉnh. Mục đích là để giành được, mở rộng và duy trì trái phép truy cập vào máy tính và mạng của nạn nhân.
Các nhà nghiên cứu cho biết: “Cách tốt nhất để chống lại MosaicLoader là tránh tải các phần mềm bẻ khóa từ bất kỳ nguồn nào và kiểm tra tên miền chứa các tệp trước khi tải xuống".
Chỉnh sửa lần cuối bởi người điều hành: