-
09/04/2020
-
116
-
1.175 bài viết
Khi phần mềm diệt virus bị tiêm mã độc: “Lá chắn” hóa thành cửa ngõ tấn công
Nhà nghiên cứu an ninh mạng có tên Two Seven One Three vừa công bố một kỹ thuật mới giúp kẻ xấu tiêm mã độc trực tiếp vào tiến trình phần mềm diệt virus, biến chính những tiến trình được bảo vệ thành cánh cửa hậu (backdoor).
Phần mềm antivirus (AV) được thiết kế để “bất khả xâm phạm” vì nó chạy với quyền hệ thống (SYSTEM) và có cơ chế tự bảo vệ. Kẻ tấn công giờ đây tìm cách lợi dụng chính đặc tính này để tấn công hệ thống. Nếu chèn được mã vào tiến trình AV, mã độc sẽ có đặc quyền cao, khó bị phát hiện và có thể thao túng hệ thống. Kỹ thuật mới vừa được mô tả đã cho thấy điều đó hoàn toàn khả thi và đáng lo ngại.
Vấn đề không phải phần mềm AV “yếu” về phát hiện mã độc, mà là việc AV ưu tiên ổn định hoạt động (operational reliability). Nhiều thành phần phụ trợ của AV (giao diện, VPN, firewall) vẫn được phép ghi vào thư mục cài đặt và chạy với quyền cao. Kẻ tấn công lợi dụng các “thành phần phụ” này bằng cách:
Kẻ xấu tạo một dịch vụ “giả” giống hệt, thay provider mã hoá trong Windows để trỏ tới DLL độc hại đã được ký “giống thật”, khởi động dịch vụ, DLL đó được nạp vào tiến trình AV bảo vệ, DLL thực thi hành động (Ví dụ: Ghi file, mở cổng, khởi chạy shell). Sau khi thành công, kẻ tấn công có thể khôi phục registry để giảm khả năng phát hiện.
Nếu thành công, kẻ xấu sẽ có đặc quyền cao trên máy nạn nhân, tắt hoặc bỏ qua biện pháp phòng thủ, chèn backdoor rất khó phát hiện. Phạm vi rộng vì phương pháp tận dụng các tính năng hệ điều hành chuẩn (service, registry, provider), không cần khai thác kernel-level hay lỗ hổng zero-day đặc thù. Bất kỳ hệ thống nào chạy AV mà cho phép chỉnh sửa registry hoặc import certificate dễ dàng đều có nguy cơ.
Một điểm quan trọng ở đây là kỹ thuật lạm dụng (abuse), tức là công cụ quản trị và cách hệ điều hành cho phép tin cậy module/driver tạo ra bề mặt tấn công. Ngoài ra, mã nguồn mở phục vụ kiểm thử (IAmAntimalware) giúp cộng đồng hiểu rủi ro, nhưng cũng có thể bị lạm dụng, nên việc công bố cần kèm biện pháp khuyến nghị rõ ràng.
Các chuyên gia khuyến cáo:
Phần mềm antivirus (AV) được thiết kế để “bất khả xâm phạm” vì nó chạy với quyền hệ thống (SYSTEM) và có cơ chế tự bảo vệ. Kẻ tấn công giờ đây tìm cách lợi dụng chính đặc tính này để tấn công hệ thống. Nếu chèn được mã vào tiến trình AV, mã độc sẽ có đặc quyền cao, khó bị phát hiện và có thể thao túng hệ thống. Kỹ thuật mới vừa được mô tả đã cho thấy điều đó hoàn toàn khả thi và đáng lo ngại.
Vấn đề không phải phần mềm AV “yếu” về phát hiện mã độc, mà là việc AV ưu tiên ổn định hoạt động (operational reliability). Nhiều thành phần phụ trợ của AV (giao diện, VPN, firewall) vẫn được phép ghi vào thư mục cài đặt và chạy với quyền cao. Kẻ tấn công lợi dụng các “thành phần phụ” này bằng cách:
- Nhân bản dịch vụ (service cloning): export/import registry key để tạo bản sao dịch vụ AV. Sau khởi động lại, bản sao này được nạp vào Services.exe và trở thành tiến trình được bảo vệ.
- Chiếm provider mã hoá: thay registry key của Cryptography Provider trỏ tới một DLL độc hại; khi dịch vụ khởi động, nó tải DLL này như một provider hợp lệ.
- Nhái chữ ký số: Dùng công cụ như CertClone để sao chép chứng chỉ, ký DLL độc hại nhằm qua mặt kiểm tra chữ ký.
Kẻ xấu tạo một dịch vụ “giả” giống hệt, thay provider mã hoá trong Windows để trỏ tới DLL độc hại đã được ký “giống thật”, khởi động dịch vụ, DLL đó được nạp vào tiến trình AV bảo vệ, DLL thực thi hành động (Ví dụ: Ghi file, mở cổng, khởi chạy shell). Sau khi thành công, kẻ tấn công có thể khôi phục registry để giảm khả năng phát hiện.
Nếu thành công, kẻ xấu sẽ có đặc quyền cao trên máy nạn nhân, tắt hoặc bỏ qua biện pháp phòng thủ, chèn backdoor rất khó phát hiện. Phạm vi rộng vì phương pháp tận dụng các tính năng hệ điều hành chuẩn (service, registry, provider), không cần khai thác kernel-level hay lỗ hổng zero-day đặc thù. Bất kỳ hệ thống nào chạy AV mà cho phép chỉnh sửa registry hoặc import certificate dễ dàng đều có nguy cơ.
Một điểm quan trọng ở đây là kỹ thuật lạm dụng (abuse), tức là công cụ quản trị và cách hệ điều hành cho phép tin cậy module/driver tạo ra bề mặt tấn công. Ngoài ra, mã nguồn mở phục vụ kiểm thử (IAmAntimalware) giúp cộng đồng hiểu rủi ro, nhưng cũng có thể bị lạm dụng, nên việc công bố cần kèm biện pháp khuyến nghị rõ ràng.
Các chuyên gia khuyến cáo:
- Các nhà cung cấp AV cần tăng cường kiểm soát module load: Giám sát đường dẫn DLL, chặn load từ thư mục lạ và thắt chặt kiểm tra chữ ký.
- Hệ thống cần hạn chế khả năng import chứng chỉ tùy tiện; quản trị viên hãy kiểm soát chặt quyền ghi registry và việc thêm provider.
- Triển khai PPL (Protected Process Light) cho các tiến trình quan trọng và bật cơ chế kiểm tra tích hợp (integrity checks).
- Doanh nghiệp nên giám sát thay đổi dịch vụ, chứng chỉ hệ thống và hành vi ghi vào thư mục cài đặt AV; cảnh báo kịp thời nếu có hành vi bất thường.
- Đối với người dùng cuối: Giữ hệ thống và phần mềm AV luôn cập nhật, cẩn trọng khi cấp quyền admin cho phần mềm lạ.
WhiteHat