WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc có thể vượt qua tính năng chặn ransomware trong các giải pháp diệt virus
Một số điểm yếu bảo mật trong các ứng dụng diệt virus phổ biến có thể bị lợi dụng vượt qua các biện pháp chặn ransomware.
Theo các học giả từ Đại học Luxembourg và Đại học London, ransomware có thể phá vỡ tính năng Bảo vệ Thư mục (protected folders) do các chương trình diệt virus cung cấp để mã hóa tệp (hay còn gọi là "Cut-and-Mouse") và vô hiệu hóa tính năng bảo vệ thời gian thực bằng cách mô phỏng các sự kiện "click" chuột (hay còn gọi là "Ghost Control").
Nói cách khác, ransomware có thể lợi dụng lỗi thiết kế trong tính năng Bảo vệ Thư mục để thay đổi nội dung của tệp và mã hóa dữ liệu người dùng hoặc phá hủy hoàn toàn các tệp.
Giải pháp Bảo vệ Thư mục cho phép người dùng xác định các thư mục có lớp bảo vệ bổ sung, do đó chặn mọi truy cập không an toàn.
Theo các nhà nghiên cứu, một nhóm nhỏ ứng dụng trong danh sách trắng được cấp đặc quyền ghi vào thư mục được bảo vệ. Tuy nhiên, bản thân các ứng dụng này lại không được bảo vệ khỏi việc bị lạm dụng. Do đó, mã độc có thể thao tác trên thư mục được bảo vệ bằng cách sử dụng các ứng dụng trong danh sách trắng làm trung gian.
Ví dụ, mã độc có thể được sử dụng để điều khiển một ứng dụng đáng tin cậy như Notepad thực hiện các thao tác ghi và mã hóa tệp được lưu trữ trong các thư mục được bảo vệ. Ransomware sẽ đọc các tệp trong thư mục, mã hóa chúng trong bộ nhớ và sao chép chúng vào khay nhớ tạm của hệ thống, sau đó khởi chạy Notepad để ghi đè nội dung thư mục bằng dữ liệu khay nhớ tạm.
Tệ hơn nữa, bằng cách lợi dụng Paint như một ứng dụng đáng tin cậy, chuỗi tấn công nói trên có thể được sử dụng để ghi đè lên tệp của người dùng bằng một hình ảnh được tạo ngẫu nhiên nhằm phá hủy chúng vĩnh viễn.
Mặt khác, tấn công Ghost Control có thể gây hậu quả nghiêm trọng, vì việc tắt tính năng bảo vệ thời gian thực có thể cho phép thả và thực thi bất kỳ chương trình giả mạo từ một máy chủ từ xa dưới sự kiểm soát của kẻ tấn công.
Trong số 29 giải pháp diệt virus được đánh giá trong quá trình nghiên cứu, 14 giải pháp dễ bị tấn công bởi Ghost Control, trong khi tất cả 29 giải pháp đều có nguy cơ bị tấn công Cut-and-Mouse. Nghiên cứu không nêu tên các nhà cung cấp bị ảnh hưởng.
Theo các học giả từ Đại học Luxembourg và Đại học London, ransomware có thể phá vỡ tính năng Bảo vệ Thư mục (protected folders) do các chương trình diệt virus cung cấp để mã hóa tệp (hay còn gọi là "Cut-and-Mouse") và vô hiệu hóa tính năng bảo vệ thời gian thực bằng cách mô phỏng các sự kiện "click" chuột (hay còn gọi là "Ghost Control").
Giải pháp Bảo vệ Thư mục cho phép người dùng xác định các thư mục có lớp bảo vệ bổ sung, do đó chặn mọi truy cập không an toàn.
Theo các nhà nghiên cứu, một nhóm nhỏ ứng dụng trong danh sách trắng được cấp đặc quyền ghi vào thư mục được bảo vệ. Tuy nhiên, bản thân các ứng dụng này lại không được bảo vệ khỏi việc bị lạm dụng. Do đó, mã độc có thể thao tác trên thư mục được bảo vệ bằng cách sử dụng các ứng dụng trong danh sách trắng làm trung gian.
Ví dụ, mã độc có thể được sử dụng để điều khiển một ứng dụng đáng tin cậy như Notepad thực hiện các thao tác ghi và mã hóa tệp được lưu trữ trong các thư mục được bảo vệ. Ransomware sẽ đọc các tệp trong thư mục, mã hóa chúng trong bộ nhớ và sao chép chúng vào khay nhớ tạm của hệ thống, sau đó khởi chạy Notepad để ghi đè nội dung thư mục bằng dữ liệu khay nhớ tạm.
Tệ hơn nữa, bằng cách lợi dụng Paint như một ứng dụng đáng tin cậy, chuỗi tấn công nói trên có thể được sử dụng để ghi đè lên tệp của người dùng bằng một hình ảnh được tạo ngẫu nhiên nhằm phá hủy chúng vĩnh viễn.
Mặt khác, tấn công Ghost Control có thể gây hậu quả nghiêm trọng, vì việc tắt tính năng bảo vệ thời gian thực có thể cho phép thả và thực thi bất kỳ chương trình giả mạo từ một máy chủ từ xa dưới sự kiểm soát của kẻ tấn công.
Trong số 29 giải pháp diệt virus được đánh giá trong quá trình nghiên cứu, 14 giải pháp dễ bị tấn công bởi Ghost Control, trong khi tất cả 29 giải pháp đều có nguy cơ bị tấn công Cut-and-Mouse. Nghiên cứu không nêu tên các nhà cung cấp bị ảnh hưởng.
Nguồn: The Hacker News