Process Doppelgänging: Kỹ thuật lẩn tránh mới giúp malware hoạt động trên tất cả phiên bản Windows

WhiteHat News #ID:2017

WhiteHat News #ID:2017

VIP Members
20/03/2017
113
356 bài viết
Process Doppelgänging: Kỹ thuật lẩn tránh mới giúp malware hoạt động trên tất cả phiên bản Windows
WhiteHat News #ID:2017
Process Doppelgänging 1.png

Các nhà nghiên cứu an ninh mạng đã phát hiện một kỹ thuật lẩn tránh mới có thể giúp malware vượt qua hầu hết các giải pháp diệt virus và các công cụ forensic (điều tra, phân tích số).

Process Doppelgänging là kỹ thuật chèn mã mới lợi dụng tính năng tích hợp của Windows và thực thi tiến trình của Windows process loader.

Các chuyên gia của Ensilo, nhóm phát hiện Process Doppelgänging, đã trình bày kết quả nghiên cứu của nhóm tại Black Hat 2017 tại London.

Process Doppelgänging hoạt động trên tất cả các phiên bản Windows

Rõ ràng, kỹ thuật tấn công Process Doppelgänging hoạt động trên tất cả các phiên bản của hệ điều hành Microsoft Windows, từ Windows Vista đến phiên bản mới nhất của Windows 10.

Theo người đứng đầu nhóm nghiên cứu enSilo, kỹ thuật này tương tự Process Hollowing - một phương pháp từng vượt qua các sản phẩm an ninh cách đây mấy năm.

Với kỹ thuật Process Hollowing, các hacker sẽ thay thế bộ nhớ của một tiến trình hợp pháp bằng mã độc, code mã độc sẽ chạy trong chương trình hợp pháp. Phương pháp này sẽ đánh lừa các công cụ giám sát và chương trình diệt virus tin rằng chương trình hợp pháp đang chạy.

Vì tất cả phần mềm diệt virus và sản phẩm bảo mật mới đã được nâng cấp để phát hiện Process Hollowing, việc sử dụng kỹ thuật này không còn là một ý tưởng tuyệt vời nữa.

Tuy nhiên, Process Doppelgänging có cách tiếp cận hoàn toàn khác thông qua việc lợi dụng Windows NTFS Transactions và thực thi tiến trình của Windows process loader đã cũ, ban đầu được thiết kế cho Windows XP, nhưng vẫn được dùng trên tất cả các phiên bản Windows mới hơn.

Cách thức hoạt động của Process Doppelgänging

Trước khi tìm hiểu thêm về cách tấn công dùng kỹ thuật chèn code mới này, bạn cần phải biết về Windows NTFS Transaction và phương thức mà một hacker có thể khai thác nó để che giấu các hành vi chứa mã độc của mình.

NTFS Transaction là một tính năng của Windows cho phép tạo mới, chỉnh sửa, đổi tên và xóa các tập tin và thư mục.

NTFS Transaction là một không gian riêng biệt cho phép các nhà phát triển ứng dụng Windows viết các file-output routine để đảm bảo việc viết file đó chắc chắn thành công hoặc thất bại.

Theo nghiên cứu, Process Doppelgänging là kỹ thuật tấn công không cần file và hoạt động theo bốn bước chính như sau:

1. Transact – tiến trình thực thi hợp pháp vào NTFS transaction và sau đó ghi đè bằng file chứa mã độc.

2. Tải – tạo bộ nhớ từ file được sửa đổi (độc hại).

3. Rollback – rollback tiến trình (cố tình khiến tiến trình thất bại), dẫn đến việc loại bỏ tất cả những thay đổi trong các tiến trình hợp pháp khiến các thay đổi đó chưa bao giờ tồn tại.

4. Animate – Sử dụng cài đặt cũ của Windows process loader để tạo ra một tiến trình với bộ nhớ được tạo ra trước đó (trong bước 2), thực sự độc hại và không bao giờ lưu vào đĩa”, giúp nó trở nên vô hình đối với hầu hết các công cụ recording như các EDR".

Process Doppelgänging có thể lẩn tránh hầu hết các phần mềm diệt virus
Process Doppelgänging 2.png

Chuyên gia Liberman từ nhóm nghiên cứu enSilo cho biết trong quá trình nghiên cứu, họ đã thử nghiệm tấn công trên các sản phẩm an ninh như Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda và thậm chí cả các công cụ điều tra số tiên tiến.

Để chứng minh, các nhà nghiên cứu đã sử dụng Mimikatz, một công cụ sau khai thác (post-exploitation) hỗ trợ thu thập thông tin từ các hệ thống bị ảnh hưởng bằng Process Doppelgänging để lẩn tránh việc phát hiện của các sản phẩm diệt virus.

Khi các nhà nghiên cứu chạy Mimikatz trên một hệ điều hành Windows, phần mềm diệt virus của Symantec đã phát hiện được công cụ này ngay lập tức, như hình dưới đây:

Process Doppelgänging 3.png

Tuy nhiên, Mimikatz lại không bị bất kỳ cảnh báo nào khi được thực thi cùng Process Doppelgänging, như hình mô tả đầu tiên.

Chuyên gia Liberman cũng cho biết Process Doppelgänging hoạt động trên cả phiên bản mới nhất của Windows 10, trừ Windows Update Redstone và Fall Creators Update, được phát hành đầu năm nay.

Nhưng do một lỗi khác trong Windows 10 Redstone và Fall Creators Update, Process Doppelgänging gây ra lỗi BSOD (màn hình xanh chết chóc), làm treo máy tính của người dùng.

Lỗi làm treo máy tính này đã được vá bởi Microsoft trong các bản cập nhật sau đó nhưng điều này lại cho phép Process Doppelgänging hoạt động trên các phiên bản mới nhất của Windows 10.

Các hãng phần mềm diệt virus có thể nâng cấp sản phẩm để phát hiện các chương trình độc hại dùng Process Doppelgänging hoặc các cuộc tấn công tương tự.

Theo Hackernews
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Giải mã lỗ hổng CVE-2023-39296: Phân tích kỹ thuật và PoC
  • Kỹ thuật tấn công SMTP mới cho phép tin tặc qua mặt biện pháp an ninh và giả mạo email
  • Kỹ thuật tấn công Mayhem mới ảnh hưởng đến chương trình SUDO
  • Lỗ hổng nghiêm trọng trong Apache Tomcat sử dụng kỹ thuật Request Smuggling
  • Lỗ hổng zero-day cực kỳ nghiêm trọng trong Cisco IOS XE chưa có bản vá
  • Cảnh báo phát hiện mã độc Satana từ nguồn download công cụ Process Hacker v2.39
    • Thẻ
    process doppelgänging
    Bên trên