Trick của malware để Bypass UAC
Chào các bạn! Hôm nay, mình xin giới thiệu về một trick khá hay của malware. Đó là Bypass UAC, cái tên nói nên tất cả ý nghĩa rồi ạ.
Bypass UAC: Là một trick được malware sử dụng để từ một chương trình quyền bình thường có thể tự động nâng quyền lên admin. Một khi malware đã có được quyền admin thì quyền hạn vô cùng to lớn
Sau đây là các bước chi tiết thực hiện trick này.
1. Tìm kiếm một file EXE trong system32 có quyền admin.
2. Tìm kiếm một file DLL trong bảng import của file EXE
. Chắc hẳn các bạn có một số thắc mắc như:
Tại sao lại cần inject code vào explorer.exe?
Câu trả lời là:
- Inject code vào explorer.exe để có thể tạo file, folder trong system32. Các chương trình bình thường không có quyền thêm, sửa, xóa file trong thư mục system32
- Các bạn hãy nghĩ là explorer.exe như là người nhà của windows vậy. Tuy explorer.exe chỉ có quyền thường nhưng vì là người nhà sẽ có một số ưu tiên nhất định. Ưn tiên đó là thêm, sửa, xóa file trong system32…
Một điều lưu ý của trick Bypass uac: Chỉ áp dụng được khi quyền UAC của máy không ở mức cao nhất. Nếu ở mức cao nhất thì thông báo UAC yes, no, của windows sẽ được bật lên.
Trong phạm vi bài viết này, mình chỉ giới thiệu các bước bypass uac, lần tới mình sẽ phân tích một mẫu malware cụ thể có sử dụng trick này để các bạn hiểu rõ hơn.
Xin cảm ơn các bạn đã đọc bài viết của mình!
Bypass UAC: Là một trick được malware sử dụng để từ một chương trình quyền bình thường có thể tự động nâng quyền lên admin. Một khi malware đã có được quyền admin thì quyền hạn vô cùng to lớn
Sau đây là các bước chi tiết thực hiện trick này.
1. Tìm kiếm một file EXE trong system32 có quyền admin.
- Điều kiện file có quyền admin trong là trong manifest (trong resource) phải có hai tham số:
2. Tìm kiếm một file DLL trong bảng import của file EXE
- Điều kiện để tìm DLL để tấn công là DLL đó không phải là dll cung cấp api (api-ms-win) và không nằm trong KnownDlls
- Chức năng chính của đoạn code độc hại là WinExec chính malware
- Tạo một folder mới với tên random trong system32 và copy EXE, DLL vừa chèn code độc hại
- WinExecEXE để DLL được chạy
. Chắc hẳn các bạn có một số thắc mắc như:Tại sao lại cần inject code vào explorer.exe?
Câu trả lời là:
- Inject code vào explorer.exe để có thể tạo file, folder trong system32. Các chương trình bình thường không có quyền thêm, sửa, xóa file trong thư mục system32
- Các bạn hãy nghĩ là explorer.exe như là người nhà của windows vậy. Tuy explorer.exe chỉ có quyền thường nhưng vì là người nhà sẽ có một số ưu tiên nhất định
. Ưn tiên đó là thêm, sửa, xóa file trong system32…Một điều lưu ý của trick Bypass uac: Chỉ áp dụng được khi quyền UAC của máy không ở mức cao nhất. Nếu ở mức cao nhất thì thông báo UAC yes, no, của windows sẽ được bật lên.
Trong phạm vi bài viết này, mình chỉ giới thiệu các bước bypass uac, lần tới mình sẽ phân tích một mẫu malware cụ thể có sử dụng trick này để các bạn hiểu rõ hơn.
Xin cảm ơn các bạn đã đọc bài viết của mình!
Chỉnh sửa lần cuối bởi người điều hành: