Kỹ thuật Process Ghosting sẽ khiến Anti-Virus trở thành bù nhìn

#1. Sơ lược về Process Ghosting

Các nhà nghiên cứu bảo mật đã phát hiện ra một phương pháp thực thi mã độc mới với tên gọi “Process Ghosting”.

Kỹ thuật này lợi dụng việc tráo đổi Executable Image giữa một chương trình bình thường với chương trình chứa mã độc, từ đó mã độc được thực thi dưới danh nghĩa của ứng dụng đã được trust (tin cậy) bởi hệ điều hành, cũng như các phần mềm bảo mật.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (1)

Chúng ta có thể hiểu Process Ghosting thông qua 2 phát biểu của chuyên gia Gabriel Landau của hãng Elastic như sau, nguyên văn:

“With this technique, an attacker can write a piece of malware to disk in such a way that it’s difficult to scan or delete it — and where it then executes the deleted malware as though it were a regular file on disk.”

“This technique does not involve code injection, Process Hollowing, or Transactional NTFS (TxF).”

Mình xin dịch đại ý đó là:

Hacker có thể lưu malware vào máy của nạn nhân như 1 file bình thường, rồi chạy nó bình thường, nhưng lạ đời là các chương trình diệt virus không thể scan, không thể phát hiện hay xóa nó được.

Những malware sừng sỏ với các kỹ thuật cao cấp như code injection, Process Hollowing, TxF cũng phải ngả mũ chào thua kỹ thuật mới này, rất kinh dị thưa các bạn !

#2. Process Ghosting và những tiền bối

Trước đó thì chúng ta có các hậu duệ của nó như là Process Herpaderping (với kỹ thuật code injection) và Process Doppelgänging (với fileless malware), nay có thể nói Process Ghosting là sự tổng hợp/nâng cấp cho các kỹ thuật trước đó, khiến cho các giải pháp bảo mật bất lực thực sự.

Ngoài ra còn có kỹ thuật Process Doppelgänging, tương tự như Process Hollowing sử dụng kỹ thuật chèn mã độc vào address space của 1 ứng dụng bình thường đang chạy.

Còn Process Herpaderping (được các nhà bảo mật công bố chi tiết vào tháng 10/2020) là một phương pháp “ẩn thân”, chương trình đã được “mapped in memory” là mã độc, nhưng bản thân nó trên ổ cứng lại là file bình thường, rất tinh vi thưa các bạn !

https://www.elastic.co/blog/process-ghosting-a-new-executable-image-tampering-attack

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (2)

Các bạn có thể tìm hiểu kỹ thuật Process Herpaderping ở các bài nghiên cứu nước ngoài, mình xin nói ngắn gọn về nó trước như sau:

Phương pháp này lợi dụng lỗ hổng trong lúc một process (tiến trình) được tạo ra và trước khi các chương trình bảo mật được hệ điều hành báo về việc này, trong khoảng thời gian chờ đó, hacker nhanh trí sửa file thực thi trên đĩa thành một file bình thường.

Đến khi các chương trình bảo mật thực hiện quét, chúng chỉ thấy các file vô hại mà thôi.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (3)

Với tổng hợp những kỹ thuật họ Process… trên (Doppelgänging, Herpaderping,…) thì Process Ghosting còn được nâng lên 1 tầm cao mới, đó là khả năng thực thi mã độc ngay khi file trên ổ cứng đã bị xóa.

(Về góc độ kỹ thuật thì Windows đã tiếp tay cho kỹ thuật này khi Windows đảm bảo file thực thi (mapped executable) chỉ bị sửa/xóa hoàn toàn sau khi mã nhị phân (binary) đã được map vào 1 image section (binary is mapped into an image section).

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (4)

Cơ chế hoạt động được chuyên gia bảo mật nổi tiếng Landau của Elastic giải thích ngắn gọn như sau:

Hacker viết chương trình tạo 1 file, đánh dấu nó là pending-delete, rồi map nó vào một image section => sau đó xóa file handle để file bị hệ điều hành xóa hoàn toàn => cuối cùng là tạo 1 process từ mapped image section thay vì từ file trên ổ cứng như truyền thống.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (5)

#3. Lời kết

Hãng bảo mật Elastic Security đã thông báo cho Microsoft thông qua Microsoft Security Response Center (MSRC) và Microsoft cũng đã có những động thái nhất định thay vì phụ thuộc vào các chương trình diệt virus.

Cụ thể thì Microsoft đã cập nhật hệ điều hành Windows để ngăn ngừa phương pháp tấn công này, đồng thời cho ra mắt Sysmon 13 trong bộ Sysinternals Suite cho phép phát hiện Process Herpaderping, Process Hollowing cùng các biến thể.

Sysmon 13 tự động ghi log vào Windows với Event ID 25 khi nó phát hiện mã độc “tráo đổi” process image của một chương trình bình thường với process image đáng ngờ.

Hoặc là khi mapped image của một tiến trình không khớp với file trên ổ cứng của nó, hoặc là file trên đĩa bị khóa/hạn chế truy cập (những dấu hiệu của kỹ thuật họ Process… đang được sử dụng).

Cá nhân người dùng chúng ta thì nên thường xuyên cập nhật Windows, hãy cài các chương trình bảo mật uy tín và có bản quyền đầy đủ như Kaspersky, ESET Smart Security, BKAV,… tránh trường hợp dùng AV xịn nhưng signature bị outdated.

CTV: Dương Minh Thắng – Blogchiasekienthuc.com

Bài viết đạt: 5/5 sao - (Có 1 lượt đánh giá)
Note: Bài viết này hữu ích với bạn chứ? Đừng quên đánh giá bài viết, like và chia sẻ cho bạn bè và người thân của bạn nhé !

Administrator: Kiên Nguyễn

Có một câu nói của người Nhật mà mình rất thích đó là " Người khác làm được thì mình cũng làm được ". Chính vì thế mà hãy theo đuổi đam mê, thành công sẽ theo đuổi bạn ! Nếu như bạn đang gặp khó khăn và cần sự trợ giúp thì hãy comment phía bên dưới mỗi bài viết để nhận được sự hỗ trợ từ cộng đồng Blog Chia Sẻ Kiến Thức nhé.

Một vài lưu ý trước khi comment :

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *
Tất cả các comment của các bạn sẽ được giải đáp trong vòng 48h !
Không được sử dụng từ khóa trong ô 'Name', bạn hãy dùng tên thật hoặc Nickname của bạn !
Không dẫn link sang trang web/blog khác. Xem quy định comment tại đây. Thank All!

Leave a Reply

Your email address will not be published. Required fields are marked *