Mã độc đầu tiên sử dụng Process Doppelgänging để tránh bị phát hiện

mã độc

Mới đây, các nhà nghiên cứu bảo mật đã phát hiện ra mã độc đầu tiên sử dụng Process Doppelgänging-một kỹ thuật chèn mã mới, để giúp phần mềm độc hại tránh bị phát hiện.

Cuộc tấn công Process Doppelgänging tận dụng chức năng Windows tích hợp… NTFS Transaction và triển khai lỗi thời của quá trình Windows tải xuống để hoạt động trên tất cả các phiên bản hiện đại của Microsoft Windows OS, bao gồm Windows 10. Nó hoạt động bằng cách sử dụng các NTFS Transaction để khởi chạy một quá trình độc hại thông qua việc thay thế bộ nhớ của một quy trình hợp pháp, lừa các công cụ giám sát quá trình và công cụ chống vi-rút tin rằng quá trình hợp pháp đang chạy.

mã độc

Ban đầu được phát hiện vào tháng 9 năm 2017, mã độc SynAck sử dụng các kỹ thuật phức tạp để ngăn chặn kỹ thuật đảo ngược, nhưng các nhà nghiên cứu đã giải nén nó và chia sẻ phân tích của họ trong một bài đăng trên blog. Một điều thú vị về SynAck là mã độc này không lây nhiễm cho người từ các quốc gia cụ thể, bao gồm Nga, Belarus, Ukraine, Georgia, Tajikistan, Kazakhstan và Uzbekistan.

HƯỚNG DẪN: Cách kiểm tra, ngăn chặn lỗ hổng VPN

Để xác định quốc gia của một người dùng cụ thể, phần mềm trả tiền SynAck khớp với bố cục bàn phím được cài đặt trên máy tính của người dùng dựa vào danh sách mã hóa được lưu trữ trong phần mềm độc hại. Nếu tìm thấy một kết quả phù hợp, phần mềm mã độc sẽ mất 30 giây và sau đó gọi ExitProcess để ngăn việc mã hóa các tệp.

Mã độc SynAck cũng ngăn phân tích sandbox tự động bằng cách kiểm tra thư mục từ nơi nó thực hiện. Nếu nó tìm thấy một nỗ lực để khởi chạy các tập tin thực thi độc hại từ một thư mục ‘không chính xác’, SynAck sẽ không tiến hành thêm và thay vào đó sẽ tự kết thúc.

Sau khi bị nhiễm, giống như bất kỳ phần mềm mã độc khác, SynAck mã hóa nội dung của mỗi tệp bị nhiễm bằng thuật toán AES-256-ECB và cung cấp cho nạn nhân một khóa giải mã cho đến khi họ liên lạc với những kẻ tấn công và đáp ứng nhu cầu của họ.

mã độc 2

SynAck cũng có khả năng hiển thị một ghi chú mã độc cho màn hình đăng nhập Windows bằng cách sửa đổi các khóa LegalNoticeCaption và LegalNoticeText trong registry. Các mã độc thậm chí xóa các bản ghi sự kiện được lưu trữ bởi hệ thống để tránh phân tích forensic của máy bị nhiễm

Mặc dù các nhà nghiên cứu không nói cách SynAck xâm nhập vào máy tính nạn nhân, nhưng phần lớn các phần mềm gián điệp lây lan qua các email lừa đảo, quảng cáo độc hại trên trang web cũng như các ứng dụng và chương trình của bên thứ ba

Để thiết bị luôn luôn được bảo mật bạn phải luôn thận trọng khi mở    các tài liệu được gửi qua email và nhấp vào các liên kết bên trong các tài liệu đó nếu chưa xác minh nguồn của chúng để có thể bảo vệ bản thân khỏi sự lây nhiễm mã độc. Thường xuyên cập nhật các phiên bản mà nhà cung cấp phát hành cho các phần mềm bảo mật, diệt virus. Ngoài ra, để chủ động bảo vệ dữ liệu, bạn cần có một bản sao chép tất cả các tệp quan trọng sang thiết bị lưu trữ ngoài mà không phải lúc nào cũng được kết nối với máy tính của bạn.

ĐỌC NHIỀU NHẤT: 6 Bước bảo mật mạng không dây đơn giản tại nhà

Quý khách hàng cần tư vấn hỗ trợ về dịch vụ, giải pháp hoặc sản phẩm vui lòng liên hệ:

Website: https://securitybox.vn

Hotline:(+84) 909.808.866 (Mr. Kiên)

Email: info@securitybox.vn

Địa chỉ: Tầng 9, 459 Đội Cấn, quận Ba Đình, thành phố Hà Nội.

Add Comment

Required fields are marked *. Your email address will not be published.