Mã độc mới giấu mình trong tiến trình Windows hòng chiếm quyền kiểm soát máy tính

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
99
815 bài viết
Mã độc mới giấu mình trong tiến trình Windows hòng chiếm quyền kiểm soát máy tính
WhiteHat Team
Các chuyên gia bảo mật mới đây đã phát hiện một cuộc tấn công mạng bất thường, trong đó mã độc được triển khai tinh vi nhằm tránh bị phát hiện. Mã độc đã âm thầm hoạt động suốt nhiều tuần trong một hệ thống bị xâm nhập, ẩn mình bên trong tiến trình dllhost.exe - một tiến trình hợp pháp của Windows.

1748596494082.png

Điểm đáng chú ý là mã độc này sử dụng file thực thi Windows (PE file) bị làm hỏng phần tiêu đề DOS và PE - hai thành phần then chốt giúp hệ điều hành nhận diện và chạy file. Việc phá hỏng có chủ đích này giúp mã độc vượt qua các công cụ phân tích và phần mềm diệt virus truyền thống.

Cách thức hoạt động và mức độ nguy hiểm
  • Cách thức xâm nhập: Hacker đã khai thác lỗ hổng từ hệ thống truy cập từ xa (remote access) để đưa mã độc vào máy nạn nhân bằng cách sử dụng PowerShell script thông qua công cụ PsExec (dù script không được thu thập lại).
  • Ẩn mình và liên lạc với máy chủ điều khiển (C2): Sau khi kích hoạt, mã độc tự giải mã thông tin máy chủ điều khiển (C2 domain) và kết nối đến tên miền rushpapers[.]com qua giao thức bảo mật TLS – tương tự HTTPS – giúp che giấu luồng dữ liệu.
  • Khả năng nguy hiểm: Mã độc là một loại Remote Access Trojan (RAT) – cho phép kẻ tấn công:
    • Chụp màn hình
    • Điều khiển dịch vụ hệ thống
    • Chờ nhận kết nối từ xa để tiếp tục điều khiển máy bị nhiễm
    • Giao tiếp nhiều luồng, cho phép nhiều hacker cùng điều khiển cùng lúc
Dù chưa có ghi nhận hacker triển khai mã độc tống tiền (ransomware), nhưng hành vi cho thấy đây là một giai đoạn chuẩn bị cho một cuộc tấn công lớn hơn.

Các chuyên gia khuyến cáo người dùng:
  • Kiểm tra hệ thống truy cập từ xa (RDP, VPN, PsExec…): Tắt hoặc hạn chế quyền truy cập từ xa nếu không cần thiết.
  • Giám sát hành vi tiến trình hệ thống (như dllhost.exe): Nếu có hành vi bất thường (kết nối ra ngoài, sinh nhiều luồng), cần kiểm tra kỹ.
  • Tăng cường giám sát bộ nhớ (Memory Dump): Các mã độc mới thường không tồn tại dưới dạng file mà “ẩn” trong bộ nhớ.
  • Triển khai giải pháp EDR/XDR: Các phần mềm diệt virus truyền thống khó phát hiện mã độc kiểu này, cần dùng công cụ giám sát hành vi chuyên sâu.
  • Đào tạo nhân sự an ninh mạng: Cập nhật kiến thức về các kỹ thuật né tránh phân tích (anti-analysis), fileless malware và RAT mới.
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Microsoft Smart App Control - Tốt thật hay chỉ là chiêu trò marketing???
  • Lỗ hổng trong WSO2 SOAP cho phép chiếm quyền, đặt lại mọi mật khẩu người dùng
  • Lỗ hổng mới của Apache Tomcat cho phép thực thi mã từ xa (Đã có PoC)
  • Hơn 40 tiện ích Chrome giả mạo thương hiệu lớn, đánh cắp dữ liệu người dùng
  • Tin tặc lợi dụng video TikTok phân phối mã độc thông qua kỹ thuật ClickFix
  • Lỗ hổng AI trong GitLab Duo gây rò rỉ mã nguồn, nguy cơ tấn công lừa đảo
    • Thẻ
    dos ransomware windows
    Bên trên