Trick của malware để Bypass UAC

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Trick của malware để Bypass UAC
Chào các bạn! Hôm nay, mình xin giới thiệu về một trick khá hay của malware. Đó là Bypass UAC, cái tên nói nên tất cả ý nghĩa rồi ạ.

1700031085314.png

Bypass UAC: Là một trick được malware sử dụng để từ một chương trình quyền bình thường có thể tự động nâng quyền lên admin. Một khi malware đã có được quyền admin thì quyền hạn vô cùng to lớn :)

Sau đây là các bước chi tiết thực hiện trick này.

1. Tìm kiếm một file EXE trong system32 có quyền admin.

  • Điều kiện file có quyền admin trong là trong manifest (trong resource) phải có hai tham số:
true

2. Tìm kiếm một file DLL trong bảng import của file EXE

  • Điều kiện để tìm DLL để tấn công là DLL đó không phải là dll cung cấp api (api-ms-win) và không nằm trong KnownDlls
3. Copy file DLL tìm được ở bước 2 ra %TEMP% chèn thêm code độc hại vào DLL
  • Chức năng chính của đoạn code độc hại là WinExec chính malware
4. Inject code vào explorer.exe
  • Tạo một folder mới với tên random trong system32 và copy EXE, DLL vừa chèn code độc hại
  • WinExecEXE để DLL được chạy
Bốn bước trên là malware đã có được quyền admin rồi các bạn ạ :). Chắc hẳn các bạn có một số thắc mắc như:
Tại sao lại cần inject code vào explorer.exe?

Câu trả lời là:

- Inject code vào explorer.exe để có thể tạo file, folder trong system32. Các chương trình bình thường không có quyền thêm, sửa, xóa file trong thư mục system32

- Các bạn hãy nghĩ là explorer.exe như là người nhà của windows vậy. Tuy explorer.exe chỉ có quyền thường nhưng vì là người nhà sẽ có một số ưu tiên nhất định :). Ưn tiên đó là thêm, sửa, xóa file trong system32…

Một điều lưu ý của trick Bypass uac: Chỉ áp dụng được khi quyền UAC của máy không ở mức cao nhất. Nếu ở mức cao nhất thì thông báo UAC yes, no, của windows sẽ được bật lên.

Trong phạm vi bài viết này, mình chỉ giới thiệu các bước bypass uac, lần tới mình sẽ phân tích một mẫu malware cụ thể có sử dụng trick này để các bạn hiểu rõ hơn.

Xin cảm ơn các bạn đã đọc bài viết của mình!
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
bypass uac malware
Bên trên