“Kỹ thuật chống phân tích shellcode cố gắng ngăn chặn các nhà nghiên cứu thực hiện việc phân tích mã độc trên môi trường ảo hóa bằng cách quét toàn bộ bộ nhớ quy trình để tìm bất kỳ chuỗi nào có liên quan đến máy ảo”, Sarang Sonawane và Donato Onofri, hai nhà nghiên cứu của CrowdStrike cho biết trong một báo cáo kỹ thuật được công bố mới đây.
GuLoader, còn được gọi là CloudEyE, là trình tải xuống Visual Basic Script (VBS) được sử dụng để phân phối trojan truy cập từ xa (ví dụ như Remcos) trên các máy bị nhiễm. Nó được phát hiện lần đầu tiên vào năm 2019.
Vào tháng 11/2021, một dòng phần mềm độc hại JavaScript có tên là RATDispenser được phát hiện là có khả năng cài đặt GuLoader bằng Dropper (một phần mềm thiết kế chủ yếu để chuyển một payload đến mục tiêu) VBScript được mã hóa Base64.
Các mẫu GuLoader gần đây được CrowdStrike phân tích cho thấy một quy trình gồm ba giai đoạn, trong đó VBScript được thiết kế để cung cấp một giai đoạn tiếp theo thực hiện kiểm tra chống phân tích trước khi đưa shellcode được nhúng trong VBScript vào bộ nhớ. Bên cạnh việc kết hợp các phương pháp chống phân tích tương tự, shellcode này có nhiệm vụ tải xuống payload cuối cùng do tin tặc lựa chọn từ một máy chủ từ xa và thực thi nó trên máy chủ bị xâm nhập.
Các nhà nghiên cứu nhận xét: “Shellcode sử dụng một số thủ thuật chống phân tích và chống gỡ lỗi ở mỗi bước thực thi, đưa ra thông báo lỗi nếu shellcode phát hiện bất kỳ phân tích nào đã biết về cơ chế gỡ lỗi”. Ngoài ra, shellcode cũng có tính năng quét các phần mềm ảo hóa.
Một khả năng bổ sung mà các nhà nghiên cứu gọi là “cơ chế chèn mã dự phòng” để tránh các Hook NTDLL.dll được triển khai bởi các giải pháp phát hiện và phản hồi điểm cuối (EDR). Hook API NTDLL.dll là một kỹ thuật được các công cụ chống phần mềm độc hại sử dụng để phát hiện và gắn cờ các quy trình đáng ngờ trên Windows bằng cách giám sát các API bị các tác nhân đe dọa lạm dụng. Phương pháp này liên quan đến việc gọi các hàm API cần thiết để cấp phát bộ nhớ (NtAllocateVirtualMemory) và đưa shellcode tùy ý vào bộ nhớ thông qua Process Hollowing (một trong những kỹ thuật để ẩn dấu các quy trình).
Các nhà nghiên cứu kết luận: “GuLoader vẫn là một mối đe dọa nguy hiểm với nhiều biến thể sử dụng các phương pháp và kỹ thuật mới để lẩn tránh bị phát hiện bởi các phần mềm, ứng dụng bảo mật”.
Những phát hiện từ CrowdStrike cũng được đưa ra khi công ty an ninh mạng Cymulate trình diễn một kỹ thuật vượt qua EDR, được gọi là “Blindside”, kỹ thuật này cho phép chạy mã tùy ý bằng cách sử dụng Breakpoints (một điểm dừng) phần cứng để tạo ra một “quy trình chỉ có NTDLL ở trạng thái độc lập và không bị ràng buộc”.
Hồng Đạt
(theo The Hacker News)
10:00 | 18/01/2023
14:00 | 09/12/2022
09:00 | 25/12/2023
15:00 | 19/01/2023
10:00 | 30/03/2023
12:00 | 25/08/2022
07:00 | 03/04/2023
14:00 | 19/07/2022
10:00 | 24/04/2024
Bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại trong lĩnh vực an toàn thông tin. Tọa đàm “Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng” dự kiến sẽ được Tạp chí An toàn thông tin tổ chức vào ngày 26/4 sẽ giúp quý vị độc giả có thể hiểu rõ hơn về vấn đề này.
15:00 | 19/04/2024
Trong kỷ nguyên số, các doanh nghiệp đang đối mặt với các thách thức lớn về rủi ro mất an toàn thông tin. Vì vậy việc bảo đảm an toàn thông tin, dữ liệu cho doanh nghiệp, tổ chức và xác định, đánh giá, kiểm soát các rủi ro liên quan để bảo vệ thông tin một cách hiệu quả là chủ đề được các chuyên gia, doanh nghiệp chia sẻ tại Hội thảo: “ISO/IEC 27001 - An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số” diễn ra vào ngày 16/4 tại TP. Hồ Chí Minh vừa qua.
08:00 | 04/04/2024
Ngày 20/3, cơ quan quản lý Pháp thông báo phạt Google 250 triệu euro (272 triệu USD) vì vi phạm các cam kết chi trả cho các công ty truyền thông khi sử dụng lại nội dung của các công ty này trên mạng trực tuyến, cũng như sử dụng tư liệu để đào tạo công cụ hội thoại Trí tuệ nhân tạo (AI) mà không có thông báo.
11:00 | 07/02/2024
Nhân dịp đón Xuân mới Giáp Thìn 2024, Tạp chí An toàn thông tin trân trọng gửi lời chúc mừng năm mới và lời cảm ơn sâu sắc nhất tới các đồng chí Lãnh đạo Ban Cơ yếu Chính phủ, Lãnh đạo các bộ, ban, ngành Trung ương và địa phương, các cơ quan đơn vị, các hiệp hội, tổ chức, doanh nghiệp, quý bạn đọc và cộng tác viên đã luôn quan tâm ủng hộ để Tạp chí hoàn thành tốt nhiệm vụ và có những bước phát triển mới trong năm qua.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024