“Kỹ thuật chống phân tích shellcode cố gắng ngăn chặn các nhà nghiên cứu thực hiện việc phân tích mã độc trên môi trường ảo hóa bằng cách quét toàn bộ bộ nhớ quy trình để tìm bất kỳ chuỗi nào có liên quan đến máy ảo”, Sarang Sonawane và Donato Onofri, hai nhà nghiên cứu của CrowdStrike cho biết trong một báo cáo kỹ thuật được công bố mới đây.
GuLoader, còn được gọi là CloudEyE, là trình tải xuống Visual Basic Script (VBS) được sử dụng để phân phối trojan truy cập từ xa (ví dụ như Remcos) trên các máy bị nhiễm. Nó được phát hiện lần đầu tiên vào năm 2019.
Vào tháng 11/2021, một dòng phần mềm độc hại JavaScript có tên là RATDispenser được phát hiện là có khả năng cài đặt GuLoader bằng Dropper (một phần mềm thiết kế chủ yếu để chuyển một payload đến mục tiêu) VBScript được mã hóa Base64.
Các mẫu GuLoader gần đây được CrowdStrike phân tích cho thấy một quy trình gồm ba giai đoạn, trong đó VBScript được thiết kế để cung cấp một giai đoạn tiếp theo thực hiện kiểm tra chống phân tích trước khi đưa shellcode được nhúng trong VBScript vào bộ nhớ. Bên cạnh việc kết hợp các phương pháp chống phân tích tương tự, shellcode này có nhiệm vụ tải xuống payload cuối cùng do tin tặc lựa chọn từ một máy chủ từ xa và thực thi nó trên máy chủ bị xâm nhập.
Các nhà nghiên cứu nhận xét: “Shellcode sử dụng một số thủ thuật chống phân tích và chống gỡ lỗi ở mỗi bước thực thi, đưa ra thông báo lỗi nếu shellcode phát hiện bất kỳ phân tích nào đã biết về cơ chế gỡ lỗi”. Ngoài ra, shellcode cũng có tính năng quét các phần mềm ảo hóa.
Một khả năng bổ sung mà các nhà nghiên cứu gọi là “cơ chế chèn mã dự phòng” để tránh các Hook NTDLL.dll được triển khai bởi các giải pháp phát hiện và phản hồi điểm cuối (EDR). Hook API NTDLL.dll là một kỹ thuật được các công cụ chống phần mềm độc hại sử dụng để phát hiện và gắn cờ các quy trình đáng ngờ trên Windows bằng cách giám sát các API bị các tác nhân đe dọa lạm dụng. Phương pháp này liên quan đến việc gọi các hàm API cần thiết để cấp phát bộ nhớ (NtAllocateVirtualMemory) và đưa shellcode tùy ý vào bộ nhớ thông qua Process Hollowing (một trong những kỹ thuật để ẩn dấu các quy trình).
Các nhà nghiên cứu kết luận: “GuLoader vẫn là một mối đe dọa nguy hiểm với nhiều biến thể sử dụng các phương pháp và kỹ thuật mới để lẩn tránh bị phát hiện bởi các phần mềm, ứng dụng bảo mật”.
Những phát hiện từ CrowdStrike cũng được đưa ra khi công ty an ninh mạng Cymulate trình diễn một kỹ thuật vượt qua EDR, được gọi là “Blindside”, kỹ thuật này cho phép chạy mã tùy ý bằng cách sử dụng Breakpoints (một điểm dừng) phần cứng để tạo ra một “quy trình chỉ có NTDLL ở trạng thái độc lập và không bị ràng buộc”.
Hồng Đạt
(theo The Hacker News)
10:00 | 18/01/2023
14:00 | 09/12/2022
09:00 | 25/12/2023
15:00 | 19/01/2023
10:00 | 30/03/2023
12:00 | 25/08/2022
07:00 | 03/04/2023
14:00 | 19/07/2022
08:00 | 27/02/2025
Pwn2Own - “Giải Oscar” của ngành an ninh mạng toàn cầu đã chính thức công bố các thông tin của mùa mới. Theo đó, cuộc thi an ninh mạng uy tín và lớn nhất thế giới sẽ diễn ra vào ngày 15 - 17/5/2025, tại Berlin, Đức.
10:00 | 14/02/2025
Andean Medjedovic, công dân 22 tuổi từ Canada, bị cáo buộc đứng sau vụ tấn công đánh cắp hơn 48 triệu USD từ người dùng KyberSwap, một dự án tiền mã hóa của Việt Nam.
15:00 | 10/01/2025
Sáng ngày 10/01, tại Hà Nội, Ban Cơ yếu Chính phủ tổ chức Hội nghị Tổng kết công tác năm 2024, triển khai nhiệm vụ công tác năm 2025. Trung tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ dự và chủ trì Hội nghị.
09:00 | 27/12/2024
Thời gian qua, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam - VNCERT/CC thuộc Cục An toàn thông tin (Bộ TT&TT) vẫn ghi nhận nhiều phản ánh của người dân về những tin nhắn, cuộc gọi nghi ngờ lừa đảo từ số điện thoại lạ.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh biến đổi khí hậu ngày càng phức tạp, Công ty Cổ phần Nhiệt điện Hải Phòng không ngừng nỗ lực cải thiện quy trình sản xuất nhằm bảo vệ môi trường và thúc đẩy an sinh xã hội. Với chiến lược sử dụng hợp lý tài nguyên và áp dụng công nghệ tiên tiến, công ty đã và đang thực hiện nhiều biện pháp thiết thực để giảm thiểu tác động đến môi trường.
10:00 | 21/03/2025
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
SoftBank có kế hoạch chuyển đổi một nhà máy sản xuất tấm nền LCD Sharp trước đây tại Nhật Bản thành một trung tâm dữ liệu để vận hành các tác nhân trí tuệ nhân tạo được phát triển với sự hợp tác của OpenAI, “cha đẻ” của ChatGPT.
10:00 | 21/03/2025
