Kỹ thuật Process Ghosting sẽ khiến Anti-Virus trở thành bù nhìn

Nguồn bài viết: Kỹ thuật Process Ghosting sẽ khiến Anti-Virus trở thành bù nhìn

#Đầu tiên. Giới thiệu tóm tắt về Process Ghosting

Các nhà nghiên cứu bảo mật đã phát hiện ra một phương pháp thực thi mã độc mới được gọi là “Process Ghosting”.

Kỹ thuật này lợi dụng việc hoán đổi Hình ảnh Thực thi giữa một chương trình bình thường và một chương trình độc hại, theo đó mã độc hại được thực thi dưới danh nghĩa của một ứng dụng được hệ điều hành cũng như hệ điều hành tin cậy. phần mềm bảo mật.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (1)

Chúng ta có thể hiểu Process Ghosting qua hai câu nói của Gabriel Landau của Elastic như sau, nguyên văn:

“Với kỹ thuật này, kẻ tấn công có thể ghi một phần của phần mềm độc hại vào đĩa theo cách mà rất khó để quét hoặc xóa nó – và nơi nó thực thi phần mềm độc hại đã xóa như thể nó là một tệp thông thường trên đĩa.”

“Kỹ thuật này không liên quan đến việc chèn mã, Làm rỗng quy trình hoặc NTFS giao dịch (TxF).”

Tôi xin tạm dịch nó là:

Tin tặc có thể lưu phần mềm độc hại vào máy nạn nhân dưới dạng tệp bình thường, sau đó chạy nó bình thường, nhưng kỳ lạ là các chương trình diệt vi-rút không thể quét, phát hiện hoặc xóa nó.

Các phần mềm độc hại mạnh mẽ với các kỹ thuật tiên tiến như code injection, Process Hollowing, TxF cũng phải ngả mũ trước kỹ thuật mới này, rất đáng sợ!

# 2. Process Ghosting và các đàn anh

Trước đây, chúng ta có những hậu duệ của nó như Process Herpaderping (có chèn mã) và Process Doppelgänge (với phần mềm độc hại không lọc), thì giờ đây có thể nói Process Ghosting là sự tổng hợp / nâng cấp cho các kỹ thuật trước đó. , khiến các giải pháp bảo mật thực sự bất lực.

Ngoài ra còn có kỹ thuật Process Doppelgänking, tương tự như Process Hollowing, sử dụng kỹ thuật chèn mã độc vào không gian địa chỉ của một ứng dụng đang chạy bình thường.

Còn Process Herpaderping (được các nhà nghiên cứu bảo mật chi tiết vào tháng 10/2020) là một phương pháp “ẩn”, chương trình đã được “ánh xạ trong bộ nhớ” là mã độc, nhưng nó nằm trong chính ổ cứng. hồ sơ bình thường, rất tinh vi thưa ông!

https://ift.tt/fH1WtZb

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (2)

Bạn có thể tìm hiểu về kỹ thuật Process Herpaderping trong các bài báo nghiên cứu của nước ngoài, trước tiên mình xin nói sơ qua về nó như sau:

Phương pháp này lợi dụng lỗ hổng trong khi một tiến trình được tạo ra và trước khi các chương trình bảo mật được hệ điều hành thông báo về điều này, trong thời gian đó, hacker nhanh chóng chỉnh sửa tệp thực thi trên máy tính. đĩa thành một tệp bình thường.

Khi các chương trình bảo mật thực hiện quét, chúng chỉ nhìn thấy các tệp vô hại.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (3)

Với sự kết hợp của các kỹ thuật thuộc họ Process trên (Doppelgänking, Herpaderping,…), Process Ghosting còn được nâng lên một tầm cao mới, đó là khả năng thực thi mã độc ngay khi file trên ổ cứng bị xóa.

(Từ góc độ kỹ thuật, Windows đã trợ giúp với kỹ thuật này khi Windows đảm bảo rằng tệp thực thi được ánh xạ chỉ được chỉnh sửa / xóa hoàn toàn sau khi tệp nhị phân đã được ánh xạ thành phần hình ảnh (nhị phân được ánh xạ thành phần hình ảnh).

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (4)

Cơ chế hoạt động được chuyên gia bảo mật nổi tiếng Landau của Elastic giải thích ngắn gọn như sau:

Hacker viết chương trình tạo một tập tin, đánh dấu là đang chờ xóa, sau đó ánh xạ nó vào một phần hình ảnh => sau đó xóa phần xử lý của tập tin để tập tin đó bị hệ điều hành xóa hoàn toàn => cuối cùng là tạo một tiến trình từ ánh xạ phần hình ảnh thay vì tập tin truyền thống trên ổ cứng.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (5)

# 3. Phần kết

Hãng bảo mật Elastic Security đã thông báo cho Microsoft thông qua Microsoft Security Response Center (MSRC) và Microsoft cũng đã có những động thái nhất định thay vì phụ thuộc vào các chương trình diệt virus.

Cụ thể, Microsoft đã cập nhật hệ điều hành Windows để ngăn chặn phương thức tấn công này, đồng thời phát hành Sysmon 13 trong Sysinternals Suite cho phép phát hiện Process Herpaderping, Process Hollowing và các biến thể.

Sysmon 13 tự động ghi nhật ký Windows với Event ID 25 khi phát hiện mã độc “hoán đổi” hình ảnh quy trình của chương trình bình thường với hình ảnh quy trình đáng ngờ.

Hoặc khi hình ảnh được ánh xạ của một quy trình không khớp với tệp trên ổ cứng của nó hoặc tệp trên đĩa bị khóa / hạn chế (dấu hiệu của kỹ thuật gia đình Process… đang được sử dụng).

Là người dùng cá nhân, chúng ta nên thường xuyên cập nhật Windows, cài đặt các chương trình bảo mật uy tín và được cấp phép đầy đủ như Kaspersky, ESET Smart Security, BKAV,… để tránh sử dụng AV chính hãng nhưng chữ ký đã lỗi thời.

CTV: Dương Minh Thắng – Blogchiasekienthuc.com

Bài viết đạt: 5/5 sao – (Có 1 đánh giá)

Ghi chú: Bài viết này có hữu ích cho bạn không? Đừng quên đánh giá bài viết, thích và chia sẻ nó với bạn bè và gia đình của bạn!

Bản quyền thuộc: tinthuthuat.com



from tinthuthuat.com https://ift.tt/R0mSui9
via tinthuthuat.com

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Tìm hiểu về các loại bản quyền nội dụng trên Internet

Hình ảnh
Nguồn bài viết: Tìm hiểu về các loại bản quyền nội dụng trên Internet Internet là một không gian vô tận, ở đây có tất cả những thông tin chúng ta cần tìm, mọi thứ mà chúng ta chưa biết và muốn tìm hiểu. Tất nhiên, cái gì cũng có hai mặt của nó, trong muôn vàn nội dung hữu ích cũng có không ít nội dung độc hại, gây ảnh hưởng xấu đến cuộc sống của con người. Vì vậy, việc lựa chọn những nguồn thông tin sạch và chính thống để tiếp cận là vô cùng cần thiết. Internet có thể giúp bạn trở nên thành công, có thêm kiến ​​thức, nhưng nó cũng có thể giết chết cuộc đời bạn. Vì lý do đó, để đảm bảo tính nhất quán và tôn trọng bản quyền nội dung và người sáng tạo nội dung, các chuyên gia đã cấp chứng chỉ (hoặc giấy phép) để áp dụng cho một số nội dung nhất định. Từ đó, độc giả sẽ có thêm thông tin cơ bản về nội dung họ đọc, cũng như thông tin về bản quyền và pháp lý của nó. Đây cũng là một cách để bảo vệ bản quyền nội dung cho người sáng tạo. Bởi như các bạn đã biết, ngoài đời, họ còn ngang n...
Đọc thêm

5 cách khắc phục laptop không nhận tai nghe chuẩn và hiệu quả nhất

Hình ảnh
Nguồn bài viết: 5 cách khắc phục laptop không nhận tai nghe chuẩn và hiệu quả nhất Đang sử dụng Laptop không nhận tai nghe là điều mà nhiều người gặp phải, khiến bạn gặp nhiều trở ngại trong học tập, làm việc, vui chơi và giải trí. Có rất nhiều trường hợp khiến laptop không nhận tai nghe nhưng không phải ai cũng biết cách khắc phục và nguyên nhân do đâu, bài viết dưới đây sẽ giúp bổ sung vào kho thủ thuật laptop của bạn. Nguyên nhân do đâu mà laptop không nhận tai nghe? Có nhiều lý do khiến Laptop Máy tính không nhận ra tai nghe Bạn có thể tham khảo một vài lý do dưới đây: ● Laptop không nhận tai nghe có thể do chân cắm tai nghe bị hư nên khi cắm vào bạn không thể nghe rõ âm thanh, thậm chí hoàn toàn không nghe được. ● Nguyên nhân khá phổ biến là do tai nghe bị hư, không phải nguyên nhân do laptop của bạn. ● Việc laptop không nhận tai nghe là lỗi thường xảy ra sau khi bạn cài đặt hệ điều hành mới, có thể do chưa cài driver của tai nghe trên máy tính. Lỗi này sẽ gây khó chị...
Đọc thêm

Khắc phục 95% lỗi màn hình xanh Dxgkrnl.sys trên Windows 10

Hình ảnh
Nguồn bài viết: Khắc phục 95% lỗi màn hình xanh Dxgkrnl.sys trên Windows 10 Nhà ” Khắc phục 95% lỗi màn hình xanh Dxgkrnl.sys trên Windows 10 Trong khi sử dụng hệ thống Windows 10, bạn có thể gặp phải sự cố màn hình xanh chết chóc đặc biệt là do phần mềm trình điều khiển ‘Dxgkrnl.sys’ . Sự cố này là do trình điều khiển đồ họa bị hỏng hoặc không ổn định trên hệ thống của bạn. Đừng quá lo lắng, hãy thử ngay một số giải pháp sau đây. Nếu máy tính không khởi động bình thường Thông thường nếu bạn gặp phải lỗi này, máy tính của bạn sẽ khởi động lại liên tục. Nếu máy tính của bạn không thể vào Windows như bình thường, bạn cần chạy trình khắc phục sự cố “Sửa chữa tự động”. Bước 1. Tắt máy tính của bạn. Bước 2. Sau đó nhấn nút nguồn để khởi động hệ thống của bạn. Bước 3. Tiếp theo, khi hệ thống của bạn khởi động, ngay khi bạn nhìn thấy logo của nhà sản xuất, vui lòng nhấn và giữ nút nguồn một lần nữa để buộc tắt hệ thống. Bước 4. Lặp lại các bước 2 và 3 thêm 2-3 lần nữa, sau ...
Đọc thêm