Khi Phần Mềm Diệt Virus Bị Tiêm Mã Độc: “Lá Chắn” Hóa Thành Cửa Ngõ Tấn Công

Posted on by admin_1

Nhà nghiên cứu an ninh mạng có bút danh Two Seven One Three vừa công bố một kỹ thuật mới cho phép kẻ xấu tiêm mã độc trực tiếp vào tiến trình của phần mềm diệt virus, biến chính những tiến trình được bảo vệ này thành cánh cửa hậu (backdoor)

Phần mềm antivirus (AV) thường được thiết kế hoạt động ở mức quyền hệ thống (SYSTEM) và có cơ chế tự bảo vệ để đảm bảo tính “bất khả xâm phạm” và độ ổn định khi phòng chống mã độc. Kẻ tấn công đang lợi dụng chính đặc tính đó: nếu chèn được mã vào tiến trình AV, mã độc sẽ thừa hưởng đặc quyền cao, khó bị phát hiện bởi cơ chế của AV và có thể thao túng hệ thống. Các báo cáo gần đây cho thấy kỹ thuật này hoàn toàn khả thi và có tính đáng lo ngại đối với chuỗi bảo vệ truyền thống.

Theo mô tả, tấn công tận dụng một số bước kết hợp để qua mặt cơ chế bảo vệ của AV và Windows:

  • Nhân bản dịch vụ (service cloning): kẻ tấn công export/import khóa registry để tạo bản sao dịch vụ AV; sau khởi động lại, bản sao được nạp vào Services.exe và trở thành tiến trình được bảo vệ.

  • Chiếm provider mã hóa: thay khóa registry của Cryptography Provider để trỏ tới một DLL độc hại; khi dịch vụ khởi động, DLL này được tải như một provider hợp lệ.

  • Nhái/chống kiểm tra chữ ký số: sử dụng công cụ như “CertClone” để sao chép chứng chỉ và ký DLL độc hại nhằm qua mặt kiểm tra chữ ký của hệ thống.

Kết hợp các bước trên, kẻ tấn công có thể ghi file vào thư mục cài đặt AV, thực hiện lệnh với quyền cao và tránh bị phát hiện bởi cơ chế “tự bảo vệ” của AV. Kịch bản thực thi có thể là: tạo một dịch vụ “giả” giống hệt, thay provider mã hóa trỏ tới DLL độc hại đã được ký “giống thật”, khởi động dịch vụ — DLL đó được nạp vào tiến trình AV được bảo vệ và thực thi hành vi (ví dụ: ghi file, mở cổng, khởi chạy shell). Sau khi đạt mục tiêu, kẻ tấn công có thể khôi phục registry để giảm khả năng bị phát hiện.

Hệ quả: nếu thành công, kẻ xấu đạt được đặc quyền cao trên máy nạn nhân, tắt hoặc vô hiệu hóa biện pháp phòng thủ, chèn backdoor cực kỳ khó phát hiện. Phạm vi rủi ro rộng vì phương pháp tận dụng các tính năng chuẩn của hệ điều hành (service, registry, provider) — không nhất thiết cần khai thác kernel-level hay zero-day đặc thù. Bất kỳ hệ thống nào cho phép chỉnh sửa registry, import certificate hoặc ghi thư mục cài đặt AV một cách dễ dàng đều có nguy cơ.

Một điểm quan trọng là đây là kỹ thuật lạm dụng (abuse) — tức công cụ quản trị và cách OS cho phép “tin cậy” module/driver tạo ra bề mặt tấn công. Tác giả công cụ (IAmAntimalware) nhằm mục đích minh họa rủi ro cho cộng đồng red-team/blue-team, nhưng công khai mã nguồn cũng khiến khả năng lạm dụng tăng lên, do đó việc công bố cần đi kèm khuyến nghị khắc phục cụ thể.

Về biện pháp nền tảng của Windows: Protected Process Light (PPL) và cơ chế Code Integrity là các cơ chế được thiết kế để bảo vệ tiến trình chống lại việc tải mã không tin cậy; tuy nhiên, thực tế cho thấy PPL/code-integrity có giới hạn triển khai và có thể bị lách/đánh bại trong một số kịch bản nếu cấu hình hoặc quản trị chứng chỉ/registry lỏng lẻo. Vì vậy, triển khai đúng, cập nhật và bổ sung các cơ chế kiểm soát là điều thiết yếu.

Góc nhìn chuyên gia — nhận xét nhanh và hành động đề xuất

Nguyên nhân gốc (thesis)

  • Vấn đề cốt lõi không chỉ nằm ở “khả năng phát hiện” của AV mà còn là mô hình tin tưởng: hệ điều hành và phần mềm cho phép một số thành phần (dịch vụ, provider, chứng chỉ, thư mục cài đặt) được tin cậy theo mặc định hoặc do cấu hình dễ thay đổi — đó là bề mặt tấn công.

Khuyến nghị cấp nhà cung cấp AV (vendor)

  1. Siết chặt kiểm soát module load: giám sát đường dẫn DLL, chặn load từ thư mục lạ, thắt chặt kiểm tra chữ ký và phát hiện DLL “nhái” hay dùng chứng chỉ bất thường.

  2. Bật và tuân thủ PPL / Code Integrity cho tiến trình lõi; đồng thời kiểm tra certificate signer levels để tránh cho phép DLL không đủ độ tin cậy được nạp. (Lưu ý: PPL có giới hạn triển khai — cần review kỹ lộ trình và phụ thuộc).

  3. Giám sát thay đổi dịch vụ & registry: phát hiện export/import registry bất thường, tạo cảnh báo nếu có thao tác clone service hoặc sửa provider mã hóa.

  4. Hardening installer/upgrade flow: ngăn cản ghi vào thư mục cài đặt AV bởi người dùng không đủ quyền; giới hạn thao tác cục bộ để ngăn “local upgrade” trái phép (các tính năng như Local Upgrade Authorization đã được một số vendor bổ sung).

Khuyến nghị cho quản trị viên doanh nghiệp (IT/SecOps)

  • Kiểm soát quyền ghi registry và import certificate: giới hạn quyền thêm root certificates hoặc provider; hạn chế quyền admin trên endpoints.

  • Giám sát tích hợp: phát hiện ngay lập tức thay đổi dịch vụ, thay đổi chứng chỉ hệ thống, file write vào thư mục cài đặt AV; kết hợp EDR/siem rule để cảnh báo hành vi bất thường.

  • Bật bảo vệ nền tảng: PPL, Code Integrity / HVCI (nếu hạ tầng hỗ trợ) và triển khai Secure Boot/UEFI lock khi phù hợp.

  • Chính sách quản lý chứng chỉ: áp dụng quy trình kiểm duyệt nghiêm ngặt cho việc phát hành/nhập chứng chỉ; theo dõi lịch sử/ fingerprint chứng chỉ thay đổi.

Khuyến nghị cho người dùng cuối

  • Giữ hệ điều hành và phần mềm AV cập nhật.

  • Hạn chế cấp quyền admin cho phần mềm không rõ nguồn; cẩn trọng trước các công cụ “patching/signing” không chính thức.

  • Nếu có cảnh báo bất thường liên quan đến service hoặc chứng chỉ, báo cho bộ phận IT ngay.

Dấu hiệu (IOC / forensic indicators) để phát hiện sớm

  • Thay đổi bất thường trong registry liên quan đến service definitions hoặc Cryptographic Provider keys.

  • File mới hoặc file được sửa trong thư mục cài đặt AV với timestamp lạ hoặc chữ ký số không khớp.

  • Sự xuất hiện của service “mới/nhân bản” có thông tin tương tự service AV gốc.

  • Log hệ thống báo Code Integrity / EventID liên quan tới DLL không đủ signer level.

  • Hành vi tiến trình bất thường: mở cổng lạ, khởi shell, ghi file vào thư mục hệ thống.

Vấn đề đạo đức và disclosure

Công cụ như IAmAntimalware hữu ích cho mục đích nghiên cứu (red-team) để minh họa rủi ro, nhưng công khai mã nguồn cần kèm theo hướng dẫn giảm thiểu rủi ro, sample rules/patch và liên hệ responsible disclosure với vendor trước khi phát tán rộng — nhằm giảm khả năng bị kẻ xấu lợi dụng. Nhiều nhà nghiên cứu và tổ chức an ninh đều cân nhắc “dual-use” khi công bố công cụ như vậy.

 

Kỹ thuật tiêm mã vào tiến trình AV phơi bày một nghịch lý: càng bảo vệ mạnh (quyền cao, whitelist, self-protection), càng có “bề mặt tin cậy” để bị lạm dụng nếu chuỗi tin cậy (certificates, registry, services) không đủ chặt. Ngành an ninh cần cân bằng giữa ổn định vận hành (stability)bảo mật (security) — cập nhật cơ chế bảo vệ, rà soát quản trị chứng chỉ/registry, siết quyền ghi cục bộ và giám sát hành vi, để ngăn kịch bản “lá chắn” trở thành điểm yếu.

Post Relate

Tin tức

Các Chiêu Lừa Đảo Dựa Trên AI Đang Nhắm Tới Cuộc Sống Số Của Thế Hệ Gen Z
15 Tháng 10, 2025

Tin tức

Mật Khẩu Của Bạn Không Cần Quá Nhiều Ký Tự Phức Tạp
13 Tháng 10, 2025

Tin tức

Ứng Dụng VPN Phát Tán Mã Độc Đánh Cắp Tài Khoản Ngân Hàng
10 Tháng 10, 2025

Tin tức

Hacker Lợi Dụng Các Trang WordPress Để Triển Khai Các Cuộc Tấn Công Lừa Đảo ClickFix Thế Hệ Mới
9 Tháng 10, 2025

Tin tức

Discord Cảnh Báo Người Dùng Sau Khi Dữ Liệu Bị Đánh Cắp Qua Lỗ Hổng Từ Bên Thứ Ba
8 Tháng 10, 2025

Chúng tôi, các chuyên gia về cyber security luôn sẵn sàng đồng hành cùng doanh nghiệp bạn

Chúng tôi tập trung vào các giải pháp Chống mã độc, đặc biệt là dòng mã độc mã hóa dữ liệu tống tiền và giải pháp Chống thất thoát dữ liệu (DLP).

Liên hệ ngay