Nhiều loại mã độc sử dụng kỹ thuật Process Doppelgänging để ‘lẩn trốn’

Theo The Hacker News, hiện nay kỹ thuật chèn mã không cần tập tin Process Doppelgänging rất phổ biến trong nhiều loại phần mềm độc hại.

Process Doppelgänging là một biến thể của kỹ thuật Process Injection được phát hiện lần đầu năm 2017. Những cuộc tấn công dạng này thường tận dụng các chức năng Windows tích hợp để lẩn trốn và hoạt động mà không cần “trú ngụ” trong bất kỳ tập tin nào.

Process Doppelgänging áp dụng được trên tất cả phiên bản của hệ điều hành Microsoft Windows. Kỹ thuật này tận dụng Transactional NTFS (TxF) – hệ thống tập tin tiêu chuẩn trong những phiên bản Windows đời cũ để khởi chạy quy trình độc hại bằng cách thay thế bộ nhớ của quy trình hợp pháp. Nhờ vào đó, những công cụ giám sát và phần mềm diệt virus đều bị đánh lừa và tin rằng không có gì bất thường đang xảy ra.

Vài tháng sau khi Process Doppelgänging phát triển, một biến thể của mã độc tống tiền SynAck là phần mềm độc hại đầu tiên khai thác kỹ thuật này nhắm vào người dùng ở Mỹ, Kuwait, Đức và Iran. Sau đó các nhà nghiên cứu phát hiện ra chương trình dropper (loader) trong trojan Osiris (mã độc tài chính chuyên tấn công những hệ thống ngân hàng) cũng đang sử dụng Process Doppelgänging kết hợp với kỹ thuật giấu mã độc Process Hollowing.

Hiện tại, không chỉ Synack và Osiris mà hơn 20 loại mã độc khác nhau gồm FormBook, LokiBot, GandCrab… đã sử dụng các trình tải phần mềm độc hại (malware loader) kết hợp cũng kỹ thuật Process Doppelgänging để tránh bị phát hiện.

Sau khi phân tích hàng trăm mẫu mã độc, các nhà nghiên cứu tại công ty an ninh mạng enSilo đã phát hiện ít nhất bảy phiên bản khác nhau của trình tải được sử dụng bởi nhiều loại phần mềm độc hại khác nhau và đặt tên là “TxHollower”.

“Những kẻ tấn công đã tái sử dụng tài nguyên và công cụ trong chuỗi tấn công của trước đó, đáng chú ý nhất là dropper, trình đóng gói (packer) và trình tải (loader)”, các nhà nghiên cứu cho biết.

Tội phạm mạng sẽ sử dụng trình tải TxHollower có sẵn trong framework hoặc bộ công cụ exploit, kết hợp với những kỹ thuật tương tự Process Doppelgänging. Tháng 3/2018, phiên bản đầu tiên của loader với tính năng TxHollower được sử dụng để phân phối Netwire RAT. Sau đó các chuyên gia phát hiện loader này được chèn vào nhiều phiên bản GandCrab từ v5 đến v5.2. Ngoài ra, nhiều nhà nghiên cứu enSilo cũng tìm thấy một vài phiên bản ẩn trong lớp bổ sung như những tập tin MSI và trong một số loader lồng vào nhau.

“Dù chúng tôi không tìm thấy sự lây lan trong thực tế nhưng vẫn tồn tại một vài phiên bản có thể liên quan đến chuỗi lây nhiễm (infection chain) như trình tải xuống (downloader) hoặc dropper của TxHollower. Những file dạng này bao gồm tập tin thực thi PE, JavaScript và văn bản”, các nhà nghiên cứu cho biết thêm.

Theo The Hacker News