Hàng trăm khóa registry bị ảnh hưởng bởi hình thức tấn công COM Hijacking

08:20 | 20/08/2018
Đỗ Đoàn Kết (tổng hợp)

Các nhà nghiên cứu của Cyberbit đã phát hiện ra hàng trăm khóa registry đã bị ảnh hưởng bởi hình thức tấn công mô hình đối tượng thành phần (COM Hijacking).

Nhóm nghiên cứu của công ty an ninh mạng Cyberbit (trụ sở chính tại Israel) cho biết, những kẻ tấn công đang phát triển một kỹ thuật mới cho phép chúng chạy một tập tin giả mạo, trông có vẻ hợp lệ nhưng thực ra là mã độc. Kỹ thuật tấn công COM (The Component Object Model) thường được kẻ tấn công sử dụng như một cơ chế dai dẳng và có khả năng ngụy trang.

Các nhà nghiên cứu đã thực hiện một thí nghiệm chứng minh khái niệm và công bố trong một bài báo cáo rằng, hàng trăm khóa registry đã bị ảnh hưởng bởi hình thức tấn công này. Trong khi hầu hết tin tặc hiện nay sử dụng phương pháp chèn mã độc để che giấu hành vi độc hại trong một hoạt động bình thường, thì tấn công COM là hình thức chạy mã độc trong phạm vi của một tiến trình hợp pháp, như một trình duyệt web.

COM của Microsoft là một hệ thống nằm trong hệ điều hành Windows cho phép các thành phần phần mềm tương tác với nhau thông qua hệ điều hành. Hệ thống này có thể bị lợi dụng để chèn và thực thi mã độc như một chương trình hợp lệ thông qua việc đánh cắp các liên kết và tham chiếu COM, qua đó duy trì sự tồn tại của mã độc. Việc đánh cắp một đối tượng COM đòi hỏi phải chỉnh sửa registry của Windows để thay thế một thành phần hệ thống hợp lệ với một tham chiếu khác, dẫn tới việc thành phần hợp lệ đó đó không hoạt động khi được khởi chạy. Khi được vận hành bởi hoạt động bình thường của hệ thống, mã độc thay thế sẽ được thực thi thay cho thành phần này.

Cyberbit cho biết những phát hiện của họ thực sự đáng báo động. Đáng chú ý nhất là việc thêm các thư viện liên kết động (DLL) độc hại mà không yêu cầu khởi động lại máy tính. Điều này là do hầu hết các khóa registry bị ảnh hưởng ngay lập tức khi chạy tiến trình mục tiêu, một vài khóa thậm chí không yêu cầu khởi chạy tiến trình mục tiêu bởi tiến trình đó đã chạy sẵn như “Explorer.exe”.

Sử dụng kỹ thuật này giúp những kẻ tấn công có thể tải, chạy mã độc một cách hợp pháp và tránh bị phát hiện, khiến việc triển khai tấn công trở nên rất dễ dàng do kỹ thuật không yêu cầu chèn mã độc phức tạp. Ngoài ra, kỹ thuật này còn cho phép sử dụng các đặc quyền để thực hiện các hành vi nhạy cảm như kết nối Internet.

Theo ông Meir Brown, Giám đốc nghiên cứu tại Cyberbit, mục đích của nghiên cứu này là để xác định phạm vi ảnh hưởng của mối đe dọa, điều mà các sản phẩm bảo vệ an toàn thường bỏ qua. Mối đe dọa này có phạm vi rộng vì nhiều tiến trình quan trọng của Windows tải các đối tượng mô hình COM mà không yêu cầu xác thực, điều này tạo ra một phương pháp chèn và duy trì mã độc với ít khả năng bị phát hiện nhất.

Ông Brown cũng cho biết thêm, cách giải quyết tốt nhất là tạo ra một giải pháp an toàn có khả năng cảnh báo tấn công COM và giám sát kỹ càng lỗi hệ thống bởi những lỗi này đều có khả năng bị tấn công COM. Thêm vào đó, ông cũng đề xuất người dùng cần giám sát các khóa registry, cụ thể là những khóa được sử dụng để tải các đối tượng mô hình COM phổ biến đã được liệt kê trong báo cáo.