DLL Inject
Hacker viết một DLL (c贸 khả năng inject) với main l脿 h脿m DllMain (sẽ được tự động thực hiện đầu ti锚n khi load l锚n memory). Sau đ贸, malware inject dll n脿y l锚n một hay nhiều c谩c process đang chạy tr锚n m谩y. Đặc biệt l脿 inject v脿o c谩c process mặc định của Windows, như winlogon.exe, explorer.exe... Khiến ta rất kh贸 khăn trong việc t矛m v脿 ti锚u diệt những 鈥渒铆 sinh tr霉ng鈥 nguy hiểm n脿y. Điển h矛nh trong số đ贸 l脿 virus W32.Kavo:
Sau khi bị nhiễm kavo, n贸 sẽ tạo ra 2 file l脿 %SystemRoot%\System32\kavo.dll (hoặc một v脿i c谩i t锚n kh谩c ) v脿 %SystemRoot%\System32\kavo.exe.
Tiếp tới kavo sẽ tiến h脿nh inject tệp kavo.dll v脿o process explorer.exe.
Kavo.dll sau khi được inject c貌n 鈥渘guy hiểm鈥 hơn những tệp exe. N贸 c贸 khả năng thực thi c谩c lệnh giống như một tiến tr矛nh độc lập v脿 c貌n c贸 thể che mặt bởi ch铆nh phương thức 鈥渒铆 sinh鈥 của m矛nh. Mặc d霉 bạn đ茫 x贸a tệp kavo.exe nhưng n贸 mau ch贸ng lại mọc trở lại. Đối với những kiểu malware dạng n脿y, bạn c贸 thể sử dụng c谩c c么ng cụ như Task Explorer, LordPE... để xem những image được nạp v脿o tiến tr矛nh.
Rootkit
Rootkit thực chất l脿 sử dụng một tệp driver (*.sys) c贸 khả năng t谩c động s芒u v脿o hệ thống, những tệp driver n脿y được viết & sử dụng giống như DLL với mục đ铆ch v脿 khả năng thực hiện cao hơn.
Đặc điểm nổi bật nhất l脿 n贸 c贸 khả năng khống chế window v脿o cấp cao nhất (ring0)
C谩c mức ring (Ảnh: Wikipedia)
Nhiệm vụ của kẻ x芒m nhập l脿 tiến h脿nh tạo service cho những driver n脿y bằng c谩ch ghi v脿o registry (đối với những loại malware c贸 t铆nh đeo b谩m dai dẳng). Driver sau khi được nạp l锚n services sẽ kh么ng lệ thuộc v脿o c谩c process như phương thức dll inject, ch煤ng ta chỉ c贸 thể terminal service để khống chế n贸 khi đ茫 x谩c định được ch铆nh x谩c đối tượng. V铆 dụ trong số đ贸 l脿 Rootkit.Win32.Agent.pp, sau khi nhiễm, n贸 sẽ tạo ra một file ở %System%\drivers\ctl_w32.sys v脿 tạo ra một kh贸a để c贸 thể tự động nạp l锚n service:
[HKLM\System\CurrentControlSet\Services\ctl_w32]
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%\drivers\ctl_w32.sys"
Thường th矛 những driver n脿y g芒y xung đột với system n锚n rất hay g芒y cho m谩y bạn hiện tượng dump (m谩y bị đơ cứng cục bộ với m脿n h矛nh xanh th么ng b谩o c贸 lỗi xảy ra). V矛 khả năng can thiệp s芒u của rootkit n锚n n贸 nhanh ch贸ng được ưa chuộng. Những chức năng điển h矛nh nhất của rootkit l脿: thiết lập backdoor (cửa sau), ẩn tiến tr矛nh (hiding process), can thiệp v脿o log (khi c贸 mức quyền cao nhất)...
Đối với những loại h矛nh malware n脿y, để ti锚u diệt y锚u cần bạn phải c贸 kiến thức cao về hệ thống & rootkit. Ngo脿i ra, bạn c贸 thể sử dụng một số c么ng cụ ph谩t hiện rootkit miễn ph铆 như Sophos Anti-Rootkit, RootkitRevealer, Panda Titanium, GMER hay IceSword...
Hide Process & hooking
Giống như rootkit, hide process l脿 một dạng mạnh sử dụng sự kết hợp giữa hooking kernel mode v脿 chạy tiến tr矛nh. Những phương thức 鈥渟i锚u ẩn m矛nh鈥 rất kh贸 để nhận biết, mặc d霉 bạn đ茫 sử dụng c谩c tr矛nh view process kh谩 mạnh, nhưng hooking l脿 một b脿i to谩n mu么n h矛nh mu么n vẻ, bạn kh么ng bao giờ c贸 thể chắc chắn rằng kh么ng c贸 process n脿o đang ẩn m矛nh tr锚n m谩y t铆nh bạn...
Kết quả kiểm tra khi sử dụng Process Master để soi một process đ茫 được 鈥ẩn m矛nh鈥
Infect PE
Mối nguy hiểm tiềm t脿ng khi một trong c谩c ứng dụng quen thuộc của bạn bị nhiễm malware theo kiểu infect dynamic code. Nghĩa l脿 kẻ tấn c么ng sẽ ch猫n th锚m một đoạn byte code v脿o trước OEP (Original Entry Point) hay thay đổi đoạn code nguy锚n bản của một tệp thực thi quen thuộc đang chạy tr锚n m谩y, như YahooMessenger.exe, firefox.exe, UniKeyNT.exe & Vietkey.exe...
File nguy锚n bản (orginal)
File Infected (đ茫 ch猫n th锚m code)
Sau khi được thay đổi cấu tr煤c code ở entry point (điểm chạy code đầu của chương tr矛nh), mỗi khi khởi động unikey sẽ thực hiện một hộp thoại rồi mới nhảy tới cửa sổ chương tr矛nh ch铆nh. Đ芒y chỉ l脿 một v铆 dụ minh họa c谩ch thức infect l锚n một pe file.
Những phương thức tr锚n chỉ l脿 một v脿i kiểu h矛nh quen thuộc m脿 malware cấp cao c贸 thể sử dụng để ẩn m矛nh tr锚n m谩y t铆nh. Hi vọng n贸 sẽ g贸p phần gi煤p bạn hiểu th锚m phần n脿o!
