Windows Defender đã có thể phát hiện các công cụ trợ năng backdoor

Kể từ giờ, Windows Defender đã có thể phát hiện các công cụ trợ năng như sethc.exe hoặc utilman.exe bị tấn công bởi Debugger Image File Execution Options và được sử dụng như một backdoor.

Nếu chưa biết, key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Registry cho phép người dùng gán trình gỡ lỗi (debugger) với chương trình để tự động khởi chạy khi chương trình được khởi chạy, giúp các nhà phát triển có thể dễ dàng gỡ lỗi chương trình của họ khi chương trình được thực thi.

windows defender da co the phat hien cac cong cu tro nang backdoor

Windows Defender đã có thể phát hiện các công cụ trợ năng Backdoor

Quá trình được thực hiện bằng cách cấu hình giá trị "debugger" trong key Image File Execution Options (IFEO) được đặt sau tên chương trình mà bạn muốn gỡ lỗi.

Ví dụ, giả sử chỉ định chương trình Notepad2.exe làm trình gỡ lỗi cho Notepad.exe, như vậy Notepad2.exe sẽ khởi chạy mỗi khi Notepad.exe được khởi chạy.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe

"debugger"="d:\notepad2\notepad2.exe /z"

Tính năng được thiết kế nhằm mục đích gỡ lỗi, tuy nhiên người dùng cũng có thể sử dụng trong nhiều trường hợp khác nhau. Chẳng hạn nếu muốn thay thế Notepad.exe bằng một chương trình khác như Notepad2, bạn có thể áp dụng key ở trên. Hoặc có thể sử dụng key để cấu hình thay thế Task Manager như Process Explorer thay vì khởi chạy Taskmgr.exe.

Đáng nói là kẻ tấn công cũng có thể sử dụng key này để cấu hình backdoor trên máy tính người dùng hoặc khởi chạy phần mềm độc hại. Điển hình như key IFEO được tạo ra bởi phần mềm độc hại, và tự động khởi chạy khi người dùng mở các ứng dụng, chương trình hợp lệ trên máy tính. Sau đó phần mềm độc hại sẽ khởi chạy các chương trình, ứng dụng được chỉ định ban đầu để nạn nhân không nhận ra bất cứ điều gì khác thường.

Ngoài ra Image File Execution Options cũng có thể được sử dụng để cài đặt backdoor trên các hệ thống khởi chạy trực tiếp từ màn hình khóa Windows. Ví dụ các chương trình trợ năng nhưSticky Keys (sethc.exe) có thể được khởi chạy từ màn hình khóa bằng cách nhấn phím Shift 5 lần và Utility Manager (utilman.exe) có thể được khởi chạy bằng cách sử dụng tổ hợp bàn phím Windows + U.

Bằng cách tạo key IFEO cho các chương trình này và gán C:\Windows\System32\cmd.exe làm trình gỡ lỗi để tạo backdoor mở trực tiếp trên màn hình khóa Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe

"debugger"="c:\windows\system32\cmd.exe"

Với key cấu hình ở trên, trên màn hình khóa người dùng chỉ cần nhấn phím Shift 5 lần, ngay sau đó hệ thống sẽ tự động mở CMD. Thậm chí nếu lệnh được thực thi dưới quyền Admin cho phép kẻ tấn công có quyền truy cập đầy đủ hệ thống, máy tính của nạn nhân.

windows defender da co the phat hien cac cong cu tro nang backdoor 2

Windows Defender có khả năng phát hiện tấn công truy cập

Để bảo vệ Windows khỏi các kiểu tấn công này, phần mềm diệt virus Windows Defender sẽ phát hiện các key IFEO được tạo để đính kèm trên các trình gỡ lỗi như cmd.exe hoặc taskmgr.exe vào các chương trình trợ năng có thể truy cập từ màn hình khóa. Ứng dụng cũng có thể phát hiện ngay trên màn hình khóa để kẻ tấn công không thể cấu hình khi Windows ngoại tuyến.

Các cuộc tấn công này được phát hiện dưới dạng Win32/AccessibilityEscalation và là thủ phạm khiến Windows Defender tự động gỡ bỏ trình gỡ lỗi từ key Registry. Dưới đây là ví dụ về cách Windows Defender phát hiện cuộc tấn công khi thêm C:\Windows\System32\cmd.exe debugger vào key sethc.exe IFEO:

windows defender da co the phat hien cac cong cu tro nang backdoor 3

Trong ví dụ trên, Windows Defender sẽ giám sát các chương trình trợ năng dưới đây cho các trình gỡ lỗi có thể được sử dụng làm backdoor:

windows defender da co the phat hien cac cong cu tro nang backdoor 4

Các thử nghiệm khác cho thấy tính năng phát hiện trên Windows Defender sẽ được kích hoạt nếu có bất kỳ trình gỡ lỗi nào dưới đây được thêm vào các chương trình trên.

c:\windows\system32\cmd.exe
c:\windows\system32\taskmgr.exe
c:\windows\cmd.exe

Tuy nhiên trên đây là thử nghiệm không đầy đủ, Windows Defender có thể phát hiện các chương trình và trình gỡ lỗi khác.

http://thuthuat.taimienphi.vn/windows-defender-da-co-the-phat-hien-cac-cong-cu-tro-nang-backdoor-41227n.aspx
Có nhiều trường hợp Windows Defender bị vô hiệu hóa không chạy được trên Windows, nếu bạn không sử dụng phần mềm diệt virus nào khác thì đây sẽ là trường hợp rất nguy hiểm vì máy tính dễ nhiễm virus mà không được cảnh báo, vì thế nếu gặp trường hợp này, hãy tiến hành Sửa lỗi Windows Defender bị vô hiệu hóa nhé.

Tác giả: Trần Quốc Anh     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Windows 10 Defender đã có thể chạy trong Sandbox
Cách sửa lỗi độ sáng màn hình tối đa trong Report Windows Defender
Cách gỡ bỏ Windows Defender trên win 8
Microsoft cho ra mắt Windows Defender Hub trên Windows 10 Store
Microsoft Defender ATP cho Mac hiện có sẵn dưới dạng Public Preview
Từ khoá liên quan:

Windows Defender đã có thể phát hiện các công cụ trợ năng backdoor

, Windows Defender, backdoor,

SOFT LIÊN QUAN
  • Microsoft Windows Defender

    Diệt virus, phần mềm gián điệp

    Microsoft Windows Defender mang đến một giải pháp bảo vệ toàn diện cho hệ điều hành của bạn nhờ khả năng tự động kiểm tra hệ thống, phát hiện các loại virus và phần mềm độc hại, đồng thời khắc phục kịp thời các sự cố. Với Microsoft Windows Defender, bạn sẽ duyệt web an toàn hơn, giúp máy tính tránh được các nguy cơ về an ninh thường trực.

Tin Mới

  • Microsoft bổ sung mảng động (Dynamic Arrays) cho Excel

    Gã khổng lồ phần mềm Microsoft vừa công bố một số cải tiến mới về cách thức hoạt động của các công thức trong Excel, trong đó bổ sung thêm tính năng mới có tên mảng động (Dynamic Arrays), tính năng này được công bố đầu tiên vào năm ngoái nhưng chỉ có sẵn cho một nhóm nhỏ người dùng Office Insider.

  • Cảnh báo lỗ hổng bảo mật nghiêm trọng trong Evernote làm rò rỉ dữ liệu nhạy cảm người dùng

    Các nhà nghiên cứu của hãng bảo mật Guardio vừa phát hiện lỗ hổng nghiêm trọng trong tiện ích mở rộng Chrome Evernote Web Clipper có thể cho phép kẻ tấn công tiềm năng truy cập các thông tin nhạy cảm của người dùng từ các dịch vụ trực tuyến của bên thứ 3.

  • Facebook Study - Ứng dụng trả tiền cho người dùng khi sử dụng

    Facebook sắp cho ra mắt Facebook Study, ứng dụng trả tiền cho người dùng khi sử dụng để theo dõi cách mà người dùng sử dụng các ứng dụng trên thiết bị di động của mình.

  • Soạn bài Bài học đường đời đầu tiên

    Soạn Văn lớp 6: Bài học đường đời đầu tiên là một trong số những tài liệu hữu ich dành cho các bạn học sinh lớp 6 có thể dễ dàng và tiện lợi hơn cho quá trình soạn bài, chuẩn bị bài ở nhà để sẵn sàng cho bài giảng trên lớp. Soạn văn lớp 6 với văn bản Bài học đường đời đầu tiên có nội dung ngắn gọn và chi tiết, hệ thống bài soạn bám sát với bài học cũng như chương trình sách giáo khoa ngữ văn lớp 6 giúp cho các em học sinh cùng thầy cô giáo dễ dàng nắm bắt kiến thức tiến hành tham khảo, ôn luyện và học tập đạt hiệu quả cao hơn.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá