Windows Defender đã có thể phát hiện các công cụ trợ năng backdoor

Kể từ giờ, Windows Defender đã có thể phát hiện các công cụ trợ năng như sethc.exe hoặc utilman.exe bị tấn công bởi Debugger Image File Execution Options và được sử dụng như một backdoor.

Nếu chưa biết, key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Registry cho phép người dùng gán trình gỡ lỗi (debugger) với chương trình để tự động khởi chạy khi chương trình được khởi chạy, giúp các nhà phát triển có thể dễ dàng gỡ lỗi chương trình của họ khi chương trình được thực thi.

windows defender da co the phat hien cac cong cu tro nang backdoor

Windows Defender đã có thể phát hiện các công cụ trợ năng Backdoor

Quá trình được thực hiện bằng cách cấu hình giá trị "debugger" trong key Image File Execution Options (IFEO) được đặt sau tên chương trình mà bạn muốn gỡ lỗi.

Ví dụ, giả sử chỉ định chương trình Notepad2.exe làm trình gỡ lỗi cho Notepad.exe, như vậy Notepad2.exe sẽ khởi chạy mỗi khi Notepad.exe được khởi chạy.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe

"debugger"="d:\notepad2\notepad2.exe /z"

Tính năng được thiết kế nhằm mục đích gỡ lỗi, tuy nhiên người dùng cũng có thể sử dụng trong nhiều trường hợp khác nhau. Chẳng hạn nếu muốn thay thế Notepad.exe bằng một chương trình khác như Notepad2, bạn có thể áp dụng key ở trên. Hoặc có thể sử dụng key để cấu hình thay thế Task Manager như Process Explorer thay vì khởi chạy Taskmgr.exe.

Đáng nói là kẻ tấn công cũng có thể sử dụng key này để cấu hình backdoor trên máy tính người dùng hoặc khởi chạy phần mềm độc hại. Điển hình như key IFEO được tạo ra bởi phần mềm độc hại, và tự động khởi chạy khi người dùng mở các ứng dụng, chương trình hợp lệ trên máy tính. Sau đó phần mềm độc hại sẽ khởi chạy các chương trình, ứng dụng được chỉ định ban đầu để nạn nhân không nhận ra bất cứ điều gì khác thường.

Ngoài ra Image File Execution Options cũng có thể được sử dụng để cài đặt backdoor trên các hệ thống khởi chạy trực tiếp từ màn hình khóa Windows. Ví dụ các chương trình trợ năng nhưSticky Keys (sethc.exe) có thể được khởi chạy từ màn hình khóa bằng cách nhấn phím Shift 5 lần và Utility Manager (utilman.exe) có thể được khởi chạy bằng cách sử dụng tổ hợp bàn phím Windows + U.

Bằng cách tạo key IFEO cho các chương trình này và gán C:\Windows\System32\cmd.exe làm trình gỡ lỗi để tạo backdoor mở trực tiếp trên màn hình khóa Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe

"debugger"="c:\windows\system32\cmd.exe"

Với key cấu hình ở trên, trên màn hình khóa người dùng chỉ cần nhấn phím Shift 5 lần, ngay sau đó hệ thống sẽ tự động mở CMD. Thậm chí nếu lệnh được thực thi dưới quyền Admin cho phép kẻ tấn công có quyền truy cập đầy đủ hệ thống, máy tính của nạn nhân.

windows defender da co the phat hien cac cong cu tro nang backdoor 2

Windows Defender có khả năng phát hiện tấn công truy cập

Để bảo vệ Windows khỏi các kiểu tấn công này, phần mềm diệt virus Windows Defender sẽ phát hiện các key IFEO được tạo để đính kèm trên các trình gỡ lỗi như cmd.exe hoặc taskmgr.exe vào các chương trình trợ năng có thể truy cập từ màn hình khóa. Ứng dụng cũng có thể phát hiện ngay trên màn hình khóa để kẻ tấn công không thể cấu hình khi Windows ngoại tuyến.

Các cuộc tấn công này được phát hiện dưới dạng Win32/AccessibilityEscalation và là thủ phạm khiến Windows Defender tự động gỡ bỏ trình gỡ lỗi từ key Registry. Dưới đây là ví dụ về cách Windows Defender phát hiện cuộc tấn công khi thêm C:\Windows\System32\cmd.exe debugger vào key sethc.exe IFEO:

windows defender da co the phat hien cac cong cu tro nang backdoor 3

Trong ví dụ trên, Windows Defender sẽ giám sát các chương trình trợ năng dưới đây cho các trình gỡ lỗi có thể được sử dụng làm backdoor:

windows defender da co the phat hien cac cong cu tro nang backdoor 4

Các thử nghiệm khác cho thấy tính năng phát hiện trên Windows Defender sẽ được kích hoạt nếu có bất kỳ trình gỡ lỗi nào dưới đây được thêm vào các chương trình trên.

c:\windows\system32\cmd.exe
c:\windows\system32\taskmgr.exe
c:\windows\cmd.exe

Tuy nhiên trên đây là thử nghiệm không đầy đủ, Windows Defender có thể phát hiện các chương trình và trình gỡ lỗi khác.

https://thuthuat.taimienphi.vn/windows-defender-da-co-the-phat-hien-cac-cong-cu-tro-nang-backdoor-41227n.aspx
Có nhiều trường hợp Windows Defender bị vô hiệu hóa không chạy được trên Windows, nếu bạn không sử dụng phần mềm diệt virus nào khác thì đây sẽ là trường hợp rất nguy hiểm vì máy tính dễ nhiễm virus mà không được cảnh báo, vì thế nếu gặp trường hợp này, hãy tiến hành Sửa lỗi Windows Defender bị vô hiệu hóa nhé.

Tác giả: Trọng Tâm     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Hướng dẫn vô hiệu hóa Windows Defender trên Windows 10
Windows 10 Defender đã có thể chạy trong Sandbox
Microsoft cho ra mắt Windows Defender Hub trên Windows 10 Store
Cách gỡ bỏ Windows Defender trên win 8
Cách sửa lỗi độ sáng màn hình tối đa trong Report Windows Defender
Từ khoá liên quan:

Windows Defender đã có thể phát hiện các công cụ trợ năng backdoor

, Windows Defender, backdoor,

SOFT LIÊN QUAN
  • Microsoft Windows Defender

    Diệt virus, phần mềm gián điệp

    Microsoft Windows Defender mang đến một giải pháp bảo vệ toàn diện cho hệ điều hành của bạn nhờ khả năng tự động kiểm tra hệ thống, phát hiện các loại virus và phần mềm độc hại, đồng thời khắc phục kịp thời các sự cố. Với Microsoft Windows Defender, bạn sẽ duyệt web an toàn hơn, giúp máy tính tránh được các nguy cơ về an ninh thường trực.

Tin Mới

  • Điểm mới trong XviD Codec 1.3.6

    Phần mềm nén video XviD khá quen thuộc với khả năng nén với tỷ lệ 200:1 và cao hơn thế nữa, các file video Xvid có thể phát được trên nhiều thiết bị, nền tảng khác nhau. Phiên bản mới 1.3.6 của ứng dụng này hứa hẹn sẽ mang lại cho người dùng trải nghiệm tốt hơn và khả năng bảo mật cao hơn.

  • Microsoft thiết kế lại bộ ứng dụng di động Office, có thể đọc văn bản

    Microsoft mới đây đã tiết lộ thiết kế mới của bộ các ứng dụng Office di động gồm Outlook, OneDrive, Word, Excel, và PowerPoint; nhằm mục đích tăng năng suất làm việc của người dùng. Trong đó phải kể đến tính năng Read Aloud - cho phép người dùng nghe các đoạn văn bản trong Word và các ứng dụng Office khác.

  • Điểm mới trong Internet Download Manager (IDM) 6.35 Build 14

    Trong phiên bản 6.35 Build 14, Internet Download Manager hay IDM hứa hẹn sẽ mang đến cho người dùng những cải tiến đáng kể giúp tăng tốc, lên lịch, và xử lý các vấn đề liên quan khi làm việc với các trình duyệt web hiệu quả hơn.

  • Tạo mật khẩu cố định trên Ultraviewer được không?

    Ultraviewer cho phép người dùng tạo mật khẩu cố định để kết nối nhanh chóng với máy tính của người khác mà không cần sử dụng mật khẩu ngẫu nhiên. Mặc dù tính năng tạo mật khẩu cố định được Ultraviewer đặt ngay ở giao diện làm việc dễ nhận thấy, nhưng lại ít người biết cách kích hoạt và sử dụng.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá