Windows Defender đã có thể phát hiện các công cụ trợ năng backdoor

Nếu chưa biết, key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Registry cho phép người dùng gán trình gỡ lỗi (debugger) với chương trình để tự động khởi chạy khi chương trình được khởi chạy, giúp các nhà phát triển có thể dễ dàng gỡ lỗi chương trình của họ khi chương trình được thực thi.

Thông tin không thể bỏ qua: Microsoft Defender hiện có sẵn cho người dùng cá nhân

Windows Defender đã có thể phát hiện các công cụ trợ năng Backdoor

Quá trình được thực hiện bằng cách cấu hình giá trị "debugger" trong key Image File Execution Options (IFEO) được đặt sau tên chương trình mà bạn muốn gỡ lỗi.

Ví dụ, giả sử chỉ định chương trình Notepad2.exe làm trình gỡ lỗi cho Notepad.exe, như vậy Notepad2.exe sẽ khởi chạy mỗi khi Notepad.exe được khởi chạy.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe

"debugger"="d:\notepad2\notepad2.exe /z"

Tính năng được thiết kế nhằm mục đích gỡ lỗi, tuy nhiên người dùng cũng có thể sử dụng trong nhiều trường hợp khác nhau. Chẳng hạn nếu muốn thay thế Notepad.exe bằng một chương trình khác như Notepad2, bạn có thể áp dụng key ở trên. Hoặc có thể sử dụng key để cấu hình thay thế Task Manager như Process Explorer thay vì khởi chạy Taskmgr.exe.

Đáng nói là kẻ tấn công cũng có thể sử dụng key này để cấu hình backdoor trên máy tính người dùng hoặc khởi chạy phần mềm độc hại. Điển hình như key IFEO được tạo ra bởi phần mềm độc hại, và tự động khởi chạy khi người dùng mở các ứng dụng, chương trình hợp lệ trên máy tính. Sau đó phần mềm độc hại sẽ khởi chạy các chương trình, ứng dụng được chỉ định ban đầu để nạn nhân không nhận ra bất cứ điều gì khác thường.

Ngoài ra Image File Execution Options cũng có thể được sử dụng để cài đặt backdoor trên các hệ thống khởi chạy trực tiếp từ màn hình khóa Windows. Ví dụ các chương trình trợ năng nhưSticky Keys (sethc.exe) có thể được khởi chạy từ màn hình khóa bằng cách nhấn phím Shift 5 lần và Utility Manager (utilman.exe) có thể được khởi chạy bằng cách sử dụng tổ hợp bàn phím Windows + U.

Bằng cách tạo key IFEO cho các chương trình này và gán C:\Windows\System32\cmd.exe làm trình gỡ lỗi để tạo backdoor mở trực tiếp trên màn hình khóa Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe

"debugger"="c:\windows\system32\cmd.exe"

Với key cấu hình ở trên, trên màn hình khóa người dùng chỉ cần nhấn phím Shift 5 lần, ngay sau đó hệ thống sẽ tự động mở CMD. Thậm chí nếu lệnh được thực thi dưới quyền Admin cho phép kẻ tấn công có quyền truy cập đầy đủ hệ thống, máy tính của nạn nhân.

Windows Defender có khả năng phát hiện tấn công truy cập

Để bảo vệ Windows khỏi các kiểu tấn công này, phần mềm diệt virus Windows Defender sẽ phát hiện các key IFEO được tạo để đính kèm trên các trình gỡ lỗi như cmd.exe hoặc taskmgr.exe vào các chương trình trợ năng có thể truy cập từ màn hình khóa. Ứng dụng cũng có thể phát hiện ngay trên màn hình khóa để kẻ tấn công không thể cấu hình khi Windows ngoại tuyến.

Các cuộc tấn công này được phát hiện dưới dạng Win32/AccessibilityEscalation và là thủ phạm khiến Windows Defender tự động gỡ bỏ trình gỡ lỗi từ key Registry. Dưới đây là ví dụ về cách Windows Defender phát hiện cuộc tấn công khi thêm C:\Windows\System32\cmd.exe debugger vào key sethc.exe IFEO:

Trong ví dụ trên, Windows Defender sẽ giám sát các chương trình trợ năng dưới đây cho các trình gỡ lỗi có thể được sử dụng làm backdoor:

Các thử nghiệm khác cho thấy tính năng phát hiện trên Windows Defender sẽ được kích hoạt nếu có bất kỳ trình gỡ lỗi nào dưới đây được thêm vào các chương trình trên.

c:\windows\system32\cmd.exe
c:\windows\system32\taskmgr.exe
c:\windows\cmd.exe

Tuy nhiên trên đây là thử nghiệm không đầy đủ, Windows Defender có thể phát hiện các chương trình và trình gỡ lỗi khác.

Có nhiều trường hợp Windows Defender bị vô hiệu hóa không chạy được trên Windows, nếu bạn không sử dụng phần mềm diệt virus nào khác thì đây sẽ là trường hợp rất nguy hiểm vì máy tính dễ nhiễm virus mà không được cảnh báo, vì thế nếu gặp trường hợp này, hãy tiến hành Sửa lỗi Windows Defender bị vô hiệu hóa nhé.

Kể từ giờ, Windows Defender đã có thể phát hiện các công cụ trợ năng như sethc.exe hoặc utilman.exe bị tấn công bởi Debugger Image File Execution Options và được sử dụng như một backdoor.
Sửa lỗi Windows Defender bị vô hiệu hóa trên Windows 10, 8.1, 8
Microsoft Defender dính lỗi gắn cờ các bản cập nhật Chrome là đáng ngờ
Windows Defender chiếm CPU, cách xử lý như thế nào?
Microsoft Defender sẽ tự động cài đặt trên máy tính người dùng Windows
Sửa lỗi Windows Defender luôn yêu cầu quét trên Windows 10 Anniversary
Hướng dẫn gỡ bỏ Windows Defender trên Windows 7

ĐỌC NHIỀU