Mã độc có thể ‘đánh lừa’ Windows Defender để tấn công máy tính

Đăng ngày: 07/10/2017
Ảnh: Threatpost.

Các nhà nghiên cứu đã tìm ra phương pháp “đánh lừa” Windows Defender để cho phép bất kỳ phần mềm độc hại nào xâm nhập vào máy tính. Trước nghiên cứu đó, Microsoft cho biết: “Kỹ thuật được các nhà nghiên cứu mô tả có tính ứng dụng hạn chế. Để thành công, hacker trước tiên cần thuyết phục người dùng đồng ý thực hiện lệnh mở một tập tin không rõ nguồn gốc và không đáng tin cậy. Nếu hacker có lừa được người dùng thực hiện các bước được đề cập trên đi chăng nữa thì Windows Defender Antivirus và Windows Defender Advanced Threat Protection cũng sẽ phát hiện hành động tiếp theo của hacker.”

Nhóm nghiên cứu CyberArk – Doron Naim và Kobi Ben Naim cho rằng thủ thuật tấn công mà họ nghiên cứu (họ gọi là Illusion Gap) hoàn toàn có thể ảnh hưởng đến các sản phẩm chống virus khác. Họ cho biết, hacker còn có thể khai thác giao thức SMB, lừa Windows Defender quét tệp tin và thực hiện chương trình độc hại thay vì chuyển tới hệ điều hành.

Theo đó, hacker trước tiên sẽ lừa người dùng thực hiện một khai thác được lưu trữ trên SMB, chuyển tệp tin độc hại đến Windows PE Loader và Windows Defender. Một khi PE Loader khởi chạy các tập tin thì phần mềm độc hại từ SMB sẽ được đưa vào thiết bị. Kể cả khi Windows Defender có quét các tập tin đi chăng nữa thì nó cũng chỉ quét được các tệp tin lành tính. Trong khi đó, PE Loader vẫn sẽ thực hiện lệnh đối với các tệp tin độc hại.

Ben Naim nói: “Một cuộc tấn công như thế sẽ chỉ là bước đầu tiên của hacker mà thôi. Khi xâm nhập được vào thiết bị, bọn tội phạm mạng chắc chắn sẽ khai thác những lỗ hổng khác với nhiều hình thức tinh vi hơn. Đây không chỉ là một “kịch bản” mà thật sự là cơ chế mà hacker áp dụng để xâm nhập thiết bị thông qua Windows Defender.”

– Ban Truyền thông iSpace –

(Tổng hợp theo http://nhipsongso.tuoitre.vn/ma-doc-co-the-danh-lua-windows-defender-de-tan-cong-may-tinh-20171005184549456.htm)

    Bài liên quan

    2017 Designed by iweb247.vn
    ĐĂNG KÝ TRỰC TUYẾN