Các nhà nghiên cứu đã tiết lộ các điểm yếu bảo mật đáng kể trong các ứng dụng phần mềm phổ biến có thể bị lạm dụng để hủy kích hoạt tính năng bảo vệ của chúng và kiểm soát các ứng dụng được liệt kê cho phép thực hiện các hoạt động bất chính thay mặt cho phần mềm độc hại để đánh bại các biện pháp phòng thủ chống ransomware.
Cuộc tấn công song sinh, chi tiết của các học giả từ Đại học Luxembourg và Đại học Luân Đôn, nhằm phá vỡ tính năng thư mục được bảo vệ do các chương trình chống vi-rút cung cấp để mã hóa tệp (còn gọi là “Cut-and-Mouse”) và vô hiệu hóa tính năng bảo vệ thời gian thực của chúng bằng cách mô phỏng nhấp chuột ” “sự kiện (hay còn gọi là” Ghost Control “).
“Các nhà cung cấp phần mềm chống vi-rút luôn cung cấp mức độ bảo mật cao và chúng là một yếu tố cần thiết trong cuộc đấu tranh hàng ngày chống lại bọn tội phạm” nói Giáo sư Gabriele Lenzini, nhà khoa học chính tại Trung tâm Liên ngành về An ninh, Độ tin cậy và Niềm tin tại Đại học Luxembourg. “Nhưng họ đang cạnh tranh với những tên tội phạm ngày càng có nhiều tài nguyên, sức mạnh và sự cống hiến.”
Nói cách khác, những thiếu sót trong phần mềm giảm thiểu phần mềm độc hại không thể chỉ cho phép mã trái phép tắt các tính năng bảo vệ của chúng, lỗi thiết kế trong giải pháp Thư mục được bảo vệ do các nhà cung cấp phần mềm chống vi-rút cung cấp có thể bị ransomware lợi dụng để thay đổi nội dung của tệp bằng cách viết được cấp phép truy cập vào thư mục và mã hóa dữ liệu người dùng hoặc một phần mềm xóa để phá hủy không thể thu hồi các tệp cá nhân của nạn nhân.
Thư mục được bảo vệ cho phép người dùng để chỉ định các thư mục yêu cầu một lớp bảo vệ bổ sung chống lại phần mềm phá hoại, do đó có khả năng chặn bất kỳ quyền truy cập không an toàn nào vào các thư mục được bảo vệ.
Các nhà nghiên cứu cho biết: “Một nhóm nhỏ các ứng dụng trong danh sách cho phép được cấp đặc quyền để ghi vào các thư mục được bảo vệ. “Tuy nhiên, bản thân các ứng dụng trong danh sách cho phép không được bảo vệ để khỏi bị các ứng dụng khác lạm dụng. Do đó, sự tin tưởng này là không có cơ sở vì phần mềm độc hại có thể thực hiện các hoạt động trên các thư mục được bảo vệ bằng cách sử dụng các ứng dụng trong danh sách trắng làm trung gian.”
Một kịch bản tấn công do các nhà nghiên cứu nghĩ ra đã tiết lộ rằng mã độc có thể được sử dụng để điều khiển một ứng dụng đáng tin cậy như Notepad để thực hiện các thao tác ghi và mã hóa các tệp của nạn nhân được lưu trữ trong các thư mục được bảo vệ. Với mục đích này, ransomware đọc các tệp trong các thư mục, mã hóa chúng trong bộ nhớ và sao chép chúng vào khay nhớ tạm của hệ thống, sau đó, ransomware khởi chạy Notepad để ghi đè nội dung thư mục bằng dữ liệu khay nhớ tạm.
Tệ hơn nữa, bằng cách tận dụng Paint như một ứng dụng đáng tin cậy, các nhà nghiên cứu phát hiện ra rằng chuỗi tấn công nói trên có thể được sử dụng để ghi đè lên các tệp của người dùng bằng một hình ảnh được tạo ngẫu nhiên để phá hủy chúng vĩnh viễn.
Mặt khác, cuộc tấn công Ghost Control có thể gây ra hậu quả nghiêm trọng, vì việc tắt tính năng bảo vệ chống phần mềm độc hại theo thời gian thực bằng cách mô phỏng các hành động hợp pháp của người dùng được thực hiện trên giao diện người dùng của giải pháp chống vi-rút có thể cho phép kẻ thù thả và thực thi bất kỳ chương trình giả mạo nào từ một máy chủ từ xa dưới sự kiểm soát của họ.
Trong số 29 giải pháp chống vi-rút được đánh giá trong quá trình nghiên cứu, 14 giải pháp trong số đó dễ bị tấn công bởi Ghost Control, trong khi tất cả 29 chương trình chống vi-rút được thử nghiệm đều có nguy cơ bị tấn công Cắt và Chuột. Các nhà nghiên cứu không nêu tên các nhà cung cấp bị ảnh hưởng.
Nếu bất cứ điều gì, phát hiện là một lời nhắc nhở rằng ngay cả các giải pháp bảo mật được thiết kế rõ ràng để bảo vệ tài sản kỹ thuật số khỏi các cuộc tấn công phần mềm độc hại cũng có thể mắc phải những điểm yếu, do đó đánh bại mục đích của chúng. Ngay cả khi các nhà cung cấp phần mềm chống vi-rút tiếp tục tăng cường phòng thủ, các tác giả phần mềm độc hại đã lén lút vượt qua những rào cản như vậy thông qua các chiến thuật trốn tránh và làm xáo trộn, chưa kể thậm chí còn bỏ qua khả năng phát hiện hành vi của họ bằng cách sử dụng đầu vào đối nghịch thông qua các cuộc tấn công bằng chất độc.
Các nhà nghiên cứu cho biết: “Khả năng tổng hợp an toàn là một vấn đề nổi tiếng trong kỹ thuật bảo mật. “Các thành phần, khi được sử dụng riêng biệt, cung cấp một bề mặt tấn công đã biết nhất định sẽ tạo ra một bề mặt rộng hơn khi được tích hợp vào hệ thống. Các thành phần tương tác với nhau và với các bộ phận khác của hệ thống tạo ra một động lực mà kẻ tấn công cũng có thể tương tác và theo nhiều cách mà nhà thiết kế không lường trước được. “
