Bảo vệ Windows nay phát hiện được những công cụ độc hại như backdoor

Buzz

Đọc tóm tắt

- Windows Defender ngăn chặn công cụ độc hại thông qua Debugger Image File Execution Options.
- Khóa Registry cho phép gắn liền trình gỡ lỗi với chương trình để tự động chạy.
- Windows Defender phát hiện công cụ hỗ trợ Backdoor.
- Key IFEO được sử dụng để cấu hình backdoor trên máy tính.
- Windows Defender nhận diện key IFEO gắn liền với trình gỡ lỗi trên các chương trình trợ năng.
- Windows Defender phát hiện cuộc tấn công Win32/AccessibilityEscalation.
- Windows Defender nhận diện các trình gỡ lỗi có thể được sử dụng làm cổng sau.
- Windows Defender có thể bị tắt, nguy hiểm nếu không có phần mềm diệt virus khác.

Từ bây giờ, Windows Defender có thể phát hiện và ngăn chặn các công cụ độc hại như sethc.exe hoặc utilman.exe bị tấn công thông qua Debugger Image File Execution Options và chúng được sử dụng như cổng sau.

Nếu bạn chưa biết, khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Registry cho phép người dùng gắn liền trình gỡ lỗi (debugger) với chương trình để tự động chạy khi chương trình khởi động, giúp nhà phát triển dễ dàng gỡ lỗi chương trình của họ khi nó đang chạy.

Thông tin quan trọng: Microsoft Defender hiện đã có sẵn cho người dùng cá nhân

Windows Defender hiện có khả năng phát hiện các công cụ hỗ trợ Backdoor

Quy trình này được thực hiện bằng cách định cấu hình giá trị 'debugger' trong khóa Image File Execution Options (IFEO) được đặt sau tên của chương trình bạn muốn gỡ lỗi.

Ví dụ, giả sử bạn chỉ định rằng chương trình Notepad2.exe sẽ làm trình gỡ lỗi cho Notepad.exe, điều này có nghĩa là Notepad2.exe sẽ khởi chạy mỗi khi Notepad.exe được khởi động.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe

'debugger'='d:\notepad2\notepad2.exe /z'

Tính năng được thiết kế với mục đích chủ yếu là gỡ lỗi, nhưng người dùng cũng có thể tận dụng trong nhiều tình huống khác nhau. Ví dụ, nếu muốn thay thế Notepad.exe bằng một chương trình khác như Notepad2, bạn có thể áp dụng key ở trên. Hoặc sử dụng key để cấu hình thay thế Task Manager với Process Explorer thay vì khởi chạy Taskmgr.exe.

Đáng chú ý là kẻ tấn công cũng có thể tận dụng key này để cấu hình backdoor trên máy tính người dùng hoặc khởi chạy phần mềm độc hại. Ví dụ, key IFEO được tạo ra bởi phần mềm độc hại sẽ tự động chạy khi người dùng mở các ứng dụng, chương trình hợp lệ trên máy tính. Sau đó, phần mềm độc hại sẽ khởi chạy các chương trình, ứng dụng được chỉ định ban đầu để nạn nhân không nhận ra bất cứ điều gì khác thường.

Ngoài ra, Image File Execution Options cũng có thể được sử dụng để cài đặt backdoor trên các hệ thống khởi chạy trực tiếp từ màn hình khóa Windows. Ví dụ, các chương trình trợ năng như Sticky Keys (sethc.exe) có thể được khởi chạy từ màn hình khóa bằng cách nhấn phím Shift 5 lần và Utility Manager (utilman.exe) có thể được khởi chạy bằng cách sử dụng tổ hợp bàn phím Windows + U.

Bằng cách tạo key IFEO cho các chương trình này và liên kết C:\Windows\System32\cmd.exe làm trình gỡ lỗi để tạo cổng sau mở trực tiếp trên màn hình khóa Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe

'debugger'='c:\windows\system32\cmd.exe'

Với key cấu hình ở trên, trên màn hình khóa, người dùng chỉ cần nhấn phím Shift 5 lần, sau đó hệ thống sẽ tự động mở CMD. Ngay cả khi lệnh được thực thi dưới quyền Admin, nó sẽ cung cấp quyền truy cập đầy đủ vào hệ thống máy tính của nạn nhân.

Windows Defender có khả năng phát hiện tấn công truy cập

Để bảo vệ Windows khỏi những kiểu tấn công này, phần mềm diệt virus Windows Defender sẽ nhận diện các key IFEO được tạo để gắn kết với các trình gỡ lỗi như cmd.exe hoặc taskmgr.exe trên các chương trình trợ năng có thể truy cập từ màn hình khóa. Ứng dụng cũng có khả năng phát hiện trực tiếp trên màn hình khóa để kẻ tấn công không thể cấu hình khi Windows không kết nối mạng.

Các cuộc tấn công này được xác định là Win32/AccessibilityEscalation và là nguyên nhân khiến Windows Defender tự động loại bỏ trình gỡ lỗi từ key Registry. Dưới đây là một ví dụ về cách Windows Defender phát hiện cuộc tấn công khi thêm C:\Windows\System32\cmd.exe debugger vào key sethc.exe IFEO:

Trong ví dụ trên, Windows Defender sẽ theo dõi các chương trình trợ năng dưới đây để nhận diện các trình gỡ lỗi có thể được sử dụng làm cổng sau:

Các thử nghiệm khác chỉ ra rằng tính năng phát hiện trên Windows Defender sẽ được kích hoạt khi thêm bất kỳ trình gỡ lỗi nào dưới đây vào các chương trình.

c:\windows\system32\cmd.exe
c:\windows\system32\taskmgr.exe
c:\windows\cmd.exe

Tuy nhiên, đây chỉ là một số thử nghiệm và Windows Defender có thể nhận diện nhiều chương trình và trình gỡ lỗi khác.

Trong nhiều trường hợp, Windows Defender bị tắt và không hoạt động trên Windows. Nếu bạn không sử dụng phần mềm diệt virus khác, đây là tình huống rất nguy hiểm vì máy tính có thể bị nhiễm virus mà không có cảnh báo. Do đó, khi gặp vấn đề này, hãy thực hiện Sửa lỗi Windows Defender bị vô hiệu hóa.

Các câu hỏi thường gặp

Windows Defender có thể phát hiện các công cụ độc hại nào không?

Có, Windows Defender có khả năng phát hiện và ngăn chặn các công cụ độc hại như sethc.exe và utilman.exe khi chúng bị tấn công thông qua Debugger Image File Execution Options.

Cách thức hoạt động của Image File Execution Options là gì?

Image File Execution Options cho phép người dùng gán trình gỡ lỗi với các chương trình cụ thể, giúp tự động chạy trình gỡ lỗi khi chương trình đó khởi động, tạo điều kiện cho việc gỡ lỗi dễ dàng.

Kẻ tấn công có thể lợi dụng khóa IFEO như thế nào?

Kẻ tấn công có thể sử dụng khóa IFEO để cấu hình backdoor, cho phép phần mềm độc hại tự động chạy khi người dùng mở các ứng dụng hợp lệ, giúp kẻ tấn công ẩn mình.

Tại sao Windows Defender lại quan trọng trong việc bảo vệ máy tính?

Windows Defender quan trọng vì nó có khả năng phát hiện các cuộc tấn công truy cập thông qua các khóa IFEO, giúp bảo vệ hệ thống khỏi các mối đe dọa và phần mềm độc hại.

Nếu Windows Defender bị tắt, tôi nên làm gì để bảo vệ máy tính?

Nếu Windows Defender bị tắt, bạn nên kích hoạt lại hoặc cài đặt phần mềm diệt virus khác để bảo vệ máy tính khỏi virus và mối đe dọa, tránh tình huống không có cảnh báo bảo mật.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua email: [email protected]