Phương thức tấn công mới “qua mặt” các phần mềm bảo mật

Quản Trị Mạng - Một phương pháp tấn công mới, được cho là khá táo bạo, nguy hiểm và tinh vi, với khả năng “qua mặt” dễ dàng nhiều chương trình bảo mật dành cho Windows phổ biến hiện nay, hoạt động theo cơ chế tải các trình điều khiển – driver, đã bị lây nhiễm vào sâu bên trong hệ thống Windows vốn được bảo vệ kỹ lưỡng. Cách thức tấn công kiểu này được tìm ra và tiếp tục khai thác bởi Matousec.com, thực tế nhiều chương trình bảo mật dựa vào hệ thống nhân System Service Descriptor Table (SSDT) để theo dõi toàn bộ chương trình, ứng dụng trong hệ thống Windows.

Nếu người dùng tiến hành gọi bất kỳ chức năng cụ thể nào của hệ thống – ví dụ như việc tải trình điều khiển bất kỳ, các chương trình bảo mật sẽ tiến hành theo dõi xem còn ứng dụng nào đã và đang được kích hoạt đi kèm hay không. Nếu không, chương trình sẽ tự động chuyển tiếp những hành động này đến chức năng thực. Theo Matousec, các bộ phận chuyển đổi chức năng trong suốt quá trình kiểm tra, sẽ có thể là thời điểm lý tưởng để các chương trình malware đồng thời vượt qua bức tường an ninh của chương trình bảo mật và của hệ thống, sau đó chúng sẽ tự động tải driver nhiễm độc này vào sâu bên trong hệ thống hoặc tiếp tục kích hoạt những ứng dụng ngầm khác.

Bí quyết của công đoạn khéo léo này năm ở chỗ tin tặc nắm được chính xác khoảng thời gian chương trình bảo mật hoàn tất công đoạn kiểm tra các phương thức gọi, tải hoặc nạp các ứng dụng. Và thông qua giai đoạn này, tin tặc vẫn có thể truy cập, thay đổi tên các driver sẽ được tải, và chỉ định những bộ kernel nào thực hiện việc này. Điều này yêu cầu những kỹ năng phức tạp và khả năng nắm bắt thời gian chính xác, rất nhiều các công đoạn phức tạp khác nữa. Matousec đã thống kê được khoảng 34 chương trình bảo mật có khả năng bị “qua mặt” vì những ứng dụng này sử dụng cơ chế SSDT hoặc các cơ chế khác để theo dõi hoạt động của toàn bộ hệ thống. Matousec hiện tại sử dụng 1 framework đã được phát triển là KHOBE - Kernel HOok Bypassing Engine để kiểm tra.

Các nhà cung cấp chương trình bảo mật đã nhận được cảnh báo từ Matousec vài tuần trước đây, đi kèm theo lời đề nghị mua lại toàn bộ kết quả quá trình kiểm tra và đánh giá. Nhưng hầu như Matousec không nhận được phản hồi tích cực. Tuy nhiên, hầu hết các nhà cung cấp phần mềm bảo mật cũng đang gặp khó khăn trong việc xây dựng lại toàn bộ quá trình khai thác lỗ hổng dựa vào những thông thông tin có sẵn.

Hãng bảo mật F-Secure đã đưa ra cái nhìn khái quát về vấn đề này. Hãng lưu ý rằng vấn đề chỉ xảy ra với phần mềm malware giả mạo vốn không có signature đáng tin cậy, nhưng lại có thể dễ dàng bị phát hiển bởi những hệ thống được trang bị hiện đại và đầy đủ. Tất cả các hãng phần mềm bảo mật đang giải quyết vấn đề 1 cách nghiêm túc với nhiều giải pháp được đưa ra, nhưng việc thực hiện những giải pháp đó thật không hề đơn giản. Trong khi Microsoft đưa ra ý kiến về việc sử dụng 1 hàm API đặc biệt nhằm tích hợp các phần mềm diệt virus và các hệ điều hành mới như Windows 7 và Vista SP1, thì không có API nào đáp ứng được điều này trong khi phần lớn vẫn hoạt động tốt trong nền tảng Windows XP. Hơn nữa, theo thông tin từ hãng phần mềm bảo mật Avira của Đức, phần lớn các hàm API phổ biến đang sử dụng không thể đáp ứng được những yêu cầu trên. Vì vậy, bắt buộc phải ứng dụng tính năng SSDT để theo dõi các hoạt động hệ thống, và vẫn được áp dụng trong sản phẩm Antivir 10. Phiên bản cũ hơn- Antivir 9, không hề có khả năng phát hiện được những hành vi trên (với cả Windows 7 và Vista SP1).

Kỹ thuật tấn công trên được mô tả bởi Matousec không phải là hoàn toàn mới, vốn đã tồn tại khoảng 14 năm và được biết đến với tên gọi là time-of-check-to-time-of-use problem (TOCTTOU). Vấn đề này lần đầu tiên được miêu tả bởi Matt Bishop và Michael Dilger vào năm 1996. Và Andrey Kolishak đã phát hiện ra các sự ảnh hưởng, điều kiện liên quan trong môi trường Windows vào năm 2003.