Bandizip bị phát hiện nguy cơ bị lợi dụng để qua mặt phần mềm diệt virus

[Kaya]

Một công cụ đi kèm phần mềm nén file phổ biến Bandizip vừa bị giới nghiên cứu bảo mật cảnh báo có thể bị tin tặc lợi dụng để tải mã độc mà không dễ bị phần mềm bảo mật phát hiện.

Vấn đề nằm ở tiện ích ký số có tên RegDll được cài kèm theo Bandizip. Theo các chuyên gia, công cụ này có thể bị khai thác theo kỹ thuật “white plus black”, hay còn gọi là “white loading”, tức lợi dụng chương trình hợp pháp có chữ ký số tin cậy để chạy thư viện DLL độc hại.​

Công cụ có chữ ký hợp lệ nhưng có thể tải DLL tùy ý​

Theo phân tích, sau khi cài Bandizip, hệ thống sẽ xuất hiện hai file RegDll.x64.exe và RegDll.x86.exe. Các file này đều mang chữ ký số chính thức của Bandisoft nên thường được phần mềm bảo mật xem là đáng tin cậy.
​

Ảnh: Internet​

Tuy nhiên, RegDll lại cho phép tải trực tiếp các file DLL thông qua cơ chế LoadLibraryW mà không kiểm tra đường dẫn, không xác minh chữ ký số và cũng không có whitelist giới hạn file được phép chạy. Điều này đồng nghĩa kẻ tấn công có thể dùng RegDll để gọi và kích hoạt bất kỳ DLL độc hại nào trên máy nạn nhân.​

Kỹ thuật “white plus black” tiếp tục bị lợi dụng​

Giới an ninh mạng cho biết đây là mô hình tấn công khá phổ biến trong các chiến dịch APT hiện nay. Thay vì chạy trực tiếp malware dễ bị phát hiện, tin tặc sẽ dùng một chương trình hợp pháp có chữ ký số để tải mã độc. Vì tiến trình được khởi chạy bởi phần mềm đáng tin cậy nên nhiều giải pháp bảo mật có thể bỏ qua hoặc giảm mức độ cảnh báo. Trong trường hợp của Bandizip, RegDll bị đánh giá là “bàn đạp” phù hợp cho kiểu tấn công này.

Kịch bản phổ biến là nạn nhân trước tiên bị dụ tải file BAT, EXE hoặc DLL thông qua email lừa đảo hay mã khai thác. Sau đó hacker gọi RegDll để kích hoạt payload độc hại.​

Người dùng cá nhân ít nguy hiểm hơn doanh nghiệp​

Các chuyên gia nhận định lỗ hổng này chưa phải kiểu có thể trực tiếp chiếm quyền điều khiển máy từ xa hay leo thang đặc quyền. Payload được chạy sẽ chỉ kế thừa quyền hiện tại của tiến trình RegDll, nên mức độ nguy hiểm với người dùng cá nhân được đánh giá ở mức trung bình thấp.

Tuy nhiên trong môi trường doanh nghiệp, nguy cơ cao hơn do hacker có thể tận dụng công cụ này để duy trì hiện diện, né tránh phát hiện hoặc hỗ trợ di chuyển ngang trong mạng nội bộ.

Do Bandizip là phần mềm rất phổ biến tại châu Á, giới bảo mật lo ngại công cụ này có thể trở thành mục tiêu nghiên cứu của các nhóm tấn công có chủ đích trong tương lai.​

Chuyên gia khuyến nghị gì?​

Hiện chưa có thông tin liệu vấn đề này đã được báo cáo chính thức tới Bandisoft hay chưa. Các chuyên gia khuyến cáo người dùng không nên chạy file DLL, EXE hoặc script không rõ nguồn gốc dù máy đã cài phần mềm bảo mật.

Với doanh nghiệp, cần giám sát hoạt động bất thường liên quan tới RegDll và tăng cường khả năng phát hiện kỹ thuật DLL side loading bằng các giải pháp EDR. Ngoài ra, Bandisoft được khuyến nghị bổ sung cơ chế kiểm tra chữ ký số, giới hạn DLL được phép gọi hoặc hạn chế tham số dòng lệnh có nguy cơ bị lạm dụng.​

• Không chạy file DLL, BAT hoặc EXE từ nguồn lạ​
• Cập nhật Bandizip lên phiên bản mới nhất​
• Theo dõi hoạt động bất thường liên quan tới RegDll​
• Doanh nghiệp nên triển khai EDR để phát hiện DLL side loading​
• Hạn chế người dùng chạy công cụ bằng quyền quản trị nếu không cần thiết​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview