Tin An Ninh Mạng

Tấn công NoFilter cho phép leo thang đặc quyền trên Windows mà không bị phát hiện

hacker 23
Một kỹ thuật tấn công mới vừa được phát hiện có tên NoFilter, lạm dụng nền tảng Windows Filtering Platform (WFP) để leo thang đặc quyền trên hệ điều hành Windows.

{

}

Nofilter.jpg

Phát hiện này được các chuyên gia đến từ Công ty Deep Instinct trình bày tại Hội thảo an ninh DEFCON vừa kết thúc tại Mỹ.

WFP là một bộ các dịch vụ API và hệ thống được sử dụng để xử lý lưu lượng mạng và cho phép cấu hình các bộ lọc để cấp phép hoặc chặn các giao tiếp.

Với kỹ thuật tấn công mới này, tin tặc khi đã xâm nhập được vào máy nạn nhân sẽ tiến hành cài đặt một file độc hại có tên NoFilter.exe để nâng từ quyền admin lên SYSTEM (hệ thống).

Nói cách khác, NoFilter có thể khởi chạy bảng điều khiển mới với tư cách là “NT AUTHORITYSYSTEM” hoặc một người dùng khác khi đã truy cập được vào thiết bị.

Kỹ thuật nói ở trên có thể bị chỉnh sửa để thực hiện nhân bản trong nhân qua WFP, khiến nó vừa lẩn tránh, vừa tàng hình và hầu như không để lại bất kỳ bằng chứng hay nhật ký nào. Người dùng có thể tham khảo phân tích chi tiết về kỹ thuật này tại đây.

Cần lưu ý là kỹ thuật NoFilter có thể lạm dụng các thành phần được tích hợp sẵn trong hệ điều hành như WFP nhưng tránh WinAPI được giám sát bởi các sản phẩm an ninh.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !