Malware (mã độc) luôn tìm cách che giấu để tránh bị phát hiện và duy trì khả năng tồn tại trong hệ thống. Hiểu rõ những “điểm nóng” mà malware thường ẩn mình sẽ giúp tổ chức chủ động hơn trong công tác bảo mật và ứng phó sự cố.
Các vị trí thường được malware lợi dụng
1. Memory
Một số malware “fileless” hoạt động hoàn toàn trong bộ nhớ (RAM) thay vì ghi vào ổ đĩa, vì vậy không để lại dấu vết forensics. Loại mã độc này biến mất sau khi khởi động lại hệ thống. Tuy nhiên, để tồn tại lâu hơn, chúng thường thêm registry keys để tự động tải lại payload vào memory mỗi khi Windows khởi động.
2. Legitimate processes
Kỹ thuật process injection hoặc process hollowing cho phép malware “ẩn mình” trong tiến trình hợp pháp. Mã độc tạo một tiến trình hợp pháp ở trạng thái tạm dừng, chèn code độc hại vào bộ nhớ, sau đó cho tiến trình tiếp tục hoạt động. Điều này khiến việc phát hiện trở nên khó khăn hơn vì tiến trình nhìn bề ngoài vẫn hợp pháp.
3. Boot records
Bootkits nhắm vào volume boot record (VBR) hoặc master boot record (MBR) để chạy trước khi Windows được tải. Do nằm ngoài hệ thống file của Windows, bootkits thường không bị các công cụ bảo mật tiêu chuẩn phát hiện. Đáng lo ngại hơn, chúng có thể tồn tại ngay cả khi cài đặt lại hệ điều hành.
4. NTFS Alternative Data Streams (ADS)
ADS là một tính năng trong NTFS dùng để lưu trữ metadata hoặc thông tin bổ sung. Malware có thể lợi dụng đặc điểm này để cất giấu code độc hại trong các “dòng dữ liệu thay thế”, khiến quản trị viên khó nhận biết.
5. AppData và ProgramData
Hai thư mục C:\Users\%username%\AppData và C:\ProgramData vốn được ẩn mặc định và chứa nhiều file không rõ ràng. Đây là “mảnh đất màu mỡ” để malware tồn tại.
Ngoài ra, một số mã độc còn sử dụng thư mục Startup của người dùng:
C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Nhờ vậy, chúng tự động được kích hoạt mỗi khi người dùng đăng nhập, duy trì khả năng persistence lâu dài.
ThreatDown giúp gì?
Các khu vực trên đều là “điểm mù” của bảo mật truyền thống, nơi mà antivirus thông thường khó phát hiện. Đây chính là lý do EDR (Endpoint Detection and Response) như ThreatDown trở nên cần thiết.
ThreatDown không chỉ dừng lại ở việc quét file mà còn liên tục giám sát hành vi hệ thống:
- Phát hiện các hoạt động fileless malware chạy trong memory.
- Chặn kỹ thuật process injection để ngăn mã độc ẩn trong tiến trình hợp pháp.
- Giám sát thay đổi boot records để ngăn bootkit duy trì persistence.
- Theo dõi và cảnh báo khi có dấu hiệu lợi dụng ADS, AppData hoặc Startup folder.
- Chủ động phản hồi và cô lập endpoint bị xâm nhập, giảm thiểu thiệt hại.
Với cơ chế proactive, always-on protection, ThreatDown giúp tổ chức nhìn thấy những gì trước đây “ẩn trong bóng tối”, đồng thời cung cấp khả năng điều tra – phản hồi nhanh chóng khi có sự cố.
Kết luận
Malware không chỉ ẩn trong các file thực thi quen thuộc mà còn khai thác những khu vực ít được chú ý trong Windows như memory, boot records hay ADS. Việc nắm rõ các “điểm ẩn náu” này giúp tổ chức xây dựng chiến lược bảo vệ tốt hơn.
Thông tin hãng cung cấp giải pháp:
Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….
Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!
