<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Process-Injection on Roduygo | Blog</title><link>/tags/process-injection/</link><description>Recent content in Process-Injection on Roduygo | Blog</description><generator>Hugo -- gohugo.io</generator><language>en</language><lastBuildDate>Fri, 08 May 2026 12:00:00 +0700</lastBuildDate><atom:link href="/tags/process-injection/index.xml" rel="self" type="application/rss+xml"/><item><title>Sysmon (Phần 2)</title><link>/post/sysmon-phan-2-fileless-malware/</link><pubDate>Fri, 08 May 2026 12:00:00 +0700</pubDate><guid>/post/sysmon-phan-2-fileless-malware/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Phần 2 của loạt bài về Sysmon trong Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Ở phần trước, chúng ta đã dùng Event ID 1 để &amp;ldquo;bắt thóp&amp;rdquo; mã độc dựa vào mã Hash. Nhưng nếu mã độc không tồn tại dưới dạng file trên ổ cứng thì sao? Nếu chúng chạy thẳng trên RAM, hoặc âm thầm chọc ngoáy vào tiến trình hệ thống để ăn cắp mật khẩu? Hôm nay, chúng ta sẽ mở khóa sức mạnh thực sự của Sysmon với bộ 3 Event ID sinh tử: 3, 10 và 11 để chống lại những kỹ thuật lẩn tránh (Evasion) tinh vi nhất.&lt;/p&gt;
&lt;h2 id="1-event-id-10-process-access-kính-lúp-soi-bộ-nhớ-và-fileless-malware"&gt;1. Event ID 10 (Process Access): &amp;ldquo;Kính lúp&amp;rdquo; soi bộ nhớ và Fileless Malware
&lt;/h2&gt;&lt;p&gt;Trong hệ điều hành Windows, các tiến trình (Process) vốn dĩ nằm trong các không gian bộ nhớ biệt lập. Tuy nhiên, mã độc thường xuyên tìm cách &amp;ldquo;chọc&amp;rdquo; vào vùng nhớ của các tiến trình hệ thống hợp lệ để ăn cắp dữ liệu hoặc tiêm mã độc (Process Injection) nhằm che giấu hành vi.&lt;/p&gt;
&lt;p&gt;Đây là lúc &lt;strong&gt;Sysmon Event ID 10 (Process Access)&lt;/strong&gt; tỏa sáng. Trong khi Windows mặc định dùng Event ID 4656 nhưng rất khó cấu hình, Sysmon EID 10 cung cấp bức tranh rõ nét về việc tiến trình nào đang đòi quyền truy cập vào tiến trình nào.&lt;/p&gt;
&lt;p&gt;Đặc biệt, EID 10 là &amp;ldquo;khắc tinh&amp;rdquo; của hai hành vi sau:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Dump mật khẩu LSASS:&lt;/strong&gt; Hacker thường nhắm vào tiến trình &lt;code&gt;lsass.exe&lt;/code&gt; để trích xuất mật khẩu. EID 10 sẽ cảnh báo ngay nếu một file lạ xin quyền truy cập vào &lt;code&gt;lsass.exe&lt;/code&gt;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Tiêm mã độc vào RAM (Kỹ thuật tàng hình/Fileless):&lt;/strong&gt; Dưới đây là một ví dụ thực chiến từ log Sysmon:&lt;/li&gt;
&lt;/ul&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-yaml" data-lang="yaml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Source Image&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Users\sarah.miller\Downloads\ckjg.exe&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Target Image&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Windows\System32\Wbem\wmic.exe&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Granted Access&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;0x1FFFFF&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;CallTrace&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Windows\SYSTEM32\ntdll.dll+...|UNKNOWN(00007FF7CE73CB77)&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;Phân tích góc nhìn SOC:&lt;/strong&gt;&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Một file có tên ngẫu nhiên &lt;code&gt;ckjg.exe&lt;/code&gt; tải về từ thư mục Downloads lại đi chọc vào công cụ quản lý hệ thống &lt;code&gt;wmic.exe&lt;/code&gt; của Windows.&lt;/li&gt;
&lt;li&gt;Quyền truy cập là &lt;code&gt;0x1FFFFF&lt;/code&gt; (Full Access) – một quyền tối thượng cực kỳ đáng ngờ.&lt;/li&gt;
&lt;li&gt;Đáng chú ý nhất là trường &lt;code&gt;CallTrace&lt;/code&gt;. Nó hiển thị chuỗi thư viện được gọi, nhưng ở đoạn cuối lại xuất hiện vùng nhớ &lt;code&gt;UNKNOWN(00007FF7CE73CB77)&lt;/code&gt;. Điều này cho thấy mã thực thi đang chạy ở một vùng nhớ không xác định, một dấu hiệu kinh điển của việc mã độc giải nén (unpack) shellcode trực tiếp vào RAM để né phần mềm diệt virus quét file vật lý.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="2-event-id-11-file-creation-theo-dấu-các-điểm-neo-persistence"&gt;2. Event ID 11 (File Creation): Theo dấu các điểm neo Persistence
&lt;/h2&gt;&lt;p&gt;Hacker có thể chạy mã độc trên RAM, nhưng để duy trì sự hiện diện (Persistence) qua những lần khởi động lại máy, chúng buộc phải để lại một thứ gì đó trên ổ đĩa. Thay vì cấu hình Audit Object Access phức tạp để lấy Event ID 4663 của Windows, &lt;strong&gt;Sysmon Event ID 11&lt;/strong&gt; mặc định ghi lại toàn bộ các file thực thi được tạo ra.&lt;/p&gt;
&lt;p&gt;Dựa vào tiến trình đáng ngờ &lt;code&gt;ckjg.exe&lt;/code&gt; ở trên, nếu ta tra cứu tiếp Event ID 11, ta sẽ bắt được ngay hành động giấu file của nó:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-yaml" data-lang="yaml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;ProcessId&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;1460&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Image&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Users\sarah.miller\Downloads\ckjg.exe&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;TargetFilename&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;C:\Users\sarah.miller\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DeleteApp.url&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Chỉ với một log duy nhất, Sysmon EID 11 đã vạch trần việc mã độc vừa âm thầm tạo một file khởi động tên là &lt;code&gt;DeleteApp.url&lt;/code&gt; nhét thẳng vào thư mục Startup của người dùng để kích hoạt cùng hệ thống.&lt;/p&gt;
&lt;h2 id="3-event-id-3-network-connection-bắt-tại-trận-reverse-shell"&gt;3. Event ID 3 (Network Connection): Bắt tại trận Reverse Shell
&lt;/h2&gt;&lt;p&gt;Mã độc lấy cắp dữ liệu xong thì phải gửi ra ngoài, hoặc nó cần kết nối về máy chủ C2 (Command &amp;amp; Control) để nhận lệnh.&lt;/p&gt;
&lt;p&gt;Nhật ký tường lửa mặc định của Windows (EID 5156) thường sinh ra quá nhiều &amp;ldquo;rác&amp;rdquo; (noise), nhưng &lt;strong&gt;Sysmon Event ID 3&lt;/strong&gt; lại là một tuyệt tác vì nó gắn trực tiếp kết nối mạng đó với một tiến trình cụ thể.&lt;/p&gt;
&lt;p&gt;Khi soi tiếp tiến trình &lt;code&gt;ckjg.exe&lt;/code&gt; bằng EID 3, ta thu được:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-yaml" data-lang="yaml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Protocol&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;tcp&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Source IP&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;10.10.57.125&lt;/span&gt; &lt;span style="color:#ae81ff"&gt;(Máy nạn nhân)&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Destination IP&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;193.46.217.4&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;Destination Port&lt;/span&gt;: &lt;span style="color:#ae81ff"&gt;7777&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;[Mẹo SOC]:&lt;/strong&gt; Cổng 7777 thường không phải là cổng dịch vụ chuẩn. Sự kết hợp giữa một tiến trình rác trong thư mục Downloads, thực hiện Process Injection (EID 10), thả file vào Startup (EID 11) và mở cổng TCP ra IP bên ngoài (EID 3) là một bằng chứng 100% về một cuộc tấn công Reverse Shell đang diễn ra.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="4-đối-đối-phó-với-timestomping-và-fileless-nâng-cao"&gt;4. Đối đối phó với Timestomping và Fileless nâng cao
&lt;/h2&gt;&lt;h3 id="41-timestomping-giả-mạo-thời-gian"&gt;4.1 Timestomping (Giả mạo thời gian)
&lt;/h3&gt;&lt;p&gt;Trong quá trình điều tra Forensics, timeline là yếu tố sống còn. Để đánh lừa các nhà phân tích, hacker sử dụng kỹ thuật Timestomping – dùng công cụ sửa đổi ngày tạo (Creation Time) của mã độc lùi về quá khứ để trông giống như một tệp hệ thống đã tồn tại từ lâu.&lt;/p&gt;
&lt;p&gt;Ví dụ, trong một ổ đĩa FAT32 bị điều tra, ta có thể thấy một file &lt;code&gt;install.txt&lt;/code&gt; có thời gian truy cập cuối (Accessed Time) là năm 2018, nhưng thời gian tạo (Created Time) lại là năm 2025. Đây là dấu vết thao túng thời gian rõ rệt.&lt;/p&gt;
&lt;p&gt;Để bắt được hành vi này ngay lập tức, ta sử dụng &lt;strong&gt;Sysmon Event ID 2&lt;/strong&gt;. Nếu Windows Event ID 4670 chỉ đơn thuần ghi nhận thay đổi quyền/thuộc tính, thì Sysmon EID 2 được thiết kế đặc biệt để phát hiện và cảnh báo ngay khi có kẻ cố tình sửa đổi thời gian tạo của tệp tin.&lt;/p&gt;
&lt;h3 id="42-giám-sát-fileless-qua-powershell-event-id-4104"&gt;4.2 Giám sát Fileless qua PowerShell (Event ID 4104)
&lt;/h3&gt;&lt;p&gt;Khi nói đến mã độc không để lại file, PowerShell là công cụ bị lạm dụng nhiều nhất. Hacker sẽ truyền các chuỗi lệnh đã mã hóa Base64 thẳng vào RAM. Nếu chỉ nhìn Sysmon EID 1, bạn sẽ chỉ thấy câu lệnh &lt;code&gt;powershell -encodedCommand ...&lt;/code&gt; vô nghĩa.&lt;/p&gt;
&lt;p&gt;Để đối phó, SOC Analyst phải bật tính năng &lt;strong&gt;Script Block Logging (Event ID 4104)&lt;/strong&gt; trong nhánh &lt;code&gt;Microsoft-Windows-PowerShell/Operational&lt;/code&gt;. Ngay cả khi hacker mã hóa code, PowerShell bắt buộc phải tự giải mã nó trên RAM để thực thi. Lúc này, EID 4104 sẽ chộp lại và lưu trữ toàn bộ nội dung code dạng nguyên bản (clear-text).&lt;/p&gt;
&lt;p&gt;Bạn cũng có thể theo dõi &lt;strong&gt;Event ID 4103 (Module Logging)&lt;/strong&gt; để xem chính xác các tham số và biến số (Parameter Binding) nào đã được nạp vào, giúp truy vết tận gốc nguồn tài nguyên độc hại.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Bằng cách kết hợp Sysmon (EID 3, 10, 11) cùng các nhật ký giám sát PowerShell, bạn đã dựng lên một lưới điện an ninh dày đặc. Mã độc có thể đổi tên, giấu file, giả mạo thời gian hay chạy trên RAM, nhưng chúng không bao giờ có thể xóa bỏ hoàn toàn những chuỗi hành vi logic mà chúng tạo ra trên hệ điều hành. Chúc các bạn áp dụng hiệu quả vào hệ thống SIEM của mình để trở thành một Threat Hunter xuất sắc!&lt;/em&gt;&lt;/p&gt;</description></item></channel></rss>