Các nhà nghiên cứu an ninh mạng tại Wordfence Threat Intelligence và các đội ngũ Chăm sóc & Phản ứng của họ đã quan sát thấy một xu hướng bền vững trong các loại mã độc mới. Những mã độc này lợi dụng các kỹ thuật che giấu phức tạp để tránh bị phát hiện. Trong khi một số mã độc cố gắng ngụy trang thành các tệp hợp pháp, chiến lược phổ biến hơn là sử dụng các phương pháp che giấu tinh vi thông qua các hàm biến và thao tác cookie.

Bài viết này sẽ đi sâu vào cơ chế hoạt động của loại mã độc này, phân tích các mẫu đại diện, và thảo luận về cách các chuyên gia bảo mật có thể phát hiện tấn công và giảm thiểu các mối đe dọa này.

Các Kỹ Thuật Che Giấu Mã Độc Mới

Lợi Dụng Hàm Biến (Variable Functions) trong PHP

Một phương pháp đặc trưng của loại mã độc này là sử dụng các hàm biến trong PHP. Ngôn ngữ PHP cho phép thực thi một hàm được gọi tên bằng giá trị của một biến. Mặc dù tính năng này có những ứng dụng lập trình hợp pháp, những kẻ tấn công lại lợi dụng nó để che giấu hành vi độc hại.

Ví dụ, một backdoor đơn giản có thể lưu trữ các tên hàm như 'eval' và 'base64_decode' vào các biến. Sau đó, nó gọi các hàm đó một cách động với các payload do người dùng nhập vào. Điều này cho phép thực thi mã tùy ý trên máy chủ.

Thao Túng Cookie để Che Giấu Mã Độc

Cookie cũng đóng một vai trò mới trong các cuộc tấn công này. Thông thường, cookie được sử dụng để lưu trữ tùy chọn người dùng hoặc thông tin phiên làm việc. Tuy nhiên, trong trường hợp này, chúng bị vũ khí hóa để mang các đoạn script độc hại hoặc tên hàm đã được mã hóa.

Mã độc kiểm tra các cookie cụ thể, xác thực chúng, và sau đó tái tạo tên hàm hoặc mã một cách động. Quá trình này được thực hiện bằng cách ghép nối các giá trị cookie, giải mã chúng, và thực thi các script tạo ra.

Kỹ thuật che giấu nhiều lớp này làm nhiễu loạn các trình quét truyền thống và che giấu ý định thực sự của mã độc.

Phân Tích Các Mẫu Mã Độc Điển Hình

Mẫu 1: Kỹ Thuật 11 Cookie và Ghép Nối Hàm

Một chủng mã độc được phân tích yêu cầu chính xác 11 cookie và sử dụng chúng để lắp ráp các tên hàm và các phân đoạn mã có thể thực thi. Chẳng hạn, nó ghép nối các giá trị cookie chứa “base64_” và “decode” để tạo thành tên hàm “base64_decode”.

Sau đó, nó giải mã dữ liệu cookie tiếp theo như tên hàm và đoạn mã được mã hóa base64. Cuối cùng, nó tạo và thực thi một hàm động. Hàm này có thể xuất ra một thông báo hoặc thực hiện các hành động độc hại.

Điều này cho thấy cách kẻ tấn công che giấu các hoạt động phức tạp đằng sau mã trông có vẻ tầm thường. Mã này chỉ kích hoạt dưới các điều kiện chính xác được xác minh thông qua cookie.

Mẫu 2: Điều Kiện Boolean và Giải Mã Payload

Một mẫu khác sử dụng một điều kiện boolean yêu cầu các cookie nhất định phải tồn tại và đáp ứng các điều kiện toán học trước khi thực thi. Nó dùng str_replace để biến đổi các chuỗi bị che giấu thành tên hàm thực tế như “base64_decode”.

Sau đó, nó giải mã (unserialize) các payload đã được mã hóa từ cookie. Quá trình này tạo ra một mảng các hàm và đối số độc hại để chạy các hành động tùy ý, bao gồm cả việc đưa vào các tệp do kẻ tấn công kiểm soát. Sự linh hoạt này cho phép kẻ tấn công tùy chỉnh payload của họ một cách linh hoạt.

Mẫu 3: Kết Hợp Đếm Cookie và Hàm Vô Danh

Một ví dụ thứ ba kết hợp kiểm tra số lượng 22 cookie và tìm kiếm một cookie chứa “array22”. Thông qua các chuỗi gọi hàm biến và ghép nối, nó xây dựng và thực thi một hàm vô danh.

Luồng điều khiển được che giấu dựa trên toán tử ternary này làm tăng độ phức tạp cho việc phân tích và phát hiện tấn công.

Nhận Diện và Phát Hiện Tấn Công Phức Tạp

Theo Wordfence, vào tháng 9 năm 2025, các chữ ký mã độc được phát triển bởi Wordfence để phát hiện các kỹ thuật này đã ghi nhận hơn 30.000 lượt phát hiện. Mặc dù có sự che giấu, mã độc vẫn chia sẻ các mẫu có thể nhận dạng được, rất có giá trị cho việc phát hiện.

Các Dấu Hiệu Đặc Trưng của Mã Độc Được Che Giấu

Các dấu hiệu này thường bao gồm:

• Các đoạn mã bị che giấu dày đặc, ngắn gọn.
• Sử dụng quá mức các thao tác tra cứu mảng và ghép nối.
• Phụ thuộc vào các siêu biến toàn cục như $_COOKIE cho payload.
• Các lệnh gọi hàm biến phức tạp.

Mã được viết bởi con người hoặc được tạo bởi AI thường tránh các kỹ thuật che giấu dày đặc như vậy, vì chúng cản trở việc gỡ lỗi và khả năng đọc.

Thách Thức và Giải Pháp Phát Hiện Tấn Công

Việc phát hiện tấn công dựa trên chữ ký truyền thống có thể gặp khó khăn do các biến thể mã độc liên tục thay đổi script của chúng. Tuy nhiên, các phương pháp phát hiện dựa trên hành vi và heuristic, tập trung vào các mẫu mã hóa bất thường này, giúp khắc phục nhược điểm đó.

Các chữ ký mã độc cao cấp của Wordfence phát hiện hơn 99% các biến thể đã biết bằng cách nhắm mục tiêu vào các đặc điểm này. Ngoài ra, các công cụ như Wordfence CLI cho phép quét sâu ngay cả khi cài đặt WordPress bị hỏng, mang lại một lớp bảo mật quan trọng.

Các dịch vụ Chăm sóc và Phản ứng của Wordfence cung cấp hỗ trợ chuyên gia tận tâm trong việc xác định, làm sạch và khắc phục các lây nhiễm từ các loại mã độc khó nắm bắt này. Các chuyên gia liên tục thêm các mẫu mã độc mới vào cơ sở dữ liệu threat intelligence của họ để cập nhật khả năng phát hiện và bảo vệ người dùng một cách toàn diện.

Phòng Chống và Phản Ứng Với Mối Đe Dọa Mã Độc

Kỹ thuật che giấu sử dụng hàm biến kết hợp với thao tác cookie thể hiện một phương pháp né tránh mã độc đã được thử nghiệm và chứng minh hiệu quả cao. Mặc dù các chiến thuật này đã được quan sát trước đây, chúng tiếp tục phát triển và phổ biến, đòi hỏi sự cảnh giác liên tục từ các đội ngũ an ninh mạng.

Bằng cách hiểu rõ các chiến thuật đã thảo luận, nhận diện các mẫu đặc trưng và áp dụng các chữ ký phát hiện chuyên biệt cùng các dịch vụ dọn dẹp, quản trị viên web có thể giảm đáng kể rủi ro do các mối đe dọa ẩn này gây ra.

Nếu bạn phát hiện mã độc mới hoặc các biến thể né tránh phát hiện, việc hợp tác với các nhóm threat intelligence bằng cách chia sẻ các mẫu sẽ giúp bảo vệ cộng đồng rộng lớn hơn khỏi các cuộc tấn công mới nổi. Cuộc chiến chống lại mã độc ngày càng tinh vi phụ thuộc vào nghiên cứu liên tục, các biện pháp phòng thủ chủ động và sự hợp tác của cộng đồng.