Một bộ đóng gói mã độc Windows mới có tên TangleCrypt đã xuất hiện như một mối đe dọa nghiêm trọng trong các cuộc tấn công mã độc ransomware. Thiết kế của TangleCrypt chuyên biệt để né tránh các giải pháp phát hiện và phản hồi điểm cuối (EDR evasion).

TangleCrypt: Bộ Đóng Gói Mã Độc Tấn Công Ransomware

TangleCrypt lần đầu tiên được ghi nhận vào tháng 9 năm 2025 trong một sự cố mã độc ransomware liên quan đến Qilin ransomware. Trong sự cố này, các tác nhân đe dọa đã triển khai TangleCrypt cùng với trình điều khiển ABYSSWORKER để vô hiệu hóa các công cụ bảo mật trước khi mã hóa hệ thống của nạn nhân.

Cơ Chế Che Giấu Payload Phức Tạp của TangleCrypt

TangleCrypt hoạt động bằng cách ẩn các payload độc hại thông qua nhiều lớp mã hóa, nén và giải mã. Mã thực thi gốc được lưu trữ trong các tài nguyên PE sử dụng mã hóa Base64, nén LZ78 và mã hóa XOR.

Phương pháp đa lớp này gây khó khăn cho các công cụ bảo mật truyền thống trong việc phát hiện malware thực sự được ẩn bên trong file thực thi đã đóng gói.

TangleCrypt và ABYSSWORKER: Phá Vỡ Phòng Ngự EDR

Các nhà nghiên cứu bảo mật của WithSecure Labs đã xác định được TangleCrypt trong quá trình điều tra phản ứng sự cố. Họ đã phục hồi các artifact bao gồm hai file thực thi được đóng gói bằng TangleCrypt và VMProtect, cùng với một trình điều khiển kernel mạo danh trình điều khiển CrowdStrike Falcon Sensor.

Payload được nhúng trong các file thực thi này được xác định là STONESTOP. Đây là một công cụ tiêu diệt EDR sử dụng trình điều khiển ABYSSWORKER để buộc chấm dứt các tiến trình bảo mật đang chạy trên hệ thống. Thông tin chi tiết về nghiên cứu này có thể tìm thấy tại WithSecure Labs.

Kỹ Thuật Chống Phân Tích (Anti-Analysis Techniques) của TangleCrypt

Bộ đóng gói này sử dụng mã hóa chuỗi (string encryption) và giải quyết import động (dynamic import resolving) để cản trở cả phân tích tĩnh và phân tích động.

Mặc dù các kỹ thuật này thường được các tác giả malware sử dụng, việc triển khai của TangleCrypt lại thiếu các cơ chế chống phân tích nâng cao. Điều này khiến cho việc giải đóng gói thủ công trở nên tương đối đơn giản đối với các nhà phân tích có kinh nghiệm.

Các Phương Thức Thực Thi Payload của TangleCrypt

TangleCrypt hỗ trợ hai phương pháp riêng biệt để khởi chạy payload của nó, được xác định bởi một chuỗi cấu hình được nối vào file thực thi nhúng.

Phương Thức “exex64_amd64_block_”

Phương pháp đầu tiên, được xác định bởi chuỗi “exex64_amd64_block_”, giải mã và thực thi payload trong cùng một vùng nhớ tiến trình.

Phương Thức “exex64_amd64__riin”

Phương pháp thứ hai, được đánh dấu bằng “exex64_amd64__riin”, tạo một tiến trình con bị tạm dừng. Sau đó, nó ghi payload đã giải mã vào tiến trình con này trước khi tiếp tục thực thi.

Quy Trình Giải Mã Payload Chi Tiết của TangleCrypt

Khi thực thi, loader của TangleCrypt đầu tiên giải mã một mục tài nguyên nhỏ chứa một khóa số, ví dụ như “175438”. Khóa này sau đó được sử dụng để giải mã XOR payload lớn hơn được lưu trữ trong các tài nguyên PE.

Quá trình giải mã tuân theo một chuỗi cụ thể:

• Một chuỗi được mã hóa Base64 được giải mã.
• Sau đó được giải nén bằng LZ78.
• Được giải mã lại từ Base64.
• Cuối cùng, được giải mã bằng XOR để lộ ra file thực thi gốc.

Sự phức tạp này giúp TangleCrypt duy trì khả năng EDR evasion hiệu quả.

Hành Vi Sau Khi Giải Mã và Vô Hiệu Hóa EDR

Sau khi giải đóng gói thành công, payload STONESTOP kiểm tra quyền quản trị (administrative privileges). Nếu có quyền nâng cao, nó sẽ đăng ký trình điều khiển ABYSSWORKER.

Trình điều khiển này sau đó chấm dứt các tiến trình khớp với danh sách định nghĩa trước các tên sản phẩm bảo mật. Điều này nhằm mục đích làm mù hệ thống phòng thủ của nạn nhân trước khi triển khai mã độc ransomware bắt đầu, đảm bảo tính hiệu quả của cuộc tấn công và EDR evasion toàn diện.