WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Cách tự bảo vệ khỏi các cuộc tấn công GIFShell
Phương pháp tấn công GIFShell mới được công bố, đây là cách tấn công qua Microsoft Teams, cũng là một ví dụ hoàn hảo về cách các hacker có thể khai thác các tính năng và cấu hình hợp pháp chưa được thiết lập chính xác. Dưới đây là các bước cần thiết để chống lại các cuộc tấn công này.
Phương pháp tấn công GifShell
Được phát hiện bởi Bobby Rauch, kỹ thuật tấn công GIFShell cho phép hacker khai thác một số tính năng của Microsoft Teams để hoạt động như một C&C cho mã độc và lọc dữ liệu bằng cách sử dụng GIF mà không bị EDR và các công cụ giám sát mạng khác phát hiện. Phương thức tấn công này cần có một thiết bị hoặc tài khoản người dùng đã bị xâm phạm.
cuộc tấn công cho phép hacker tạo một shell ngược gửi các lệnh độc hại thông qua các tệp GIF được mã hóa base64 trong Team và trích xuất kết quả thông qua các tệp GIF được truy xuất bởi cơ sở hạ tầng của chính Microsoft.
Phương thức hoạt động
Để tạo “shell” đảo ngược này, trước tiên hacker phải xâm nhập máy tính để cài mã độc. Điều này có nghĩa hacker cần thuyết phục người dùng cài đặt một payload độc hại để thực thi các lệnh và tải output lệnh lên webhook của Microsoft Teams thông qua url GIF.
Sau khi thiết lập, hacker sẽ tạo một đối tượng sử dụng Microsoft Teams và liên hệ với những người dùng Microsoft Teams khác bên ngoài tổ chức.
Sau đó, hacker có thể sử dụng tập lệnh GIFShell Python để gửi tin nhắn có chứa GIF tới người dùng Microsoft Teams. Ảnh GIF hợp pháp này đã được sửa đổi để giấu các lệnh để thực thi trên máy mục tiêu.
Khi mục tiêu nhận được tin nhắn và ảnh GIF sẽ được lưu trữ trong nhật ký của Microsoft Team. Điều quan trọng cần lưu ý: Microsoft Teams chạy như một tiến trình nền, vì vậy GIF thậm chí không cần người dùng mở để nhận lệnh thực thi của kẻ tấn công.
Các máy chủ của Microsoft sẽ kết nối trở lại URL của máy chủ tấn công để lấy GIF.
Máy chủ GIFShell chạy trên máy chủ của hacker sẽ nhận được yêu cầu này và tự động giải mã dữ liệu cho phép những kẻ tấn công xem đầu ra của lệnh chạy trên thiết bị của nạn nhân.
Phản hồi của Microsoft
Theo báo cáo của Lawrence Abrams trên BleepingComputer, Microsoft đồng ý rằng phương pháp tấn công này là vấn đề, tuy nhiên, vấn đề này "chưa đủ điều kiện để tung bản sửa lỗi bảo mật khẩn cấp." Hãng "có thể giải quyết vấn đề trong một bản phát hành tương lai." Microsoft thừa nhận nghiên cứu này nhưng khẳng định rằng không có ranh giới bảo mật nào bị vượt qua.
Cách bảo vệ chống lại tấn công GIFShell
1 - Tắt quyền truy cập ngoài: Microsoft Teams cho phép tất cả người ngoài tổ chức gửi tin nhắn. Nhiều quản trị viên thậm chí còn không biết rằng tổ chức mình cho phép truy cập từ ngoài. Vì vậy, quản trị có thể vô hiệu hóa cấu hình truy cập bên ngoài để đảm bảo an toàn.
Tắt quyền truy cập miền ngoài: Hạn chế việc các thành viên trong tổ chức tìm, gọi điện, trò chuyện và thiết lập cuộc họp với những người ngoài tổ chức trong bất kỳ miền nào.
Không cho phép các nhóm ngoài tổ chức quản lý trò chuyện, tiến hành chặn việc giao tiếp với nhóm người ngoài tổ chức có tài khoản chưa được quản lý.
2 - Nắm thông tin về thiết bị: Đảm bảo toàn bộ thiết bị của tổ chức mình hoàn toàn tuân thủ và đảm bảo an toàn bằng cách sử dụng giải pháp Quản lý lỗ hổng XDR / EDR /, như Crowdstrike hoặc Tenable.
Thậm chí có thể tích hợp giải pháp SSPM (Quản lý bảo mật SaaS) vào các công cụ an ninh để dễ dàng phát hiện và quản lý các rủi ro xuất phát từ các loại cấu hình này.
Phương pháp tấn công GifShell
Được phát hiện bởi Bobby Rauch, kỹ thuật tấn công GIFShell cho phép hacker khai thác một số tính năng của Microsoft Teams để hoạt động như một C&C cho mã độc và lọc dữ liệu bằng cách sử dụng GIF mà không bị EDR và các công cụ giám sát mạng khác phát hiện. Phương thức tấn công này cần có một thiết bị hoặc tài khoản người dùng đã bị xâm phạm.
cuộc tấn công cho phép hacker tạo một shell ngược gửi các lệnh độc hại thông qua các tệp GIF được mã hóa base64 trong Team và trích xuất kết quả thông qua các tệp GIF được truy xuất bởi cơ sở hạ tầng của chính Microsoft.
Phương thức hoạt động
Để tạo “shell” đảo ngược này, trước tiên hacker phải xâm nhập máy tính để cài mã độc. Điều này có nghĩa hacker cần thuyết phục người dùng cài đặt một payload độc hại để thực thi các lệnh và tải output lệnh lên webhook của Microsoft Teams thông qua url GIF.
Sau khi thiết lập, hacker sẽ tạo một đối tượng sử dụng Microsoft Teams và liên hệ với những người dùng Microsoft Teams khác bên ngoài tổ chức.
Sau đó, hacker có thể sử dụng tập lệnh GIFShell Python để gửi tin nhắn có chứa GIF tới người dùng Microsoft Teams. Ảnh GIF hợp pháp này đã được sửa đổi để giấu các lệnh để thực thi trên máy mục tiêu.
Khi mục tiêu nhận được tin nhắn và ảnh GIF sẽ được lưu trữ trong nhật ký của Microsoft Team. Điều quan trọng cần lưu ý: Microsoft Teams chạy như một tiến trình nền, vì vậy GIF thậm chí không cần người dùng mở để nhận lệnh thực thi của kẻ tấn công.
Các máy chủ của Microsoft sẽ kết nối trở lại URL của máy chủ tấn công để lấy GIF.
Máy chủ GIFShell chạy trên máy chủ của hacker sẽ nhận được yêu cầu này và tự động giải mã dữ liệu cho phép những kẻ tấn công xem đầu ra của lệnh chạy trên thiết bị của nạn nhân.
Phản hồi của Microsoft
Theo báo cáo của Lawrence Abrams trên BleepingComputer, Microsoft đồng ý rằng phương pháp tấn công này là vấn đề, tuy nhiên, vấn đề này "chưa đủ điều kiện để tung bản sửa lỗi bảo mật khẩn cấp." Hãng "có thể giải quyết vấn đề trong một bản phát hành tương lai." Microsoft thừa nhận nghiên cứu này nhưng khẳng định rằng không có ranh giới bảo mật nào bị vượt qua.
Cách bảo vệ chống lại tấn công GIFShell
1 - Tắt quyền truy cập ngoài: Microsoft Teams cho phép tất cả người ngoài tổ chức gửi tin nhắn. Nhiều quản trị viên thậm chí còn không biết rằng tổ chức mình cho phép truy cập từ ngoài. Vì vậy, quản trị có thể vô hiệu hóa cấu hình truy cập bên ngoài để đảm bảo an toàn.
Tắt quyền truy cập miền ngoài: Hạn chế việc các thành viên trong tổ chức tìm, gọi điện, trò chuyện và thiết lập cuộc họp với những người ngoài tổ chức trong bất kỳ miền nào.
Không cho phép các nhóm ngoài tổ chức quản lý trò chuyện, tiến hành chặn việc giao tiếp với nhóm người ngoài tổ chức có tài khoản chưa được quản lý.
2 - Nắm thông tin về thiết bị: Đảm bảo toàn bộ thiết bị của tổ chức mình hoàn toàn tuân thủ và đảm bảo an toàn bằng cách sử dụng giải pháp Quản lý lỗ hổng XDR / EDR /, như Crowdstrike hoặc Tenable.
Thậm chí có thể tích hợp giải pháp SSPM (Quản lý bảo mật SaaS) vào các công cụ an ninh để dễ dàng phát hiện và quản lý các rủi ro xuất phát từ các loại cấu hình này.
Theo: The Hacker News
Chỉnh sửa lần cuối: