Heoanchayyy
New Member
-
20/08/2025
-
0
-
2 bài viết
Cách Warlock Ransomware biến máy chủ SharePoint thành bàn đạp tấn công
Trong bức tranh ngày càng phức tạp của tấn công ransomware, Warlock nổi lên như một nhóm tội phạm mạng với chiến lược nhắm mục tiêu đầy tinh vi. Điểm khác biệt là thay vì chỉ triển khai các kỹ thuật mã hóa dữ liệu thông thường, Warlock tập trung khai thác SharePoint – nền tảng cộng tác doanh nghiệp phổ biến, như một bàn đạp để đánh cắp thông tin đăng nhập, tạo lợi thế kiểm soát sâu hơn trước khi tiến hành giai đoạn tống tiền.
Các kỹ thuật phổ biến được ghi nhận bao gồm:
Để đảm bảo giai đoạn tống tiền diễn ra suôn sẻ, Warlock kết hợp vmtools.exe với các driver độc hại nhằm cưỡng ép vô hiệu hóa tất cả các tiến trình bảo mật trên máy chủ và máy trạm. Điều này bao gồm việc tắt các dịch vụ chống virus, endpoint detection, firewall và giám sát hành vi hệ thống, tạo ra một môi trường “sạch” để ransomware thực hiện nhiệm vụ mà không bị can thiệp.
Ransomware sau đó được kích hoạt, thực hiện mã hóa dữ liệu theo từng module, với các tệp bị gán phần mở rộng đặc trưng .x2anylock. Đồng thời, các script và công cụ đi kèm sẽ chèn payload độc hại vào SharePoint, khiến nền tảng này không chỉ là nguồn thông tin mà còn trở thành phương tiện lan truyền ransomware, lây nhiễm tự động tới các tài liệu được chia sẻ và các site con trong hệ thống.
SharePoint, “cửa hậu” lý tưởng trong hệ thống doanh nghiệp
SharePoint vốn được dùng để lưu trữ tài liệu, quản lý quy trình và chia sẻ dữ liệu nội bộ. Chính đặc tính này khiến nó trở thành kho thông tin nhạy cảm: từ tài liệu kỹ thuật, hồ sơ nhân sự, cho tới token, cookie phiên hay thậm chí mật khẩu được lưu trữ và trao đổi gián tiếp. Khi chiếm được SharePoint, Warlock không chỉ tiếp cận được dữ liệu giá trị mà còn có thể tận dụng quyền truy cập này để tái sử dụng credential, di chuyển ngang trong hệ thống và duy trì hiện diện lâu dài. Nguy hiểm hơn, với việc SharePoint thường được triển khai trực tuyến (SharePoint Online) và tích hợp chặt chẽ cùng Microsoft 365, bề mặt tấn công mở rộng vượt xa phạm vi một máy trạm truyền thống, khiến nó trở thành mục tiêu “béo bở” trong mắt tin tặc.Phương thức thâm nhập và thu thập thông tin
Quá trình tấn công của Warlock thường bắt đầu bằng việc triển khai các công cụ tùy chỉnh. Một ví dụ điển hình là vmtools.exe – Trojan.Win64.KILLLAV.I, có khả năng vô hiệu hóa hệ thống bảo mật bằng cách đọc danh sách quy trình từ tệp cấu hình và buộc dừng các dịch vụ phòng vệ. Khi lớp bảo vệ bị vô hiệu hóa, Warlock tập trung vào SharePoint như “kho dữ liệu trung tâm” để trích xuất thông tin xác thực và duy trì chỗ đứng trong hệ thống.Các kỹ thuật phổ biến được ghi nhận bao gồm:
- Khai thác quyền truy cập hợp pháp: Lợi dụng tài khoản người dùng SharePoint đã bị đánh cắp hoặc giả mạo thông qua spear-phishing, từ đó trích xuất dữ liệu xác thực và tài liệu quan trọng.
- Đánh cắp token/cookie phiên: Sử dụng mã độc cấy trong máy trạm hoặc trình duyệt để thu thập token OAuth, cookie SSO của SharePoint Online, cho phép kẻ tấn công “mượn” phiên đăng nhập hợp pháp mà không cần mật khẩu.
- Truy vấn API và Graph API: Sau khi có quyền truy cập, Warlock tự động gọi các API quản trị của Microsoft 365/SharePoint để dò tìm danh sách site, nhóm quyền, cấu hình thư viện tài liệu, và từ đó định vị các kho mật khẩu hoặc chuỗi kết nối cơ sở dữ liệu.
- Dump bộ nhớ LSASS và trình duyệt: Cấy công cụ như Mimikatz hoặc các loader tùy chỉnh để trích xuất credential Windows, cookie trình duyệt đã lưu (Edge, Chrome), vốn thường chứa session liên kết với SharePoint và Outlook Web Access.
- Sideloading thư viện DLL: Triển khai các module giả mạo để chèn vào tiến trình hợp pháp (ví dụ Teams hoặc OneDrive) nhằm thu thập thêm token đăng nhập Microsoft 365 và mở rộng quyền truy cập.
- Quét tự động cấu hình SharePoint: Sử dụng script PowerShell hoặc công cụ quét nội bộ để tìm kiếm các site cấu hình sai (misconfigured site), kho lưu trữ chứa mật khẩu thô, tài liệu IT vận hành, hoặc file .config có hard-coded credential.
- Lateral movement qua SharePoint Workflow: Một số trường hợp ghi nhận Warlock lợi dụng Workflow/Power Automate script để tạo luồng thao tác tự động, từ đó thực thi lệnh từ xa (remote command execution) trong hạ tầng nội bộ.
Chuỗi tấn công và triển khai ransomware
Sau khi thu thập thông tin đăng nhập từ SharePoint, Warlock mở rộng phạm vi tấn công sang các hệ thống quan trọng khác trong hạ tầng doanh nghiệp, bao gồm máy chủ tệp, hệ thống email, và thậm chí Active Directory. Quyền truy cập này cho phép nhóm tội phạm thực hiện lateral movement, cài đặt backdoor trên các máy chủ trọng yếu và xác lập kênh kiểm soát lâu dài trước khi triển khai ransomware.Để đảm bảo giai đoạn tống tiền diễn ra suôn sẻ, Warlock kết hợp vmtools.exe với các driver độc hại nhằm cưỡng ép vô hiệu hóa tất cả các tiến trình bảo mật trên máy chủ và máy trạm. Điều này bao gồm việc tắt các dịch vụ chống virus, endpoint detection, firewall và giám sát hành vi hệ thống, tạo ra một môi trường “sạch” để ransomware thực hiện nhiệm vụ mà không bị can thiệp.
Ransomware sau đó được kích hoạt, thực hiện mã hóa dữ liệu theo từng module, với các tệp bị gán phần mở rộng đặc trưng .x2anylock. Đồng thời, các script và công cụ đi kèm sẽ chèn payload độc hại vào SharePoint, khiến nền tảng này không chỉ là nguồn thông tin mà còn trở thành phương tiện lan truyền ransomware, lây nhiễm tự động tới các tài liệu được chia sẻ và các site con trong hệ thống.
Bài học và khuyến nghị
Chiến dịch của Warlock cho thấy ransomware hiện nay không chỉ mã hóa dữ liệu mà còn tận dụng nền tảng cộng tác như SharePoint để triển khai lateral movement và thu thập credential, biến hệ thống hợp pháp thành bàn đạp tấn công. Điều này nhấn mạnh rằng các biện pháp bảo vệ truyền thống không đủ nếu không giám sát sâu các hoạt động bên trong ứng dụng cộng tác. Để ứng phó, các tổ chức cần:- Kiểm soát chặt quyền truy cập SharePoint, áp dụng nguyên tắc least privilege để hạn chế khả năng kẻ tấn công di chuyển ngang hoặc khai thác token và cookie hợp pháp.
- Giám sát hành vi bất thường trên nền tảng cộng tác, đặc biệt các truy cập đồng thời từ nhiều địa điểm, tải xuống hàng loạt tài liệu chứa thông tin nhạy cảm hoặc thao tác với site cấu hình quan trọng.
- Tăng cường bảo vệ endpoint và kiểm soát driver, nhằm ngăn các công cụ như vmtools.exe vô hiệu hóa antivirus, firewall hay các dịch vụ giám sát hệ thống.
- Thường xuyên đánh giá và cập nhật cấu hình SharePoint, đảm bảo patch kịp thời, loại bỏ site misconfiguration và hạn chế lưu trữ thông tin nhạy cảm trong các tài liệu chia sẻ.