-
09/04/2020
-
115
-
1.147 bài viết
Chiến dịch .LNK lợi dụng tiện ích Windows để né tránh bảo mật và âm thầm cài mã độc
Một chiến dịch tấn công tinh vi lợi dụng file shortcut Windows (.LNK) xuất hiện từ cuối tháng 8/2025 đang khiến các đội ứng phó sự cố và phòng an ninh mạng ở nhiều tổ chức phải nâng mức cảnh giác. Bề ngoài trông như một file shortcut bình thường gửi kèm trong email nội bộ hay cài cắm trên trang web bị xâm nhập, những .LNK này thực chất được chế tác để kích hoạt chuỗi hành vi tinh vi: gọi các công cụ hợp pháp của Windows, tải về mã từ xa và chuyển quyền thực thi qua nhiều tiến trình nhằm che giấu dấu vết.
Kịch bản tấn công điển hình bắt đầu khi người dùng bị lừa mở file đính kèm trong một email mồi giả danh thông báo nội bộ hoặc cảnh báo bảo mật và nhấp vào shortcut. File .LNK chứa một đối tượng OLE trỏ tới một ứng dụng HTML (HTA) lưu trên máy chủ bị xâm nhập, khiến Windows Explorer gọi mshta.exe để tải và thực thi loader HTA từ xa. Bước khởi đầu có vẻ vô hại nhưng ngay lập tức đặt quá trình thực thi vào một chuỗi hành vi mà các công cụ rà soát dựa trên chữ ký và tệp tĩnh khó phát hiện.
Loader HTA thường được obfuscate và chứa lệnh PowerShell đã mã hóa dưới dạng Base64. Khi được giải mã, đoạn mã này thực thi trực tiếp trong bộ nhớ, giảm tối đa ghi file lên ổ đĩa và hạn chế khả năng bị phát hiện bởi các giải pháp dựa trên mẫu tệp. Thay vì để lại một file thực thi dễ nhận diện, kẻ tấn công vận hành payload trên bộ nhớ và sử dụng các binary hệ thống hợp pháp để thực hiện các bước tiếp theo, một chiến thuật điển hình của lối tấn công “living off the land”.
Giai đoạn trung gian tiếp tục lợi dụng rundll32.exe để nạp một DLL độc hại vào tiến trình hệ thống - trong nhiều trường hợp là svchost.exe ở trạng thái suspended, nhằm che chắn hoạt động thực thi khỏi kiểm tra tệp thông thường. Sau khi DLL được nạp, nó lập tức thiết lập cơ chế duy trì bền vững bằng cách thêm mục khởi chạy vào registry, ví dụ một giá trị dưới HKCU\Software\Microsoft\Windows\CurrentVersion\Run với tên như “Updater” và chuỗi gọi kiểu rundll32.exe C:\Windows\Temp\updater.dll,EntryPoint. Cách làm này đảm bảo mã độc khởi động lại khi người dùng đăng nhập, ngay cả khi một số file bị phát hiện hoặc cách ly.
Điểm khiến chiến dịch này khó phát hiện là tốc độ và sự phân mảnh của nó: nhật ký endpoint thường ghi nhận hàng loạt tiến trình được spawn liên tiếp, mỗi tiến trình chuyển giao nhiệm vụ cho giai đoạn tiếp theo trong chưa tới một giây. Kèm theo đó là các kết nối mạng tới miền khả nghi, hành vi tải từ xa của mshta.exe và các mục persistence không quen thuộc xuất hiện trong registry, những dấu hiệu mà nếu chỉ nhìn rời rạc sẽ dễ bị nhầm với hoạt động hệ thống thông thường. Do vậy, phân tích theo chuỗi tiến trình (process lineage) và tương quan sự kiện thời gian thực trở thành chìa khóa để bóc tách cuộc tấn công.
Mẫu payload thu thập được cho thấy tác giả chiến dịch ưu tiên che dấu tham số truyền cho các binary hợp pháp, khiến sandbox và công cụ phân tích tự động khó giải mã hành vi thực tế. Dưới góc nhìn tác động, mục tiêu của chiến dịch bao gồm cả người dùng cá nhân và môi trường doanh nghiệp, với trọng tâm vào các tài khoản có quyền cao để mở rộng mặt tác động nếu kẻ tấn công thành công. Một số biến thể cũng được phát hiện phân phối qua nền tảng cộng đồng hoặc dịch vụ hợp pháp bị lạm dụng, cho thấy tác giả linh hoạt trong phương thức thả mồi.
Trước bối cảnh này, đội ngũ an ninh được khuyến nghị áp dụng một chuỗi biện pháp chủ động: theo dõi chặt chẽ các luồng mshta.exe và rundll32.exe, cảnh báo khi những tiến trình này xuất hiện kèm theo hành vi tải từ bên ngoài hoặc nạp DLL vào tiến trình hệ thống; thực thi phân tích chuỗi tiến trình để phát hiện spawn nhanh và tương quan các kết nối mạng lạ; và rà soát định kỳ các mục persistence trong registry. Về chính sách, hạn chế quyền thực thi cho các binary nhạy cảm, áp dụng whitelisting khi có thể và siết chặt quyền ghi trong thư mục tạm sẽ giảm thiểu bề mặt tấn công.
Không kém phần quan trọng là yếu tố con người: nâng cao nhận thức cho nhân viên về email mồi, khuyến khích kiểm chứng qua kênh độc lập trước khi mở file đính kèm và triển khai các quy trình đơn giản để báo cáo sự cố ngay khi phát hiện hành vi khả nghi. Kết hợp các biện pháp kỹ thuật với đào tạo người dùng sẽ làm giảm đáng kể nguy cơ một cú nhấp chuột vô ý biến thành cánh cửa cho mã độc vào mạng nội bộ.
Chiến dịch .LNK lần này là lời cảnh báo rõ ràng rằng phòng thủ chỉ dựa vào chữ ký tĩnh không còn đủ; kẻ tấn công ngày càng tinh vi trong việc “vũ khí hóa” công cụ hợp pháp của hệ điều hành để che giấu hành vi. Do đó, một chiến lược phòng thủ hiệu quả cần bao gồm giám sát hành vi tiến trình theo chuỗi, quản trị chính sách thực thi và nâng cao nhận thức con người, ba trụ cột thiết yếu để giảm thiểu rủi ro từ loại chiến dịch này. dòng lệnh mshta/rundll32 mẫu) và đề xuất rule SIEM/EDR để dễ triển khai trong môi trường vận hành.
Kịch bản tấn công điển hình bắt đầu khi người dùng bị lừa mở file đính kèm trong một email mồi giả danh thông báo nội bộ hoặc cảnh báo bảo mật và nhấp vào shortcut. File .LNK chứa một đối tượng OLE trỏ tới một ứng dụng HTML (HTA) lưu trên máy chủ bị xâm nhập, khiến Windows Explorer gọi mshta.exe để tải và thực thi loader HTA từ xa. Bước khởi đầu có vẻ vô hại nhưng ngay lập tức đặt quá trình thực thi vào một chuỗi hành vi mà các công cụ rà soát dựa trên chữ ký và tệp tĩnh khó phát hiện.
Loader HTA thường được obfuscate và chứa lệnh PowerShell đã mã hóa dưới dạng Base64. Khi được giải mã, đoạn mã này thực thi trực tiếp trong bộ nhớ, giảm tối đa ghi file lên ổ đĩa và hạn chế khả năng bị phát hiện bởi các giải pháp dựa trên mẫu tệp. Thay vì để lại một file thực thi dễ nhận diện, kẻ tấn công vận hành payload trên bộ nhớ và sử dụng các binary hệ thống hợp pháp để thực hiện các bước tiếp theo, một chiến thuật điển hình của lối tấn công “living off the land”.
Giai đoạn trung gian tiếp tục lợi dụng rundll32.exe để nạp một DLL độc hại vào tiến trình hệ thống - trong nhiều trường hợp là svchost.exe ở trạng thái suspended, nhằm che chắn hoạt động thực thi khỏi kiểm tra tệp thông thường. Sau khi DLL được nạp, nó lập tức thiết lập cơ chế duy trì bền vững bằng cách thêm mục khởi chạy vào registry, ví dụ một giá trị dưới HKCU\Software\Microsoft\Windows\CurrentVersion\Run với tên như “Updater” và chuỗi gọi kiểu rundll32.exe C:\Windows\Temp\updater.dll,EntryPoint. Cách làm này đảm bảo mã độc khởi động lại khi người dùng đăng nhập, ngay cả khi một số file bị phát hiện hoặc cách ly.
Điểm khiến chiến dịch này khó phát hiện là tốc độ và sự phân mảnh của nó: nhật ký endpoint thường ghi nhận hàng loạt tiến trình được spawn liên tiếp, mỗi tiến trình chuyển giao nhiệm vụ cho giai đoạn tiếp theo trong chưa tới một giây. Kèm theo đó là các kết nối mạng tới miền khả nghi, hành vi tải từ xa của mshta.exe và các mục persistence không quen thuộc xuất hiện trong registry, những dấu hiệu mà nếu chỉ nhìn rời rạc sẽ dễ bị nhầm với hoạt động hệ thống thông thường. Do vậy, phân tích theo chuỗi tiến trình (process lineage) và tương quan sự kiện thời gian thực trở thành chìa khóa để bóc tách cuộc tấn công.
Mẫu payload thu thập được cho thấy tác giả chiến dịch ưu tiên che dấu tham số truyền cho các binary hợp pháp, khiến sandbox và công cụ phân tích tự động khó giải mã hành vi thực tế. Dưới góc nhìn tác động, mục tiêu của chiến dịch bao gồm cả người dùng cá nhân và môi trường doanh nghiệp, với trọng tâm vào các tài khoản có quyền cao để mở rộng mặt tác động nếu kẻ tấn công thành công. Một số biến thể cũng được phát hiện phân phối qua nền tảng cộng đồng hoặc dịch vụ hợp pháp bị lạm dụng, cho thấy tác giả linh hoạt trong phương thức thả mồi.
Trước bối cảnh này, đội ngũ an ninh được khuyến nghị áp dụng một chuỗi biện pháp chủ động: theo dõi chặt chẽ các luồng mshta.exe và rundll32.exe, cảnh báo khi những tiến trình này xuất hiện kèm theo hành vi tải từ bên ngoài hoặc nạp DLL vào tiến trình hệ thống; thực thi phân tích chuỗi tiến trình để phát hiện spawn nhanh và tương quan các kết nối mạng lạ; và rà soát định kỳ các mục persistence trong registry. Về chính sách, hạn chế quyền thực thi cho các binary nhạy cảm, áp dụng whitelisting khi có thể và siết chặt quyền ghi trong thư mục tạm sẽ giảm thiểu bề mặt tấn công.
Không kém phần quan trọng là yếu tố con người: nâng cao nhận thức cho nhân viên về email mồi, khuyến khích kiểm chứng qua kênh độc lập trước khi mở file đính kèm và triển khai các quy trình đơn giản để báo cáo sự cố ngay khi phát hiện hành vi khả nghi. Kết hợp các biện pháp kỹ thuật với đào tạo người dùng sẽ làm giảm đáng kể nguy cơ một cú nhấp chuột vô ý biến thành cánh cửa cho mã độc vào mạng nội bộ.
Chiến dịch .LNK lần này là lời cảnh báo rõ ràng rằng phòng thủ chỉ dựa vào chữ ký tĩnh không còn đủ; kẻ tấn công ngày càng tinh vi trong việc “vũ khí hóa” công cụ hợp pháp của hệ điều hành để che giấu hành vi. Do đó, một chiến lược phòng thủ hiệu quả cần bao gồm giám sát hành vi tiến trình theo chuỗi, quản trị chính sách thực thi và nâng cao nhận thức con người, ba trụ cột thiết yếu để giảm thiểu rủi ro từ loại chiến dịch này. dòng lệnh mshta/rundll32 mẫu) và đề xuất rule SIEM/EDR để dễ triển khai trong môi trường vận hành.
Tổng hợp