-
09/04/2020
-
125
-
1.558 bài viết
Lộ thư mục mở, framework BYOB để lộ hạ tầng tấn công đa nền tảng
Một máy chủ điều khiển mã độc đang hoạt động đã vô tình để lộ toàn bộ framework hậu khai thác BYOB do cấu hình thư mục mở, qua đó phơi bày một hạ tầng tấn công đa nền tảng nhắm vào Windows, Linux và macOS. Phát hiện này cho thấy mức độ hoàn thiện và thời gian vận hành kéo dài của một chiến dịch có tổ chức, thay vì chỉ là hoạt động thử nghiệm rời rạc.
Máy chủ được xác định tại địa chỉ IP 38[.]255[.]43[.]60 trên cổng 8081, thuộc hạ tầng do Hyonix cung cấp tại Mỹ. Bên trong thư mục bị lộ gồm đầy đủ các thành phần của BYOB, từ dropper, stager cho tới các mô-đun hậu khai thác, cho phép kẻ tấn công thiết lập và duy trì quyền truy cập từ xa trên hệ thống nạn nhân. Việc toàn bộ bộ công cụ được triển khai công khai cho thấy đây là một máy chủ C2 đang phục vụ chiến dịch thực tế.
Phân tích mẫu cho thấy BYOB sử dụng chuỗi lây nhiễm ba giai đoạn nhằm né tránh phát hiện. Giai đoạn đầu là một dropper cực nhỏ, chỉ vài trăm byte, nhưng được che giấu bằng nhiều lớp như Base64, Zlib và cơ chế deserialization để vượt qua các hệ thống phát hiện dựa trên chữ ký. Dropper này tải về stager ở giai đoạn hai, thực hiện các kiểm tra chống môi trường ảo bằng cách rà soát biến môi trường và tiến trình liên quan tới các nền tảng ảo hóa phổ biến. Chỉ khi xác định môi trường “an toàn”, payload cuối cùng mới được tải xuống.
Payload giai đoạn ba là một trojan truy cập từ xa có dung lượng hơn 100 KB, thiết lập kênh liên lạc HTTP được mã hóa với máy chủ điều khiển và cho phép nạp động các mô-đun giám sát. Theo Hunt.io, hạ tầng này được phát hiện trong quá trình săn tìm mối đe dọa chủ động, khi công cụ AttackCapture ghi nhận một mẫu thư mục mở đặc trưng trên máy chủ C2 đang hoạt động.
Dữ liệu hạ tầng cho thấy framework BYOB này đã được vận hành ít nhất từ tháng 3/2024, tương đương một chiến dịch kéo dài khoảng mười tháng. Các máy chủ điều khiển được phân tán tại nhiều khu vực như Mỹ, Singapore và Panama, phản ánh sự chuẩn bị về mặt tổ chức và tài nguyên của nhóm đứng sau, thay vì hành vi ngẫu hứng.
Cấu trúc thư mục C2 của BYOB bị lộ đã được ghi lại thông qua Attack Capture (Nguồn – Hunt.io)
Một trong những yếu tố khiến BYOB đặc biệt nguy hiểm là khả năng duy trì hiện diện bền bỉ trên nhiều hệ điều hành. Framework này triển khai đồng thời nhiều cơ chế persistence khác nhau, từ khóa registry, scheduled task và WMI trên Windows, cho tới crontab trên Linux và LaunchAgent trên macOS. Việc chồng chéo các phương thức này khiến quá trình phát hiện và làm sạch trở nên khó khăn, làm tăng đáng kể khả năng mã độc tồn tại lâu dài trong hệ thống.
Trên hệ thống Windows, BYOB triển khai nhiều cơ chế duy trì hiện diện song song. Mã độc tạo các khóa tự khởi động trong registry với tên ngụy trang như “Java-Update-Manager”, đặt các tệp lối tắt dạng URL vào thư mục Startup, thiết lập các tác vụ theo lịch trình chạy định kỳ mỗi giờ, đồng thời triển khai các đăng ký Windows Management Instrumentation để kích hoạt thực thi khi có sự kiện phù hợp xảy ra trong hệ thống.
Với Linux, persistence được thiết lập thông qua các mục crontab độc hại nhằm đảm bảo mã độc tự động chạy lại theo chu kỳ. Trong khi đó, trên macOS, BYOB sử dụng các tệp LaunchAgent dưới dạng property list để tự động thực thi mỗi khi người dùng đăng nhập, giúp duy trì quyền kiểm soát một cách kín đáo.
Trên hệ thống Windows, BYOB triển khai nhiều cơ chế duy trì hiện diện song song. Mã độc tạo các khóa tự khởi động trong registry với tên ngụy trang như “Java-Update-Manager”, đặt các tệp lối tắt dạng URL vào thư mục Startup, thiết lập các tác vụ theo lịch trình chạy định kỳ mỗi giờ, đồng thời triển khai các đăng ký Windows Management Instrumentation để kích hoạt thực thi khi có sự kiện phù hợp xảy ra trong hệ thống.
Với Linux, persistence được thiết lập thông qua các mục crontab độc hại nhằm đảm bảo mã độc tự động chạy lại theo chu kỳ. Trong khi đó, trên macOS, BYOB sử dụng các tệp LaunchAgent dưới dạng property list để tự động thực thi mỗi khi người dùng đăng nhập, giúp duy trì quyền kiểm soát một cách kín đáo.
Mã dropper thực hiện mã hóa đa lớp (byob_kxe.py) (Nguồn – Hunt.io)
Ngoài việc duy trì truy cập, BYOB còn tích hợp các mô-đun giám sát hậu khai thác với mức độ xâm nhập cao. Mô-đun keylogger cho phép ghi lại toàn bộ thao tác bàn phím kèm theo ngữ cảnh cửa sổ đang hoạt động, trong khi mô-đun sniffing mạng có khả năng chặn và phân tích lưu lượng ở tầng IP để thu thập dữ liệu truyền ở dạng rõ.
Đặc biệt nguy hiểm là mô-đun thu thập email Microsoft Outlook. Thành phần này lợi dụng cơ chế COM automation trên Windows để truy cập trực tiếp vào phiên Outlook đã được xác thực sẵn, cho phép tìm kiếm, thống kê và trích xuất nội dung hộp thư mà không cần thông tin đăng nhập. Trong môi trường doanh nghiệp, đây là rủi ro lớn đối với dữ liệu trao đổi nội bộ và thông tin nhạy cảm.
Đặc biệt nguy hiểm là mô-đun thu thập email Microsoft Outlook. Thành phần này lợi dụng cơ chế COM automation trên Windows để truy cập trực tiếp vào phiên Outlook đã được xác thực sẵn, cho phép tìm kiếm, thống kê và trích xuất nội dung hộp thư mà không cần thông tin đăng nhập. Trong môi trường doanh nghiệp, đây là rủi ro lớn đối với dữ liệu trao đổi nội bộ và thông tin nhạy cảm.
Mô-đun ghi nhật ký phím (Keylogger) thể hiện việc xử lý sự kiện và triển khai hook của Windows (Nguồn – Hunt.io)
Phân tích hạ tầng cũng cho thấy dấu hiệu rõ ràng về động cơ tài chính. Một số máy chủ C2 đồng thời lưu trữ phần mềm đào tiền mã hóa, cho thấy hạ tầng này được sử dụng song song cho việc duy trì truy cập trái phép và khai thác tài nguyên hệ thống bị xâm nhập để tạo lợi nhuận.
Việc cổng RDP trên máy chủ chính được mở trong thời gian dài cùng cấu hình nhiều dịch vụ web chạy song song càng củng cố nhận định đây là hạ tầng tấn công chuyên dụng. Tổng thể các dấu hiệu cho thấy BYOB là một framework hậu khai thác hoàn chỉnh, đang được sử dụng trong chiến dịch dài hạn và tiếp tục là mối đe dọa đáng chú ý đối với nhiều môi trường hệ thống.
Điều đáng chú ý là việc hạ tầng này tồn tại trong thời gian dài mà không bị phát hiện cho thấy mức độ kín đáo trong cách triển khai và vận hành. Từ chuỗi lây nhiễm nhiều giai đoạn, các cơ chế né tránh phân tích cho tới hệ thống persistence chồng lớp, BYOB được thiết kế để bám trụ lâu dài trong môi trường mục tiêu thay vì gây tiếng ồn ngay từ đầu.
Trong bối cảnh các chiến dịch tấn công ngày càng ưu tiên duy trì hiện diện và khai thác dữ liệu hơn là phá hoại tức thời, BYOB phản ánh rõ xu hướng sử dụng các framework hậu khai thác đa năng, linh hoạt và có khả năng mở rộng theo mục tiêu. Điều này khiến việc phát hiện sớm và ngăn chặn trở nên khó khăn hơn, đặc biệt đối với những hệ thống thiếu giám sát liên tục hoặc còn tồn tại các cấu hình an ninh lỏng lẻo.
Việc cổng RDP trên máy chủ chính được mở trong thời gian dài cùng cấu hình nhiều dịch vụ web chạy song song càng củng cố nhận định đây là hạ tầng tấn công chuyên dụng. Tổng thể các dấu hiệu cho thấy BYOB là một framework hậu khai thác hoàn chỉnh, đang được sử dụng trong chiến dịch dài hạn và tiếp tục là mối đe dọa đáng chú ý đối với nhiều môi trường hệ thống.
Điều đáng chú ý là việc hạ tầng này tồn tại trong thời gian dài mà không bị phát hiện cho thấy mức độ kín đáo trong cách triển khai và vận hành. Từ chuỗi lây nhiễm nhiều giai đoạn, các cơ chế né tránh phân tích cho tới hệ thống persistence chồng lớp, BYOB được thiết kế để bám trụ lâu dài trong môi trường mục tiêu thay vì gây tiếng ồn ngay từ đầu.
Trong bối cảnh các chiến dịch tấn công ngày càng ưu tiên duy trì hiện diện và khai thác dữ liệu hơn là phá hoại tức thời, BYOB phản ánh rõ xu hướng sử dụng các framework hậu khai thác đa năng, linh hoạt và có khả năng mở rộng theo mục tiêu. Điều này khiến việc phát hiện sớm và ngăn chặn trở nên khó khăn hơn, đặc biệt đối với những hệ thống thiếu giám sát liên tục hoặc còn tồn tại các cấu hình an ninh lỏng lẻo.
Theo Cyber Security News