Phân Tích Qilin Ransomware: Mối Đe Dọa Bảo Mật Đa Nền Tảng

Phân Tích Qilin Ransomware: Mối Đe Dọa Đa Nền Tảng Với Kỹ Thuật Tấn Công Tiên Tiến

Qilin ransomware đang trở thành một mối đe dọa nghiêm trọng trong bối cảnh các nhóm ransomware từng thống trị đang sụp đổ. Với khả năng hoạt động đa nền tảng và các kỹ thuật tấn công tinh vi, Qilin gây ra sự gián đoạn lớn và duy trì mức độ ẩn mình cao trong quá trình hoạt động.

Tổng Quan Kỹ Thuật

Qilin ransomware được thiết kế với các biến thể dành riêng cho nhiều hệ điều hành và môi trường ảo hóa, tối ưu hóa khả năng phá hoại trên các hệ thống mục tiêu. Dưới đây là phân tích chi tiết về các biến thể và hành vi của nó:

• Biến thể Windows: Được viết bằng Rust, sử dụng các công cụ như PsExec để lan truyền theo kiểu worm, xóa shadow copies, dọn sạch event logs và in thông báo đòi tiền chuộc thông qua các máy in được kết nối.
• Biến thể Linux và ESXi: Được phát triển bằng C, tập trung vào các môi trường ảo hóa, liệt kê các host VMware vCenter và ESXi, thay đổi mật khẩu root, kích hoạt SSH và triển khai payload độc hại để làm gián đoạn cơ sở hạ tầng quan trọng.
• Chiến lược phá hoại đa nền tảng: Tối ưu hóa hiệu suất I/O trên các host ESXi, nhắm mục tiêu vào cơ sở dữ liệu và container như MySQL, Docker và MongoDB.

Khai Thác và Lỗ Hổng

Qilin tận dụng các lỗ hổng nghiêm trọng để giành quyền truy cập ban đầu vào hệ thống mục tiêu:

• CVE-2025-31324: Lỗ hổng trong SAP NetWeaver được khai thác để xâm nhập ban đầu.
• Lỗ hổng Fortinet: Nhắm vào hai lỗ hổng nghiêm trọng trong các thiết bị FortiOS/FortiProxy.

Thách Thức Trong Phát Hiện và Phân Tích

Qilin ransomware tích hợp các kỹ thuật tiên tiến nhằm tránh bị phát hiện và phân tích:

• Sử dụng các loader tùy chỉnh như NETXLOADER và SmokeLoader để thực hiện reflective DLL injection và thực thi in-memory, gây khó khăn cho các công cụ bảo mật truyền thống.
• Triển khai các công cụ giám sát sau xâm nhập như Kickidler và SMOKEDHAM để ghi lại phím gõ và hoạt động màn hình, thay vì sử dụng các phương thức dump thông tin xác thực thông thường.
• Phân phối ransomware qua các vector không truyền thống, chẳng hạn như nhúng mã độc vào hình ảnh JPEG và ghép nối với tài liệu mồi nhử để qua mặt các hệ thống phát hiện, nhắm vào yếu tố con người thay vì lỗ hổng hệ thống.

TTPs (Techniques, Tactics, and Procedures) Theo MITRE ATT&CK

Dưới đây là các kỹ thuật chính mà Qilin sử dụng, được phân loại theo framework MITRE ATT&CK:

• Initial Access: Khai thác lỗ hổng SAP NetWeaver (CVE-2025-31324) và Fortinet (T1055: Remote File Copy).
• Execution: Sử dụng PsExec để lan truyền (T1055: Remote File Copy); loader tùy chỉnh cho reflective DLL injection và thực thi in-memory (T1218: Signed Binary Proxy Execution).
• Persistence: Thay đổi mật khẩu root, kích hoạt SSH (T1547: Windows Service Execution); xóa shadow volumes, dọn event logs (T1070: Indicator Removal on Host).
• Privilege Escalation: Liệt kê các host VMware vCenter/ESXi (T1053: Scheduled Task/Job); thay đổi mật khẩu root (T1547: Windows Service Execution).
• Defense Evasion: Sử dụng loader tùy chỉnh (T1218: Signed Binary Proxy Execution); xóa shadow volumes và event logs (T1070: Indicator Removal on Host).
• Credential Access: Ghi lại phím gõ và hoạt động màn hình qua Kickidler/SMOKEDHAM (T1003: Credential Dumping).
• Lateral Movement: Sử dụng PsExec để lan truyền (T1055: Remote File Copy).
• Data Exfiltration: Nhắm vào cơ sở dữ liệu và container như MySQL, Docker, MongoDB (T1022: Remote File Copy).
• Deception Techniques: Nhúng ransomware vào hình ảnh JPEG và tài liệu mồi nhử (T1566: Phishing: Spearphishing Link).
• Impact: Chèn thông điệp đòi tiền chuộc vào “Message of the Day” (motd) (T1542: Network Service Scanning).
• Stealth Techniques: Yêu cầu mật khẩu để kích hoạt tấn công, tránh phân tích sandbox (T1497: Virtualization/Sandbox Evasion).

Hệ Thống Bị Ảnh Hưởng

• Windows
• Linux
• ESXi

Ví Dụ Lệnh Command-Line

Dưới đây là một ví dụ về lệnh PsExec được sử dụng để thực hiện lateral movement:

# Example of PsExec usage for lateral movement
psexec \\victim-machine -u administrator -p password cmd.exe

Biện Pháp Khắc Phục và Đề Xuất

Để giảm thiểu rủi ro từ Qilin ransomware, các tổ chức nên thực hiện các biện pháp sau:

1. Cơ chế phát hiện nâng cao:
   • Triển khai các hệ thống phát hiện mối đe dọa tiên tiến có khả năng xử lý reflective DLL injection và thực thi in-memory.
   • Sử dụng công cụ phân tích hành vi để phát hiện các mẫu hoạt động bất thường liên quan đến TTPs của Qilin.
2. Cấu hình an toàn:
   • Cập nhật và vá thường xuyên các thiết bị SAP NetWeaver và Fortinet để ngăn chặn khai thác lỗ hổng đã biết.
   • Đảm bảo kiểm soát truy cập chặt chẽ và giám sát các thành phần Active Directory để ngăn chặn sửa đổi trái phép.
3. Đào tạo người dùng:
   • Giáo dục người dùng về nguy cơ mở tệp đính kèm hoặc nhấp vào liên kết đáng ngờ, đặc biệt là các liên kết nhúng trong hình ảnh JPEG.
   • Tổ chức đào tạo nhận thức bảo mật định kỳ để nâng cao khả năng xác định và báo cáo các hoạt động đáng ngờ.
4. Lập kế hoạch phản ứng sự cố:
   • Xây dựng kế hoạch phản ứng sự cố toàn diện, bao gồm quy trình phát hiện và ứng phó với các cuộc tấn công Qilin ransomware.
   • Thường xuyên kiểm tra các kế hoạch này để đảm bảo tính sẵn sàng và hiệu quả.

Kết Luận

Qilin ransomware là một mối đe dọa tinh vi, có khả năng tùy biến cao, tận dụng các kỹ thuật tiên tiến để gây gián đoạn tối đa và duy trì tính ẩn mình trong hoạt động. Với chiến lược tấn công đa nền tảng, nhắm vào cả môi trường truyền thống và ảo hóa, Qilin là một đối thủ đáng gờm trong bối cảnh ransomware hiện nay. Các tổ chức cần áp dụng các biện pháp bảo mật toàn diện và chủ động để bảo vệ hệ thống trước mối đe dọa này.