Chiến lược, Kỹ thuật và Thủ tục (TTPs) cho Mã độc Auto-Color

08/04/2025
2 mins read
Nội dung
Tactics, Techniques, and Procedures (TTPs)
Cấu trúc nội bộ
Phát hiện và biện pháp đối phó

Tactics, Techniques, and Procedures (TTPs)

  1. Đầu tiên Ngụy trang:
    • Mã độc ban đầu ngụy trang thành một công cụ tăng cường màu sắc vô hại, khiến nó khó bị phát hiện ngay từ cái nhìn đầu tiên.
  2. Kỹ thuật né tránh:
    • Phần mềm độc này sử dụng một số kỹ thuật né tránh để tránh bị phát hiện, bao gồm:
      • Giải quyết API động: Mã độc giải quyết các API một cách động trong thời gian chạy, làm cho việc phát hiện tĩnh trở nên khó khăn hơn.
      • Mã hóa chuỗi: Sử dụng các phép toán XOR để làm khó khăn cho việc phân tích.
  3. Gắn kết và duy trì:
    • Khi được thực thi, nó kiểm tra quyền root để triển khai toàn bộ bộ công cụ tiên tiến của mình.
    • Nó tạo một thư mục tại /var/log/cross, điền vào đó các nhật ký hệ thống để hòa lẫn, và sao chép chính nó vào thư mục này dưới tên “auto-color” với quyền truy cập được thiết lập là 777 (đọc, ghi và thực thi).
    • Nó tích hợp với các chương trình hệ thống như cron, auditd và acpid bằng cách fork vào các tiến trình này, lợi dụng độ bền của chúng cho chính mình.
  4. Tiêm thư viện:
    • Nó thả một thư viện chia sẻ libcext.so.2, được thiết kế để bắt chước một thư viện hệ thống hợp pháp, vào đường dẫn thư viện của hệ thống. Thư viện này được sử dụng để hook các hàm quan trọng, từ đó chặn và thay đổi các cuộc gọi hệ thống liên quan đến các hoạt động tệp, quyền truy cập và các hoạt động mạng.
  5. Né tránh hoạt động mạng:
    • Nó hook các hàm truy cập tệp để thao tác /proc/net/tcp, lọc ra các liên lạc C2 của chính nó để ẩn khỏi các công cụ giám sát mạng.
  6. Chỉ huy và kiểm soát (C2):
    • Auto-Color sử dụng các socket TCP mã hóa để kết nối với máy chủ C2 của nó. Nó sử dụng một cơ chế bắt tay liên quan đến việc tạo số ngẫu nhiên cho xác thực, đảm bảo thực thi lệnh an toàn.
    • Nó có thể thực thi một loạt các lệnh từ máy chủ C2 của mình, bao gồm:
      • Thu thập thông tin hệ thống: Thu thập các chi tiết hệ thống như địa chỉ IP, tổng bộ nhớ và phiên bản OS.
      • Các hoạt động trên tệp và thư mục: Đọc, ghi, xóa, đổi tên, và thao tác các tệp hoặc thư mục.
      • Tạo shell ngược: Mở một shell ngược, cung cấp cho các kẻ tấn công quyền truy cập tương tác vào máy chủ bị xâm phạm.
      • Chức năng proxy: Hành động như một proxy, tạo điều kiện kết nối giữa kẻ tấn công và một hệ thống mục tiêu khác.

Cấu trúc nội bộ

  1. Duy trì:
    • Để đảm bảo hoạt động liên tục, Auto-Color tích hợp với các chương trình hệ thống như cron, auditd và acpid bằng cách fork vào các tiến trình này, do đó lợi dụng độ bền của chúng cho chính mình.
  2. Né tránh hoạt động mạng:
    • Nó hook các hàm truy cập tệp để thao tác /proc/net/tcp, lọc ra các liên lạc C2 của chính nó để ẩn khỏi các công cụ giám sát mạng.
  3. Chỉ huy và kiểm soát (C2):
    • Auto-Color sử dụng các socket TCP mã hóa để kết nối với máy chủ C2 của nó. Nó sử dụng một cơ chế bắt tay liên quan đến việc tạo số ngẫu nhiên cho xác thực, đảm bảo thực thi lệnh an toàn.

Phát hiện và biện pháp đối phó

Đội ngũ bảo mật được khuyến khích cập nhật các cơ chế phát hiện của họ và xem xét hệ thống của họ để tìm dấu hiệu của backdoor này, do các phương tiện né tránh và duy trì tinh vi của nó. Quy tắc YARA của Valhalla phát hiện backdoor AutoColor, được sử dụng cho độ kín đáo và tính bền vững, sử dụng các kỹ thuật né tránh để tránh bị phát hiện trong khi vẫn duy trì quyền điều khiển từ xa đối với máy tính bị nhiễm.