Tổng quan chiến dịch DeerStealer
Một làn sóng tấn công mạng mới đã xuất hiện, khai thác các tệp tin phím tắt của Windows (.LNK) kết hợp với các tiện ích hệ thống hợp pháp, còn được gọi chung là Living-off-the-Land Binaries and Scripts (LOLBin/S). Mục tiêu của các cuộc tấn công này là phân phối phần mềm đánh cắp thông tin DeerStealer thông qua các chuỗi thực thi nhiều giai đoạn được che giấu rất phức tạp.
Các chiến dịch gần đây thường bắt đầu bằng các email lừa đảo (phishing) hoặc các chia sẻ tệp tin gian lận chứa các tệp .LNK đã được vũ khí hóa. Những tệp này được ngụy trang thành các tài liệu trông có vẻ vô hại, thường sử dụng các tên gây hiểu lầm như “Report.lnk” hoặc hiển thị biểu tượng tệp PDF để đánh lừa người dùng.
Chi tiết chuỗi thực thi
Khai thác tệp LNK và mshta.exe
Khi nạn nhân thực thi tệp .LNK, nó sẽ bí mật khởi chạy binary gốc của Windows là mshta.exe. Kỹ thuật này tận dụng kỹ thuật MITRE ATT&CK T1218.005, trong đó mshta.exe được những kẻ tấn công sử dụng để vượt qua các biện pháp kiểm soát ứng dụng, bảo vệ điểm cuối (endpoint protection) và cơ chế ghi nhật ký. Việc này được thực hiện bằng cách ủy quyền thực thi script thông qua một binary được ký số, đáng tin cậy và có sẵn trong hệ điều hành Windows.
Kỹ thuật che giấu và vượt qua phòng thủ
Che giấu (obfuscation) là một đặc điểm chính của chiến dịch này. Tệp .LNK nhúng các lệnh PowerShell bị xáo trộn rất nhiều, thường được mã hóa bằng Base64 hoặc che giấu thêm thông qua các đường dẫn hệ thống tệp sử dụng ký tự đại diện (wildcard filesystem paths), điều này làm vô hiệu hóa khả năng phát hiện dựa trên chữ ký tĩnh.
Chuỗi thực thi diễn ra thông qua mshta.exe, sau đó thả và thực thi các script bổ sung qua cmd.exe và tiếp theo là PowerShell. Đáng chú ý, PowerShell giải quyết động đường dẫn System32 mshta.exe tại thời điểm chạy (runtime), khởi chạy với các đối số bị che giấu, và vô hiệu hóa cơ chế ghi nhật ký chẩn đoán (diagnostic logging) cùng với cơ chế lập hồ sơ (profiling) để giảm thiểu các dấu vết pháp y (forensic artifacts).
Tái cấu trúc mã độc và che giấu hoạt động
Payload độc hại chính, DeerStealer, được phân phối ngầm trong nền thông qua một chuỗi các bước thể hiện sự tinh vi về mặt kỹ thuật và các động thái né tránh tiên tiến. Sau giai đoạn dropper ban đầu, cuộc tấn công sử dụng PowerShell để giải mã các ký tự theo cặp, chuyển đổi biểu diễn thập lục phân sang ASCII để tái cấu trúc script được dàn dựng.
Script này, sau khi được lắp ráp và thực thi bằng lệnh Invoke-Expression (IEX) của PowerShell, vẫn gần như vô hình cho đến khi thực thi. Các cơ chế che giấu mở rộng đến các giai đoạn tiếp theo, nơi các mảng động chứa URLs và các binary bị che giấu và chỉ được giải quyết trong bộ nhớ. Điều này không chỉ ngăn chặn các phương pháp phát hiện thông thường mà còn giữ cho cơ sở hạ tầng tấn công linh hoạt và kiên cường.
Để giảm thiểu sự nghi ngờ của người dùng, DeerStealer tải xuống một tài liệu PDF trông có vẻ lành tính và hiển thị cho người dùng thông qua Adobe Acrobat, nhằm che giấu hoạt động đang diễn ra trong nền. Đồng thời, tệp thực thi đánh cắp thông tin cốt lõi được ghi một cách âm thầm vào thư mục AppData của nạn nhân và được khởi chạy mà không có bất kỳ lời nhắc hiển thị nào.
Đặc điểm và cơ chế của DeerStealer
Cơ chế tồn tại (Persistence)
Sau khi được thực thi, phần mềm độc hại duy trì sự hiện diện trên hệ thống bằng cách sửa đổi các khóa registry hoặc tạo các tác vụ theo lịch trình (scheduled tasks), đảm bảo rằng nó có thể tồn tại qua các lần khởi động lại hệ thống và duy trì hoạt động trên máy chủ.
Mục tiêu thu thập dữ liệu
DeerStealer chuyên thu thập một loạt dữ liệu rộng lớn, bao gồm: thông tin xác thực từ trình duyệt web và các ứng dụng nhắn tin tức thời, ví tiền điện tử trên nhiều blockchain khác nhau, và dữ liệu tự động điền nhạy cảm.
Cơ chế truyền dữ liệu ra ngoài (Exfiltration)
Các payload đã được thu thập được biên dịch thành các container được mã hóa và gửi đến các máy chủ Command and Control (C2) từ xa. Các máy chủ này thường được bảo vệ bởi các miền proxy, tạo thêm một lớp bảo mật hoạt động (operational security).
Kỹ thuật chống phân tích (Anti-Analysis)
Đáng chú ý, DeerStealer sử dụng các kỹ thuật chống sandbox và chống máy ảo (anti-VM) để ngăn chặn các phân tích cơ bản, chỉ kích hoạt các quy trình độc hại của nó trên phần cứng hợp pháp.
Phân tích và phát hiện
Công cụ và phương pháp phân tích
Các công cụ sandbox động như ANY.RUN đã chứng minh sự quan trọng trong việc giải cấu trúc toàn bộ biểu đồ thực thi của các phần mềm độc hại có khả năng né tránh cao như vậy. Sử dụng theo dõi tiến trình (process tracing) và đo lường bộ nhớ (memory instrumentation), các nhà phân tích đã theo dõi luồng thực thi từ việc khởi chạy tệp .LNK, thông qua mshta.exe và quá trình giải mã của PowerShell, cho đến việc trích xuất dữ liệu ra ngoài.
Thách thức trong phát hiện và giảm thiểu
Việc giảm thiểu và phát hiện trong các môi trường doanh nghiệp đặc biệt khó khăn, do việc lạm dụng các binary Windows đã được ký, việc vô hiệu hóa có chọn lọc tính năng ghi nhật ký của PowerShell, và các tuyến đường phân phối payload đa dạng.
Khuyến nghị phòng ngừa và phát hiện
Các tổ chức an ninh được khuyến nghị giám sát các lệnh gọi mshta hoặc PowerShell bất thường, theo dõi cây tiến trình con (child process trees), kích hoạt tích hợp AMSI (Antimalware Scan Interface), và kiểm tra kỹ lưỡng lưu lượng mạng đi ra (outbound network traffic) để tìm kiếm các dấu hiệu bất thường.
