Các đối tượng tội phạm mạng ngày càng tăng cường việc lợi dụng các framework cài đặt phần mềm hợp pháp như Inno Setup để phân phối mã độc. Những công cụ vốn được thiết kế để đơn giản hóa quá trình triển khai phần mềm trên Windows giờ đây lại trở thành phương tiện che giấu payload độc hại một cách tinh vi.
Inno Setup đã trở thành công cụ được các tác nhân đe dọa ưa chuộng nhờ vào giao diện đáng tin cậy và khả năng viết script Pascal mạnh mẽ. Sự lạm dụng tinh vi này cho phép kẻ tấn công ngụy trang mã độc bên trong các gói cài đặt tưởng chừng vô hại, thường xuyên qua mặt sự nghi ngờ của người dùng và thậm chí né tránh một số giải pháp chống virus.
Theo báo cáo từ Splunk Threat Research Team (STRT), một chiến dịch gần đây đã minh họa cách thức các trình cài đặt độc hại này phát tán mã độc đánh cắp thông tin như RedLine Stealer thông qua một chuỗi lây nhiễm đa tầng, bao gồm thực thi shellcode và sử dụng HijackLoader để tải payload một cách lén lút.
Kỹ Thuật Khai Thác Inno Setup và Chuỗi Lây Nhiễm
Giai Đoạn Khởi Tạo và Né Tránh
Cuộc tấn công bắt đầu bằng một trình cài đặt Inno Setup độc hại sử dụng các script Pascal để thực thi một loạt các kỹ thuật né tránh. Script này sử dụng mã hóa XOR để che giấu các chuỗi quan trọng và thực hiện các truy vấn Windows Management Instrumentation (WMI) để kiểm tra sự hiện diện của các công cụ phân tích mã độc và môi trường máy ảo. Nếu phát hiện các điều kiện này, quá trình sẽ tự động chấm dứt.
Cụ thể, việc kiểm tra môi trường ảo hóa và các công cụ phân tích được thực hiện thông qua các truy vấn WMI hoặc bằng cách dò tìm các chuỗi và giá trị registry đặc trưng của debugger hoặc sandbox. Mã hóa XOR giúp obfuscate mã nguồn của script, khiến việc phân tích tĩnh trở nên khó khăn hơn, qua đó làm chậm quá trình phát hiện bởi các giải pháp bảo mật tự động.
Giai Đoạn Tải Xuống và Thiết Lập Duy Trì
Nếu môi trường vượt qua các kiểm tra né tránh, trình cài đặt sẽ sử dụng một liên kết rút gọn như TinyURL để tải xuống payload đã nén từ một máy chủ command-and-control (C2). Payload này thường được ẩn sau các trang có giới hạn truy cập trên các nền tảng như rentry[.]org. Sau khi được tải xuống, payload là một kho lưu trữ ZIP, được giải nén bằng một tiện ích 7-Zip đã được đổi tên. Việc đổi tên này là một kỹ thuật né tránh khác nhằm che giấu mục đích thực sự của file thực thi.
Để đảm bảo khả năng duy trì trên hệ thống bị nhiễm, mã độc thiết lập một tác vụ theo lịch trình (scheduled task) ẩn. Tác vụ này được cấu hình để tự động khởi chạy một tệp thực thi độc hại sau mỗi lần hệ thống khởi động lại, đảm bảo mã độc có thể tiếp tục hoạt động ngay cả khi hệ thống bị khởi động lại.
Vai Trò của HijackLoader và RedLine Stealer
Kỹ Thuật DLL Sideloading
Sau khi thiết lập duy trì, payload sẽ khởi tạo một chuỗi hoạt động phức tạp liên quan đến kỹ thuật DLL Sideloading. Trong trường hợp này, một tệp DLL hợp pháp nhưng đã bị Trojan hóa, cụ thể là QtGuid4.dll, được sử dụng. Khi ứng dụng hợp pháp cố gắng tải QtGuid4.dll, phiên bản độc hại sẽ được tải thay thế do sự ưu tiên trong đường dẫn tìm kiếm của Windows. QtGuid4.dll đã bị Trojan hóa này sau đó chịu trách nhiệm giải mã shellcode từ một tệp được mã hóa khác và cuối cùng tải HijackLoader.
Kỹ thuật DLL Sideloading được kẻ tấn công ưa chuộng vì nó cho phép mã độc được thực thi trong ngữ cảnh của một tiến trình hợp pháp, làm tăng khả năng né tránh sự phát hiện của các hệ thống bảo mật và khiến việc phân biệt giữa hoạt động hợp pháp và độc hại trở nên khó khăn hơn.
Cơ Chế Hoạt Động của HijackLoader
HijackLoader nổi tiếng với thiết kế module hóa và các chiến thuật né tránh tiên tiến như Heaven’s Gate và Process Hollowing. Khi được tải, HijackLoader sẽ giải mã và tiêm payload cuối cùng, RedLine Stealer, vào một tiến trình hợp pháp khác, thường là MSBuild.exe. Việc tiêm mã độc vào các tiến trình hợp pháp (Process Hollowing) giúp che giấu hoạt động của mã độc, làm cho việc phát hiện dựa trên hành vi của các tiến trình trở nên phức tạp hơn.
- Heaven’s Gate: Kỹ thuật này cho phép mã 32-bit thực thi mã 64-bit hoặc ngược lại, giúp mã độc chuyển đổi giữa các kiến trúc để thực hiện các cuộc gọi hệ thống hoặc truy cập bộ nhớ theo cách mà các công cụ phân tích thường bỏ qua.
- Process Hollowing: Kỹ thuật này liên quan đến việc tạo một tiến trình hợp pháp ở trạng thái bị tạm dừng, sau đó xóa mã của nó và tiêm mã độc vào không gian bộ nhớ của tiến trình đó. Cuối cùng, tiến trình bị sửa đổi được tiếp tục, thực thi mã độc như thể nó là một phần của tiến trình hợp pháp.
RedLine Stealer: Khai Thác và Né Tránh
RedLine Stealer là một mã độc đánh cắp thông tin, sau khi được tiêm vào MSBuild.exe, sẽ tập trung vào việc thu thập dữ liệu nhạy cảm. Mục tiêu chính của nó bao gồm thông tin đăng nhập trình duyệt web (từ các trình duyệt phổ biến như Chrome, Firefox, Edge) và thông tin ví tiền điện tử.
Để làm phức tạp quá trình phân tích tĩnh, RedLine Stealer sử dụng kỹ thuật “constant unfolding” obfuscation. Kỹ thuật này liên quan đến việc xây dựng động các tham số tại thời gian chạy, thay vì định nghĩa chúng rõ ràng trong mã nguồn. Điều này khiến cho việc phân tích mã độc dựa trên các chuỗi hoặc mẫu cố định trở nên khó khăn hơn nhiều.
Ngoài ra, RedLine Stealer còn sử dụng các cờ trình duyệt như –no-sandbox trong Chrome để vô hiệu hóa các tính năng bảo mật tích hợp sẵn. Nó cũng có thể khởi chạy Internet Explorer với các tiện ích mở rộng bị vô hiệu hóa để tạo điều kiện thuận lợi cho các hành động độc hại mà không bị phát hiện bởi các cơ chế bảo mật của trình duyệt.
Các Chỉ Dấu Đe Dọa (IOCs)
Trong chiến dịch này, các chỉ dấu đe dọa bao gồm:
- Tên miền C2 tiềm năng:
rentry[.]org(được sử dụng để lưu trữ payload hoặc cung cấp liên kết tải xuống). - Mã độc chính: RedLine Stealer.
- Loader/Dropper: HijackLoader.
- Tệp DLL bị Trojan hóa: QtGuid4.dll (phiên bản độc hại).
- Tiến trình bị tiêm mã độc: MSBuild.exe (một tiến trình hợp pháp bị lợi dụng).
Biện Pháp Phát Hiện và Phòng Ngừa
STRT đã phát triển nhiều biện pháp phát hiện để xác định các mối đe dọa như vậy, tập trung vào các chỉ số như:
- DLL Sideloading không dấu: Phát hiện các tệp DLL không có chữ ký số hợp lệ được tải theo kiểu sideloading.
- Các tác vụ theo lịch trình ẩn: Giám sát việc tạo các tác vụ theo lịch trình với cấu hình bất thường hoặc được thiết kế để ẩn khỏi người dùng.
- Hành vi trình duyệt đáng ngờ: Theo dõi việc sử dụng các cờ trình duyệt lạ, vô hiệu hóa tính năng bảo mật, hoặc các hoạt động duyệt web không mong muốn.
Khi tội phạm mạng tiếp tục tinh chỉnh các chiến thuật này, lợi dụng các framework hợp pháp cho mục đích độc hại, cả người dùng và tổ chức phải duy trì cảnh giác. Việc triển khai các giải pháp bảo mật endpoint mạnh mẽ và giám sát liên tục là rất cần thiết để phát hiện và giảm thiểu các mối đe dọa lén lút này trước khi chúng có thể gây tổn hại đến dữ liệu quan trọng.
