Nội dung
1. Bối cảnh về Lazarus và IIS
Nhóm Lazarus, còn được biết đến với các tên gọi như Hidden Cobra, APT38, hoặc Zinc (theo cách gọi của các cơ quan tình báo), là một nhóm tin tặc được cho là có sự hậu thuẫn của chính phủ Triều Tiên. Họ nổi tiếng với các chiến dịch tấn công mạng quy mô lớn nhắm vào các tổ chức tài chính, cơ sở hạ tầng quan trọng, và gần đây là các nền tảng tiền điện tử. Việc nhắm mục tiêu vào máy chủ IIS – một phần mềm máy chủ web phổ biến của Microsoft – cho thấy sự chuyển hướng chiến thuật của nhóm nhằm khai thác các hệ thống thường bị bỏ qua trong các chiến lược phòng thủ mạng.
Máy chủ IIS thường được triển khai trong các doanh nghiệp để lưu trữ các ứng dụng web, API, hoặc dịch vụ nội bộ. Tuy nhiên, nếu không được vá lỗi kịp thời hoặc cấu hình không đúng cách, chúng trở thành mục tiêu lý tưởng cho các nhóm APT như Lazarus. Các báo cáo từ ASEC (AhnLab Security Emergency Response Center), US-CERT, và các nhà nghiên cứu độc lập đã ghi nhận sự gia tăng các cuộc tấn công nhắm vào IIS từ năm 2022, với Lazarus là một trong những tác nhân chính.
2. Kỹ thuật tấn công chi tiết
Lazarus sử dụng một chuỗi các kỹ thuật phức tạp để xâm nhập, duy trì quyền truy cập, và khai thác máy chủ IIS. Dưới đây là phân tích chi tiết từng giai đoạn:
2.1. Xâm nhập ban đầu
- Khai thác lỗ hổng:
- Lazarus tận dụng các lỗ hổng đã biết trong IIS hoặc các phần mềm liên quan, chẳng hạn như CVE-2021-26855 (Exchange Server ProxyLogon) hoặc các lỗ hổng trong ứng dụng web của bên thứ ba chạy trên IIS.
- Một số chiến dịch sử dụng lỗ hổng Log4Shell (CVE-2021-44228) để tấn công các máy chủ IIS tích hợp với các thư viện Java dễ bị tổn thương.
- Tấn công Watering Hole:
- Họ triển khai mã độc trên các trang web hợp pháp chạy trên IIS, nhắm vào người dùng cuối truy cập các trang này.
- Credential Harvesting:
- Lazarus sử dụng kỹ thuật phishing hoặc khai thác thông tin xác thực yếu (weak credentials) trên các máy chủ IIS không được bảo mật để có điểm vào ban đầu.
2.2. Triển khai mã độc
- Web Shell:
- Sau khi xâm nhập, nhóm này thường triển khai các web shell viết bằng ASP/ASP.NET (như img.asp, thumbs.asp, hoặc RedHat.asp). Những web shell này được ngụy trang dưới dạng tệp hợp lệ (ví dụ: tệp hình ảnh) để tránh bị phát hiện.
- Web shell cho phép thực thi lệnh từ xa (RCE), tải xuống thêm payload, và giao tiếp với máy chủ điều khiển (C2).
- DLL Side-Loading:
- Một kỹ thuật đặc trưng của Lazarus là sử dụng DLL side-loading qua quy trình w3wp.exe (quy trình chính của IIS). Họ thay thế hoặc đặt một DLL độc hại (như msvcr100.dll) vào thư mục của một ứng dụng hợp lệ (như Microsoft Office hoặc các phần mềm khác) để tải mã độc khi IIS khởi động.
- Ví dụ: Một DLL độc hại có thể được tải thông qua Wordconv.exe, một quy trình hợp lệ nhưng hiếm khi được giám sát chặt chẽ.
2.3. Duy trì quyền truy cập (Persistence)
- Sử dụng Cookie cho C2:
- Lazarus đã phát triển một phương pháp giao tiếp C2 tinh vi, mã hóa dữ liệu trong cookie của các yêu cầu HTTP gửi từ máy chủ IIS bị xâm nhập đến máy chủ điều khiển. Điều này giúp che giấu lưu lượng độc hại trong các giao thức hợp lệ.
- Tạo tài khoản ẩn:
- Họ tạo các tài khoản quản trị viên ẩn hoặc sửa đổi cấu hình IIS để đảm bảo quyền truy cập lâu dài.
- Ngụy trang dưới dạng dịch vụ hợp lệ:
- Một số mã độc được đăng ký dưới dạng dịch vụ Windows (Windows Service) hoặc tích hợp vào các quy trình IIS hiện có để tránh bị phát hiện.
2.4. Leo thang đặc quyền và di chuyển ngang (Lateral Movement)
- Malware tùy chỉnh:
- Lazarus sử dụng các dòng mã độc như LazarLoader, BLINDINGCAN RAT, hoặc Dtrack để leo thang đặc quyền và thu thập thông tin nhạy cảm từ hệ thống bị xâm nhập.
- Khai thác mạng nội bộ:
- Từ máy chủ IIS, họ di chuyển sang các hệ thống khác trong mạng bằng cách khai thác các giao thức như SMB, RDP, hoặc các thông tin xác thực được lưu trữ trong bộ nhớ.
2.5. Triển khai mục tiêu cuối
- Khai thác dữ liệu:
- Lazarus thường nhắm đến thông tin tài chính, khóa ví tiền điện tử, hoặc dữ liệu nhạy cảm từ các tổ chức.
- Phân phối mã độc:
- Máy chủ IIS bị xâm nhập được sử dụng như một trung tâm phân phối mã độc đến các nạn nhân khác thông qua các chiến dịch “Watering Hole” hoặc tải xuống drive-by.
3. Các chiến dịch đáng chú ý
- Chiến dịch 2022-2023 (ASEC Report):
- Lazarus nhắm vào các máy chủ IIS của các công ty tài chính Hàn Quốc, triển khai web shell và mã độc Dtrack để đánh cắp thông tin ngân hàng.
- Phát hiện: Các tệp msvcr100.dll và img.asp được tìm thấy trên nhiều máy chủ bị xâm nhập.
- Chiến dịch tiền điện tử 2024:
- Nhóm này tấn công các sàn giao dịch tiền điện tử bằng cách sử dụng máy chủ IIS làm điểm trung gian để phân phối ransomware hoặc đánh cắp khóa ví (wallet keys).
- Kỹ thuật: Sử dụng cookie C2 và các payload được mã hóa trong yêu cầu POST.
- Watering Hole toàn cầu (2025):
- Dựa trên xu hướng gần đây, Lazarus đã nhắm vào các trang web công cộng chạy IIS để lây nhiễm mã độc cho người dùng cuối, đặc biệt là trong lĩnh vực công nghệ và quốc phòng.
4. Đặc điểm kỹ thuật của Lazarus trên IIS
- Tập trung vào ngụy trang:
- Họ thường sử dụng tên tệp và quy trình hợp lệ (như w3wp.exe, msvcr100.dll) để tránh bị phát hiện bởi các công cụ EDR (Endpoint Detection and Response).
- Tính mô-đun:
- Mã độc của Lazarus thường được chia thành các giai đoạn (stage), với payload ban đầu nhỏ gọn và chỉ tải thêm thành phần khi cần thiết.
- Tính linh hoạt:
- Họ điều chỉnh chiến thuật dựa trên mục tiêu, từ tấn công tài chính đến gián điệp hoặc phá hoại.
5. Tại sao IIS là mục tiêu hấp dẫn?
- Phổ biến: IIS được sử dụng rộng rãi trong các tổ chức doanh nghiệp, đặc biệt ở các lĩnh vực tài chính và chính phủ.
- Cấu hình yếu: Nhiều máy chủ IIS không được cập nhật hoặc cấu hình sai, để lộ các điểm yếu như quyền truy cập không cần thiết hoặc phần mềm lỗi thời.
- Khó phát hiện: Lưu lượng IIS (HTTP/HTTPS) dễ bị lẫn lộn với lưu lượng hợp lệ, khiến việc phát hiện C2 trở nên khó khăn hơn.
6. Phòng thủ và phát hiện
Để bảo vệ chống lại các cuộc tấn công của Lazarus nhắm vào IIS, bạn có thể áp dụng các biện pháp sau:
- Vá lỗi thường xuyên: Cập nhật IIS và các phần mềm liên quan để vá các lỗ hổng đã biết.
- Giám sát quy trình: Theo dõi các hành vi bất thường của w3wp.exe, đặc biệt là các kết nối đến IP hoặc domain không rõ nguồn gốc.
- Kiểm tra tệp: Quét hệ thống để tìm các tệp ASP hoặc DLL đáng ngờ trong thư mục IIS (thường là C:\inetpub hoặc C:\Windows\System32).
- Phân tích lưu lượng mạng: Tìm kiếm các yêu cầu HTTP có cookie bất thường hoặc các mẫu mã hóa lạ.
- Triển khai EDR/XDR: Sử dụng các công cụ như CrowdStrike, Microsoft Defender for Endpoint để phát hiện DLL side-loading và các hoạt động độc hại khác.
7. IOCs (Chỉ số thỏa hiệp)
Dựa trên các báo cáo gần đây, dưới đây là một số IOCs liên quan đến các cuộc tấn công IIS của Lazarus. Lưu ý rằng các IOC này có thể thay đổi nhanh chóng do tính chất tạm thời của chúng (ephemeral nature), vì vậy bạn nên kiểm tra chéo với các nguồn Threat Intelligence mới nhất:
Tên tệp và đường dẫn
- msvcr100.dll (DLL độc hại được đặt trong cùng thư mục với ứng dụng hợp lệ như Wordconv.exe).
- Web shell:
- img.asp
- thumbs.asp
- thumb.asp
- RedHat.asp (biến thể của “RedHat Hacker” web shell).
Hash (SHA-256)
- msvcr100.dll:
- b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9 (liên quan đến BLINDINGCAN RAT loader).
- img.asp (web shell mẫu):
- 94d2448d3794ae3f29678a7337473d259b5cfd1c7f703fe53ee6c84dd10a48ef.
Địa chỉ IP và Domain
- IP C2:
- 179.43.190.218 (được ghi nhận trong các chiến dịch phishing của Lazarus).
- Domain: Các domain cụ thể thường thay đổi, nhưng bạn có thể theo dõi các domain liên quan đến cơ sở hạ tầng C2 qua các nguồn như VirusTotal hoặc MISP.
Đặc điểm mạng
- Kết nối đến các cổng không chuẩn qua w3wp.exe (thường là 443 hoặc các cổng tùy chỉnh).
- Giao tiếp C2 sử dụng cookie để mã hóa dữ liệu.
8. Mã YARA để quét hệ thống
Dưới đây là một số quy tắc YARA mẫu dựa trên các đặc điểm của chiến dịch Lazarus nhắm vào IIS. Các quy tắc này được xây dựng dựa trên thông tin từ các nguồn công khai (như báo cáo của ASEC, HvS Consulting, và cộng đồng Threat Intelligence). Bạn có thể sử dụng chúng để quét trên hệ thống của mình bằng công cụ YARA.
Quy tắc 1: Phát hiện Web Shell ASP của Lazarus
rule Lazarus_IIS_WebShell_ASP {
meta:
description = "Detects ASP web shells used by Lazarus targeting IIS servers (e.g., img.asp, thumbs.asp)"
author = "AdSecVN"
date = "2025-03-14"
reference = "ASEC Reports, HvS Consulting Threat Report"
hash = "94d2448d3794ae3f29678a7337473d259b5cfd1c7f703fe53ee6c84dd10a48ef"
strings:
$s1 = "strMsg = \"E : F\"" fullword ascii
$s2 = "strMsg = \"S : \" & Len(fileData)" fullword ascii
$s3 = "Server.CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
$s4 = "workDir = Request.ServerVariables(\"URL\")" fullword ascii
$s5 = "InStrRev(workDir, \"/\")" ascii
condition:
filesize < 50KB and 3 of ($s*)
}Quy tắc 2: Phát hiện DLL Side-Loading qua msvcr100.dll
rule Lazarus_IIS_DLL_SideLoading {
meta:
description = "Detects malicious DLL (msvcr100.dll) used by Lazarus for side-loading via IIS process"
author = "AdSecVN"
date = "2025-03-14"
reference = "ASEC Reports, US-CERT AR20-232a"
hash = "b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9"
strings:
$pe_header = { 4D 5A } // MZ header for PE files
$dll_name = "msvcr100.dll" fullword ascii
$export1 = "SMain" fullword ascii
$export2 = "SMainW" fullword ascii
condition:
$pe_header at 0 and filesize < 500KB and $dll_name and ($export1 or $export2)
}Quy tắc 3: Phát hiện RedHat Hacker Web Shell
rule Lazarus_IIS_RedHat_WebShell {
meta:
description = "Detects RedHat Hacker web shell variant deployed by Lazarus on IIS servers"
author = "AdSecVN"
date = "2025-03-14"
reference = "ASEC Reports, March 2025"
strings:
$s1 = "RedHat" fullword ascii
$s2 = "Server.CreateObject" fullword ascii
$s3 = "Request.ServerVariables" fullword ascii
$s4 = "Response.Write" fullword ascii
condition:
filesize < 100KB and all of ($s*)
}
