Kỹ thuật C2 serverless mới đã được phát hiện, lợi dụng API Google Calendar để che giấu lưu lượng độc hại bên trong các dịch vụ đám mây đáng tin cậy. Được đặt tên là MeetC2, đây là một bằng chứng khái niệm (PoC) nhẹ, đa nền tảng, minh họa cách các tác nhân độc hại có thể kết hợp liền mạch hoạt động truyền thông kỹ thuật C2 vào việc sử dụng SaaS hàng ngày. Điều này tạo ra những thách thức mới về phát hiện, thu thập thông tin và phản ứng cho cả đội đỏ và đội xanh.
Trong một bài tập purple-team nội bộ gần đây, các kỹ sư bảo mật đã quan sát thấy lưu lượng truy cập đến các miền Google quen thuộc dễ dàng vượt qua các hàng rào phòng thủ mạng truyền thống như thế nào. Điều này nhấn mạnh mối đe dọa mạng tiềm ẩn từ các phương thức che giấu tinh vi, đặt ra một thách thức lớn trong an ninh mạng.
Cơ Chế Hoạt Động Của Kỹ Thuật C2 MeetC2
MeetC2 hoạt động thông qua việc tạo ra một tác nhân “tổ chức” (organizer) và một tác nhân “khách” (guest) tối thiểu. Các tác nhân này tận dụng các điểm cuối API Calendar tiêu chuẩn của Google.
Kẻ tấn công có thể phát hành lệnh và nhận phản hồi hoàn toàn trong các yêu cầu HTTPS hợp pháp tới oauth2.googleapis.com và www.googleapis.com. Đây là những miền thường được đưa vào danh sách trắng (whitelisted) trong các môi trường doanh nghiệp, làm cho lưu lượng kỹ thuật C2 này khó bị phát hiện.
Tác Nhân Khách và Tác Nhân Tổ Chức
- Tác nhân khách: Tác nhân này thường được triển khai trên các máy chủ đã bị xâm nhập. Nó thăm dò (poll) điểm cuối “events” của Google Calendar cứ mỗi 30 giây một cách định kỳ, kiểm tra các mục nhập sự kiện mới để tìm lệnh.
- Tác nhân tổ chức: Được vận hành từ máy chủ của kẻ tấn công, tác nhân này có nhiệm vụ chèn các lệnh vào trường “summary” của một sự kiện mới được tạo. Định dạng thường là “Meeting from nobody: [COMMAND]”, đây là một cách khéo léo để che giấu lệnh.
Khi tác nhân khách truy xuất và thực thi lệnh đó, nó sẽ cập nhật trường “description” của cùng sự kiện thông qua một yêu cầu HTTP PUT. Đầu ra của lệnh sẽ được nhúng một cách kín đáo bên trong một khối [OUTPUT]...[/OUTPUT], trả về kết quả cho tác nhân tổ chức.
Phương pháp kỹ thuật C2 này đặc biệt nguy hiểm vì nó không yêu cầu hạ tầng máy chủ tùy chỉnh và để lại dấu vết tối thiểu. Tất cả các hoạt động trao đổi kỹ thuật C2 được định tuyến qua các cổng API hợp pháp của Google, khiến việc truy vết trở nên cực kỳ khó khăn.
Thiết Lập MeetC2: Quy Trình và Yêu Cầu
Việc thiết lập MeetC2 chỉ cần một vài bước đơn giản trong Google Cloud Console. Quy trình này đảm bảo kẻ tấn công có thể sử dụng các dịch vụ đám mây hợp pháp của Google để tạo kênh kỹ thuật C2 ẩn mình.
- Kích hoạt Calendar API: Đầu tiên, Calendar API cần được kích hoạt cho một dự án cụ thể trong Google Cloud Console.
- Tạo tài khoản dịch vụ: Sau đó, một tài khoản dịch vụ (service account) mới phải được tạo. Tài khoản này cần được cấp các quyền sửa đổi sự kiện (event-modification permissions) để có thể thêm và cập nhật các sự kiện lịch.
- Chia sẻ lịch chuyên dụng: Cuối cùng, một lịch Google chuyên dụng phải được chia sẻ với tài khoản dịch vụ đó, cung cấp cho nó quyền truy cập cần thiết để thao tác các sự kiện.
Với khóa JSON đã tải xuống từ tài khoản dịch vụ (thường được đổi tên thành credentials.json), một script xây dựng duy nhất sẽ biên dịch cả hai file nhị phân của tác nhân tổ chức và khách. Điều này đơn giản hóa quá trình triển khai kỹ thuật C2.
Các nhà khai thác sau đó chỉ cần chạy file nhị phân của tác nhân tổ chức, trỏ đến ID lịch mục tiêu. Đồng thời, file nhị phân của tác nhân khách sẽ âm thầm thăm dò trên các máy chủ đã bị xâm nhập, chờ đợi các lệnh mới.
Trong các thử nghiệm thực tế, MeetC2 đã chứng minh khả năng thực thi các lệnh hệ thống như whoami và uname -a, cũng như các hoạt động trinh sát mạng bí mật khác. Điều đáng chú ý là nó hoàn toàn không kích hoạt các hệ thống ngăn chặn mất mát dữ liệu (DLP) hoặc hệ thống ngăn chặn xâm nhập (IPS) tiêu chuẩn, làm nổi bật hiệu quả của kỹ thuật C2 này.
Thách Thức Trong Phát Hiện Xâm Nhập và Phòng Thủ
Một trong những thách thức lớn nhất của MeetC2 là khả năng ngụy trang. Vì các lệnh gọi API mô phỏng lưu lượng đồng bộ hóa lịch hợp lệ, chúng hòa trộn hoàn hảo vào cả nhật ký máy khách và nhật ký máy chủ.
Điều này khiến các phương pháp phát hiện xâm nhập truyền thống dựa trên chữ ký trở nên kém hiệu quả. Lượng nhiễu mạng (network noise) hạn chế và việc không có các tra cứu DNS bất thường càng làm cho việc phát hiện xâm nhập trở nên phức tạp hơn đối với các đội an ninh mạng.
Chiến Lược Phòng Thủ Toàn Diện cho Blue Team
Để đối phó với các kỹ thuật như MeetC2, các đội xanh (Blue Team) cần nâng cao khả năng của mình. Họ có thể tái tạo kỹ thuật C2 MeetC2 trong các môi trường kiểm soát để xác thực khả năng phát hiện lạm dụng đám mây của hệ thống. Điều này giúp hiểu rõ hơn về cách thức tấn công mạng mới này hoạt động và phát triển các biện pháp đối phó.
Bằng cách sử dụng nhật ký cổng API (API gateway logs), các đội có thể giám sát các mẫu bất thường, chẳng hạn như tần suất tạo và cập nhật sự kiện cao từ một tài khoản dịch vụ duy nhất hoặc các hoạt động Calendar API không điển hình.
Tận dụng Google Cloud Audit Logs là một chiến lược quan trọng. Việc gắn cờ các lệnh gọi Calendar API lặp đi lặp lại hoặc kiểm tra nội dung tải trọng sự kiện để tìm nội dung đáng ngờ trong trường “summary” hoặc “description” có thể làm lộ các kênh ẩn của kỹ thuật C2.
Ngoài ra, các công cụ quản lý ứng dụng của bên thứ ba nên được sử dụng để thực thi các hạn chế chặt chẽ hơn đối với quyền của tài khoản dịch vụ và cảnh báo về các thay đổi chia sẻ lịch bất thường. Điều này tăng cường an ninh mạng tổng thể cho tổ chức, giảm thiểu rủi ro bảo mật từ các tài khoản dịch vụ bị lạm dụng.
Dự án MeetC2 là mã nguồn mở và có sẵn, cung cấp cho các nhà phòng thủ một nền tảng hữu ích để kiểm tra và phát triển các phản ứng đối với các hoạt động kỹ thuật C2 dựa trên đám mây. Để tìm hiểu thêm chi tiết về kỹ thuật này và xem mã nguồn, bạn có thể tham khảo nguồn đáng tin cậy tại: MeetC2: A.K.A Meeting C2.
Định Hướng Tương Lai và Nhu Cầu Bảo Mật Thích Ứng
Các nhà phát triển cảnh báo rằng mặc dù MeetC2 hoạt động hiệu quả, nhưng các cải tiến hơn nữa có thể củng cố file nhị phân của tác nhân khách chống lại phân tích pháp y điểm cuối và tăng cường an toàn vận hành, làm cho nó trở nên khó phát hiện hơn nữa.
Khi các tác nhân độc hại tiếp tục đổi mới với các phương pháp kỹ thuật C2 serverless và dựa trên đám mây, các đội bảo mật phải chuyển từ các biện pháp phòng thủ tập trung vào chu vi sang đo lường từ xa cấp dịch vụ sâu hơn và phát hiện bất thường dựa trên hành vi.
Các minh họa như MeetC2 nhấn mạnh tầm quan trọng của khả năng hiển thị sâu rộng trong các miền SaaS đáng tin cậy. Chúng cũng cho thấy sự cần thiết của các biện pháp phòng thủ thích ứng, có khả năng kiểm tra cả siêu dữ liệu (metadata) và nội dung tải trọng để nhận diện các hoạt động tấn công mạng ẩn mình.
Bằng cách thường xuyên thực hành các quy tắc phát hiện và sổ tay hướng dẫn phản ứng chống lại các kịch bản lạm dụng đám mây có kiểm soát, các tổ chức có thể duy trì lợi thế trước các mối đe dọa đang phát triển ẩn mình. Đây là một bước thiết yếu để tăng cường an toàn thông tin và giảm thiểu rủi ro bảo mật trong môi trường điện toán đám mây hiện đại.
