Lạm Dụng Microsoft Dev Tunnels: Đe Dọa Njrat và Cơ Hội Phát Tán Malware

03/03/2025
2 mins read

Bài viết từ GBHackers thảo luận về một chiến dịch mới liên quan đến Trojan truy cập từ xa (RAT) nổi tiếng Njrat, lợi dụng dịch vụ Microsoft Dev Tunnels cho việc giao tiếp command-and-control (C2). Dưới đây là các điểm chính từ bài viết:

Nội dung
1. Lạm dụng Microsoft Dev Tunnels:
2. Các tính năng bị lạm dụng:
3. Phát hiện và cấu hình:
4. Cơ chế phát tán:
5. Khuyến nghị giảm thiểu:

1. Lạm dụng Microsoft Dev Tunnels:

Dịch vụ Microsoft Dev Tunnels, được thiết kế để giúp các nhà phát triển an toàn phơi bày các dịch vụ cục bộ ra internet cho việc thử nghiệm và gỡ lỗi, đang bị kẻ tấn công khai thác để thiết lập các kết nối bí mật với các máy chủ C2 của họ.

2. Các tính năng bị lạm dụng:

Dịch vụ này cung cấp các URL công khai hoặc riêng tư tạm thời mà ánh xạ đến các dịch vụ cục bộ, bỏ qua các rào cản tường lửa và hạn chế NAT. Điều này làm cho nó trở thành một mục tiêu hấp dẫn cho tội phạm mạng.

3. Phát hiện và cấu hình:

Chiến dịch đã xác định hai mẫu Njrat sử dụng các URL Dev Tunnel khác nhau nhưng chia sẻ cùng một Hash nhập (ImpHash). Phần mềm độc hại gửi các thông tin cập nhật về khả năng của nó đến các máy chủ này thông qua các URL như hxxps://nbw49tk2-25505[.]euw[.]devtunnels[.]ms/hxxps://nbw49tk2-27602[.]euw[.]devtunnels[.]ms/.

4. Cơ chế phát tán:

Một tính năng đáng chú ý của biến thể này là khả năng phát tán thông qua các thiết bị USB nếu một biến số cấu hình cụ thể được kích hoạt. Một tệp cấu hình đã được trích xuất tiết lộ các chi tiết quan trọng, bao gồm máy chủ C2, cổng, tên botnet, và cơ chế duy trì.

5. Khuyến nghị giảm thiểu:

Để giảm thiểu mối đe dọa này, các tổ chức được khuyên nên:

  • Theo dõi nhật ký DNS: Tìm kiếm các yêu cầu đến các miền devtunnels.ms, đặc biệt trong các môi trường mà Microsoft Dev Tunnels không được cấp phép.
  • Giới hạn sử dụng: Cấm rõ ràng việc sử dụng không được phép của Dev Tunnels trong môi trường doanh nghiệp.
  • Triển khai phát hiện bất thường trong mạng: Các công cụ phân tích thời gian kết nối và mẫu truyền dữ liệu có thể giúp xác định hoạt động bất thường liên quan đến phần mềm độc hại.
  • Củng cố an ninh điểm cuối: Đảm bảo bảo vệ điểm cuối mạnh mẽ chống lại các RAT như Njrat, thường dựa vào các cơ chế duy trì như các khóa registry.

Chiến dịch này làm nổi bật xu hướng ngày càng gia tăng của các kẻ tấn công lạm dụng các dịch vụ hợp pháp cho các mục đích độc hại, gây ra thách thức lớn cho các nhà bảo vệ vì lưu lượng như vậy thường được tin cậy theo mặc định.