Các tác nhân mối đe dọa mạng nâng cao (Advanced Persistent Threat – APT) đang ngày càng nhắm mục tiêu vào các quy tắc hộp thư đến của Microsoft Exchange để duy trì sự bền bỉ và rút trích dữ liệu nhạy cảm mà không gây báo động.
Công cụ Inboxfuscation mới được phát hành cung cấp một framework làm xáo trộn dựa trên Unicode. Framework này có khả năng tạo ra các quy tắc hộp thư đến độc hại, giúp chúng lọt qua các giải pháp giám sát thông thường.
Cơ chế Xáo trộn Quy tắc Hộp thư đến và Mối Đe Dọa Mạng
Bằng cách khai thác cách Exchange xử lý các bộ ký tự Unicode đa dạng, Inboxfuscation tạo ra các định nghĩa quy tắc trông có vẻ bình thường nhưng lại che giấu hành vi độc hại. Điều này được thực hiện thông qua việc sử dụng các ký tự ẩn và điều khiển định hướng văn bản.
Các cuộc tấn công quy tắc hộp thư đến truyền thống dựa vào các từ khóa rõ ràng như “password,” “admin,” hoặc “confidential” để xác định và chặn cấu hình độc hại. Tuy nhiên, không gian ký tự Unicode rộng lớn, bao gồm hơn 140.000 điểm mã riêng biệt, cho phép kẻ tấn công thay thế các biểu tượng giống hệt về mặt thị giác, chèn các ký tự không chiều rộng (zero-width characters), hoặc thao túng hướng văn bản để ngăn chặn việc phát hiện.
Các Kỹ thuật Làm Xáo trộn của Inboxfuscation
Framework của Inboxfuscation phân loại các phương pháp làm xáo trộn thành bốn kỹ thuật chính:
- Thay thế Ký tự (Character Substitution): Sử dụng các ký hiệu chữ số toán học và các biến thể được bao quanh.
- Chèn Ký tự không chiều rộng (Zero-Width Injection): Chèn các điểm mã vô hình vào giữa các từ khóa.
- Điều khiển Văn bản song hướng (Bidirectional Text Controls): Đảo ngược hoặc làm rối loạn thứ tự hiển thị văn bản.
- Kết hợp lai (Hybrid Combinations): Kết hợp nhiều phương pháp né tránh.
Mỗi phương pháp này biến đổi các điều kiện của quy tắc theo cách mà khi nhìn trong các console tiêu chuẩn, chúng trông có vẻ vô hại hoặc khó hiểu, nhưng vẫn thực thi chống lại nội dung hộp thư đến dự định. Đây là một mối đe dọa mạng tinh vi.
Mô hình Tấn công Thực tiễn
Mặc dù các kỹ thuật này chưa được quan sát trong các chiến dịch tấn công thực tế, các mô hình tấn công giả định minh họa tác động tiềm tàng của chúng.
Khai thác Giao tiếp Điều hành
Trong một hoạt động APT mô phỏng nhắm vào các giao tiếp điều hành, kẻ tấn công có thể triển khai một quy tắc mang tên “Executive Communications Archive.” Quy tắc này sử dụng các bộ lọc chủ đề đã được làm xáo trộn như “𝚋𝗈𝒂𝗋𝒹” và “𝖒𝖊𝖊𝗍𝗂𝗇𝗀.”
Nội dung quy tắc có thể di chuyển tin nhắn đến thư mục Lịch (Calendar) nội bộ và chuyển tiếp bản sao đến một địa chỉ do kẻ tấn công kiểm soát, được ngụy trang thành một hệ thống sao lưu hợp pháp. Cấu hình này trông có vẻ bình thường đối với quản trị viên nhưng thực tế lại hiệu quả trong việc rút trích và che giấu thư từ nhạy cảm.
Kịch bản Chống Pháp y và Gây Tắt Thông báo
Trong một kịch bản chống pháp y, kẻ thù có thể tạo một quy tắc có nhãn “System Optimization.” Quy tắc này âm thầm chuyển hướng các cảnh báo bảo mật đến một thư mục “:\Inbox ” trông giống hệt, sử dụng khoảng trắng cuối để né tránh việc bị phát hiện và ngăn chặn quá trình xử lý quy tắc tiếp theo để chặn thông báo. Đây là một ví dụ về mối đe dọa mạng nhằm vào khả năng phát hiện xâm nhập.
Thách thức trong Phát hiện và Phương pháp Tiếp cận Mới
Các công cụ bảo mật tiêu chuẩn gặp khó khăn trước việc làm xáo trộn dựa trên Unicode do phụ thuộc vào khớp mẫu ASCII và các quy tắc từ khóa đơn giản.
Inboxfuscation giải quyết những điểm mù này bằng một phương pháp phát hiện đa lớp. Framework thực hiện phân tích danh mục ký tự để gắn cờ các ký hiệu chữ số toán học, các điểm mã không chiều rộng, các điều khiển song hướng và các chữ số được bao quanh.
Nó xử lý các nhật ký xuất Exchange, các bản ghi kiểm toán tích hợp SIEM và các sự kiện Graph API để tái tạo trình tự tạo quy tắc và tính toán điểm rủi ro. Việc hiểu rõ các mối đe dọa mạng như vậy là rất quan trọng.
Hành động Ứng phó và Các Biện pháp Chủ động
Các hành động ứng phó ngay lập tức bao gồm kiểm toán hộp thư toàn diện bằng lệnh Find-ObfuscatedInboxRules -Mailbox, cũng như phân tích hồi cứu các nhật ký kiểm toán được lọc theo ngưỡng rủi ro cao.
Find-ObfuscatedInboxRules -Mailbox <Tên hộp thư>Công cụ xuất ra JSON có cấu trúc phù hợp để nhập vào SIEM, chi tiết các định danh quy tắc, mục tiêu hộp thư, từ khóa bị làm xáo trộn, số lượng ký tự Unicode và cờ chuyển tiếp bên ngoài.
Tăng cường An ninh Mạng
Các tổ chức nên tích hợp các quy trình phát hiện nhận biết Unicode và thực hiện các bài tập red-teaming chủ động sử dụng Inboxfuscation để mô phỏng các kỹ thuật né tránh.
Các nhóm bảo mật phải cập nhật các kế hoạch ứng phó sự cố để tính đến các ký tự ẩn và chuẩn hóa các thuộc tính quy tắc khi thực hiện đánh giá pháp y. Trong khi việc làm xáo trộn Unicode vẫn là một mối đe dọa mạng lý thuyết, tính khả thi kỹ thuật của nó nhấn mạnh tầm quan trọng của việc phát triển các tư thế bảo mật email trước khi các tác nhân độc hại vũ khí hóa các phương pháp này. Điều này góp phần củng cố an ninh mạng tổng thể của tổ chức.
