PDFSIDER: Mối đe dọa mạng nghiêm trọng từ backdoor tinh vi

19/01/2026
5 mins read
PDFSIDER: Mối đe dọa mạng nghiêm trọng từ backdoor tinh vi

PDFSIDER là một backdoor mới được phát hiện, cho phép kẻ tấn công duy trì quyền kiểm soát lâu dài trên các hệ thống Windows. Backdoor này được thiết kế để vượt qua nhiều công cụ chống vi-rút và giải pháp phát hiện phản hồi điểm cuối (EDR), tạo ra một **mối đe dọa mạng** đáng kể cho các doanh nghiệp và tổ chức.

Nó sử dụng các phần mềm đáng tin cậy và mã hóa mạnh để che giấu sự hiện diện, cho phép những kẻ xâm nhập thực thi lệnh, trinh sát mạng và di chuyển sâu hơn vào các môi trường mục tiêu. Thiết kế của công cụ này phù hợp với kỹ thuật gián điệp tinh vi hơn là các cuộc tấn công phá hoại nhanh chóng.

Nội dung
Tổng quan về Backdoor PDFSIDER
Kỹ thuật Lẩn tránh và Cơ chế Hoạt động
Phương thức Lây nhiễm Ban đầu
Kỹ thuật DLL Side-Loading
Hoạt động của Backdoor trên Hệ thống
Kỹ thuật Evasion Nâng cao
Tác động và Rủi ro Bảo mật
Các Biện pháp Phòng ngừa và Tăng cường Phát hiện

Tổng quan về Backdoor PDFSIDER

PDFSIDER được các nhà phân tích của Resecurity xác định trong một nỗ lực xâm nhập vào một doanh nghiệp thuộc Fortune 100, đã được ngăn chặn trước khi xảy ra mất mát dữ liệu. Cuộc điều tra cho thấy mã độc này đang được nhiều nhóm **mã độc tống tiền** (ransomware) và các tác nhân tiên tiến sử dụng làm tải trọng đáng tin cậy để vượt qua các biện pháp kiểm soát bảo mật tiêu chuẩn.

Tác động đối với các nhà phòng thủ là nghiêm trọng vì PDFSIDER kết hợp một ứng dụng hợp lệ, một tệp cryptbase.dll Windows giả mạo và lưu lượng truy cập Command and Control (C2) được mã hóa qua cổng DNS 53. Bằng cách hoạt động chủ yếu trong bộ nhớ, kiểm tra máy ảo và trình gỡ lỗi, đồng thời tránh các chuỗi khai thác ồn ào, PDFSIDER làm cho việc phát hiện dựa trên chữ ký truyền thống và kiểm thử sandbox kém hiệu quả hơn đáng kể.

Kỹ thuật Lẩn tránh và Cơ chế Hoạt động

Phương thức Lây nhiễm Ban đầu

Chiến dịch đằng sau PDFSIDER dựa vào các cuộc tấn công spear phishing có mục tiêu. Nạn nhân nhận được email chứa tệp lưu trữ ZIP. Tệp ZIP này chứa một tệp thực thi PDF24 Creator hợp pháp, được ký bằng chứng chỉ hợp lệ, cùng với các tệp đi kèm khác.

Khi người dùng khởi chạy ứng dụng đáng tin cậy, một payload ẩn sẽ được kích hoạt thay vì bất kỳ trình xem tài liệu rõ ràng nào, bắt đầu vi phạm với hầu như không có dấu hiệu nhận biết.

Kỹ thuật DLL Side-Loading

Luồng lây nhiễm bắt đầu khi nạn nhân chạy tệp thực thi PDF24 đã bị trojan hóa từ tệp lưu trữ đã gửi. Trong cùng thư mục, kẻ tấn công đặt một tệp cryptbase.dll độc hại, lợi dụng các quy tắc DLL side-loading. Điều này khiến chương trình tải thư viện độc hại của chúng thay vì tệp hệ thống thực sự.

Kỹ thuật DLL side-loading là một hình thức thực thi mã độc bằng cách lợi dụng cách các ứng dụng hợp pháp tải các thư viện động. Khi một ứng dụng tìm kiếm một DLL, nó sẽ kiểm tra các vị trí cụ thể theo một thứ tự đã định. Kẻ tấn công đặt một DLL độc hại với cùng tên vào một vị trí có mức độ ưu tiên cao hơn, khiến ứng dụng tải DLL giả mạo thay vì DLL hợp pháp.

Hoạt động của Backdoor trên Hệ thống

Khi được tải, PDFSIDER thực hiện các bước sau để thiết lập quyền kiểm soát và duy trì sự ẩn mình:

  • Khởi tạo Winsock: Thiết lập các kết nối mạng cần thiết.
  • Thu thập thông tin hệ thống: Thu thập chi tiết về hệ thống bị nhiễm.
  • Tạo định danh máy chủ duy nhất: Xây dựng một mã nhận dạng duy nhất cho từng máy chủ.
  • Thiết lập Backdoor trong bộ nhớ: Tạo một vòng lặp backdoor hoạt động hoàn toàn trong bộ nhớ, hạn chế dấu vết trên đĩa.
  • Tạo Pipe ẩn danh: Sử dụng các pipe ẩn danh để giao tiếp nội bộ.
  • Khởi chạy tiến trình cmd.exe ẩn: Tạo một tiến trình cmd.exe với cờ CREATE_NO_WINDOW, đảm bảo không có cửa sổ console nào hiển thị, nhằm tránh **phát hiện xâm nhập** của người dùng.

Bất kỳ lệnh nào được gửi bởi kẻ tấn công đều được thực thi mà không có cửa sổ console. Kết quả đầu ra sau đó được thu thập và gửi lại qua một kênh được mã hóa AES 256 GCM, sử dụng thư viện Botan. Vì tất cả lưu lượng truy cập được bảo vệ mạnh mẽ và không bao giờ được ghi vào đĩa, các công cụ bảo mật thường chỉ thấy các yêu cầu DNS trông bình thường, trong khi kẻ tấn công có được quyền kiểm soát shell từ xa hoàn toàn.

Ví dụ về lệnh CLI có thể được thực thi thông qua cmd.exe ẩn:

whoami
systeminfo
netstat -ano
ipconfig /all

Kỹ thuật Evasion Nâng cao

PDFSIDER tích hợp nhiều kỹ thuật để tránh bị phát hiện, biến nó thành một **mối đe dọa mạng** bền bỉ:

  • Hoạt động trong bộ nhớ: Giảm thiểu dấu vết trên đĩa, khiến việc phân tích pháp y trở nên khó khăn hơn.
  • Kiểm tra máy ảo và trình gỡ lỗi: Phát hiện môi trường phân tích và có thể thay đổi hành vi để tránh bị phân tích.
  • Mã hóa lưu lượng C2: Sử dụng AES 256 GCM qua DNS cổng 53, khiến việc giám sát và phân tích lưu lượng trở nên phức tạp. Các hệ thống IDS/IPS truyền thống có thể không thể giải mã và hiểu được nội dung bên trong.
  • Sử dụng phần mềm hợp pháp: Lợi dụng niềm tin vào các ứng dụng đã ký và hợp pháp để vượt qua các biện pháp kiểm soát ban đầu.

Tác động và Rủi ro Bảo mật

Việc một backdoor như PDFSIDER xâm nhập vào hệ thống mang lại nhiều rủi ro nghiêm trọng. Khả năng kiểm soát lâu dài cho phép kẻ tấn công thực hiện nhiều hoạt động độc hại, bao gồm:

  • Trinh sát mạng: Thu thập thông tin chi tiết về cấu trúc mạng, tài nguyên và người dùng.
  • Di chuyển ngang: Lan truyền sang các hệ thống khác trong mạng để mở rộng quyền truy cập.
  • Đánh cắp dữ liệu: Trích xuất dữ liệu nhạy cảm hoặc bí mật từ hệ thống bị xâm nhập.
  • Triển khai thêm mã độc: Sử dụng backdoor làm điểm khởi đầu để triển khai các tải trọng độc hại khác, như các biến thể của **mã độc tống tiền** hoặc công cụ khai thác tiền điện tử.

Mặc dù nội dung nguồn không cung cấp các Chỉ số thỏa hiệp (IOC) cụ thể như hash tệp, địa chỉ IP C2 hoặc tên miền, nhưng các kỹ thuật được mô tả cho thấy sự tinh vi của mối đe dọa mạng này. Các tổ chức cần tập trung vào các biện pháp phát hiện dựa trên hành vi và phân tích lưu lượng mạng để nhận diện các dấu hiệu bất thường.

Các Biện pháp Phòng ngừa và Tăng cường Phát hiện

Để chống lại các backdoor tinh vi như PDFSIDER, các tổ chức cần áp dụng một chiến lược phòng thủ đa lớp, tập trung vào việc tăng cường khả năng **phát hiện xâm nhập** và giảm thiểu bề mặt tấn công:

  • Tăng cường nhận thức người dùng: Đào tạo nhân viên về các mối đe dọa spear phishing và cách nhận biết các email đáng ngờ để ngăn chặn giai đoạn lây nhiễm ban đầu.
  • Giải pháp EDR và XDR nâng cao: Triển khai các giải pháp EDR (Endpoint Detection and Response) và XDR (Extended Detection and Response) có khả năng phân tích hành vi, phát hiện hoạt động trong bộ nhớ và các kỹ thuật lẩn tránh DLL side-loading.
  • Giám sát lưu lượng DNS: Theo dõi chặt chẽ lưu lượng DNS để phát hiện các truy vấn bất thường hoặc các mẫu giao tiếp C2 đã mã hóa, ngay cả khi chúng sử dụng cổng tiêu chuẩn 53.
  • Kiểm soát ứng dụng: Thực hiện các chính sách kiểm soát ứng dụng để hạn chế các ứng dụng có thể chạy và ngăn chặn việc thực thi các tệp DLL không được phép.
  • Bản vá và cập nhật định kỳ: Đảm bảo tất cả phần mềm, đặc biệt là các ứng dụng phổ biến như PDF24 Creator, được cập nhật lên phiên bản mới nhất và được vá các lỗ hổng đã biết, mặc dù PDFSIDER không dựa vào CVE cụ thể.
  • Phân đoạn mạng: Phân đoạn mạng để hạn chế khả năng di chuyển ngang của kẻ tấn công ngay cả khi một hệ thống đã bị xâm nhập bởi mối đe dọa mạng này.