Trong bối cảnh mối đe dọa an ninh mạng ngày càng tinh vi, việc phân tích và hiểu rõ các họ mã độc mới là cực kỳ quan trọng đối với các chuyên gia bảo mật. Bài viết này đi sâu vào các khía cạnh kỹ thuật của mã độc SHOE RACK, nhắm mục tiêu vào các thiết bị tường lửa Fortinet, và mối liên hệ của nó với các biến thể mã độc khác như UMBRELLA STAND và COATHANGER.
Phân tích kỹ thuật mã độc SHOE RACK và Mối liên hệ
SHOE RACK là một họ mã độc được thiết kế đặc biệt để nhắm mục tiêu vào các thiết bị tường lửa Fortinet. Việc các thiết bị mạng cốt lõi như tường lửa trở thành mục tiêu cho thấy mức độ tinh vi và mục tiêu cao của tác nhân đe dọa, với ý định giành quyền kiểm soát hoặc truy cập vào hạ tầng mạng chiến lược. Sự hiện diện của các họ mã độc liên quan như UMBRELLA STAND và COATHANGER gợi ý về một chiến dịch tấn công lớn hơn hoặc sự phát triển liên tục của các công cụ độc hại từ cùng một tác nhân.
Chi tiết kỹ thuật từ báo cáo UMBRELLA STAND
Báo cáo về UMBRELLA STAND cung cấp cái nhìn sâu sắc về các kỹ thuật được sử dụng, có thể áp dụng cho các họ mã độc liên quan, bao gồm cả SHOE RACK. Các đặc điểm đáng chú ý bao gồm:
- Tạo dữ liệu ngẫu nhiên: Mã độc tạo ra 16 byte dữ liệu ngẫu nhiên, từng byte một, sử dụng hàm
rand(). Kỹ thuật này thường được dùng để khởi tạo các khóa phiên (session keys) hoặc vectơ khởi tạo (IV – Initialization Vector) cho các thuật toán mã hóa. Việc sử dụng dữ liệu ngẫu nhiên giúp tăng cường tính bảo mật của giao tiếp, làm cho việc giải mã hoặc dự đoán các giá trị trở nên khó khăn hơn đối với kẻ thù. - IV báo hiệu ban đầu chung: Một Initial Beacon IV được chia sẻ cho tất cả các thông điệp tiếp theo. Điều này chỉ ra một phương pháp thiết lập kênh liên lạc mã hóa hiệu quả, nơi mà IV ban đầu được sử dụng để thiết lập một ngữ cảnh an toàn cho việc trao đổi dữ liệu sau này giữa mã độc và máy chủ điều khiển (C2).
- Mã hóa chuỗi và thay đổi tên file: Mã độc sử dụng kỹ thuật mã hóa chuỗi và thực hiện các thay đổi tên file. Đây là các biện pháp quan trọng trong hoạt động bảo mật (Operational Security – OpSec) của kẻ tấn công. Mã hóa chuỗi giúp ẩn các chuỗi ký tự nhạy cảm, chẳng hạn như địa chỉ C2, lệnh điều khiển, hoặc các thông báo lỗi, để tránh bị phát hiện bởi các công cụ phân tích tĩnh. Việc thay đổi tên file giúp mã độc ẩn mình trong hệ thống tệp tin, khiến cho việc phát hiện và truy vết thủ công trở nên khó khăn hơn đối với các nhà phân tích pháp y.
Kỹ thuật MITRE ATT&CK liên quan
Việc phân tích các kỹ thuật tấn công dựa trên khung MITRE ATT&CK cung cấp một cách tiếp cận chuẩn hóa để hiểu về hành vi của mã độc. Dựa trên các ví dụ liên quan đến ransomware Anubis được tìm thấy trong kết quả tìm kiếm, một số kỹ thuật có thể được liên tưởng đến hành vi của các loại mã độc như SHOE RACK hoặc UMBRELLA STAND:
- T1134.002 – Access Token Manipulation: Create Process with Token: Kỹ thuật này liên quan đến việc tạo một tiến trình mới với một Access Token bị thao túng. Kẻ tấn công có thể lợi dụng Access Token của một tiến trình hợp pháp với đặc quyền cao hơn (ví dụ: một tiến trình hệ thống hoặc quản trị) để khởi chạy các tiến trình độc hại của riêng chúng. Điều này cho phép mã độc hoạt động với các quyền cao hơn mà không cần thực hiện các kỹ thuật leo thang đặc quyền trực tiếp, giúp chúng tránh bị phát hiện.
- T1083 – File and Directory Discovery: Sau khi xâm nhập vào hệ thống, mã độc cần xác định các file và thư mục quan trọng. Kỹ thuật này bao gồm việc quét hệ thống để tìm kiếm dữ liệu nhạy cảm, file cấu hình, cơ sở dữ liệu, hoặc các mục tiêu có giá trị khác để đánh cắp hoặc mã hóa. Đây là một bước tiền đề cho các hoạt động như đánh cắp dữ liệu (data exfiltration) hoặc mã hóa dữ liệu (encryption).
- T1490 – Inhibit System Recovery: Kỹ thuật này được sử dụng để ngăn chặn khả năng khôi phục hệ thống của nạn nhân. Trong bối cảnh ransomware, nó có thể bao gồm việc xóa bản sao lưu bóng (shadow copies), tắt các dịch vụ sao lưu, hoặc vô hiệu hóa các công cụ khôi phục. Đối với các mã độc khác, nó có thể là việc phá hoại các cấu hình hệ thống hoặc ghi đè dữ liệu để ngăn chặn việc phục hồi về trạng thái trước đó, làm phức tạp nỗ lực ứng phó sự cố.
Chức năng mở rộng: Keylogger và Backdoor từ các ví dụ liên quan
Mặc dù không trực tiếp từ SHOE RACK, việc phân tích các chức năng từ ví dụ DuplexSpy RAT cung cấp cái nhìn về các khả năng phức tạp mà các mã độc tiên tiến có thể sở hữu, cho thấy mức độ đe dọa tiềm tàng khi các kỹ thuật này được kết hợp.
Chức năng Keylogger (từ ví dụ DuplexSpy RAT)
Chức năng keylogger cho phép mã độc giám sát và ghi lại các thao tác bàn phím của người dùng. Trong trường hợp DuplexSpy RAT, điều này được thực hiện thông qua:
- Phương thức HookCallback: Keylogger sử dụng phương thức
HookCallbackđể can thiệp vào đầu vào bàn phím cấp thấp thông qua một Windows hook. Các Windows hooks là các điểm trong hệ điều hành Windows nơi các ứng dụng có thể “treo” hoặc chèn mã để giám sát hoặc sửa đổi các sự kiện hệ thống. Bằng cách sử dụng một hook cấp thấp, mã độc có thể chặn gần như mọi thao tác gõ phím trước khi chúng được xử lý bởi các ứng dụng khác, đảm bảo thu thập đầy đủ dữ liệu. - Ghi log chi tiết: Các thao tác gõ phím được ghi lại cùng với tiêu đề cửa sổ đang hoạt động và dấu thời gian. Thông tin này rất quan trọng để cung cấp ngữ cảnh cho dữ liệu đã thu thập, giúp kẻ tấn công hiểu được người dùng đang làm gì khi gõ phím (ví dụ: đang đăng nhập vào một dịch vụ, đang soạn email).
- Lưu trữ và mã hóa: Dữ liệu keylogger được lưu vào file keylogger.rtf trong thư mục
Tempcủa hệ thống. Đây là một vị trí phổ biến cho các file tạm thời, giúp mã độc tránh bị chú ý. Dữ liệu này sau đó được mã hóa Base64 cho mục đích lưu trữ cục bộ và sau này là để ngoại lọc (exfiltration) đến một máy chủ từ xa. Mã hóa Base64, mặc dù không phải là một phương pháp mã hóa mạnh mẽ, nhưng giúp che giấu nội dung dữ liệu thô và đảm bảo tính toàn vẹn khi truyền qua các kênh mạng.
Chức năng RemoteShell Backdoor (từ ví dụ DuplexSpy RAT)
Chức năng RemoteShell backdoor biến thiết bị bị lây nhiễm thành một điểm truy cập từ xa, cho phép kẻ tấn công thực thi lệnh và kiểm soát hệ thống. Trong DuplexSpy RAT, điều này được triển khai như sau:
- Khởi tạo tiến trình shell ẩn: Phương thức
Init(Victim v)khởi chạy một tiến trình shell ẩn. Tiến trình này không hiển thị trên màn hình người dùng và thường được cấu hình để tránh xuất hiện trong danh sách các tiến trình thông thường hoặc Task Manager, giúp duy trì sự bí mật của hoạt động. - Thu thập luồng đầu ra thời gian thực: Backdoor này thu thập các luồng stdout (standard output) và stderr (standard error) trong thời gian thực. Điều này có nghĩa là mọi kết quả từ việc thực thi lệnh (ví dụ: đầu ra của lệnh
dirhoặc các thông báo lỗi) đều được mã độc nắm bắt ngay lập tức. - Gửi đầu ra đã mã hóa: Đầu ra thu thập được từ các luồng shell sau đó được mã hóa và gửi trở lại đến điểm cuối từ xa (remote endpoint) của kẻ tấn công. Kỹ thuật mã hóa đảm bảo rằng dữ liệu không bị chặn hoặc phân tích dễ dàng trong quá trình truyền. Việc này cho phép kẻ tấn công thực thi các lệnh từ xa trên hệ thống bị nhiễm và nhận được phản hồi, tạo ra một kênh điều khiển và kiểm soát đầy đủ.
Thông tin về Hạ tầng và IOCs
Dựa trên nội dung được cung cấp, không có bất kỳ máy chủ C2 (Command and Control), địa chỉ IP, tên miền, hash file, hoặc URL độc hại nào được nêu rõ ràng. Điều này có nghĩa là các chuyên gia bảo mật cần tập trung vào các kỹ thuật hành vi và đặc điểm hoạt động của mã độc thay vì chỉ dựa vào các chỉ số thỏa hiệp (IOCs) truyền thống để phát hiện và ngăn chặn.
Việc thiếu các IOCs cụ thể trong một báo cáo ban đầu không làm giảm mức độ nghiêm trọng của mối đe dọa, mà thay vào đó nhấn mạnh tầm quan trọng của việc triển khai các giải pháp bảo mật dựa trên hành vi, giám sát mạng sâu, và duy trì các hệ thống tường lửa (như Fortinet) được vá lỗi và cấu hình an toàn.
