Phân Tích Phương Pháp Tấn Công Tinh Vi Bởi MirrorFace và Sự Tiến Hóa Trong Bảo Mật

13/03/2025
2 mins read


Bài viết từ GBHackers cung cấp một phân tích chi tiết về phương pháp tấn công tinh vi được nhóm Advanced Persistent Threat (APT) có tên MirrorFace sử dụng. Dưới đây là những điểm chính từ bài viết:

Nội dung
Hiểu Về Windows Sandbox và Các Khía Cạnh Bảo Mật
Phương Pháp Tấn Công Tinh Vi của MirrorFace
Các Biện Pháp Kiểm Soát Ngăn Ngừa

Hiểu Về Windows Sandbox và Các Khía Cạnh Bảo Mật

  1. Windows Sandbox: Là một tính năng ảo hóa tích hợp trong Windows 10 (Build 18342 và các phiên bản sau) và Windows 11, tạo ra một môi trường desktop tạm thời và cô lập để chạy các ứng dụng có thể không an toàn mà không làm rủi ro thay đổi vĩnh viễn hệ thống chủ.
  2. Các Cân Nhắc về Bảo Mật: Theo mặc định, Windows Sandbox bị vô hiệu hóa và cần được kích hoạt một cách rõ ràng. Khi được kích hoạt, nó chạy dưới tài khoản người dùng mặc định có tên WDAGUtilityAccount, thuộc về nhóm Quản trị viên, tạo ra một khía cạnh bảo mật đáng lưu ý.
  3. Giới Hạn Bảo Mật: Windows Defender bị vô hiệu hóa theo mặc định trong Windows Sandbox và không thể được bật thông qua giao diện người dùng hoặc lệnh PowerShell, tạo ra một khoảng trống bảo vệ cho việc thực thi malware.

Phương Pháp Tấn Công Tinh Vi của MirrorFace

  1. Malware Tùy Chỉnh: Các tác nhân đe dọa MirrorFace, được cho là một phân nhóm trong nhóm APT10 lớn hơn, đã phát triển một phương pháp tấn công tinh vi tận dụng Windows Sandbox như một cơ chế ẩn náu.
  2. LilimRAT: Chiến dịch tấn công sử dụng LilimRAT, một phiên bản tùy chỉnh của Lilith RAT mã nguồn mở, được thiết kế đặc biệt để hoạt động trong Windows Sandbox. Malware kiểm tra sự tồn tại của thư mục người dùng WDAGUtilityAccount để đảm bảo nó đang chạy trong môi trường đúng.
  3. Luồng Tấn Công:
    • Thỏa Hiệp Ban Đầu: Các kẻ tấn công kích hoạt Windows Sandbox, điều này yêu cầu quyền quản trị, sau đó khởi động lại hệ thống.
    • Đặt Các Thành Phần: Họ đặt chiến lược ba thành phần chính trên máy chủ bị xâm nhập: một file batch, một công cụ nén (như 7-Zip), và một file lưu trữ chứa payload của malware.
    • Tệp Cấu Hình WSB: Các kẻ tấn công tạo và thực thi một tệp cấu hình WSB để thiết lập chia sẻ thư mục giữa hệ thống chủ và sandbox, cho phép kết nối mạng, phân bổ tài nguyên bộ nhớ, và tự động thực thi file batch khi sandbox khởi động.
  4. Thực Thi và Lưu Trữ:
    • File batch thường chứa các lệnh để giải nén archive, tạo một tác vụ theo lịch trình thực thi malware với quyền SYSTEM, và chạy tác vụ theo lịch trình.
    • Trong môi trường sandbox đã gắn kết, các nhà điều tra có thể truy cập vào các chứng cứ quý giá bao gồm $MFT, $UsnJrnl, Registry, lịch sử trình duyệt, và nhật ký sự kiện.

Các Biện Pháp Kiểm Soát Ngăn Ngừa

  1. Vô Hiệu Hóa Windows Sandbox Theo Mặc Định: Các tổ chức nên giữ Windows Sandbox bị vô hiệu hóa theo mặc định để ngăn chặn việc kích hoạt trái phép.
  2. Quản Lý Quyền Người Dùng Chặt Chẽ: Hạn chế quyền quản trị có thể hiệu quả trong việc chặn lại vector tấn công này.
  3. Chính Sách AppLocker: Triển khai các chính sách AppLocker để ngăn chặn việc thực thi Windows Sandbox ngay cả khi nó được bật hoặc khi người dùng có quyền kích hoạt nó.

Sự khai thác Windows Sandbox bởi nhóm APT MirrorFace đại diện cho một sự tiến hóa tinh vi trong các kỹ thuật tấn công, lợi dụng các tính năng hợp pháp của hệ điều hành để tránh bị phát hiện. Bằng cách hoạt động trong một môi trường cô lập với quyền quản trị nhưng thiếu các biện pháp bảo mật, các kẻ tấn công có thể thực thi malware, truy cập vào các tệp hệ thống chủ, và giao tiếp với hạ tầng C2 trong khi giảm thiểu dấu vết kỹ thuật số của họ.