Phân Tích Tấn Công Credential Heist Qua WebDAV và SCF: Cách Phòng Chống Hiệu Quả

04/05/2025
4 mins read
Nội dung
Phân Tích Tấn Công Credential Heist Qua Khai Thác WebDAV và SCF
Những Phát Hiện Quan Trọng Về Chiến Thuật Tấn Công Mới
Tác Động Tiềm Tàng Đến Tổ Chức
IOCs (Indicators of Compromise)
Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro
1. Đánh Giá Lỗ Hổng (Vulnerability Assessment)
2. Áp Dụng Cấu Hình Tốt Nhất (Best Practices)
3. Giám Sát Hoạt Động Mạng
4. Đào Tạo Người Dùng
Minh Họa Kỹ Thuật Forced Authentication
Kết Luận

Phân Tích Tấn Công Credential Heist Qua Khai Thác WebDAV và SCF

Bài viết này cung cấp phân tích kỹ thuật chuyên sâu về các chiến thuật tấn công mạng mới nhất, tập trung vào việc khai thác giao thức WebDAV và tệp SCF để thu thập thông tin xác thực (credentials). Dựa trên các phát hiện từ GBHackers, chúng tôi sẽ làm rõ cách thức hoạt động của các kỹ thuật này, tác động tiềm tàng, và các biện pháp phòng chống hiệu quả dành cho các chuyên gia IT và quản trị hệ thống.

Những Phát Hiện Quan Trọng Về Chiến Thuật Tấn Công Mới

Các kỹ thuật tấn công gần đây cho thấy sự tiến hóa đáng kể của malware và phương pháp thu thập thông tin xác thực. Dưới đây là các điểm nổi bật:

  • SocGholish – Loader Malware Tiến Hóa: SocGholish là một loại malware loader nổi tiếng với khả năng ẩn mình thông qua mã hóa (obfuscated code) và chuyển hướng TDS (Traffic Direction System). Malware này tải về các payload thứ cấp, bao gồm các backdoor dựa trên Python, nhằm duy trì sự hiện diện lâu dài trên hệ thống bị xâm nhập và mở đường cho các cuộc tấn công tiếp theo.
  • Lạm Dụng Giao Thức WebDAV: Các máy chủ bị xâm nhập tự động gửi yêu cầu xác thực qua giao thức WebDAV đến các endpoint bên ngoài do kẻ tấn công kiểm soát. Yêu cầu này tận dụng hành vi mặc định của Windows, kích hoạt xác thực NTLM và gửi hash thông tin xác thực (credential hashes) cho kẻ tấn công, mở ra cơ hội bẻ khóa offline.
  • Triển Khai Tệp SCF: Kẻ tấn công sử dụng tệp Thumbs.scf được thiết kế đặc biệt, đặt trên các chia sẻ mạng SMB. Khi người dùng truy cập vào thư mục bị ảnh hưởng, hệ thống tự động cố gắng tải tệp biểu tượng (icon file) từ đường dẫn UNC của kẻ tấn công, dẫn đến rò rỉ hash NTLM.
  • Buộc Xác Thực (Forced Authentication): Kỹ thuật này không yêu cầu tương tác trực tiếp từ người dùng, ngoài việc truy cập thư mục hoặc tài nguyên mạng. Điều này khiến nó trở thành một phương pháp thu thập credentials hiệu quả trên quy mô lớn, do khai thác hành vi mặc định của Windows khi cố gắng xác thực tự động bằng NTLM hashes.

Tác Động Tiềm Tàng Đến Tổ Chức

Việc khai thác WebDAV và tệp SCF có thể dẫn đến những hậu quả nghiêm trọng đối với an ninh hệ thống. Một số tác động đáng chú ý bao gồm:

  • Rò Rỉ Dữ Liệu (Data Breaches): Khi hash NTLM bị thu thập, kẻ tấn công có thể bẻ khóa mật khẩu offline và truy cập dữ liệu nhạy cảm.
  • Di Chuyển Ngang (Lateral Movement): Thông tin xác thực bị đánh cắp cho phép kẻ tấn công di chuyển ngang trong mạng nội bộ, leo thang đặc quyền và gây ra các vụ xâm phạm nghiêm trọng hơn.
  • Độ Bám Dính Lâu Dài (Long-term Persistence): Các backdoor dựa trên Python từ SocGholish giúp kẻ tấn công duy trì quyền truy cập vào hệ thống trong thời gian dài, gây khó khăn cho việc phát hiện và loại bỏ.

IOCs (Indicators of Compromise)

Dưới đây là các chỉ số liên quan đến mối đe dọa được phát hiện trong các cuộc tấn công sử dụng WebDAV:

  • External Endpoint: 161.35.56[.]33 – Được sử dụng bởi các máy chủ bị xâm nhập để gửi yêu cầu WebDAV tới máy chủ của kẻ tấn công.

Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro

Để bảo vệ tổ chức trước các kỹ thuật tấn công này, các quản trị hệ thống và chuyên gia bảo mật nên thực hiện các biện pháp sau:

1. Đánh Giá Lỗ Hổng (Vulnerability Assessment)

Thực hiện đánh giá toàn diện để xác định các điểm yếu trong hệ thống có thể bị khai thác bởi WebDAV hoặc tệp SCF. Tập trung vào việc kiểm tra cấu hình của giao thức WebDAV và SMB, đồng thời giám sát các hoạt động đáng ngờ.

2. Áp Dụng Cấu Hình Tốt Nhất (Best Practices)

Để giảm thiểu nguy cơ tấn công, hãy thực hiện các biện pháp cấu hình sau:

  • Hạn chế quyền truy cập vào WebDAV và SMB shares chỉ cho các dịch vụ và người dùng cần thiết.
  • Tắt các chia sẻ WebDAV không cần thiết và giám sát liên tục các hoạt động bất thường.
  • Cập nhật và vá lỗi hệ thống thường xuyên để giải quyết các lỗ hổng đã biết.

Ví dụ cấu hình hạn chế WebDAV bằng Group Policy:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetService" -Name "EnableWebDAV" -Value 0 -Type DWord

3. Giám Sát Hoạt Động Mạng

Sử dụng các công cụ như Wireshark, OSSEC, hoặc lệnh CLI để phát hiện và giám sát lưu lượng WebDAV bất thường:

netstat -an | findstr 80

Lệnh này giúp kiểm tra các kết nối HTTP trên cổng 80, nơi giao thức WebDAV thường hoạt động.

4. Đào Tạo Người Dùng

Người dùng cuối đóng vai trò quan trọng trong việc giảm thiểu rủi ro. Hãy tổ chức các buổi đào tạo định kỳ để nâng cao nhận thức về bảo mật, đặc biệt là các nguy cơ khi truy cập các chia sẻ mạng hoặc mở tệp đáng ngờ.

Minh Họa Kỹ Thuật Forced Authentication

Khi hệ thống gặp một đường dẫn UNC, nó sẽ tự động cố gắng xác thực bằng NTLM, dẫn đến rò rỉ hash. Ví dụ về cách hệ thống phản ứng với đường dẫn UNC:

\\attacker_unc_path\Thumbs.scf

Đường dẫn trên kích hoạt hệ thống gửi yêu cầu xác thực, qua đó làm lộ hash NTLM tới máy chủ của kẻ tấn công.

Kết Luận

Các kỹ thuật tấn công sử dụng WebDAV và tệp SCF, kết hợp với malware như SocGholish, đang đặt ra thách thức lớn cho an ninh mạng. Bằng cách thực hiện các biện pháp phòng chống như đánh giá lỗ hổng, tối ưu hóa cấu hình, giám sát lưu lượng và đào tạo người dùng, các tổ chức có thể giảm đáng kể nguy cơ bị đánh cắp thông tin xác thực. Hãy luôn cập nhật thông tin về các mối đe dọa mới và triển khai các chiến lược bảo mật toàn diện để bảo vệ hệ thống của bạn.