Trung tâm An ninh Mạng Quốc gia (NCSC) đã phát đi cảnh báo về một loại mã độc mới được định danh là UMBRELLA STAND. Mã độc này đặc biệt nhắm mục tiêu vào các thiết bị tường lửa Fortinet FortiGate 100D series. Mục tiêu chính của UMBRELLA STAND là thiết lập các cửa hậu bí mật, duy trì quyền truy cập dai dẳng vào mạng lưới bị xâm nhập và tạo điều kiện cho các hoạt động gián điệp mạng dài hạn.
Nền Tảng Bị Khai Thác
Mã độc UMBRELLA STAND được xác định là tấn công các thiết bị tường lửa Fortinet FortiGate 100D. Việc nhắm mục tiêu vào một thiết bị mạng quan trọng như tường lửa cho phép kẻ tấn công kiểm soát lưu lượng truy cập, thu thập thông tin nhạy cảm và di chuyển ngang trong mạng một cách hiệu quả, biến tường lửa thành điểm pivot lý tưởng cho các hoạt động gián điệp mạng.
Chi Tiết Kỹ Thuật và TTPs
Kỹ Thuật Giao Tiếp
UMBRELLA STAND sử dụng một phương pháp giao tiếp tinh vi để che giấu hoạt động của mình: sử dụng các gói tin giả mạo TLS beacons qua cổng 443. Mặc dù các gói tin này bắt chước các tiêu đề TLS 1.0 hợp lệ (ví dụ: chuỗi byte 17 03 01), mã độc không thực hiện quy trình bắt tay (handshake) TLS thực sự. Kỹ thuật này được phân loại theo ma trận MITRE ATT&CK là T1001.003 – Protocol Impersonation (Giả mạo Giao thức). Việc giả mạo giao thức TLS trên cổng 443 giúp mã độc hòa lẫn vào lưu lượng truy cập web hợp pháp, gây khó khăn cho việc phát hiện bởi các hệ thống giám sát mạng truyền thống vốn chỉ tập trung vào các bất thường của giao thức ở các cổng không chuẩn.
Mã Hóa Dữ Liệu
Các thông điệp được mã độc truyền tải được mã hóa bằng thuật toán AES-CBC với một Initialization Vector (IV) cố định. Việc sử dụng một IV cố định trong mã hóa AES-CBC có thể tạo ra một điểm yếu tiềm năng, vì nếu kẻ tấn công thu thập đủ dữ liệu mã hóa được tạo ra với cùng một IV và cùng một khóa, họ có thể tăng khả năng thực hiện các cuộc tấn công giải mã hoặc phục hồi khóa.
Nhận Diện Máy Chủ
Máy chủ Command and Control (C2) nhận diện các máy chủ bị nhiễm bằng cách sử dụng một hàm băm CRC32 đã bị đảo ngược của tên máy chủ. Phương pháp này cho phép máy chủ C2 duy trì tính liên tục của phiên giao tiếp với từng máy chủ bị nhiễm cụ thể, đảm bảo các lệnh được gửi đến đúng mục tiêu và phản hồi được liên kết chính xác, ngay cả khi địa chỉ IP của máy chủ bị nhiễm thay đổi.
Tính Năng Command and Control (C2)
Mã độc UMBRELLA STAND được trang bị một loạt các tính năng C2 mạnh mẽ, cho phép kẻ tấn công kiểm soát toàn diện thiết bị bị nhiễm:
- Thực thi lệnh shell: Mã độc có khả năng thực thi các lệnh shell thông qua môi trường BusyBox/ash shell. Điều này cung cấp cho kẻ tấn công quyền kiểm soát cấp thấp đối với hệ thống, cho phép họ thực hiện các tác vụ như thu thập thông tin, sửa đổi cấu hình hệ thống, hoặc tải xuống và thực thi các công cụ bổ sung.
- Đọc tập tin theo từng khối: Mã độc có thể đọc các tập tin theo từng khối, với kích thước tối đa lên đến 6000 byte mỗi lần. Kỹ thuật này giúp tránh việc truyền tải dữ liệu lớn cùng lúc, làm giảm khả năng bị phát hiện bởi các hệ thống giám sát lưu lượng mạng và giúp duy trì sự ổn định của kết nối trong môi trường mạng không ổn định.
- Phân đoạn lệnh và theo dõi thực thi bất đồng bộ: Các lệnh được gửi từ máy chủ C2 có thể được phân đoạn thành nhiều phần nhỏ hơn. Việc theo dõi thực thi bất đồng bộ được quản lý thông qua các tập tin
.ini. Điều này cải thiện độ tin cậy của các hoạt động C2, đặc biệt trong các kết nối không ổn định, và cho phép mã độc xử lý nhiều lệnh cùng lúc mà không bị chặn. - Khoảng thời gian beacon có thể cấu hình và địa chỉ C2 có thể ghi đè: Mã độc cho phép kẻ tấn công cấu hình khoảng thời gian gửi beacon (tần suất liên lạc với máy chủ C2) và ghi đè địa chỉ máy chủ C2. Điều này mang lại sự linh hoạt cao trong việc điều chỉnh hoạt động của mã độc để phù hợp với môi trường mục tiêu, tránh bị phát hiện và thích ứng với các thay đổi trong cơ sở hạ tầng C2.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Một trong những đặc điểm nguy hiểm của UMBRELLA STAND là khả năng duy trì quyền truy cập dai dẳng. Mã độc này móc nối (hooks) vào chức năng khởi động lại của thiết bị, đảm bảo nó có thể sống sót qua các lần khởi động lại của hệ thống. Ngoài ra, mã độc được thiết kế để né tránh sự phát hiện của quản trị viên trên các thiết bị mục tiêu, sử dụng các kỹ thuật che giấu để ẩn mình khỏi các công cụ giám sát và phân tích thông thường. Điều này đặc biệt quan trọng khi tấn công các thiết bị mạng cốt lõi như tường lửa, nơi tính sẵn sàng và ổn định là ưu tiên hàng đầu, khiến việc khởi động lại thường xuyên bị hạn chế.
Các Công Cụ Công Khai Được Quan Sát Kèm Theo
UMBRELLA STAND đã được quan sát triển khai cùng với một số công cụ có sẵn công khai. Sự kết hợp này cho thấy kẻ tấn công tận dụng các công cụ phổ biến để mở rộng khả năng của mình mà không cần phát triển các công cụ tùy chỉnh phức tạp:
- BusyBox: Một tập hợp các tiện ích Unix nhỏ gọn, thường được sử dụng trong các hệ thống nhúng và IoT. Trong ngữ cảnh này, BusyBox cung cấp một môi trường shell (như ash shell đã đề cập) và các lệnh cơ bản cần thiết cho việc thực thi lệnh và quản lý hệ thống trên thiết bị FortiGate.
- nbtscan: Một công cụ quét mạng được sử dụng để khám phá các máy chủ và dịch vụ NetBIOS trên mạng. Kẻ tấn công có thể sử dụng nbtscan để thu thập thông tin về các máy chủ Windows khác trong mạng nội bộ, phục vụ cho các hoạt động di chuyển ngang.
- tcpdump: Một công cụ phân tích gói tin mạng phổ biến. Kẻ tấn công có thể sử dụng tcpdump để giám sát và thu thập lưu lượng mạng từ tường lửa, thu thập thông tin nhạy cảm như thông tin đăng nhập, dữ liệu truyền qua mạng, hoặc dấu hiệu của các hệ thống khác.
- openLDAP: Mặc dù không phải là một công cụ trực tiếp để tấn công, sự hiện diện của openLDAP có thể cho thấy mã độc hoặc kẻ tấn công đang tìm cách tương tác với các dịch vụ thư mục LDAP trong mạng, có thể để xác thực, thu thập thông tin về người dùng và nhóm, hoặc tạo điều kiện cho các hoạt động xâm nhập khác.
Indicators of Compromise (IOCs)
Báo cáo của NCSC cung cấp các Indicators of Compromise (IOCs) chi tiết, bao gồm các quy tắc YARA, hàm băm (hashes) của tệp tin, các tập tin cấu hình và các chỉ số mạng. Các tổ chức được khuyến nghị mạnh mẽ kiểm tra các IOCs này để phát hiện sự hiện diện của UMBRELLA STAND trong môi trường của mình. Các tài nguyên này có sẵn tại các địa chỉ sau:
- https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/umbrella-stand/ncsc-mar-umbrella_stand.pdf
- https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/umbrella-stand/ncsc-mar-umbrella-stan-stix.json
- https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/umbrella-stand/ncsc-mar-umbrella-stan-yara.yar
- https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/umbrella-stand/ncsc-mar-indicators.csv
Các Lỗ Hổng Liên Quan Được Đề Cập
Các tài liệu tham khảo khác cũng chỉ ra các chiến dịch đang diễn ra nhằm khai thác các giao diện quản lý trên các thiết bị Fortinet và các lỗ hổng VPN ảnh hưởng đến các sản phẩm của Ivanti và FortiGate. Điều này làm nổi bật tầm quan trọng của việc duy trì cập nhật bảo mật cho tất cả các thiết bị mạng và ứng dụng để chống lại các mối đe dọa đang phát triển.
Kỹ Thuật MITRE ATT&CK Được Xác Định
Kỹ thuật MITRE ATT&CK cụ thể được xác định trong phân tích UMBRELLA STAND là T1001.003 – Protocol Impersonation (Giả mạo Giao thức). Kỹ thuật này mô tả việc mã độc sử dụng các gói tin giả mạo TLS beacons, bắt chước các giao thức hợp lệ nhưng không thực hiện bắt tay TLS thực sự, để che giấu lưu lượng Command and Control (C2). Việc xác định rõ ràng kỹ thuật này theo khung MITRE ATT&CK giúp các đội SOC (Security Operations Center) và chuyên gia phân tích mối đe dọa xây dựng các quy tắc phát hiện hiệu quả hơn và hiểu rõ hơn về cách thức kẻ tấn công hoạt động.
| Technique ID | Name | Description |
|---|---|---|
| T1001.003 | Protocol Impersonation | Sử dụng các gói tin TLS beacons giả mạo các giao thức hợp pháp mà không thực hiện bắt tay thực sự |
Tóm Tắt Để Tích Hợp Vào SOC/TIP
Thông tin kỹ thuật dưới đây được tổng hợp để dễ dàng tích hợp vào các quy trình làm việc của SOC hoặc nền tảng tình báo mối đe dọa (TIP), giúp tăng cường khả năng phát hiện và ứng phó:
Malware Name: UMBRELLA STAND
Target Platform: Fortinet FortiGate 100D Firewalls
Communication: Fake TLS beacons over TCP port 443; no real handshake; AES-CBC encrypted messages with fixed IV
Host ID Methodology: Flipped CRC32 hash of hostname
Capabilities:
• Shell command execution via BusyBox ash shell
• File read operations in chunks (6000 bytes)
• Async command chunking tracked by .ini files
• Configurable beacon intervals & C2 overrides
Persistence:
• Hooks reboot functionality for survival post-device restart
Associated Public Tools Deployed Alongside Malware:
BusyBox, nbtscan, tcpdump, openLDAP
MITRE ATT&CK Technique(s):
T1001.003 – Protocol Impersonation
Detection Note:
Hoạt động đáng ngờ có thể được chỉ ra bởi các máy chủ phản hồi dữ liệu giống TLS mà không thực hiện bắt tay thích hợp trên cổng 443.
References for IOCs & YARA Rules provided by NCSC at official URLs.Việc trích xuất kỹ thuật này giữ lại tất cả các chi tiết quan trọng từ cảnh báo ban đầu của NCSC về mã độc UMBRELLA STAND, phù hợp để sử dụng trực tiếp trong quy trình làm việc của SOC hoặc các nền tảng tình báo mối đe dọa.
