CrySome RAT: Mã độc nguy hiểm ẩn mình, duy trì quyền truy cập
Một biến thể mã độc RAT mới và nguy hiểm đã xuất hiện, được thiết kế để ẩn mình, duy trì hoạt động và kiểm soát hoàn toàn hệ thống bị lây nhiễm. CrySome RAT, được viết bằng C#, nhắm mục tiêu vào hệ sinh thái .NET, cấp cho kẻ tấn công quyền kiểm soát từ xa toàn diện đối với các máy Windows bị xâm nhập.
Từ việc đánh cắp mật khẩu, ghi lại thao tác bàn phím đến khởi chạy các phiên làm việc desktop vô hình, CrySome RAT được thiết kế để truy cập dài hạn và kiểm soát hệ thống sâu rộng qua kênh C2 (command-and-control) dựa trên TCP liên tục.
Cơ chế Duy trì Quyền Truy cập Nâng cao của CrySome RAT
Điểm khác biệt của CrySome RAT so với các Trojan truy cập từ xa khác là khả năng tồn tại ngay cả sau khi khôi phục cài đặt gốc (factory reset) hoàn toàn.
Mã độc sao chép chính nó vào phân vùng phục hồi của Windows, thường nằm tại C:\Recovery\OEM.
Sau đó, nó sửa đổi registry ngoại tuyến để kích hoạt thực thi sau khi hệ thống được khôi phục. Điều này có nghĩa là ngay cả khi nạn nhân tin rằng máy của họ đã được làm sạch hoàn toàn, mã độc vẫn tự khởi chạy một cách âm thầm.
Mức độ duy trì quyền truy cập này hiếm khi được thấy và đặt CrySome RAT vào một danh mục mối đe dọa nghiêm trọng hơn so với các RAT thông thường đang lưu hành.
Kiến trúc và Giao tiếp Kỹ thuật
Các nhà phân tích của Cyfirma đã xác định mã độc RAT này sau khi thực hiện phân tích tĩnh và động mã đã dịch ngược. Phân tích này cung cấp cái nhìn rõ ràng về cấu trúc nội bộ và thiết kế mô-đun của mã độc. Đội ngũ nghiên cứu nhận thấy CrySome RAT tuân theo kiến trúc mô-đun, với một pha bootstrap tải cài đặt cấu hình và kích hoạt các khả năng cụ thể dựa trên hướng dẫn từ kẻ điều khiển.
Các nhà nghiên cứu Cyfirma cũng lưu ý rằng mã độc giao tiếp với máy chủ command-and-control của nó qua TCP. Ngay lập tức, nó gửi một hồ sơ chi tiết về hệ thống bị nhiễm khi kết nối, bao gồm tên người dùng, chi tiết hệ điều hành, thời gian hoạt động (uptime), mã quốc gia và thậm chí cả tiêu đề của cửa sổ đang mở.
Để biết thêm chi tiết kỹ thuật về phân tích mã độc, tham khảo báo cáo của Cyfirma tại: CrySome RAT: An Advanced Persistent .NET Remote Access Trojan.
Mô-đun AVKiller: Kỹ thuật Né tránh Phòng thủ Tích cực
CrySome RAT mang theo một bộ công cụ né tránh phòng thủ mạnh mẽ thông qua mô-đun AVKiller của nó. Thành phần này chấm dứt các tiến trình antivirus, vô hiệu hóa các dịch vụ bảo mật và chặn các nỗ lực cài đặt antivirus.
Ngoài ra, nó còn “đầu độc” file hosts của hệ thống để cắt đứt kết nối với các máy chủ cập nhật antivirus. AVKiller cũng sử dụng kỹ thuật Image File Execution Options (IFEO) hijacking để ngăn chặn các công cụ bảo mật khởi chạy.
Các sản phẩm bảo mật lớn từ các nhà cung cấp như Windows Defender, Kaspersky, CrowdStrike, ESET, Avast và SentinelOne đều bị nhắm mục tiêu cụ thể. Sau khi mô-đun AVKiller hoàn tất công việc, hệ thống bị nhiễm sẽ chỉ còn rất ít hoặc không còn biện pháp bảo vệ chủ động nào.
Chấm dứt Tiến trình Diệt Virus và Vô hiệu hóa Dịch vụ
Một trong những khía cạnh kỹ thuật quan trọng nhất của CrySome RAT là cách nó xử lý việc né tránh phòng thủ thông qua mô-đun AVKiller chuyên dụng. Mô-đun này duy trì danh sách cứng (hardcoded lists) tên tiến trình antivirus, tên dịch vụ bảo mật, các từ khóa liên quan đến trình cài đặt và các miền máy chủ cập nhật antivirus.
Khi hoạt động, một hàm có tên ScanAndKillProcesses() chạy liên tục, quét tất cả các tiến trình hoạt động trên hệ thống và ngay lập tức chấm dứt bất kỳ tiến trình nào khớp với danh sách nội bộ của nó. Việc này được thực hiện bằng cách sử dụng thực thi song song, nghĩa là các tiến trình bảo mật bị tiêu diệt gần như ngay khi chúng khởi động lại, không để lại khoảng thời gian nào để hệ thống phòng thủ có thể phục hồi.
Giả mạo Trình gỡ lỗi thông qua IFEO Hijacking
Ngoài việc tiêu diệt các tiến trình, mô-đun này còn lạm dụng khóa registry Windows Image File Execution Options (IFEO) để gán một trình gỡ lỗi giả cho các tệp thực thi bảo mật mục tiêu.
Bất cứ khi nào một công cụ bị chặn cố gắng khởi chạy, Windows sẽ âm thầm chuyển hướng nó đến một lệnh vô hại không thực hiện bất cứ điều gì. Ứng dụng bảo mật dường như khởi động nhưng không bao giờ thực sự chạy, khiến nạn nhân không có dấu hiệu rõ ràng rằng hệ thống bảo vệ của họ đã bị dừng.
PoisonHostsFile(): Ngăn chặn Cập nhật Antivirus
Mô-đun AVKiller cũng gọi hàm PoisonHostsFile(), ghi lại file hosts của hệ thống để chuyển hướng các miền cập nhật antivirus về 0.0.0.0. Điều này chặn hoàn toàn các bản cập nhật chữ ký và định nghĩa.
Theo thời gian, ngay cả khi một sản phẩm bảo mật vẫn tồn tại được, nó sẽ trở nên lỗi thời và kém hiệu quả hơn đáng kể. Đây là một phương pháp hiệu quả để làm suy yếu an ninh mạng của hệ thống bị xâm nhập.
Mô-đun HVNC và Khả năng Khai thác Mở rộng
Phạm vi tác động của mối đe dọa này còn mở rộng hơn nữa thông qua mô-đun Hidden Virtual Network Computing (HVNC). Mô-đun này cho phép kẻ tấn công tương tác với máy của nạn nhân thông qua một phiên làm việc desktop hoàn toàn vô hình. Điều này có nghĩa là kẻ tấn công có thể mở trình duyệt, truy cập tệp và điều hướng hệ thống mà người dùng không bao giờ nhìn thấy bất kỳ hoạt động nào trên màn hình của họ.
Kết hợp với các chức năng như ghi lại thao tác bàn phím (keylogging), thu thập thông tin xác thực từ các trình duyệt Chromium-based, truy cập webcam, chụp màn hình và hỗ trợ proxy SOCKS để di chuyển ngang, CrySome RAT hoạt động giống một framework hậu khai thác hoàn chỉnh hơn là một công cụ truy cập từ xa đơn giản. Các chức năng này cho thấy rõ mức độ nguy hiểm của mối đe dọa mạng này.
Chỉ số Thỏa hiệp (IOCs) và Các Biện pháp Đối phó Khuyến nghị
Các nhóm bảo mật và quản trị viên hệ thống cần thực hiện các bước sau để đối phó với CrySome RAT. Bất kỳ hệ thống nào hiển thị các chỉ số thỏa hiệp (IOC) liên quan đến CrySome RAT cần được cô lập ngay lập tức để ngăn chặn sự lây lan ngang.
Chỉ số Thỏa hiệp (IOCs)
- Domain Command-and-Control:
crysome[.]net
Biện pháp Khắc phục và Phòng ngừa
- Triển khai EDR: Các công cụ phát hiện và phản hồi điểm cuối (EDR) có khả năng phát hiện việc chèn tiến trình, thay đổi registry và lạm dụng dịch vụ nên được triển khai trên tất cả các môi trường. Đây là một yếu tố quan trọng trong phát hiện xâm nhập.
- Kiểm tra Định kỳ: Kiểm tra thường xuyên các tác vụ theo lịch trình, dịch vụ Windows và các khóa registry
Run/RunOnceđể tìm các mục không được ủy quyền. - Chặn Mạng: Miền
crysome[.]netvà bất kỳ hạ tầng liên quan nào khác cần được chặn ở cấp độ mạng. - Bảo vệ Chống giả mạo: Bật tính năng bảo vệ chống giả mạo (tamper protection) để ngăn chặn các script hoặc thay đổi chính sách làm vô hiệu hóa các công cụ bảo mật.
- Kiểm tra Pháp y: Các phân vùng phục hồi và các hive registry ngoại tuyến đòi hỏi kiểm tra pháp y sâu rộng trong bất kỳ nỗ lực khắc phục nào để xác nhận không có persistence ẩn nào tồn tại.
- Thực thi Chính sách Kiểm soát Ứng dụng: Các chính sách kiểm soát ứng dụng nên được thực thi để ngăn chặn các tệp nhị phân không xác định hoặc không có chữ ký chạy, đặc biệt từ các thư mục có thể ghi của người dùng.
- Sao lưu Ngoại tuyến: Cuối cùng, cần duy trì các bản sao lưu ngoại tuyến và hình ảnh hệ thống đã xác minh để hỗ trợ phục hồi hoàn toàn khi cần thiết.
