Tấn công mạng PuTTY nguy hiểm: Phát hiện dấu vết ẩn, vá CVE

Sự lạm dụng ngày càng tăng của máy khách SSH PuTTY bởi các tác nhân đe dọa để thực hiện di chuyển ngang lén lút và rò rỉ dữ liệu trong các mạng bị xâm nhập đang đặt ra những thách thức đáng kể cho các nhà điều tra pháp y. Hình thức tấn công mạng này thường để lại những dấu vết tinh vi, đặc biệt trong Windows Registry, đóng vai trò quan trọng trong việc tái cấu trúc các hoạt động của kẻ tấn công ngay cả khi bằng chứng hệ thống tệp đã bị xóa sạch.

Tấn Công Mạng Bằng Cách Lạm Dụng PuTTY

Các tác nhân đe dọa ngày càng ưa chuộng PuTTY, một công cụ hợp pháp cho việc truy cập từ xa an toàn, nhờ vào bản chất "living off the land" của nó. Kỹ thuật này cho phép các hoạt động độc hại hòa trộn với các tác vụ quản trị hệ thống thông thường, khiến việc phát hiện trở nên khó khăn hơn. Các kỹ thuật tấn công mạng như vậy tận dụng chức năng sẵn có thay vì triển khai mã độc mới.

Kỹ Thuật "Living Off The Land" và Ưu Điểm

Việc sử dụng các công cụ hợp pháp có sẵn trên hệ thống thay vì triển khai mã độc tùy chỉnh giúp kẻ tấn công duy trì mức độ ẩn danh cao và tránh bị phát hiện bởi các giải pháp bảo mật dựa trên signature truyền thống. PuTTY, với các binary như plink.exe hoặc pscp.exe, là lựa chọn lý tưởng cho mục đích này. Kẻ tấn công có thể dễ dàng tải xuống và thực thi các công cụ này, làm cho hoạt động độc hại trở nên khó phân biệt với hoạt động quản trị hợp pháp.

Các tác nhân đe dọa thực thi các binary PuTTY để thiết lập các đường hầm SSH giữa các hệ thống và hút các tệp nhạy cảm mà không cần triển khai mã độc tùy chỉnh. Điều này khai thác chức năng vốn có của công cụ để thực hiện các hành vi độc hại, biến một công cụ hữu ích thành một vũ khí trong chuỗi tấn công mạng.

Chi tiết Khai thác và Ảnh hưởng

Các chiến dịch gần đây, chẳng hạn như các bản tải xuống PuTTY bị nhiễm SEO phát tán backdoor Oyster, đã minh họa cách thức lây nhiễm ban đầu có thể tạo điều kiện cho việc dịch chuyển ngang và đánh cắp dữ liệu ra bên ngoài. Backdoor này sau đó cho phép kẻ tấn công thực hiện các thao tác trên mạng và đánh cắp dữ liệu thông qua các yêu cầu HTTP POST. Sự kết hợp này minh họa một chuỗi tấn công mạng hiệu quả từ lây nhiễm ban đầu đến exfiltration dữ liệu.

Dấu Vết Pháp Y Quan Trọng: Khóa SSH Trong Registry

Mặc dù kẻ tấn công có thể thực hiện xóa dấu vết hệ thống tệp một cách mạnh mẽ, các bằng chứng pháp y bền vững vẫn tồn tại trong Windows Registry. Nghiên cứu của Maurice Fielenbach đã chỉ ra rằng PuTTY lưu trữ các khóa máy chủ SSH tại vị trí HKCU\Software\SimonTatham\PuTTY\SshHostKeys. Đây là một nguồn thông tin pháp y quan trọng mà kẻ tấn công khó có thể làm sạch hoàn toàn.

Phân tích Registry và Dữ liệu Host Key

Vị trí Registry này ghi lại chính xác các địa chỉ IP mục tiêu, số cổng và dấu vân tay (fingerprints) của các máy chủ từ các kết nối SSH đã thiết lập. Những dữ liệu này tạo thành một "dấu vết số" quan trọng, cung cấp thông tin chi tiết về các máy chủ mà kẻ tấn công đã kết nối, ngay cả khi các nhật ký khác đã bị xóa.

Ví dụ về cấu trúc dữ liệu trong Registry:

HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys [Server IP]@[Port] = ssh-rsa 2048 [fingerprint] 192.168.1.100@22 = ssh-rsa 2048 aa:bb:cc:dd:ee:ff:11:22:33:44:55:66:77:88:99:00:AA:BB:CC:DD target.example.com@2222 = ssh-dss 1024 11:22:33:44:55:66:77:88:99:AA:BB:CC:DD:EE:FF:00:11

Tái Cấu Trúc Đường Đi của Kẻ Tấn Công

Các nhà điều tra có thể tương quan các mục nhập Registry này với nhật ký xác thực hệ thống và luồng mạng để tái cấu trúc đường đi của kẻ tấn công. Ngay cả khi nhật ký sự kiện bị xóa hoặc rất thưa thớt, dữ liệu Registry này vẫn là một nguồn thông tin có giá trị cao, giúp xác định các điểm truy cập và các hệ thống bị xâm nhập trong một cuộc tấn công mạng. Đây là một phương pháp hiệu quả để phát hiện xâm nhập và hiểu rõ phạm vi cũng như chuỗi hành động của kẻ tấn công.

Chiến Dịch Tấn Công Liên Quan và Thách Thức Phát Hiện

Các nhóm tấn công mạng trước đây, bao gồm những nhóm đứng sau ransomware DarkSide, cũng như một số nhóm APT, đã sử dụng các chiến thuật tương tự liên quan đến SSH để leo thang đặc quyền và duy trì sự hiện diện dai dẳng trong mạng. Điều này nhấn mạnh tầm quan trọng của việc theo dõi các hoạt động SSH bất thường như một phần của chiến lược an ninh mạng toàn diện.

Các Chiến Dịch Đã Ghi Nhận và Mục tiêu

Trong các chiến dịch trước đây, mã độc đã sử dụng PuTTY bị trojan hóa nhắm mục tiêu vào các quản trị viên Windows, tạo điều kiện cho sự lây lan nhanh chóng theo chiều ngang. Những cuộc tấn công mạng này khai thác lòng tin vào các công cụ hợp pháp để xâm nhập sâu hơn vào cơ sở hạ tầng, gây khó khăn cho các biện pháp phòng thủ truyền thống.

Thách Thức Phát Hiện Xâm Nhập

Thách thức chính trong việc phát hiện xâm nhập xuất phát từ việc PuTTY mô phỏng các quy trình làm việc CNTT thông thường. Tuy nhiên, các dấu hiệu bất thường như quét RDP (Remote Desktop Protocol) hoặc lưu lượng SSH không theo quy tắc sau khi hệ thống bị xâm nhập thường là những tín hiệu cảnh báo quan trọng. Các công cụ như Darktrace có thể giúp nhận diện những hoạt động bất thường này bằng cách phân tích hành vi mạng.

Việc theo dõi chặt chẽ các dấu hiệu này là cần thiết để chống lại các chiến thuật tấn công mạng lẩn tránh, vốn thường tận dụng sự hợp pháp của các công cụ có sẵn để che giấu ý đồ độc hại.

Chiến Lược Phát Hiện và Phòng Ngừa Hiệu Quả

Để đối phó với mối đe dọa lạm dụng PuTTY, các đội ngũ bảo mật cần triển khai một chiến lược toàn diện bao gồm cả phát hiện và phòng ngừa. Một phần quan trọng của chiến lược bảo mật chống lại các tấn công mạng như vậy là sự kết hợp giữa giám sát điểm cuối và mạng lưới.

Phát Hiện Xâm Nhập Sử Dụng Nền Tảng EDR và DFIR

Các nhóm bảo mật nên thiết lập đường cơ sở cho việc sử dụng PuTTY thông qua các nền tảng phát hiện điểm cuối (EDR – Endpoint Detection and Response). Hoạt động săn lùng mối đe dọa (threat hunting) cần tập trung vào các khóa Registry cụ thể như SshHostKeys và giám sát lưu lượng SSH từ các cổng không chuẩn. Nền tảng EDR giúp theo dõi hành vi của ứng dụng, phát hiện các lệnh thực thi bất thường liên quan đến PuTTY.

Công cụ Velociraptor, một công cụ DFIR (Digital Forensics and Incident Response), cung cấp các artifact đơn giản hóa việc truy vấn các khóa SshHostKeys, giúp nhanh chóng thu thập bằng chứng pháp y từ các hệ thống bị nghi ngờ:

# Velociraptor VQL query for PuTTY SshHostKeysSELECT * FROM Artifact.Windows.Registry.Key( key="HKEY_CURRENT_USER\\Software\\SimonTatham\\PuTTY\\SshHostKeys")

Bên cạnh đó, hệ thống đo từ xa mạng (network telemetry) có thể cảnh báo về các mẫu exfiltration dữ liệu bất thường, là dấu hiệu rõ ràng của một tấn công mạng đang diễn ra. Việc phân tích luồng mạng có thể tiết lộ các kết nối SSH đến các đích không được phép hoặc các kiểu truyền dữ liệu không điển hình.

Biện Pháp Giảm Thiểu và Bảo Vệ Lỗ Hổng CVE

Việc vá các lỗ hổng CVE trong PuTTY là cực kỳ quan trọng. Cụ thể, CVE-2024-31497, một lỗ hổng nghiêm trọng được phát hiện trong PuTTY, liên quan đến việc sử dụng lại giá trị k (một nonce mật mã) trong thuật toán chữ ký số ECDSA. Nếu một tác nhân đe dọa thu thập đủ số lượng chữ ký được tạo bằng cách sử dụng lại cùng một giá trị k, họ có thể khôi phục khóa riêng tư của SSH. Bản vá cho lỗ hổng này giúp ngăn chặn các cuộc khai thác nhằm duy trì sự hiện diện dai dẳng và chiếm quyền kiểm soát.

Xem chi tiết về lỗ hổng CVE-2024-31497 tại NVD: NVD – CVE-2024-31497.

Các doanh nghiệp phải xoay vòng khóa SSH định kỳ và hạn chế việc sử dụng PuTTY chỉ trên các máy chủ được phê duyệt (whitelisted hosts) để ngăn chặn các hoạt động lẩn tránh này. Việc triển khai các chính sách bảo mật chặt chẽ, kiểm soát quyền truy cập và giám sát liên tục là yếu tố then chốt để bảo vệ mạng khỏi các cuộc tấn công mạng tinh vi sử dụng công cụ hợp pháp.