Tấn công mạng: RCE & Lỗ hổng nghiêm trọng từ kẻ thích ứng

Các báo cáo công khai về tấn công mạng thường mô tả một bức tranh đã được hoàn thiện, trong đó các đối tượng đe dọa thực hiện các hành động có kế hoạch rõ ràng và được thực hiện một cách hoàn hảo.

Quan điểm này khiến nhiều người tin rằng kẻ tấn công hiện đại hoạt động với độ chính xác như máy móc, di chuyển liền mạch giữa các mục tiêu mà không gặp trở ngại.

Tuy nhiên, phân tích sâu hơn Nhật ký Sự kiện Windows và dữ liệu đo từ xa của EDR (Endpoint Detection and Response) cho thấy một thực tế khác biệt.

Nó tiết lộ rằng các đối tượng đe dọa cũng gặp khó khăn, thử nghiệm, mắc lỗi và phải thích nghi khi kế hoạch ban đầu của họ không thành công, phản ánh quá trình học hỏi liên tục.

Phân tích Thực Tế Các Cuộc Tấn Công Mạng: Từ Lỗi Đến Thích Ứng

Bối Cảnh và Mục Tiêu Các Chiến Dịch Khai Thác

Trong khoảng thời gian từ tháng 11 đến tháng 12 năm 2025, các nhà nghiên cứu bảo mật đã phát hiện ba sự cố tấn công mạng riêng biệt, cung cấp bằng chứng rõ ràng về cách thử nghiệm và lỗi định hình các chiến dịch mã độc thực tế.

Điểm chung của các sự cố này là kẻ tấn công tận dụng các lỗ hổng web application để giành quyền truy cập ban đầu.

Sau đó, chúng cố gắng triển khai mã độc tùy chỉnh, đồng thời liên tục điều chỉnh chiến thuật của mình để đối phó với các hệ thống phòng thủ và các rào cản bất ngờ.

Các mục tiêu bị ảnh hưởng bao gồm một công ty phát triển bất động sản, một công ty sản xuất và một tổ chức dịch vụ chia sẻ doanh nghiệp.

Khai Thác Lỗ Hổng Web Application và Remote Code Execution

Trên cả ba mục tiêu, kẻ tấn công đã khai thác các lỗ hổng trong các ứng dụng web chạy trên Microsoft Internet Information Server (IIS) để thực thi các lệnh từ xa.

Các nhà phân tích của Huntress đã làm rõ rằng nguồn gốc của các cuộc tấn công mạng này là các tiến trình máy chủ web IIS bị xâm nhập, cho phép thực thi các lệnh do kẻ tấn công kiểm soát.

Điều quan trọng là, các đối tượng đe dọa không dựa vào việc tải lên hoặc sử dụng các web shell truyền thống.

Thay vào đó, chúng khai thác trực tiếp các lỗi lập trình (coding flaws) bên trong các trang ứng dụng web để đạt được remote code execution (RCE).

Điều này có thể là do các lỗ hổng như command injection hoặc các lỗi xử lý dữ liệu đầu vào không an toàn, một loại lỗ hổng CVE phổ biến, cho phép chèn và thực thi các lệnh hệ thống.

Khả năng RCE trực tiếp qua ứng dụng web làm tăng đáng kể rủi ro đối với các hệ thống mục tiêu, cho phép kẻ tấn công kiểm soát mà không cần cài đặt thêm công cụ.

Mã Độc và Công Cụ Sử Dụng Trong Chiến Dịch

Golang Trojan và Các Biến Thể Mã Độc

Các nhà phân tích đã xác định một Golang Trojan có tên agent.exe là thành phần cốt lõi trong các cuộc tấn công mạng này.

Bên cạnh đó, kẻ tấn công còn triển khai các biến thể khác như SparkRAT, một công cụ truy cập từ xa (Remote Access Trojan), và các tiện ích khác.

Mục tiêu của việc triển khai nhiều công cụ là nhằm mục đích thiết lập và duy trì quyền truy cập (persistence) trên các hệ thống mục tiêu, cũng như thực hiện các hành vi độc hại khác.

Sự lựa chọn các công cụ này cho thấy kẻ tấn công có khả năng thích nghi và sử dụng nhiều loại mã độc để đạt được mục tiêu, vượt qua các biện pháp phòng thủ.

Chỉ Số Compromise (IOCs)

Việc nhận diện các chỉ số thỏa hiệp (IOCs) là rất quan trọng để các tổ chức có thể phát hiện xâm nhập và ứng phó kịp thời. Các IOCs chính được xác định bao gồm:

• Tên tệp mã độc:
  • agent.exe (Golang Trojan chính)
  • 815.exe (một biến thể Golang Trojan)
• Loại mã độc:
  • Golang Trojan
  • SparkRAT (Remote Access Trojan)
• Phương thức khai thác ban đầu:
  • Khai thác trực tiếp các lỗi lập trình trong ứng dụng web trên Microsoft IIS để đạt được remote code execution.
• Lệnh CLI được sử dụng:
  • Các lệnh liệt kê hệ thống như whoami.exe, netstat, net user, ipconfig /all.
  • Lệnh tải xuống certutil.exe (bị chặn).
  • Lệnh PowerShell để thêm ngoại lệ Windows Defender.

Chiến Thuật Tấn Công và Quá Trình Thích Ứng

Diễn Biến Incident 1: Thử Nghiệm và Phát Hiện

Trong sự cố đầu tiên, nhật ký máy chủ ghi nhận một yêu cầu POST thành công (mã trạng thái 200 OK) tới một trang đăng nhập.

Ngay sau đó là lệnh whoami.exe được thực thi thông qua tiến trình máy chủ web, khẳng định rằng kẻ tấn công đã giành được khả năng remote code execution.

Kẻ tấn công sau đó đã thực hiện các lệnh liệt kê hệ thống tiêu chuẩn để thu thập thông tin về môi trường.

Các lệnh này bao gồm netstat -ano để kiểm tra các kết nối mạng hoạt động, net user để liệt kê tài khoản người dùng, và ipconfig /all để truy vấn cấu hình mạng.

whoami.exenetstat -anonet useripconfig /all

Khi cố gắng tải xuống mã độc bằng certutil.exe, một công cụ Living Off The Land Binary (LOLBIN) phổ biến, Windows Defender đã chặn đứng lệnh này.

Việc sử dụng LOLBIN cho phép kẻ tấn công tận dụng các công cụ hợp pháp có sẵn trên hệ thống để thực hiện các hành vi độc hại, gây khó khăn cho việc phát hiện xâm nhập dựa trên chữ ký.

Bài Học Từ Thất Bại: Điều Chỉnh Chiến Lược Né Tránh

Sau thất bại ban đầu với certutil.exe, đối tượng đe dọa đã không từ bỏ. Chúng đã chuyển một tệp có tên 815.exe thông qua một cơ chế không xác định.

Tệp này sau đó được cố gắng thực thi ba lần trước khi thành công, nhưng ngay lập tức bị cách ly khi được xác định là một Trojan viết bằng Golang.

Trong các sự cố tiếp theo, kẻ tấn công đã học được từ những thất bại này và điều chỉnh chiến lược của mình.

Chúng đã ban hành các lệnh PowerShell để thêm các ngoại lệ cho các phần mở rộng tệp mã độc phổ biến trước khi triển khai payload độc hại:

powershell -command Add-MpPreference -ExclusionPath C -ExclusionExtension .exe, .bin, .dll -Force

Lệnh này hướng dẫn Windows Defender bỏ qua các tệp có phần mở rộng .exe, .bin và .dll trong ổ đĩa C, qua đó cho phép mã độc được triển khai mà không bị chặn ngay lập tức.

Sự thích nghi này là một minh chứng rõ ràng cho khả năng học hỏi của kẻ tấn công, điều chỉnh hành vi dựa trên những thất bại trước đó để vượt qua các biện pháp phòng thủ.

Thử Nghiệm Persistence và Hạn Chế

Kỹ Thuật Tạo Ngoại Lệ Windows Defender

Việc sử dụng lệnh Add-MpPreference để tạo ngoại lệ là một chiến thuật tấn công mạng phổ biến để né tránh các giải pháp bảo mật như Windows Defender.

Bằng cách tạo ngoại lệ, kẻ tấn công có thể triển khai và thực thi mã độc mà không bị hệ thống phòng thủ chặn đứng, ít nhất là trong giai đoạn ban đầu.

Kỹ thuật này cho thấy sự hiểu biết sâu sắc của kẻ tấn công về cách các hệ thống phòng thủ hoạt động và khả năng điều chỉnh chiến lược để tối đa hóa cơ hội thành công của cuộc tấn công mạng.

Đây là một phần của chu trình thích ứng liên tục giữa kẻ tấn công và hệ thống phòng thủ, nơi việc phát hiện xâm nhập yêu cầu các phương pháp phức tạp và đa tầng.

Những Thất Bại Trong Thiết Lập Persistence

Mặc dù đã điều chỉnh để né tránh Windows Defender, các đối tượng đe dọa vẫn gặp phải những trở ngại đáng kể trong việc thiết lập persistence (duy trì quyền truy cập).

Chúng liên tục cố gắng thiết lập quyền truy cập bền vững bằng cách sử dụng các dịch vụ Windows, nhưng những nỗ lực này thường xuyên thất bại.

Nguyên nhân của các thất bại này thường là do lỗi cấu hình, thiếu quyền cần thiết hoặc các hạn chế khác của hệ thống, cũng như các biện pháp bảo mật được tăng cường trên các hệ thống bị xâm nhập.

Điều này chứng tỏ rằng ngay cả khi kẻ tấn công có thể vượt qua một lớp phòng thủ, các lớp bảo mật khác vẫn có thể hiệu quả trong việc ngăn chặn mục tiêu cuối cùng.

Bất chấp những thất bại này, các đối tượng đe dọa vẫn kiên trì, quay trở lại các điểm cuối bị xâm nhập nhiều lần với các công cụ và phương pháp khác nhau.

Mỗi lần thử đều bộc lộ sự khó chịu và quyết tâm của chúng trong việc vượt qua các rào cản phòng thủ, nhấn mạnh tầm quan trọng của việc triển khai nhiều lớp bảo mật.

Để tìm hiểu thêm về các lỗ hổng và cảnh báo bảo mật, bạn có thể tham khảo các nguồn đáng tin cậy như CISA.gov.