Xâm nhập mạng: Nguy hiểm từ lỗ hổng CVE và RCE nghiêm trọng

Một nhóm tấn công mạng chuyên nghiệp đã phát triển và triển khai một module ShadowPad IIS Listener tùy chỉnh, biến các máy chủ bị xâm nhập thành một mạng lưới chuyển tiếp phân tán và kiên cường. Phương pháp này cho phép các tác nhân đe dọa định tuyến lưu lượng độc hại thông qua hạ tầng của nạn nhân, biến các tổ chức bị tấn công thành một mạng lưới các nút điều khiển và chỉ huy (C2). Đây là một kỹ thuật xâm nhập mạng phức tạp, cho thấy sự tinh vi trong các chiến dịch tấn công.

Chiến Thuật Khai Thác Ban Đầu và Chiếm Quyền Điều Khiển

Chiến dịch tấn công bắt đầu bằng việc khai thác các lỗ hổng CVE nghiêm trọng đã tồn tại lâu năm. Các lỗ hổng này bao gồm lỗi deserialization trong ASP.NET ViewState và các lỗ hổng SharePoint, điển hình như ToolShell. Việc tận dụng các khóa máy (machine keys) bị rò rỉ hoặc các điểm cuối (endpoints) chưa được vá lỗi là yếu tố then chốt.

Bằng cách này, kẻ tấn công đạt được khả năng remote code execution, dẫn đến việc kiểm soát toàn bộ hệ thống mục tiêu. Bảo mật các điểm cuối từ xa là cực kỳ quan trọng để ngăn chặn các kiểu tấn công này.

Thiết Lập Kênh Giao Tiếp Ngầm

Sau khi thiết lập quyền kiểm soát, mã độc tạo ra một kênh giao tiếp ngầm. Kênh này được thiết kế để hòa lẫn một cách liền mạch với lưu lượng web hợp pháp. Điều này gây khó khăn đặc biệt cho các đội ngũ phòng thủ mạng trong việc phát hiện, ngay cả khi họ đang giám sát các giao thức chuẩn.

Các nhà phân tích của Check Point đã xác định cụm mối đe dọa đang phát triển này. Nghiên cứu của Check Point chỉ ra rằng nhóm này, còn được gọi là Earth Alux hoặc REF7707, đã cải tiến đáng kể kỹ thuật tác chiến của mình.

Mục Tiêu Hoạt Động Của Nhóm Tấn Công

Các nhà nghiên cứu quan sát thấy rằng nhóm này, được gọi là Ink Dragon, không chỉ sử dụng nạn nhân để đánh cắp dữ liệu. Thay vào đó, chúng chủ động tái sử dụng các hệ thống bị xâm nhập để hỗ trợ các hoạt động tấn công đang diễn ra nhắm vào các mục tiêu khác. Đây là một chiến lược xâm nhập mạng mang tính chiến lược.

Điều này tạo ra một hạ tầng tự duy trì, giúp che giấu nguồn gốc thực sự của các cuộc tấn công. Đồng thời, nó tối đa hóa tiện ích của mọi tài sản bị xâm nhập. Kiến trúc module này cấp cho kẻ tấn công quyền truy cập liên tục và khả năng di chuyển ngang (lateral movement) trong các mạng lưới.

Tận Dụng Tính Năng IIS Bản Địa

Việc sử dụng các khả năng bản địa của IIS để chặn và chuyển tiếp liên lạc đảm bảo rằng lưu lượng C2 vẫn ẩn trong các luồng HTTP tiêu chuẩn. Việc các máy chủ IIS bị mã độc tấn công đã trở thành một mối lo ngại lớn.

Việc tái sử dụng tài sản bị xâm nhập một cách chiến lược như vậy cho thấy một triết lý hoạt động trưởng thành. Triết lý này tập trung vào sự tàng hình lâu dài, khả năng phục hồi và mở rộng liên tục phạm vi hoạt động của chúng. Điều này phản ánh sự tiến hóa trong kỹ thuật xâm nhập mạng của các nhóm tấn công.

Kiến Trúc Module IIS Listener Tùy Chỉnh

Trọng tâm của chiến dịch này là một module IIS tùy chỉnh hoạt động khác biệt so với các backdoor truyền thống. Thay vì chỉ mở một cổng, nó sử dụng API HttpAddUrl để đăng ký các trình lắng nghe (listener) URL động.

Các listener này có nhiệm vụ chặn các yêu cầu HTTP cụ thể. Khi một yêu cầu khớp với mẫu đã cấu hình, module sẽ giải mã payload để xác định xem đó có phải là một lệnh hay không.

Cơ Chế Giao Tiếp Ẩn và Trốn Tránh Phát Hiện

Nếu lưu lượng truy cập không khớp với giao thức độc quyền, module sẽ chuyển tiếp nó đến tiến trình worker IIS hợp lệ. Tiến trình này sẽ phục vụ nội dung web thông thường để tránh gây nghi ngờ. Kỹ thuật chặn lén lút này cho phép implant cùng tồn tại với các ứng dụng hợp pháp mà không làm gián đoạn tính khả dụng của dịch vụ. Việc các tác nhân đe dọa lạm dụng các gói phần mềm hợp pháp là một xu hướng đáng báo động.

Module sử dụng một quy trình giải mã cụ thể để xử lý các gói ban đầu. Điều này đảm bảo rằng chỉ lưu lượng của nhà điều hành được ủy quyền mới được xử lý. Việc duy trì các danh sách riêng biệt cho các nút máy chủ và máy khách cho phép mã độc tự động ghép nối các kết nối. Mục đích là để chuyển tiếp dữ liệu giữa chúng, phục vụ cho mục tiêu xâm nhập mạng liên tục.

Mạng Lưới Chuyển Tiếp Phức Tạp và Thách Thức Đối Phó

Khả năng này cho phép kẻ tấn công bắc cầu liên lạc giữa các mạng nạn nhân không liên quan. Điều này làm phức tạp các nỗ lực quy kết và khắc phục hậu quả. Logic chuyển tiếp này được hỗ trợ bởi tính năng ghi nhật ký gỡ lỗi (debug logging) chi tiết.

Nhật ký này tài liệu hóa các hoạt động truyền byte và giúp các nhà phân tích lập bản đồ đồ thị giao tiếp rộng hơn. Sự phức tạp này làm cho việc phát hiện và ứng phó với các chiến dịch xâm nhập mạng trở nên vô cùng khó khăn, đòi hỏi các công cụ và kỹ thuật phân tích tiên tiến.

Tóm lại, chiến dịch này thể hiện một hình thức xâm nhập mạng có tổ chức cao, nơi các hệ thống bị thỏa hiệp được tái sử dụng một cách chiến lược. Mục tiêu là để xây dựng một hạ tầng C2 phân tán và khó bị phát hiện. Việc hiểu rõ cơ chế hoạt động của module ShadowPad IIS Listener và các kỹ thuật liên quan là rất quan trọng để tăng cường khả năng phòng thủ trước các mối đe dọa mạng tinh vi.