SharkStealer, một mã độc đánh cắp thông tin (infostealer) được phát triển bằng Golang, đã được quan sát tận dụng **Binance Smart Chain (BSC) Testnet** như một cơ chế **chỉ huy và kiểm soát (C2)** bí mật. Phương pháp này đại diện cho một mối đe dọa mạng đang phát triển, lợi dụng hạ tầng blockchain để tránh bị phát hiện.

Bằng cách áp dụng mô hình “EtherHiding”, mã độc này thu hồi chi tiết C2 đã được mã hóa từ các hợp đồng thông minh thông qua các lệnh gọi **Ethereum RPC**. Sau đó, nó giải mã payload trong bộ nhớ và khởi tạo liên lạc, tất cả đều diễn ra một cách ẩn danh trong lưu lượng truy cập blockchain hợp pháp.

Kỹ thuật EtherHiding và Cơ chế C2 trên Blockchain

Các kênh C2 truyền thống thường dựa vào các tên miền hoặc địa chỉ IP chuyên dụng, vốn có thể bị các nhà phòng thủ “sinkhole” hoặc chặn ngay khi được xác định.

SharkStealer né tránh điều này bằng cách phát hành các yêu cầu eth_call tới các node của **BSC Testnet**. Các yêu cầu này truy vấn một hợp đồng thông minh hoạt động như một kho lưu trữ bền vững cho dữ liệu C2.

Với mỗi lệnh gọi, hợp đồng trả về một tuple hai phần bao gồm một vector khởi tạo mật mã (IV – Initialization Vector) và một khối dữ liệu được mã hóa bằng **AES-CFB**. Khối dữ liệu này chứa thông tin về điểm cuối C2 thực tế.

Việc dữ liệu cư trú trên một blockchain công khai gây khó khăn lớn cho các nhà phân tích. Họ phải đối mặt với thách thức trong việc phân biệt các truy xuất độc hại với các hoạt động của người dùng hợp pháp.

Cách tiếp cận này nhấn mạnh xu hướng lạm dụng ngày càng tăng đối với các cơ sở hạ tầng sổ cái công khai. Blockchain cung cấp khả năng lưu trữ chống kiểm duyệt và tính khả dụng toàn cầu, biến các hợp đồng thông minh thành những điểm trao đổi dữ liệu bí mật có thể truy cập ở mọi nơi.

Trừ khi các nhà phòng thủ giám sát các mẫu eth_call nhắm mục tiêu cụ thể vào các địa chỉ hợp đồng độc hại, các lệnh gọi này dường như không thể phân biệt được với các tương tác ứng dụng phi tập trung (dApp) hợp pháp. Điều này đặt ra một thách thức đáng kể trong việc ngăn chặn mối đe dọa mạng này.

Quy trình hoạt động của EtherHiding trong SharkStealer

Quy trình triển khai EtherHiding của SharkStealer diễn ra theo các bước cụ thể:

• Mã độc gửi yêu cầu eth_call tới một hợp đồng thông minh được chỉ định trên **BSC Testnet**.
• Hợp đồng thông minh trả về một tuple chứa **IV** và dữ liệu C2 đã được mã hóa bằng **AES-CFB**.
• Mã độc giải mã dữ liệu C2 trong bộ nhớ bằng cách sử dụng **IV** đã nhận và khóa AES cứng (hardcoded).
• Sau khi giải mã, mã độc thiết lập kết nối với điểm cuối C2 thực tế để nhận lệnh và gửi dữ liệu đánh cắp.

Bằng cách chuyển việc lưu trữ dữ liệu liên lạc quan trọng sang blockchain, những kẻ tấn công giảm sự phụ thuộc vào cơ sở hạ tầng web dùng một lần. Kỹ thuật này làm phức tạp các hoạt động gỡ bỏ (takedown operation) đáng kể. Để phá vỡ C2 đòi hỏi phải chặn các giao dịch blockchain hoặc vô hiệu hóa các hợp đồng thông minh. Cả hai hành động này đều yêu cầu sự phối hợp với các nhà điều hành blockchain và nhà cung cấp node, một nhiệm vụ đầy thách thức đối với các nhóm an ninh mạng.

Phát hiện Xâm nhập và Biện pháp Đối phó

Các nhóm bảo mật cần tìm kiếm các chỉ số thỏa hiệp (IoC) sau đây khi điều tra các trường hợp lây nhiễm SharkStealer tiềm năng. Việc nhận diện sớm là chìa khóa để hạn chế tác động của mối đe dọa mạng này.

Giám sát Lưu lượng Mạng

Khi giám sát nhật ký mạng, các mẫu yêu cầu eth_call bất thường – đặc biệt là các lệnh gọi lặp đi lặp lại tới một địa chỉ hợp đồng duy nhất – nên kích hoạt cảnh báo. Đây là một điểm trọng yếu trong chiến lược phát hiện xâm nhập. Việc thiết lập các quy tắc giám sát tinh vi có thể giúp xác định các hoạt động C2 dựa trên blockchain một cách hiệu quả.

Việc theo dõi lưu lượng mạng blockchain có thể là một phương pháp phòng thủ hiệu quả. Ví dụ, việc theo dõi các hoạt động liên quan đến BSC Testnet hoặc các blockchain công cộng khác để phát hiện các mẫu giao tiếp không mong muốn.

Phát hiện Dựa trên Host bằng Quy tắc YARA

Phát hiện dựa trên host có thể tận dụng các quy tắc **YARA** để xác định khóa AES cứng (hardcoded AES key) hoặc quy trình giải mã tương ứng bên trong tệp nhị phân của SharkStealer. Điều này cung cấp một lớp bảo vệ bổ sung cho các hệ thống. Phân tích chi tiết về SharkStealer từ VMRay cũng nhấn mạnh các điểm này.

Một quy tắc YARA mẫu để phát hiện các chuỗi liên quan đến SharkStealer có thể bao gồm:

rule SharkStealer_Indicators {
  meta:
    author = "Security Analyst"
    date = "2023-10-27"
    description = "Detects SharkStealer infostealer artifacts"
    version = "1.0"
  strings:
    $s1 = "eth_call" nocase
    $s2 = "AES-CFB" nocase
    $s3 = "Binance Smart Chain Testnet" nocase
    $s4 = { 52 6F 75 74 65 72 20 45 6E 64 70 6F 69 6E 74 }  // Example: "Router Endpoint" in hex
  condition:
    uint16(0) == 0x5A4D and 3 of them
}

Quy tắc trên là một ví dụ minh họa và cần được điều chỉnh dựa trên phân tích chi tiết về mẫu mã độc thực tế. Các chuỗi (strings) cụ thể, hàm băm (hashes) hoặc các mẫu byte (byte patterns) đặc trưng của tệp nhị phân SharkStealer sẽ cung cấp độ chính xác cao hơn cho việc phát hiện xâm nhập.

Chỉ số Thỏa hiệp (IoCs)

Các chỉ số thỏa hiệp chính cần chú ý bao gồm:

• Mẫu eth_call bất thường: Các lệnh gọi lặp lại đến một địa chỉ hợp đồng thông minh trên **BSC Testnet** hoặc các blockchain công khai khác.
• Khóa AES cứng: Mã nhị phân chứa các khóa AES được nhúng có thể được sử dụng để giải mã dữ liệu C2.
• Quy trình giải mã: Sự hiện diện của các hàm hoặc logic giải mã **AES-CFB** trong các tệp thực thi.
• Địa chỉ hợp đồng thông minh C2: Địa chỉ hợp đồng cụ thể mà SharkStealer sử dụng để lưu trữ dữ liệu C2. Việc này đòi hỏi theo dõi thông tin tình báo mối đe dọa để cập nhật danh sách các địa chỉ độc hại.

Việc hiểu rõ và giám sát các chỉ số này là rất quan trọng để duy trì một tư thế an ninh mạng mạnh mẽ trước các mối đe dọa mạng tiên tiến như SharkStealer, đặc biệt khi chúng khai thác các nền tảng mới nổi như blockchain cho mục đích độc hại.