Các nhà nghiên cứu bảo mật đã phát hiện một kỹ thuật **tấn công mạng** tinh vi khai thác ứng dụng Microsoft OneDrive để thực thi mã độc mà không bị phát hiện. Phương pháp này, được gọi là **DLL sideloading**, tận dụng cách Windows tải các tệp thư viện để lừa các ứng dụng hợp pháp chạy phần mềm do kẻ tấn công kiểm soát. Đây là một mối đe dọa đáng kể đối với các môi trường doanh nghiệp, nơi OneDrive được triển khai rộng rãi trên hàng ngàn máy.

Kỹ Thuật Tấn Công DLL Sideloading và Tối Ưu Hóa OneDrive

Cơ Chế Khai Thác Chuỗi Tìm Kiếm Thư Viện (DLL Search Order Hijacking)

Lỗ hổng này xuất phát từ cách hệ điều hành Windows tìm kiếm các tệp thư viện (DLL) khi một ứng dụng khởi chạy. Khi OneDrive.exe bắt đầu, hệ điều hành sẽ tìm kiếm các tệp cần thiết, chẳng hạn như version.dll, ở nhiều vị trí. Windows ưu tiên kiểm tra thư mục của ứng dụng trước khi tìm kiếm trong các thư mục hệ thống.

Kẻ tấn công khai thác thứ tự tìm kiếm có thể dự đoán này bằng cách đặt một tệp version.dll độc hại vào cùng thư mục với OneDrive.exe. Khi ứng dụng khởi chạy, nó vô tình tải mã của kẻ tấn công thay vì thư viện hợp pháp của Microsoft. Điều này cho phép thực thi mã trái phép trong ngữ cảnh tiến trình OneDrive đáng tin cậy.

Cách tiếp cận này đặc biệt nguy hiểm vì mã độc chạy dưới danh tính và quyền hạn của OneDrive.exe, một ứng dụng ở cấp độ hệ thống. OneDrive thường có các đặc quyền nâng cao và khả năng truy cập mạng rộng, mà mã độc có thể kế thừa hoàn toàn. Sự lạm dụng này cho phép kẻ tấn công thực hiện các hành vi độc hại với mức độ tin cậy cao.

Vượt Qua Hàng Rào Phát Hiện Xâm Nhập

Các công cụ bảo mật thường tin tưởng các tiến trình được ký điện tử bởi Microsoft. Điều này làm cho kỹ thuật **DLL sideloading** trở nên cực kỳ hiệu quả trong việc bỏ qua các hệ thống phát hiện và phản hồi điểm cuối (EDR) truyền thống. Mã độc chạy trong tiến trình hợp pháp của OneDrive, khiến việc phân biệt giữa hoạt động hợp pháp và độc hại trở nên khó khăn.

Việc bỏ qua khả năng **phát hiện xâm nhập** của các giải pháp bảo mật tiêu chuẩn là một lợi thế lớn cho kẻ tấn công. Mã độc có thể hoạt động mà không gây ra cảnh báo, duy trì tính ẩn danh và thời gian tồn tại trong môi trường mục tiêu. Khả năng này biến OneDrive, một ứng dụng thiết yếu, thành một vector tấn công mạnh mẽ.

Tinh Vi Hóa Tấn Công với DLL Proxying và API Hooking

Kỹ Thuật DLL Proxying để Duy Trì Hoạt Động Ẩn Danh

Bằng chứng khái niệm (PoC) được phát hiện bởi các nhà nghiên cứu bảo mật (GitHub) đã chứng minh mức độ tinh vi cao hơn ngoài kỹ thuật DLL sideloading cơ bản. Thư viện độc hại sử dụng DLL proxying, một kỹ thuật đảm bảo khả năng tương thích với ứng dụng gốc.

Thay vì khiến OneDrive bị treo ngay lập tức khi không tìm thấy các hàm mong đợi, DLL độc hại xuất các hàm tương tự như version.dll hợp pháp. Sau đó, nó chuyển tiếp các lệnh gọi hợp pháp đến thư viện hệ thống thực. Điều này giúp OneDrive tiếp tục chạy bình thường trong khi mã của kẻ tấn công hoạt động vô hình ở chế độ nền.

Kỹ thuật DLL proxying là chìa khóa để duy trì tính bền bỉ và tránh bị phát hiện. Nó cho phép ứng dụng mục tiêu hoạt động không gián đoạn, làm giảm đáng kể khả năng người dùng hoặc hệ thống giám sát nhận thấy bất kỳ điều gì bất thường. Đây là một bước tiến quan trọng trong việc che giấu hoạt động của **tấn công mạng**.

Thao Túng Hàm API qua Vectored Exception Handling và Bảo Vệ Bộ Nhớ

Việc triển khai tấn công còn sử dụng API hooking nâng cao bằng cách tận dụng Vectored Exception Handling (VEH) và các kỹ thuật bảo vệ trang bộ nhớ. Thay vì sửa đổi mã một cách rõ ràng, điều mà các sản phẩm bảo mật có thể phát hiện, cuộc tấn công này chặn các lệnh gọi hàm ở cấp độ API của Windows.

Khi OneDrive cố gắng thực thi hàm CreateWindowExW, cơ chế hooking sẽ bắt lấy hành động này và chuyển hướng luồng thực thi đến mã do kẻ tấn công kiểm soát. Kỹ thuật này liên tục tự tái vũ trang để duy trì tính bền bỉ trong suốt thời gian chạy của ứng dụng. Việc sử dụng VEH và bảo vệ bộ nhớ giúp làm cho các thay đổi trong bộ nhớ khó bị phát hiện hơn.

Phương pháp API hooking này cung cấp một lớp ẩn mình bổ sung, làm phức tạp thêm nỗ lực của các công cụ bảo mật trong việc theo dõi và chặn các hành vi độc hại. Nó cho phép kẻ tấn công kiểm soát sâu rộng mà vẫn duy trì tính bí mật, tăng khả năng thành công của một cuộc **tấn công mạng** tinh vi.

Thực Thi Mã Từ Xa (Remote Code Execution) và Tác Động Tiềm Ẩn

Mô Phỏng Khai Thác và Khả Năng Tấn Công

Trong bằng chứng khái niệm, kẻ tấn công thực thi mã tùy ý thông qua việc tạo tiến trình. Payload độc hại chờ hai giây sau khi DLL được tiêm, sau đó khởi chạy một lệnh với các đặc quyền nâng cao. Mặc dù bản trình diễn sử dụng một tiến trình notepad đơn giản, nhưng trong các cuộc tấn công thực tế, hành động này có thể dẫn đến **remote code execution** để thực thi mã độc tống tiền (ransomware), đánh cắp thông tin đăng nhập, triển khai cửa hậu hoặc thiết lập kết nối command-and-control (C2).

Thời gian chờ hai giây đóng vai trò là cơ chế ẩn mình, cho phép tiến trình OneDrive ban đầu xuất hiện hợp pháp trước khi cuộc tấn công thực sự bắt đầu. Điều này làm giảm khả năng bị phát hiện bởi các công cụ giám sát hoặc người dùng, cho phép payload độc hại được thực thi một cách lặng lẽ và hiệu quả.

Khả năng **chiếm quyền điều khiển** hệ thống từ xa thông qua một ứng dụng đáng tin cậy như OneDrive là một rủi ro cực kỳ lớn. Nó mở ra cánh cửa cho nhiều loại hình tấn công khác nhau, từ phá hoại dữ liệu đến gián điệp mạng.

Rủi Ro Trong Môi Trường Doanh Nghiệp và Làm Việc Kết Hợp

Các tổ chức sử dụng OneDrive cho việc đồng bộ hóa tệp và cộng tác phải đối mặt với rủi ro đặc biệt. Ứng dụng này duy trì các quyền hạn nâng cao liên tục và kết nối mạng. Một kẻ tấn công có thể đạt được thực thi mã bên trong OneDrive có thể truy cập các tệp được đồng bộ hóa, lấy cắp tài liệu nhạy cảm, thiết lập tính bền bỉ trên mạng và di chuyển ngang (lateral movement) sang các hệ thống khác.

Kỹ thuật này đặc biệt đáng lo ngại trong các môi trường làm việc kết hợp, nơi nhân viên đồng bộ hóa dữ liệu công ty qua OneDrive trên cả thiết bị cá nhân và doanh nghiệp. Việc này làm tăng bề mặt tấn công và tạo ra các điểm yếu tiềm ẩn mà kẻ tấn công có thể khai thác để thâm nhập vào mạng lưới công ty.

Nguy cơ của cuộc **tấn công mạng** này vượt ra ngoài một thiết bị đơn lẻ, ảnh hưởng đến toàn bộ hệ sinh thái dữ liệu và mạng của doanh nghiệp. Việc mất kiểm soát dữ liệu nhạy cảm và khả năng lây lan tấn công là những hậu quả nghiêm trọng.

Biện Pháp Phòng Ngừa và Phát Hiện Xâm Nhập

Để giảm thiểu rủi ro từ kỹ thuật tấn công này, các tổ chức cần triển khai nhiều lớp phát hiện và phòng ngừa:

• Giám sát tệp DLL bất thường: Thực hiện giám sát liên tục để phát hiện các tệp DLL không mong muốn hoặc lạ xuất hiện trong các thư mục ứng dụng quan trọng, đặc biệt là các thư mục của OneDrive.
• Hạn chế tải thư viện: Triển khai các chính sách hoặc cấu hình hệ thống để hạn chế nơi các ứng dụng có thể tải các thư viện DLL. Việc này giúp ngăn chặn việc tải các DLL từ các vị trí không đáng tin cậy.
• Phân tích hành vi cho các tiến trình đáng ngờ: Áp dụng các giải pháp phân tích hành vi (behavioral analysis) để phát hiện các hoạt động tạo tiến trình đáng ngờ từ các ứng dụng được coi là đáng tin cậy, như OneDrive.
• Rà soát cấu hình OneDrive: Thường xuyên xem xét cấu hình triển khai OneDrive để đảm bảo tuân thủ các thực tiễn bảo mật tốt nhất.
• Giám sát toàn vẹn tệp (File Integrity Monitoring – FIM): Kích hoạt và cấu hình giám sát toàn vẹn tệp cho các thư mục ứng dụng quan trọng. FIM có thể cảnh báo khi có bất kỳ thay đổi trái phép nào đối với các tệp hệ thống hoặc ứng dụng quan trọng.

Bằng cách kết hợp các biện pháp phòng ngừa và khả năng **phát hiện xâm nhập** nâng cao, các tổ chức có thể bảo vệ tốt hơn chống lại các kỹ thuật tấn công tinh vi như **DLL sideloading** qua OneDrive. Cập nhật các bản vá bảo mật và đào tạo nhân viên về các mối đe dọa tiềm ẩn cũng là những yếu tố quan trọng trong chiến lược bảo mật tổng thể.