Các tệp LNK của Windows vẫn là vector ưa thích cho những kẻ tấn công tìm cách thiết lập quyền truy cập ban đầu vào các hệ thống mục tiêu. Gần đây, các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch tấn công mạng MastaStealer tinh vi khai thác các tệp phím tắt này để triển khai một beacon C2 đầy đủ tính năng, đồng thời vô hiệu hóa các biện pháp bảo vệ điểm cuối quan trọng.

Phân tích Chiến dịch MastaStealer

Khởi tạo Tấn công qua LNK File

Quá trình lây nhiễm bắt đầu bằng một email spear-phishing chứa tệp nén ZIP có một tệp .lnk duy nhất. Khi nạn nhân thực thi phím tắt này, cuộc tấn công sẽ diễn ra theo nhiều giai đoạn được thiết kế để duy trì cấu hình thấp trong khi thiết lập tính bền vững.

Tệp LNK khởi chạy trình duyệt Microsoft Edge và điều hướng đến anydesk[.]com ở chế độ nền trước. Điều này tạo ra ảo ảnh về một ứng dụng hợp pháp đang chạy, đánh lừa người dùng.

Kỹ thuật social engineering này làm mất tập trung người dùng khỏi các hoạt động nền. Trong khi đó, mã độc âm thầm tải xuống một trình cài đặt MSI từ anydesk[.]net. Đây là một biến thể typosquatting của tên miền AnyDesk hợp pháp.

Kỹ thuật Typosquatting và Phát hiện sớm

Các nhóm bảo mật đã phát hiện sự xâm nhập này thông qua nhật ký sự kiện Windows Installer. Việc cài đặt MSI đã thất bại trên một hệ thống mà người dùng không có đặc quyền quản trị viên cục bộ.

Việc cài đặt thất bại đã tạo ra Application Event ID 11708. Sự kiện này đã kích hoạt các quy tắc tương quan và khởi xướng phản ứng sự cố nhanh chóng. Nếu người dùng sở hữu đặc quyền cao hơn, cuộc tấn công có thể đã diễn ra mà không bị phát hiện.

Cơ chế Triển khai Mã độc và Chiếm quyền Điều khiển

Quá trình Cài đặt Payload

Khi thực thi thành công, tệp MSI sẽ giải nén nội dung của nó vào một thư mục tạm thời. Đường dẫn là %LOCALAPPDATA%TempMW-<UUID>files.cab. Sau đó, nó thả payload thực tế là một tệp có tên dwm.exe vào thư mục %LOCALAPPDATA%MicrosoftWindows.

Tệp thực thi này hoạt động như một beacon C2. Nó cung cấp cho kẻ tấn công quyền truy cập từ xa trực tiếp vào hệ thống bị xâm nhập. Đây là bước quan trọng để chiếm quyền điều khiển hoàn toàn hệ thống.

Vô hiệu hóa Bảo vệ Endpoint: Windows Defender Exclusion

Một khía cạnh đáng báo động nhất của chiến dịch này là việc triển khai một lệnh PowerShell. Lệnh này được thực thi trong quá trình cài đặt MSI để tạo một ngoại lệ cho Windows Defender.

Lệnh được sử dụng để thêm tệp thực thi độc hại vào danh sách loại trừ của Defender như sau:

Add-MpPreference -ExclusionPath “C:UsersadminAppDataLocalMicrosoftWindowsdvm.exe”

Lệnh này thêm tệp thực thi độc hại vào danh sách loại trừ của Defender. Điều này làm cho Windows Defender không thể phát hiện sự hiện diện của beacon C2. Bằng cách vô hiệu hóa bảo vệ thời gian thực cho đường dẫn cài đặt của mã độc, kẻ tấn công đảm bảo cơ chế tồn tại của chúng vẫn vô hình. Điều này giúp chúng tránh khỏi các hoạt động quét bảo mật tự động và ứng phó sự cố.

Cơ sở hạ tầng Command and Control (C2) và Kỹ thuật Né tránh

Mã độc giao tiếp với hai máy chủ Command-and-Control (C2) sau:

• 23[.]227[.]195[.]130:443
• p0k[.]lvh[.]io

Các tên miền này sử dụng các quy ước đặt tên ngẫu nhiên. Mục đích là để né tránh việc lọc dựa trên danh tiếng tên miền và các nền tảng threat intelligence dựa trên DNS.

Chiến dịch này chứng minh cách kẻ tấn công xâu chuỗi nhiều kỹ thuật né tránh. Chúng vượt qua các lớp phòng thủ chồng chéo. Sự kết hợp của thực thi dựa trên lỗ hổng LNK, triển khai dựa trên MSI và loại trừ Defender tạo ra một chuỗi tấn công tinh vi.

Đề xuất Biện pháp Phát hiện và Phòng ngừa

Các tổ chức nên triển khai các biện pháp kiểm soát giám sát việc thực thi tệp LNK. Cần chú ý đến các lệnh PowerShell đáng ngờ nhắm mục tiêu vào các loại trừ bảo mật. Đồng thời, cần theo dõi các cài đặt MSI không có chữ ký.

Giám sát nhật ký sự kiện Windows Installer để phát hiện các lỗi vẫn là một cơ chế phát hiện quan trọng. Điều này giúp bắt giữ các nỗ lực xâm nhập không thành công trước khi kẻ tấn công tinh chỉnh phương pháp của chúng. Để biết thêm thông tin về các mối đe dọa liên quan đến kỹ thuật xã hội, hãy tham khảo tài nguyên từ CISA.