Rhadamanthys đã nổi lên như một trong những mối đe dọa mạng nguy hiểm nhất kể từ khi xuất hiện lần đầu vào năm 2022. Phần mềm độc hại đánh cắp dữ liệu tiên tiến này tiếp tục gây thách thức cho các đội ngũ an ninh mạng với khả năng đánh cắp thông tin nhạy cảm từ các hệ thống bị lây nhiễm, đồng thời né tránh sự phát hiện của các công cụ bảo mật truyền thống.

Mã độc này trở nên nổi tiếng nhờ việc sử dụng trong các cuộc tấn công có chủ đích chống lại các doanh nghiệp và cá nhân trên toàn thế giới. Các tác nhân đe dọa đã tận dụng Rhadamanthys để thu thập thông tin đăng nhập, dữ liệu tài chính và các thông tin có giá trị khác từ các máy tính bị xâm nhập.

Thành phần Loader của Rhadamanthys: Cơ chế phân phối chính

Thành phần loader của Rhadamanthys là một thành tựu kỹ thuật đáng chú ý trong phát triển mã độc. Không giống như payload đánh cắp dữ liệu chính, loader đóng vai trò là cơ chế phân phối ban đầu, chuẩn bị hệ thống cho quá trình lây nhiễm.

Điều khiến loader này đặc biệt khó khăn đối với các nhà nghiên cứu bảo mật là việc triển khai nhiều lớp bảo vệ, được thiết kế để ngăn chặn phân tích và phát hiện. Những lớp bảo vệ này bao gồm các kỹ thuật che giấu tùy chỉnh làm xáo trộn cấu trúc mã, khiến cả công cụ tự động và nhà phân tích thủ công đều rất khó hiểu được chức năng của mã độc.

Kỹ thuật che giấu và né tránh phân tích chuyên sâu

Các nhà nghiên cứu bảo mật từ Cyber.wtf gần đây đã xác định một số kỹ thuật chính được loader của Rhadamanthys sử dụng để né tránh phát hiện và phân tích. Mã độc triển khai một hệ thống chống sandbox độc đáo, theo dõi hành vi người dùng trước khi thực thi payload.

Ngoài ra, loader sử dụng kỹ thuật control flow flattening và jump target obfuscation. Đây là hai kỹ thuật nâng cao phá vỡ luồng thực thi mã thông thường. Các phương pháp này biến chương trình thành một dạng câu đố, trong đó mỗi phần dường như không liên quan đến nhau, ngăn cản các công cụ bảo mật lập bản đồ cách thức hoạt động của mã độc. Để biết thêm chi tiết kỹ thuật, xem báo cáo của Cyber.wtf tại Cyber.wtf.

Mã hóa Payload: Thuật toán Flutter và mã hóa SM4

Payload được loader mang theo được mã hóa bằng một thuật toán tùy chỉnh mà các tác giả mã độc gọi là Flutter. Sơ đồ mã hóa này chuyển đổi dữ liệu nhị phân thành văn bản trông giống như các ký tự ngẫu nhiên, giúp mã độc che giấu mục đích thực sự của nó khỏi các trình quét bảo mật.

Payload đã được mã hóa còn được bảo vệ thêm bằng mã hóa SM4. Đây là một thuật toán mã hóa khối của Trung Quốc, bổ sung thêm một lớp bảo mật khác. Cùng với nhau, những lớp bảo vệ này tạo ra một rào cản đáng gờm, cho phép Rhadamanthys duy trì hiệu quả, bất chấp những nỗ lực liên tục của các nhà nghiên cứu bảo mật để chống lại nó.

Cơ chế chống phân tích Sandbox của Rhadamanthys

Loader của Rhadamanthys triển khai một hệ thống phân tích dựa trên thời gian, theo dõi hoạt động người dùng trong ít nhất 45 giây trước khi thực thi payload đánh cắp dữ liệu.

Theo dõi hành vi người dùng để né tránh phát hiện tấn công

Cơ chế chống sandbox này sử dụng một timer callback để thu thập các vị trí con trỏ chuột, thông tin cửa sổ foreground và dấu thời gian cứ sau 30 mili giây, trong 1.500 lần lặp. Sau đó, mã độc phân tích dữ liệu đã thu thập này để xác định xem nó đang chạy trong môi trường người dùng thực hay một hệ thống phân tích tự động.

Loader thực hiện các kiểm tra cụ thể trên dữ liệu đã thu thập để xác thực môi trường:

• Đầu tiên, nó xác minh xem vị trí con trỏ chuột đã thay đổi ít nhất 30 lần trong thời gian giám sát hay không.
• Thứ hai, nó kiểm tra sự hiện diện của ít nhất hai cửa sổ foreground khác nhau, với ít nhất một cửa sổ không thuộc về tiến trình desktop.

Nếu các điều kiện này không được đáp ứng, mã độc sẽ chuyển sang một chu kỳ giám sát 45 giây khác. Chu kỳ này bao gồm các kiểm tra nâng cao, tính toán khoảng cách Euclidean giữa các vị trí con trỏ để phát hiện các mẫu chuyển động không phải của con người. Hệ thống phát hiện dựa trên hành vi này giúp Rhadamanthys bỏ qua hiệu quả nhiều môi trường phân tích tự động, những môi trường không mô phỏng tương tác người dùng thực tế, gây ra rủi ro bảo mật đáng kể.

Thách thức và giải pháp phân tích trong an ninh mạng

Mặc dù hệ thống chống sandbox của Rhadamanthys rất hiệu quả, các môi trường sandbox tiên tiến như CAPE và VMRay đã thích nghi với những kỹ thuật này. Chúng có thể kích hoạt thành công quá trình thực thi payload.

Loader tạo một cửa sổ ẩn và sử dụng kiến trúc dựa trên thông báo để xếp hàng và thực thi các chức năng thông qua timer callbacks. Điều này làm cho luồng thực thi khó theo dõi nếu không có quá trình deobfuscation (gỡ bỏ che giấu) thích hợp của cấu trúc mã cơ bản, làm tăng thêm độ phức tạp trong việc đối phó với mối đe dọa mạng này. Việc hiểu rõ những kỹ thuật này là rất quan trọng để tăng cường an ninh mạng và cải thiện khả năng phát hiện tấn công.