Các nhà nghiên cứu an ninh mạng đã phát hiện một biến thể mã độc Python tinh vi, sử dụng kỹ thuật tiêm tiến trình để ẩn mình trong các tệp nhị phân hợp pháp của Windows. Mối đe dọa này thể hiện một bước tiến mới trong các chiến lược tấn công không tệp (fileless attack), kết hợp mã hóa nhiều lớp với việc lạm dụng các tiện ích hệ thống đáng tin cậy nhằm né tránh sự phát hiện.

Phân Tích Sâu Sắc về Mã Độc Python và Cơ Chế Tiêm Tiến Trình

Khả năng của mã độc Python này trong việc ngụy trang thành các tệp vô hại, đồng thời triển khai môi trường runtime Python đầy đủ, đánh dấu một sự phát triển đáng kể trong cơ chế phân phối phần mềm độc hại, thách thức các phương pháp bảo mật truyền thống.

Trong quá trình phân tích định kỳ tại K7 Labs, các nhà nghiên cứu bảo mật đã xác định mối đe dọa mới lạ này. Nó sử dụng một khối dữ liệu (blob) có kích thước 65 MB, phần lớn chứa dữ liệu giả (filler data), với một đoạn mã .pyc được marshal hợp lệ nhưng độc hại ẩn ở cuối.

Đoạn mã này chứa payload thực sự được thiết kế để tiêm tiến trình vào các tệp thực thi Windows hợp pháp. Đây là một ví dụ điển hình về việc kẻ tấn công lạm dụng các tài nguyên hệ thống để thực hiện tấn công mạng tinh vi.

Đặc Điểm Nâng Cao và Kỹ Thuật Né Tránh

Mẫu mã độc được phân tích thể hiện nhiều tính năng tiên tiến, bao gồm:

• Mã hóa nhiều lớp (multi-layer encoding): Giúp che giấu mã độc qua nhiều tầng, làm phức tạp quá trình phân tích.
• Giả mạo loại lưu trữ (archive type masquerading): Ngụy trang các tệp nén thành các loại tệp vô hại khác.
• Đóng gói runtime Python: Kẻ tấn công bundling môi trường Python runtime cùng với một tên tệp thực thi có chữ ký, tạo ấn tượng hợp pháp cho người dùng hoặc hệ thống bảo mật sơ bộ.

Các nhà phân tích bảo mật của K7 Labs cũng lưu ý rằng tác động của mã độc không chỉ dừng lại ở việc lây nhiễm ban đầu. Nó thiết lập các kênh liên lạc điều khiển và ra lệnh (C2) bền vững, tiếp tục hoạt động ngay cả sau khi trình tải ban đầu (loader) đã chấm dứt.

Chuỗi Lây Nhiễm và Cơ Chế Tấn Công Chi Tiết

Chuỗi lây nhiễm của mã độc Python này bắt đầu bằng một trình thả PE (PE dropper). Trình thả này xây dựng lại một script batch thông qua giải mã tại thời gian chạy, sử dụng các phép toán SIMD (Single Instruction, Multiple Data).

Quy Trình Tải Xuống và Giải Nén Ngụy Trang

Script batch được giải mã này sau đó thả tệp config.bat vào thư mục người dùng công cộng (Public user directory). Tệp config.bat tiếp tục tải xuống một tệp từ dịch vụ lưu trữ đám mây, ngụy trang dưới dạng ảnh PNG.

Thực tế, tệp PNG này là một kho lưu trữ RAR – một thủ thuật đơn giản nhưng hiệu quả, cho phép mã độc vượt qua các bộ lọc bảo mật thường coi tệp hình ảnh là vô hại. Script batch sau đó giải nén kho lưu trữ này bằng lệnh tar tích hợp sẵn của Windows.

REM Ví dụ về lệnh giải nén giả định
tar -xf disguised_image.png -C C:TempMalwareStaging

Sau khi giải nén, ba thành phần chính được tiết lộ:

• AsusMouseDriver.sys: Một kho lưu trữ RAR được bảo vệ bằng mật khẩu, ngụy trang thành tệp hệ thống.
• Interput.json: Được đổi tên thành Install.bat.
• Một tệp thực thi WinRAR hợp pháp: Được sử dụng để giải nén các tệp tiếp theo.

Cơ Chế Khai Thác và Tiêm Tiến Trình Mục Tiêu

Khi được thực thi, trình thông dịch Python xử lý các đối số dòng lệnh “dcconsbot” và “dcaat” để kích hoạt một chuỗi giải mã phức tạp. Chuỗi này bao gồm nhiều bước giải mã và giải nén tuần tự:

1. Giải mã Base64.
2. Giải nén BZ2.
3. Giải nén Zlib.
4. Cuối cùng là tải marshal (marshal loading) để tái tạo bytecode Python đã biên dịch trong bộ nhớ.

REM Lệnh Python mô phỏng chuỗi giải mã phức tạp
python.exe -c "import base64, bz2, zlib, marshal; exec(marshal.loads(zlib.decompress(bz2.decompress(base64.b64decode('...obfuscated_payload...')))))"

Mã này ngay lập tức nhắm mục tiêu vào cvtres.exe, một tiện ích chuyển đổi tài nguyên hợp pháp của Microsoft, để thực hiện tiêm tiến trình (process injection). Cơ chế lây nhiễm cốt lõi này khai thác một quy trình trích xuất đa giai đoạn được sắp xếp cẩn thận, cho thấy sự hiểu biết sâu sắc của kẻ tấn công về các chức năng nội bộ của Windows và cách thức hoạt động của các công cụ bảo mật.

Che Giấu và Giao Tiếp Điều Khiển Bền Vững

Sau khi PE dropper ban đầu thực thi, script config.bat thiết lập C:DragonAntivirus làm thư mục làm việc trước khi tải xuống kho lưu trữ đã được ngụy trang. Script Install.bat sau đó đổi tên tệp thực thi WinRAR đã được đóng gói và sử dụng nó để giải nén kho lưu trữ AsusMouseDriver.sys được bảo vệ bằng mật khẩu (với mật khẩu được mã hóa cứng) vào thư mục C:UsersPublicWindowsSecurityA.

REM Ví dụ về thiết lập thư mục và giải nén
mkdir C:DragonAntivirus
cd C:DragonAntivirus
rename "C:UsersPublicWinRAR.exe" "WinRAR_Renamed.exe"
"WinRAR_Renamed.exe" x -p"HardcodedPassword123" AsusMouseDriver.sys C:UsersPublicWindowsSecurityA

Thư mục này chứa tệp ntoskrnl.exe giả (thực chất là một runtime Python được đóng gói) và khối dữ liệu Libimage chứa payload đã bị mã hóa. Một tệp PDF mồi nhử được mở để đánh lạc hướng người dùng trong khi mã độc được thực thi âm thầm, phân tích tệp hình ảnh thông qua quy trình giải mã nhiều lớp trước khi tiêm vào cvtres.exe và thiết lập giao tiếp C2 được mã hóa.

Rủi Ro Bảo Mật và Thách Thức Phát Hiện Xâm Nhập

Khả năng của mã độc Python này trong việc ẩn mình trong các tiến trình hợp pháp của Microsoft, đồng thời duy trì các kênh liên lạc được mã hóa, khiến nó trở nên đặc biệt nguy hiểm đối với các môi trường doanh nghiệp. Trong các môi trường này, các phương pháp phát hiện dựa trên chữ ký truyền thống có thể không thể nhận dạng mối đe dọa.

Những kỹ thuật này đặt ra thách thức lớn cho các hệ thống phát hiện xâm nhập (IDS) và phòng chống xâm nhập (IPS) thông thường, yêu cầu các giải pháp bảo mật nâng cao hơn như phân tích hành vi và phát hiện bất thường để có thể chống lại các cuộc tấn công mạng tinh vi như vậy.