Mã độc fileless đã trở thành một đối thủ đáng gờm đối với các đội ngũ bảo mật. Loại mã độc này hoạt động hoàn toàn trong bộ nhớ hệ thống, qua đó dễ dàng né tránh các cơ chế phát hiện dựa trên ổ đĩa. Một sự cố gần đây đã minh chứng rõ ràng cách thức kẻ tấn công sử dụng một bộ tải fileless đa tầng để triển khai AsyncRAT, một loại Trojan truy cập từ xa (RAT) mạnh mẽ, thông qua các công cụ hệ thống hợp pháp.

Phương pháp tấn công này gần như không để lại dấu vết nào trên ổ đĩa. Trường hợp nghiên cứu này nhấn mạnh các kỹ thuật quan trọng về duy trì quyền truy cập, né tránh phát hiện và kiểm soát hệ thống. Điều này cũng cho thấy sự cần thiết cấp bách của việc giám sát hành vi nâng cao và khả năng điều tra pháp y bộ nhớ để chống lại các mối đe dọa này.

Kịch Bản Tấn Công Mã Độc Fileless AsyncRAT

Cuộc xâm nhập bắt đầu khi một máy khách ScreenConnect hợp lệ nhưng đã bị xâm phạm cung cấp quyền truy cập tương tác cho kẻ tấn công. Bằng cách kết nối qua tên miền độc hại relay.shipperzone[.]online, tác nhân đe dọa đã giành quyền kiểm soát từ xa đối với điểm cuối mục tiêu.

Xâm Nhập Ban Đầu và Thực Thi VBScript

Sau khi thiết lập quyền truy cập, kẻ tấn công đã thực thi một VBScript có tên Update.vbs bằng cách sử dụng WScript. Tập lệnh này ngay lập tức khởi tạo một lệnh PowerShell để tải hai payload bổ sung là logs.ldk và logs.ldr từ một máy chủ từ xa.

Tải Payload và Kỹ Thuật Tải Vào Bộ Nhớ

Cả hai file logs.ldk và logs.ldr đều được ghi một cách âm thầm vào thư mục C:UsersPublic. Tuy nhiên, thay vì thực thi chúng từ ổ đĩa, tập lệnh đã chuyển đổi logs.ldk thành một mảng byte và tải logs.ldr trực tiếp vào bộ nhớ thông qua kỹ thuật reflection. Quá trình này bỏ qua việc ghi và thực thi trực tiếp từ ổ đĩa, một kỹ thuật chủ chốt trong các cuộc tấn công mạng của mã độc fileless.

Kỹ thuật reflection cho phép một chương trình .NET kiểm tra và gọi các thành phần của chính nó hoặc các thành phần khác tại thời điểm chạy. Đây là một phương pháp mạnh mẽ để tải và thực thi mã mà không cần tạo file vật lý trên hệ thống. Tiếp đó, tập lệnh tải dữ liệu được mã hóa qua HTTP, giải mã nó trong quá trình hoạt động và động적으로 gọi các phương thức trong một assembly .NET.

Cơ Chế Khai Thác Fileless và Né Tránh Phát Hiện

Cách tiếp cận mã độc fileless này có nghĩa là không có file thực thi nào hiển thị trên ổ đĩa, cho phép kẻ tấn công hoàn toàn vượt qua các công cụ chống vi-rút dựa trên chữ ký. Đây là một điểm mấu chốt giải thích tại sao mã độc fileless lại khó bị phát hiện bằng các phương pháp truyền thống.

Vô Hiệu Hóa Phòng Thủ Với Obfuscator.dll

Khi payload giai đoạn đầu đã nằm trong bộ nhớ, nó tải Obfuscator.dll. Đây là một assembly .NET đã được các nhà nghiên cứu của LevelBlue phân tích chi tiết bằng cách sử dụng dnSpy (tham khảo thêm tại LevelBlue Blog). Obfuscator.dll đóng vai trò là trình khởi chạy trong bộ nhớ, điều phối các hoạt động duy trì truy cập và né tránh phòng thủ.

Thiết kế module này cho phép bộ tải vô hiệu hóa các biện pháp phòng thủ quan trọng, duy trì hoạt động bí mật và chuẩn bị môi trường cho payload RAT chính. Các chức năng chính của Obfuscator.dll bao gồm:

• Vô hiệu hóa phần mềm bảo mật: Tắt các tiến trình hoặc dịch vụ bảo mật.
• Che giấu dấu vết: Xóa các bản ghi nhật ký hoặc thay đổi cài đặt hệ thống để tránh bị giám sát.
• Thực thi mã: Chuẩn bị môi trường để tải và thực thi AsyncClient.exe.

Thiết Lập Duy Trì Truy Cập Bền Bỉ

Với các biện pháp phòng thủ đã được vô hiệu hóa, bộ tải tiếp tục tải và giải mã AsyncClient.exe, đây là lõi hoạt động của RAT. AsyncClient.exe sử dụng mã hóa tiên tiến và một giao thức giao tiếp tùy chỉnh để duy trì quyền truy cập lâu dài vào hệ thống.

Việc duy trì quyền truy cập được củng cố bằng cách tạo lại các tác vụ đã lên lịch (scheduled tasks). Các chức năng để thực hiện việc này ban đầu được tìm thấy trong Obfuscator.dll, đảm bảo rằng ngay cả khi một cơ chế thất bại, một cơ chế dự phòng vẫn sẽ hoạt động. Đây là một chiến thuật phổ biến để kẻ tấn công duy trì sự hiện diện liên tục trong môi trường bị xâm nhập.

Phân Tích AsyncRAT: Đặc Điểm và Chức Năng

AsyncRAT là một Remote Access Trojan (RAT) nổi tiếng với khả năng kiểm soát từ xa toàn diện. Nó cho phép kẻ tấn công thực hiện nhiều hành động độc hại trên hệ thống bị nhiễm, bao gồm:

• Truy cập và đánh cắp dữ liệu.
• Giám sát hoạt động của người dùng (keylogging, chụp màn hình).
• Điều khiển camera và micro.
• Tải xuống và thực thi các payload bổ sung.
• Thiết lập proxy hoặc đường hầm mạng.

Giao Thức Giao Tiếp và Mã Hóa

Một trong những đặc điểm nổi bật của AsyncRAT là việc sử dụng mã hóa nâng cao và giao thức giao tiếp tùy chỉnh. Điều này làm cho việc phân tích lưu lượng mạng và phát hiện sự hiện diện của nó trở nên khó khăn hơn đối với các công cụ giám sát mạng truyền thống, góp phần vào hiệu quả của chiến dịch tấn công mạng này.

Dấu Hiệu Nhận Biết Sự Thỏa Hiệp (IOCs)

Việc nhận diện các Dấu hiệu Nhận biết Sự Thỏa Hiệp (IOCs) là rất quan trọng để phát hiện và ứng phó với các cuộc tấn công. Trong trường hợp này, các IOCs bao gồm:

• Tên miền độc hại:relay.shipperzone[.]online
• Tên file được sử dụng:Update.vbs, logs.ldk, logs.ldr, Obfuscator.dll, AsyncClient.exe
• Thư mục đích:C:UsersPublic

Các tổ chức nên tích hợp các IOC này vào hệ thống giám sát và phát hiện của mình để tăng cường khả năng phát hiện xâm nhập.

Chiến Lược Phòng Chống Mã Độc Fileless

Sự cố này một lần nữa khẳng định cách thức các bộ tải fileless có thể vũ khí hóa các công cụ quản trị hợp pháp để vượt qua các biện pháp phòng thủ truyền thống. Để đối phó với các mối đe dọa như mã độc fileless, các tổ chức cần áp dụng các chiến lược sau:

Tăng Cường Giám Sát Hành Vi và Bộ Nhớ

Đầu tư vào các giải pháp Giám sát Điểm cuối (EDR) và Giám sát Phát hiện và Phản hồi Mở rộng (XDR) có khả năng phân tích hành vi nâng cao. Các giải pháp này có thể phát hiện các hoạt động bất thường trong bộ nhớ và các chuỗi hành động mà mã độc fileless thường sử dụng, ngay cả khi không có file nào được ghi vào ổ đĩa. Khả năng điều tra pháp y bộ nhớ (memory forensics) là yếu tố then chốt để hiểu rõ và loại bỏ các mối đe dọa này.

Cập Nhật và Tối Ưu Hóa Quy Trình Phản Ứng

Cập nhật liên tục các bản vá bảo mật cho tất cả hệ thống và ứng dụng là rất quan trọng để giảm thiểu bề mặt tấn công. Bên cạnh đó, các tổ chức cần xem xét lại và củng cố các quy trình phản ứng sự cố của mình. Điều này bao gồm việc phát triển các playbook (quy trình ứng phó) cụ thể cho các cuộc tấn công fileless, tăng cường khả năng thu thập bằng chứng từ bộ nhớ và nhanh chóng cách ly các hệ thống bị ảnh hưởng.

Việc nâng cao nhận thức về an ninh mạng cho nhân viên về các kỹ thuật lừa đảo (phishing) và kỹ thuật xã hội cũng góp phần giảm thiểu rủi ro xâm nhập ban đầu. Phân tích chuyên sâu như trường hợp này cung cấp thông tin tình báo cần thiết để các nhà bảo vệ xây dựng các chữ ký phát hiện mục tiêu, nâng cao playbook phản ứng sự cố và củng cố các biện pháp phòng thủ dựa trên bộ nhớ chống lại các chiến dịch mã độc fileless ngày càng tinh vi.