Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Hackers Iran khai thác VPN Flaws để tiến hành Backdoor vào các tổ chức toàn cầu

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Hackers Iran khai thác VPN Flaws để tiến hành Backdoor vào các tổ chức toàn cầu

    VPN


    Một báo cáo mới được công bố bởi các nhà nghiên cứu an ninh mạng đã tiết lộ bằng chứng về các tin tặc được nhà nước Iran tài trợ nhắm vào hàng chục công ty và tổ chức ở Israel và trên toàn thế giới trong ba năm qua.

    Được mệnh danh là "Fox Kitten", chiến dịch gián điệp mạng được cho là đã nhắm vào các công ty từ các lĩnh vực CNTT, viễn thông, dầu khí, hàng không, chính phủ và an ninh.

    "Chúng tôi ước tính chiến dịch được tiết lộ trong báo cáo này là một trong những chiến dịch liên tục và toàn diện nhất của Iran được tiết lộ cho đến bây giờ," - các nhà nghiên cứu ClearSky nói.

    "Chiến dịch được tiết lộ đã được sử dụng làm cơ sở hạ tầng trinh sát, tuy nhiên, nó cũng có thể được sử dụng như một nền tảng để phát tán và kích hoạt phần mềm độc hại phá hoại như ZeroCleare và Dustman."

    Việc buộc các hoạt động để đe dọa các nhóm APT33, APT34 và APT39, cuộc tấn công - được thực hiện bằng cách sử dụng hỗn hợp các công cụ nguồn mở và tự phát triển - cũng tạo điều kiện cho các nhóm đánh cắp thông tin nhạy cảm và sử dụng các cuộc tấn công vào các chuỗi cung ứng để sau đó tiến hành nhắm vào các tổ chức - các nhà nghiên cứu nói.

    Khai thác lỗ hổng VPN để thỏa hiệp với mạng doanh nghiệp

    Phương thức tấn công chính được sử dụng bởi các nhóm Iran là khai thác các lỗ hổng VPN chưa được vá để xâm nhập và đánh cắp thông tin từ các công ty mục tiêu. Các hệ thống VPN nổi bật được khai thác theo cách này bao gồm Pulse Secure Connect (CVE-2019-11510),    Palo Alto Networks' Global Protect     (CVE-2019-1579), Fortinet FortiOS (CVE-2018-13379) và Citrix (CVE-2019- 19781).

    ClearSky lưu ý rằng các nhóm hack có thể có được quyền truy cập thành công vào các hệ thống cốt lõi của mục tiêu, loại bỏ phần mềm độc hại bổ sung và sau đó lan truyền trên mạng bằng cách khai thác "lỗ hổng 1 ngày trong thời gian tương đối ngắn"




    Sau khi đạt được chỗ đứng ban đầu, các hệ thống bị xâm nhập đã được tìm thấy để liên lạc với các máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công để tải xuống một loạt các tệp VBScript tùy chỉnh, lần lượt, có thể được sử dụng để làm Backdoors

    Hơn nữa, bản thân mã backdoor được tải xuống theo từng đoạn để tránh bị phần mềm chống vi-rút cài đặt trên các máy tính phát hiện ra. Đó là công việc của một tệp được tải xuống riêng biệt - có tên là "merg.bat" - để ghép các tệp riêng lẻ này lại với nhau và tạo ra một tệp thực thi.

    Để thực hiện các nhiệm vụ này và đạt được sự bền bỉ, các tác nhân đe dọa đã khai thác các công cụ như Juicy Potato và Invoke the Hash để có được các đặc quyền cấp cao và di chuyển trong qua mạng. Một số công cụ khác được phát triển bởi những kẻ tấn công bao gồm:
    • STSRCheck - Một công cụ để ánh xạ cơ sở dữ liệu, máy chủ và các cổng mở trong mạng được nhắm mục tiêu và bắt buộc chúng bằng cách đăng nhập với thông tin đăng nhập mặc định.
    • Port.exe - Một công cụ để quét các cổng và máy chủ được xác định trước.
    Khi kẻ tấn công có được khả năng di chuyển trong mạng, kẻ tấn công chuyển sang giai đoạn cuối: thực hiện cửa hậu để quét hệ thống bị xâm nhập để lấy thông tin liên quan và đưa các tệp trở lại cho kẻ tấn công bằng cách thiết lập kết nối máy tính từ xa (sử dụng công cụ tự phát triển có tên POWSSHNET ) hoặc mở kết nối dựa trên ổ cắm đến địa chỉ IP được mã hóa cứng.



    Ngoài ra, những kẻ tấn công đã sử dụng các web shell để liên lạc với các máy chủ được đặt bên trong mục tiêu và tải các tệp trực tiếp lên máy chủ C2.

    Công việc của nhiều nhóm hack Iran

    Dựa trên chiến dịch sử dụng shell web và overlaps của chiến dịch với việc tấn công vào cơ sở hạ tầng, báo cáo ClearSky nhấn mạnh rằng các cuộc tấn công chống lại máy chủ VPN có thể được liên kết với ba nhóm Iran - APT33 ("Elfin"), APT34 ("OilRig") và APT39 (Chafer ).

    Hơn nữa, các nhà nghiên cứu đánh giá rằng chiến dịch này là kết quả của "sự hợp tác giữa các nhóm trong cơ sở hạ tầng", trích dẫn sự tương đồng trong các công cụ và phương pháp làm việc giữa ba nhóm.

    Mới tháng trước, các tin tặc được nhà nước Iran hậu thuẫn - được mệnh danh là "Magnallium" - đã bị phát hiện thực hiện các cuộc tấn công password-spraying vào các công ty điện lực cũng như các công ty dầu khí.

    Cho rằng những kẻ tấn công đang vũ khí hóa các lỗ hổng VPN trong vòng 24 giờ, điều bắt buộc là các tổ chức phải cài đặt các bản vá bảo mật ngay khi chúng có sẵn.

    Bên cạnh việc tuân theo nguyên tắc đặc quyền tối thiểu, cũng không cần phải nói rằng các hệ thống quan trọng được theo dõi liên tục và phải được cập nhật. Việc thực hiện xác thực hai bước có thể giúp giảm thiểu các trường hợp đăng nhập trái phép.


    (Hiện lỗ hổng trên vẫn chưa có bản vá lỗi)

    Nguồn: thehackernews.com
    Last edited by Tín Phan; 19-02-2020, 08:54 AM.
    Phan Trung Tín
    Email: phantrungtin@vnpro.org
    .
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
    Tel: (028) 35124257 (028) 36222234
    Fax: (028) 35124314

    Home Page: http://www.vnpro.vn
    Forum: http://www.vnpro.org
    Twitter: https://twitter.com/VnVnpro
    LinkedIn: https://www.linkedin.com/in/VnPro    		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Videos: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
    Facebook: http://facebook.com/VnPro
    Zalo: https://zalo.me/1005309060549762169
    ​​​​​​
    Tags: None
  • #2
    Giao tiếp Bí mật trong Phần mềm Độc hại


    Việc phân phối phần mềm độc hại chỉ là một nửa chặng đường trong một cuộc tấn công. Để hoàn thành mục tiêu, kẻ tấn công cần một phương pháp trích xuất dữ liệu từ hệ thống nạn nhân mà không bị phát hiện. Đây chính là lúc giao tiếp bí mật – covert communication – phát huy tác dụng. Khái niệm Giao tiếp Bí mật


    Trong lĩnh vực an ninh mạng, “giao tiếp bí mật” đề cập đến việc truyền thông tin qua một kênh không được thiết kế cho mục đích đó, nhằm che giấu nội dung hoặc thậm chí sự tồn tại của dữ liệu. Thuật ngữ này được định nghĩa rõ ràng trong Tiêu chí Đánh giá Hệ thống Máy tính Đáng tin cậy (TCSEC), nơi các kênh bí mật được chia thành hai loại:
    • Kênh thời gian bí mật (Covert Timing Channel): Dựa vào thay đổi thời gian xử lý của hệ thống để truyền thông tin.
    • Kênh lưu trữ bí mật (Covert Storage Channel): Sử dụng một tiến trình ghi dữ liệu vào tài nguyên chung để tiến trình khác đọc lại thông tin.

    Một ví dụ đơn giản nhưng minh họa rõ nét là trong phim ảnh: một điệp viên nghiêng nhẹ chiếc mũ như một tín hiệu bí mật mà chỉ người nhận biết mới hiểu được. Trong thế giới mạng, giao tiếp bí mật tương đương với việc che giấu dữ liệu trong những giao thức hoặc kênh vốn không dùng để truyền thông tin theo cách đó. Các Giao thức Bị Lạm Dụng Để Giao tiếp Bí mật


    Kiến trúc TCP/IP tạo ra nhiều cơ hội cho việc che giấu dữ liệu. Dưới đây là các tầng và giao thức phổ biến bị khai thác:
    1. Tầng Internet

    a. IPv6


    Giao thức này thường bị bỏ qua bởi các thiết bị bảo mật chưa được cấu hình đầy đủ. Kẻ tấn công có thể sử dụng các công cụ như 6tunnel, socat, nt6tunnel, hoặc relay6 để tạo đường hầm dữ liệu (tunneling). Một số kỹ thuật khai thác gồm:
    • Bật IPv6 tự động trên hệ thống mục tiêu.
    • Truyền dữ liệu bằng encapsulation trong gói tin IPv6.
    • Dùng IPv6 để vượt qua tường lửa chỉ kiểm tra IPv4.
    b. ICMP (Internet Control Message Protocol)


    Dù được thiết kế cho việc kiểm tra và phản hồi lỗi mạng, ICMP có thể bị lạm dụng để truyền dữ liệu bí mật. Ví dụ: sử dụng gói ICMP echo request/reply để vận chuyển payload.
    2. Tầng Vận Chuyển

    a. TCP


    Kẻ tấn công có thể tận dụng cờ TCPtùy chọn TCP header để nhúng dữ liệu. Đặc biệt, các gói ACK thường bị bỏ qua bởi tường lửa do không thiết lập phiên mới, do đó dễ bị khai thác. Công cụ điển hình: AckCmd. b. UDP


    Với tính chất “không trạng thái”, UDP là lựa chọn lý tưởng để tạo các kênh giao tiếp khó phát hiện. Một số cổng như UDP 53 (DNS) thường được mở sẵn, tạo điều kiện cho các công cụ như:
    3. Tầng Ứng Dụng

    a. HTTP/HTTPS


    Giao tiếp qua các cổng 80 và 443 thường được phép qua firewall. Các công cụ như Netcat hoặc Cryptcat cho phép gửi dữ liệu qua HTTP/HTTPS – đặc biệt khó phát hiện nếu sử dụng HTTPS do mã hóa đầu cuối. b. DNS


    DNS là một giao thức yêu cầu/phản hồi đơn giản nhưng cực kỳ linh hoạt để che giấu dữ liệu. Kẻ tấn công có thể nhúng dữ liệu vào tên miền được truy vấn và giải mã từ phía máy chủ kiểm soát (C2 server). Dữ liệu thường được phân nhỏ và truyền đi dần dần nhằm tránh gây nghi ngờ.
    Tại sao Giao tiếp Bí mật Rất Nguy Hiểm?


    Giao tiếp bí mật là phương pháp thiết yếu để phần mềm độc hại:
    • Duy trì liên lạc với máy chủ điều khiển (C2).
    • Trích xuất dữ liệu mà không bị hệ thống bảo mật phát hiện.
    • Vượt qua các cơ chế kiểm tra truyền thống như IDS/IPS, firewall, DLP.

    Nhiều kỹ thuật giao tiếp bí mật có thể hoạt động trong thời gian dài mà không bị phát hiện, khiến cho các cuộc tấn công trở nên khó truy vết, khó phân tích, và khó vô hiệu hóa.
    Kết luận


    Việc nhận diện và hiểu được các hình thức giao tiếp bí mật là kỹ năng quan trọng đối với chuyên gia an ninh mạng, quản trị viên hệ thống và các nhóm phản ứng sự cố. Trong khi các công cụ như IDS, firewall hay proxy đóng vai trò quan trọng trong bảo vệ mạng, thì chính sự hiểu biết sâu sắc về cách thức hoạt động và kỹ thuật tấn công mới là nền tảng để phát hiện và ngăn chặn thành công các mối đe dọa hiện đại.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment

    Previous template Next
    Working...
    X