-
09/04/2020
-
101
-
893 bài viết
SHOE RACK tấn công tường lửa Fortinet bằng DoH và SSH ngụy trang
Một chiến dịch tấn công mạng có chủ đích vừa được ghi nhận, trong đó tin tặc sử dụng mã độc có tên SHOE RACK để xâm nhập thiết bị tường lửa FortiGate 100D. Mã độc này được thiết kế để duy trì quyền kiểm soát từ xa bằng cách kết hợp kỹ thuật ngụy trang thông qua DNS-over-HTTPS (DoH) và thao tác bất thường trên giao thức SSH.
Để tránh bị phát hiện, mã độc sử dụng truy vấn DNS qua HTTPS (DoH) để kết nối đến máy chủ điều khiển (C2). Các truy vấn được gửi thông qua nhiều nhà cung cấp DNS công cộng hợp pháp như Google DNS, Cloudflare, Quad9, NextDNS và OpenDNS. Lưu lượng DoH mã hóa này giúp mã độc hòa lẫn vào luồng dữ liệu hợp pháp, vượt qua các công cụ giám sát DNS thông thường.
Ngay sau khi khởi chạy, SHOE RACK âm thầm thiết lập kết nối đến máy chủ điều khiển tại phcia.duckdns.org, thông qua cổng 443. Điều đáng chú ý là toàn bộ lưu lượng điều khiển được truyền qua giao thức TLS, khiến nó không khác gì một kết nối HTTPS thông thường. Với bề ngoài hợp pháp này, mã độc dễ dàng vượt qua các tường lửa, thiết bị lọc proxy và hệ thống giám sát mạng, đánh lừa cả các chuyên gia bảo mật nếu không có phân tích sâu lớp mã hóa.
Bên trong phiên SSH này, SHOE RACK triển khai hai loại kênh. Kênh session phục vụ thực thi lệnh từ xa như một phiên shell thông thường. Kênh còn lại mang tên jump là một đường hầm SSH ngược được mã hóa. Điểm đặc biệt là kênh jump cho phép mã độc đảo chiều kết nối, biến thiết bị nạn nhân thành một máy chủ SSH tạm thời. Nhờ đó, tin tặc có thể chủ động kết nối ngược trở lại và điều khiển thiết bị như đang thao tác trực tiếp trong mạng nội bộ. Với khả năng hoạt động hai chiều, mã độc có thể duy trì quyền kiểm soát bền vững ngay cả khi kênh liên lạc chính bị ngắt đột ngột hoặc bị hệ thống an ninh can thiệp.
Theo nhận định từ các chuyên gia WhiteHat, việc nhắm vào thiết bị biên phản ánh rõ chiến lược “tấn công từ ngoài vào trong” đang được nhiều nhóm APT sử dụng. Khác với các hình thức lừa đảo người dùng cuối, cách tiếp cận này cho phép tin tặc xâm nhập hệ thống một cách âm thầm và có chiều sâu, đồng thời giảm đáng kể khả năng bị phát hiện trong giai đoạn đầu. Khi đã chiếm quyền kiểm soát các điểm trung gian như tường lửa hoặc router, mã độc có thể hoạt động như một trạm trung chuyển, từ đó phát động các cuộc tấn công chính xác hơn vào hạ tầng nội bộ và các tài nguyên có giá trị cao.
Khai thác thiết bị biên và ngụy trang lưu lượng
SHOE RACK hoạt động như một reverse shell, cho phép thiết lập đường hầm TCP để kết nối ra ngoài qua thiết bị đã nhiễm. Mã độc nhắm vào tường lửa Fortinet 100D – dòng thiết bị phổ biến trong nhiều hệ thống doanh nghiệp.Để tránh bị phát hiện, mã độc sử dụng truy vấn DNS qua HTTPS (DoH) để kết nối đến máy chủ điều khiển (C2). Các truy vấn được gửi thông qua nhiều nhà cung cấp DNS công cộng hợp pháp như Google DNS, Cloudflare, Quad9, NextDNS và OpenDNS. Lưu lượng DoH mã hóa này giúp mã độc hòa lẫn vào luồng dữ liệu hợp pháp, vượt qua các công cụ giám sát DNS thông thường.
Liên lạc điều khiển ngụy trang dưới HTTPS
SHOE RACK được lập trình bằng ngôn ngữ Go (phiên bản 1.18), cho thấy đây là một mã độc hiện đại được xây dựng có chủ đích, không phải sản phẩm ngẫu nhiên. Phân tích kỹ thuật cho thấy nó được phát triển dựa trên một phần mã nguồn mở reverse SSH có tên NHAS, phổ biến trong giới lập trình GoLang. Mẫu thực thi thu thập được từ hệ thống bị nhiễm có tên là ldnet, được đóng gói bằng công cụ nén UPX nhằm giảm kích thước và che giấu cấu trúc bên trong. Mã băm SHA-256 của tệp này là: 5c5843ae833cab1417a0ac992b5007fce40158fc3afec4c6e4fd0e932de07177.Ngay sau khi khởi chạy, SHOE RACK âm thầm thiết lập kết nối đến máy chủ điều khiển tại phcia.duckdns.org, thông qua cổng 443. Điều đáng chú ý là toàn bộ lưu lượng điều khiển được truyền qua giao thức TLS, khiến nó không khác gì một kết nối HTTPS thông thường. Với bề ngoài hợp pháp này, mã độc dễ dàng vượt qua các tường lửa, thiết bị lọc proxy và hệ thống giám sát mạng, đánh lừa cả các chuyên gia bảo mật nếu không có phân tích sâu lớp mã hóa.
Lợi dụng SSH để thiết lập reverse tunnel
Một trong những điểm đáng chú ý nhất trong cấu trúc hoạt động của SHOE RACK nằm ở cách mã độc thao túng giao thức SSH. Dù thiết lập kết nối theo chuẩn SSH 2.0, mã độc lại cố tình giả mạo sử dụng chuỗi định danh phiên bản lỗi thời SSH 1.1.3. Đây là một phiên bản đã biến mất khỏi các hệ thống hợp pháp suốt nhiều thập kỷ. Chi tiết tưởng chừng nhỏ này thực chất là kỹ thuật ngụy trang tinh vi, giúp mã độc vượt qua các bộ lọc kiểm tra phiên bản và đồng thời trở thành dấu hiệu định danh hữu ích cho những hệ thống giám sát có khả năng phân tích sâu.Bên trong phiên SSH này, SHOE RACK triển khai hai loại kênh. Kênh session phục vụ thực thi lệnh từ xa như một phiên shell thông thường. Kênh còn lại mang tên jump là một đường hầm SSH ngược được mã hóa. Điểm đặc biệt là kênh jump cho phép mã độc đảo chiều kết nối, biến thiết bị nạn nhân thành một máy chủ SSH tạm thời. Nhờ đó, tin tặc có thể chủ động kết nối ngược trở lại và điều khiển thiết bị như đang thao tác trực tiếp trong mạng nội bộ. Với khả năng hoạt động hai chiều, mã độc có thể duy trì quyền kiểm soát bền vững ngay cả khi kênh liên lạc chính bị ngắt đột ngột hoặc bị hệ thống an ninh can thiệp.
Chiến lược tấn công có tổ chức và nguy cơ xâm nhập sâu
Việc mã độc tập trung khai thác các thiết bị bảo mật ở rìa mạng cho thấy đây không phải là một cuộc tấn công đơn lẻ mà là một chiến dịch có chủ đích được tổ chức bài bản. Tin tặc tận dụng các thiết bị biên như tường lửa để thiết lập chỗ đứng vững chắc trong hạ tầng, từ đó thực hiện các bước di chuyển ngang nhằm mở rộng quyền kiểm soát vào sâu bên trong hệ thống doanh nghiệp. Sau khi chiếm quyền điều khiển tường lửa, chúng có thể âm thầm theo dõi lưu lượng, đánh cắp thông tin và tiếp cận các máy chủ nội bộ cũng như thiết bị đầu cuối của người dùng.Theo nhận định từ các chuyên gia WhiteHat, việc nhắm vào thiết bị biên phản ánh rõ chiến lược “tấn công từ ngoài vào trong” đang được nhiều nhóm APT sử dụng. Khác với các hình thức lừa đảo người dùng cuối, cách tiếp cận này cho phép tin tặc xâm nhập hệ thống một cách âm thầm và có chiều sâu, đồng thời giảm đáng kể khả năng bị phát hiện trong giai đoạn đầu. Khi đã chiếm quyền kiểm soát các điểm trung gian như tường lửa hoặc router, mã độc có thể hoạt động như một trạm trung chuyển, từ đó phát động các cuộc tấn công chính xác hơn vào hạ tầng nội bộ và các tài nguyên có giá trị cao.
Khuyến nghị
Trước mối đe dọa tiềm ẩn từ SHOE RACK, các tổ chức đang sử dụng thiết bị Fortinet, đặc biệt là dòng FortiGate 100D, cần khẩn trương áp dụng các biện pháp sau:- Cập nhật firmware và hệ điều hành thiết bị lên phiên bản mới nhất để vá các lỗ hổng bảo mật đã biết
- Theo dõi lưu lượng DNS-over-HTTPS bất thường, đặc biệt là truy vấn đến các dịch vụ DNS công cộng như Google DNS, Cloudflare hoặc NextDNS
- Kiểm tra toàn bộ kết nối SSH trong hệ thống để phát hiện các chuỗi định danh bất hợp lệ như “SSH-1.1.3” – dấu hiệu bất thường có thể dùng để truy vết
- Triển khai các giải pháp giám sát hành vi nâng cao như UEBA, IDS/IPS thế hệ mới nhằm phát hiện reverse shell hoặc các đường hầm mã hóa không rõ nguồn gốc
- Xem xét cô lập, phân vùng lại hệ thống mạng nếu có dấu hiệu nghi ngờ thiết bị đã bị chiếm quyền điều khiển để hạn chế nguy cơ lan rộng
Theo Cyber Security News