Khám Phá LoLBins: Công Cụ Nguy Hiểm Trong Tấn Công Mạng

1. Định Nghĩa

LoLBins (Living-off-the-Land Binaries) là những tệp nhị phân hợp pháp và bản địa của hệ điều hành mà kẻ tấn công có thể tái sử dụng một cách độc hại. Mặc dù chúng là các công cụ đáng tin cậy và thường được cài sẵn, nhưng chúng có thể bị khai thác cho những mục đích không mong muốn, giúp kẻ tấn công thực hiện những hành động độc hại mà không cần cài đặt phần mềm mới.

Khái niệm về LoLBins thuộc về một nhóm lớn hơn được gọi là LOLBAS (Living-off-the-Land Binaries, Scripts and Libraries), bao gồm không chỉ các tệp nhị phân mà còn cả các kịch bản và thư viện hệ thống. Những tài nguyên này có thể được sử dụng một cách sáng tạo cho các cuộc tấn công tinh vi, chẳng hạn như trong các hoạt động Advanced Persistent Threat (APT) hoặc bởi các nhóm thử nghiệm bảo mật (Red Teams).

Để một tệp nhị phân, kịch bản hoặc thư viện được coi là LoLBin/LOLBAS, nó thường phải:

Là một tệp hợp pháp và được ký bởi hệ thống hoặc Microsoft.
Có các chức năng "không mong đợi" có thể bị khai thác theo những cách độc hại.
Hữu ích cho một kẻ tấn công trong các nhiệm vụ như thực thi mã, di chuyển bên trong hoặc duy trì sự tồn tại.

Mục tiêu chính của việc sử dụng LoLBins là để né tránh sự phát hiện của các cơ chế bảo mật. Bởi vì những công cụ này đã tồn tại trên hệ thống, các cuộc tấn công dựa vào chúng ít bị phát hiện hơn và có thể vượt qua các phần mềm diệt virus, kiểm soát chữ ký số và các cơ chế bảo vệ khác. Hơn nữa, LoLBins cho phép thực hiện các cuộc tấn công Fileless Malware, tức là không tạo ra các tệp độc hại trên đĩa, làm cho việc phát hiện trở nên khó khăn hơn.

Tóm lại, LoLBins là một cách để "sống nhờ" trên hệ thống bị xâm phạm: kẻ tấn công tận dụng các công cụ hợp pháp và tài nguyên đã có sẵn để đạt được mục tiêu của mình một cách lén lút và hiệu quả.

2. Ví Dụ

Các LoLBins (Living-off-the-Land Binaries) là các tệp thực thi hợp pháp của hệ điều hành thường bị lạm dụng bởi kẻ tấn công cho nhiều hoạt động độc hại, như thực thi mã, tải xuống payload, di chuyển bên trong và duy trì sự tồn tại, nhằm tránh bị phát hiện bởi phần mềm bảo mật truyền thống.

CrowdStrike đã thực hiện một phân tích về các hoạt động xâm nhập trong một năm (từ tháng 7 năm 2021 đến tháng 6 năm 2022) để xác định các LoLBins phổ biến nhất được sử dụng bởi các đối thủ. Nghiên cứu này đã đi sâu vào tám LoLBins phổ biến nhất: Rundll32, Regsvr32, Msiexec, Mshta, Certutil, MSBuild, WMI command line utility (WMIC) và WMI provider host (WmiPrvSe). Kaspersky cũng chỉ ra rằng PowerShell là LoLBin phổ biến nhất, tiếp theo là rundll32.exe, và đứng thứ ba là te.exe, PsExec.exe, CertUtil.exe, Reg.exe và wscript.exe.

2.1 Các LoLBins Chính và Các Sử Dụng Độc Hại:

cmd.exe – Thực thi các lệnh

Cho phép thực hiện các lệnh độc hại, tạo các tác vụ theo lịch trình và thực hiện proxy execution (thực thi các tệp nhị phân khác mà không cần đường dẫn đầy đủ). Được sử dụng trong các kịch bản như wmiexec.py để thực hiện các lệnh từ xa.
powershell.exe – Thực thi các kịch bản và tải xuống payload

Công cụ dòng lệnh và ngôn ngữ kịch bản, được sử dụng rộng rãi trong các cuộc tấn công. Cho phép tải xuống và thực thi payload từ các máy chủ C2, tự động hóa các quy trình qua WMI và thực thi mã trực tiếp trong bộ nhớ (Fileless Malware).
regsvr32.exe – Thực thi các kịch bản qua COM

Được sử dụng để đăng ký/hủy đăng ký DLL và các điều khiển ActiveX. Cho phép bỏ qua danh sách cho phép ứng dụng và thực thi các payload từ xa mà không cần tải xuống tệp trước (kỹ thuật Squiblydoo).
mshta.exe – Thực thi mã HTML/JS

Thực thi các tệp HTA hoặc các kịch bản nhúng trong dòng lệnh. Có thể được sử dụng cho các cuộc tấn công Fileless Malware, làm cho việc thực thi trở nên vô hình với người dùng.
rundll32.exe – Thực thi các DLL tùy ý

Cho phép chạy các DLL độc hại hoặc khai thác các DLL hợp pháp. Được sử dụng để tạo các memory dumps, lấy cắp thông tin đăng nhập và né tránh các cơ chế whitelisting.
certutil.exe – Tải xuống và giải mã các tệp

Công cụ để quản lý chứng chỉ, nhưng có thể tải xuống các tệp, giải mã dữ liệu ở định dạng Base64 và cài đặt các chứng chỉ độc hại.

2.2 Các LoLBins Khác Nổi Bật trên Windows

msiexec.exe – Cài đặt phần mềm hoặc DLL độc hại; có thể chạy ở chế độ ẩn.
msbuild.exe – Biên dịch mã độc trực tiếp trên máy nạn nhân.
wmic.exe / wmiprvse.exe – Thực thi các lệnh từ xa, di chuyển bên trong và quản lý hệ thống.

3. Các Danh Mục Sử Dụng LoLBins

Các LoLBins (Living-off-the-Land Binaries) được tái sử dụng bởi kẻ tấn công để đạt được các mục tiêu cụ thể trong các hệ thống bị xâm phạm. Việc sử dụng những tệp nhị phân, kịch bản và thư viện này (LOLBAS) cho phép các mối đe dọa trở nên tinh vi hơn, tránh sự phát hiện của các cơ chế bảo mật truyền thống. Các danh mục sử dụng chính bao gồm:

3.1 Thực Thi Mã

Cho phép chạy các kịch bản hoặc chương trình độc hại mà không cần cài đặt các tệp thực thi mới.

Ví dụ về các LoLBins được sử dụng để thực thi mã:

Rundll32.exe: Thực thi các DLL độc hại hoặc khai thác các DLL hợp pháp để lấy cắp thông tin đăng nhập hoặc thực thi payload.
Mshta.exe: Thực thi các tệp HTA hoặc các kịch bản nhúng, cho phép các cuộc tấn công Fileless Malware mà không tạo ra các tệp trên đĩa.
Msiexec.exe: Cài đặt hoặc thực thi các DLL độc hại, có thể chạy ở chế độ ẩn để tránh sự tương tác của người dùng.
MSBuild.exe: Biên dịch mã độc trực tiếp trên máy nạn nhân hoặc thực thi các lệnh tùy ý, sử dụng các tệp logger hoặc tệp phản hồi để ẩn danh các đối số.
WMIC.exe: Tạo các quy trình cục bộ hoặc từ xa, thực thi các kịch bản PowerShell hoặc JScript/VBScript.
PowerShell.exe: Thực thi các kịch bản và tải xuống các payload từ các máy chủ C2; được sử dụng rộng rãi trong các cuộc tấn công quan trọng.
Cmd.exe: Kết nối thực thi các LoLBins khác, cho phép proxy execution.
WScript.exe: Thực thi các kịch bản trong các ngôn ngữ kịch bản được Windows hỗ trợ.

3.2 Di Chuyển Bên Trong

Cho phép kẻ tấn công di chuyển giữa các hệ thống trong một mạng bị xâm phạm.

Công cụ phổ biến cho việc di chuyển bên trong:

WMIC.exe: Thực thi các quy trình trên các hệ thống từ xa bằng cách sử dụng các thông tin xác thực hợp lệ.
PsExec.exe: Thực thi các quy trình từ xa, thường được sử dụng trong các chiến dịch ransomware.
ssh.exe (Linux/Unix): Thực thi các lệnh từ xa, cho phép di chuyển bên trong giữa các máy chủ.

3.3 Duy Trì Sự Tồn Tại

Cho phép duy trì quyền truy cập vào hệ thống bị xâm phạm ngay cả sau khi khởi động lại hoặc thay đổi thông tin xác thực.

LoLBins được sử dụng để duy trì sự tồn tại:

Schtasks.exe: Tạo các tác vụ theo lịch để thực hiện các payload độc hại một cách định kỳ.
Regsvr32.exe: Đăng ký các DLL độc hại trong các tác vụ theo lịch để thực hiện hàng ngày.
Mshta.exe: Tạo sự tồn tại thông qua việc thực hiện các tệp HTA mà cấu hình các DLL để chạy trong các ứng dụng COM.
WMIC.exe: Cấu hình tài khoản người dùng hoặc các cài đặt khác để đảm bảo quyền truy cập lâu dài.
Reg.exe: Thay đổi hoặc thêm các khóa đăng ký để đảm bảo thực thi liên tục.
Cron (Linux/Unix): Lên lịch thực hiện định kỳ các kịch bản độc hại để duy trì sự tồn tại.

3.4 Lấy Cắp Dữ Liệu

Cho phép đánh cắp thông tin từ hệ thống hoặc mạng bằng cách sử dụng các tệp nhị phân hợp pháp.

Ví dụ:

Certutil.exe: Mã hóa/giải mã dữ liệu ở định dạng Base64, hữu ích cho việc đưa ra các bản dump bộ nhớ và bỏ qua sự phát hiện.
WMIC.exe: Thu thập thông tin từ máy chủ và mạng để đưa ra ngoài.
Bitsadmin.exe: Chuyển các tệp và thực thi mã độc từ xa.
curl / wget (Linux/Unix): Tải xuống hoặc tải lên các tệp, có thể lấy cắp dữ liệu.

3.5 Vượt Qua Bảo Mật

Các LoLBins vượt qua các rào cản và chính sách bảo mật vì chúng là các tệp thực thi đáng tin cậy và được ký bởi hệ thống.

Các kỹ thuật né tránh chính:

Né tránh dựa trên chữ ký: Nhiều LoLBins là các tệp được ký bởi Microsoft, cho phép thực thi trên các hệ thống được bảo vệ mà không có cảnh báo.
Bỏ qua danh sách cho phép: Rundll32, Regsvr32, Msiexec và MSBuild có thể thực thi các payload ngay cả trong các môi trường có chính sách hạn chế.
Né tránh phần mềm diệt virus và EDR: Các hoạt động Fileless Malware và việc sử dụng các chức năng "không mong đợi" làm khó khăn cho việc phát hiện.
Né tránh UAC: Các LoLBins như Rundll32 có thể tải các đối tượng COM với quyền cao mà không cần xác minh danh tính.
Cuộc tấn công Fileless Malware: Mshta và PowerShell thực thi mã trực tiếp trong bộ nhớ mà không ghi lại các tệp trên đĩa.
Che giấu các hoạt động: Các kỹ thuật như cửa sổ vô hình (Mshta) hoặc việc sử dụng các tệp phản hồi (MSBuild) ẩn giấu các hành động độc hại khỏi người dùng.
Ngụy trang: Các tệp hoặc kịch bản có thể được đặt tên sao cho trông hợp pháp và hòa nhập vào các quy trình của hệ thống (ví dụ: các tệp XSL được sử dụng bởi WMIC).

Thực Hành Tốt Nhất

Giám sát hoạt động của LoLBins: Theo dõi việc sử dụng các LoLBins trong môi trường mạng của bạn để phát hiện các hoạt động đáng ngờ.
Cập nhật và vá lỗi thường xuyên: Đảm bảo rằng tất cả các phần mềm và hệ điều hành luôn được cập nhật để giảm thiểu lỗ hổng bảo mật.
Sử dụng các giải pháp bảo mật nâng cao: Triển khai các công cụ phát hiện xâm nhập và phần mềm bảo mật có khả năng phát hiện các cuộc tấn công Fileless.

Câu Hỏi Thường Gặp (FAQ)

1. LoLBins có thể được sử dụng cho các mục đích hợp pháp không?
Có, LoLBins có thể được sử dụng cho các mục đích hợp pháp như tự động hóa quy trình hoặc quản lý hệ thống, nhưng cũng có thể bị lạm dụng bởi kẻ tấn công.

2. Làm thế nào để phát hiện việc sử dụng LoLBins trong tổ chức của tôi?
Sử dụng các công cụ giám sát và phát hiện bất thường để theo dõi việc sử dụng các LoLBins và các hành vi đáng ngờ khác trong mạng của bạn.

3. Tôi có thể làm gì để ngăn chặn việc lạm dụng LoLBins?
Đảm bảo rằng tất cả các hệ thống đều được cập nhật, và áp dụng các chính sách bảo mật nghiêm ngặt, bao gồm kiểm soát quyền truy cập và theo dõi hoạt động.

Kết luận

LoLBins đại diện cho một trong những thách thức lớn nhất trong lĩnh vực an ninh mạng ngày nay. Sự tồn tại của những công cụ này trong hệ thống khiến cho việc phát hiện và phòng ngừa các cuộc tấn công trở nên khó khăn hơn. Tuy nhiên, với sự hiểu biết rõ ràng về cách mà chúng hoạt động và các kỹ thuật mà kẻ tấn công có thể sử dụng, các nhà phát triển và chuyên gia bảo mật có thể xây dựng những biện pháp phòng ngừa hiệu quả. Hãy luôn duy trì cảnh giác và cập nhật kiến thức của bạn về các phương pháp tấn công mới nhất để bảo vệ hệ thống của bạn một cách tốt nhất.