0x01. Tóm Tắt Điều Hành
Trong các cuộc tấn công mạng, kẻ thù thường dựa vào các máy chủ Command-and-Control (C2), máy chủ tải, hoặc thậm chí là "trạm làm việc" của chính họ để chuẩn bị và chuyển giao dữ liệu. Trong một số trường hợp, các hệ thống này vô tình tự lộ ra khi kích hoạt các máy chủ web với chức năng duyệt thư mục hoặc tải tệp.
Phân tích của chúng tôi đã phát hiện nhiều bộ điều khiển Cobalt Strike và các máy tính do kẻ tấn công điều hành đã công khai lộ ra các tệp nhị phân độc hại, kịch bản khai thác, tải trọng và kết quả quét. Trong một số trường hợp, các tác nhân bên ngoài đã đi qua các thư mục này và tải xuống toàn bộ bộ công cụ - cho thấy sự hiện diện của những "thợ săn" đang nhắm mục tiêu vào các trạm làm việc của hacker để đánh cắp công cụ và thông tin của họ.
0x02. Bối Cảnh
Khi các hacker tìm cách xâm nhập và khai thác dữ liệu từ nạn nhân của họ, họ cũng dễ bị tổn thương trước sự phản công. Ví dụ, một hacker có thể vô tình tải xuống một công cụ quét có chứa backdoor, do đó rơi vào sự kiểm soát của một kẻ tấn công tinh vi hơn.
Báo cáo này khám phá cách mà các máy chủ web bị lộ công khai — thường được kẻ tấn công sử dụng để phân phối malware nhanh chóng và chuyển giao dữ liệu — có thể được phát hiện thông qua các công cụ tìm kiếm trên không gian mạng như ZoomEye. Chúng tôi chứng minh rằng sự lộ ra này cho phép các nhà nghiên cứu an ninh (hoặc các tác nhân đối thủ) trở thành “thợ săn sau lưng các hacker,” chặn lại chính những công cụ được sử dụng cho các chiến dịch độc hại.
Nhiều kẻ tấn công thích các phương pháp nhẹ để phân phối malware, chẳng hạn như khởi động một dịch vụ HTTP tạm thời và chỉ định các máy chủ bị xâm phạm tải xuống tệp qua curl hoặc wget. Các ngôn ngữ như Python làm điều này trở nên đơn giản với một lệnh duy nhất: python3 -m http.server.
Mặc dù hiệu quả, thực tiễn này khiến chính các kẻ tấn công bị lộ ra. Bất kỳ bên nào xác định được máy chủ có thể thu thập công cụ, exploits, và thậm chí cả dữ liệu bị đánh cắp được lưu trữ ở đó.
0x03. Phương Pháp: Sử Dụng ZoomEye Để Tìm Kiếm Trạm Làm Việc Của Hacker
Để phát hiện hệ thống điều hành do kẻ tấn công một cách có hệ thống, chúng tôi đã tận dụng ZoomEye để tìm kiếm các máy chủ web lộ ra danh sách thư mục. Bằng cách kết hợp các dấu vân tay tiêu đề với các từ khóa thường liên quan đến các khung khai thác, chúng tôi có thể nhận diện các "trạm làm việc" của kẻ tấn công với độ tin cậy cao.
Các truy vấn ví dụ trong ZoomEye:
Khai thác lỗ hổng:
(title="Index of /" || title="Directory List" || title="Directory listing for /") && "exp"Công cụ khai thác log4j:
(title="Index of /" || title="Directory List" || title="Directory listing for /") && "log4j"Cobalt Strike:
(title="Index of /" || title="Directory List" || title="Directory listing for /") && "cobaltstrike"Metasploit:
(title="Index of /" || title="Directory List" || title="Directory listing for /") && "Metasploit"Khai thác với các định danh CVE:
(title="Index of /" || title="Directory List" || title="Directory listing for /") && "cve"Tải trọng và tệp nhị phân thử nghiệm:
(title="Index of /" || title="Directory List" || title="Directory listing for /") && "payload"
(title="Index of /" || title="Directory List" || title="Directory listing for /") && "calc.exe"Một trong những máy chủ bị lộ đã tiết lộ một bộ công cụ chứa:
- Tải trọng Cobalt Strike
- Khai thác cho CVE-2019–7609
- Mã tải trọng đa năng
- Khai thác cho Apache James Server RCE
- Nhiều công cụ khai thác được gắn thẻ CVE
- Mã khai thác đa năng
Những phát hiện như vậy nổi bật cách mà trạm làm việc của kẻ tấn công có thể vô tình phục vụ như các kho lưu trữ mở của những kỹ thuật tấn công.
0x04. Bằng Chứng Về Sự Tồn Tại Của "Thợ Săn"
Cuộc điều tra của chúng tôi cũng phát hiện ra rằng chính các kẻ tấn công đang bị nhắm mục tiêu một cách có hệ thống. Ví dụ, một trạm làm việc lưu trữ tại 83.136.*.*:8000 chứa một tệp log nohup.out ghi lại các yêu cầu vào.
Phân tích tệp log này cho thấy nhiều địa chỉ IP đáng ngờ, bao gồm 34.140.*.*, đã thực hiện tải xuống đệ quy trên tất cả các thư mục. Đây không phải là các trình thu thập thông tin của công cụ tìm kiếm mà là các tác nhân cố ý — có thể là “thợ săn” — thu thập mọi tệp có thể truy cập.
Ba địa chỉ IP khác đã thể hiện hành vi giống hệt, cho thấy sự tồn tại của một hệ sinh thái rộng lớn hơn của những thợ săn đang quét internet để tìm kiếm các trạm làm việc của kẻ tấn công và thu hoạch nội dung của chúng.
0x05. Kết Luận
Hacker có thể hoạt động một mình — bị giới hạn bởi kỹ năng và điểm mù của chính họ — hoặc trong các nhóm mà vai trò được xác định chặt chẽ để lại những khoảng trống quan trọng trong nhận thức về an ninh. Những điểm yếu cấu trúc này khiến cơ sở hạ tầng của họ dễ bị phát hiện và khai thác.
Bằng cách sử dụng các công cụ như ZoomEye, các nhà phòng thủ và các tác nhân đối thủ cũng có thể xác định các trạm làm việc của kẻ tấn công, thu thập bộ công cụ của họ, và có được những hiểu biết quý giá về kỹ thuật của kẻ thù.
Ngắn gọn mà nói, không phải tất cả các hacker đều là những người phòng thủ tài năng. Nhiều người trở thành con mồi cho những thợ săn cấp cao hơn. Động thái này thể hiện sự tiến hóa liên tục của tấn công và phòng thủ trong không gian mạng — nơi mà câu hỏi không còn chỉ là ai bị tấn công, mà là ai săn lùng hacker.
