Những “thảm họa” APT – Phát hiện Trojan truy cập từ xa GhostNet

410

GhostNet CnC hoạt động năm 2007 nhưng đã ngưng lại sau khi nó bị công bố công khai năm 2009. “GhostNet giám sát” ( Tracking GhostNet) cho thấy sự xâm nhập thành công vào các cơ sở ngoại giao trên toàn thế giới như văn phòng Dalai Lama  (Đạt lai lạc ma – một vị tu sĩ nhà Phật), các tổ chức quốc tế thậm chí những đài phát thanh. “Chiến dịch GhostNet” có liên quan đến 2 phần mã độc. Giai đoạn đầu, mã độc bị giảm xuống bởi những dữ liệu độc hại và kết nối đến máy chủ CnC dựa trên giao thức HTTP cổng 80. Trong khi mã độc truy cập đến một số máy chủ CnC, nó cũng sử dụng những thông số URL cụ thể và nhất quán, thứ mà có thể được phát hiện.

Những “thảm họa” APT – Phát hiện Trojan truy cập từ xa GhostNet

Chi tiết mô tả hoạt động của mã độc GhostNet được xuất bản 2 lần năm 2008. Mẫu kết hợp đơn giản của đường dẫn URL trong lưu lượng mạng sẽ giúp phát hiện ra tín hiệu đường đi của mã độc đến một máy chủ CnC. Trong khi điều quan trọng của mã độc này đó là nó không được hiểu hoàn toàn đến khi toàn bộ mạng gián điệp lộ ra, điều này dễ hiểu cho việc tạo các quy tắc cho “hệ thống phát hiện xâm nhập” (IDS) dựa trên các đường dẫn như vậy có lẽ không phải ưu tiên cao nhất của các chuyên gian an ninh tại thời điểm đó.

Giai đoạn thứ 2, mã độc GhostNet kẻ tấn công đã triển khai chính là Ghost RAT khét tiếng. Trojan truy cập từ xa này tạo ra lưu lượng mạng dễ nhận biết, với một biểu tượng đầu (header) là “Gh0st”.

Những “thảm họa” APT – Phát hiện Trojan truy cập từ xa GhostNet

Các quy tắc của IDS nhắm phát hiện Gh0st RAT được lập ra từ khoảng năm 2008 và vẫn tiếp tục được sử dụng rộng rãi. Sự thật là payload (phương pháp ẩn giấu những malware khác) của một cuộc tấn công gần đây đã chuyển việc khai thác code Java (i.e, CVE-2012-0507) thông qua các website chiến lược, bao gồm cả web nhân quyền, chính lã Gh0st RAT. Trong khi cuộc tấn công này vẫn duy trì header “Gh0st”, những cuộc tấn công khác sử dụng một số phiên bản cải tiến của Gh0st RAT.

Xem thêm: Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Trong một biến thể khác, “Gh0st” header được thay thế bằng “LURKO”, loại biến thể vừa được dùng trong những cuộc tấn công có chủ đích gần đây. Mặc dù đã sửa đổi vài chỗ, tuy nhiên, Gh0st RAT có thể vẫn có thể bị phát hiện thông qua sự hiện diện của 5 ký tự đầu (header) nối tiếp sau 8 bytes bởi header zlib nén. Ngoài ra, từ khi cổng 80 và 443 thường được dùng cho giao thức “lưu lượng truy cập” (traffic) của Gh0st RAT – bị phát hiện, thiết lập cảnh báo nếu giao thức trên cổng 80 không phải là HTTP, có thể giúp phát hiện loại lưu lượng truy cập này.

BÌNH LUẬN

Please enter your comment!
Please enter your name here