Mã độc TrickBot thực hiện tấn công RDP Brute Force

10:24 | 27/03/2020

Mới đây, các chuyên gia của Bitdefender (Rumani) đã phát hiện một module mới của mã độc TrickBot, có tính năng khai thác các máy tính Windows mở giao thức truy cập từ xa để thực hiện tấn công Brute Force.

Được phát hiện vào ngày 30/1/2020, module có tên gọi là rdpScanDll vẫn đang trong quá trình phát triển. Theo các nhà nghiên cứu, cho đến nay rdpScanDll đã cố gắng tấn công 6.013 máy chủ hoạt động giao thức truy cập từ xa (Remote Desktop Protocol – RDP), của các doanh nghiệp hoạt động trong lĩnh vực viễn thông, giáo dục và tài chính ở Hoa Kỳ và Hồng Kông.

Tính linh hoạt của TrickBot đến từ kiến trúc module, biến nó thành một mã độc phức tạp và tinh vi. Chỉ cần có 1 trình cắm (plugin), TrickBot có thể thực hiện một loạt các tấn công khác nhau, như: khai thác các tiện ích bổ sung để đánh cắp dữ liệu nhạy cảm của OpenSSH và OpenVPN; bổ sung module thực hiện các cuộc tấn công SIM-swapping nhằm kiểm soát số điện thoại của người dùng; vô hiệu hóa các cơ chế bảo mật tích hợp của Windows trước khi tải xuống các module chính.

Hoạt động của module rdpScanDll

Khi bắt đầu thực thi, TrickBot sẽ tạo một thư mục chứa các payload độc hại được mã hóa và các tệp cấu hình liên quan, bao gồm danh sách các máy chủ C&C mà plugin cần liên kết để truy xuất các lệnh được thực thi.

Theo Bitdefender, plugin của rdpScanDll sẽ chia sẻ tệp cấu hình của nó với module vncDll. Cùng lúc, rdpScanDll sử dụng định dạng URL tiêu chuẩn để kết nối với các máy chủ C2 mới - https://C&C/tag/computerID/controlEndpoint.

Trong đó, “C&C” là máy chủ C&C, “tag” là thẻ nhóm được sử dụng bởi mẫu của TrickBot, “computerID” là ID máy tính bị lây nhiễm và “controlEndpoint” là danh sách các chế độ tấn công. Danh sách các địa chỉ IP sẽ là mục tiêu thông qua một cuộc tấn RDP brute-force.

Các lĩnh vực mà TrickBot nhắm tới

Module rdpScanDll có ba chế độ tấn công là: check - kiểm tra kết nối RDP từ danh sách mục tiêu, trybrute - khai thác với danh sách tài khoản người dùng được xác định trước trong “/rdp/names” và “/rdp/dict” tương ứng trên các mục tiêu đã chọn và brute – chế độ đang được phát triển.

Chế độ brute không chỉ có một bộ các chức năng thực thi không được gọi (invoked), chế độ này còn không nạp danh sách tên người dùng, khiến cho plugin sử dụng mật khẩu và tên người dùng dạng null để xác thực trong danh sách mục tiêu.

Khi danh sách ban đầu của các IP được thu thập thông qua “/rdp/domain” đã hết, plugin sẽ lấy một danh sách IP khác bằng cách sử dụng “/rdp/over” thứ hai. Hai danh sách có lần lượt 49 và 5.964 địa chỉ IP. Chúng bao gồm các mục tiêu đặt tại Hoa Kỳ và Hồng Kông.

Phân bố địa lý khu vực tấn công của TrickBot

Theo báo cáo của Bitdefender, trong sáu tháng qua, các plugin chuyển động bên (lateral movement) và trên mạng (WormDll, TabDll, ShareDll) có nhiều nhiều cập nhật nhất. Tiếp sau đó là các module giúp thực hiện trinh sát hệ thống và mạng (SystemInfo , NetworkDll), cuối cùng là các module thu thập dữ liệu (ImportDll, Pwgrab, aDll). Tỷ lệ cập nhật cụ thể là 32,07% đối với wormDll, 31,44% đối với shareDll và 16,35% cho tabDll. Các plugin khác có ít hơn 5%.

Các nhà nghiên cứu có thể xác định ít nhất 3.460 địa chỉ IP hoạt động như các máy chủ C&C trên toàn thế giới, có 556 IP chỉ dành riêng để tải xuống các plugin mới và 22 IP thực hiện cả hai vai trò.

Lịch sử phát triển của TrickBot

Phổ biến thông qua các chiến dịch lừa đảo qua email, TrickBot bắt đầu được biết đến như một Trojan ngân hàng vào năm 2016 chuyên thực hiện hành vi trộm cắp tài chính. Sau đó, nó đã phát triển để cung cấp các loại phần mềm độc hại khác, bao gồm cả ransomware khét tiếng Ryuk. Ryuk đã hoạt động như một mã độc đánh cắp thông tin, ví Bitcoin, thu thập email và thông tin đăng nhập.

Các chiến dịch thư rác độc hại có chứa TrickBot sử dụng vỏ bọc của một bên thứ ba quen thuộc với người nhận. Chúng có thể là hóa đơn từ các công ty tài chính và kế toán hay bất kỳ địa chỉ email uy tín nào.

Các email thường bao gồm tệp đính kèm như tệp Word hoặc Excel. Khi được mở, nó sẽ thông báo người dùng cần kích hoạt macro, từ đó thực thi VBScript, chạy tập lệnh PowerShell và tải xuống phần mềm độc hại.

TrickBot cũng có thể bị tải xuống như một payload thứ cấp bởi các phần mềm độc hại khác, nổi bật nhất là chiến dịch spam do Emotet điều khiển. Để có duy trì và tránh bị phát hiện, mã độc này có thể tạo một dịch vụ hay một lịch trình cho các công việc, thậm chí vô hiệu hóa và xóa phần mềm chống virus Windows Defender.

Vì lý do này, hãng Microsoft đã bổ sung tính năng Tamper Protection để bảo vệ hệ thống trước các thay đổi độc hại và trái phép trong lõi bảo mật từ năm 2019.