Tweet
Phát hiện phần mềm độc hại với công cụ và MITRE ATT&CK – Phân tích ObliqueRAT và CrimsonRAT
1. Giới thiệu
Khi đối mặt với phần mềm độc hại (malware), phản ứng đầu tiên của một chuyên viên phân tích an ninh nên là sử dụng các công cụ giám sát tệp tin và hành vi của tệp. Những công cụ như antivirus, anti-malware là lựa chọn phổ biến, nhưng để hiểu sâu hơn về cách phần mềm độc hại hoạt động, cần có thêm sandbox, công cụ giám sát hành vi file hoặc đầu ra dòng lệnh (CLI output), thậm chí là các giải pháp dựa trên deception (lừa dối).
2. Tấn công dựa vào hành vi người dùng – MITRE ATT&CK T1204
Kỹ thuật T1204 - User Execution từ khung MITRE ATT&CK mô tả cách kẻ tấn công lợi dụng hành động của người dùng để thực thi mã độc. Cụ thể:
3. Chiến lược giám sát & phát hiện
MITRE khuyến nghị theo dõi các hoạt động sau để phát hiện kỹ thuật T1204:
4. Phân tích Malware: ObliqueRAT và CrimsonRAT
Nguồn tham khảo:Điểm tương đồng:
5. Phát hiện bằng công cụ Cisco
Các giải pháp sau từ Cisco đều có khả năng phát hiện ObliqueRAT:
6. Câu hỏi ôn tập
MITRE ATT&CK Technique T1204 liên quan đến kỹ thuật tấn công nào?
✅ Đáp án: user execution
7. Kết luận & Gợi ý triển khai thực tế
Để phòng chống kỹ thuật tấn công T1204 – User Execution, các tổ chức nên:
Nếu bạn là kỹ sư SOC, phân tích mã độc hay kiến trúc sư an ninh, việc hiểu rõ từng kỹ thuật MITRE ATT&CK như T1204 là yếu tố bắt buộc trong việc xây dựng hệ thống phòng thủ hiệu quả. Hãy tích hợp tri thức từ MITRE cùng các công cụ như Snort, AMP, Umbrella để phát hiện sớm và phản ứng nhanh trước mã độc tinh vi như ObliqueRAT.
1. Giới thiệu
Khi đối mặt với phần mềm độc hại (malware), phản ứng đầu tiên của một chuyên viên phân tích an ninh nên là sử dụng các công cụ giám sát tệp tin và hành vi của tệp. Những công cụ như antivirus, anti-malware là lựa chọn phổ biến, nhưng để hiểu sâu hơn về cách phần mềm độc hại hoạt động, cần có thêm sandbox, công cụ giám sát hành vi file hoặc đầu ra dòng lệnh (CLI output), thậm chí là các giải pháp dựa trên deception (lừa dối).
2. Tấn công dựa vào hành vi người dùng – MITRE ATT&CK T1204
Kỹ thuật T1204 - User Execution từ khung MITRE ATT&CK mô tả cách kẻ tấn công lợi dụng hành động của người dùng để thực thi mã độc. Cụ thể:
- Kẻ tấn công dụ người dùng mở file chứa mã độc (ví dụ: văn bản Word, PDF, liên kết độc hại).
- Hành vi này thường xuất hiện sau các chiến dịch phishing hoặc spearphishing nội bộ.
- Kẻ tấn công có thể đặt file vào thư mục chia sẻ hoặc desktop với hy vọng người dùng sẽ kích hoạt nó.
💡 Ví dụ thực tế: Một file Word có macro độc hại được đính kèm trong email giả mạo nội bộ. Khi người dùng mở, macro chạy, tải mã PowerShell độc hại từ internet và cài đặt backdoor.
3. Chiến lược giám sát & phát hiện
MITRE khuyến nghị theo dõi các hoạt động sau để phát hiện kỹ thuật T1204:
- Giám sát quá trình thực thi và dòng lệnh của các ứng dụng có thể bị khai thác, ví dụ: WinRAR, 7-Zip (dùng để giải mã file đính kèm).
- Antivirus và EDR có thể phát hiện các file độc hại được tải về hoặc thực thi.
- Giám sát endpoint hoặc network có thể thấy các hành vi đáng ngờ như:
- winword.exe hoặc acrord32.exe kết nối internet.
- powershell.exe được gọi bởi tài liệu Office.
4. Phân tích Malware: ObliqueRAT và CrimsonRAT
Nguồn tham khảo:Điểm tương đồng:
- Cùng kỹ thuật mã hóa payload: Payload giai đoạn tiếp theo được nhúng trong một textbox (form), được mã hóa bằng chuỗi số thập phân ngăn cách bởi ký tự đặc biệt.
- Cùng kiểu đặt tên biến trong VBScript:
- ObliqueRAT: file_Salan_name, fldr_Salan_name, zip_Salan_file
- CrimsonRAT: file_Allbh_name, fldr_Allbh_name, zip_Allbh_file
- File mẫu ObliqueRAT (SHA-256: 9da1a55b88bda3810...) được nhận diện là PUA.Win.Dropper.Generic::to.talos bởi Cisco AMP.
- 58/71 vendor antivirus phát hiện được, theo dữ liệu VirusTotal.
🔍 Dù file có bị phát hiện hay không, bạn nên mở rộng giám sát đến hành vi mạng của malware sau khi bị cài vào hệ thống.
5. Phát hiện bằng công cụ Cisco
Các giải pháp sau từ Cisco đều có khả năng phát hiện ObliqueRAT:
- Cisco Secure Endpoint (AMP)
- Snort với Sourcefire rule – giám sát outbound connection độc hại
- Cisco Secure Malware Analytics (sandbox behavior)
- Cisco Secure Firewall + IPS/IDS
- Cisco Umbrella – chặn tên miền command-and-control (C2)
6. Câu hỏi ôn tập
MITRE ATT&CK Technique T1204 liên quan đến kỹ thuật tấn công nào?
✅ Đáp án: user execution
7. Kết luận & Gợi ý triển khai thực tế
Để phòng chống kỹ thuật tấn công T1204 – User Execution, các tổ chức nên:
- Đào tạo nhận thức người dùng để tránh mở file lạ, liên kết đáng ngờ.
- Kết hợp giám sát endpoint (EDR) và network (NDR) để phát hiện hành vi sau khai thác.
- Tích hợp MITRE ATT&CK framework vào hệ thống SIEM để gán ngữ cảnh chiến thuật cho cảnh báo.
- Phân tích sandbox file đáng ngờ trước khi cho phép mở.
Nếu bạn là kỹ sư SOC, phân tích mã độc hay kiến trúc sư an ninh, việc hiểu rõ từng kỹ thuật MITRE ATT&CK như T1204 là yếu tố bắt buộc trong việc xây dựng hệ thống phòng thủ hiệu quả. Hãy tích hợp tri thức từ MITRE cùng các công cụ như Snort, AMP, Umbrella để phát hiện sớm và phản ứng nhanh trước mã độc tinh vi như ObliqueRAT.
Attached Files