Tweet
Chuỗi tấn công Windows: Defender → Run key → Firewall
1. Mục tiêu bài viết
Bài viết này nhằm chia sẻ lại một case điều tra trên Windows, tập trung vào chuỗi kỹ thuật phổ biến mà kẻ tấn công hay dùng ở giai đoạn đầu: làm suy yếu phòng thủ (Defender) → tạo điểm bám (persistence) → mở đường mạng (Firewall).
2. Nhận diện mẫu & lưu ý về HackTool/PUA
Theo tra cứu hash trên nền tảng cộng đồng, mẫu có liên quan tới Defender Control (dControl.exe) / biến thể và thường bị gắn nhãn HackTool/PUA.
Điểm quan trọng là: nhãn PUA/HackTool không tự động đồng nghĩa không nguy hiểm. Trong thực tế, nhiều chiến dịch tấn công dùng các tool kiểu này để:
3. Các kỹ thuật đáng chú ý trong case này
3.1. Vô hiệu hóa Windows Defender bền vững
Thay vì chỉ dừng dịch vụ, mẫu trojan này phá khả năng tự phục hồi của Defender bằng cách can thiệp cấu hình dịch vụ:
Mẫu thiết lập persistence bằng cách ghi vào Run key, nhằm khởi chạy lại sau reboot. Đây là kỹ thuật phổ thông nhưng vẫn rất hiệu quả.
3.3. Thao túng Windows Firewall
Một hành vi khác thường thấy trong backdoor/RAT là điều chỉnh firewall rule để:
5. Gợi ý phát hiện trong môi trường doanh nghiệp
Nếu đang vận hành SOC/EDR/SIEM, có thể ưu tiên các hướng sau:
Bài viết này nhằm chia sẻ lại một case điều tra trên Windows, tập trung vào chuỗi kỹ thuật phổ biến mà kẻ tấn công hay dùng ở giai đoạn đầu: làm suy yếu phòng thủ (Defender) → tạo điểm bám (persistence) → mở đường mạng (Firewall).
2. Nhận diện mẫu & lưu ý về HackTool/PUA
Theo tra cứu hash trên nền tảng cộng đồng, mẫu có liên quan tới Defender Control (dControl.exe) / biến thể và thường bị gắn nhãn HackTool/PUA.
Điểm quan trọng là: nhãn PUA/HackTool không tự động đồng nghĩa không nguy hiểm. Trong thực tế, nhiều chiến dịch tấn công dùng các tool kiểu này để:
- giảm khả năng bị phát hiện của endpoint,
- mở đường cho payload chính (RAT/ransomware/infostealer),
- hoặc giúp duy trì quyền kiểm soát.
3. Các kỹ thuật đáng chú ý trong case này
3.1. Vô hiệu hóa Windows Defender bền vững
Thay vì chỉ dừng dịch vụ, mẫu trojan này phá khả năng tự phục hồi của Defender bằng cách can thiệp cấu hình dịch vụ:
- Phá cơ chế phục hồi (Service Recovery sabotage)
Trên Windows, service có cơ chế recovery để tự khởi động lại khi gặp lỗi hoặc dừng bất thường. Khi bị can thiệp (ví dụ cấu hình hành vi sau failure), Defender có thể rơi vào trạng thái không thể tự bật lại như bình thường. - Can thiệp quyền (ACL/Security Descriptor tampering)
Đây là phần hay bị bỏ qua: nếu kẻ tấn công chỉnh Security Descriptor của service, quản trị viên có thể gặp tình trạng bị Access Denied khi cố bật lại dịch vụ mặc dù vẫn đang có quyền admin.
Mẫu thiết lập persistence bằng cách ghi vào Run key, nhằm khởi chạy lại sau reboot. Đây là kỹ thuật phổ thông nhưng vẫn rất hiệu quả.
3.3. Thao túng Windows Firewall
Một hành vi khác thường thấy trong backdoor/RAT là điều chỉnh firewall rule để:
- tạo ngoại lệ cho tiến trình/port/traffic,
- hoặc làm suy yếu rule hiện có,
- từ đó giúp kết nối ra ngoài (C2) mượt mà hơn, ít bị chặn.
- SHA-256: 6da3064773edf094f014b7aa13f2e3f74634f62552a91f88bf 306f962bbf0563
- Dấu vết rule firewall (GUID): 52a39caa-fbf8-4e0c-8355-ab73852f67c7
5. Gợi ý phát hiện trong môi trường doanh nghiệp
Nếu đang vận hành SOC/EDR/SIEM, có thể ưu tiên các hướng sau:
- Theo dõi thay đổi bất thường liên quan WinDefend (dịch vụ Defender) và các chỉnh sửa cấu hình phục hồi/quyền của service.
- Theo dõi persistence qua các vị trí autorun phổ biến (đặc biệt Run/RunOnce).
- Theo dõi thay đổi FirewallPolicy/SharedAccess và các đợt thêm/xóa rule bất thường, nhất là khi trùng thời điểm với:
- Defender bị vô hiệu hóa,
- xuất hiện tiến trình/nhị phân lạ,
- hoặc có outbound traffic đáng ngờ.
- Cô lập máy nghi ngờ để hạn chế C2/lateral movement.
- Triage persistence (Run key, scheduled task, service lạ, startup folder…).
- Khôi phục lớp phòng thủ:
- rà lại Defender/service config + quyền,
- rà và reset firewall rule (theo chuẩn vận hành).
- Hunting mở rộng theo outbound connections, parent/child process, và nguồn gốc file (download/email/USB…).
- Đánh giá rủi ro credential (đặc biệt nếu nghi có RAT/infostealer).