Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Phân tích kỹ thuật: supply chain attack nhắm eScan

    Bài viết nguồn mô tả một sự cố tấn công chuỗi cung ứng ảnh hưởng đến sản phẩm antivirus eScan của MicroWorld Technologies, trong đó tác nhân đe dọa chiếm quyền hạ tầng cập nhật hợp pháp để phát tán gói update bị trojan hóa. Sự cố được Morphisec công bố phát hiện ngày 20/01/2026 và nhắm cả endpoint doanh nghiệp lẫn người dùng cá nhân. Điểm đáng chú ý là mã độc không chỉ cài foothold mà còn chủ động phá cơ chế tự khắc phục bằng cách chặn cập nhật và can thiệp cấu hình eScan.

    Nguồn tham khảo: AdSecVN

    1) Tóm tắt tác động
    • Kênh update chính thống bị lợi dụng để phân phối payload độc hại.
    • Mã độc được triển khai theo nhiều giai đoạn, có persistence và defense evasion.
    • Có cơ chế anti-remediation: chặn máy nạn nhân truy cập hạ tầng update và làm hỏng khả năng cập nhật của eScan, khiến dọn dẹp tự động không hiệu quả.

    2) Chuỗi tấn công (multi-stage) theo mô tả trong bài

    Giai đoạn 1: Trojan hóa thành phần update, lợi dụng chữ ký số hợp lệ
    • Thành phần bị thay thế là Reload.exe (32-bit).
    • Điểm nguy hiểm: file độc hại được ký bằng chứng chỉ hợp lệ thuộc eScan Microworld Technologies Inc., giúp vượt qua một số kiểm tra trust mặc định của hệ điều hành và các lớp kiểm soát dựa vào chữ ký.
    Giai đoạn tiếp theo: Thả downloader để kéo payload bổ sung
    • Payload stage đầu thả downloader tên CONSCTLX.exe.
    • Vai trò: mở đường cho tải thêm payload từ hạ tầng điều khiển, nghĩa là footprint ban đầu có thể chỉ là bước đệm.
    Giai đoạn persistence + defense evasion
    Sử dụng PowerShell và can thiệp Windows Registry để:
    • thiết lập bám trụ,
    • vô hiệu hóa hoặc làm suy yếu cơ chế phòng thủ,
    • tạo điều kiện chạy lại sau reboot.
    Lưu ý: bài AdSecVN mô tả thứ tự giai đoạn hơi đảo (nhắc giai đoạn 3 trước giai đoạn 2), nhưng về bản chất đây là mô hình trojanized updater → downloader → persistence/evade → fetch thêm payload.

    3) Anti-remediation: phá cơ chế cập nhật để kẹt trạng thái nhiễm
    Đây là phần cần chú ý nhất về mặt vận hành IR:
    • Mã độc sửa file hosts để chặn kết nối tới máy chủ cập nhật eScan, khiến endpoint không nhận được định nghĩa và bản vá mới.
    • Đồng thời chỉnh Registry và một số file cấu hình của eScan nhằm phá vỡ cơ chế update một cách dai dẳng.
    • Hệ quả: ngay cả khi nhà cung cấp khôi phục hạ tầng update, các máy đã nhiễm vẫn có thể không tự phục hồi được nếu không can thiệp thủ công.

    4) Persistence artifacts được nêu rõ
    Scheduled Tasks ngụy trang
    • Tạo scheduled task đặt trong C:\Windows\Defrag\
    • Có mẫu tên giống tiến trình hợp pháp, ví dụ task path kiểu Windows\Defrag\CorelDefrag
    Registry persistence
    • Dưới HKLM\Software\ xuất hiện các key tên dạng GUID ngẫu nhiên.
    • Các key này chứa payload PowerShell được mã hóa, được lưu dưới dạng dữ liệu byte array.

    5) IOCs và dấu hiệu cần hunt
    Bài nguồn không cung cấp hash, cũng không công bố domain C2 cụ thể, nên phần IOC chỉ dừng ở artifacts phía host.

    File và đường dẫn
    • Reload.exe (32-bit) bị thay thế/trojan hóa
    • CONSCTLX.exe
    • Thư mục liên quan scheduled tasks: C:\Windows\Defrag\ và các biến thể như C:\Windows\Defrag\CorelDefrag
    Registry
    • HKLM\Software\ xuất hiện key GUID ngẫu nhiên chứa byte array đại diện cho PowerShell encoded
    • Các khóa và cấu hình eScan bị chỉnh để phá update
    C2
    • Không có danh sách domain cụ thể trong bài AdSecVN (phần domain chỉ là minh họa định dạng), vì vậy không nên tạo IOC từ mục này.

    6) Ứng phó khẩn cấp (gợi ý theo hướng vận hành)
    • Khoanh vùng: coi các máy chạy eScan và có hoạt động cập nhật vào hoặc sau 20/01/2026 là diện cần kiểm tra ưu tiên.
    • Cô lập các endpoint nghi nhiễm khỏi mạng doanh nghiệp nếu thấy downloader, scheduled task lạ, hoặc dấu hiệu anti-remediation.
    • Gỡ persistence:
      • xóa scheduled task bất thường dưới nhánh Defrag,
      • xử lý key GUID dưới HKLM\Software\ sau khi xác minh là độc hại,
      • hoàn nguyên file hosts và cấu hình eScan bị chỉnh.
    • Vì cơ chế update có thể đã bị phá: liên hệ nhà cung cấp để lấy hướng dẫn và bản vá thủ công, hoặc thực hiện reinstall từ bộ cài sạch theo khuyến nghị của vendor.
    • Sau khi dọn: kiểm tra lại khả năng cập nhật của eScan, rà soát telemetry PowerShell, và hunting hoạt động tải payload tiếp theo vì CONSCTLX.exe được mô tả là downloader.

    7) Bài học phòng thủ cho các đội vận hành
    • Supply chain update là đường vào có độ tin cậy cao, nên cần thêm lớp giám sát thay đổi bất thường sau update: scheduled tasks mới, registry persistence mới, PowerShell encoded, thay đổi file hosts.
    • Không phụ thuộc duy nhất vào chữ ký số của vendor để kết luận an toàn. Chữ ký hợp lệ vẫn có thể bị lạm dụng trong kịch bản compromise kênh phân phối.
    • Nên có canary ring cho cập nhật: rollout theo nhóm nhỏ, theo dõi anomaly trước khi đẩy rộng.​

    Click image for larger version Name: Gemini_Generated_Image_kqdlg4kqdlg4kqdl.png Views: 0 Size: 22.6 KB ID: 438599
    Last edited by Hồ Trần Hải Nguyên; 30-01-2026, 11:45 AM.
    Tags: None
Previous template Next
Working...
X