-
09/04/2020
-
112
-
1.106 bài viết
Buterat Backdoor – Mối đe dọa dai dẳng trong mạng doanh nghiệp
Một biến thể backdoor tinh vi mang tên Backdoor.WIN32.Buterat đang nổi lên như mối đe dọa nghiêm trọng đối với mạng doanh nghiệp, thể hiện các kỹ thuật ẩn mình và bám trụ nâng cao, cho phép kẻ tấn công duy trì quyền truy cập trái phép lâu dài trên các hệ thống bị xâm nhập. Malware này nhắm vào môi trường chính phủ và doanh nghiệp thông qua các chiến dịch phishing tinh vi, tệp đính kèm email độc hại và phần mềm tải xuống đã bị trojan hóa. Khác với các malware thông thường chỉ tập trung gây hư hại hoặc đánh cắp dữ liệu ngay lập tức, Buterat ưu tiên hoạt động kín đáo, duy trì lâu dài và mở backdoor cho các payload bổ sung.
Backdoor này thiết lập các kênh liên lạc mã hóa với máy chủ điều khiển từ xa, cho phép kẻ tấn công thực thi các lệnh tùy ý, triển khai payload bổ sung và di chuyển ngang qua cơ sở hạ tầng mạng, đồng thời né tránh các cơ chế phát hiện truyền thống. Các nhà nghiên cứu của Point Wild đã phân tích mẫu malware có hash SHA-256 f50ec4cf0d0472a3e40ff8b9d713fb0995e648ecedf15082a88b6e6f1789cdab, tiết lộ rằng nó được biên dịch bằng Borland Delphi và áp dụng nhiều kỹ thuật obfuscation tinh vi, làm khó việc phân tích tĩnh và phát hiện bằng chữ ký.
Cơ chế thực thi của Buterat (Nguồn – Point Wild)
Trong quá trình thực thi, malware ngụy trang các tiến trình dưới các tác vụ hệ thống hợp pháp và chỉnh sửa registry để bám trụ qua các lần khởi động lại máy. Buterat sử dụng các phương pháp thao tác luồng nâng cao, đặc biệt là các API SetThreadContext và ResumeThread, để kiểm soát chính xác luồng mà không tạo tiến trình mới hay thay đổi entry point gốc. Nhờ đó, backdoor có thể chiếm quyền các luồng hiện có một cách liền mạch, khiến các hệ thống phân tích hành vi khó phát hiện hơn nhiều. Đây là cơ chế né tránh tinh vi, vượt qua các hệ thống phát hiện hành vi nhẹ thường được triển khai trong môi trường doanh nghiệp.
Trong quá trình lây nhiễm, Buterat thả nhiều tệp thực thi như amhost.exe, bmhost.exe, cmhost.exe, dmhost.exe và một loader tên ngẫu nhiên lqL1gG.exe vào thư mục người dùng, tạo ra nhiều điểm bám trụ dự phòng. Malware còn liên tục tạo các scheduled task để tự chạy sau mỗi vài giờ hoặc theo thời gian định trước, đồng thời thêm shortcut vào Start Menu và sửa registry để đảm bảo khởi động cùng hệ thống.
Khi hoạt động, Buterat liên lạc với máy chủ điều khiển tại http://ginomp3.mooo.com/, gửi và nhận payload trong các gói dữ liệu nhỏ, có mã hóa tùy chỉnh để né các công cụ kiểm tra mạng. Điều này cho phép kẻ tấn công điều khiển từ xa, thu thập dữ liệu, triển khai công cụ bổ sung, và di chuyển ngang trong mạng mà không bị phát hiện
Các biện pháp phòng thủ hiệu quả trước malware Buterat:
Backdoor này thiết lập các kênh liên lạc mã hóa với máy chủ điều khiển từ xa, cho phép kẻ tấn công thực thi các lệnh tùy ý, triển khai payload bổ sung và di chuyển ngang qua cơ sở hạ tầng mạng, đồng thời né tránh các cơ chế phát hiện truyền thống. Các nhà nghiên cứu của Point Wild đã phân tích mẫu malware có hash SHA-256 f50ec4cf0d0472a3e40ff8b9d713fb0995e648ecedf15082a88b6e6f1789cdab, tiết lộ rằng nó được biên dịch bằng Borland Delphi và áp dụng nhiều kỹ thuật obfuscation tinh vi, làm khó việc phân tích tĩnh và phát hiện bằng chữ ký.
Cơ chế thực thi của Buterat (Nguồn – Point Wild)
Trong quá trình thực thi, malware ngụy trang các tiến trình dưới các tác vụ hệ thống hợp pháp và chỉnh sửa registry để bám trụ qua các lần khởi động lại máy. Buterat sử dụng các phương pháp thao tác luồng nâng cao, đặc biệt là các API SetThreadContext và ResumeThread, để kiểm soát chính xác luồng mà không tạo tiến trình mới hay thay đổi entry point gốc. Nhờ đó, backdoor có thể chiếm quyền các luồng hiện có một cách liền mạch, khiến các hệ thống phân tích hành vi khó phát hiện hơn nhiều. Đây là cơ chế né tránh tinh vi, vượt qua các hệ thống phát hiện hành vi nhẹ thường được triển khai trong môi trường doanh nghiệp.
Trong quá trình lây nhiễm, Buterat thả nhiều tệp thực thi như amhost.exe, bmhost.exe, cmhost.exe, dmhost.exe và một loader tên ngẫu nhiên lqL1gG.exe vào thư mục người dùng, tạo ra nhiều điểm bám trụ dự phòng. Malware còn liên tục tạo các scheduled task để tự chạy sau mỗi vài giờ hoặc theo thời gian định trước, đồng thời thêm shortcut vào Start Menu và sửa registry để đảm bảo khởi động cùng hệ thống.
Khi hoạt động, Buterat liên lạc với máy chủ điều khiển tại http://ginomp3.mooo.com/, gửi và nhận payload trong các gói dữ liệu nhỏ, có mã hóa tùy chỉnh để né các công cụ kiểm tra mạng. Điều này cho phép kẻ tấn công điều khiển từ xa, thu thập dữ liệu, triển khai công cụ bổ sung, và di chuyển ngang trong mạng mà không bị phát hiện
Các biện pháp phòng thủ hiệu quả trước malware Buterat:
- Kết hợp giải pháp phát hiện theo chữ ký và phân tích hành vi: Sử dụng EDR để cảnh báo khi có các hành vi bất thường như thao tác luồng tiến trình hay gọi API lạ
- Giám sát mạng chặt chẽ: Phát hiện các kết nối HTTP đáng ngờ ra ngoài, đặc biệt tới các domain hoặc IP chưa xác định
- Tinh chỉnh hệ thống IDS/IPS: Theo dõi các thay đổi bất thường trên registry và sự xuất hiện của các file thực thi lạ.
- Sử dụng cơ chế cho phép chạy ứng dụng (application allowlisting): Ngăn các chương trình hoặc binary không được phép chạy trên hệ thống.
- Giám sát tính toàn vẹn tệp (file integrity monitoring): Giám sát sự xuất hiện hoặc thay đổi của các file như amhost.exe và các biến thể của nó.
- Thực hiện tìm kiếm mối đe dọa chủ động: Chủ động tìm kiếm dấu hiệu tiêm code vào luồng tiến trình, hành vi tiến trình bất thường hoặc các chỉ dấu xâm nhập mà malware có thể để lại. Mục tiêu là phát hiện và loại bỏ backdoor trước khi nó bám rễ sâu và gây thiệt hại rộng.
Tổng hợp