Phát hiện malware mới tấn công trình duyệt thông qua traffic đi qua HTTPS

Được đặt tên là Reductor, phần mềm độc hại này có thể thao túng lưu lượng HTTPS bằng cách điều chỉnh trình tạo số ngẫu nhiên của trình duyệt.

Các nhà nghiên cứu đã phát hiện ra một chủng phần mềm độc hại mới, được đặt tên là Reductor, cho phép tin tặc thao túng lưu lượng Hypertext Transfer Protocol Secure (HTTPS) bằng cách điều chỉnh trình tạo số ngẫu nhiên của trình duyệt, được sử dụng để đảm bảo kết nối riêng giữa máy khách và máy chủ.

Sau khi bị lây nhiễm, Reductor được sử dụng để theo dõi hoạt động trình duyệt của nạn nhân, Nhóm nghiên cứu và phân tích toàn cầu (GReAT) tại Kaspersky, đã phát hiện ra phần mềm độc hại. Các nhà nghiên cứu cho biết Reductor đang được sử dụng cho các hoạt động gián điệp mạng trên các thực thể ngoại giao là một phần của các nước cộng hòa hậu Xô Viết được gọi là Liên bang các quốc gia độc lập.

Mặc dù độc đáo, các nhà nghiên cứu cho biết Reductor có mối quan hệ chặt chẽ với trojan COMpfun. Phần mềm độc hại COMpfun ban đầu  được các nhà nghiên cứu tại G-DATA ghi nhận vào năm 2014. Kể từ đó, Kaspersky đã liên kết COMpfun với nhóm đe dọa tồn tại tiên tiến nói tiếng Nga Turla (còn gọi là Rắn, Gấu Venom, Gấu nước và Uroboros). Tuy nhiên, Kaspersky cho biết một liên kết trực tiếp đến Turla là không rõ ràng. Làn sóng lây nhiễm Reductor gần đây nhất bắt đầu vào tháng 4 năm 2019 và đã tiếp tục thông qua việc phát hành báo cáo nghiên cứu của Kaspersky vào thứ năm.

Điều làm cho Reductor trở nên thông minh, các nhà nghiên cứu cho biết, là cách những kẻ tấn công đã quản lý để cài đặt phần mềm độc hại trên các hệ thống được nhắm mục tiêu và cách chúng đã xoay sở để tránh các biện pháp bảo vệ HTTPS.

Đầu tiên trong hai vectơ tấn công chính để phân phối phần mềm độc hại cho nạn nhân của nó là thông qua các hệ thống bị nhiễm COMpfun kéo xuống và cài đặt phiên bản phần mềm độc hại. Vectơ tấn công thứ hai xảy ra khi mục tiêu tải xuống phần mềm từ các trang web của bên thứ ba.

Rõ ràng kẻ tấn công có khả năng vá phần mềm sạch trong khi nó đang được tải xuống từ các trang web hợp pháp vào máy tính của người dùng, các nhà nghiên cứu của chuyên gia cho biết. Phần mềm cài đặt phần mềm đến từ các trang web warez, nơi cung cấp tải xuống miễn phí phần mềm lậu. Mặc dù các trình cài đặt ban đầu có sẵn trên các trang web đó không bị lây nhiễm, nhưng cuối cùng chúng sẽ xuất hiện trên các PC của nạn nhân mang phần mềm độc hại.

Các nhà nghiên cứu kết luận rằng việc thay thế trình cài đặt phần mềm diễn ra nhanh chóng và các nhà khai thác của Red Reductor có một số quyền kiểm soát đối với kênh mạng của mục tiêu.

Khi một hệ thống bị nhiễm, Reductor chuyển sang giám sát thông tin liên lạc trên internet. Nó thực hiện điều này bằng cách vá các ứng dụng tạo số ngẫu nhiên giả của trình duyệt, được sử dụng để mã hóa lưu lượng giữa trình duyệt của người dùng và trang web thông qua HTTPS. Nói cách khác, thay vì cố gắng tự thao tác các gói mạng, đối thủ nhắm vào trình duyệt Firefox và Chrome và các hàm tạo số ngẫu nhiên giả của chúng.

Họ không chạm vào các gói mạng; thay vào đó, các nhà phát triển đã phân tích mã nguồn Firefox và mã nhị phân Chrome để vá các hàm tạo số ngẫu nhiên giả tương ứng trong bộ nhớ của quy trình, các nhà nghiên cứu đã viết.

Tạo số ngẫu nhiên giả (PRNG) được sử dụng trong suốt quá trình mã hóa. Trong trường hợp này, nó được sử dụng trong quá trình tạo kết nối HTTPS an toàn giữa máy khách và máy chủ hoặc trình duyệt và trang web. Sau khi một trình duyệt và trang web đàm phán handshake TLS, PRNG sẽ tạo ra một bí mật (hoặc số) tiền chính ngẫu nhiên sẽ được sử dụng để bảo mật kết nối. Bí mật tiền chủ cần không thể đoán trước để kết nối được an toàn.

Đây là nơi Reductor bước vào và có thể làm cho những dự đoán không thể đoán trước.

Các trình duyệt có thể sử dụng PRNG để tạo chuỗi ‘máy khách ngẫu nhiên’ cho gói mạng ngay khi bắt đầu bắt tay TLS. Reductor giải thích thêm phần cứng duy nhất được mã hóa – và các định danh dựa trên phần mềm cho các nạn nhân vào trường ‘ngẫu nhiên khách hàng’ này, các nhà nghiên cứu của Kaspersky Kaspersky giải thích.

Để vá (hoặc thao tác) các chức năng PRNG của hệ thống được nhắm mục tiêu, các nhà phát triển phần mềm độc hại đã sử dụng một trình phân tách chiều dài lệnh nhúng nhỏ của Intel như một phần của chuỗi tấn công. Điều này cho phép họ đặt một ‘id nạn nhân’ nhỏ bên trong các gói TLS.

Các nhà khai thác biết các giá trị này cho mọi nạn nhân, bởi vì nó được xây dựng bằng các chứng chỉ kỹ thuật số của họ, các nhà nghiên cứu của Kaspersky cho biết. Tiếp theo, tác nhân đe dọa nhận được tất cả thông tin và hành động được thực hiện với trình duyệt này, trong khi nạn nhân vẫn không nghi ngờ gì về bất cứ điều gì không mong muốn, Kaspersky viết.

Kurt Baumgartner, nhà nghiên cứu bảo mật tại Kaspersky, lưu ý rằng ông chưa từng thấy các nhà phát triển phần mềm độc hại tương tác với mã hóa trình duyệt theo cách này trước đây.

Mức độ tinh vi được thể hiện bởi người tạo ra Reductor, ông nói, cho thấy một tổ chức chuyên nghiệp cao, thường được liên kết với các diễn viên quốc gia. Chúng tôi kêu gọi tất cả các tổ chức xử lý dữ liệu nhạy cảm để cảnh giác và kiểm tra an ninh thường xuyên, kỹ lưỡng, theo ông Baumgartner.

bình luận

Leave a Comment