Sử dụng HTTP Cookies nhằm đạt được khả năng thực thi mã từ xa

Kính gửi Quý khách hàng và Cộng đồng,

Bài viết của Microsoft Defender Security Research Team đã phơi bày một phương thức tấn công tinh vi và khó phát hiện, trong đó các tác nhân đe dọa đang ngày càng sử dụng HTTP cookies làm kênh điều khiển cho các web shell dựa trên PHP trên máy chủ Linux, nhằm đạt được khả năng thực thi mã từ xa (remote code execution).

Cơ chế hoạt động và tính ẩn danh

Kênh điều khiển qua Cookie: Thay vì lộ rõ các lệnh qua tham số URL hoặc phần thân yêu cầu (request bodies), các web shell này sử dụng giá trị cookie do kẻ tấn công cung cấp để kiểm soát việc thực thi, truyền tải các lệnh và kích hoạt chức năng độc hại.

Mã độc đã bị ngủ đông: Điểm mấu chốt của kỹ thuật này là mã độc có thể nằm im lìm (dormant) trong quá trình ứng dụng hoạt động bình thường và chỉ được kích hoạt khi có các giá trị cookie cụ thể. Điều này giúp mã độc tránh bị phát hiện bởi các công cụ giám sát thông thường.

Tận dụng Superglobal $_COOKIE: Kẻ tấn công lợi dụng việc các giá trị cookie có sẵn tại thời điểm chạy thông qua biến siêu toàn cục $_COOKIE trong PHP. Điều này cho phép các đầu vào do kẻ tấn công cung cấp được sử dụng mà không cần phân tích cú pháp bổ sung, giúp giảm thiểu dấu vết và dễ dàng hòa lẫn vào lưu lượng truy cập web thông thường.

Khả năng duy trì quyền truy cập (Persistence) và Tự phục hồi

Truy cập ban đầu: Trong nhiều trường hợp, kẻ tấn công đạt được quyền truy cập ban đầu vào môi trường Linux của nạn nhân thông qua thông tin đăng nhập hợp lệ hoặc khai thác các lỗ hổng bảo mật đã biết.

Cron Job để Tái tạo liên tục: Sau khi có quyền truy cập, kẻ tấn công sẽ thiết lập một cron job – một tác vụ được lên lịch tự động – để định kỳ gọi một quy trình shell, quy trình này sẽ thực thi một PHP loader được mã hóa.

Kiến trúc “Tự phục hồi”: Kiến trúc này cho phép PHP loader được tái tạo liên tục bởi tác vụ đã lên lịch, ngay cả khi nó bị xóa trong quá trình dọn dẹp hoặc khắc phục. Điều này tạo ra một kênh thực thi mã từ xa đáng tin cậy và bền bỉ. Loader PHP sẽ vẫn không hoạt động trong lưu lượng truy cập bình thường và chỉ kích hoạt khi nhận được yêu cầu HTTP có giá trị cookie cụ thể.

Các biến thể triển khai của Cookie-Controlled Web Shell

Bài viết chỉ ra ba mô hình triển khai chính của mô hình thực thi được kiểm soát bằng cookie này:

PHP loader phức tạp: Một PHP loader sử dụng nhiều lớp mã hóa và kiểm tra thời gian chạy (runtime checks) trước khi phân tích cú pháp đầu vào cookie có cấu trúc để thực thi tải trọng thứ cấp được mã hóa.

Script PHP phân đoạn dữ liệu: Một script PHP phân đoạn dữ liệu cookie có cấu trúc để tái tạo các thành phần vận hành như xử lý tệp (file handling) và chức năng giải mã, sau đó ghi và thực thi tải trọng thứ cấp vào đĩa.

Script PHP với cookie đánh dấu: Một script PHP sử dụng một giá trị cookie duy nhất làm dấu hiệu để kích hoạt các hành động do kẻ tấn công kiểm soát, bao gồm thực thi đầu vào được cung cấp và tải tệp lên.

Đặc điểm và Kỹ thuật ẩn danh chung

Mã hóa (Obfuscation): Tất cả các triển khai đều sử dụng mã hóa để che giấu các chức năng nhạy cảm.

Kiểm soát dựa trên Cookie (Cookie-based Gating): Dùng cookie để khởi tạo các hành động độc hại.

Dấu vết tương tác tối thiểu: Giảm thiểu đáng kể dấu vết để lại trong các nhật ký ứng dụng thông thường, giúp kẻ tấn công khó bị phát hiện hơn.

Lợi dụng các đường dẫn hợp pháp: Kẻ tấn công không dựa vào các chuỗi khai thác phức tạp mà tận dụng các đường dẫn thực thi hợp pháp đã có sẵn trong môi trường, bao gồm các tiến trình máy chủ web, các thành phần bảng điều khiển quản trị (control panel components) và hạ tầng cron, để dàn dựng và duy trì mã độc.

Hậu quả và Thách thức bảo mật

Việc chuyển hướng logic kiểm soát vào cookie giúp kẻ tấn công đạt được quyền truy cập bền bỉ sau khi xâm nhập, đồng thời né tránh nhiều biện pháp kiểm tra và ghi nhật ký truyền thống.

Các kỹ thuật này biến lưu lượng truy cập tưởng chừng vô hại trở thành một kênh chỉ huy và kiểm soát bí mật, gây khó khăn cho việc phát hiện và phản ứng.

Các khuyến nghị của Tadu Cloud

Để đối phó với mối đe dọa này, Tadu Cloud khuyến nghị mạnh mẽ các biện pháp sau:

Xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả các bảng điều khiển quản lý dịch vụ hosting, truy cập SSH và các giao diện quản trị khác.

Giám sát hoạt động đăng nhập bất thường: Theo dõi chặt chẽ mọi hoạt động đăng nhập không điển hình trên hệ thống.

Hạn chế thực thi trình thông dịch shell: Áp dụng các chính sách hạn chế việc thực thi các trình thông dịch shell (shell interpreters) trên các máy chủ web.

Kiểm tra và kiểm toán Cron Jobs: Thường xuyên kiểm tra và kiểm toán các cron job và các tác vụ theo lịch trình trên tất cả các máy chủ web để phát hiện bất kỳ mục nhập đáng ngờ nào.

Kiểm tra tạo tệp đáng ngờ: Kiểm tra sự xuất hiện của các tệp đáng ngờ trong các thư mục web.

Hạn chế khả năng shell của bảng điều khiển: Giới hạn khả năng thực thi shell của các bảng điều khiển quản lý dịch vụ hosting.

Là nhà cung cấp dịch vụ đám mây, Tadu Cloud cam kết bảo vệ môi trường của khách hàng khỏi những mối đe dọa ngày càng tinh vi này. Chúng tôi liên tục cập nhật các giải pháp bảo mật, triển khai các công cụ giám sát nâng cao và tư vấn cho khách hàng về các biện pháp phòng ngừa tốt nhất. Việc hiểu rõ các kỹ thuật tấn công như web shell điều khiển bằng cookie là bước đầu tiên để xây dựng một hàng rào phòng thủ vững chắc.

Trân trọng,Tadu Cloud.