Daxin: Một phần mềm độc hại có liên quan đến Trung Quốc rất nguy hiểm và gần như không thể phát hiện

Nhóm tìm kiếm các mối đe dọa của Symantec đã báo cáo việc phát hiện ra một phần mềm độc hại mới có tên là Backdoor.Daxin mà họ cho là có liên quan đến Trung Quốc và cho biết nó “thể hiện sự phức tạp về kỹ thuật chưa từng thấy trước đây”.

Daxin là một phần mềm độc hại cửa hậu cho phép bộ điều khiển của nó cài đặt thêm phần mềm độc hại, có khả năng đào đường hầm mạng, có thể chuyển tiếp thông tin liên lạc qua các nút bị nhiễm, có thể chiếm đoạt các kết nối TCP / IP hợp pháp và nói cách khác là một đoạn mã cực kỳ phức tạp.

Gần đây nhất là vào tháng 11 năm 2021, Daxin đã tham gia vào các cuộc tấn công liên quan đến các tác nhân Trung Quốc, nói chung là nhằm vào các mục tiêu có giá trị chiến lược đối với Trung Quốc. Nó cũng đã được phát hiện trong hệ thống các nạn nhân gồm các lĩnh vực viễn thông, giao thông vận tải và sản xuất. Thật không may nếu nghĩ rằng đó là một mối đe dọa mới chưa lan rộng.

Symantec cho biết Daxin đã xuất hiện dưới một số hình thức từ khoảng năm 2013. Thời gian xuất hiện và tồn tại của nó có thể cho thấy cách nó lây nhiễm các mục tiêu, bằng cách ngụy trang thành một trình điều khiển Windows độc hại, mà Symantec lưu ý là tương đối hiếm đối với phần mềm độc hại hiện đại.

Một cuộc tấn công có thể bắt nguồn từ Trung Quốc sử dụng Daxin, là cuộc tấn công vào tháng 11 năm 2019 nhằm vào một công ty CNTT giấu tên, trong đó những kẻ tấn công đã sử dụng một công cụ phần mềm độc hại khác của Trung Quốc có tên là Owlproxy. Một trường hợp khác vào tháng 5 năm 2020, Daxin và một bản cài đặt Owlproxy đều được tìm thấy trên một máy tính tại một công ty công nghệ không tên tuổi khác. Cuối cùng, vào tháng 7 năm 2020, một cuộc tấn công thất bại nhằm vào một mục tiêu quân sự liên quan đến hai nỗ lực cài đặt một "trình điều khiển đáng ngờ" trước khi rơi trở lại trojan Emulov. Mặc dù không chắc chắn có liên quan đến Trung Quốc hoặc Daxin, Symantec cho biết hành vi này tương tự đến mức cho thấy Daxin có liên quan.

“Xem xét khả năng của nó và bản chất của các cuộc tấn công đã triển khai, Daxin dường như được tối ưu hóa để sử dụng chống lại các mục tiêu được tăng cường, cho phép những kẻ tấn công đào sâu vào mạng của mục tiêu và lấy sạch dữ liệu mà không làm dấy lên nghi ngờ,” Symantec nói.

Daxin độc hại như thế nào

Như đã đề cập ở trên, Daxin là một phần mềm độc hại phức tạp cho thấy kỹ năng chuyên nghiệp của các nhà phát triển. Symantec mô tả nó có một loạt các khả năng hẹp, nhưng những thứ mà nó làm được lại hoạt động cực kỳ tốt.

Lấy ví dụ, cách Daxin giao tiếp mà không bị chú ý: Nó chiếm quyền điều khiển các phiên TCP / IP. Daxin thực hiện điều này bằng cách giám sát lưu lượng truy cập, tìm kiếm các mẫu nhất định và sau đó ngắt kết nối người nhận ban đầu. Một khi nó nắm bắt được lưu lượng truy cập, nó sẽ thực hiện trao đổi khóa (key exchange) theo cách mà Symantec cho biết nó “có thể vừa là người khởi xướng vừa là mục tiêu của trao đổi khóa”.

Phương pháp này cho phép Daxin tránh các quy tắc tường lửa nghiêm ngặt bằng cách chiếm đoạt lưu lượng truy cập hợp pháp và nó cũng giảm thiểu khả năng các nhóm bảo mật nhận thấy bất kỳ sự bất thường nào về mạng.

Nói về giao tiếp, Daxin cũng có thể đóng gói các gói mạng thô (raw network packets) theo cách mà bất kỳ gói phản hồi nào được gửi đều được chuyển tiếp tới kẻ tấn công, cho phép chúng giao tiếp với các dịch vụ hợp pháp trên mạng của máy bị nhiễm.

Điều mà Symantec gọi là tính năng thú vị nhất của Daxin là khả năng  thực hiện các bước nhảy trên nhiều nút bị nhiễm chỉ với một lệnh duy nhất. Symantec cho biết, nhảy xung quanh một mạng bị xâm nhập là điển hình, nhưng không phải trong một hành động nào; hầu hết những kẻ tấn công nhận được từ nút này sang nút khác tại một thời điểm.

Tuy nhiên, với Daxin, “quá trình này là một hoạt động đơn lẻ, cho thấy phần mềm độc hại được thiết kế để tấn công vào các mạng được bảo vệ tốt, nơi những kẻ tấn công có thể cần kết nối lại định kỳ vào các máy tính bị xâm nhập”.

Làm cách nào để không bị nhiễm Daxin?

Symantec không nói nhiều về cách Daxin lây nhiễm các mục tiêu của mình, mặc dù họ đã nói rằng báo cáo của họ về Daxin sẽ gồm nhiều phần, có thể chứa các khuyến nghị về biện pháp khắc phục.

Dựa trên những gì Symantec đã nói trong các ví dụ của mình, bộ điều khiển của Daxin có thể tấn công trực tiếp vào mạng bằng các công cụ như PsExec (được sử dụng trong trường hợp năm 2019) thay vì gieo mầm các tài liệu độc hại và dựa vào người dùng để mở chúng.

Với lưu ý đó, việc giữ an toàn cho mạng khỏi Daxin có thể yêu cầu tuân theo các phương pháp hay nhất về an ninh mạng đã biết, cũng như các phương pháp hay nhất cụ thể cho các doanh nghiệp như SMB và cho các mạng chuyên biệt như IC, / IIoT và OT.

Nguồn: TechRepublic