Các tổ chức và nhóm bảo mật thường không nhận ra rủi ro còn đến từ các cấu hình trong ứng dụng SaaS chưa được cải thiện. Mới đây, phương pháp tấn công GIFShell xảy ra qua Microsofft Teams là một ví dụ điển hình về cách tác nhân đe doạ có thể khai thác các tính năng và cấu hình hợp pháp khi chưa được thiết lập chính xác. Bài viết này mô tả điều kiện tấn công và các bước cần thiết để chống lại nó.
Phương pháp tấn công
Được phát hiện bởi Bobby Rauch, kỹ thuật tấn công GIFShell cho phép tin tặc khai thác một số tính năng của Microsoft Teams để hoạt động như một C&C cho phần mềm độc hại và lọc dữ liệu bằng cách sử dụng GIF mà không bị EDR và các công cụ giám sát mạng khác phát hiện. Phương thức tấn công này ảnh hưởng đến thiết bị hoặc người dùng đã bị tấn công trước đó.
Các tác nhân độc hại tạo một reverse shell gửi lệnh qua các file GIF được mã hoá bằng base64 trong Teams và nhận kết quả thông qua file GIF truy xuẩt bởi cơ sở hạ tầng của Microsoft.
Cách thức hoạt động
- Để tạo reverse shell, trước tiên, các tác nhân độc hại xâm nhập máy tính để cài mã độc – điều này đồng nghĩa với việc hacker tấn công kỹ nghệ xã hội để người dùng thực thi các lệnh và tải đầu ra lệnh thông qua url GIF để truy cập Microsoft Teams
- Tiếp theo, kẻ tấn công thuê Microsoft Teams, liên hệ với người dùng khác.
- Các tác nhân sử dụng tập lệnh GIFShell ẩn trong các file ảnh để thực thi mã trên máy tính nạn nhân.
- Khi mục tiêu nhận được tin nhắn, tin nhắn và ảnh được lưu trữ trong nhật ký của Microsoft Teams. Microsoft Teams chạy như một tiến trình nền, do đó file thực thi không cần người dùng mục tiêu tương tác mà vẫn có thể thực thi.
- Thành phần theo dõi nhật ký Teams khi tìm thấy file độc hại này, nó sẽ thực thi.
- Các máy chủ của Microsoft sẽ kết nối với máy chủ của kẻ tấn công để lây GIF, được đặt tên bằng cách sử dụng đầu ra được mã hoá base64 trong file thực thi.
- Máy chủ GIFShell của hacker khi nhận được yêu cầu sẽ tự động giải mã dữ liệu cho phép kẻ tấn công xem đầu ra của lệnh chạy trên thiết bị của kẻ tấn công.
Theo báo cáo của Lawrence Abrams trên BleepingComputer, Microsoft đồng ý rằng phương pháp tấn công này là một nguy cơ, tuy nhiên, nó không đủ nghiêm trọng để họ phát hành bản vá khẩn cấp. Công ty cho biết, họ sẽ có phương pháp giảm thiểu rủi ro ở một bản phát hành khác trong tương lai. Tuy thừa nhận vấn đề, nhưng Micosoft khẳng định rằng không có cuộc tấn công thành công tính đến thời điểm hiện tại.
Theo khẳng định của Microsoft, đây thực sự là thách thức mà nhiều tổ chức phải đối mặt – có những cấu hình và tính năng mà các tác nhân đe dọa có thể khai thác nếu không có các cấu hình chặt chẽ. Một vài thay đổi đối với cấu hình có thể ngăn chặn các cuộc tấn công gửi đến từ những người thuê Teams không xác định.
Cách chống lại tấn công
Có những cấu hình bảo mật trong Microsoft, nếu được cải thiện, có thể giúp ngăn chặn kiểu tấn công này.
1.Tắt quyền truy cập bên ngoài: Theo mặc định, Microsoft Teams cho phép tất cả người gửi bên ngoài gửi tin nhắn cho người dùng. Nhiều quản trị viên của tổ chức có thể không biết rằng tổ chức của họ cho phép cộng tác với Teams bên ngoài. Có thể cấu hình lại như sau:
- Tắt quyền truy cập bên ngoài ngăn chặn việc người dùng trong tổ chức tìm, gọi điện, thiết lập cuộc họp với người ngoài tổ chức của bất kỳ miền nào. Mặc dù việc này sẽ gây nhiều trở ngại nhưng có thể bảo vệ tổ chức tốt hơn.
- Tắt các nhóm bên ngoài bắt đầu cuộc họp ngăn chặn việc người dùng Teams của tổ chức giao tiếp với người dùng Teams không được tổ chức quản lý
2.Nhận thông tin kiểm toán thiết bị
Có thể đảm bảo toàn bộ thiết bị của tổ chức mình an toàn bằng cách sử dụng các giải pháp Quản lý lỗ hổng XDR / EDR như Crowdstrike hoặc Tenable. Công cụ bảo mật Endpoint là tuyến phòng thủ đầu tiên để chống lại các hoạt động đáng ngờ chẳng hạn như truy cập vào thư mục nhật ký Teams.
Nguồn https://thehackernews.com/
VNCS là nhà phân phối các giải pháp của Crowdstrike và Tenable tại Việt Nam. Để biết thêm thông tin chi tiết, quý khách hàng có thể tham khảo tại: https://vncs.vn/
