Các nhà nghiên cứu bảo mật đã phát hiện một sự tiến hóa phức tạp trong chiến dịch mã độc SLOW#TEMPEST, nơi các tác nhân đe dọa đang triển khai các phương pháp che giấu (obfuscation) sáng tạo để né tránh phát hiện và làm phức tạp quá trình phân tích. Sự phát triển này cho thấy một xu hướng đáng lo ngại trong phát triển mã độc, nơi khả năng tàng hình và chống phân tích trở thành trọng tâm để duy trì tính hiệu quả của các cuộc tấn công.

Sự Tiến Hóa và Cơ Chế Triển Khai của SLOW#TEMPEST

Phương Thức Phân Phối và Kích Hoạt Ban Đầu

Biến thể mã độc SLOW#TEMPEST được phân phối ban đầu thông qua một tệp ISO được thiết kế đặc biệt. Tệp ISO này chứa một sự kết hợp khéo léo giữa các thành phần lành tính và các thành phần độc hại. Khi người dùng mở tệp ISO, mã độc sẽ khai thác kỹ thuật DLL sideloading. Kỹ thuật này hoạt động bằng cách lợi dụng một tệp nhị phân hợp pháp và đã được ký số, cụ thể là DingTalk.exe. Thay vì tải các thư viện DLL hợp pháp từ các vị trí tiêu chuẩn của hệ thống, DingTalk.exe bị buộc phải tải một tệp DLL độc hại được đặt cùng thư mục, trong trường hợp này là zlibwapi.dll. Kỹ thuật này đặc biệt hiệu quả vì nó cho phép mã độc chạy trong bối cảnh của một tiến trình đáng tin cậy, làm giảm khả năng bị các giải pháp bảo mật truyền thống phát hiện.

Tệp DLL tải (loader DLL) là zlibwapi.dll này không trực tiếp chứa tải trọng cuối cùng. Thay vào đó, nó được thiết kế để giải mã và thực thi một tải trọng được nhúng, nằm được gắn thêm vào cuối một tệp khác có tên ipc_core.dll. Một điểm đặc biệt quan trọng là việc thực thi mã độc chỉ xảy ra khi cả hai thành phần — zlibwapi.dll (loader) và ipc_core.dll (chứa payload được nhúng) — đều hiện diện và có thể truy cập được. Sự phụ thuộc vào hai yếu tố này tạo ra một cơ chế kiểm tra sự hiện diện của các thành phần, gây khó khăn cho các nhà phân tích muốn cô lập và phân tích từng phần riêng lẻ. Nếu một thành phần bị thiếu, tải trọng sẽ không được kích hoạt, làm phức tạp việc tái tạo môi trường thực thi đầy đủ của mã độc.

Kỹ Thuật Che Dấu Nâng Cao của Mã Độc

Che Dấu Luồng Điều Khiển (Control Flow Graph – CFG Obfuscation)

Các chiến thuật của chiến dịch mã độc SLOW#TEMPEST đã cho thấy sự tinh vi vượt trội, đặc biệt là trong việc che giấu luồng điều khiển (CFG obfuscation). Mã độc sử dụng các cú nhảy động (dynamic jumps) và các lời gọi hàm bị che giấu (obfuscated function calls), những kỹ thuật này làm cản trở đáng kể cả phân tích tĩnh lẫn phân tích động. Sự phức tạp này buộc các chuyên gia bảo mật phải chuyển đổi từ các phương pháp phân tích thông thường sang việc sử dụng các kỹ thuật mô phỏng (emulation) và lập trình script nâng cao để có thể giải mã và hiểu được mã nguồn độc hại.

Nhảy Động (Dynamic Jumps)

Một trong những kỹ thuật CFG obfuscation chính được mã độc áp dụng là việc sử dụng các cú nhảy động, điển hình là thông qua lệnh JMP RAX. Trong kịch bản này, địa chỉ đích của cú nhảy không được cố định mà thay vào đó được tính toán động trong thời gian chạy (runtime). Việc tính toán này phụ thuộc vào nhiều yếu tố như giá trị hiện tại của các thanh ghi (ví dụ: RAX), nội dung cụ thể trong các vùng bộ nhớ, và trạng thái của các cờ CPU như Zero Flag (ZF) và Carry Flag (CF). Sự phụ thuộc vào các giá trị động này làm cho luồng thực thi của chương trình trở nên khó đoán. Các công cụ dịch ngược truyền thống như Hex-Rays, vốn dựa vào phân tích tĩnh để xây dựng biểu đồ luồng điều khiển, trở nên kém hiệu quả. Chúng thường chỉ có thể tạo ra mã giả không đầy đủ hoặc bị lỗi, làm lu mờ logic thực sự của mã độc và cản trở quá trình phân tích.

Giải Mã Nhảy Động: Phân Tích Chuyên Sâu

Để vượt qua thách thức do các cú nhảy động gây ra, các nhà phân tích đã phát triển và sử dụng các script chuyên biệt bằng IDAPython. Các script này được thiết kế để nhận diện và phân tích các “bộ điều phối” (dispatchers) trong mã. Mỗi bộ điều phối là một chuỗi gồm khoảng chín lệnh đứng ngay trước mỗi cú nhảy động. Các chuỗi lệnh này thường triển khai cơ chế phân nhánh hai chiều thông qua các lệnh di chuyển có điều kiện (ví dụ: CMOVNZ – Conditional Move if Not Zero) hoặc các lệnh thiết lập có điều kiện (ví dụ: SETNL – Set if Not Less). Bằng cách phân tích các điều kiện này, các nhà nghiên cứu có thể suy luận về các đường dẫn thực thi tiềm năng.

Một bước quan trọng trong quá trình giải che giấu là việc mô phỏng các bộ điều phối này bằng cách sử dụng Unicorn framework. Unicorn là một framework mô phỏng kiến trúc đa nền tảng mạnh mẽ. Thông qua Unicorn, các nhà nghiên cứu đã có thể trích xuất các bytecode liên quan đến bộ điều phối và mô phỏng việc thực thi chúng. Để xác định cả hai đường dẫn thực thi có thể (nhánh đúng và nhánh sai), mỗi bộ điều phối được mô phỏng hai lần, với các điều kiện cờ CPU được thay đổi một cách có kiểm soát. Quá trình này giúp tiết lộ rõ ràng các địa chỉ đích tiềm năng của cả hai nhánh, từ đó làm sáng tỏ luồng điều khiển bị che giấu.

Sau khi xác định được các địa chỉ đích chính xác, các nhà phân tích đã tiến hành vá cơ sở dữ liệu của IDA Pro bằng cách thay thế các cú nhảy động phức tạp bằng các cú nhảy trực tiếp (direct jumps) đến các địa chỉ đích đã xác định. Việc này đã khôi phục lại hoàn toàn luồng điều khiển gốc của chương trình trong môi trường phân tích của IDA Pro, cho phép dịch ngược toàn bộ mã nguồn một cách chính xác. Qua đó, các nhà phân tích không chỉ hiểu được logic ban đầu mà còn phơi bày thêm các lớp che giấu khác mà mã độc đã triển khai để tránh bị phát hiện.

Gọi Hàm Bị Che Dấu (Obfuscated Function Calls)

Ngoài các cú nhảy động, mã độc SLOW#TEMPEST còn sử dụng kỹ thuật gọi hàm bị che giấu để làm phức tạp thêm việc phân tích. Thay vì gọi trực tiếp các hàm API của Windows, mã độc sẽ giải quyết động các địa chỉ của hàm trong thời gian chạy. Các lời gọi này thường được thực hiện thông qua lệnh CALL RAX, nơi RAX chứa địa chỉ hàm được tính toán động. Điều này đặc biệt được áp dụng cho các lời gọi Windows API quan trọng như GlobalMemoryStatusEx, một hàm thường được dùng để kiểm tra thông tin bộ nhớ hệ thống. Kỹ thuật này ngăn chặn việc nhận dạng ngay lập tức các hành vi độc hại trong quá trình phân tích tĩnh, vì các công cụ tự động không thể dễ dàng xác định hàm API nào đang được gọi cho đến khi mã thực sự được thực thi trong một môi trường được kiểm soát.

Tương tự như chiến lược được sử dụng để giải mã các cú nhảy động, các nhà phân tích đã triển khai các script mô phỏng để giải quyết các mục tiêu gọi hàm này. Các script này có khả năng xác định địa chỉ chính xác của các hàm được gọi (callee addresses) và sau đó thiết lập chúng trong môi trường IDA Pro. Nhờ khả năng này, IDA Pro có thể tự động gán nhãn cho các đối số hàm và đổi tên biến, giúp cải thiện đáng kể khả năng đọc và hiểu mã đã bị che giấu, biến nó từ một chuỗi byte khó hiểu thành một cấu trúc logic hơn, dễ phân tích hơn.

Chức Năng Cốt Lõi của Payload và Kiểm Tra Anti-Sandbox

Kiểm Tra Môi Trường Anti-Sandbox và Thực Thi Payload

Sau khi các lớp che giấu được giải quyết, chức năng cốt lõi của loader DLL đã được làm rõ. Một trong những hành động đầu tiên và quan trọng nhất của nó là thực hiện một kiểm tra chống môi trường phân tích (anti-sandbox check) tinh vi. Mã độc chỉ tiếp tục quá trình thực thi nếu hệ thống có ít nhất 6 GB RAM. Ngưỡng RAM này được chọn một cách chiến lược, vì nó thường cao hơn cấu hình mặc định của nhiều môi trường sandbox ảo hoặc máy ảo được các nhà phân tích sử dụng để cô lập và kiểm tra mã độc. Bằng cách yêu cầu một lượng RAM nhất định, mã độc nhằm mục đích tránh bị kích hoạt trong các môi trường có tài nguyên hạn chế, vốn là đặc trưng của các phòng thí nghiệm phân tích mã độc.

Nếu điều kiện về RAM được thỏa mãn, tức là mã độc xác định rằng nó đang chạy trong một môi trường có vẻ là “thật” hoặc ít nhất không phải một sandbox điển hình, loader DLL sẽ tiến hành giải nén (unpack) và thực thi tải trọng chính (main payload) trực tiếp trong bộ nhớ. Việc thực thi trong bộ nhớ (in-memory execution) này giúp tránh việc ghi các tệp độc hại vào ổ đĩa, làm giảm dấu vết của mã độc trên hệ thống và làm cho việc phát hiện dựa trên chữ ký tệp trở nên khó khăn hơn. Các kiểm tra tài nguyên như vậy là một ví dụ điển hình về cách các tác nhân đe dọa khai thác sự khác biệt về cấu hình giữa môi trường mục tiêu thực tế và môi trường phân tích để nâng cao khả năng tàng hình của mã độc và né tránh các giải pháp bảo mật tự động.

Tác Động và Biện Pháp Đối Phó

Tác Động Đối Với Phân Tích Mã Độc và Yêu Cầu Phát Triển Mới

Chiến dịch SLOW#TEMPEST là một minh chứng rõ ràng cho cuộc chạy đua vũ trang ngày càng leo thang trong lĩnh vực phát triển mã độc. Các chiến thuật né tránh động và che giấu tinh vi được sử dụng trong chiến dịch này đặt ra một thách thức đáng kể cho các phương pháp phát hiện truyền thống dựa trên chữ ký (signature-based detections). Điều này nhấn mạnh sự cần thiết phải chuyển dịch sang các cách tiếp cận toàn diện hơn trong phân tích và phòng thủ mã độc. Để có thể theo kịp và ứng phó hiệu quả với các mối đe dọa hiện đại như SLOW#TEMPEST, các nhà phân tích và hệ thống phòng thủ cần phải áp dụng các cách tiếp cận kết hợp (hybrid approaches), bao gồm cả phân tích tĩnh chuyên sâu và phân tích động dựa trên mô phỏng.

Tăng Cường Khả Năng Phòng Thủ và Ứng Phó Sự Cố

Để củng cố khả năng phòng thủ trước các mối đe dọa phức tạp như SLOW#TEMPEST, việc chia sẻ thông tin tình báo chuyên sâu là tối quan trọng. Thông qua các liên minh tình báo mạng như Cyber Threat Alliance, các tổ chức có thể tiếp cận và trao đổi kiến thức về các chiến thuật, kỹ thuật và quy trình (TTPs) mới nhất của kẻ tấn công. Các công cụ phòng thủ tiên tiến cũng đóng vai trò thiết yếu: ví dụ, Palo Alto Networks’ Advanced WildFire có khả năng phát hiện các mẫu mã độc dựa trên phân tích hành vi trong môi trường sandbox được kiểm soát, ngay cả khi mã độc sử dụng các kỹ thuật che giấu.

Bên cạnh đó, các giải pháp bảo mật điểm cuối như Cortex XDR/XSIAM cung cấp khả năng ngăn chặn việc thực thi mã độc thông qua các mô-đun học máy (machine learning) tiên tiến và công nghệ shellcode AI, giúp nhận diện và chặn đứng các hành vi đáng ngờ trước khi chúng có thể gây hại.

Đối với các trường hợp nghi ngờ bị xâm nhập hoặc đã bị thỏa hiệp, phản ứng nhanh chóng là cực kỳ quan trọng. Việc liên hệ ngay lập tức với các đội ứng phó sự cố (incident response teams) là điều kiện tiên quyết để giới hạn thiệt hại, điều tra nguyên nhân gốc rễ và khôi phục hệ thống an toàn. Phân tích chuyên sâu về SLOW#TEMPEST không chỉ làm sáng tỏ kho vũ khí chống phân tích của mã độc mà còn trang bị cho các nhà phòng thủ những phương pháp hành động cụ thể, chẳng hạn như việc sử dụng các script mô phỏng và các kỹ thuật giải mã nâng cao, giúp họ đối phó hiệu quả hơn với các mối đe dọa mạng ngày càng tinh vi trong kỷ nguyên số.