Chiến Dịch DragonRank: Khi Máy Chủ IIS Trở Thành Công Cụ Cho Tin Tặc

Giới Thiệu

Nhóm tin tặc DragonRank gần đây đã trở thành mối đe dọa nghiêm trọng khi nhắm mục tiêu vào các máy chủ Internet Information Services (IIS) của Microsoft, khai thác các lỗ hổng chưa được vá để chiếm quyền kiểm soát hệ thống.

Chi Tiết Kỹ Thuật

Theo phân tích từ Microsoft, lỗ hổng mà DragonRank khai thác liên quan đến việc xử lý các HTTP Request Header trên IIS. Cụ thể, kẻ tấn công gửi một yêu cầu HTTP được thiết kế đặc biệt với phần header chứa dữ liệu vượt quá giới hạn bộ nhớ đệm, gây ra lỗi Buffer Overflow. Điều này cho phép chúng ghi đè lên vùng nhớ và thực thi mã tùy ý (Remote Code Execution – RCE).

• Cơ Chế Khai Thác:
  Khi máy chủ IIS phân tích các header như Content-Length hoặc Transfer-Encoding, việc xử lý không đúng các giá trị lớn bất thường dẫn đến tràn bộ đệm. DragonRank tận dụng điểm yếu này để chèn mã độc vào bộ nhớ, sau đó kích hoạt payload để chiếm quyền điều khiển.

• Mã Độc Được Sử Dụng:
  Theo báo cáo từ Cisco Talos, nhóm này sử dụng một biến thể của mã độc ChinaChopper – một webshell phổ biến trong các cuộc tấn công vào máy chủ web. Mã độc này cho phép tin tặc tải lên các công cụ khác như ransomware hoặc phần mềm khai thác tiền điện tử.

Chiến Dịch DragonRank

DragonRank không chỉ là một nhóm tin tặc ngẫu nhiên mà là một tổ chức có chiến lược rõ ràng, thường xuyên thực hiện các chiến dịch tấn công quy mô lớn. Dưới đây là một số thông tin nổi bật về chiến dịch của họ:

• Mục Tiêu:
  DragonRank tập trung vào các tổ chức tài chính, cơ quan chính phủ và doanh nghiệp lớn tại khu vực châu Á, đặc biệt là Đông Nam Á và Ấn Độ. Các mục tiêu thường có hệ thống CNTT phức tạp nhưng chưa được cập nhật bảo mật đầy đủ.

• Phương Pháp Tấn Công:

  • Reconnaissance: Sử dụng công cụ quét như Nmap và Shodan để xác định các máy chủ IIS chưa được vá lỗi.

  • Exploitation: Tận dụng lỗ hổng buffer overflow để triển khai webshell và chiếm quyền kiểm soát.

  • Persistence: Cài đặt backdoor và mã độc để duy trì quyền truy cập lâu dài.

  • Lateral Movement: Sử dụng thông tin đánh cắp được để tấn công các hệ thống khác trong cùng mạng nội bộ.

• Công Cụ Sử Dụng:

  • Webshell: ChinaChopper, C99, và các biến thể tùy chỉnh.

  • Exploit Kits: Tận dụng các bộ công cụ khai thác lỗ hổng như Metasploit và Cobalt Strike.

  • Công Cụ Ẩn Danh: Sử dụng VPN và proxy để che giấu địa chỉ IP.

• Mục Đích:

  • Đánh Cắp Dữ Liệu: Thu thập thông tin nhạy cảm như dữ liệu khách hàng, bí mật thương mại.

  • Tấn Công DDoS: Biến các máy chủ bị xâm nhập thành botnet để phát động tấn công từ chối dịch vụ.

  • Tài Chính: Mã độc khai thác tiền điện tử (cryptojacking) được cài đặt trên các máy chủ để kiếm lợi nhuận.

Phạm Vi và Tác Động Của Cuộc Tấn công

• Các Nạn Nhân:
  Báo cáo từ Kaspersky Lab cho biết, hơn 500 máy chủ IIS tại Đông Nam Á và Ấn Độ đã bị xâm nhập trong tháng 2/2025. Trong đó, nhiều máy chủ thuộc các ngân hàng và cơ quan y tế chưa cập nhật bản vá lỗi từ Microsoft.

• Hậu Quả:

  • Rò Rỉ Dữ Liệu: Các tệp cấu hình chứa thông tin xác thực (username/password) bị đánh cắp và bán trên dark web.

  • Tấn Công DDoS: Một số máy chủ bị biến thành botnet để phát động tấn công từ chối dịch vụ vào các mục tiêu khác.

Khuyến Nghị

• Microsoft:
  Áp dụng ngay bản vá mới nhất cho IIS, đồng thời kích hoạt tính năng Request Filtering để chặn các HTTP request có header không hợp lệ.

• CERT Coordination Center (CERT/CC):
  Triển khai Network Segmentation để cách ly máy chủ web khỏi các hệ thống nội bộ quan trọng. Sử dụng công cụ giám sát như Azure Sentinel hoặc Splunk để phát hiện hoạt động đáng ngờ.

• Cấu hình bảo mật IIS một cách chặt chẽ:

  • Tắt các tính năng không cần thiết: Tắt các tính năng của IIS mà không sử dụng để giảm thiểu bề mặt tấn công (ví dụ: CGI, ASP, ISAPI).

  • Kiểm tra quyền truy cập thư mục: Thiết lập quyền truy cập phù hợp cho các thư mục và tệp, đảm bảo rằng chỉ người dùng và dịch vụ cần thiết mới có quyền truy cập.

  • Giới hạn quyền truy cập và thực thi các script: Chỉ cho phép các script hoặc ứng dụng web cụ thể có thể thực thi, và hạn chế quyền truy cập từ các địa chỉ IP lạ.

• Quản lý và bảo mật tài khoản

  • Kiểm tra và xác minh tài khoản người dùng: Đảm bảo rằng tất cả các tài khoản người dùng và quyền truy cập được cấu hình chính xác và không có tài khoản nào không cần thiết hoặc bị xâm nhập.

  • Sử dụng xác thực hai yếu tố (2FA) cho các tài khoản quản trị viên để tăng cường bảo mật.

• Bảo vệ máy chủ khỏi bot và các cuộc tấn công tự động

  • Cài đặt và cấu hình Web Application Firewall (WAF): WAF có thể ngăn chặn nhiều cuộc tấn công, bao gồm cả các cuộc tấn công tự động từ các bot đang cố gắng khai thác lỗ hổng trong các ứng dụng web.

  • Giới hạn số lần thử đăng nhập và cấm địa chỉ IP đáng ngờ: Hạn chế các cuộc tấn công brute force bằng cách giới hạn số lần thử đăng nhập sai và tự động cấm IP sau một số lần thử sai.

Kết Luận

Cuộc tấn công của DragonRank vào IIS không chỉ phản ánh sự tinh vi của tin tặc mà còn cho thấy tầm quan trọng của việc cập nhật hệ thống và nâng cao nhận thức an ninh. Các tổ chức cần kết hợp nhiều lớp bảo mật (đa yếu tố, mã hóa, giám sát liên tục) để giảm thiểu rủi ro.

Tham Khảo

1. Analyzing the BadIIS Malware Campaign: A Global Threat Exploiting IIS Server Vulnerabilities

2. Hackers Compromising IIS Servers to Deploy BadIIS Malware

3. Chinese DragonRank Hackers Exploit Global Windows Servers in SEO Fraud

4. DragonRank SEO Attack: The Hidden Manipulation of IIS Servers

5. DragonRank Exploits IIS Servers with BadIIS Malware for SEO Fraud and Gambling Redirects