<h1> Spearphishing Attachment </h1> Hầu như bất kỳ kẻ tấn công nào cũng có thể gửi email lừa đảo có tệp đính kèm và hầu như ai cũng có địa chỉ email, đó là lý do tại sao **Spearphishing Attachment** lại phổ biến. <h2> Table of Contents: Phân tích đặc điểm kỹ thuật của cuộc tấn công Spearphishing Attachment Các hành vi tấn công có thể đạt được (ảnh hưởng đến nạn nhân) Demo Cách thức phòng chống tấn công, dấu hiệu nhận biết tấn công </h2> # Phân tích đặc điểm kỹ thuật của cuộc tấn công Spearphishing Attachment - **Spearphishing** là một dạng tấn công lừa đảo trực tuyến được thực hiện có mục tiêu, nhắm vào từng cá nhân, tổ chức, hoặc một nhóm cụ thể, thay vì phát tán hàng loạt đến nhiều người. - **Spearphishing Attachment** là một hình thức tấn công spearphishing trong đó kẻ tấn công gửi email lừa đảo qua mạng với tệp đính kèm độc hại để cố gắng truy cập vào hệ thống của nạn nhân. - Kẻ tấn công nghiên cứu kỹ lưỡng nạn nhân, thường là những cá nhân có quyền truy cập thông tin quan trọng trong tổ chức, để tạo email cá nhân hóa và đáng tin cậy. Sau đó giả danh đồng nghiệp, đối tác kinh doanh hoặc một dịch vụ hợp pháp, kèm theo thông tin cụ thể về công việc hoặc dự án để nạn nhân mất cảnh giác - Có nhiều tùy chọn cho tệp đính kèm như tài liệu Microsoft Office, tệp thực thi, PDF hoặc tệp lưu trữ. Khi mở tệp đính kèm payload hoặc macro của kẻ tấn công sẽ khai thác lỗ hổng hoặc thực thi trực tiếp trên hệ thống của người dùng. - Kỹ thuật vượt qua bảo mật và triển khai mã độc: Vượt qua kiểm tra bảo mật bằng cách mã hóa, ẩn mã độc trong các macro, hoặc sử dụng các định dạng tệp khó phát hiện (tệp nén, tệp đa phương tiện) để tránh sự phát hiện của các phần mềm chống mã độc hoặc bộ lọc email. # Các hành vi tấn công có thể đạt được (ảnh hưởng đến nạn nhân) - **Đánh cắp thông tin nhạy cảm:** Trong hầu hết các trường hợp, RAT được sử dụng như spyware (phần mềm gián điệp). Một hacker có thể sử dụng RAT để đánh cắp keystroke (những tổ hợp phím mà người dùng nhấn trên bàn phím, chẳng hạn như khi nhập mật khẩu) và file từ máy tính bị nhiễm. - **Chiếm quyền điều khiển hệ thống:** được thực hiện bởi **RAT** (**Remote Access Trojans**) là một phần mềm hoặc payload độc hại được bọc trong một phần mềm hợp pháp khác. Từ đây nhưng gì chúng ta thao tác vào máy sẽ đều được ghi lại, cài thêm các phần mềm độc hại khác như ransomeware,... Một hacker nắm trong tay RAT có thể làm bất cứ thứ gì, miễn là mục tiêu không nghi ngờ. - **Lợi dụng hệ thống làm botnet hoặc launching pad:** Hệ thống của nạn nhân có thể bị biến thành một botnet để thực hiện các cuộc tấn công khác, chẳng hạn như tấn công từ chối dịch vụ (DDoS) nhằm vào các tổ chức khác hoặc để gửi spam. # Demo Mục tiêu của bài thực hành này là đóng vai kẻ tấn công, giả lập một cuộc tấn công **Spearphishing Attachment**. Người dùng bị tấn công thành công và bị lây nhiễm mã độc RAT. và sẽ đọc được file `test1.txt` này tại Desktop nạn nhân  Để có 1 file RAT ta sẽ nhờ metasploit gen ra.  Đổi tên file cho giống với một file hợp pháp và sau đó chuyển lên file của server tạo  Ta sẽ dùng trình meterpreter để nghe khi nạn nhân chạy file   Tạo mail và gửi cho nạn nhân với các nội dung lừa đảo nhưng hợp pháp như sau  Sau khi nhận được mail, nạn nhân sẽ truy cập vào đường link và file sẽ được tự động tải về sau đó click file để đọc  Đồng thời bên phía attacker, trình meterpreter đã được khởi chạy khi nạn nhân khởi chạy file  Để xác nhận được có thể RCE trên máy nạn nhân ta sẽ đọc file `test1.txt` như mô tả ban đầu. Và để kỹ hơn ta sẽ tạo 1 file khác text khác để xác nhận  Bên máy nạn nhân sẽ nhận được file tương tự  # Cách thức phòng chống tấn công, dấu hiệu nhận biết tấn công ## Dấu hiệu nhận biết tấn công ### Người thường - Email không đúng ngữ cảnh hoặc lạ - Thời gian gửi mail khác với giờ hành chính - Liên kết nghi ngờ - Ngôn ngữ hoặc chính tả kém - Các file có extension lạ hoặc không thường dùng với tổ chức như `.rar` hoặc `.ace`, `.iso` hoặc `.img` - Hoạt động bất thường trong hệ thống như cmd tự bật, lưu lượng truy cập tăng, máy lag,... ### SOC - Thời gian gửi mail khác với giờ hành chính - Các tiến trình con ví dụ của file - Giám sát dữ liệu mạng để tìm luồng dữ liệu bất thường - Các event 4688 (Creation process) sẽ xuất hiện - Sử dụng **EDR (Endpoint Detection and Response)** để giám sát các quy trình đáng ngờ phát sinh từ các tài liệu Office. Một số process có thể được sinh ra khi chạy như: + Windows Scripting Host (wscript.exe or cscript.exe) + Command Processor (cmd.exe) + PowerShell (powershell.exe) - Log event xuất hiện các file có extension lạ hoặc không thường dùng với tổ chức như `.rar` hoặc `.ace`, `.iso` hoặc `.img`    ## Cách thức phòng chống tấn công ### Người thường - Cài đặt phần mềm diệt virus, luôn bật Windows Defender - Kiểm tra địa chỉ email thật kỹ - Luôn có file backup ### SOC Ngoài việc thực hiện giám sát trực tiếp trên SIEM và xây dựng các alert thì đội SOC sẽ chú ý áp dụng một số chính sách như: - Sử dụng khung chính sách người gửi (**SPF (Sender Policy Framework)**) cho phép chủ sở hữu tên miền công bố danh sách các địa chỉ IP được phép gửi email thay mặt cho tổ chức, so sánh thông tin từ email nhận được với danh sách này và đánh dấu các email đến từ địa chỉ IP bất thường.  - Ngoài ra còn có **DKIM** (**DomainKeys Identified Mail**) (Thư được xác định bằng khóa tên miền). Giống như **SPF**, **DKIM** phức tạp hơn **SPF** một chút