An ninh mạng

Bài học từ một hacker nghiệp dư: Cách duy trì quyền truy cập sau khi server C2 bị sập

Một hacker nghiệp dư đã sử dụng Tailscale và OpenSSH để duy trì quyền truy cập vào hệ thống nạn nhân ngay cả khi server điều khiển (C2) bị ngắt kết nối. Đây là lời cảnh báo cho các chuyên gia bảo mật...

Nguyen Hung
18 Tháng 6, 2026 2 Min Read
1 0

Các chuyên gia bảo mật từ Cato Networks vừa công bố một báo cáo chi tiết về chiến dịch tấn công nhắm vào một doanh nghiệp ô tô tại Pháp. Dù kẻ tấn công (tự xưng là “Poisson”) được đánh giá là một hacker nghiệp dư với kỹ năng hạn chế, nhưng cách thức hắn duy trì sự hiện diện trong hệ thống nạn nhân lại là một bài học đáng giá cho đội ngũ an ninh mạng.

Chiến thuật “cửa sau” ngoài server C2

Thay vì chỉ dựa vào hạ tầng Command-and-Control (C2) truyền thống, kẻ tấn công đã thực hiện một bước đi khôn ngoan: cài đặt OpenSSH Server và Tailscale trên máy tính nạn nhân. Bằng cách thiết lập mạng lưới Tailscale riêng và tạo các tunnel SSH đảo ngược (reverse tunnel), hắn có thể truy cập vào máy tính mục tiêu thông qua mạng lưới mesh mã hóa mà không cần thông qua server C2.

Kết quả là khi server Havoc C2 của hắn bị ngắt kết nối vào ngày 8 tháng 4, quyền truy cập của hacker vẫn không hề bị ảnh hưởng. Mãi đến 18 ngày sau, khi server C2 hoạt động trở lại, các agent tự động kết nối lại và kẻ tấn công tiếp tục thực hiện hành vi trộm cắp thông tin đăng nhập ngân hàng và email.

Dấu hiệu nhận biết và cách phòng thủ

Theo các nhà nghiên cứu, việc triệt hạ server C2 chỉ là bước đầu và không thể coi là đã hoàn tất quá trình khắc phục sự cố (remediation) nếu kẻ tấn công đã thiết lập các lớp duy trì quyền truy cập (persistence) khác. Dưới đây là những dấu hiệu mà đội ngũ IT cần giám sát:

  • Cài đặt bất thường: Cảnh báo khi OpenSSH Server xuất hiện trên các máy trạm Windows hoặc sự hiện diện của tailscale.exe trên các thiết bị không có nhu cầu sử dụng VPN.
  • Kết nối mạng: Kiểm tra các kết nối SSH reverse tunnel (ssh -R) hướng ra các host bên ngoài.
  • Tác vụ hệ thống: Giám sát các tác vụ được lập lịch (scheduled tasks) chạy với đặc quyền cao nhất (highest privileges) để khởi chạy các trình thông dịch script.
  • Thay đổi cấu hình: Theo dõi các thay đổi trong powercfg nhằm ngăn máy tính chuyển sang chế độ ngủ (standby), giúp hacker duy trì kết nối liên tục.
  • File thực thi: Cảnh báo khi wscript.exe thực thi các file .vbs từ các thư mục tạm của người dùng.

Vụ việc này một lần nữa khẳng định rằng, trong các cuộc tấn công hiện đại, server C2 chỉ là một trong nhiều con đường xâm nhập. Việc rà soát kỹ lưỡng các lớp duy trì quyền truy cập ẩn sau C2 là yêu cầu bắt buộc để đảm bảo an toàn cho hệ thống doanh nghiệp.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept