MENU

Công nghệ thông tin

Mã Độc Gián Điệp Cũ Trong Vỏ Bọc Chiến Dịch Tấn Công Mới


Ngày cập nhật: 11/10/2018 10:34:27 SA

Tân Tân
Cuối tháng 9/2018, một chiến dịch tấn công gián điệp bằng email đã được CyRadar phát hiện. Hacker đánh lừa người dùng tải và thực thi tệp mã độc trên máy tính. Lúc này, mã độc lập tức thực hiện một loạt các hành vi âm thầm, khéo léo để cài đặt một phần mềm gián điệp. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép hacker điều khiển được máy tính từ xa. Dưới đây là tóm tắt các giai đoạn của mã độc trong chiến dịch tấn công:

 

Tổng quan chiến dịch tấn công của mã độc

 

Mã độc sử dụng tệp gdm.exe (có chữ ký số chuẩn) để thực hiện chạy mã độc hại được viết bằng ngôn ngữ AutoIT. Mục đích của hacker làm khó khăn cho các phần mềm antivirus vì trong trường hợp này tệp độc hại là dạng text và nội dung chứa rất nhiều đoạn ghi chú không cố định.

Tệp mã độc tự sinh nhiều đoạn ghi chú

 

Ở bước 5, mã độc thực hiện ghi một mẫu RAT có tên NanoCore Client lên bộ nhớ rồi thực thi. NanoCore Client là một phần mềm khá nổi ở trên mạng và đã bị nhiều phần mềm antivirus nhận diện. Chính vì vậy, hacker phải dùng cách thức thực thi mẫu trên bộ nhớ để ẩn dấu. Ta nhận thấy, trong chiến dịch từ bước 1 đến bước 4 có thể thay đổi cách thức tiếp cận nạn nhân, cách thức lây nhiễm lên máy tính một cách linh hoạt và đa dạng.

Phân tích chi tiết
Để làm rõ hành vi của mã độc, chúng tôi đi vào phân tích cụ thể các bước tấn công trong chiến dịch. Trước hết cần quan sát nội dung của email – khởi nguồn của chiến dịch.
1. Nội dung email

Nội dung email giả mạo để lừa nạn nhân



Nôi dung của email luôn luôn gây sự chú ý đến nạn nhân, hacker làm vậy để lừa nạn nhân thực hiện hành vi mở và thực thi tệp. Nếu nạn nhân chỉ nhìn qua sẽ thấy có 2 tệp đính kèm định dạng PDF nhưng thực tế đó là đường link đính kèm có chèn ảnh và khi click vào hình ảnh sẽ liên kết đến một trang tải mã độc với tên scan20180920.z về máy. scan20180920.z là một tệp nén, sau khi giải nén sẽ được một tệp thưc thi có tên scan20180920.exe.
Khi tệp scan20180920.exe được thực thi, mã độc sẽ tạo ra một thư mục 72851423 ở thư mục temp. Bên trong thư mục có chứa rất nhiều tệp phục vụ cho mã độc tấn công máy tính của nạn nhân. Đây là một số tệp mà mã độc sử dụng:
1. Các bước chạy file trung gian
· Bfx[.]dat : tệp cấu hình – sử dụng để điểu khiển các hành vi.
· eba=cap: tệp thực thi được viết bằng ngôn ngữ AutoIT - mã độc thực hiện các hành vi.
· Gdm[.]exe: tệp thực thi có chữ ký số AutoIt Consulting Ltd – sử dụng để chạy code AutoIT.

 

Tệp cấu hình bfx.dat của mã độc


Sau khi đã tạo ra được các tệp mới, mã độc thực hiện chạy tiến trình gdm[.]exe với tham số eba=cap. Mục đích của mã độc là thực thi code AutoIT được viết trong tệp eba=cap mà không cần phải build ra định dạng .exe thông thường.
Mở tệp eba=cap bằng notepad, tệp này thực hiện tạo ra một tệp khác có nội dung là code AutoIT với tên ngẫu nhiên. Sau đó, nó sẽ thực thi với cách thức tương tự với tệp eba=cap
Tạo tệp mới có tên ngẫu nhiên

Thực thi tệp có tên ngẫu nhiên


Với tệp có tên ngẫu nhiên được tạo ra, tệp mã độc này được viết bằng ngôn ngữ AutoIT và có rất nhiều hành vi độc hai: Anti VM, Anti Sandbox, tắt UAC, tạo key run, tắt task manager, Downloader, inject code mã độc. Các hành vi này sẽ được điều khiển bằng tệp cấu hình bfx[.]dat
Đọc từ tệp cấu hình để thực thi câu lệnh
Ở phiên bản này, mã độc chỉ thực hiện các hành vi:

Tắt UAC

Tạo key run okoks để chạy tệp có tên ngẫu nhiên

Inject code mã độc vào tiến trình RegSvcs.exe hoặc firefox.exe
1. NanoCore RAT
Nội dung inject vào tiến trình RegSvcs[.]exe hoặc firefox[.]exe là một tệp có tên NanoCore Client viết bằng DotNet đã được obfuscate.


Mã code NanoCore Client obfuscate

Sau khi deobfuscate mã code sẽ nhận được kết quả dễ dàng phân tích hơn.

Code NanoCore Client được deobfuscate


Mã độc có tên NanoCore này cũng thực hiện rất nhiều hành vi thông qua cấu hình được lưu trữ ở Resource Directory. Ở đây, mã độc sử dụng các tính năng tạo key khởi động (key run), tạo task scheduler, anti debug, upload và download từ host sarutobi[.]hopto[.]org.


Tạo key khởi động cùng hệ thống

Tạo Task Scheduler


Đồng thời, mã độc giải mã và thực thi một mẫu khác vẫn nằm trong Resource Directory. Cách hoạt động của hành vi này cụ thể như sau:
· Load đoạn mã từ Resource Directory
· Decrypt đoạn mã
· Sử dụng class Asembly để thực thi đoạn mã trên bộ nhớ

 


Sử dụng class Assembly để thực thi đoạn mã trên bộ nhớ


Sử dụng class Assembly để thực thi đoạn mã trên bộ nhớ
Ta thực hiện lấy đoạn mã đã được decrypt từ trên bộ nhớ sẽ được một tệp có tên SurveillanceExClientPlugin.dll được viết bằng dotnet.
Tiếp tục phân tích SurveillanceExClientPlugin.dll, nhận thấy tệp mã độc này thực hiện các hành vi keylogger, lấy dữ liệu Clipboard, log DNS, sử dụng thuật toán nén LZMA hoặc TLD
Mã độc cài đặt Keylogger

Mã độc cài đặt lấy dữ liệu Clipboard

Mã độc lấy log DNS

Mã độc sử dụng Lzma hoặc TLD làm thuật toán nén dữ liệu

Dựa trên công nghệ Malware Graph của CyRadar, chúng tôi đã phát hiện server điều khiển ở đây liên quan đến khá nhiều tên miền, IP độc hại khác:

Các tên miền được sử dụng trong chiến dịch



Khuyến cáo
· Cảnh giác và kiểm tra kỹ email được nhận, tệp hoặc link đính kèm trong email đó.
· Đối với người dùng cá nhân, sử dụng và thường xuyên cập nhật phần mềm diệt virus mới nhất.
· Đối với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email. Đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu bị tấn công.
Nguồn: CYRADAR

 



 Liên hệ - Góp ý  Quay lại!

Bình luận của bạn:

Ảnh CAPTCHA
Nhập mã ở trên vào hộp dưới đây.
Chú ý: Mã có phân biệt chữ hoa và chữ thường.
Bình luận bạn đọc (0)

CÁC TIN KHÁC
Cảnh báo lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 07/2023 (18/7/2023)
Lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 03/2023 (18/7/2023)
Lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 02/2023 (20/2/2023)
Lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 01/2023 (18/1/2023)
Lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 12/2022 (20/12/2022)
Lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 11/2022 (13/11/2022)
Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng (26/10/2022)
Lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 10/2022 (13/10/2022)
Lỗ hổng bảo mật ảnh hưởng nghiêm trọng trong FortiOS và FortiProxy (12/10/2022)



Sản phẩm - Dịch vụ

Xây dựng và cung cấp các phần mềm ứng dụng: Hệ thống Thông tin điều hành tác nghiệp qua mạng; Phần mềm dịch vụ công trực tuyến mức độ 3, mức độ 4; Phần mềm quản lý nhân sự; Phần mềm Một cửa điện tử; Phần mềm Báo cáo kinh tế - xã hội; Quản lý lưu trú qua mạng Internet,…

Tổ chức bồi dưỡng và thi cấp chứng chỉ ứng dụng công nghệ thông tin theo chuẩn kỹ năng sử dụng CNTT; Đào tạo cấp Giấy chứng nhận đào tạo, bồi dưỡng nghiệp vụ quản lý đầu tư ứng dụng CNTT, nội dung các khóa học cụ thể như sau: Lập và quản lý dự án CNTT, Lập dự toán chi phí đầu tư ứng dụng CNTT, Giám sát thi công dự án CNTT.

Cung cấp vị trí lưu trữ website (hosting); Dịch vụ Đăng ký tên miền (.vn); Cho thuê máy chủ (server); Cho thuê chỗ đặt máy chủ đảm bảo yêu cầu, kỹ thuật và an toàn thông tin với hệ thống máy chủ mạnh mẽ, công cụ quản lý riêng.

Tư vấn xây dựng lập dự toán, thiết kế thi công các công trình, đề án và dự án thuộc lĩnh vực BCVT, CNTT-TT được quy định tại Nghị định 102/2009/NĐ-CP của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước.

Cung cấp giải pháp đảm bảo an toàn, an ninh mạng; Nghiên cứu phát triển các đề tài khoa học, các nhiệm vụ được giao về lĩnh vực CNTT; Nghiên cứu phát triển và chuyển giao công nghệ về phần mềm và nội dung số; Nhận thiết kế, dàn trang, in ấn các loại tài liệu như: ấn phẩm, bản tin, đặc san, tờ rơi,…; Nhận thiết kế, lắp đặt, bảo trì và ứng cứu khắc phục sự có hệ thống mạng máy tính, mạng camera bảo mật. Cung cấp thiết bị CNTT và Truyền thông…

Đăng nhập
1
Bạn cần hỗ trợ?