Mẫu mã độc phân tích mã hash là c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7, sử dụng lỗ hổng của Microsoft Office Equation Editor (CVE-2017-11882, CVE-2018-0802).
Để phân tích mã độc, đầu tiên, người dùng cần sử dụng công cụ rtfobj để phân tích file RTF.
Hình 1: phân tích RTF với rtfobj
Theo Hình 1, mã độc được nhúng một object Equation. Một số hành vi độc hại mà mã độc có thể thực thi: mở file RTF kích hoạt tệp tin EQNEDT32.exe; Tạo 02 tệp tin 8.t và adcache.dll trong thư mục %temp%; Thực thi tệp tin adcache.dll chứa mã độc trên máy tính của nạn nhân.
Phân tích tệp tin adcache.dll
Ứng dụng độc hại được thực thi với lệnh như sau:
rundll32.exe %temp%\adcache.dll startwork
Qua phân tích nhận thấy, hành vi của mã độc hại này khá đơn giản. Đầu tiên, mã độc chạy và kiểm tra killswitch. Nếu phát hiện killswitch đã tồn tại thì mã độc thực hiện thoát tiến trình. Nếu killswitch không tồn tại, mã độc thực hiện kết nối về máy chủ điều khiển để tải mã độc khác về máy, thực thi trên memory của tiến trình rundll32.exe.
Hình 2: tên miền máy chủ điều khiển www.123456abcgsdwere56463455345435435657222222.com
Tại thời điểm phân tích, killswitch đã được đăng kí. Tiếp tục phân tích, nhận thấy khi không có killswitch, tệp tin adcache.dll sẽ decode một đoạn shellcode và thực thi. Tuy nhiên, đoạn shellcode này khá ngắn nhưng không dễ đọc.
Hình 3: mã nguồn Shellcode
Tiếp tục sử dụng Qiling - Advanced Binary Emulation framework để phân tích mã shellcode. Mặc dù, Qiling - Advanced Binary Emulation framework cần thực thi thêm nhiều thao tác trong quá trình phân tích. Tuy nhiên, với mẫu shellcode đơn giản thì framework này khá phù hợp. Bởi người phân tích sẽ không cần trace thủ công hoặc monitor quá nhiều trong quá trình phân tích. Sau khi cài đặt, sử dụng đoạn mã sau để thực hiện quá trình phân tích:
Hình 4: mã nguồn phân tích shellcode
Hình 5: Kết quả phân tích mã shellcode
Dễ dàng nhận thấy, mã độc cố gắng kết nối về tên miền https://vpnet.mooo.com/FrCa, để tải mã độc khác về máy. Tuy nhiên, tên miền vpnet.mooo.com hiện nay không hoạt động, nên quá trình phân tích không thể tiếp tục. Mặt khác, sử dụng công cụ Viettel Threat Intelligence để đánh giá mức độ nguy hiểm.
Hình 6: giao diện của công cụ Viettel Threat Intelligence
Kết quả cho thấy, có nhiều IP liên quan tới tên miền vpnet.mooo.com.
Hình 7: Danh sách IP liên quan tới tên miền vpnet.mooo.com
Tiếp tục phân tích theo chế độ đồ họa của công cụ Viettel Threat Intelligence, nhận thấy có một số tên miền khác cũng liên quan tới tên miền này như vpcpnet.mooo.com.
Hình 8: Giao diện đồ họa của công cụ Viettel Threat Intelligence
Kết luận
Mặc dù lỗ hổng CVE-2017-11882 và CVE-2018-0802 đã có bản vá đầy đủ từ Microsoft, nhưng do tính ổn định của các mã khai thác này, mà nó vẫn được tin tặc sử dụng chúng trong nhiều cuộc tấn công. Người dùng cần khẩn trương cập nhật các bản vá để giảm thiểu rủi ro mất an toàn thông tin.
Tài liệu tham khảo - Another malicious document with CVE-2017–11882 - tác giả Kienm4n0w4r IoC RTF Document : c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7 adcache.dll: 337C45CD1A9395097E6D8EBC44DD22D9FB7C6BDE25CA8956FCF3E09EAF31797C 8.t: D447C9252D30F4C40485E4D17A9DAD6899CB55936F16009B4A4367BFA02BE8BA |
Nguyễn Liên (theo viettelcybersecurity.com)
10:00 | 16/01/2020
10:00 | 21/08/2020
13:00 | 03/02/2020
09:00 | 23/03/2020
09:00 | 21/04/2020
08:00 | 27/11/2019
13:00 | 24/12/2019
14:00 | 10/02/2020
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024