Giải mã mã độc WhisperGate

10:00 | 04/02/2022 | HACKER / MALWARE

Tiêu điểm của tình hình an ninh mạng trên thế giới thời gian qua là làn sóng tấn công hướng đến các cơ quan, tổ chức, chính phủ tại Ukraine. WhisperGate - mã độc được sử dụng trong chiến dịch tấn công này đã thu hút sự chú ý lớn của dư luận. Bài báo này giới thiệu tới quý độc giả góc nhìn kỹ thuật về WhisperGate và những khuyến nghị của Microsoft dành cho người dùng.

Theo phân tích của Microsoft, WhisperGate được khai thác thông qua Impacket và ghi đè Master Boot Record (MBR) trên hệ thống nạn nhân với thông báo yêu cầu tiền chuộc là 10.000 đô la Bitcoin. Đáng lưu ý là sau khi thiết bị tắt nguồn, mã độc sẽ thực thi.

Microsoft đánh giá, đây là hình thức tấn công không điển hình như những cuộc tấn công ransomware thông thường khác, payload ransomware sẽ được tùy chỉnh trên mỗi nạn nhân bị ảnh hưởng.

“Hầu như tất cả ransomware đều mã hóa nội dung của các tệp trên hệ thống tệp tin. Với WhisperGate, nó sẽ ghi đè MBR mà không có cơ chế phục hồi. Số tiền thanh toán được thể hiện rõ ràng và địa chỉ ví tiền điện tử hiếm khi được chỉ định trong ghi chú đòi tiền chuộc”, Microsoft giải thích.

Bình luận về trường hợp này, Calvin Gan, Giám đốc cấp cao tại công ty an minh mạng F-Secure cho biết: “Có thể, địa chỉ ví Bitcoin và kênh liên lạc trong ghi chú đòi tiền chuộc của WhisperGate là một chiến thuật để chuyển hướng sự chú ý về ý định thực sự của tin tặc trong khi khiến việc theo dõi chúng trở nên khó khăn hơn”.

Sự xuất hiện của mã độc mới này đã làm dấy lên tình trạng báo động trong cộng đồng an ninh mạng toàn cầu, vốn đã được cảnh báo về sự leo thang phá hoại dữ liệu. Với phương thức tấn công đặc biệt của WhisperGate, nó sẽ trải qua 2 giai đoạn cụ thể sau đây.

Giai đoạn 1: Ghi đè MBR để hiển thị ghi chú thông báo giả về tiền chuộc

Mã độc này nằm trong các thư mục khác nhau, bao gồm C:\PerfLogs, C:\ProgramData, C:\ hay C:\temp và thường được đặt tên là “stage1.exe”. Phân tích các hành vi cho thấy, mã độc thực thi chương trình thông qua thư viện Impacket, thường được các tin tặc sử dụng để truy cập từ xa máy tính của nạn nhân.

Giai đoạn đầu tiên là ghi đè MBR trên hệ thống nạn nhân bằng một ghi chú thông báo đòi tiền chuộc. MBR là một phần của ổ cứng cho máy tính biết cách tải hệ điều hành của nó. Thông báo đòi tiền chuộc có chứa ví Bitcoin và Tox ID (số nhận dạng tài khoản duy nhất được sử dụng trong ứng dụng nhắn tin được mã hóa) mà Microsoft chưa từng phát hiện trước đây.

Thông tin yêu cầu đòi tiền chuộc

Mã độc sẽ được thực thi khi thiết bị đã tắt nguồn. Ghi đè MBR không phải là chiến lược chung cho các cuộc tấn công ransomware của tin tặc. Trên thực tế, ransomware sẽ phá hủy MBR và nội dung của các tệp trên các hệ thống nạn nhân. Có một số lý do cho thấy rằng hoạt động của hình thức mới này không phù hợp với hoạt động ransomware mà Microsoft đã từng nghiên cứu, cụ thể:

Payload ransomware thường được tùy chỉnh trên mỗi nạn nhân ảnh hưởng. Trong trường hợp này, số tiền chuộc giống nhau được phát hiện ở nhiều nạn nhân.
Hầu như tất cả ransomware đều mã hóa nội dung của các tệp trên hệ thống tệp tin. Trong khi đó, mã độc trong trường hợp này sẽ ghi đè MBR mà không có cơ chế phục hồi.
Số tiền thanh toán chi tiết và địa chỉ ví tiền điện tử hiếm khi được thể hiện trong các ghi chú đòi tiền chuộc đối với các cuộc tấn công thông thường khác. Địa chỉ ví Bitcoin tương tự đã được phát hiện trên tất cả các cuộc tấn công bởi nhóm tin tặc được gán mã “DEV-0586” và tại thời điểm phân tích, đã có trường hợp nạn nhân gửi một khoản nhỏ tiền chuộc vào ngày 14/1.
Rất ít khi chỉ duy nhất một phương thức liên lạc được sử dụng, đối với trường hợp của WhisperGate là Tox ID, một mã định danh để sử dụng trong ứng dụng tin nhắn được mã hóa. Thông thường, các tin tặc có thể sử dụng nhiều phương thức khác nhau, ví dụ như email để tương tác với nạn nhân.
Hầu hết các ghi chú đòi tiền chuộc bao gồm một ID tùy chỉnh mà nạn nhân được hướng dẫn để gửi thông tin liên lạc của họ với tin tặc. Đây là một phần quan trọng của quá trình lấy tiền chuộc, trong đó ID tùy chỉnh này sẽ được ánh xạ tới một khóa giải mã dành riêng cho nạn nhân. Trong khi đó, WhisperGate lại không bao gồm ID tùy chỉnh.

Giai đoạn 2: Thực thi các tệp bị lỗi độc hại

“Stage2.exe” là một chương trình tải xuống độc hại. Khi thực thi, stage2.exe sẽ tải xuống mã độc với liên kết đã được hardcode. Mã độc ở giai đoạn này có thể được mô tả như một phần mềm để tải các tệp lỗi, bị hư hỏng độc hại (file corrupt). Sau khi được thực thi trong bộ nhớ, các tệp lỗi này sẽ xác định những tệp trong các thư mục trên hệ thống bằng một trong các tệp mở rộng, với những định dạng được hardcode như sau:

Các định dạng mở rộng

Nếu tệp là một trong các định dạng ở trên, thì các tệp bị hỏng sẽ ghi đè nội dung của chúng với một số byte 0xCC cố định (tổng kích thước tệp là 1MB). Sau khi ghi đè nội dung, nó sẽ đổi tên từng tệp với phần mở rộng 4 byte ngẫu nhiên. Microsoft cho biết rằng quá trình phân tích mã độc này vẫn đang được tiến hành và mở rộng thêm.

Những khuyến nghị dành cho người dùng

Đến nay, Microsoft đã triển khai các biện pháp bảo vệ để có thể phát hiện những kiểu hình thức tấn công tương tự với mã độc WhisperGate, ví dụ như DoS: Win32/WhisperGate.A!Dha thông qua chương trình chống virus Microsoft Defender Antivirus và Microsoft Defender for Endpoint.

Dưới đây là những khuyến nghị của Microsoft dành cho người dùng để có thể giảm thiểu mã độc bằng cách áp dụng các cân nhắc bảo mật sau:

Sử dụng các chỉ số thỏa hiệp Indicators of Compromise (IoC) đã được công bố để phân tích xem chúng có tồn tại trong môi trường của người dùng hay không, cũng như đánh giá các khả năng xâm nhập.
Xem xét tất cả hoạt động xác thực với các hệ thống truy cập từ xa, đặc biệt tập trung vào các tài khoản được cấu hình với xác thực một yếu tố, để xác nhận tính chính xác và phân tích bất kỳ hoạt động bất thường nào.
Bật tính năng xác thực đa yếu tố (MFA) và đảm bảo rằng MFA được thực thi cho tất cả kết nối từ xa. Lưu ý rằng, Microsoft cũng khuyến khích tất cả khách hàng tải xuống và sử dụng các giải pháp như Microsoft Authenticator để tăng cường bảo mật tài khoản người dùng.
Bật tính năng chống ransomware như Controlled folder Access (CFA) trong Microsoft Defender for Endpoint để ngăn sửa đổi MBR hay VBR (Volume Boot Record).

BẢNG 1: CÁC CHỈ SỐ THOẢ HIỆP

Hiện tại, Microsoft cũng đã cung cấp danh sách các chỉ số thoả hiệp (IoC) trong quá trình điều tra của họ. Microsoft khuyến nghị: “Chúng tôi khuyến khích khách hàng phân tích các chỉ số này trong môi trường của họ và triển khai các biện pháp phát hiện cũng như bảo vệ để xác định những hoạt động liên quan trước đó, và ngăn chặn các cuộc tấn công trong tương lai”.

Đinh Hồng Đạt

‹ › ×

Tin liên quan

Microsoft khắc phục lỗ hổng bảo mật trên trình duyệt Edge

09:00 | 07/07/2021

Ngày 24/6, hãng Microsoft phát hành bản cập nhật cho trình duyệt Edge nhằm khắc phục lỗ hổng định danh CVE-2021-34506, có thể cho phép thực thi mã tùy ý trong nội dung của bất kỳ trang web nào.

Tin tặc sử dụng Cobalt Strike để tấn công máy chủ Microsoft SQL

14:00 | 07/03/2022

Các nhà nghiên cứu bảo mật vừa lên tiếng cảnh báo một chiến dịch tấn công mới sử dụng Beacon trong công cụ Cobalt Strike, với mục tiêu là các máy chủ Microsoft SQL (MS-SQL), nhằm mở rộng của sự xâm nhập và lây nhiễm mã độc hại.

Ứng dụng Fast Cleaner có thể đánh cắp tiền trong tài khoản ngân hàng

14:00 | 04/03/2022

Các chuyên gia bảo mật tại Threat Fabric (Hà Lan) vừa phát hiện ra một loại trojan mới, có khả năng đánh cắp tiền trong tài khoản ngân hàng và ví tiền điện tử của người dùng.

Microsoft đưa ra biện pháp khắc phục tạm thời cho các cuộc tấn công zero-day trong Office 365

10:00 | 20/09/2021

Mới đây, Microsoft đã đưa ra những biện pháp giảm thiểu lỗ hổng thực thi mã từ xa trong Windows đang bị khai thác trong các cuộc tấn công có chủ đích nhắm vào Office 365 và Office 2019 trên Windows 10.

Giả mạo logo Microsoft để tấn công lừa đảo

16:00 | 26/05/2021

Tội phạm mạng thực hiện các chiến dịch lừa đảo thường tìm ra các chiến thuật mới để đánh lừa các công cụ bảo mật truyền thống. Trong một chiến dịch gần đây được phát hiện bởi nhà cung cấp bảo mật email Inky (Mỹ), tin tặc đã mạo danh Microsoft và logo mới nhất của hãng phần mềm khổng lồ này.

Tin cùng chuyên mục

Phân tích hoạt động Trojan GoldDigger mới trên Android

14:00 | 09/11/2023

Vào tháng 8/2023, các nhà nghiên cứu tại nhóm thông tin tình báo về mối đe dọa của công ty an ninh mạng Group-IB (Singapore) đã phát hiện một Trojan Android chưa từng được biết đến trước đây nhắm mục tiêu vào các tổ chức tài chính ngân hàng ở Việt Nam. Các nhà nghiên cứu đặt tên Trojan mới này là GoldDigger để chỉ một hoạt động GoldActivity cụ thể trong tệp APK. Trong bài viết này sẽ đưa ra những phân tích chính về hoạt động của GoldDigger dựa theo báo cáo của Group-IB mới đây.

Nhóm tin tặc Lazarus của Triều Tiên nhắm mục tiêu vào ngành công nghiệp quốc phòng trong chiến dịch APT Dream Job

12:00 | 25/10/2023

Nhóm tin tặc Lazarus có liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (còn gọi là Hidden Cobra hoặc TEMP.Hermit) đã bị phát hiện sử dụng các phiên bản nhiễm trojan của VNC (Virtual Network Computing) để nhắm mục tiêu vào ngành công nghiệp quốc phòng và các kỹ sư hạt nhân như một phần của chiến dịch APT mang tên Dream Job.

Phân tích kỹ thuật của Trình tải phần mềm độc hại mới HijackLoader

15:00 | 06/10/2023

HijackLoader là trình tải phần mềm độc hại mới đã trở nên phổ biến trong vài tháng qua. Mặc dù HijackLoader không chứa các tính năng nâng cao, nhưng nó có khả năng sử dụng nhiều module khác nhau để chèn và thực thi mã vì nó sử dụng kiến trúc module, một tính năng mà hầu hết các trình tải không có. Dựa trên báo cáo của Zscaler, bài viết này sẽ trình bày các hoạt động bên trong của HighjackLoader, từ quá trình khởi tạo đến thiết kế module cho đến các kỹ thuật chống phân tích.

Tin tặc triển khai công cụ đánh cắp thông tin dựa trên Python qua Facebook Messenger

10:00 | 15/09/2023

Nhà nghiên cứu Oleg Zaytsev của Công ty An ninh mạng Guardio Labs vừa cho biết, một nhóm tin tặc có nguồn gốc từ Việt Nam đã phát tán một file nén qua Facebook Messenger. File nén này chứa công cụ đánh cắp dựa trên Python cùng các phương pháp ‘ẩn náu’ đơn giản nhưng hiệu quả.