Mẫu mã độc phân tích mã hash là c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7, sử dụng lỗ hổng của Microsoft Office Equation Editor (CVE-2017-11882, CVE-2018-0802).
Để phân tích mã độc, đầu tiên, người dùng cần sử dụng công cụ rtfobj để phân tích file RTF.
Hình 1: phân tích RTF với rtfobj
Theo Hình 1, mã độc được nhúng một object Equation. Một số hành vi độc hại mà mã độc có thể thực thi: mở file RTF kích hoạt tệp tin EQNEDT32.exe; Tạo 02 tệp tin 8.t và adcache.dll trong thư mục %temp%; Thực thi tệp tin adcache.dll chứa mã độc trên máy tính của nạn nhân.
Phân tích tệp tin adcache.dll
Ứng dụng độc hại được thực thi với lệnh như sau:
rundll32.exe %temp%\adcache.dll startwork
Qua phân tích nhận thấy, hành vi của mã độc hại này khá đơn giản. Đầu tiên, mã độc chạy và kiểm tra killswitch. Nếu phát hiện killswitch đã tồn tại thì mã độc thực hiện thoát tiến trình. Nếu killswitch không tồn tại, mã độc thực hiện kết nối về máy chủ điều khiển để tải mã độc khác về máy, thực thi trên memory của tiến trình rundll32.exe.
Hình 2: tên miền máy chủ điều khiển www.123456abcgsdwere56463455345435435657222222.com
Tại thời điểm phân tích, killswitch đã được đăng kí. Tiếp tục phân tích, nhận thấy khi không có killswitch, tệp tin adcache.dll sẽ decode một đoạn shellcode và thực thi. Tuy nhiên, đoạn shellcode này khá ngắn nhưng không dễ đọc.
Hình 3: mã nguồn Shellcode
Tiếp tục sử dụng Qiling - Advanced Binary Emulation framework để phân tích mã shellcode. Mặc dù, Qiling - Advanced Binary Emulation framework cần thực thi thêm nhiều thao tác trong quá trình phân tích. Tuy nhiên, với mẫu shellcode đơn giản thì framework này khá phù hợp. Bởi người phân tích sẽ không cần trace thủ công hoặc monitor quá nhiều trong quá trình phân tích. Sau khi cài đặt, sử dụng đoạn mã sau để thực hiện quá trình phân tích:
Hình 4: mã nguồn phân tích shellcode
Hình 5: Kết quả phân tích mã shellcode
Dễ dàng nhận thấy, mã độc cố gắng kết nối về tên miền https://vpnet.mooo.com/FrCa, để tải mã độc khác về máy. Tuy nhiên, tên miền vpnet.mooo.com hiện nay không hoạt động, nên quá trình phân tích không thể tiếp tục. Mặt khác, sử dụng công cụ Viettel Threat Intelligence để đánh giá mức độ nguy hiểm.
Hình 6: giao diện của công cụ Viettel Threat Intelligence
Kết quả cho thấy, có nhiều IP liên quan tới tên miền vpnet.mooo.com.
Hình 7: Danh sách IP liên quan tới tên miền vpnet.mooo.com
Tiếp tục phân tích theo chế độ đồ họa của công cụ Viettel Threat Intelligence, nhận thấy có một số tên miền khác cũng liên quan tới tên miền này như vpcpnet.mooo.com.
Hình 8: Giao diện đồ họa của công cụ Viettel Threat Intelligence
Kết luận
Mặc dù lỗ hổng CVE-2017-11882 và CVE-2018-0802 đã có bản vá đầy đủ từ Microsoft, nhưng do tính ổn định của các mã khai thác này, mà nó vẫn được tin tặc sử dụng chúng trong nhiều cuộc tấn công. Người dùng cần khẩn trương cập nhật các bản vá để giảm thiểu rủi ro mất an toàn thông tin.
Tài liệu tham khảo - Another malicious document with CVE-2017–11882 - tác giả Kienm4n0w4r IoC RTF Document : c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7 adcache.dll: 337C45CD1A9395097E6D8EBC44DD22D9FB7C6BDE25CA8956FCF3E09EAF31797C 8.t: D447C9252D30F4C40485E4D17A9DAD6899CB55936F16009B4A4367BFA02BE8BA |
Nguyễn Liên (theo viettelcybersecurity.com)
10:00 | 16/01/2020
10:00 | 21/08/2020
13:00 | 03/02/2020
09:00 | 23/03/2020
09:00 | 21/04/2020
08:00 | 27/11/2019
13:00 | 24/12/2019
14:00 | 10/02/2020
08:00 | 26/09/2024
Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
15:00 | 15/07/2024
Các nhà nghiên cứu bảo mật tới từ công ty an ninh mạng XLab (Slovenia) mới đây đã phát hiện ra một mạng botnet mới có tên Zergeca được viết bằng ngôn ngữ Golang, có khả năng thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) một cách mạnh mẽ.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024