Phân tích mã độc khai thác lỗ hổng Microsoft Office Equation Editor

10:00 | 21/01/2020 | HACKER / MALWARE

Mã độc khai thác lỗ hổng Microsoft Office Equation Editor từng được tin tặc sử dụng trong các cuộc tấn công nhằm phát tán backdoor, chiếm quyền điều khiển từ xa hệ thống. Mới đây, các chuyên gia của Công ty An ninh mạng Viettel đã tiến hành phân tích mẫu mã độc này.

Mẫu mã độc phân tích mã hash là c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7, sử dụng lỗ hổng của Microsoft Office Equation Editor (CVE-2017-11882, CVE-2018-0802).

Để phân tích mã độc, đầu tiên, người dùng cần sử dụng công cụ rtfobj để phân tích file RTF.

Phân tích mã độc khai thác lỗ hổng Microsoft Office Equation Editor

Hình 1: phân tích RTF với rtfobj

Theo Hình 1, mã độc được nhúng một object Equation. Một số hành vi độc hại mà mã độc có thể thực thi: mở file RTF kích hoạt tệp tin EQNEDT32.exe; Tạo 02 tệp tin 8.t và adcache.dll trong thư mục %temp%; Thực thi tệp tin adcache.dll chứa mã độc trên máy tính của nạn nhân.

Phân tích tệp tin adcache.dll

Ứng dụng độc hại được thực thi với lệnh như sau:

rundll32.exe %temp%\adcache.dll startwork

Qua phân tích nhận thấy, hành vi của mã độc hại này khá đơn giản. Đầu tiên, mã độc chạy và kiểm tra killswitch. Nếu phát hiện killswitch đã tồn tại thì mã độc thực hiện thoát tiến trình. Nếu killswitch không tồn tại, mã độc thực hiện kết nối về máy chủ điều khiển để tải mã độc khác về máy, thực thi trên memory của tiến trình rundll32.exe.

Hình 2: tên miền máy chủ điều khiển www.123456abcgsdwere56463455345435435657222222.com

Tại thời điểm phân tích, killswitch đã được đăng kí. Tiếp tục phân tích, nhận thấy khi không có killswitch, tệp tin adcache.dll sẽ decode một đoạn shellcode và thực thi. Tuy nhiên, đoạn shellcode này khá ngắn nhưng không dễ đọc.

Hình 3: mã nguồn Shellcode

Tiếp tục sử dụng Qiling - Advanced Binary Emulation framework để phân tích mã shellcode. Mặc dù, Qiling - Advanced Binary Emulation framework cần thực thi thêm nhiều thao tác trong quá trình phân tích. Tuy nhiên, với mẫu shellcode đơn giản thì framework này khá phù hợp. Bởi người phân tích sẽ không cần trace thủ công hoặc monitor quá nhiều trong quá trình phân tích. Sau khi cài đặt, sử dụng đoạn mã sau để thực hiện quá trình phân tích:

Hình 4: mã nguồn phân tích shellcode

Hình 5: Kết quả phân tích mã shellcode

Dễ dàng nhận thấy, mã độc cố gắng kết nối về tên miền https://vpnet.mooo.com/FrCa, để tải mã độc khác về máy. Tuy nhiên, tên miền vpnet.mooo.com hiện nay không hoạt động, nên quá trình phân tích không thể tiếp tục. Mặt khác, sử dụng công cụ Viettel Threat Intelligence để đánh giá mức độ nguy hiểm.

Hình 6: giao diện của công cụ Viettel Threat Intelligence

Kết quả cho thấy, có nhiều IP liên quan tới tên miền vpnet.mooo.com.

Hình 7: Danh sách IP liên quan tới tên miền vpnet.mooo.com

Tiếp tục phân tích theo chế độ đồ họa của công cụ Viettel Threat Intelligence, nhận thấy có một số tên miền khác cũng liên quan tới tên miền này như vpcpnet.mooo.com.

Hình 8: Giao diện đồ họa của công cụ Viettel Threat Intelligence

Kết luận

Mặc dù lỗ hổng CVE-2017-11882 và CVE-2018-0802 đã có bản vá đầy đủ từ Microsoft, nhưng do tính ổn định của các mã khai thác này, mà nó vẫn được tin tặc sử dụng chúng trong nhiều cuộc tấn công. Người dùng cần khẩn trương cập nhật các bản vá để giảm thiểu rủi ro mất an toàn thông tin.

Tài liệu tham khảo

- Another malicious document with CVE-2017–11882 - tác giả Kienm4n0w4r

IoC

RTF Document : c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7

adcache.dll: 337C45CD1A9395097E6D8EBC44DD22D9FB7C6BDE25CA8956FCF3E09EAF31797C

8.t: D447C9252D30F4C40485E4D17A9DAD6899CB55936F16009B4A4367BFA02BE8BA

Nguyễn Liên (theo viettelcybersecurity.com)

‹ › ×

Tin liên quan

Ứng dụng trên Google Play khai thác lỗ hổng Android để phát tán phần mềm gián điệp

10:00 | 16/01/2020

Mới đây, Google đã gỡ bỏ ba ứng dụng độc hại trên cửa hàng ứng dụng Google Play. Trong đó, có một ứng dụng khai thác lỗ hổng leo thang đặc quyền trong nhân Android (CVE-2019-2215) để cài đặt ứng dụng độc hại nhằm theo dõi người dùng.

Ứng dụng Microsoft Office dính lỗ hổng nghiêm trọng

10:00 | 21/08/2020

Mới đây, cựu tin tặc Patrick Wardle (NSA) đã phát hiện một lỗ hổng nghiêm trọng bên trong ứng dụng Microsoft Office, cho phép tin tặc có thể chiếm quyền kiểm soát toàn bộ máy Mac.

Phát hiện mã độc giả mạo tài liệu về virus corona

13:00 | 03/02/2020

Các chuyên gia bảo mật đã phát hiện nhiều cuộc tấn công qua e-mail, lợi dụng mối lo ngại về virus corona trên toàn cầu để phát tán mã độc.

Hơn 600 tên miền phụ của Microsoft có thể bị mất quyền điều khiển

09:00 | 23/03/2020

Nguy cơ bị tin tặc chiếm tên miền phụ đã được biết tới trong nhiều năm, điều này gây ảnh hưởng không nhỏ tới nhiều công ty lớn. Bản ghi DNS cho một tên miền phụ (subdomain) trỏ tới một tên miền không còn tồn tại có thể tạo điều kiện cho tin tặc chiếm quyền điều khiển.

Câu chuyện về mã độc nguy hiểm NotPetya

09:00 | 21/04/2020

Năm 2017, mã độc NotPetya phát tán với phạm vi trên khắp thế giới. Bắt đầu từ một công ty phần mềm khiêm tốn ở Ukraina, NotPetya lây nhiễm đến một trong những tập đoàn lớn nhất thế giới, làm tê liệt mọi hoạt động của họ. Bài viết dưới đây sẽ làm sáng tỏ câu chuyện về NotPetya - mã độc gây thiệt hại lớn nhất từ trước đến nay.

Cảnh báo lỗ hổng bảo mật giúp hacker chiếm quyền điều khiển máy tính

08:00 | 27/11/2019

Công ty Cổ phần An ninh mạng Việt Nam (VSEC) đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins. Lỗ hổng này cho phép tin tặc thực thi mã từ xa, gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

Cập nhật bản vá lỗ hổng bảo mật tháng 12/2019

13:00 | 24/12/2019

Microsoft, Adobe và Google lần lượt phát hành các cập nhật bảo mật cho các sản phẩm của mình trong tháng 12/2019. Quản trị viên và người dùng cần khẩn trương cập nhật các bản vá cho hệ thống để giảm thiểu rủi ro mất an toàn thông tin.

Tấn công cho phép truy cập từ xa ảnh hưởng tới 200 triệu modem

14:00 | 10/02/2020

Theo các nhà nghiên cứu, hiện tại trên toàn câu có hàng trăm triệu modem có thể dễ bị tấn công chiếm quyền kiểm soát bởi những tin tặc ở cách đó nửa vòng trái đất.

Tin cùng chuyên mục

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.