Mẫu mã độc phân tích mã hash là c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7, sử dụng lỗ hổng của Microsoft Office Equation Editor (CVE-2017-11882, CVE-2018-0802).
Để phân tích mã độc, đầu tiên, người dùng cần sử dụng công cụ rtfobj để phân tích file RTF.
Hình 1: phân tích RTF với rtfobj
Theo Hình 1, mã độc được nhúng một object Equation. Một số hành vi độc hại mà mã độc có thể thực thi: mở file RTF kích hoạt tệp tin EQNEDT32.exe; Tạo 02 tệp tin 8.t và adcache.dll trong thư mục %temp%; Thực thi tệp tin adcache.dll chứa mã độc trên máy tính của nạn nhân.
Phân tích tệp tin adcache.dll
Ứng dụng độc hại được thực thi với lệnh như sau:
rundll32.exe %temp%\adcache.dll startwork
Qua phân tích nhận thấy, hành vi của mã độc hại này khá đơn giản. Đầu tiên, mã độc chạy và kiểm tra killswitch. Nếu phát hiện killswitch đã tồn tại thì mã độc thực hiện thoát tiến trình. Nếu killswitch không tồn tại, mã độc thực hiện kết nối về máy chủ điều khiển để tải mã độc khác về máy, thực thi trên memory của tiến trình rundll32.exe.
Hình 2: tên miền máy chủ điều khiển www.123456abcgsdwere56463455345435435657222222.com
Tại thời điểm phân tích, killswitch đã được đăng kí. Tiếp tục phân tích, nhận thấy khi không có killswitch, tệp tin adcache.dll sẽ decode một đoạn shellcode và thực thi. Tuy nhiên, đoạn shellcode này khá ngắn nhưng không dễ đọc.
Hình 3: mã nguồn Shellcode
Tiếp tục sử dụng Qiling - Advanced Binary Emulation framework để phân tích mã shellcode. Mặc dù, Qiling - Advanced Binary Emulation framework cần thực thi thêm nhiều thao tác trong quá trình phân tích. Tuy nhiên, với mẫu shellcode đơn giản thì framework này khá phù hợp. Bởi người phân tích sẽ không cần trace thủ công hoặc monitor quá nhiều trong quá trình phân tích. Sau khi cài đặt, sử dụng đoạn mã sau để thực hiện quá trình phân tích:
Hình 4: mã nguồn phân tích shellcode
Hình 5: Kết quả phân tích mã shellcode
Dễ dàng nhận thấy, mã độc cố gắng kết nối về tên miền https://vpnet.mooo.com/FrCa, để tải mã độc khác về máy. Tuy nhiên, tên miền vpnet.mooo.com hiện nay không hoạt động, nên quá trình phân tích không thể tiếp tục. Mặt khác, sử dụng công cụ Viettel Threat Intelligence để đánh giá mức độ nguy hiểm.
Hình 6: giao diện của công cụ Viettel Threat Intelligence
Kết quả cho thấy, có nhiều IP liên quan tới tên miền vpnet.mooo.com.
Hình 7: Danh sách IP liên quan tới tên miền vpnet.mooo.com
Tiếp tục phân tích theo chế độ đồ họa của công cụ Viettel Threat Intelligence, nhận thấy có một số tên miền khác cũng liên quan tới tên miền này như vpcpnet.mooo.com.
Hình 8: Giao diện đồ họa của công cụ Viettel Threat Intelligence
Kết luận
Mặc dù lỗ hổng CVE-2017-11882 và CVE-2018-0802 đã có bản vá đầy đủ từ Microsoft, nhưng do tính ổn định của các mã khai thác này, mà nó vẫn được tin tặc sử dụng chúng trong nhiều cuộc tấn công. Người dùng cần khẩn trương cập nhật các bản vá để giảm thiểu rủi ro mất an toàn thông tin.
Tài liệu tham khảo - Another malicious document with CVE-2017–11882 - tác giả Kienm4n0w4r IoC RTF Document : c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7 adcache.dll: 337C45CD1A9395097E6D8EBC44DD22D9FB7C6BDE25CA8956FCF3E09EAF31797C 8.t: D447C9252D30F4C40485E4D17A9DAD6899CB55936F16009B4A4367BFA02BE8BA |
Nguyễn Liên (theo viettelcybersecurity.com)
10:00 | 16/01/2020
10:00 | 21/08/2020
13:00 | 03/02/2020
09:00 | 23/03/2020
09:00 | 21/04/2020
08:00 | 27/11/2019
13:00 | 24/12/2019
14:00 | 10/02/2020
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024