ictnews T
heo chuyên gia CyRadar, trong chiến dịch tấn công qua email “đòi nợ” được phát hiện mới đây, hacker đã dùng chính file Winword.exe “sạch” để lợi dụng cài đặt mã độc bằng kỹ thuật DLL SideLoading được các hacker sử dụng nhiều thời gian gần đây để qua mặt các phần mềm diệt virus.
Email đính kèm file "Hoa don tien no" có chứa mã độc được g?
?i t??i hộp thư điện tử của độc giả N.T.H vào chiều ngày 15/5/2019.Như ICTnews đã thông tin, chiều ngày 15/5/2019, chị N.T.H, một độc giả của ICTnews đã phản ánh thông tin chị và một số nhân viên trong cơ quan mình nhận được 1 thư điện tử từ một người lạ với tiêu đề “Hóa đơn tiền nợ!”, thư có đính kèm t
ệp ??ịnh dạng nén “Hoa don tien no”.Kết quả phân tích sơ bộ của ch
uyên gia Hà Minh Trường, Công ty cổ phần An toàn thông ty CyRadar đã chỉ ra rằng, file đính kèm thư điện tử gửi đến độc giả N.T.H có chứa mã độc. Khi người dùng giải nén file .rar đính kèm thư điện tử “đòi nợ” và chạy file được giải nén ra thì cũng đồng nghĩa với việc máy tính của họ đã bị cài mã độc, bị chiếm quyền điều khiển, nhận lệnh từ máy chủ điều khiển từ xa thông qua địa chỉ máy chủ “hxxps://api.ciscofreak[.]com/jZHP”. Lúc này, hacker có thể tùy ý ra lệnh từ xa cho máy tính của người dùng, ví dụ như xóa file, ăn trộm file…Theo các ch
uyên gia CyRadar, hiện chưa có nhiều hãng cung cấp giải pháp bảo mật có thể nhận diện được chiến dịch tấn công này (Ảnh minh họa: Internet)Các ch
uyên gia CyRadar thời gian vừa qua đã thực hiện phân tích sâu về kỹ thuật tấn công được hacker sử dụng trong chiến dịch tấn công mạng bằng file chứa mã độc đính kèm email “đòi nợ” kể trên.Tóm tắt hành vi mã độc được hacker sử dụng.Cụ thể, ch
uyên gia CyRadar Hà Minh Trường cho biết, sau khi giải nén file “.rar” đính kèm email “đòi nợ”, có 2 file với thông tin hiển thị gồm:VirusTotal nhận diện đây là file "Winword.exe" chuẩn của MicrosoftPhân tích chi tiết của file “Noi dung de nghi thanh toan. Cong hoa xa hoi chu nghia Viet Nam Doc lap tu do hanh phuc.exe”, các ch
uyên gia CyRadar nhận thấy, hacker đã sử dụng chính file Winword.exe “sạch” để lợi dụng cài đặt mã độc bằng kỹ thuật DLL SideLoading đang được các hacker sử dụng nhiều trong thời gian gần đây nhằm vượt qua qua các phần mềm diệt virus.DLL SideLoading là kỹ thuật tấn công trong đó một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn.VirusTotal nhận diện đây là file "Winword.exe" chuẩn của MicrosoftVirusTotal nhận diện đây là file "Winword.exe" chuẩn của MicrosoftVới file “wwlib.dll”, ch
uyên gia CyRadar xác định, đây là file .dll mạo danh thư viện của Microsoft. File này không được tìm thấy trên Virustotal.com. “Như vậy, đây là một mã độc hoàn toàn mới mà hacker sử dụng trong chiến dịch lần này”, ch
uyên gia CyRadar Hà Minh Trường cho hay.Thông tin về cách thức hoạt động của mã độc, vị ch
uyên gia này lý giải, hacker đã sử dụng kỹ thuật DLL SideLoading để thực hiện cài đặt mã độc.Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.Cụ thể, khi nạn nhân mở file .exe cùng thư mục với wwlib.dll-fake thì file fake sẽ được load và thực thi các hành vi độc hại.Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.Wwlib.dll được load vào mem và được thực thi khi mở file winword.exeHình ảnh mã độc gửi lệnh xuống máy nạn nhân.Ch
uyên gia CyRadar phân tích, trước tiên, mã độc sẽ bung ra file “.doc” trong thư mục TEMP rồi thực hiện mở file đó nhằm đánh lừa người dùngHình ảnh mã độc gửi lệnh xuống máy nạn nhân.Tiếp theo, mã độc tạo vùng mem thực thi mới và sao chép shellcode được giải mã vào chính vùng mem đó, sau đó thực thi Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.Mã độc tiếp tục thực hiện tạo vùng mem mới và tiếp tục giải mã và sao chép shellcodeHình ảnh mã độc gửi lệnh xuống máy nạn nhân.Sau khi tạo thread mới với vùng mem vừa sao chép shellcode, mã độc thực hiện shellcode tiếp tục giải mã địa chỉ C&C và kết nối nhận dữ liệu từ máy chủHình ảnh mã độc gửi lệnh xuống máy nạn nhân.C2: "hxxps://api.ciscofreak[.]com/jZHP"Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.Đọc dữ liệu trên C2 rồi lưu vào memHình ảnh mã độc gửi lệnh xuống máy nạn nhân.Dữ liệu mà mã độc lấy về từ C2. Mã SHA1 "5AF7A8D128C859BC78F57B855AF30C299C58D8AB". Ch
uyên gia Hà Minh Trường nhận định: “Nhìn vào các Byte đầu tiên thì khả năng cao đây là 1 shellcode khác mà hacker đẩy xuống”.Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.Shellcode tiến hành giải mãHình ảnh mã độc gửi lệnh xuống máy nạn nhân.Sau khi giải mã, nhận được 1 file PE mới. SHA1: "E4A84461D81341981E3BF04DE6CFB30BC0D901BC".Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.Trên cơ sở phân tích shellcode được hacker đẩy xuống, ch
uyên gia CyRadar cho hay, tùy thuộc vào lệnh từ máy chủ điều khiển mã độc C&C mà mã độc sẽ thực hiện các hành vi độc hại khác nhau. Theo phân tích, có tất cả 76 lệnh mà hacker có thể ra lệnh cho mã độc như: đọc, ghi, thêm, sửa, xóa file bất kỳ trên hệ thống; thực thi command hệ thống từ xa; Cài cắm thêm mã độc khác; Điều khiển máy tính từ xa; thực hiện các hành vi gián điệp (đánh cắp tài khoản, ngh
e nén…); làm bàn đạp để lây lan sang các hệ thống khác trong mạng.Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.Đáng chú ý, t
heo chuyên gia CyRadar, hiện chưa có nhiều hãng cung cấp giải pháp bảo mật có thể nhận diện được chiến dịch tấn công này. Vì thế, ch
uyên gia CyRadar khuyến nghị các quản trị mạng của doanh nghiệp, tổ chức có thể sử dụng IOC dưới đây liên quan đến chiến dịch tấn công này để phát hiện và ngăn chặn tấn công:Trước đó, trao đổi với ICTnews, ch
uyên gia CyRadar chia sẻ, để phòng chống hình tấn công mạng bằng mã độc được phát tán qua thư điện tử, người dùng cá nhân cần trang bị cho máy tính của mình một phần mềm phòng chống mã độc được cập nhật thường xuyên, đầy đủ.Khi nhận được những thư điện tử có file đính kèm lạ hoặc được g?
?i t?? các đường link qua ứng dụng chat, người dùng phải hết sức cẩn thận, tuyệt đối không không bấm vào các file này; đồng thời người dùng cũng cần lưu ý địa chỉ email của người gửi cũng như nội dung của người gửi có liên quan đến công việc của mình hay không? Nếu thư điện tử được từ người lạ thì tuyệt đối không mở.Trường hợp người dùng đã giải nén và bấm vào file chứa mã độc, ch
uyên gia CyRadar khuyến nghị, việc cần làm trong trường hợp này là tạm thời cô lập máy và chuyển bộ phận IT của doanh nghiệp, tổ chức để xử lý; đồng thời cập nhật phần mềm diệt virus, gỡ bỏ mã độc hoặc cài lại máy.
Nguồn bài viết : Thống kê XSMN
