Phân tích kỹ thuật mã độc tấn công APT nhắm vào Ngân hàng tại Việt Nam

Trường GanG, CyRadar Team Tình hình an ninh mạng cho các ngân hàng những ngày gần đây đang nóng bỏng, bên cạnh sự vụ khách hàng liên tục...

Trường GanG, CyRadar Team
Tình hình an ninh mạng cho các ngân hàng những ngày gần đây đang nóng bỏng, bên cạnh sự vụ khách hàng liên tục nhận được các tin nhắn lừa đảo nhằm đánh cắp thông tin thẻ đang được dư luận quan tâm nhiều, thì công văn mới đây của VNCERT cũng thêm phần đánh tiếng chuông cảnh báo cho các ngân hàng về nguy cơ bị tấn công APT (Tấn công tinh vi có chủ đích) vẫn đang âm thầm, sát sườn.
CyRadar đã đi vào phân tích sâu về kỹ thuật của dòng mã độc này và phát hiện nhiều hành vi độc hại ảnh hưởng đến hệ thống, an toàn dữ liệu của ngân hàng, tổ chức quan trọng.
Sơ đồ hành vi của mã độc
I. Phân tích syschk.ps1
Tệp thực thi syschk.ps1 được viết bằng ngôn ngữ powershell script của Windows, nội dung chính của script được mã hóa base64, sau khi bóc tách, giải mã thì thấy mã độc sử dụng kỹ thuật Invoke-ReflectivePEInjection để inject mã độc vào tiến trình Explorer.exe. Mã độc không được ghi ra file mà thực thi ngay trên bộ nhớ do đó các phần mềm diệt virus sẽ rất khó phát hiện.
Script powershell sau khi được giải mã
Tiếp tục bóc tách mã độc và đi sâu vào phân tích thì thấy được các hành vi chính của loại mã độc này:
1. Keylogger
Mã độc sẽ ghi lại các tiêu đề cửa sổ của các ứng dụng đang chạy trên máy tính nạn nhân cùng với thời gian ghi nhận :
Mã độc sẽ ghi lại các thao tác bàn phím, dữ liệu copy,.. được thực hiện trên cửa sổ ứng dụng:
Dữ liệu sau đó, được ghi lại tại file %temp%GoogleChrome/chromeupdater_pk:
2. Capture screen
Mã độc có hành vi chụp màn hình máy tính
Sau khi chụp thành công thì tiến hành lưu file vào thu mục %temp%GoogleChrome với tên chromeupdater_ps_time:
Thư mục lưu trữ dữ liệu của mã độc
Mã độc nhận lệnh từ file 2.dat
II. Phân tích hs.exe
Tiếp tục phân tích với tệp thực thi hs.exe, hành vi chính của mã độc nhận lệnh từ server điều khiển để trao đổi dữ liệu.
Mã độc được biên dịch với thư viện libcurl phiên bản 7.49.1 để hỗ trơ mã hóa SSL traffic.
Mã độc nhận tham số [địa chỉ server điều khiển :Port] (đã mã hóa)
Giải mã tham số để có địa chỉ server điều khiển và Port
Khởi tạo kết nối đến server điều khiển:
Nhận lệnh từ server điều khiển và thực hiện các hành vi tương ứng:
Các lệnh mà mã độc nhận và thực hiện:
Nachalo : khởi tạo kết nối với server điều khiển. Ustanavlivat : handshake server điều khiển.
Poluchit : Gửi dữ liệu đến server điều khiển:
Pereslat: Nhận dữ liệu từ server điều khiển:
Derzhat : Giữ kết nới với server điều khiển. Vykhodit : Ngắt kết nối với server điều khiển.
Mã độc sử dụng giao thức SSL và dựa trên mã nguồn của curl do đó mã độc có thể vận chuyển các dữ liệu thông qua HTTP,HTTPS,FTP,SMTP.
Ngôn ngữ được sử dụng mã độc là tiếng Nga, liệu kẻ đứng sau có phải là hacker Nga hay là chỉ là sự che giấu bằng cách giả vờ như tin tặc Nga thì vẫn là một dấu hỏi.
Hacker sử dụng tiếng Nga để ra lệnh cho mã độc
Một đặc điểm đáng chú ý khác là file độc được phân tích ở đây có cách thức hoạt động với quy cách lệnh điều khiển rất giống với dòng mã độc đã tấn công vào một loạt ngân hàng trên thế giới đầu năm 2017 (Tham khảo bài phân tích của BAE Systems)
Các lệnh điều khiển theo phân tích của BAE hoàn toàn khớp với các lệnh đã phân tích ở trên
Như vậy, khả năng cao đây là 1 nhóm tội phạm quốc tế chuyên nhắm vào các ngân hàng và tổ chức tài chính trên thế giới.
LAZARUS MALWARE mà BEA Systems nhắc đến trong bài phân tích nói trên, được biết chính là mã độc trong vụ website Cơ quan giám sát tài chính Ba Lan (knf.gov.pl) bị lợi dụng chèn mã độc, tấn công nhiều người dùng đến từ các ngân hàng khác trên thế giới vào tháng 2/2017. Ở chiến dịch đó, đoạn script độc mà hacker nhúng vào có tính năng chỉ tiến hành lây nhiễm đối với IP truy cập thuộc danh sách IP của các Bank mà hacker có từ trước. Rõ ràng nhóm hacker này (được cho là có tên LAZARUS) chỉ nhắm tới các ngân hàng, vụ này khi đó cũng được cảnh báo rộng tới các Ngân hàng Việt Nam.
Có thể nhận thấy loại mã độc này có tính chất cực kỳ nguy hiểm, mà tổ chức đứng đằng sau nó có vẻ chủ đích tấn công dai dẳng trực tiếp đến các ngân hàng. Theo phân tích thì cách thức của dòng mã độc này linh hoạt thay đổi server điều khiển (C&C) theo từng chiến dịch, nếu có một chiến dịch mới thì có thể là phiên bản mã độc với mã hash mới và C&C mới nên khả năng lớn qua mặt được các giải pháp phát hiện mã độc truyền thống . Vì vậy một hệ thống giám sát thông minh dựa trên AI mới hy vọng có thể phát hiện sớm, chặn đứng được nguy cơ kiểu này.
CyRadar khuyến cáo các ngân hàng, cơ quan tiến hành rà soát mã độc, kiểm tra kết nối theo công văn của VNCERT, và chú ý cập nhật các bản vá hệ điều hành, ứng dụng trên hệ thống. Đồng thời phải cẩn trọng trong việc mở các email, các đường link có nguồn gốc không rõ ràng.

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Anotador,1,AutoIT,17,Ấn Độ,1,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,97,Bất Động Sản Tại Tiền Giang,4,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chiến tranh,2,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Cổ Trang,11,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,2,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,13,ebook free,286,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,77,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,68,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,10,Hacking and Security,6,Hacking Tools,36,Hài hước,8,Hành Động,9,He Thong Site Phim,25,Hijacking,6,Hình Sự,5,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,Hồng Kông,3,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,27,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,1,Khoa Huyễn,6,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,31,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,25,Kinh Dị - Ma,6,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,Lập trình,1,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lồng Tiếng,6,Lược Sử Hacker,2,Mã Giảm Giá,1,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,77,Pen-Test,6,Pentest Box,9,phanmem,22,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,10,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,58,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đang Cập Nhập,5,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoàn Thành,7,Phim Hoạt Hình,2,Phim Hot,2,Phim Hồng Kông,20,Phim HQ,15,Phim Kinh Dị,8,Phim lẻ,7,Phim Mới 2007,1,Phim Mới 2010,1,Phim Mới 2011,4,Phim Mới 2012,2,Phim Mới 2013,2,Phim Mới 2014,6,Phim Mới 2015,4,Phim Nhật Bản,4,Phim SD,12,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,32,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,prc,79,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,rút gọn link,1,sach,47,Sách,33,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,Thành Long,1,them,1,Thiết Kế Web,28,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,5,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,100,TIL,8,Tin Tức,49,Tình Cảm - Tâm Lý,16,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,Trinh Thám - Hình Sự,8,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,9,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,TVB,3,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,3,Việt Nam,14,Virus,4,Võ Thuật,12,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Dịch Vụ CNTT: Phân tích kỹ thuật mã độc tấn công APT nhắm vào Ngân hàng tại Việt Nam
Phân tích kỹ thuật mã độc tấn công APT nhắm vào Ngân hàng tại Việt Nam
https://scontent.fsgn3-1.fna.fbcdn.net/v/t1.0-9/37856376_1308682269263564_517837639873724416_o.png?_nc_cat=0&oh=7420228a89b3eeb584bd602f9735a8b9&oe=5BC96FA4
NhutTruong.Com - Dịch Vụ CNTT
https://www.nhuttruong.com/2018/07/phan-tich-ky-thuat-ma-oc-tan-cong-apt.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2018/07/phan-tich-ky-thuat-ma-oc-tan-cong-apt.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow Đây là nội dung quý hiếm để tránh google quét chết link Vui lòng đăng nhập Facebook hoặt Tweet để like và share để hiện link Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy