Phân tích kỹ thuật mã độc tấn công APT nhắm vào Ngân hàng tại Việt Nam

458

Tình hình an ninh mạng cho các ngân hàng gần đây đang trở thành vấn đề đáng báo động. Các khách hàng liên tục nhận được các tin nhắn lừa đảo nhằm đánh cắp thông tin thẻ, công văn mới đây của VNCERT đã gióng lên hồi chuông cảnh báo về nguy cơ bị tấn công APT (Tấn công tinh vi có chủ đích) cho các ngân hàng. CyRadar đã đi vào phân tích sâu về kỹ thuật của dòng mã độc này và phát hiện nhiều hành vi độc hại ảnh hưởng đến hệ thống, an toàn dữ liệu của ngân hàng, tổ chức quan trọng.

Sơ đồ hành vi của mã độc

1. Phân tích syschk.ps1

Tệp thực thi syschk.ps1 được viết bằng ngôn ngữ powershell script của Windows, nội dung chính của script được mã hóa base64, sau khi bóc tách, giải mã thì kết quả cho thấy mã độc sử dụng kỹ thuật Invoke-ReflectivePEInjection để chèn mã độc vào tiến trình Explorer.exe. Mã độc không được ghi ra file mà thực thi ngay trên bộ nhớ, do đó các phần mềm diệt virus sẽ rất khó phát hiện.

Script powershell sau khi được giải mã

Tiếp tục bóc tách mã độc và đi sâu vào phân tích thì ghi nhận được các hành vi chính của loại mã độc này :

Keylogger

Mã độc sẽ ghi lại các tiêu đề cửa sổ của các ứng dụng đang chạy trên máy tính nạn nhân cùng với thời gian ghi nhận :

Mã độc sẽ ghi lại các thao tác bàn phím, dữ liệu copy,.. được thực hiện trên cửa sổ ứng dụng:

Dữ liệu sau đó, được ghi lại tại file %temp%GoogleChorme/chromeupdater_pk:

Capture screen

Mã độc có hành vi chụp màn hình máy tính:

Sau khi chụp thành công thì tiến hành lưu file vào thu mục %temp%GoogleChorme với tên chormeupdater_ps_time:

Thư mục lưu trữ dữ liệu của mã độc

Mã độc nhận lệnh từ file 2.dat

2. Phân tích hs.exe

Tiếp tục phân tích với tệp thực thi hs.exe, hành vi chính của mã độc nhận lệnh từ server điều khiển để trao đổi dữ liệu.

Mã độc được biên dịch với thư viện libcurl phiên bản 7.49.1 để hỗ trơ mã hóa SSL traffic.

Mã độc nhận tham số [địa chỉ server điều khiển :Port] (đã mã hóa)

Giải mã tham số để có địa chỉ server điều khiển và Port

Khởi tạo kết nối đến server điều khiển:

Nhận lệnh từ server điều khiển và thực hiện các hành vi tương ứng:

Các lệnh mà mã độc nhận và thực hiện:

Nachalo: khởi tạo kết nối với server điều khiển.

Ustanavlivat: handshake server điều khiển.

Poluchit: Gửi dữ liệu đến server điều khiển:

Pereslat: Nhận dữ liệu từ server điều khiển:

Derzhat: Giữ kết nới với server điều khiển.

Vykhodit: Ngắt kết nối với server điều khiển.

Mã độc sử dụng giao thức SSL và dựa trên mã nguồn của curl do đó mã độc có thể vận chuyển các dữ liệu thông qua HTTP, HTTPS, FTP, SMTP.

Ngôn ngữ được sử dụng mã độc là tiếng Nga, liệu kẻ đứng sau có phải là hacker Nga hay là chỉ là sự che giấu bằng cách giả vờ như tin tặc Nga thì vẫn là một dấu hỏi.

Hacker sử dụng tiếng Nga để ra lệnh cho mã độc

Một đặc điểm đáng chú ý khác là file độc được phân tích ở đây có cách thức hoạt động với quy cách lệnh điều khiển rất giống với dòng mã độc đã tấn công vào một loạt ngân hàng trên thế giới đầu năm 2017 (Tham khảo bài phân tích của BAE Systems)

Các lệnh điều khiển theo phân tích của BAE hoàn toàn khớp với các lệnh đã phân tích ở trên.

LAZARUS MALWARE mà BEA Systems nhắc đến trong bài phân tích nói trên, được biết chính là mã độc trong vụ website Cơ quan giám sát tài chính Ba Lan (knf.gov.pl) bị lợi dụng chèn mã độc, tấn công nhiều người dùng đến từ các ngân hàng khác trên thế giới vào tháng 2/2017. Ở chiến dịch đó, đoạn script độc mà hacker nhúng vào có tính năng chỉ tiến hành lây nhiễm đối với IP truy cập thuộc danh sách IP của các Bank mà hacker có từ trước. Rõ ràng nhóm hacker này (được cho là có tên LAZARUS) chỉ nhắm tới các ngân hàng, vụ này khi đó cũng được cảnh báo rộng tới các Ngân hàng Việt Nam.

Có thể nhận thấy loại mã độc này có tính chất cực kỳ nguy hiểm, mà tổ chức đứng đằng sau nó có vẻ chủ đích tấn công dai dẳng trực tiếp đến các ngân hàng. Theo phân tích thì cách thức của dòng mã độc này linh hoạt thay đổi server điều khiển (C&C) theo từng chiến dịch, nếu có một chiến dịch mới thì có thể là phiên bản mã độc với mã hash mới và C&C mới nên khả năng lớn qua mặt được các giải pháp phát hiện mã độc truyền thống . Vì vậy một hệ thống giám sát thông minh dựa trên AI mới hy vọng có thể phát hiện sớm, chặn đứng được nguy cơ kiểu này.

CyRadar khuyến cáo các ngân hàng, cơ quan tiến hành rà soát mã độc, kiểm tra kết nối theo công văn của VNCERT, và chú ý cập nhật các bản vá hệ điều hành, ứng dụng trên hệ thống. Đồng thời phải cẩn trọng trong việc mở các email, các đường link có nguồn gốc không rõ ràng.

Trường GanG – CyRadar

Tin liên quan:
  • 45
    Shares
  • 45
    Shares