Phát hiện Phần mềm độc hại ẩn dấu dưới dịch vụ BITS của Windows

188

Trong vòng 6 tháng đầu năm 2018, CyRadar đã phát hiện một dòng mã độc lạm dụng Microsoft’s Background Intelligent Transfer Service (BITS) để ẩn mình đang nhắm đến các tổ chức và doanh nghiệp tại Việt Nam. Thông thường, BITS được Microsoft sử dụng trong việc cập nhật Windows hoặc được nhà cung cấp thứ 3 sử dụng để cập nhật các gói dữ liệu. Do các hành động của BITS được tưởng lửa (firewall) chấp nhận nên đây là điều hấp dẫn cho các hacker khai thác.

Kỹ thuật này từng được ghi nhận sử dụng bởi mã độc từ vài năm trước nhưng chưa phổ biến khiến nó dần bị lãng quên. Bắt đầu từ tháng 1 năm 2018 cho đến nay, mã độc khai thác BITS đã trở lại với nhiều biến thể gây khó khăn cho việc rà soát, phát hiện mã độc trên máy. Bài viết thuật lại cách thức khai thác BITS của mã độc cùng với xu thế đào tiền ảo.

Trong quá trình giám sát an ninh mạng tại các doanh nghiệp, hệ thống CyRadar Advanced Threat Detection đã phát hiện ra sự bất thường của service svchost.exe có kết nối đến domain độc hại. Phân tích sâu hơn đã chỉ ra sự bất thường nằm ở BITS client, BITS thực hiện tải và thực thi tệp. Các tác vụ BITS sau khi đã hoàn thành tải và thực thi sẽ dọn dẹp registry, tệp mà chỉ lưu lại trên cơ sở dữ liệu của BITS.

Hình 1: Minh họa Windows sử dụng BITS thông thường để thực hiện cập nhật

CyRadar đã thực hiện phân tích sâu để làm rõ hành vi lợi dụng BITS thực thi lệnh của mã độc. Trước hết, mã độc đăng ký nội dung BITS client thông qua BITS interface (được Microsoft hỗ trợ)

Hình 2. Mã độc sử dụng code BITS interface để đăng ký nội dung BITS client

Hình 3. Nội dung biến aCStartMinCmdC được mã độc sử dụng (phân tích bằng IDA)

Sau khi đoạn code trên được thực hiện thì cơ sở dữ liệu của BITS đã được thay đổi theo mục đích của Hacker. ( Cơ sở dữ liệu của BITS được lưu trữ ở thư mục C:\ProgramData\Microsoft\Network\Downloader với các file là qmgr0.dat, qmgr1.dat)

Hình 4. Nội dung file qmgr0.dat

Kết quả cho thấy BITS đang chờ xử lý các tác vụ tương ứng với các job trong 2 tệp cơ sở dữ liệu. Tác vụ đầu tiên thực hiện tải tệp vào thư mục C:\ProgramData\{6bb21879-212c-1}\{6bb21879-212c-1} từ remote URL :

http:[removed]list[.]info/u/?q=4HDzzheirsXk0-oSl0dgax5qzhRvswG[removed]ctQ&r=7683545837846475603

Sau đó, BITS sẽ thực hiện các câu lệnh: (tương ứng với biến aCStartMinCmdC đã được mã độc xử lý)

Sau khi đã cài đặt được vào máy tính, mã độc thực hiện tải và thực thi tệp từ infoboy[.]info (81.171.xxx.76) để bắt đầu đào tiền ảo. Hacker thực hiện đăng ký rất nhiều domain để có thể thay đổi server điều khiển khi cần.

Hình 5. Các domain liên quan đến chiến dịch được CyRadar ghi nhận

Các tác vụ sau tương tự với tác vụ đầu tiên nhưng có thay đổi tên thư mục, công việc và remote URL . Các tác vụ sẽ chờ được xử lý trên máy.

Việc kiểm tra các tác vụ của bitadmin client có thể thực hiện bằng cmd.exe, chạy quyền admin với câu lệnh bitsadmin /list /allusers /verbose:

Hình 6: Kết quả chạy câu lệnh trong môi trường nhiễm mã độc

Đối với trường hợp cụ thể của phiên bản mã độc này, các quản trị mạng nên chặn không cho máy tính trong mạng truy cập đến những domain sau:

riyah[.]net

zambi[.]info

lenda[.]info

amous[.]net

infoboy[.]info

listcool[.]info

dynamaven[.]info

blogmiller[.]info

….

Mở rộng ra, với các trường hợp mã độc tinh vi như vậy, người dùng nên sử dụng các giải pháp giám sát mạng để phát hiện kịp thời những máy tính có dấu hiệu nhiễm mã độc trong mạng của mình.

Tân Tân – CyRadar

BÌNH LUẬN

Please enter your comment!
Please enter your name here