Phân tích kỹ thuật mã độc tấn công APT nhắm vào Ngân hàng tại Việt Nam

Trường GanG, CyRadar Team
Tình hình an ninh mạng cho các ngân hàng những ngày gần đây đang nóng bỏng, bên cạnh sự vụ khách hàng liên tục nhận được các tin nhắn lừa đảo nhằm đánh cắp thông tin thẻ đang được dư luận quan tâm nhiều, thì công văn mới đây của VNCERT cũng thêm phần đánh tiếng chuông cảnh báo cho các ngân hàng về nguy cơ bị tấn công APT (Tấn công tinh vi có chủ đích) vẫn đang âm thầm, sát sườn.
CyRadar đã đi vào phân tích sâu về kỹ thuật của dòng mã độc này và phát hiện nhiều hành vi độc hại ảnh hưởng đến hệ thống, an toàn dữ liệu của ngân hàng, tổ chức quan trọng.
Sơ đồ hành vi của mã độc
I. Phân tích syschk.ps1
Tệp thực thi syschk.ps1 được viết bằng ngôn ngữ powershell script của Windows, nội dung chính của script được mã hóa base64, sau khi bóc tách, giải mã thì thấy mã độc sử dụng kỹ thuật Invoke-ReflectivePEInjection để inject mã độc vào tiến trình Explorer.exe. Mã độc không được ghi ra file mà thực thi ngay trên bộ nhớ do đó các phần mềm diệt virus sẽ rất khó phát hiện.
Script powershell sau khi được giải mã
Tiếp tục bóc tách mã độc và đi sâu vào phân tích thì thấy được các hành vi chính của loại mã độc này:
1. Keylogger
Mã độc sẽ ghi lại các tiêu đề cửa sổ của các ứng dụng đang chạy trên máy tính nạn nhân cùng với thời gian ghi nhận :
Mã độc sẽ ghi lại các thao tác bàn phím, dữ liệu copy,.. được thực hiện trên cửa sổ ứng dụng:
Dữ liệu sau đó, được ghi lại tại file %temp%GoogleChrome/chromeupdater_pk:
2. Capture screen
Mã độc có hành vi chụp màn hình máy tính
Sau khi chụp thành công thì tiến hành lưu file vào thu mục %temp%GoogleChrome với tên chromeupdater_ps_time:
Thư mục lưu trữ dữ liệu của mã độc
Mã độc nhận lệnh từ file 2.dat
II. Phân tích hs.exe
Tiếp tục phân tích với tệp thực thi hs.exe, hành vi chính của mã độc nhận lệnh từ server điều khiển để trao đổi dữ liệu.
Mã độc được biên dịch với thư viện libcurl phiên bản 7.49.1 để hỗ trơ mã hóa SSL traffic.
Mã độc nhận tham số [địa chỉ server điều khiển :Port] (đã mã hóa)
Giải mã tham số để có địa chỉ server điều khiển và Port
Khởi tạo kết nối đến server điều khiển:
Nhận lệnh từ server điều khiển và thực hiện các hành vi tương ứng:
Các lệnh mà mã độc nhận và thực hiện:
Nachalo : khởi tạo kết nối với server điều khiển. Ustanavlivat : handshake server điều khiển.
Poluchit : Gửi dữ liệu đến server điều khiển:
Pereslat: Nhận dữ liệu từ server điều khiển:
Derzhat : Giữ kết nới với server điều khiển. Vykhodit : Ngắt kết nối với server điều khiển.
Mã độc sử dụng giao thức SSL và dựa trên mã nguồn của curl do đó mã độc có thể vận chuyển các dữ liệu thông qua HTTP,HTTPS,FTP,SMTP.
Ngôn ngữ được sử dụng mã độc là tiếng Nga, liệu kẻ đứng sau có phải là hacker Nga hay là chỉ là sự che giấu bằng cách giả vờ như tin tặc Nga thì vẫn là một dấu hỏi.
Hacker sử dụng tiếng Nga để ra lệnh cho mã độc
Một đặc điểm đáng chú ý khác là file độc được phân tích ở đây có cách thức hoạt động với quy cách lệnh điều khiển rất giống với dòng mã độc đã tấn công vào một loạt ngân hàng trên thế giới đầu năm 2017 (Tham khảo bài phân tích của BAE Systems)
Các lệnh điều khiển theo phân tích của BAE hoàn toàn khớp với các lệnh đã phân tích ở trên
Như vậy, khả năng cao đây là 1 nhóm tội phạm quốc tế chuyên nhắm vào các ngân hàng và tổ chức tài chính trên thế giới.
LAZARUS MALWARE mà BEA Systems nhắc đến trong bài phân tích nói trên, được biết chính là mã độc trong vụ website Cơ quan giám sát tài chính Ba Lan (knf.gov.pl) bị lợi dụng chèn mã độc, tấn công nhiều người dùng đến từ các ngân hàng khác trên thế giới vào tháng 2/2017. Ở chiến dịch đó, đoạn script độc mà hacker nhúng vào có tính năng chỉ tiến hành lây nhiễm đối với IP truy cập thuộc danh sách IP của các Bank mà hacker có từ trước. Rõ ràng nhóm hacker này (được cho là có tên LAZARUS) chỉ nhắm tới các ngân hàng, vụ này khi đó cũng được cảnh báo rộng tới các Ngân hàng Việt Nam.
Có thể nhận thấy loại mã độc này có tính chất cực kỳ nguy hiểm, mà tổ chức đứng đằng sau nó có vẻ chủ đích tấn công dai dẳng trực tiếp đến các ngân hàng. Theo phân tích thì cách thức của dòng mã độc này linh hoạt thay đổi server điều khiển (C&C) theo từng chiến dịch, nếu có một chiến dịch mới thì có thể là phiên bản mã độc với mã hash mới và C&C mới nên khả năng lớn qua mặt được các giải pháp phát hiện mã độc truyền thống . Vì vậy một hệ thống giám sát thông minh dựa trên AI mới hy vọng có thể phát hiện sớm, chặn đứng được nguy cơ kiểu này.
CyRadar khuyến cáo các ngân hàng, cơ quan tiến hành rà soát mã độc, kiểm tra kết nối theo công văn của VNCERT, và chú ý cập nhật các bản vá hệ điều hành, ứng dụng trên hệ thống. Đồng thời phải cẩn trọng trong việc mở các email, các đường link có nguồn gốc không rõ ràng.