[EX008] The exploit chain allows to take control of Zalo user accounts

 

While using the Zalo application, one of the popular chat applications in Vietnam today (According to statistics from Wikipedia, since May 2018, Zalo has reached 100 million users), the Threat Hunting team from VinCSS LLC discovered some security vulnerabilities that allow the attacker to form an exploit chain to take control of Zalo accounts.

Beside that, while researching this attack chain, we also found it can exploit ZaloPay, an e-wallet and online payment platform that was also very successful in Vietnam.

A unique feature of the discovered exploit chain is that the bad guy can completely take control of any Zalo user account by tricking the victim into clicking on a sophisticated concealed link. When successfully accessing the Zalo user account, the Zalo application on the victim's phone will not appear in any new login session warning.

On August 10, 2021, VinCSS informed the security team of Zalo and immediately received positive feedback from the Zalo security team. By August 15, 2021, Zalo informed that it had fixed most of the vulnerabilities. A detailed timeline will be available at the end of this article.

This article will summarize technical information about the vulnerabilities that VinCSS has discovered, thereby helping businesses avoid similar vulnerabilities in the future.

[EX008] Chuỗi khai thác cho phép chiếm quyền kiểm soát tài khoản người dùng Zalo

 

Trong quá trình sử dụng ứng dụng Zalo, một trong những ứng dụng chat phổ biến tại Việt Nam hiện nay (theo thống kê từ Wikipedia, từ tháng 5/2018, Zalo đã đạt mốc 100 triệu người dùng), nhóm Săn mối nguy của VinCSS đã phát hiện một số điểm yếu bảo mật cho phép kẻ xấu có thể hình thành một chuỗi khai thác để chiếm quyền kiểm soát tài khoản Zalo của người dùng.

Ngoài ra, trong chuỗi khai thác này, nhóm cũng đã phát hiện có thể khai thác tiếp ZaloPay, một nền tảng ví điện tử và thanh toán trực tuyến cũng rất thành công tại Việt Nam.

Điểm đặc biệt của chuỗi khai thác đã được phát hiện là kẻ xấu hoàn toàn có thể chiếm quyền kiểm soát một tài khoản người dùng Zalo bất kỳ thông qua việc dẫn dụ nạn nhân nhấp vào một đường link được che đậy tinh vi. Khi truy cập thành công vào tài khoản của người dùng, ứng dụng Zalo trên điện thoại của nạn nhân sẽ không xuất hiện bất kỳ cảnh báo phiên đăng nhập mới nào.

Ngày 10/8/2021, VinCSS đã thông báo tới bộ phận an ninh bảo mật của Zalo và ngay lập tức nhận được các phản hồi tích cực từ Zalo. Đến 15/8/2021, Zalo thông báo đã khắc phục phần lớn các lỗ hổng. Timeline chi tiết sẽ có ở cuối bài.

Bài viết này sẽ tóm tắt thông tin kỹ thuật về các lỗ hổng mà VinCSS đã phát hiện, từ đó giúp các doanh nghiệp có thể tránh được các lỗ hổng tương tự trong tương lai.

[RE025] TrickBot ... many tricks

 

1. Tổng quan

Được phát hiện lần đầu vào năm 2016, tới thời điểm hiện tại TrickBot (còn được biết đến với những tên gọi khác như TrickLoader hay Trickster) đã trở thành một trong những mã độc nguy hiểm và phổ biến nhất hiện nay. Những kẻ đứng đằng sau TrickBot liên tục phát triển để thêm các tính năng và thủ thuật mới. Mã độc này được phát triển dưới dạng mô-đun, theo đó payload chính sẽ chịu trách nhiệm tải các plugin khác có khả năng thực hiện các tác vụ cụ thể, bao gồm đánh cắp tài khoản và thông tin nhạy cảm, cung cấp khả năng truy cập từ xa, lây lan qua mạng cục bộ, và tải xuống phần mềm độc hại khác.

Trickbot được cho là có nguồn gốc từ Nga. Theo các tin đã đưa (1, 2), tính tới thời điểm hiện tại có ít nhất hai người được cho là thành viên của nhóm đã bị bắt giữ. Mặc dù vậy, băng nhóm này hiện vẫn tiếp tục hoạt động như bình thường.

Thông qua hoạt động giám sát an ninh mạng và bảo vệ hệ thống cho khách hàng trong thời gian gần đây, VinCSS đã phát hiện và ngăn chặn thành công một chiến dịch tấn công phishing để phát tán mã độc nhắm vào khách hàng mà VinCSS đang bảo vệ. Qua quá trình phân tích, bóc tách các kĩ thuật của mã độc, chúng tôi có thể khẳng định đây chính là một mẫu thuộc dòng mã độc Trickbot.

Trong bài viết này, chúng tôi sẽ phân tích cách thức lây nhiễm của Trickbot sau khi khởi chạy bởi tài liệu Word độc hại, các kĩ thuật mã độc sử dụng để gây khó khăn cho việc phân tích. Không giống như Emotet hay Qakbot, Trickbot che dấu các địa chỉ C2 bằng cách sử dụng các địa chỉ C2 giả trộn lẫn với các địa chỉ C2 thật trong cấu hình, chúng tôi sẽ đề cập chi tiết cách để trích xuất danh sách C2 cuối cùng ở phần cuối của bài viết. Bên cạnh đó là phương pháp để khôi phục lại các hàm APIs cũng như giải mã các strings của Trickbot bằng IDA Appcall để giúp quá trình phân tích dễ dàng hơn.

[RE025] TrickBot ... many tricks


1. Introduction

First discovered in 2016, until now TrickBot (aka TrickLoader or Trickster) has become one of the most popular and dangerous malware in today's threat landscape. The gangs behind TrickBot are constantly evolving to add new features and tricks. Trickbot is multi-modular malware, with a main payload will be responsible for loading other plugins capable of performing specific tasks such as steal credentials and sensitive information, provide remote access, spread it over the local network, and download other malwares.

Trickbot roots are being traced to elite Russian-speaking cybercriminals. According to these reports (1, 2), up to now, at least two people believed to be members of this group have been arrested. Even so, other gang members are currently continuing to operate as normal.

Through continuous cyber security monitoring and system protection for customer recently, VinCSS has successfully detected and prevented a phishing attack campaign to distribute malware to customer that was protected by us. After the deep dive analysis and dissection of the malware techniques, we can confirm that this is a sample of the Trickbot malware family.

In this article, we decided to provide a detail analysis of how Trickbot infects after launching by a malicious Word document, the techniques the malware uses to make it difficult to analyze. Unlike Emotet or Qakbot, Trickbot hides C2 addresses by using fake C2 addresses mixed together with real C2 addresses in the configuration, we will cover how to extract the final C2 list at the end of this article. In addition, we present the method to recover the APIs as well as decode the strings of Trickbot based on IDA AppCall feature to make the analysis process easier.

[RE024] Tìm hiểu về IDA Microcode

 

1. Giới thiệu

Tổng quan khi biên dịch một chương trình, compiler sẽ thực hiện như sau:

Các bước cơ bản của một chương trình compiler

Khi decompile một chương trình sang mã giả C, hexrays sẽ làm điều ngược lại:

Các bước cơ bản của một chương trình decompiler

Một trong những bước quan trọng trong việc decompile một chương trình là ngôn ngữ trung gian (Intermediate Language/IL). IDA microcode là một IL, là thành phần chính của Hexrays decompiler. Microcode được Ilfak bắt đầu thiết kế vào năm 1999 nhưng mãi đến tận năm 2018, Hexrays mới cung cấp API cho người dùng để truy cập sử dụng microcode. Trong bài này, chúng ta sẽ cùng nhau tìm hiểu sơ lược qua IDA microcode và cách ứng dụng ở mức cơ bản nhất.