[RE019] From A to X analyzing some real cases which used recent Emotet samples

 

1. Introduction

Emotet (also known as Heodo, Geodo) is one of the most dangerous Trojan today. Through mass email spam campaigns, it targets mostly companies and organizations to steal sensitive information from victims. Recent records show that Emotet is often used as a downloader for other malware, and is an especially popular delivery mechanism for banking Trojans, such as Qakbot and TrickBot, and also lead to ransomware attacks using Ryuk.

ANY.RUN’s annualreport pointed out that the most active malware in 2020 is Emotet.

Fig 1. Statistics of top threats by uploads for 2020

In this article, we analyze in detail full attack flow in some real cases of recent Emotet samples which were discovered and handled by us while providing cyber security services to our customer:

¨ Sample 1:

· Document template: b836b13821f36bd9266f47838d3e853e

· Loader binary: 442506cc577786006da7073c0240ff59

¨ Sample 2:

· Document template: 7dbd8ecfada1d39a81a58c9468b91039

· Loader binary: e87553aebac0bf74d165a87321c629be

¨ Sample 3:

· Document template: d5ca36c0deca5d71c71ce330c72c76aa

· Loader binary: 825b74dfdb58b39a1aa9847ee6470979

[RE019] Phân tích từ A đến X chiến dịch tấn công thực tế sử dụng Emotet gần đây

 

1. Giới thiệu

Emotet (còn được biết đến với tên khác như Heodo, Geodo) được đánh giá là một trong những trojan nguy hiểm nhất hiện nay. Bằng các chiến dịch email spam hàng loạt, nó nhắm mục tiêu chủ yếu là các công ty, tổ chức nhằm đánh cắp các thông tin nhạy cảm của nạn nhân. Bên cạnh đó, các ghi nhận gần đây cho thấy Emotet còn được sử dụng như một dịch vụ nhằm tải và cài đặt các dòng banking Trojan khác như TrickBot, Qbot, hoặc thậm chí là mã độc tống tiền như Ryuk.

Báo cáo thườngniên của ANY.RUN cho thấy mã độc hoạt động nhiều nhất trong năm 2020 chính là Emotet.

Hình 1. Thống kê năm 2020 của ANY.RUN

Trong bài viết này, chúng tôi phân tích chi tiết toàn bộ luồng tấn công thực tế sử dụng các mẫu mã độc Emotet đã bị chúng tôi phát hiện và ngăn chặn gần đây khi tham gia bảo đảm an toàn thông tin cho hệ thống của khách hàng:

¨ Mẫu 1:

· Document template: b836b13821f36bd9266f47838d3e853e

· Loader binary: 442506cc577786006da7073c0240ff59

¨ Mẫu 2:

· Document template: 7dbd8ecfada1d39a81a58c9468b91039

· Loader binary: e87553aebac0bf74d165a87321c629be

¨ Mẫu 3:

· Document template: d5ca36c0deca5d71c71ce330c72c76aa

· Loader binary: 825b74dfdb58b39a1aa9847ee6470979

[PT008] Fuzzing Linux kernel với Syzkaller

 

Syzkaller là một fuzzer tìm lỗ hổng trên nhân Linux rất hiệu quả, và đã hỗ trợ tìm ra rất nhiều bug trong những năm gần đây. Các bạn có thể từng nghe đến những cái tên như Dirty Cow, Meltdown, Spectre, BlueBorne… Nhưng syzkaller tìm được hàng nghìn bug như thế trong vài năm qua. Đây là link những bug mà syzkaller tìm thấy.

Hình 1. Một số kernel bugs nghiêm trọng đã được phát hiện [1]

Google xây dựng một hệ thống là syzbot, fuzz tự động và liên tục nhân Linux tại đâyBug họ tìm thấy chủ yếu nhờ vào hệ thống này.

Hình 2. Syzbot dashboard [2]

Trong danh sách này, các bug nghiêm trọng sẽ được ưu tiên fix trước. Có một điều đặc biệt tôi nhận thấy là tất cả các bug đều được public, kể cả các bug chưa được fix. Đồng thời, tôi nhận thấy rằng các hệ thống thật “in the wild” thường không được cập nhật nhân thường xuyên, đặc biệt là trên PC, server. Nếu như hacker target vào một mục tiêu nào đó, muốn thực hiện leo quyền hay RCE hệ thống, thì họ có thể đợi syzbot tìm ra một lỗi nghiêm trọng, rồi viết mã khai thác cho target đó.

[PT008] Fuzzing Linux kernel with Syzkaller

 

Syzkaller is a very effective fuzzer for Linux kernel that has found a lot of bugs in recent years. You may have heard of names like Dirty Cow, Meltdown, Spectre, BlueBorne… but syzkaller have found thousands of such bugs over the past few years. Here is the link to the bugs that syzkaller reported

Figure 1. Wellknown kernel bugs [1]

Google also built a system called syzbot that automatically and continuously fuzz Linux kernel. Their bugs mainly thank to this system.

Figure 2. Syzbot dashboard [2]

The special thing I see is that all bugs are public, including bugs that have not been fixed. Serious bugs will be fixed first. I notice that real systems don’t get kernel updates as often as it should, especially PCs and servers. If a hacker wants to perform an LPE or RCE attack on a target, he can wait for syzbot to find a serious bug, and then write the exploit code for that target.

[RE018-2] Analyzing new malware of China Panda hacker group used to attack supply chain against Vietnam Government Certification Authority - Part 2

 

IV. The relevant evidence to China Panda hacker group

Smanager_ssl.dll was built with Visual Studio (VS) 2015, build timestamp: Sunday, 26.04.2020 15:11:24 UTC, which was 04/26/2020 - 10:11:24 PM Vietnam time (GMT +7). Linker version 14.00 is from VS 2015 and after that, VS 2017, 2019,… still remains 14.xx.

Figure 1. Linker information

Information about PE RichID of Smanager_ssl.dll:

Figure 2. PE RichID information