Qua hoạt động theo dõi tình hình an ninh mạng liên tục, VinCSS đã phát hiện có một tweet của nhóm ShadowChaser Group(@ShadowChasing1) về một tài liệu chứa mã độc với nội dung tiếng Việt. Nhận định, đây có thể là một chiến dịch tấn công mạng vào Việt Nam, chúng tôi đã tải được file mẫu về. Qua đánh giá nhanh, chúng tôi phát hiện nhiều điểm thú vị của mẫu này nên đã quyết định tiến hành phân tích. Dưới đây là Phần 1, phân tích nhanh mẫu mã độc trên.
- File Name: Thông cáo báo chí Kỳ họp thứ nhất của Ủy ban Kiểm tra Trung ương khóa XIII.docx
- SHA-256: 6f66faf278b5e78992362060d6375dcc2006bcee29ccc19347db27a250f81bcd
- File size: 23.51 KB (24072 bytes)
- File type: Office Open XML Document
Giải nén file .docx này và kiểm tra các file .xml được trích xuất ra, chúng tôi phát hiện ra file .docx này được khởi tạo, sửa đổi trên phần mềm Kingsoft Office, đây là một phần mềm soạn thảo văn bản phổ biến ở Trung Quốc.
Giá trị KSOProductBuildVer = 2052-11.1.0.10228. Tìm kiếm theo giá trị này, chúng tôi đoán có thể là phiên bản Kingsoft Office 2019.
Kiểm tra file tải về thì thấy nó là một file RTF:
Theo kinh nghiệm phân tích thì các file RTF này thường được sử dụng để khai thác lỗ hổng trong Equation Editor. Kiểm tra file bằng rtfobj:
Với kết quả trên hình, có thể nhận định khi thực thi file Main.jpg, nó sẽ tạo file 5.t vào thư mục %Temp%, thông qua việc khai thác lỗ hổng trên Equation Editor để thực thi shellcode, từ đó giải mã 5.t và thực thi file này. Tới đây có hai cách để giải mã 5.t:
- Cách 1: sử dụng rr_decoder
- Trích xuất 5.t bằng rtfobj.
- Sử dụng rr_decode.py để giải mã payload:
- Cách 2: Để mã độc thực hiện nhiệm vụ của nó bằng cách mở file RTF, mã độc sẽ giải mã ra payload 5.t và tạo một scheduled task để thực thi file này:
Kiểm tra file đã giải mã (d198c4d82eba42cc3ae512e4a1d4ce85ed92f3e5fdff5c248acd7b32bd46dc75), đây là một file dll với tên gốc là Download.dll. File này export một hàm duy nhất là StartW:
Kiểm tra sơ bộ file Download.dll này, chúng tôi thấy nó được build bằng Visual Studio 2019, linker version 14.28. TimeDateStamp lúc build là Thursday, 01.04.2021 01:59:48 UTC. Giá trị này thống nhất ở TimeDateStamp ở FileHeader và Debug Info, type ILTCG
Thông tin về RichID xác định được version Visual Studio 2019 mà hacker đang dùng là 16.8. Version hiện nay của Visual Studio 2019 là 16.9(.6)
Trong quá trình phân tích file Download.dll này, chúng tôi phát hiện dấu vết code base tương đồng, được tái sử dụng từ một chiến dịch trước của một nhóm APT Panda vào Việt Nam. Khi đó decoy document là file Dt-CT-cua-TTg.doc. File Dt-CT-cua-TTg.doc này cũng là một file RTF, cũng lợi dụng lỗi của Equation để thực thi shellcode và drop first stage payload. Bạn đọc có thể tham khảo một phân tích về chiến dịch này tại đây.
Phần tiếp theo, chúng tôi sẽ phân tích chi tiết về file Download.dll này và chỉ ra những điểm tương đồng trong source code ở file này và các PE file ở các payload sau đó của bài phân tích chiến dịch trên.
Truong Quoc
Ngan (aka HTC)
Tran Trung
Kien (aka m4n0w4r)
Malware
Analysis Expert
R&D
Center - VinCSS (a member of Vingroup)
Great article!! Cyber security is important to protect our website from various attack.
ReplyDelete