Mã độc có đuôi .scr được VietSunshine Pentest team thu thập từ file đính kèm qua email của nạn nhân. Tên file đính kèm là Proforma Invoice & Bank detail-xxx.Xlsx.z, qua phân tích sơ bộ thì đây là mail phishing lừa đảo nạn nhận click vào để thực thi các mã lệnh.
Các bước phân tích mã độc
Tiến hành giải nén tập tin đính kèm ta thu được file mới Revised proforma Invoice and bank information.scr
Ta thấy đây là file thực thi .NET trên Windows. Đưa vào Dnspy phân tích
Đây là wrapper được sử dụng để che giấu mã độc thực sự bên trong nó, malware này sử dụng mã hóa RijndaelManaged (line 193) với key (177) và iv (181) trong resource để decrypt (197) dropper trong resource (191).
Sau đó wrapper load dropper (198) rồi tìm entrypoint (202) và thực thi dropper từ entrypoint (203):
Thực hiện dump mã độc từ memory của dropper ra, ta thu được malware mới kiểm tra ta thấy malware sử dụng ConfuserEx để pack và obfuscate gây khó khăn cho việc dịch ngược và phân tích hoạt động của mã độc.
Sau khi unpack,deobfuscate và rename lại tên hàm:
Qua phân tích cho thấy đây tiếp tục là một wrapper khác nữa có nhiệm vụ kiểm tra thông tin hệ thống, bypass Antivirus, detect sandbox, disable các tính năng security của windows, mã hóa 1 mã độc khác nữa nằm bên trong nó. Mã độc thực hiện tạo startup trong registry:
Mã độc tạo task trong task scheduler:
Mã độc tạo file update.txt trong thư mục temp:
Mã độc copy chính nó ra Desktop với tên là filename.exe:
Mã độc thực hiện giải mã resource và thực thi mã độc vừa được giải mã, qua kiểm tra đây chính là mã độc rất nổi tiếng có tên là RAT NanoCore:
Mã độc tạo ra thư mục 2BF1E22E-E6CC-4A34-AFC0-1A913393BF5E trong thư mục Roaming của user:
Trong thư mục UDP Service, mã độc copy chính nó thành 1 file với tên là udpsv.exe
Trong thư mục Logs sẽ chứa các thông tin mã độc thu thập được của từng người dùng:
mã độc kết nối đến máy chủ điểu khiển (C&C server) tại địa chỉ ip 103.68.223.133 và port 9834. Hiện tại port 9834 đang ở trạng thái đóng nhưng server thì vẫn còn hoạt động.
Thông tin location của C&C server
| IP Address | 103.68.223.133 |
| Location | Singapore, Singapore, Singapore |
| Latitude & Longitude of City | 1.289670, 103.850070 (1°17’23″N 103°51’0″E) |
| ISP | 24 Jalan Pulau Angsa U10/33G |
| Local Time | 28 Nov, 2017 08:38 PM (UTC +08:00) |
| Domain | cherryyours.com |
| Net Speed | (DSL) Broadband/Cable/Fiber |
| IDD & Area Code | (65) 06 |
| ZIP Code | 179431 |
| Weather Station | Singapore (SNXX0006) |
| Mobile Country Code (MCC) | – |
| Mobile Network Code (MNC) | – |
| Carrier Name | – |
| Elevation | 20m |
| Usage Type | (COM) Commercial |
| Anonymous Proxy | No |
| Proxy Type | – |
| Shortcut | http://www.ip2location.com/103.68.223.133 |
| Twitterbot | @ip2location 103.68.223.133 |
Tiến hành giả mạo C&C server lừa mã độc kết nối đến C&C server giả để kiểm tra các tính năng của mã độc
Như ta thấy mã độc này có rất nhiều tính năng nguy hiểm như
Tham khảo mã độc NanoCore
Trong các nghiên cứu gần đây, Palo Alto Networks đã phát hiện ra các phiên bản giả mạo của các trang web nổi tiếng và đánh tin cậy, bao gồm Adobe, DropBox, Facebook, và những trang khác – và các liên kết độc hại này được phát tán trong các email lừa đảo. Vậy nó là […]
Một ứng dụng Android độc hại mới đã lây nhiễm ít nhất 60.000 thiết bị với khả năng trích xuất thông tin quan trọng cùng với cài đặt một số malware ad click (phần mềm độc hại nhấp chuột quảng cáo). Được phát hiện bởi RiskIQ, ban đầu sẽ là một pop-up thông báo cho […]
Không giống như hầu hết các mối đe dọa IoT khác, malware này có thể sống sót ngay cả khi reboot (khởi động lại) lại thiết bị. Một mối đe dọa mới nhắm vào một loạt các bộ định tuyến và các thiết bị lưu trữ gắn trên mạng (network-attached storage – NAS) có khả […]
