Mã độc có đuôi .scr được VietSunshine Pentest team thu thập từ file đính kèm qua email của nạn nhân. Tên file đính kèm là Proforma Invoice & Bank detail-xxx.Xlsx.z, qua phân tích sơ bộ thì đây là mail phishing lừa đảo nạn nhận click vào để thực thi các mã lệnh.
Các bước phân tích mã độc
Tiến hành giải nén tập tin đính kèm ta thu được file mới Revised proforma Invoice and bank information.scr
Ta thấy đây là file thực thi .NET trên Windows. Đưa vào Dnspy phân tích
Đây là wrapper được sử dụng để che giấu mã độc thực sự bên trong nó, malware này sử dụng mã hóa RijndaelManaged (line 193) với key (177) và iv (181) trong resource để decrypt (197) dropper trong resource (191).
Sau đó wrapper load dropper (198) rồi tìm entrypoint (202) và thực thi dropper từ entrypoint (203):
Thực hiện dump mã độc từ memory của dropper ra, ta thu được malware mới kiểm tra ta thấy malware sử dụng ConfuserEx để pack và obfuscate gây khó khăn cho việc dịch ngược và phân tích hoạt động của mã độc.
Sau khi unpack,deobfuscate và rename lại tên hàm:
Qua phân tích cho thấy đây tiếp tục là một wrapper khác nữa có nhiệm vụ kiểm tra thông tin hệ thống, bypass Antivirus, detect sandbox, disable các tính năng security của windows, mã hóa 1 mã độc khác nữa nằm bên trong nó. Mã độc thực hiện tạo startup trong registry:
Mã độc tạo task trong task scheduler:
Mã độc tạo file update.txt trong thư mục temp:
Mã độc copy chính nó ra Desktop với tên là filename.exe:
Mã độc thực hiện giải mã resource và thực thi mã độc vừa được giải mã, qua kiểm tra đây chính là mã độc rất nổi tiếng có tên là RAT NanoCore:
Mã độc tạo ra thư mục 2BF1E22E-E6CC-4A34-AFC0-1A913393BF5E trong thư mục Roaming của user:
Trong thư mục UDP Service, mã độc copy chính nó thành 1 file với tên là udpsv.exe
Trong thư mục Logs sẽ chứa các thông tin mã độc thu thập được của từng người dùng:
mã độc kết nối đến máy chủ điểu khiển (C&C server) tại địa chỉ ip 103.68.223.133 và port 9834. Hiện tại port 9834 đang ở trạng thái đóng nhưng server thì vẫn còn hoạt động.
Thông tin location của C&C server
IP Address | 103.68.223.133 |
Location | Singapore, Singapore, Singapore |
Latitude & Longitude of City | 1.289670, 103.850070 (1°17’23″N 103°51’0″E) |
ISP | 24 Jalan Pulau Angsa U10/33G |
Local Time | 28 Nov, 2017 08:38 PM (UTC +08:00) |
Domain | cherryyours.com |
Net Speed | (DSL) Broadband/Cable/Fiber |
IDD & Area Code | (65) 06 |
ZIP Code | 179431 |
Weather Station | Singapore (SNXX0006) |
Mobile Country Code (MCC) | – |
Mobile Network Code (MNC) | – |
Carrier Name | – |
Elevation | 20m |
Usage Type | (COM) Commercial |
Anonymous Proxy | No |
Proxy Type | – |
Shortcut | http://www.ip2location.com/103.68.223.133 |
Twitterbot | @ip2location 103.68.223.133 |
Tiến hành giả mạo C&C server lừa mã độc kết nối đến C&C server giả để kiểm tra các tính năng của mã độc
Như ta thấy mã độc này có rất nhiều tính năng nguy hiểm như
Tham khảo mã độc NanoCore