phân tích mã độc 5

[VietSunshine Pentest Team] Phân tích mã độc có đuôi .scr

February 26, 2018 | vietsunshine

Mã độc có đuôi .scr được VietSunshine Pentest team thu thập từ file đính kèm qua email của nạn nhân. Tên file đính kèm là Proforma Invoice & Bank detail-xxx.Xlsx.z, qua phân tích sơ bộ thì đây là mail phishing lừa đảo nạn nhận click vào để thực thi các mã lệnh.

Các bước phân tích mã độc

Tiến hành giải nén tập tin đính kèm ta thu được file mới Revised proforma Invoice and bank information.scr

phân tích mã độc 1

Ta thấy đây là file thực thi .NET trên Windows. Đưa vào Dnspy phân tích

 

 


Đây là wrapper được sử dụng để che giấu mã độc thực sự bên trong nó, malware này sử dụng mã hóa RijndaelManaged (line 193) với key (177) và iv (181) trong resource để decrypt (197) dropper  trong resource (191).
Sau đó wrapper load dropper (198) rồi tìm entrypoint (202) và thực thi dropper từ entrypoint (203):

phân tích mã độc 3

Thực hiện dump mã độc từ memory của dropper ra, ta thu được malware mới kiểm tra ta thấy malware sử dụng ConfuserEx để pack và obfuscate gây khó khăn cho việc dịch ngược và phân tích hoạt động của mã độc.

phân tích mã độc 4 phân tích mã độc 5

Sau khi unpack,deobfuscate và rename lại tên hàm:

Qua phân tích cho thấy đây tiếp tục là một wrapper khác nữa có nhiệm vụ kiểm tra thông tin hệ thống, bypass Antivirus, detect sandbox, disable các tính năng security của windows, mã hóa 1 mã độc khác nữa nằm bên trong nó. Mã độc thực hiện tạo startup trong registry:

Mã độc tạo task trong task scheduler:

Mã độc tạo file update.txt trong thư mục temp:

Mã độc copy chính nó ra Desktop với tên là filename.exe:

Mã độc thực hiện giải mã resource và thực thi mã độc vừa được giải mã, qua kiểm tra đây chính là mã độc rất nổi tiếng có tên là RAT NanoCore:

Mã độc tạo ra thư mục 2BF1E22E-E6CC-4A34-AFC0-1A913393BF5E trong thư mục Roaming của user:

Trong thư mục UDP Service, mã độc copy chính nó thành 1 file với tên là udpsv.exe

Trong thư mục Logs sẽ chứa các thông tin mã độc thu thập được của từng người dùng:

mã độc kết nối đến máy chủ điểu khiển (C&C server) tại địa chỉ ip 103.68.223.133 và port 9834. Hiện tại port 9834 đang ở trạng thái đóng nhưng server thì vẫn còn hoạt động.

Thông tin location của C&C server

IP Address103.68.223.133
Location Singapore, Singapore, Singapore
Latitude & Longitude of City1.289670, 103.850070 (1°17’23″N   103°51’0″E)
ISP24 Jalan Pulau Angsa U10/33G
Local Time28 Nov, 2017 08:38 PM (UTC +08:00)
Domaincherryyours.com
Net Speed(DSL) Broadband/Cable/Fiber
IDD & Area Code(65) 06
ZIP Code179431
Weather StationSingapore (SNXX0006)
Mobile Country Code (MCC)
Mobile Network Code (MNC)
Carrier Name
Elevation20m
Usage Type(COM) Commercial
Anonymous ProxyNo
Proxy Type
Shortcuthttp://www.ip2location.com/103.68.223.133
Twitterbot@ip2location 103.68.223.133

Tiến hành giả mạo C&C server lừa mã độc kết nối đến C&C server giả để kiểm tra các tính năng của mã độc

Như ta thấy mã độc này có rất nhiều tính năng nguy hiểm như

  • File Browser: quản trị file thư mục của victim
  • Remote Console: thực thi lệnh từ xa
  • Monitor Keyboard: ghi log keyboard
  • Video Feeds: Theo dõi màn hình
  • Audio Feeds: ghi âm
  • và rất nhiều tính năng khác nữa …

Tham khảo mã độc NanoCore

https://www.youtube.com/watch?v=NdXNM7yauog

Tags: ,