Cụ thể, trong quá trình duyệt web vào 04/2014 (cụ thể từ 21-22/04/2014) một số nhân viên của VCCorp đã nâng cấp plugin flashplayer trên firefox (manual update), khi vào địa chỉ http://get.adobe.com/flashplayer/ các nhân viên này đƣợc redirect về một url
của một caching server và tải về máy tính tập tin
install_flashplayer13x32_ltr5x64d_awc_aih.exe (MD5 hash: 426a4c4cf2b08aacbf90c5185b175f02) hoặc preview.exe (MD5 hash: 55c79ddf6cbe77c76b97b10af544ef5f) và tiến hành nâng cấp lên phiên bản mới. Đây là dropper malware có nhiệm vụ phát tán. Có hai phiên bản khác nhau của malware (bản beta và bản build chính thức):
- Một là, với bản install_flashplayer13x32_ltr5x64d_awc_aih.exe (bản chính thức) ta đƣợc thơng tin nhƣ sau:
File ban đầu có kích thƣớc 1,763,840 bytes, có icon giả dạng Adobe Flash Player. Sau khi ngƣời dùng chạy với quyền thƣờng chỉ bấm Open chứ không phải click chuột phải chọn Run As Administrator, thì chƣơng trình sẽ chạy ngầm để giải nén các tập tin sau vào hệ thống:
C:\Documents and Settings\User\Application Data\Hewlett-Packard Company\help.dat C:\DOCUME~1\User\LOCALS~1\Temp\1.tmp C:\WINDOWS\system32\GrooveResource.ds C:\DOCUME~1\User\LOCALS~1\Temp\2.tmp C:\WINDOWS\system32\PortableDeviceTypes.dll.cache C:\DOCUME~1\User\LOCALS~1\Temp\3.tmp
C:\Documents and Settings\User\Application Data\Microsoft\Windows\Activation\slui.exe
C:\Documents and Settings\User\Application Data\Microsoft\Windows\Activation\slui.cfg
C:\DOCUME~1\User\LOCALS~1\Temp\4.tmp
C:\Program Files\Common Files\microsoft shared\PROOF\MSOICONS.LEX C:\WINDOWS\ehome\ehiVidCtl.ttc
C:\WINDOWS\Microsoft.NET\Config.xml
C:\Documents and Settings\User\Application Data\Subversion\Safe Browsing Cookies-journal.cache
C:\Documents and Settings\User\Application Data\Microsoft\CLR Security Config\securiy.cch
C:\Documents and Settings\User\Application Data\Microsoft\Windows\Activation\slui.crc
C:\Documents and Settings\User\Application Data\Microsoft\Windows\Activation\slui.dll
C:\Documents and Settings\User\Application Data\Microsoft\Windows\Activation\slui.dll.123.Manifest
C:\WINDOWS\system32\msctfime.ime
Hình 2.8: Chạy file install_flashplayer13x32_ltr5x64d_awc_aih.exe (bản chính)72
Đồng thời giải nén file gốc của install_flashplayer13x32_ltr5x64d_awc_aih.exe (dung lƣợng 1,073,152 bytes) vào thƣ mục %TEMP%, chạy file này để đánh lừa ngƣời dùng. Khi đó, q trình cài đặt sẽ diễn ra bình thƣờng nhƣ khi ngƣời dùng tải và cài file Adobe Flash Player gốc có signature đƣợc verify của Adobe. Nếu bảng thơng báo UAC của Windows hỏi ngƣời dùng có muốn cài đặt flashplayer khơng, nếu chọn Yes thì sẽ cài đặt bản “sạch” và xóa file trong %TEMP%; nếu ngƣời dùng chọn No, thì file gốc trong thƣ mục %TEMP% sẽ đƣợc copy ra và đặt đúng folder từng chứa file gắn malware khiến ngƣời điều tra rất khó khăn, khi truy tìm file dropper malware. Đây là một thủ thuật thƣờng dùng của nhóm hacker từng viết dạng malware này dùng để tấn công Vietnamnet, DanTri, Tuoitre năm 2013 dùng để xóa dấu vết. Tóm lại, nếu ngƣời dùng tải file nhiễm mã độc về và đã kích hoạt chƣơng trình, thì bấm Yes hay No đều nhiễm mã độc.
-Hai là, Trong quá trình điều tra, VCCorp đã phát hiện phiên bản beta của malware này. File Malware này có tên là Preview.exe. Đây là file thử nghiệm chỉ đóng gói các tập
tin lây nhiễm để giải nén vào đăng ký, mà khơng giả dạng q trình cài đặt Adobe Flash Player gốc (giống giao diện và có signature đƣợc verify của Adobe), mà chỉ giả icon Adobe Flash Player để đánh lừa nạn nhân. Khi cài đặt, tập tin này cũng bung nén các tập tin chính của malware giống nhƣ bản chính thức, nhƣng dung lƣợng hồn tồn khác nhau, đặc biệt là file MSICON.LEX dung lƣợng bé hơn bản chính thức khoảng 100KB. Đặc biệt trên file dropper malware, nhóm này chƣa kịp xóa thơng tin watermark về compiler của Virus Machine Maker. Qua đánh giá sơ bộ, malware này có khả năng lớn đƣợc tạo ra bằng một hệ thống phần mềm chuyên tạo ra malware theo ý đồ (đây là cơng cụ tạo virus mà khơng mất cơng lập trình, chỉ cần truyền tham số, cấu hình, nền tảng chạy là có ngay một malware để sử dụng tƣơng tự mã độc njRAT một RAT Maker dành cho Android). Trên Preview.exe sẽ thấy một số thơng tin về dạng khóa cứng LM-X và Dongle HASP Driver cũng nhƣ license. Đây là một dạng máy tạo virus đƣợc bán ra với kiểu bảo vệ bản quyền bằng khóa cứng dongle và giá của những bộ Suite này lên đến vài trăn ngàn USD. Trên thế giới có nhiều phần mềm gián điệp cơng nghiệp đƣợc các công ty an ninh mạng lớn tạo ra theo dạng này nhƣ FinFisher, Hackingteam và chủ yếu bán cho các cơ quan chính phủ của các nƣớc.
Một số tập tin chính của bộ mã độc này:
a. C:\Documents and Settings\User\Application Data\Hewlett-Packard Company\help.dat (lƣu cấu hình)
b. C:\WINDOWS\system32\GrooveResource.ds (Service Dll làm nhiệm vụ load keylogger)
c. C:\WINDOWS\system32\PortableDeviceTypes.dll.cache (Service Dll làm nhiệm vụ loader)
d. C:\Documents and Settings\User\Application
Data\Microsoft\Windows\Activation\slui.exe (Loader gọi rundll32.exe để load slui.dll)
e. C:\Documents and Settings\User\Application
Data\Microsoft\Windows\Activation\slui.cfg
f. C:\Documents and Settings\User\Application
Data\Microsoft\Windows\Activation\slui.dll (gọi gián tiếp các hàm khác nhằm qua mặt các trình antivirus, sau đó inject vào winlogon.exe để kill các service của các chƣơng trình antivirus khi vừa khởi động máy tính.
g. C:\Program Files\Common Files\microsoft shared\PROOF\MSOICONS.LEX (Remote Access Tools, đóng vai trị rất quan trọng trong điều khiển, giám sát, ra lệnh
download, upload, tạo log, encrypt log, kết nối tới CnC Server – xem đính kèm file mã giả đƣợc dịch ra code C)
h. %APPDATA%\Microsoft\Windows\Ringtones\Start.wav (database keylogger đƣợc encrypt, giải mã bằng cách thực hiện phép toán XOR 0x6F)
i. C:\Windows\TAPI\MS.EXCEL.12.1033.HxW (Keylogger dạng service DLL, dùng để ghi lại tất các các thao tác gõ phím, capture các cửa sổ trình duyệt, cũng nhƣ các phím tắt).73
Phân tích chức năng hoạt động của các module cho thấy, đây là một phần mềm gián điệp đƣợc lập trình ở mức độ chuyên nghiệp cao. Khi ngƣời dùng tải về bản cập nhật phần mềm Adobe Flash Player, backdoor này đƣợc kích hoạt chạy trên máy tính của nạn nhân và có 3 chức năng: tự động kết nối lên C&C server để nhận lệnh của hacker, tải về các module mã độc và cho phép các mã độc này chạy trên máy tính nạn nhân. Từ kết quả nghiên cứu cho thấy: Hacker tải lên C&C server các module có các chức năng nhƣ âm thầm theo dõi các hoạt động trên máy tính, điều khiển từ xa, chụp ảnh bằng Webcam, thu giọng nói bằng cách kích hoạt micro, thu thập thơng tin gõ bàn phím (keylog), lấy cắp dữ liệu, lấy username và mật khẩu quản trị và email, thông tin tài khoản ngân hàng… và âm thầm gửi về Host của hacker (email, account).
Cụ thể:
Đầu tiên, hacker giả danh trình cập nhật Adobe Flash Player, sau đó lợi dụng các caching server hoặc exploit vào các trang web download, forum để cài cắm mã độc. Số lƣợng lớn ngƣời dùng sẽ bị lây nhiễm malware này với hai mục đích chính là xây dựng mạng Botnet để tấn cơng DDoS vào các website. Khi có số lƣợng lớn nạn nhân nhiễm loại virus, thì khoanh vùng các cụm ip tĩnh của các doanh nghiệp và thu thập thơng tin, điều tra thơng tin hệ thống máy tính (nhƣ dữ liệu, thơng tin của hai trƣởng phó phịng của phịng kỹ thuật VCCorp bị monitor với keylogger và thông tin bảng lƣơng đƣa lên vccorpnews.blogspot.com bị lấy cắp từ database của phòng kỹ thuật VCCorp). Khi xác định đúng đối tƣợng cần phá hoại, hacker ra lệnh cho MSOICONS.Lex kết nối với C&C server thông qua các domain để giải nén bản keylogger thu account và mật khẩu logon, các thao tác bàn phím, các file dữ liệu trên máy nạn nhân. Khi đã thu thập đủ thông tin, hacker dễ dàng xâm nhập vào hệ thống máy tính bằng tài khoản và password của admin hoặc thành viên khác.
Sau khi thực hiện tấn công xâm nhập thành công, hacker sử dụng thông tin cá nhân, nội bộ đƣa lên mạng để tuyên truyền bôi nhọ, đồng thời tung hỏa mù để xóa các dấu vết
trên các hệ thống nhƣ tắt C&C Server, xóa file trên các caching server, xóa dấu vết khỏi các trang web download, upload mẫu lên các antivirus scanner nhƣ virustotal, malwr để các trang trung gian này đẩy mẫu về các công ty viết antivirus cập nhật dữ liệu nhằm xóa hết các dấu vết tấn cơng. Đồng thời cài các history, cài đặt các file nhƣ Teamviewer vào máy tính đã bị xâm nhập, thu thập thơng tin, để lừa cơ quan điều tra tập trung vào việc thu các log gần nhất tƣơng tác trên máy bị lây nhiễm, tìm đối tƣợng tấn cơng (hacker tiến hành RAT vào máy nhân viên cơng ty, cài đặt Teamviewer vào %APPDATA%\Temp, sau đó hack vào một tài khoản nội bộ, đăng nhập vào contact của teamviewer của máy tính, để tạo dựng dấu vết tấn công giả từ nội bộ).
Ngày 29/10/2014, mã độc kết nối lên C&C Server và các domain peerless.dyndns.info, engineeredgarments.dnsdojo.net, skyscraper.readmyblog.org, woxikon.endofinternet.org, srsconveyors.stuff-4-sale.org, social.webblog.name, images.dnsdojo.info tƣơng ứng với server có địa chỉ IP: 185.29.8.4 (ASN AS60567, AS Name: DATACLUB-SE DataClub S.A.SE) và ngày 26/10/2014 kết nối đến IP 212.38.182.40 (ASN AS20860, AS Name: IOMART-AS IomartGB). Ngày 29/10/2014, mã độc RAT ngừng hoạt động (bắt đầu hoạt động vào đợt tháng 02/2014)74.
- Giải mã các Module của mã độc có hành vi sau: