WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
GitHub lưu trữ mã độc có khả năng thực thi payload Cobalt Strike từ ảnh Imgur
Nhà nghiên cứu Arkbird vừa chia sẻ chi tiết một malware dựa trên macro. Mã độc này có khả năng lẩn tránh và tạo payload theo nhiều bước.
Theo nhà nghiên cứu, chuỗi malware này (trông "giống MuddyWater") lan truyền dưới dạng macro nhúng trong tệp Microsoft Word (*.doc).
Trong các thử nghiệm của BleepingComputer, khi được mở, tài liệu Word sẽ chạy macro được nhúng. Macro tiếp tục khởi chạy powershell.exe và cung cấp vị trí của tập lệnh PowerShell được lưu trữ trên GitHub.
Tập lệnh PowerShell dòng đơn có hướng dẫn tải xuống tệp PNG thực từ dịch vụ lưu trữ hình ảnh Imgur.
Mặc dù bản thân hình ảnh này có thể ‘vô hại’, các giá trị pixel của nó được sử dụng bởi tập lệnh PowerShell để tính toán payload ở giai đoạn tiếp theo.
Kỹ thuật che giấu mã, dữ liệu bí mật hoặc payload độc hại trong các tệp thông thường, chẳng hạn như hình ảnh, được gọi là steganography (kỹ thuật giấu tin trong ảnh).
Các công cụ như Invoke-PSImage có thể thực hiện điều này bằng cách mã hóa tập lệnh PowerShell trong các pixel của tệp PNG và tạo lệnh dòng đơn để thực thi payload.
Theo quan sát của BleepingComputer, thuật toán tính toán payload chạy một vòng lặp foreach để lặp lại tập hợp các giá trị pixel trong hình ảnh PNG và thực hiện các phép toán số học cụ thể để nhận các lệnh ASCII chức năng.
Tập lệnh giải mã thực thi payload Cobalt Strike
Tập lệnh được giải mã thu được từ việc thao túng các giá trị pixel của PNG là tập lệnh Cobalt Strike.
Cobalt Strike là một bộ công cụ kiểm tra khả năng thâm nhập hợp pháp cho phép kẻ tấn công triển khai "beacon (đèn hiệu)" trên các thiết bị bị xâm nhập để từ xa "tạo shell, thực thi tập lệnh PowerShell, thực hiện leo thang đặc quyền hoặc sinh ra một phiên mới để tạo trình lắng nghe trên hệ thống của nạn nhân".
Trên thực tế, mã shell giải mã bao gồm một chuỗi EICAR để lừa các công cụ bảo mật và nhóm SOC nhầm payload độc hại này với một bài kiểm tra chống virus do các chuyên gia bảo mật thực hiện.
Tuy nhiên, payload thực sự liên hệ với máy C&C thông qua mô-đun WinINet để nhận thêm hướng dẫn, theo nhà nghiên cứu Arkbird.
Nếu bạn nhận được một tài liệu Word đáng ngờ trong một email lừa đảo hoặc qua bất kỳ phương tiện nào khác, đừng mở nó hoặc chạy "macro".
Đây không phải là lần đầu tiên các dịch vụ hợp pháp như GitHub và Imgur bị lạm dụng để phát tán mã độc.
Gần đây, mạng botnet Gitpaste-12 đã tận dụng cả GitHub và Pastebin để lưu trữ khối lượng dữ liệu độc hại và tránh bị phát hiện.
Ngoài ra, các nhóm ransomware như CryLocker được biết là đã lạm dụng Imgur để lưu trữ dữ liệu.
Theo nhà nghiên cứu, chuỗi malware này (trông "giống MuddyWater") lan truyền dưới dạng macro nhúng trong tệp Microsoft Word (*.doc).
Trong các thử nghiệm của BleepingComputer, khi được mở, tài liệu Word sẽ chạy macro được nhúng. Macro tiếp tục khởi chạy powershell.exe và cung cấp vị trí của tập lệnh PowerShell được lưu trữ trên GitHub.
Tập lệnh PowerShell dòng đơn có hướng dẫn tải xuống tệp PNG thực từ dịch vụ lưu trữ hình ảnh Imgur.
Mặc dù bản thân hình ảnh này có thể ‘vô hại’, các giá trị pixel của nó được sử dụng bởi tập lệnh PowerShell để tính toán payload ở giai đoạn tiếp theo.
Kỹ thuật che giấu mã, dữ liệu bí mật hoặc payload độc hại trong các tệp thông thường, chẳng hạn như hình ảnh, được gọi là steganography (kỹ thuật giấu tin trong ảnh).
Các công cụ như Invoke-PSImage có thể thực hiện điều này bằng cách mã hóa tập lệnh PowerShell trong các pixel của tệp PNG và tạo lệnh dòng đơn để thực thi payload.
Theo quan sát của BleepingComputer, thuật toán tính toán payload chạy một vòng lặp foreach để lặp lại tập hợp các giá trị pixel trong hình ảnh PNG và thực hiện các phép toán số học cụ thể để nhận các lệnh ASCII chức năng.
Tập lệnh giải mã thực thi payload Cobalt Strike
Tập lệnh được giải mã thu được từ việc thao túng các giá trị pixel của PNG là tập lệnh Cobalt Strike.
Cobalt Strike là một bộ công cụ kiểm tra khả năng thâm nhập hợp pháp cho phép kẻ tấn công triển khai "beacon (đèn hiệu)" trên các thiết bị bị xâm nhập để từ xa "tạo shell, thực thi tập lệnh PowerShell, thực hiện leo thang đặc quyền hoặc sinh ra một phiên mới để tạo trình lắng nghe trên hệ thống của nạn nhân".
Trên thực tế, mã shell giải mã bao gồm một chuỗi EICAR để lừa các công cụ bảo mật và nhóm SOC nhầm payload độc hại này với một bài kiểm tra chống virus do các chuyên gia bảo mật thực hiện.
Tuy nhiên, payload thực sự liên hệ với máy C&C thông qua mô-đun WinINet để nhận thêm hướng dẫn, theo nhà nghiên cứu Arkbird.
Nếu bạn nhận được một tài liệu Word đáng ngờ trong một email lừa đảo hoặc qua bất kỳ phương tiện nào khác, đừng mở nó hoặc chạy "macro".
Đây không phải là lần đầu tiên các dịch vụ hợp pháp như GitHub và Imgur bị lạm dụng để phát tán mã độc.
Gần đây, mạng botnet Gitpaste-12 đã tận dụng cả GitHub và Pastebin để lưu trữ khối lượng dữ liệu độc hại và tránh bị phát hiện.
Ngoài ra, các nhóm ransomware như CryLocker được biết là đã lạm dụng Imgur để lưu trữ dữ liệu.
Theo Bleeping Computer