WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc Fileless mới sử dụng Windows Registry làm nơi lưu trữ để tránh bị phát hiện
Một Trojan truy cập từ xa (RAT) mới trên JavaScript phát tán thông qua chiến dịch tấn công sử dụng kỹ thuật không file (fileless) với mục đích tránh bị phát hiện và phân tích.
Các nhà nghiên cứu Matt Stafford và Sherman Smith cho biết: “RAT sử dụng các phương thức tồn tại không file, hoạt động trên hệ thống và các kỹ năng thời gian chạy động như tự cập nhật và biên dịch lại. Mã độc sử dụng registry cho gần như tất cả hành vi lưu trữ tạm thời và vĩnh viễn và do đó không bị lưu vết trên ổ cứng, cho phép nó hoạt động dưới hoặc quanh ngưỡng phát hiện của hầu hết các công cụ an ninh".
Hãng Prevailion cho biết một doanh nghiệp ở Nga là một trong những nạn nhân của mã độc này. Với các đặc tính tồn tại bền bỉ và cửa hậu, DarkWatchman có thể đóng vai trò là công cụ truy cập và do thám ban đầu cho các nhóm ransomware.
Được phát tán qua các email lừa đảo giả mạo "Thông báo hết hạn lưu trữ miễn phí" cho một lô hàng do công ty vận chuyển Pony Express của Nga giao hàng, DarkWatchman mở ra một cổng bí mật cho các hoạt động độc hại khác. Các email được đính kèm với một hóa đơn dưới dạng file ZIP, chứa payload đủ để lây nhiễm hệ thống Windows.
RAT này gồm hai thành phần RAT JavaScript không file và keylogger C #. Trong đó, keylogger được lưu trữ trong registry để tránh bị phát hiện. Cả hai thành phần đều cực kỳ nhẹ. Mã JavaScript độc hại chỉ chiếm khoảng 32kb, trong khi keylogger ở mức 8,5kb.
"Việc lưu trữ tệp nhị phân trong registry dưới dạng văn bản được mã hóa cho thấy tính tồn tại bền bỉ của DarkWatchman. Tuy nhiên, tệp thực thi của nó không phải là được ghi vĩnh viễn vào ổ đĩa. Điều đó cũng có nghĩa là hacker đứng sau DarkWatchman có thể cập nhật (hoặc thay thế) mã độc mỗi khi nó được thực thi", các nhà nghiên cứu cho biết thêm.
Sau khi được cài đặt, DarkWatchman có thể thực thi các tệp nhị phân tùy ý, tải tệp DLL, chạy mã JavaScript và lệnh PowerShell, tải tệp lên máy chủ từ xa, tự cập nhật và thậm chí gỡ cài đặt RAT và keylogger khỏi máy bị xâm phạm.
Các nhà nghiên cứu cho biết: “Bản thân keylogger không giao tiếp với C2 hoặc ghi vào đĩa. Thay vào đó, nó ghi keylog của mình vào một khóa registry mà nó sử dụng làm bộ đệm. Trong quá trình hoạt động, RAT sẽ quét và xóa bộ đệm này trước khi gửi các tổ hợp phím đã ghi đến máy chủ C2".
DarkWatchman thường nhắm mục tiêu đến các nạn nhân ở Nga và có vẻ nhóm hacker đứng đằng sau mã độc này cũng không nói tiếng Anh.
Mã độc có tên DarkWatchman, sử dụng thuật toán tạo miền linh hoạt (DGA) để xác định hạ tầng command-and-control (C2) và sử dụng Windows Registry cho tất cả các hoạt động lưu trữ, cho phép nó qua mặt các công cụ chống mã độc.
Hãng Prevailion cho biết một doanh nghiệp ở Nga là một trong những nạn nhân của mã độc này. Với các đặc tính tồn tại bền bỉ và cửa hậu, DarkWatchman có thể đóng vai trò là công cụ truy cập và do thám ban đầu cho các nhóm ransomware.
Được phát tán qua các email lừa đảo giả mạo "Thông báo hết hạn lưu trữ miễn phí" cho một lô hàng do công ty vận chuyển Pony Express của Nga giao hàng, DarkWatchman mở ra một cổng bí mật cho các hoạt động độc hại khác. Các email được đính kèm với một hóa đơn dưới dạng file ZIP, chứa payload đủ để lây nhiễm hệ thống Windows.
RAT này gồm hai thành phần RAT JavaScript không file và keylogger C #. Trong đó, keylogger được lưu trữ trong registry để tránh bị phát hiện. Cả hai thành phần đều cực kỳ nhẹ. Mã JavaScript độc hại chỉ chiếm khoảng 32kb, trong khi keylogger ở mức 8,5kb.
"Việc lưu trữ tệp nhị phân trong registry dưới dạng văn bản được mã hóa cho thấy tính tồn tại bền bỉ của DarkWatchman. Tuy nhiên, tệp thực thi của nó không phải là được ghi vĩnh viễn vào ổ đĩa. Điều đó cũng có nghĩa là hacker đứng sau DarkWatchman có thể cập nhật (hoặc thay thế) mã độc mỗi khi nó được thực thi", các nhà nghiên cứu cho biết thêm.
Sau khi được cài đặt, DarkWatchman có thể thực thi các tệp nhị phân tùy ý, tải tệp DLL, chạy mã JavaScript và lệnh PowerShell, tải tệp lên máy chủ từ xa, tự cập nhật và thậm chí gỡ cài đặt RAT và keylogger khỏi máy bị xâm phạm.
Các nhà nghiên cứu cho biết: “Bản thân keylogger không giao tiếp với C2 hoặc ghi vào đĩa. Thay vào đó, nó ghi keylog của mình vào một khóa registry mà nó sử dụng làm bộ đệm. Trong quá trình hoạt động, RAT sẽ quét và xóa bộ đệm này trước khi gửi các tổ hợp phím đã ghi đến máy chủ C2".
DarkWatchman thường nhắm mục tiêu đến các nạn nhân ở Nga và có vẻ nhóm hacker đứng đằng sau mã độc này cũng không nói tiếng Anh.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: