Mã độc lợi dụng phần mềm hợp pháp ffmpeg

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Mã độc lợi dụng phần mềm hợp pháp ffmpeg
Ffmpeg là một phần mềm xử lý video, adio. Mã độc đã lợi dụng phần mềm này để thực hiện các hành vi của một phần mềm gián điệp, thực hiện ghi lại các video, gửi thông tin máy nạn nhân định kỳ... Trong bài viết này sẽ phân tích chi tiết các hành vi của loại mã độc này.

1700043412280.png

Dòng mã độc này được phát hiện từ 2015 bởi MalwareHunterteam. Gần đây, một làn sóng mới được lan rộng.

Mẫu phân tích
Downloaded plugins:
Phân tích hành vi
File JS tải và chạy mẫu (C#) trong %TEMP%. Mẫu trong temp khi được chạy nó sẽ tự copy chính nó vào %appdata% trong một folder càu đặt với tên ngẫu nhiêu, cùng với nó nó cũng copy vào thư mục startup.

upload_2017-8-7_15-17-53.png

Mẫu (C#) trong khi thực thi, nó sẽ tạo ra fille .tmp trong thư mục cài đặt. File này không được mã hóa. Chúng ta có thể thấy file này chính là file của hành vi keylogger (lưu lại các phím và các ứng dụng đang chạy).

upload_2017-8-7_15-22-4.png
Một điều thí vụ nữa là. Mã độc tải các phần mềm hợp pháp Rar.exe, ffmpeg.exe và các DLL liên quan DShowNet.dll, DirectX.Capture.dll

upload_2017-8-7_15-24-41.png

Mã độc có kiểm tra và xóa một số ứng dụng. Trong quá trình test thấy nó loại bỏ ProcessExplorer và baretail khỏi máy.

C&C Server

Mã độc kết nối với C&C server qua port 98.

Server gửi cho client lệnh “idjamel”. Client gửi các thông tin lấy được từ máy nạn nhân như: username, thông tin hệ điều hành, các process đang chạy...Sau đó server sẽ gửi thông tin cấu hình (danh sách các ngân hàng tấn công).

upload_2017-8-7_15-32-14.png

Bot lưu thông tin cấu hình trong regsitry
upload_2017-8-7_15-33-12.png

Sau đó. C&C gửi một tập các file PE được mã hoá Base64. Nội dung đã được kèm theo tên file

Tải file DShowNET.dll: (Đâyn không phải là mã độc- Nó là một dll chuẩn)

upload_2017-8-7_15-37-1.png

Tải file một plugin – remotedesktop.dll (e907ebeda7d6fd7f0017a6fb048c4d23): (Đây là một plugin của mã độc)

upload_2017-8-7_15-37-52.png

Ứng dụng ffmpeg được tải từ URL (do server chỉ định).

upload_2017-8-7_15-42-31.png

Bot gửi các ứng dụng đang chạy trên máy bị tấn công. Nội dung bị mã hóa Base64

upload_2017-8-7_15-44-46.png

Ví dụ:

awt||UHJvY2VzcyBFeHBsb3JlciAtIFN5c2ludGVybmFsczogd3d3LnN5c2ludGVybmFscy5jb20gW3Rlc3RtYWNoaW5lXHRlc3Rlcl0=djamel

Giải mã bas64:

Process Explorer - Sysinternals: www.sysinternals.com [testmachine\tester]
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Thẻ
ffmpeg
Bên trên