Phân tích mẫu Ransomware ghi đè MBR

Malware

Wh------
08/01/2015
41
56 bài viết
Phân tích mẫu Ransomware ghi đè MBR
Chào các bạn, trong bài viết này mình sẽ hướng dẫn phân tích mẫu Ransomware ghi đè vào MBR (Master Boot Record)

Giới thiệu chung:

- MBR: là nơi lưu trữ dữ liệu khởi động máy tính
- Ransomware là dòng virus mã hóa file, tống tiền người dùng đòi key giải mã. Khác với các dòng mã hóa thông thường chỉ mã hóa file, dòng Ransomware này ghi đè cả vào MBR khiến chúng ta không thể truy cập vào máy tính.

- Thông tin mẫu được đề cập:
+ Tên mẫu : Satana Ransomware
+ MD5: C5282A9F63393BBB1691BC8810D7934D
+ File Size: 47.00 KB (48130 bytes)


Cơ chế hoạt động:

Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau (Pack, Nâng quyền Admin, Inject tiến tình chuẩn … ), tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi mã hóa file và ghi đè MBR của mẫu này.
- Satana sẽ tiến hành mã hóa file trước -> rồi ghi đè MBR -> Khởi động lại máy
- Sau khi khởi động lại sẽ thay vì load dữ liệu khởi động máy tính, sẽ load dữ liệu của virus


Mô tả chi tiêt các kỹ thuật được sử dụng.
1. Mã hóa File

- Các file có đuôi sau sẽ bị mã hóa: .bak .doc .jpg .jpe .txt .tex .dbf .db .xls .cry .xml .vsd .pdf .csv .bmp .tif .1cd .tax
.gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .vwi .3ds .ma .ppt .acc .vpd .odt .ods .rar .zip .7z .cpp .pas .asm
1489939951Untitled.png




Sau khi mã hóa xong sẽ xuất hiện file có tên " __"

Cách thức mã hoá
A. Tạo key :

- Ransomware sử dụng RTDSC (Read Time-Stamp Counter) tạo 1 key random
1489939951Untitled.png




VD:
1489939951Untitled.png

- Key được tạo ra sẽ gửi đến máy của Hacker qua Socket
1489939951Untitled.png



Do thuật toán mã hóa rất phức tạp, nếu key không đến được máy Hacker vì lý do nào đó, dữ liệu sẽ không thể khôi phục lại.
B. Mã hóa File: Sử dụng thuật toán Mã hóa đối xứng

- Sử dụng 4 DWORD của Key để XOR với File sẽ mã hóa
1489939951Untitled.png




- Sử dụng 8 DWORD của key để mã hóa bằng thuật toán dựa trên thuật toán AES – 256 – ECB

C. Tạo Privite ID máy nạn nhân
1489939951Untitled.png



- Gọi GetCurrentHwProfileW lấy được Hardware Profile dưới dạng GUID
1489939951Untitled.png



- Chuyển sang định dạng MD5
1489939951Untitled.png




=> Chuỗi này sử dụng làm ID máy nạn nhân

2.Ghi đè MBR
A. Sơ đồ tổng quan
1489939951Untitled.png




B. Code lưu trong các Sector bị ghi đè

+ Sector 0: Bootloader ( Load hệ điều hành Malware) và deofucate Sector 1
1489939951Untitled.png



+ Sector 1: Hiển thị đoạn text được lưu trong Sector 2-5 và cho nhập Key, kiểm tra Key
1489939951Untitled.png




+ Sector 2-5: Lưu đoạn text được in lên màn hình

+ Sector 6: Lưu thông tin backup lại MBR

- Sau khi khởi động lại máy sẽ không thể vào lại Win do MBR đã bị ghi đè
1489939951Untitled.png




3. Cách thức giải mã:
- Sau khi có được Key giải mã, Mã độc sẽ Kiểm tra Key (ở Sector 1), nếu đúng sẽ thực hiện Backup MBR (ở Sector 6) để vào Win, nếu sai sẽ treo máy.
- Sau khi vào Win sẽ tiến hành giải mã các File bị mã hóa, do Mã độc sử dụng thuật toán mã hóa đối xứng nên sẽ sử dụng Key đã gửi lên máy Hacker để tiến hành giải mã.
Hình ảnh dưới đây minh họa 1 đoạn code mã hóa/ giải mã.
1489939951Untitled.png


4. Kết thúc bài viết:

Trên đây là bài viết sơ lược về hành vi của một mẫu Ransomware ghi đè MBR. Như các bạn thấy, nếu gặp phải rất khó để khôi phục lại dữ liệu đã bị mã hóa, kể cả trả tiền chuộc nhưng không có gì để đảm bảo khôi phục được 100%. Người dùng nên cảnh giác với các phần mềm, trang Web lạ.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Qui
Cảm ơn, đây là thông tin hữu ích
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên