Phân tích ransomware CRAB

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 03/04/18, 09:04 AM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 158
    Đã được thích: 104
    Điểm thành tích:
    43
    Chào các bạn, mình thấy gần đây bùng phát virus mã hóa dữ liệu Ransomware CRAB. Hôm nay, mình sẽ phân tích chi tiết về con này xem nó có những hành vi gì nhé :D

    Tổng quan, mẫu này gồm 2 thành phần chính. Thành phần worm chuyên chịu tránh nhiệm phát tán đến các máy tính nạn nhân khác nhau để tải thành phần thứ 2 là mã hóa dữ liệu.
    upload_2018-4-3_9-22-18.png



    Hành vi của mẫu phát tán(Worm)?

    Tự động copy chính nó vào thư mục Window\M-5050876807550660607885860\winsvc.exe%. Các bạn có thể vào trong thư mục này để kiểm tra, nếu tồn tại đường dẫn này thì máy tính của bạn đã bị nhiễm mã độc này.

    upload_2018-4-3_9-24-33.png


    Tiếp theo nó sẽ đăng ký khởi động cùng máy tính thông qua registry với tên là “Microsoft Windows Service”. Có thể thấy nó cũng rất công phu khi giả dạng tên của microsoft.

    upload_2018-4-3_9-24-42.png


    Ngoài ra nó còn tắt các tính năng bảo vệ của windows defender

    upload_2018-4-3_9-24-53.png


    Phần quan trọng nhất của thành phần worm này là tải và và thực thi mẫu mã hóa dữ liệu. Một số biến thể còn cài thêm cả các mẫu đào tiền ảo. Chúng ta có thể thấy nó tải file wkl.exe từ địa chỉ
    92.63.197.59
    upload_2018-4-3_9-25-6.png


    Ngoài ra, mẫu này thực hiện phát tán thông qua usb, ổ share, như hình bên dưới chúng ta có thể thấy rõ điều này.

    upload_2018-4-3_9-25-17.png


    Và đây là một ổ share của máy tính của mình bị nhiễm con này, tất nhiên mình đã để hiển thị file ẩn thì mới thấy tất được các file như này, đối với một máy tính người dùng bình thường thì chỉ có file icon hình ổ đĩa, nếu không cẩn thận click vào thì máy tính chúng ta sẽ bị nhiễm virus và bị mã hóa dữ liệu.

    upload_2018-4-3_9-25-27.png


    Hành vi của mẫu ransomware?

    Sau khi được mẫu worm tải và thực thi trong %temp%. Trước khi đi vào các hành vi quan trọng chúng ta quan sát tập các biến thể của mẫu này ở hình bên dưới. Có thể thấy kích thước nó rất khác nhau, nhưng khi tôi xem code của nó thì thấy chúng khá giống nhau về cấu trúc. Từ đó nhận định sơ bộ, có thể mẫu này được build bằng một công cụ nào đó để tạo ra các biến thể thể khác nhau để tránh sự nhận diện của các AV.

    upload_2018-4-3_9-26-0.png

    Mẫu ransomware này cũng được thiết kế khá công phu, qua bao bước mình đi theo quá trình giải mã code của nó cuối cùng mình cũng tới đoạn code đẹp.
    Trước khi thực hiện mã hóa, nó tìm tới các tiến trình thuộc list dưới đây và kill nó. Mục đích của việc này nhằm tránh các tiến trình giữ các handle của file nó cần mã hóa.

    upload_2018-4-3_9-26-13.png


    Tiếp theo nó sẽ sử dụng thuật toán AES để mã hóa file và RSA để mã hóa key AES.
    Nó sẽ tạo ra một 2 buffer ngẫu nhiên. Một buffer chứa 16byte làm định danh cho máy bị mã hóa và một buffer 32byte làm key AES để mã hóa file. 2 buffer này sẽ bị mã hóa bằng publickey RSA trước khi bị phá hủy.
    Tất cả các file sau khi bị mã hóa sẽ bị đổi đuôi thành .CRAB

    upload_2018-4-3_9-26-27.png


    Tông kết lại
    Khôi phục lại dữ liệu dường như là không thể, chúng ta hay phòng tránh bằng cách sử dụng AntiVirus, mở các file tải từ internet trong môi trường saferun. Và hay thận trọng trong việc sử dụng usb, cũng như các ổ chia sẻ dữ liệu trong mạng nội bộ.
     
    Chỉnh sửa cuối: 03/04/18, 02:04 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny and whf like this.