Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện mã độc tống tiền Spora với nhiều tính năng nguy hiểm
Các chuyên gia vừa phát hiện mã độc tống tiền mới Spora có thể mã hóa tập tin offline và có nhiều ‘cải tiến’ trong hình thức thanh toán tiền chuộc.
Spora nhắm mục tiêu tới người dùng sử dụng tiếng Nga, tuy nhiên kẻ đứng sau mã độc cũng đã tạo ra một phiên bản tiếng Anh cho trang giải mã. Điều này cho thấy hacker có vẻ sẽ sớm mở rộng các cuộc tấn công sang các quốc gia khác.
Spora nổi bật bởi có thể mã hóa các tập tin mà không cần kết nối với máy chủ C&C. Đồng thời mã độc vẫn đảm bảo được việc mỗi nạn nhân sẽ có một khóa giải mã riêng. Các mã độc tống tiền thông thường tạo ra một khoá AES cho mỗi tập tin mã hóa, sau đó mã hóa các khóa này bằng một khóa công khai RSA được tạo bởi máy chủ C&C.
Mã hóa khóa công khai như RSA dựa trên các cặp khóa gồm khóa công khai (public key) và khóa riêng tư (private key). Một tập tin bất kỳ được mã hóa bởi một khóa công khai chỉ có thể được giải mã với khóa riêng tư tương ứng.
Hầu hết các mã độc tống tiền kết nối tới máy chủ C&C sau khi cài đặt trên thiết bị lây nhiễm và yêu cầu một cặp khóa RSA để giải mã. Khóa công khai có thể được tải về máy tính, tuy nhiên khóa riêng tư sẽ do hacker sở hữu. Người dùng phải trả khoản tiền chuộc để có được khóa này.
Vấn đề kết nối đến máy chủ sau khi cài đặt trên thiết bị lây nhiễm của ransomware vốn là điểm yếu đối với hacker. Ví dụ, nếu máy chủ được hãng an ninh mạng phát hiện và chặn bằng tường lửa, quá trình mã hóa sẽ không thể diễn ra. Một số ransomware có thể thực hiện việc mã hóa offline, nhưng sẽ sử dụng cùng một khóa công khai RSA đã được hard-code trong mã độc cho tất cả các nạn nhân. Nhược điểm của phương pháp này đối với những kẻ tấn công đó là một công cụ giải mã cho một nạn nhân sẽ có tác dụng đối với cả các nạn nhận khác nữa, bởi tất cả đều có cùng khóa riêng tư.
Những kẻ đứng sau Spora đã giải quyết được vấn đề này. Mã độc chứa một khóa công khai RSA được hard-code, tuy nhiên khóa này được sử dụng để mã hóa một khóa AES riêng được tạo khác nhau cho mỗi nạn nhân. Khóa AES này sau đó được sử dụng để mã hóa khóa riêng tư trong cặp khóa RSA được tạo riêng cho mỗi nạn nhân. Sau cùng, khóa RSA công khai của nạn nhân được sử dụng để mã hóa các khóa AES – trong mã hóa các tập tin cá nhân.
Nói cách khác, những kẻ đứng sau Spora đã thêm vòng mã hóa AES và RSA thứ hai so với các mã độc tống tiền khác tính tới thời điểm này.
Khi muốn trả tiền chuộc, nạn nhân phải tải lên các khóa AES đã bị mã hóa lên trang web thanh toán của hacker. Những kẻ tấn công sau đó sẽ sử dụng khóa riêng tư RSA để giải mã nó và trả về cho nạn nhân – gần như đóng gói trong một bộ giải mã.
Bộ giải mã sẽ sử dụng khoá AES này để giải mã khóa RSA của nạn nhân và khóa đó sẽ được sử dụng để giải mã các khóa AES cần thiết để khôi phục các tập tin.
Bằng cách này, Spora có thể hoạt động không cần kết nối tới máy chủ C&C mà vẫn đảm bảo khóa cho mỗi nạn nhân là khác nhau. Chuyên gia của Emsisoft cho biết: "Không may là, sau khi đánh giá cách Spora thực hiện mã hóa, không có cách nào để khôi phục lại các tập tin bị mã hóa nếu không có khóa riêng tư của kẻ đứng sau mã độc".
Ngoài ra, Spora cũng có một số đặc điểm riêng khác như hacker áp dụng một hệ thống cho phép đòi các khoản tiền chuộc khác nhau cho mỗi đối tượng nạn nhân khác nhau. Trang web thanh toán cũng được thiết kế cẩn thận và nhìn rất chuyên nghiệp.
Tính đến hiện tại, Spora đã được phát hiện trong các file đính kèm giả mạo hóa đơn thanh toán từ các phần mềm thanh toán phổ biến tại Nga và các quốc gia nói tiếng Nga. Các file đính kèm có dạng .HTA (ứng dụng HTML) chứa đoạn mã JavaScript độc hại.
Spora nhắm mục tiêu tới người dùng sử dụng tiếng Nga, tuy nhiên kẻ đứng sau mã độc cũng đã tạo ra một phiên bản tiếng Anh cho trang giải mã. Điều này cho thấy hacker có vẻ sẽ sớm mở rộng các cuộc tấn công sang các quốc gia khác.
Spora nổi bật bởi có thể mã hóa các tập tin mà không cần kết nối với máy chủ C&C. Đồng thời mã độc vẫn đảm bảo được việc mỗi nạn nhân sẽ có một khóa giải mã riêng. Các mã độc tống tiền thông thường tạo ra một khoá AES cho mỗi tập tin mã hóa, sau đó mã hóa các khóa này bằng một khóa công khai RSA được tạo bởi máy chủ C&C.
Mã hóa khóa công khai như RSA dựa trên các cặp khóa gồm khóa công khai (public key) và khóa riêng tư (private key). Một tập tin bất kỳ được mã hóa bởi một khóa công khai chỉ có thể được giải mã với khóa riêng tư tương ứng.
Hầu hết các mã độc tống tiền kết nối tới máy chủ C&C sau khi cài đặt trên thiết bị lây nhiễm và yêu cầu một cặp khóa RSA để giải mã. Khóa công khai có thể được tải về máy tính, tuy nhiên khóa riêng tư sẽ do hacker sở hữu. Người dùng phải trả khoản tiền chuộc để có được khóa này.
Vấn đề kết nối đến máy chủ sau khi cài đặt trên thiết bị lây nhiễm của ransomware vốn là điểm yếu đối với hacker. Ví dụ, nếu máy chủ được hãng an ninh mạng phát hiện và chặn bằng tường lửa, quá trình mã hóa sẽ không thể diễn ra. Một số ransomware có thể thực hiện việc mã hóa offline, nhưng sẽ sử dụng cùng một khóa công khai RSA đã được hard-code trong mã độc cho tất cả các nạn nhân. Nhược điểm của phương pháp này đối với những kẻ tấn công đó là một công cụ giải mã cho một nạn nhân sẽ có tác dụng đối với cả các nạn nhận khác nữa, bởi tất cả đều có cùng khóa riêng tư.
Những kẻ đứng sau Spora đã giải quyết được vấn đề này. Mã độc chứa một khóa công khai RSA được hard-code, tuy nhiên khóa này được sử dụng để mã hóa một khóa AES riêng được tạo khác nhau cho mỗi nạn nhân. Khóa AES này sau đó được sử dụng để mã hóa khóa riêng tư trong cặp khóa RSA được tạo riêng cho mỗi nạn nhân. Sau cùng, khóa RSA công khai của nạn nhân được sử dụng để mã hóa các khóa AES – trong mã hóa các tập tin cá nhân.
Nói cách khác, những kẻ đứng sau Spora đã thêm vòng mã hóa AES và RSA thứ hai so với các mã độc tống tiền khác tính tới thời điểm này.
Khi muốn trả tiền chuộc, nạn nhân phải tải lên các khóa AES đã bị mã hóa lên trang web thanh toán của hacker. Những kẻ tấn công sau đó sẽ sử dụng khóa riêng tư RSA để giải mã nó và trả về cho nạn nhân – gần như đóng gói trong một bộ giải mã.
Bộ giải mã sẽ sử dụng khoá AES này để giải mã khóa RSA của nạn nhân và khóa đó sẽ được sử dụng để giải mã các khóa AES cần thiết để khôi phục các tập tin.
Bằng cách này, Spora có thể hoạt động không cần kết nối tới máy chủ C&C mà vẫn đảm bảo khóa cho mỗi nạn nhân là khác nhau. Chuyên gia của Emsisoft cho biết: "Không may là, sau khi đánh giá cách Spora thực hiện mã hóa, không có cách nào để khôi phục lại các tập tin bị mã hóa nếu không có khóa riêng tư của kẻ đứng sau mã độc".
Ngoài ra, Spora cũng có một số đặc điểm riêng khác như hacker áp dụng một hệ thống cho phép đòi các khoản tiền chuộc khác nhau cho mỗi đối tượng nạn nhân khác nhau. Trang web thanh toán cũng được thiết kế cẩn thận và nhìn rất chuyên nghiệp.
Tính đến hiện tại, Spora đã được phát hiện trong các file đính kèm giả mạo hóa đơn thanh toán từ các phần mềm thanh toán phổ biến tại Nga và các quốc gia nói tiếng Nga. Các file đính kèm có dạng .HTA (ứng dụng HTML) chứa đoạn mã JavaScript độc hại.
Nguồn: ComputerWorld