WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Ransomware ‘HavanaCrypt’ giả mạo Google Software Update để lây nhiễm
Dòng ransowmare mới này đang được phát tán như một ứng dụng Google Software Update giả mạo.
HavanaCrypt thực hiện nhiều kiểm tra chống ảo hóa (anti-virtualization) và sử dụng địa chỉ IP của dịch vụ lưu trữ web của Microsoft cho máy chủ C&C để tránh bị phát hiện. Mã độc cũng sử dụng các mô-đun của trình quản lý mật khẩu nguồn mở trong quá trình mã hóa.
Được biên dịch trong .NET và được bảo vệ bằng obfuscator nguồn mở Obfuscar, HavanaCrypt ẩn cửa sổ sau khi thực thi, kiểm tra registry AutoRun để tìm mục nhập “GoogleUpdate” và tiếp tục quy trình nếu không tìm thấy registry.
Mã độc thực hiện chống ảo hóa bằng cách kiểm tra các dịch vụ được liên kết với máy ảo, các tệp liên quan đến ứng dụng máy ảo, các tên tệp được sử dụng cho các tệp thực thi VM và địa chỉ MAC của máy.
Nếu vượt qua bốn kiểm tra này, mã độc sẽ tải xuống tệp “2.txt” từ địa chỉ IP của dịch vụ lưu trữ web của Microsoft, lưu nó dưới dạng tệp .bat và thực thi. Tệp batch chứa các hướng dẫn để Windows Defender bỏ qua các phát hiện trong thư mục “Windows” và “User”.
Tiếp theo, ransomware dừng một loạt các tiến trình đang chạy, gồm cả những tiến trình dành cho các ứng dụng cơ sở dữ liệu (Microsoft SQL Server và MySQL) và tiến trình của Microsoft Office và Steam.
Sau đó, HavanaCrypt truy vấn tất cả các ổ đĩa và xóa tất cả các shadow copy, đồng thời sử dụng Windows Management Instrumentation (WMI) để xác định các instance khôi phục hệ thống và xóa chúng.
Kế tiếp, ransomware thả các bản sao thực thi của chính nó vào thư mục “ProgramData” và “StartUp”, đặt chúng làm tệp hệ thống ẩn và thả vào thư mục “User Startup” một tệp .bat có chứa chức năng vô hiệu hóa Task Manager.
HavanaCrypt tạo mã định danh duy nhất (UID) dựa trên thông tin hệ thống như lõi và ID bộ xử lý, tên bộ xử lý, ổ cắm, nhà sản xuất bo mạch chủ, tên, phiên bản BIOS và số sản phẩm.
Trong quá trình mã hóa, mã độc sử dụng chức năng CryptoRandom của KeePass Password Safe để tạo khóa mã hóa, gắn phần mở rộng “.Havana” vào các tệp bị mã hóa, tránh mã hóa các tệp bằng một số extension nhất định hoặc những extension trong thư mục cụ thể, bao gồm cả của trình duyệt Tor. Việc này cho thấy kẻ đứng sau có thể lập kế hoạch giao tiếp qua mạng Tor.
Mã độc cũng tạo ra một tệp văn bản (text file) ghi lại tất cả các thư mục chứa các tệp bị mã hóa và cũng mã hóa tệp này. Không có ghi chú đòi tiền chuộc để lại cho nạn nhân. Đây có thể là dấu hiệu cho thấy HavanaCrypt vẫn đang trong giai đoạn phát triển, Trend Micro cho biết.
HavanaCrypt thực hiện nhiều kiểm tra chống ảo hóa (anti-virtualization) và sử dụng địa chỉ IP của dịch vụ lưu trữ web của Microsoft cho máy chủ C&C để tránh bị phát hiện. Mã độc cũng sử dụng các mô-đun của trình quản lý mật khẩu nguồn mở trong quá trình mã hóa.
Được biên dịch trong .NET và được bảo vệ bằng obfuscator nguồn mở Obfuscar, HavanaCrypt ẩn cửa sổ sau khi thực thi, kiểm tra registry AutoRun để tìm mục nhập “GoogleUpdate” và tiếp tục quy trình nếu không tìm thấy registry.
Mã độc thực hiện chống ảo hóa bằng cách kiểm tra các dịch vụ được liên kết với máy ảo, các tệp liên quan đến ứng dụng máy ảo, các tên tệp được sử dụng cho các tệp thực thi VM và địa chỉ MAC của máy.
Nếu vượt qua bốn kiểm tra này, mã độc sẽ tải xuống tệp “2.txt” từ địa chỉ IP của dịch vụ lưu trữ web của Microsoft, lưu nó dưới dạng tệp .bat và thực thi. Tệp batch chứa các hướng dẫn để Windows Defender bỏ qua các phát hiện trong thư mục “Windows” và “User”.
Tiếp theo, ransomware dừng một loạt các tiến trình đang chạy, gồm cả những tiến trình dành cho các ứng dụng cơ sở dữ liệu (Microsoft SQL Server và MySQL) và tiến trình của Microsoft Office và Steam.
Sau đó, HavanaCrypt truy vấn tất cả các ổ đĩa và xóa tất cả các shadow copy, đồng thời sử dụng Windows Management Instrumentation (WMI) để xác định các instance khôi phục hệ thống và xóa chúng.
Kế tiếp, ransomware thả các bản sao thực thi của chính nó vào thư mục “ProgramData” và “StartUp”, đặt chúng làm tệp hệ thống ẩn và thả vào thư mục “User Startup” một tệp .bat có chứa chức năng vô hiệu hóa Task Manager.
HavanaCrypt tạo mã định danh duy nhất (UID) dựa trên thông tin hệ thống như lõi và ID bộ xử lý, tên bộ xử lý, ổ cắm, nhà sản xuất bo mạch chủ, tên, phiên bản BIOS và số sản phẩm.
Trong quá trình mã hóa, mã độc sử dụng chức năng CryptoRandom của KeePass Password Safe để tạo khóa mã hóa, gắn phần mở rộng “.Havana” vào các tệp bị mã hóa, tránh mã hóa các tệp bằng một số extension nhất định hoặc những extension trong thư mục cụ thể, bao gồm cả của trình duyệt Tor. Việc này cho thấy kẻ đứng sau có thể lập kế hoạch giao tiếp qua mạng Tor.
Mã độc cũng tạo ra một tệp văn bản (text file) ghi lại tất cả các thư mục chứa các tệp bị mã hóa và cũng mã hóa tệp này. Không có ghi chú đòi tiền chuộc để lại cho nạn nhân. Đây có thể là dấu hiệu cho thấy HavanaCrypt vẫn đang trong giai đoạn phát triển, Trend Micro cho biết.
Theo Security Week