Virus VBA Macro
Tổng quan về Macro
Macro là tên gọi chung của những đoạn mã lệnh được sử dụng để thực hiện một số nhiệm vụ một cách tự động. Việc sử dụng Macro sẽ giúp người sử dụng đơn giản hóa các thao tác lặp đi lặp lại để thực hiện một công việc cụ thể nào đó, chỉ bằng một câu lệnh Macro. Các ứng dụng trong bộ Microsoft Office như Word, Excel, PowerPoint đều cho phép tạo ra các Macro ngay trong các file văn bản, file bảng tính hay file trình diễn. Hacker đã lợi dụng điều này để tạo ra virus Macro, lây nhiễm trên các file văn bản (.doc, .docx), các file bảng tính (.xls, .xlsx) hay các file trình diễn (.ppt, .pptx) của các phần mềm Word, Excel hay PowerPoint. Có 2 loại Macro là Macro4 và VBA Macro
Sau đây mình xin đưa ra bài viết giới thiệu khái quát về virus Macro cũng như phân tích một mẫu virus VBA Macro để giúp các bạn hiểu và có cái nhìn trực quan hơn về loại mã độc này.
Phân tích mẫu virus VBA Macro trong file excel
Virus VBA Macro được tạo ra bằng ngôn ngữ là VBA (Visual Basic Application)
Để xem code VBA trong file excel:
Tools -> Macro -> Visual Basic Editor hoặc Alt + F11
Hình 1: Mở code VBA trong excel
Hình 2: Giao diện hiển thị code VBA
Cơ chế xâm nhập vào máy nạn nhân:
Virus VBA Macro là một đoạn mã viết bằng ngôn ngữ VBA(Visual Basic Application) thường nằm trong một file dữ liệu. File này được gửi qua email hoặc do nạn nhân sao chép file đã bị lây nhiễm ở máy khác. Đoạn mã độc này chỉ được lây nhiễm khi nạn nhân thực hiện mở file dữ liệu.
Cơ chế hoạt động:
Hành vi chung của mã độc VBA Macro
+ Thiết lập chế độ bảo mật VB object model ở excel
+ Lây nhiễm mã độc VBA
+ Gửi mail
Các hành vi chi tiêt
Mã độc VBA thực hiện thiết lập lại chế độ bảo mật của excel để có thể copy mã độc VBA vào file excel khác. Cách thức thực hiện là mã độc sẽ truy cập vào key AccessVBOM và Level rồi sửa đổi giá trị bằng 1.
Hình 3: Thiết lập chế độ bảo mật để tác động đến VB object model
Lây nhiễm mã độc VBA: mã độc thực hiện copy module chứa code virus VBA vào file excel khác.
Hình 4: Inject code VBA
Sau khi đã lây nhiễm thành công, mã độc sẽ thực hiện hành vi gửi email. Nó sẽ nén dữ liệu lấy được của nạn nhân vào một file .CAB
Hình 5: Nén dữ liệu
Sau khi đã nén dữ liệu xong, mã độc thực hiện gửi email đi với tệp đính kèm là file đã nén – thực hiện hành vi ăn cắp dữ liệu.
Hình 6: Gửi dữ liệu đã nén
Trên đây là bài phân tích của mình về mẫu malware VBA Macro. Bài phân tích còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.
Macro là tên gọi chung của những đoạn mã lệnh được sử dụng để thực hiện một số nhiệm vụ một cách tự động. Việc sử dụng Macro sẽ giúp người sử dụng đơn giản hóa các thao tác lặp đi lặp lại để thực hiện một công việc cụ thể nào đó, chỉ bằng một câu lệnh Macro. Các ứng dụng trong bộ Microsoft Office như Word, Excel, PowerPoint đều cho phép tạo ra các Macro ngay trong các file văn bản, file bảng tính hay file trình diễn. Hacker đã lợi dụng điều này để tạo ra virus Macro, lây nhiễm trên các file văn bản (.doc, .docx), các file bảng tính (.xls, .xlsx) hay các file trình diễn (.ppt, .pptx) của các phần mềm Word, Excel hay PowerPoint. Có 2 loại Macro là Macro4 và VBA Macro
Sau đây mình xin đưa ra bài viết giới thiệu khái quát về virus Macro cũng như phân tích một mẫu virus VBA Macro để giúp các bạn hiểu và có cái nhìn trực quan hơn về loại mã độc này.
Phân tích mẫu virus VBA Macro trong file excel
Virus VBA Macro được tạo ra bằng ngôn ngữ là VBA (Visual Basic Application)
Để xem code VBA trong file excel:
Tools -> Macro -> Visual Basic Editor hoặc Alt + F11
Hình 1: Mở code VBA trong excel
Hình 2: Giao diện hiển thị code VBA
Cơ chế xâm nhập vào máy nạn nhân:
Virus VBA Macro là một đoạn mã viết bằng ngôn ngữ VBA(Visual Basic Application) thường nằm trong một file dữ liệu. File này được gửi qua email hoặc do nạn nhân sao chép file đã bị lây nhiễm ở máy khác. Đoạn mã độc này chỉ được lây nhiễm khi nạn nhân thực hiện mở file dữ liệu.
Cơ chế hoạt động:
Hành vi chung của mã độc VBA Macro
+ Thiết lập chế độ bảo mật VB object model ở excel
+ Lây nhiễm mã độc VBA
+ Gửi mail
Các hành vi chi tiêt
Mã độc VBA thực hiện thiết lập lại chế độ bảo mật của excel để có thể copy mã độc VBA vào file excel khác. Cách thức thực hiện là mã độc sẽ truy cập vào key AccessVBOM và Level rồi sửa đổi giá trị bằng 1.
Hình 3: Thiết lập chế độ bảo mật để tác động đến VB object model
Lây nhiễm mã độc VBA: mã độc thực hiện copy module chứa code virus VBA vào file excel khác.
Hình 4: Inject code VBA
Sau khi đã lây nhiễm thành công, mã độc sẽ thực hiện hành vi gửi email. Nó sẽ nén dữ liệu lấy được của nạn nhân vào một file .CAB
Hình 5: Nén dữ liệu
Sau khi đã nén dữ liệu xong, mã độc thực hiện gửi email đi với tệp đính kèm là file đã nén – thực hiện hành vi ăn cắp dữ liệu.
Hình 6: Gửi dữ liệu đã nén
Trên đây là bài phân tích của mình về mẫu malware VBA Macro. Bài phân tích còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.
Chỉnh sửa lần cuối bởi người điều hành: