Phân Tích Mã Độc Trên Facebook Messenger Tháng 12/2017

26 tháng 12
malware-facebook-messenger

Mấy hôm nay trên Facebook đang có con malware lây lan thông qua Messenger, lâu rồi tớ cũng không viết mấy bài phân tích kĩ thuật nên cũng ngứa tay nên kiếm thử một mẫu về phân tích viết bài chơi.

Tổng quan về con malware mới trên Facebook

Tên tập tin có dạng: video_XXX.zip hoặc sex_video_XXX.zip

Giải nén file ZIP này ra sẽ được một tập tin có tên dạng: Video.XXX.mp4.exe

Trong đó, XXX là các số ngẫu nhiên.

Tỉ lệ phát hiện từ VirusTotal32/68

Dựa theo tên định danh của một số AV và kết quả phân tích của ExeInfo PE thì tập tin EXE này được viết bằng AutoIt.

facebook-messenger-malware

Theo thông tin hành vi của con malware được phân tích bởi VirusTotal, ta có thể thấy một số hành động khả nghi:

facebook-messenger-malware


  • Tạo ra một tập tin với tên GoogleUpdater.exe - chúng ta có thể thấy tên này giả mạo trình cập nhật của trình duyệt Google Chrome.
  • Thực thi lệnh để mở trình duyệt Chrome với những tham số đặc biệt, trong đó có thể thấy con malware này vô hiệu thanh hiển thị thông tin của Chrome và cài đặt thêm một extension mới.

facebook-messenger-malware


  • Thực hiện một truy vấn HTTP tới một URL được chỉ định, sử dụng một User-Agent tùy chỉnh ("Miner"). Nghe đã thấy có vẻ dính dáng gì đó tới việc đào tiền ảo. Nhất là khi dạo này BitCoin đang khá là hot.


Dựa theo báo cáo tạo ra bởi Falcon Sandbox (v7.20) - Hybrid Analysis, chúng ta có thêm những thông tin sau:

facebook-messenger-malware

facebook-messenger-malware


facebook-messenger-malware


Quá nhiều thông tin chỉ ra rằng con malware này quả nhiên có sử dụng máy nạn nhân để đào tiền ảo.

Phân tích chi tiết malware: Downloader

Như thông tin chúng ta đã có được thì con malware này được viết bằng ngôn ngữ AutoIt (đáng buồn khi đây là một trong những ngôn ngữ tớ thích). Thực hiện việc dịch ngược bằng các công cụ phổ biến. Chúng ta có được mã nguồn đã bị Obfuscate.

facebook-messenger-malware

Tớ không mất nhiều thời gian lắm cho việc deobfuscate bằng cách tận dụng chính một hàm trong mã nguồn của con malware.

facebook-messenger-malware



Dựa theo mã nguồn, chúng ta thấy control flow của con malware như sau:

Tải config từ server. File config này chỉ đọc được nếu truy vấn có User-Agent là "Miner". Nếu không, nó trả về chuỗi "denied".

facebook-messenger-malware

Tải về những file được chỉ định trong config.

facebook-messenger-malware

Sao chép chính nó (file EXE) vào đường dẫn: C:\Users\<USER>\AppData\Roaming\<USER>\GoogleUpdater.exe (sử dụng tên file giả mạo trình cập nhật Google Chrome)

Tạo khóa register để tự động chạy khi Windows khởi động. Đồng thời đóng tiến trình chrome.exe

Thay đổi toàn bộ lối tắt (shortcut) các chương trình đang có trên Taskbar thành shortcut của Chrome với một vài tham số đặc biệt để cài đặt thêm extension chứa mã độc.

Thực thi tiến trình đào tiền ảo (chạy nền).

Phân tích chi tiết malware: Extension

Trong phần này, chúng ta sẽ đi vào phân tích extension độc hại được cài thêm vào Google Chrome. Hãy cùng xem nó sẽ làm những gì trên trình duyệt của người dùng.

Dựa theo thông tin từ phần trên, các tập tin được tải về thuộc thành phần của một extension là:

  • manifest.json
  • background.js
  • jquery.min.js

Trong đó, manifest.json là file khai báo thông tin cho extension. File jQuery được tải thẳng từ CDN của Google (ajax.googleapis.com) nên hiển nhiên là nó an toàn. Vậy nên chúng ta sẽ phân tích ngay tập tin quan trọng nhất: background.js


facebook-messenger-malware

Hàm đầu tiên để khóa các tab có protocol bắt đầu bằng chrome:, có thể đoán được là muốn ngăn người dùng truy cập chrome://extension để gỡ bỏ extension này.

facebook-messenger-malware


Sử dụng webRequest API để chặn các endpoint như trong hình trên, dựa theo ngữ nghĩa của các chuỗi, chúng ta có thể thấy mục đích của đoạn code trên là để chặn người dùng xóa, sửa bài viết, bình luận và tin nhắn spam; cập nhật quyền riêng tư; cài đặt công cụ dọn dẹp Chrome hay tải công cụ quét mã độc do Facebook cung cấp.

facebook-messenger-malware

Đoạn này cho thấy extension sẽ log lại tài khoản Facebook của người dùng. Kịch bản tấn công ở đây là: Xóa toàn bộ cookie của Facebook khiến người dùng đăng xuất > Người dùng đăng nhập lại > Tài khoản được log lại và gửi về server.

facebook-messenger-malware

Đoạn code cuối trong file background, khá là hay ho. Nó sẽ thay đổi mọi liên kết mà người dùng chia sẻ lên Facebook thành liên kết rút gọn (kiếm tiền) thông qua API của trang won.pe và việc nó chặn khả năng xóa bài viết của người dùng ở trên hẳn là để chuẩn bị cho việc này.

Cách ngăn chặn malware

Dựa theo các thông tin đã có trong bài phân tích này, các bạn có thể thấy mục tiêu của con malware này là nhắm vào nhóm đối tượng sử dụng Windows và dùng trình duyệt Google Chrome (hoặc các trình duyệt dựa trên Chromium).

Tức là nếu bạn dùng Linux, Mac hoặc có lỡ tải file chứa malware từ điện thoại thì cũng không có gì đáng lo.

Vậy nếu tôi dùng Windows nhưng sử dụng trình duyệt Firefox (hoặc IE) thì sao?

- Bạn đừng quên là ngoài extension nhắm vào Chrome thì con malware này vẫn tải về một miner để chạy ngầm đào tiền nhé!

Các bạn có thể sử dụng Kaspersky (KIS) và thấy nó đã cập nhật mẫu malware này. Các bạn cũng có thể kiểm tra xem đã có những AV nào nhận diện được mẫu malware này tại đây.

Tôi đã lỡ tay thực thi file EXE, giờ phải làm sao?

Juno_okyo đã viết một đoạn script nhỏ bằng chính AutoIt để diệt con malware viết bằng... AutoIt. Cái này gọi là "lấy độc trị độc" đó :v

Bạn chủ cần tải file đã được biên dịch sẵn (chỉ việc chạy): Download

Team I-TECH cũng có viết bài hướng dẫn xử lý thủ công tại đây.

Bonus: Hack vào server của hacker

Trong quá trình phân tích con malware, anh Killer có phát hiện ra server chứa config của malware dính lỗ hổng bảo mật cho phép chúng tớ có thể LẤY TOÀN BỘ DỮ LIỆUtrên server của hacker.

Một số thông tin thú vị:

facebook-messenger-malware

Có hơn 267.000 nạn nhân trên Facebook.

facebook-messenger-malware

Hơn 1200 tên miền đã được đăng ký để làm máy chủ C&C cho malware.

facebook-messenger-malware

Không chỉ Facebook, con malware này còn log tài khoản Gmail và Paypal của các nạn nhân.

Ngoài ra, còn nhiều thông tin nhạy cảm khác mà chúng tớ sẽ tiếp tục phân tích và bổ sung.

Nguồn: J2TEAM

72 nhận xét:
  1. Đã đọc hôm trước
    https://junookyo.blogspot.com/2017/12/phan-tich-ma-doc-facebook-messenger.html

    Trả lờiXóa
  2. vậy là cx bít cách khắc phục r

    Trả lờiXóa
  3. https://i.imgur.com/2NaVKJr.png

    Trả lờiXóa
  4. [i]https://i.imgur.com/DxicJkJ.png[/i]

    Trả lờiXóa
    Trả lời
    1. [i]https://i.imgur.com/kdKB9tw.png[/i]

      Xóa
    2. Ổn chưa bác [i]https://i.imgur.com/9RT1DrV.png[/i]

      Xóa
  5. [i]https://i.imgur.com/xwwgUpF.png[/i]

    Trả lờiXóa
  6. [i]https://i.imgur.com/peB6IuH.png[/i]

    Trả lờiXóa
  7. [i]https://i.imgur.com/IrahxNx.png[/i]

    Trả lờiXóa
    Trả lời
    1. nên đặt ở chỗ nào cho nó chạy theo cái form comment này hả anh Trường [i]https://i.imgur.com/3M4e8aN.png[/i]

      Xóa
    2. Sau đoạn <div id='threaded-comment-form'>

      Xóa
  8. update thêm chút nữa [i]https://i.imgur.com/kdKB9tw.png[/i]

    Trả lờiXóa
  9. [i]https://i.imgur.com/ex4WL0i.png[/i]

    Trả lờiXóa
    Trả lời
    1. [i]https://i.imgur.com/6at4RWp.png[/i]

      Xóa
    2. [i]https://i.imgur.com/IrahxNx.png[/i]

      Xóa
  10. ơ sao tự dưng bị mất comment nhỉ [i]https://i.imgur.com/AeDvJbO.png[/i]

    Trả lờiXóa
  11. Test lại :v [i]https://i.imgur.com/8q7mrQd.png[/i]

    Trả lờiXóa
  12. test
    [i]https://i.imgur.com/dRznM6d.png[/i]

    Trả lờiXóa
    Trả lời
    1. chào Hưng [i]https://i.imgur.com/L1okthn.png[/i]

      Xóa
    2. 2 acc à [i]https://i.imgur.com/xwwgUpF.png[/i]

      Xóa
  13. Cái comment của mình đâu rồi nhể?
    [i]https://i.imgur.com/AeDvJbO.png[/i]

    Trả lờiXóa
    Trả lời
    1. em cũng k biết nữa, tự dưng mấy comment chiều qua bị mất, mà trong chỗ quản lý vẫn còn [i]https://i.imgur.com/YLnodeA.png[/i]

      Xóa
    2. [i]https://i.imgur.com/x9uqcsY.png[/i] [i]https://i.imgur.com/wlvdLc4.png[/i]

      Xóa
  14. [i]http://dep.anh9.com/imgs/14111hinh-anh-HD-dep-mat-voi-cay-canh-.jpg[/i]

    Trả lờiXóa
  15. [i]https://i.imgur.com/kdKB9tw.png[/i]

    Trả lờiXóa
  16. [i]https://i.imgur.com/MD1ZK4i.png[/i]

    Trả lờiXóa
  17. Share code *MỘT SỐ LƯU Ý KHI BÌNH LUẬN* đi man [i]https://i.imgur.com/zkSkCMf.png[/i]

    Trả lờiXóa
    Trả lời
    1. cái này Star Cường share rồi mà nhỉ ? [i]https://i.imgur.com/gAWH8ib.png[/i]

      Xóa
  18. [i]https://i.imgur.com/qh6QXVc.png[/i]
    Kg làm bài viết nữa hả bác

    Trả lờiXóa
    Trả lời
    1. chưa kiếm được chủ đề nào để viết bài bác ạ [i]https://i.imgur.com/Tm3AFhj.png[/i]

      Xóa
  19. cho độ rộng kéo trang xuống ra xíu đi b

    Trả lờiXóa
  20. Trả lời
    1. chưa biết viết cái gì luôn [i]https://i.imgur.com/FJErTJF.png[/i]

      Xóa
  21. [i]https://i.imgur.com/Nf67mIw.png[/i]

    Trả lờiXóa
  22. [i]https://i.imgur.com/gkr0D6y.png[/i]

    Trả lờiXóa
  23. Trả lời
    1. có nha man, mấy hôm nay bận code quá chưa tương tác được nhiều :D [i]https://i.imgur.com/ep5t6dM.png[/i]

      Xóa
    2. Từ từ nha [i]https://i.imgur.com/bv5Yk88.png[/i]

      Xóa
    3. Bác mà share chắc các blogger ai cũng dùng qá :))
      [i]https://i.imgur.com/zkSkCMf.png[/i]

      Xóa
    4. Thế suy nghĩ lại xem có share hay k nhỉ =)) [i]https://i.imgur.com/pPotLjN.png[/i]

      Xóa
  24. Trả lời
    1. chúc mừng năm mới [i]https://i.imgur.com/2sZzWcv.png[/i]

      Xóa
  25. Trả lời
    1. chút xíu nữa thôi là có bài liền nè [i]https://i.imgur.com/xFSPS9t.png[/i]

      Xóa
  26. [i]https://i.imgur.com/AJvnSPY.png[/i]

    Trả lờiXóa
  27. [i]https://i.imgur.com/eKooemn.png[/i]

    Trả lờiXóa

Bình luận mới