Sau loạt bài viết về loại virus ghi đè file cập nhật, tôi nhận được phản hồi từ Mary Landesman, thuộc Scansafe. Tôi có kiểm tra lại và thấy phát hiện này thật thú vị, xin cảm ơn Mary về điều này. Sau đây, tôi sẽ nói cụ thể hơn về phát hiện đó.

Để minh họa cho bài blog trước, theo thói quen, tôi dùng đường dẫn và ảnh chụp màn hình biến thể mới nhất của malware. Quả thực, lúc đó tôi cũng không nghĩ rằng malware này đã kịp biến đổi. Theo biến thể malware mà tôi phân tích thì virus ghi đè vào file cập nhật của Adobe, Java… như tôi đã mô tả trong bài blog. (TrendMicro cũng đã có một số phân tích về loại malware ghi đè file cập nhật).

Nhưng đến biến thể mới nhất này, trong khi malware vẫn tiếp tục ghi đè file cập nhật của Java, thì với Adobe, chiến thuật của malware đã thay đổi. Lần này, nó bỏ một file mới vào thư mục của phần mềm và giả làm thành phần cập nhật của Adobe. Nó tạo ra file AcrobatUpdater.exe, trùng tên với 1 file đã có sẵn là AcrobatUpdater.dll. File mới tạo ra này có icon và thông tin phiên bản giống hệt với file cập nhật thật của Acrobat.

Như các bạn có thể thấy, malware lại tiếp tục biến đổi để ngụy trang tốt hơn. Trong bài blog mới đây, tôi có đề cập đến ba thế hệ của malware ghi đè file. Đầu tiên là thế hệ ghi đè các file của hệ thống – dễ làm hỏng hệ thống; sau đó là thế hệ ghi đè file của các chương trình khởi động cùng hệ thống – dễ làm hỏng hoạt động của chương trình; và gần đây là thế hệ ghi đè thành phần cập nhật của một số phần mềm – không ảnh hưởng nhiều đến hoạt động của phần mềm nhưng làm cho thành phần cập nhật không thể hoạt động. Còn với mẫu mới nhất của loại malware này, ta có thể xem đó là thế hệ 3.5 của virus ghi đè file.

Và điều này đúng như tôi đã nói trong bài viết trước – “Chúng vẫn sẽ tiếp tục phát triển các phương thức lây nhiễm mới, bởi kẻ xấu sẽ không ngừng tìm cách gây khó khăn cho các nhà sản xuất phần mềm diệt virus.“

Bkis R&D

Cách đây 2 ngày, tôi có viết một bài về xu hướng mới của loại virus ghi đè file. Tuy nhiên, tại thời điểm đó, do thời gian hạn hẹp, công việc lại đang bộn bề nên chưa thể phân tích tỉ mỉ. Bởi vậy, có thể nhiều người (thậm chí chuyên gia an ninh mạng) sẽ nghĩ nó không có gì mới cả. Thực ra, cái mới ở đây là một sự thay đổi lớn trong chiến lược mà loại virus này áp dụng để dễ dàng qua mặt các chuyên gia. Hôm nay, khi công việc đã đi vào đúng quỹ đạo, tôi muốn dành thời gian tổng kết lại quá trình biến đổi của loại virus này sau 4 năm nhóm của tôi nghiên cứu và theo dõi sự phát triển của chúng. Hy vọng các bạn sẽ có một cái nhìn tổng quan và thấy được xu hướng mới của loại virus này.

Virus ghi đè file xuất hiện từ đầu năm 2007, và đã chuyển mình rõ rệt qua 3 giai đoạn :

• Thời kì đầu (2007) – Virus ghi đè file hệ thống (System-file replacing virus)

Virus thay thế các file chuẩn của hệ điều hành ví dụ như: explorer.exe, userinit.exe, winlogon.exe, rpcss.dll, lpk.dll, comres.dll … Để hệ điều hành vẫn hoạt động bình thường, virus backup các file nó đã thay thế và gọi trở lại sau khi nó đã được kích hoạt. Nếu ta gỡ bỏ virus bằng cách tìm và xóa file của virus mà không khôi phục lại các file virus đã thay thế thì hệ thống sẽ bị lỗi (treo, hoặc không hoạt động bình thường). Trên thực tế, hầu hết các phần mềm diệt virus đều mắc phải lỗi này. Chúng tôi cũng đã cảnh báo về vấn đề này trong Hội nghị thường niên của APCERT.

• Thời kì thứ 2 (2009) – Virus ghi đè file của chương trình khởi động (Startup-program replacing virus)

Thay vì thay thế các file của hệ điều hành, kẻ xấu chuyển sang tấn công vào các chương trình được đăng ký khởi động cùng hệ thống. Thông thường, các chương trình được đăng ký trong 2 key :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun

Tương tự như thời kỳ đầu, virus cũng backup các file mà nó thay thế. Và các AV vẫn tiếp tục mắc phải lỗi là diệt mà không khôi phục lại các file cần được khôi phục.

• Thời kì thứ 3 (2010) – Virus ghi đè file của các chương trình cập nhật (Software-Updater file replacing virus)

Gần đây, nhiều mẫu virus ghi đè chương trình cập nhật của các phần mềm bắt đầu xuất hiện và ngày càng phổ biến. Nhiều người sẽ nhầm tưởng các mẫu này với các mẫu trong thời kỳ thứ hai. Các mẫu virus ghi đè file trong thời kỳ này ẩn mình kỹ hơn rất nhiều bằng cách giả mạo biểu tượng hay thông tin phiên bản và ghi đè lên các chương trình cập nhật của một số phần mềm phổ biến như Adobe, DeepFreeze, Java …

Khác với 2 thời kì đầu, các loại virus này không backup các file mà nó đã thay thế. Nhưng chúng chỉ tấn công vào chương trình cập nhật nên không làm ảnh hưởng đến hoạt động của phần mềm.

Ngoài ra, do virus giả mạo biểu tượng và thông tin phiên bản, nên khi dùng các công cụ như Autoruns, Process Explorer … để rà soát hệ thống, ta không thể xác định được hệ thống có bị lây nhiễm hay không.

Rõ ràng đây là một chiến lược mới của virus, và nó đang gây rất nhiều khó khăn cho các chuyên gia.

Bạn cũng có thể tham khảo thêm thông tin tại :

http://blog.bkis.com/en/malware-faking-adobe-update/
http://www.pcworld.com/businesscenter/article/192422/new_malware_overwrites_software_updaters.html
http://www.computerworld.com/s/article/9174126/New_malware_overwrites_software_updaters

Trên đây là 3 thời kỳ biến đổi của loại virus ghi đè file (file replacing virus). Chúng vẫn sẽ tiếp tục phát triển các phương thức lây nhiễm mới, bởi kẻ xấu sẽ không ngừng tìm cách để gây khó khăn cho các nhà sản xuất phần mềm diệt virus. Thực tế đó đòi hỏi các nhà sản xuất phần mềm diệt virus cũng phải liên tục cải tiến thay vì chỉ nhận diện và xóa file như hiện nay.

Bkis R&D

Để qua mặt các phần mềm diệt virus cũng như các chuyên gia phân tích hệ thống, gần đây, kẻ xấu đã phát tán một loạt biến thể malware có biểu tượng và thông tin phiên bản giống hệt các chương trình cập nhật của một số phần mềm phổ biến. Một khi đã lây nhiễm vào máy tính nạn nhân, mã độc sẽ ghi đè lên các chương trình cập nhật này. Do biểu tượng và thông tin phiên bản đã bị giả mạo nên người sử dụng bình thường, thậm chí cả các chuyên gia virus, cũng rất dễ “bị lừa” và bỏ qua chúng mà không chút nghi ngờ.

Hình 1: Key khởi động và tiến trình của malware khi xem bằng Autorun và ProcessXP. Rất khó để xác định rằng đó là mã độc.

Qua phân tích chúng tôi nhận thấy mã độc được viết bằng ngôn ngữ Visual Basic, giả mạo các chương trình phổ dụng như Adobe, DeepFreeze, Java, Windows… Ngoài ra, sau khi được thực thi, chúng lập tức bật các dịch vụ DHCP client, DNS client, Network share và mở cổng để nhận lệnh từ hacker.

Hình 2: Giả mạo AdobeUpdater

Hình 3: Giả mạo chương trình cập nhật của Java

Trong trường hợp này, lời khuyên dành cho người sử dụng là cập nhật thường xuyên phiên bản mới nhất của phầm mềm diệt virus để có được sự hỗ trợ tốt nhất từ các chuyên gia.

Bkav nhận diện virus này với tên W32.Fakeupver.trojan. Người sử dụng Bkav có thể hoàn toàn yên tâm vì máy tính của mình đã được bảo vệ bởi phiên bản cập nhật mới nhất của phần mềm.

Bkis R&D

Người dùng Google đang phải đối mặt với một đợt tấn công Blackhat SEO mới khi sử dụng các từ khóa tìm kiếm liên quan đến sự kiện một ngọn núi lửa ở Iceland “bừng tỉnh” sau 200 năm.

Nghiên cứu của Bkis cho thấy, nếu sử dụng từ khóa “Iceland volcano 2010” để tìm kiếm thông tin liên quan đến sự kiện này trên Google, người dùng có thể sẽ bị chuyển hướng tới các trang web độc hại.

Các trang web này giả mạo giao diện của Windows và có tên miền dạng như sau:

Thực tế, trang web www.xorg.pl cho phép đăng ký miễn phí các subdomain của tên miền xorg.pl. Lợi dụng đặc điểm này, hacker tạo ra vô số các tên miền như: dibod81.xorg.pl, dibod76.xorg.pl, gertub11.xorg.pl…nhằm qua mặt cơ chế chặn truy cập của Google Safe Browsing. Khi đó, nếu Google chặn tên miền này, hacker sẽ tạo ra các tên miền khác.

Với hầu hết các tên miền khác nhau hacker sẽ dùng địa chỉ IP server khác nhau.

Bkis Security

Thông tin chung

Trong tháng 2, Adobe đã đưa ra bản tin an ninh lần thứ 7 trong năm 2010. Đợt vá lỗi lần này khắc phục 2 lỗ hổng trong các sản phẩm Adobe Reader và Acrobat phiên bản 9.3.0 và 8.2.0 trở về trước. Trong đó, có một lỗ hổng rất nguy hiểm (CVE-2010-0188) cho phép kẻ xấu có thể tấn công, chiếm quyền điều khiển máy tính từ xa. Rất may, tại thời điểm hãng công bố bản vá này, mã khai thác cũng như thông tin chi tiết về lỗ hổng vẫn chưa bị tiết lộ.

Tuy nhiên, trong những ngày đầu và giữa tháng 3, một loạt mã độc gắn trong các file PDF khai thác lỗ hổng nói trên đã được phát hiện. Mã khai thác cũng đã được phát tán rộng rãi trên Internet.

Phân tích kỹ thuật

Nguyên nhân dẫn đến lỗ hổng nằm ở thư viện Libtiff, một thư viện mã nguồn mở được sử dụng trong Adobe Reader và Acrobat để xử lý định dạng ảnh TIFF (Tagged Image File Format). Điều đáng nói là lỗ hổng này cũng chính là một trong số các lỗ hổng của Libtiff đã được phát hiện từ năm 2006 (CVE-2006-3459).

Lỗi này xuất phát từ việc sử dụng hàm memcpy() khi số byte được sao chép vượt quá kích thước vùng nhớ đích, dẫn đến tràn ngăn xếp (stack) và địa chỉ trả về bị thay đổi.

Cách đơn giản để khai thác lỗ hổng này là chèn mã JavaScript vào file PDF và sử dụng kỹ thuật heap spray. Cụ thể, sau khi tạo ra vùng nhớ heap lớn chứa shellcode, hacker chỉ cần ghi tràn lên stack địa chỉ trỏ tới heap, chẳng hạn 0×0c0c0c0c, để khi chương trình trỏ về địa chỉ này, shellcode sẽ được thực thi. Tuy nhiên, hình thức tấn công này không thể thực hiện trong trường hợp tính năng Adobe Javascript bị tắt.

Hacker có thể áp dụng một cách hiệu quả hơn, đã được sử dụng trong mã khai thác nhắc đến ở trên. Theo đó, các dữ liệu ghi tràn trên stack được chuẩn bị khéo léo, để khi chương trình tham chiếu đến, các byte dữ liệu sẽ được sắp xếp tạo thành một đoạn mã có nhiệm vụ truy tìm, sao chép phần shellcode đang nằm ở đâu đó trên bộ nhớ rồi thực thi shellcode này.

Sau lời gọi hàm memcpy(), dữ liệu đã chuẩn bị trong file đầu vào được ghi tràn lên stack.

Giải pháp

Trong thực tế, đây chính là 2 phương pháp đã được các hacker sử dụng để phát tán mã độc. Các mã khai thác này đều chạy thành công trên Windows XP SP2 và Windows XP SP3. Đáng lưu ý, nguy cơ không chỉ nằm trực tiếp ở ứng dụng Adobe Reader và Acrobat mà còn trên Adobe Plugin dành cho các trình duyệt web. Điều đó có nghĩa mã độc sẽ dễ dàng được thực thi nếu người dùng truy nhập một đường link dẫn đến file PDF độc. Đây cũng chính là yếu tố khiến lỗ hổng này được đánh giá rất nguy hiểm và là mục tiêu tấn công ưa thích của các hacker trong thời gian gần đây.

Nhà sản xuất đã đưa ra bản vá cho lỗ hổng này từ tháng 2, người dùng cần nhanh chóng cập nhật Adobe Reader phiên bản 8.2.1 hoặc 9.3.1 để đảm bảo an ninh thông tin cho máy tính của mình.

Bkis Security