Ngày 27/04, hệ thống Honeypot của Bkis phát hiện một đợt tấn công mới qua email khai thác lỗ hổng /Launch của PDF.

Như chúng tôi phân tích và dự đoán nếu như Zeus chỉ tận dụng mã khai thác có sẵn trên Metasploit với nhiều hạn chế thì malware này đã khai thác đúng bản chất của lỗ hổng /Lauch và với hình thức tinh vi hơn nhiều.

Malware này có hai đặc điểm quan trọng khiến nó khai thác lỗ hổng /Launch tốt hơn nhiều so với Zeus khi người sử dụng mở file PDF độc hại:

1. Thứ nhất là không phải lừa người sử dụng save malware ra ổ đĩa
2. Thứ hai là cửa sổ cảnh báo của Acobat Reader đã bị làm giả.

Malware khai thác lỗ hổng /Launch tinh vi hơn nhiều so với Zeus

Như vậy có thể thấy, những gì mà Zeus chưa làm được thì đã được xử lý trong malware mới này, đúng với bản chất của lỗ hổng /Launch. Tại thời điểm hiện tại, lỗ hổng vẫn chưa được Adobe vá.

Nếu người sử dụng bấm nút Open, lần lượt 3 file : script.vbs, batscript.vbs và game.exe được sinh ra và thực thi. Các file này chỉ tồn tại khoảng 3 giây trong thư mục chứa doc.pdf, rồi biến mất. File game.exe chính là virus đã được lây nhiễm trên máy tính của nạn nhân. Game.exe trước khi bị xóa đã kịp tự copy bản thân nó thành svchost.exe và ghi vào thư mục “%ProgramFiles%\Microsoft Common

Cụ thể hơn quá trình game.exe được tạo ra và thực thi như sau: sau khi nút Open được thực hiện, /Launch được thực thi tạo ra file script.vbs

Mã khai thác sinh ra file script.vbs

Script.vbs sau đó được thực thi và tạo ra file thứ 2 tên là batscript.vbs theo các bước :

+ Mở chính file doc.pdf

+ Đọc file, lấy ra đoạn comment được đánh dấu bởi ‘SS và ‘EE

+ Bỏ các dấu comment “%” đi, và ghi vào file batscript.vbs

script.vbs

- File batscript.vbs sau thực hiện được đoạn VB script gọi sẽ thực hiện các bước sau :

+ Tạo file game.exe bằng mảng byte nhị phân sẵn trong code

+ Chạy file game.exe

+ Sau 3 giây, xóa cả 3 file : script.vbs, batscript.vbs và game.exe

batscript.vbs

Toàn bộ quá trình thực hiện

Malware game.exe sau khi được thực thi sẽ copy bản thân nó với tên svchost.exe và lưu vào thư mục Microsoft Common. Malware này có thể phát tán qua USB và nó cũng hoạt động như một bot, nhận lệnh điều khiển từ 3 CC server.

Malware kết nối tới C&C Server

Cụ thể hoạt động của malware:

1. Copy bản thân thành file có tên svchost.exe  vào thư mục %ProgramFiles%\Microsoft Common\
2. Ghi key :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] Debugger = “%ProgramFiles%\Microsoft Common\svchost.exe” Để virus được chạy lên mỗi khi windows khởi động
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\Listđể bypass firewall

3. Chèn mã độc vào tiến trình svchost.exe và explorer.exe của hệ thống.
4. Copy bản thân thành file system.exe kèm theo file autorun.inf vào các ổ USB để phát tán qua USB
5. Nhận lệnh từ các server điều khiển :

• hxxp://jad[removed]son.com/lde/ld.php?v=1&rs=13441600&n=1&uid=1
• hxxp://1fo[removed]sa.com/lde/ld.php?v=1&rs=13441600&n=1&uid=1
• hxxp://dol[removed]ss.com/lde/ld.php?v=1&rs=13441600&n=1&uid=1

Trong 3 C&C server, thì hiện tại chỉ có server đầu tiên hoạt động. Có thể hai server sau được dùng vì mục đích dự phòng. Các tên miền của CC Server sử dụng Fast flux DNS, nên có IP thay đổi liên tục.

Theo phân tích của chúng tôi, 2 trong số 3 tên miền của C&C server mới được tạo ra từ ngày 26/04, một tên miền được tạo ra từ ngày 21/04. Những tên miền này được đăng ký với tên của một người Nga.

Chúng tôi vẫn sẽ tiếp tục theo dõi và cập nhật về loại malware này.

Bkis

Lỗ hổng trong cấu trúc file PDF của nhà sản xuất phần mềm Adobe được công bố hồi cuối tháng 3/2010 hiện vẫn chưa được vá. Nghiên cứu của các chuyên gia Bkis Security (thuộc Bkis) cho thấy nguy cơ nhiễm virus rất cao từ việc mở các file PDF bằng Acrobat Reader.

Các file PDF chứa mã độc hiện đã được phát tán trên Internet. Khi mở một file PDF dạng này, người sử dụng sẽ nhận được một yêu cầu tự động Save As file hiện tại ra một thư mục, thông thường là Desktop hoặc My Documents. Thực chất, file được Save As chính là một virus do đoạn mã khai thác lỗ hổng sinh ra. Sau đó, một cửa sổ yêu cầu mở file vừa được ghi ra ổ đĩa xuất hiện. Nếu người sử dụng chọn nút Open, virus được thực thi và máy tính của người sử dụng bị nhiễm virus.

Người dụng bị lừa save file PDF (thực chất là virus) ra ổ đĩa

Virus sẽ được thực thi nếu người sử dụng chọn nút Open

Chỉ tính riêng trong tháng 04/2010, hệ thống Honeypot (hũ mật bẫy virus) của Bkis đã thu thập được gần 5.000 biến thể virus sử dụng file PDF chứa mã độc hại, lây lan và phát tán trên toàn cầu. Lợi dụng file PDF đang là xu hướng mà hacker dùng để tấn công người sử dụng, điều này khiến các file PDF đang ngày càng trở nên nguy hiểm.

Lợi dụng file PDF đang là xu hướng mà hacker dùng để tấn công người sử dụng

Theo ước tính, tại Việt Nam có hàng triệu người sử dụng Acrobat Reader. Để phòng tránh nguy cơ bị nhiễm virus phát tán qua file PDF, người sử dụng cần cẩn trọng nếu gặp hiện tượng hộp thoại “Save As“ tự động hiện ra khi mở một file PDF. Trong trường hợp này, cần đóng ngay hộp thoại “Save As“ và thoát khỏi Acrobat Reader. Ngoài ra, nếu nghi ngờ máy tính bị nhiễm virus, mà trước đó bạn đã từng mở các file PDF, cần sử dụng ngay phần mềm diệt virus có cập nhật mẫu nhận diện mới nhất để quét toàn bộ máy tính.

Trong tháng 04/2010, đã có 2.884 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 2.878 có xuất xứ từ nước ngoài và chỉ có 6 dòng xuất xứ từ Việt Nam. Các virus này đã lây nhiễm trên 3.967.000 lượt máy tính. Virus lây nhiều nhất trong tháng qua là W32.AutorunUSB.Worm đã lây nhiễm trên 202.000 lượt máy tính.

Danh sách 10 virus lây nhiều nhất trong tháng 04/2010:

Bkis Security

Mới đây, một gói dữ liệu khai thác trình duyệt Opera đã được phát tán trên Internet. Nếu người sử dụng mở gói dữ liệu này (thông qua một trang web) bằng trình duyệt Opera phiên bản 10.50 hoặc cũ hơn, trình duyệt sẽ bị lỗi (crash).

Hình 1 – Gói dữ liệu được phát tán trên Internet.

Khi trình duyệt Opera nhận được một gói dữ liệu, trình duyệt này sẽ sử dụng trường Content-length để xác định độ dài của tag html tại phần cuối của gói dữ liệu, sau đó copy và hiển thị tag này. Trong module Opera.dll, số liệu ở trường Content-Length được lưu trữ dưới dạng biến số 64 bit. Tại đây, trình duyệt sẽ kiểm tra xem liệu 4 bytes cao (được coi là một số có dấu – signed number) có phải là một số không âm hay không. Nếu không phải là số âm, chương trình sẽ copy tag html này với độ dài thực của tag, và không có vấn đề gì xảy ra. Ngược lại, chương trình sẽ sử dụng 4 bytes thấp (được coi như một số không dấu – unsigned number) để copy tag html trên đến một bộ nhớ đệm (buffer) có độ dài là 20000h. Do đó, nếu chúng ta đưa vào trường Content-length một biến số 64 bit với 4 bytes cao nhận giá trị  từ 80000000h đến FFFFFFFFh, và 4 bytes thấp đủ lớn, ví dụ FFFFFFFDh, trình duyệt sẽ bị lỗi. Nhìn vào kết quả phân tích của OnlyDebug trong hình 2, chúng ta có thể thấy được sự so sánh này. Nếu DWORD PTR SS:[EBP-4] < 0, chương trình sẽ chạy đoạn mã tại Opera_1.676C8375, đưa giá trị FFFFFFFDh đến EDI, sau đó đẩy vào ECX, gây tràn bộ nhớ đệm.

Hình 2 – Đoạn mã kiểm tra liệu 4 bytes cao có phải là số âm hay không

Tiến hành toàn bộ quá trình xử lý của Opera dưới sự theo dõi của OllyDbg, lỗ hổng được phát hiện tại module Opera_1, thực chất chính là module Opera.dll, gây tràn mảng (array). Trong hình 3, có thể thấy rằng chương trình cố gắng copy một lượng lớn dữ liệu – FFFFFFFDh byte từ 6D74683C đến 00000000 bằng câu lệnh REP MOVS. Câu lệnh này làm cho chương trình bị lỗi.

Hình 3 – Câu lệnh làm chương trình bị lỗi.

Giải pháp:

Lỗ hổng này chỉ ảnh hưởng đến trình duyệt Opera phiên bản 10.50 và các phiên bản trước đó. Trong phiên bản Opera 10.51, lỗi này đã được sửa. Người sử dụng có thể download bản Opera 10.51 tại http://www.opera.com/browser/ để vá lỗi

Bkis Security

Thời gian gần đây, tại Việt Nam xuất hiện hiện tượng giả mạo số điện thoại di động gây hoang mang dư luận. Nhận thấy vấn đề này gây ảnh hưởng lớn tới cộng đồng, Bkis Security đã tiến hành nghiên cứu bản chất sự việc. Chúng tôi xin đưa ra những khuyến cáo sau đây.

Giả mạo số điện thoại như thế nào ?

Về kỹ thuật, khi tiến hành một cuộc gọi từ điện thoại di động (cuộc gọi thông thường ) điện thoại sẽ kết nối trực tiếp vào mạng viễn thông thông qua các trạm thu phát sóng (BTS). Thông qua các trạm BTS này, số điện thoại của người gọi được hệ thống tự động lấy ra từ SIM của điện thoại, do đó nó được ghi nhận chính xác. Việc giả mạo trong trường hợp này là không dễ dàng.

Tuy nhiên, hiện nay hầu hết các nhà mạng đều cho phép các cuộc gọi được thực hiện từ Internet vào mạng di động. Cuộc gọi được thực hiện bởi một phần mềm, phần mềm này kết nối với máy chủ cung cấp dịch vụ trên Internet (trong các sự việc xảy ra thời gian vừa qua, máy chủ này đặt ở nước ngoài). Tiếp theo, cuộc gọi được chuyển từ máy chủ đặt ở nước ngoài quay trở về kết nối với các nhà mạng ở Việt Nam. Cuối cùng, cuộc gọi được chuyển tới máy điện thoại đích thông qua hệ thống mạng viễn thông theo cách thông thường (trung chuyển bởi các trạm BTS).

Khi gọi điện bằng phần mềm như cách nêu trên, người gọi không cần sử dụng SIM điện thoại. Do đó, số điện thoại của người gọi không được lấy từ SIM như cách gọi truyền thống, mà được người gọi tùy ý nhập vào phần mềm. Vấn đề phát sinh từ đây, bất kỳ ai biết sử dụng phần mềm nói trên cũng có thể tạo ra các số điện thoại giả mạo. Phần mềm gọi điện thoại có thể chạy trên máy tính hoặc trên các dòng điện thoại smartphone, với điều kiện nó có kết nối Internet (thông qua 3G, GPRS, Wifi…).

Phần mềm tạo ra các cuộc gọi giả mạo được phát tán ở Việt Nam trong mấy ngày qua, là phần mềm được viết riêng cho điện thoại iPhone, do đó hầu hết mọi người đều hiểu nhầm rằng điện thoại iPhone tạo ra các cuộc gọi giả mạo. Thực tế, các cuộc gọi giả mạo có thể được thực hiện từ bất kỳ loại điện thoại hoặc máy tính nào, chỉ cần nó có thể chạy được phần mềm và có kết nối Internet. 

Cũng với cách thức tương tự, các tin nhắn SMS cũng có thể dễ dàng bị giả mạo.

Phòng chống như thế nào ?

Hiện tại các nhà mạng tại Việt Nam đã thực hiện một số biện pháp khắc phục bằng cách lọc các cuộc gọi phát sinh từ Internet. Số điện thoại giả mạo được chuyển thành các số điện thoại khác không trùng định dạng với các số điện thoại ở Việt Nam hoặc chuyển sang chế độ giấu số gọi đến. Tuy nhiên biện pháp này hiện nay chưa có kết quả ổn định, hiện tượng giả mạo các cuộc gọi vẫn có thể xảy ra, đặc biệt chưa khắc phục được việc giả mạo tin nhắn SMS. Do đó, các thuê bao di động vẫn phải chủ động đề phòng với hiện tượng này.

Làm thế nào để nhận biết các cuộc gọi giả mạo ?

Với một cuộc gọi điện thoại di động thông thường trong nước, số điện thoại của người gọi hiện lên trên máy của người nhận bằng đúng số điện thoại của người gọi. Trong trường hợp bị giả mạo bởi cuộc gọi từ Internet, thông thường, số gọi đến hiển thị trên máy của người nhận sẽ kèm theo mã điện thoại quốc gia. Vì vậy khi nhận được cuộc gọi của một người mà bạn biết chắc rằng người đó đang ở Việt Nam, nhưng số điện thoại hiện lên trên máy của bạn lại có thêm phần mã quốc gia, thì gần như có thể khẳng định đó là cuộc gọi giả mạo.

Trên thị trường hiện nay, không phải dòng điện thoại di động nào cũng có tính năng hiện đồng thời tên người gọi đến (lấy trong danh bạ) và số điện thoại gọi đến. Khi sử dụng loại điện thoại này, nếu thấy cuộc gọi mà bạn vừa nhận có dấu hiệu khả nghi, bạn có thể kiểm tra trong lịch sử các cuộc gọi (call history), lấy chính xác số điện thoại gọi đến để kiểm tra như cách nêu trên.

Với hiện tượng giả mạo tin nhắn SMS, hiện tại chưa có biện pháp khắc phục, do đó bạn phải làm quen với việc không nên tuyệt đối tin tưởng vào các tin nhắn, không nên sử dụng tin nhắn như một công cụ giao dịch công việc chính thức.

Bkis Security

Ngày Cá tháng Tư là ngày mọi người có để trêu ghẹo, đùa giỡn nhau mà người bị lừa không tức giận mà trái lại còn cảm thấy vui vẻ. Tuy nhiên, người bị lừa sẽ không thể “vui vẻ” khi tìm kiếm thông tin về ngày này trên Internet.

Rất nhiều từ khóa liên quan tới ngày cá tháng tư đã bị BHSEO dẫn tới FakeAV, ví dụ, “April Fools Day Origin”, “April Fools Jokes For Kids”, “April Fools Jokes For Boyfriend”, “April Fools Jokes For Teachers”, “April Fools Day 2010”…

Số lượng từ khóa liên quan tới ngày Cá Tháng Tư mà chúng tôi tìm được đặc biệt cao hơn so với các đợt BHSEO khác, chứng tỏ hacker khá quan tâm tới ngày này.

Rất nhiều tìm kiếm liên quan tới ngày cá tháng tư dẫn tới FakeAV

Bấm vào một kết quả tìm kiếm, người dùng sẽ bị chuyển hướng sang một trang web của FakeAV.  Khi đó một cảnh báo sẽ hiện lên, thông báo máy bạn có thể bị malware tấn công, và yêu cầu quét virus.

Cảnh báo nhiễm virus giả

Sau đó, một quá trình quét virus giả mạo sẽ được thực hiện và kết quả là máy bạn đang nhiễm rất nhiều virus.

FakeAV giả mạo quá trình quét virus

Tiếp đến trang web liên tục yêu cầu bạn tải một file cập nhật giả mạo về để cài đặt bản vá.

Bản vá lừa đảo

Nếu bạn tải về và cài đặt bản vá này thì máy của bạn đã bị nhiễm malware.

Chúng tôi khuyến cáo người sử dụng nên cẩn thận khi tìm kiếm thông tin về ngày Cá tháng Tư, cũng như các thông tin khác trên Internet.

Người sử dụng nên cập nhật phiên bản mới nhất cho phần mềm AV của mình để bảo vệ an ninh cho máy tính. Chúng tôi hiện đã cập nhật các mẫu malware này vào cơ sở dữ liệu của phần mềm diệt virus Bkav.

Bkis Security