Phân tích mã độc khai thác lỗ hổng Microsoft Office Equation Editor

10:52 | 21/01/2020
Nguyễn Liên (theo viettelcybersecurity.com)

Mã độc khai thác lỗ hổng Microsoft Office Equation Editor từng được tin tặc sử dụng trong các cuộc tấn công nhằm phát tán backdoor, chiếm quyền điều khiển từ xa hệ thống. Mới đây, các chuyên gia của Công ty An ninh mạng Viettel đã tiến hành phân tích mẫu mã độc này.

Mẫu mã độc phân tích mã hash là c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7, sử dụng lỗ hổng của Microsoft Office Equation Editor (CVE-2017-11882, CVE-2018-0802).

Để phân tích mã độc, đầu tiên, người dùng cần sử dụng công cụ rtfobj để phân tích file RTF. 

Hình 1: phân tích RTF với rtfobj

Theo Hình 1, mã độc được nhúng một object Equation. Một số hành vi độc hại mà mã độc có thể thực thi: mở file RTF kích hoạt tệp tin EQNEDT32.exe; Tạo 02 tệp tin 8.t và adcache.dll trong thư mục %temp%; Thực thi tệp tin adcache.dll chứa mã độc trên máy tính của nạn nhân.

Phân tích tệp tin adcache.dll

Ứng dụng độc hại được thực thi với lệnh như sau:

rundll32.exe %temp%\adcache.dll startwork

Qua phân tích nhận thấy, hành vi của mã độc hại này khá đơn giản. Đầu tiên, mã độc chạy và kiểm tra killswitch. Nếu phát hiện killswitch đã tồn tại thì mã độc thực hiện thoát tiến trình. Nếu killswitch không tồn tại, mã độc thực hiện kết nối về máy chủ điều khiển để tải mã độc khác về máy, thực thi trên memory của tiến trình rundll32.exe.

Hình 2: tên miền máy chủ điều khiển www.123456abcgsdwere56463455345435435657222222.com

Tại thời điểm phân tích, killswitch đã được đăng kí. Tiếp tục phân tích, nhận thấy khi không có killswitch, tệp tin adcache.dll sẽ decode một đoạn shellcode và thực thi. Tuy nhiên, đoạn shellcode này khá ngắn nhưng không dễ đọc.

Hình 3: mã nguồn Shellcode

Tiếp tục sử dụng Qiling - Advanced Binary Emulation framework để phân tích mã shellcode. Mặc dù, Qiling - Advanced Binary Emulation framework cần thực thi thêm nhiều thao tác trong quá trình phân tích. Tuy nhiên, với mẫu shellcode đơn giản thì framework này khá phù hợp. Bởi người phân tích sẽ không cần trace thủ công hoặc monitor quá nhiều trong quá trình phân tích. Sau khi cài đặt, sử dụng đoạn mã sau để thực hiện quá trình phân tích:

Hình 4: mã nguồn phân tích shellcode

Hình 5: Kết quả phân tích mã shellcode

Dễ dàng nhận thấy, mã độc cố gắng kết nối về tên miền https://vpnet.mooo.com/FrCa, để tải mã độc khác về máy. Tuy nhiên, tên miền vpnet.mooo.com hiện nay không hoạt động, nên quá trình phân tích không thể tiếp tục. Mặt khác, sử dụng công cụ Viettel Threat Intelligence để đánh giá mức độ nguy hiểm. 

Hình 6: giao diện của công cụ Viettel Threat Intelligence

Kết quả cho thấy, có nhiều IP liên quan tới tên miền vpnet.mooo.com.

Hình 7: Danh sách IP  liên quan tới tên miền vpnet.mooo.com

Tiếp tục phân tích theo chế độ đồ họa của công cụ Viettel Threat Intelligence, nhận thấy có một số tên miền khác cũng liên quan tới tên miền này như vpcpnet.mooo.com. 

Hình 8: Giao diện đồ họa của công cụ Viettel Threat Intelligence

Kết luận

Mặc dù lỗ hổng CVE-2017-11882 và CVE-2018-0802 đã có bản vá đầy đủ từ Microsoft, nhưng do tính ổn định của các mã khai thác này, mà nó vẫn được tin tặc sử dụng chúng trong nhiều cuộc tấn công. Người dùng cần khẩn trương cập nhật các bản vá để giảm thiểu rủi ro mất an toàn thông tin.

Tài liệu tham khảo

- Another malicious document with CVE-2017–11882 - tác giả Kienm4n0w4r

IoC

RTF Document : c2ea07a400fb89b8f0f9551caa1e27599a4e4b94fde646f167c9e527e19d0fa7

adcache.dll: 337C45CD1A9395097E6D8EBC44DD22D9FB7C6BDE25CA8956FCF3E09EAF31797C

8.t: D447C9252D30F4C40485E4D17A9DAD6899CB55936F16009B4A4367BFA02BE8BA