Mới đây vào ngày 16/3/2017 FortiGuard Labs đã tìm được 1 file word mới chứa mã thực thi Visual basic có thể hoạt động trên 2 nền tảng OS phổ biến hiện nay là MacOSX và Windows.
Khi nạn nhân mở file ra sẽ có 1 popup thông báo với nạn nhân cho phép kích hoạt mã VBA kèm trong file Word.
Khi mã độc VBA được phép thực thi chức năng AutoOpen() function sẽ được tự động gọi, việc đầu tiên là nó đọc commnet của file word.
Giá trị đoạn "comment" được mã hóa base64 và được giải mã VBA sau đây:
Sau khi giải mã base64 ta được 1 kịch bản code python được mô tả ở dưới:
Đoạn mã trên đã được thay đổi một chút so với đoạn mã gắn trong framework Metasploit được tìm thấy tại link:
https://github.com/rapid7/metasploi...l/source/exploits/office_word_macro/macro.vba
1. Cách thức Malware hoạt động trên MacOSX:
Như các bạn đã biết Python được Apple cài đặt sẵn lên hệ thống và điều này cho phép OS thực hiện sẵn các ứng dụng python theo mặc định.
Các kịch bản Python được giải mã từ mã hóa base64 rất rõ ràng và sau đó được thực thi trên hệ thống.
Khi tập lệnh Python được thực thi nó sẽ tải 1 file từ địa chỉ "https://sushi.vvlxpress.com:443/HA1QE", đây cũng là đoạn code có trong Metasploit được tìm thấy tại link:
https://github.com/rapid7/metasploit-payloads/blob/master/python/meterpreter/meterpreter.py
Những thay đổi so với file gốc như sau, bên trái là file được tải về còn bên phải là file gốc
Các hằng số:
HTTP_CONNECTION_URL (https://sushi.vvlxpress.com:443/TtxCTzF1Q2gqND8gcvg-cwGEk5tPhorXkzS0gXv9-zFqsvVHxi-1804lm2zGUE31cs/) được đặt thành điểm cuối mà tập lệnh kết nối đến.
PAYLOAD_UUID được sử dụng để đánh dấu nạn nhân cho việc tiện theo dõi.
Khi tập lệnh được thực thi nó kết nối tới máy chủ: "sushi.vvlxpress.com" cổng 443 nhưng tại thời điểm phân tích không thấy máy chủ đáp trả lại yêu cầu.
Quá trình vẫn hoạt động trên máy thử nghiệm và cố gắng kết nối tới máy chủ vẫn đang online (sushi.vvlxpress.com).
Sign up here with your email
ConversionConversion EmoticonEmoticon