Phân tích mẫu Ransomware ghi đè MBR
Chào các bạn, trong bài viết này mình sẽ hướng dẫn phân tích mẫu Ransomware ghi đè vào MBR (Master Boot Record)
Giới thiệu chung:
- MBR: là nơi lưu trữ dữ liệu khởi động máy tính
- Ransomware là dòng virus mã hóa file, tống tiền người dùng đòi key giải mã. Khác với các dòng mã hóa thông thường chỉ mã hóa file, dòng Ransomware này ghi đè cả vào MBR khiến chúng ta không thể truy cập vào máy tính.
- Thông tin mẫu được đề cập:
+ Tên mẫu : Satana Ransomware
+ MD5: C5282A9F63393BBB1691BC8810D7934D
+ File Size: 47.00 KB (48130 bytes)
Cơ chế hoạt động:
Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau (Pack, Nâng quyền Admin, Inject tiến tình chuẩn … ), tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi mã hóa file và ghi đè MBR của mẫu này.
- Satana sẽ tiến hành mã hóa file trước -> rồi ghi đè MBR -> Khởi động lại máy
- Sau khi khởi động lại sẽ thay vì load dữ liệu khởi động máy tính, sẽ load dữ liệu của virus
Mô tả chi tiêt các kỹ thuật được sử dụng.
1. Mã hóa File
- Các file có đuôi sau sẽ bị mã hóa: .bak .doc .jpg .jpe .txt .tex .dbf .db .xls .cry .xml .vsd .pdf .csv .bmp .tif .1cd .tax
.gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .vwi .3ds .ma .ppt .acc .vpd .odt .ods .rar .zip .7z .cpp .pas .asm
Sau khi mã hóa xong sẽ xuất hiện file có tên " __"
Cách thức mã hoá
A. Tạo key :
- Ransomware sử dụng RTDSC (Read Time-Stamp Counter) tạo 1 key random
VD:
- Key được tạo ra sẽ gửi đến máy của Hacker qua Socket
Do thuật toán mã hóa rất phức tạp, nếu key không đến được máy Hacker vì lý do nào đó, dữ liệu sẽ không thể khôi phục lại.
B. Mã hóa File: Sử dụng thuật toán Mã hóa đối xứng
- Sử dụng 4 DWORD của Key để XOR với File sẽ mã hóa
- Sử dụng 8 DWORD của key để mã hóa bằng thuật toán dựa trên thuật toán AES – 256 – ECB
C. Tạo Privite ID máy nạn nhân
- Gọi GetCurrentHwProfileW lấy được Hardware Profile dưới dạng GUID
- Chuyển sang định dạng MD5
=> Chuỗi này sử dụng làm ID máy nạn nhân
2.Ghi đè MBR
A. Sơ đồ tổng quan
B. Code lưu trong các Sector bị ghi đè
+ Sector 0: Bootloader ( Load hệ điều hành Malware) và deofucate Sector 1
+ Sector 1: Hiển thị đoạn text được lưu trong Sector 2-5 và cho nhập Key, kiểm tra Key
+ Sector 2-5: Lưu đoạn text được in lên màn hình
+ Sector 6: Lưu thông tin backup lại MBR
- Sau khi khởi động lại máy sẽ không thể vào lại Win do MBR đã bị ghi đè
3. Cách thức giải mã:
- Sau khi có được Key giải mã, Mã độc sẽ Kiểm tra Key (ở Sector 1), nếu đúng sẽ thực hiện Backup MBR (ở Sector 6) để vào Win, nếu sai sẽ treo máy.
- Sau khi vào Win sẽ tiến hành giải mã các File bị mã hóa, do Mã độc sử dụng thuật toán mã hóa đối xứng nên sẽ sử dụng Key đã gửi lên máy Hacker để tiến hành giải mã.
Hình ảnh dưới đây minh họa 1 đoạn code mã hóa/ giải mã.
4. Kết thúc bài viết:
Trên đây là bài viết sơ lược về hành vi của một mẫu Ransomware ghi đè MBR. Như các bạn thấy, nếu gặp phải rất khó để khôi phục lại dữ liệu đã bị mã hóa, kể cả trả tiền chuộc nhưng không có gì để đảm bảo khôi phục được 100%. Người dùng nên cảnh giác với các phần mềm, trang Web lạ.
Giới thiệu chung:
- MBR: là nơi lưu trữ dữ liệu khởi động máy tính
- Ransomware là dòng virus mã hóa file, tống tiền người dùng đòi key giải mã. Khác với các dòng mã hóa thông thường chỉ mã hóa file, dòng Ransomware này ghi đè cả vào MBR khiến chúng ta không thể truy cập vào máy tính.
- Thông tin mẫu được đề cập:
+ Tên mẫu : Satana Ransomware
+ MD5: C5282A9F63393BBB1691BC8810D7934D
+ File Size: 47.00 KB (48130 bytes)
Cơ chế hoạt động:
Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau (Pack, Nâng quyền Admin, Inject tiến tình chuẩn … ), tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi mã hóa file và ghi đè MBR của mẫu này.
- Satana sẽ tiến hành mã hóa file trước -> rồi ghi đè MBR -> Khởi động lại máy
- Sau khi khởi động lại sẽ thay vì load dữ liệu khởi động máy tính, sẽ load dữ liệu của virus
Mô tả chi tiêt các kỹ thuật được sử dụng.
1. Mã hóa File
- Các file có đuôi sau sẽ bị mã hóa: .bak .doc .jpg .jpe .txt .tex .dbf .db .xls .cry .xml .vsd .pdf .csv .bmp .tif .1cd .tax
.gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .vwi .3ds .ma .ppt .acc .vpd .odt .ods .rar .zip .7z .cpp .pas .asm
Sau khi mã hóa xong sẽ xuất hiện file có tên " __"
Cách thức mã hoá
A. Tạo key :
- Ransomware sử dụng RTDSC (Read Time-Stamp Counter) tạo 1 key random
VD:
- Key được tạo ra sẽ gửi đến máy của Hacker qua Socket
Do thuật toán mã hóa rất phức tạp, nếu key không đến được máy Hacker vì lý do nào đó, dữ liệu sẽ không thể khôi phục lại.
B. Mã hóa File: Sử dụng thuật toán Mã hóa đối xứng
- Sử dụng 4 DWORD của Key để XOR với File sẽ mã hóa
- Sử dụng 8 DWORD của key để mã hóa bằng thuật toán dựa trên thuật toán AES – 256 – ECB
C. Tạo Privite ID máy nạn nhân
- Gọi GetCurrentHwProfileW lấy được Hardware Profile dưới dạng GUID
- Chuyển sang định dạng MD5
=> Chuỗi này sử dụng làm ID máy nạn nhân
2.Ghi đè MBR
A. Sơ đồ tổng quan
B. Code lưu trong các Sector bị ghi đè
+ Sector 0: Bootloader ( Load hệ điều hành Malware) và deofucate Sector 1
+ Sector 1: Hiển thị đoạn text được lưu trong Sector 2-5 và cho nhập Key, kiểm tra Key
+ Sector 2-5: Lưu đoạn text được in lên màn hình
+ Sector 6: Lưu thông tin backup lại MBR
- Sau khi khởi động lại máy sẽ không thể vào lại Win do MBR đã bị ghi đè
3. Cách thức giải mã:
- Sau khi có được Key giải mã, Mã độc sẽ Kiểm tra Key (ở Sector 1), nếu đúng sẽ thực hiện Backup MBR (ở Sector 6) để vào Win, nếu sai sẽ treo máy.
- Sau khi vào Win sẽ tiến hành giải mã các File bị mã hóa, do Mã độc sử dụng thuật toán mã hóa đối xứng nên sẽ sử dụng Key đã gửi lên máy Hacker để tiến hành giải mã.
Hình ảnh dưới đây minh họa 1 đoạn code mã hóa/ giải mã.
4. Kết thúc bài viết:
Trên đây là bài viết sơ lược về hành vi của một mẫu Ransomware ghi đè MBR. Như các bạn thấy, nếu gặp phải rất khó để khôi phục lại dữ liệu đã bị mã hóa, kể cả trả tiền chuộc nhưng không có gì để đảm bảo khôi phục được 100%. Người dùng nên cảnh giác với các phần mềm, trang Web lạ.
Chỉnh sửa lần cuối bởi người điều hành: