Monthly Archives: January 2015

Mã độc CTBLocker mới chuyên tống tiền xuất hiện tại Việt Nam

Từ trưa ngày 21/01/2015, tôi bắt đầu nhận được một số lời đề nghị trợ giúp về việc hệ thống mạng máy tính của một số cơ quan trong đó có cả ngân hàng lớn tại Việt Nam bị nhiễm một mã độc mới.
Khi lây nhiễm được vào máy tính của nạn nhân, mã độc quét toàn bộ ổ đĩa của máy tính và tiến hành mã hoá các file bằng mã hoá khoá công khai (public key cryptography). Hầu hết các file quan trọng trên máy tính (định dạng .doc, pdf, xls, jpg, zip…) sẽ không thể mở được nữa. Việc này đi kèm với 1 thông báo trên Desktop đòi tiền chuộc nếu muốn giải mã những file của nạn nhân. Để giải mã được các file này bắt buộc phải có khoá bí mật (private key) mà chỉ có kẻ phát tán mới có. Điều này có nghĩa là chúng ta không thể khôi phục lại được các file đã bị mã hoá trừ khi chấp nhận trả tiền cho chúng.
f0
Các file trên máy đã bị mã hoá
f1
Xuất hiện thông báo đòi tiền chuộc trên Desktop
Hoạt động của mã độc
Câu chuyện bắt đầu khi nạn nhân nhận được 1 email có chứa file đính kèm và người dùng tưởng là 1 file văn bản.
f2
Bản chất file đính kèm là một file độc hại. Tuy nhiên nó không phải là con mã độc tống tiền CTBLocker, mà là 1 con downloader, có định dạng .scr (Screen Saver), và tên trùng với tên file được đính kèm trong mail.
f3
Con downloader sẽ kích hoạt WordPad để hiển thị một file văn bản, đúng với nội dung trong email. Điều này khiến người dùng nghĩ rằng file đính kèm này chứa văn bản thật.
f51
Tuy nhiên, nhiệm vụ chính của downloader là tải các file độc hại khác xuống. Trong trường hợp này, nó kết nối tới máy chủ  sẽ tải xuống 1 file .exe
f4
Con 24967891.exe tiếp tục “đẻ” ra 2 file là dvnoijl.job và qechhwi.exe (Tên file có thể khác nhau trên các máy tính khác nhau)
f5
Con qechhwi.exe mới là nhân vật chính của chúng ta, nhiệm vụ của nó là mã hoá tất cả các file .doc, pdf, xls, jpg, zip… trên máy tính của nạn nhân, sau đó hiển thị thông báo doạ nạt và tống tiền.
f6
Mã độc mở các thư mục và mã hoá file
f7
Kẻ tống tiền sử dụng hệ thống TOR (The Onion Router) để kết nối máy nạn nhân với máy chủ điều khiển
Chúng ta nên làm gì ?
Thực tế, khi bị mã hoá, chúng ta không có cách nào giải mã được các file nếu như không có khoá. Vì vậy, nhiều người đã bắt buộc phải trả tiền cho kẻ phát tán để lấy lại những file quan trọng của mình. Trong trường hợp này thì “phòng cháy hơn chữa cháy”.
Để không bị lây nhiễm những mã độc tống tiền chúng ta nên:
– Trang bị cho mình một phần mềm diệt virus cập nhật thường xuyên. Chúng ta có thể sử dụng phần mềm miễn phí đủ tốt của Microsoft là Windows Defender (Windows 8) và Microsoft Security Essentials (Windows 7 trở xuống). Hoặc chúng ta có thể mua các phần mềm diệt virus khác để có thể hỗ trợ kỹ thuật.
– Cảnh giác với các file đính kèm trong email. Tốt nhất là không mở file đối với email gửi từ người lạ.
– Chỉ tải các file cài đặt từ website chính gốc
– Không bấm vào các đường link nhận được qua chat hay email
– Thường xuyên backup các file tài liệu của mình

An ninh mạng thế giới: nhìn lại 2014 và dự đoán 2015

Phần 1: Nhìn lại 2014

Có quá nhiều sự kiện liên quan tới bảo mật trong năm 2014. Cho đến tận những ngày cuối năm, câu chuyện Sony bị tấn công và lấy cắp nhiều dữ liệu bí mật của công ty vẫn còn được cả thế giới nhắc đến. Hãy cùng điểm qua những điểm nhấn về an ninh mạng trong năm 2014.

Dữ liệu, dữ liệu và dữ liệu

Điểm nhấn đầu tiên của năm 2014, đó chính là các vụ tấn công đánh cắp hoặc phá huỷ dữ liệu xảy ra dồn dập. Hầu hết các vụ đình đám đều được nhắc với những dấu ấn “lớn nhất” hoặc “lần đầu tiên trong lịch sử”. Ví dụ như eBay, hãng thương mại điện tử hàng đầu thế giới bị đánh cắp 145 triệu thông tin người sử dụng hồi tháng 5. Hay như vụ tấn công tồi tệ nhất trong lịch sử các ngân hàng khiến hơn 80 triệu dữ liệu tài khoản khách hàng của JPMorgan bị lộ. Rồi các hãng bán lẻ như Home Depot bị mất 53 triệu thông tin thẻ tín dụng của khách hàng hay hơn 70 triệu thông tin của Target rơi vào tay kẻ xấu.

Chưa hết, vụ tấn công lấy cắp dữ liệu của Sony vào cuối năm 2014 có thể nói là một trong những vụ tấn công “khủng khiếp” xảy ra đối với các doanh nghiệp. Cuộc tấn công ngay lập tức khiến cổ phiếu của Sony lao xuống thẳng đứng và còn khiến cho bộ phim Interview trở thành bộ phim lần đầu tiên trong lịch sử bị hoãn chiếu với lý do bị hack. Tại Việt Nam, vụ tấn công vào VC Corp cũng có thể nói là vụ tấn công nhắm vào dữ liệu lớn nhất từ trước đến nay. Gây ảnh hưởng tới hoạt động của nhiều dịch vụ và được ước tính thiệt hại lên tới hàng chục tỷ VNĐ.

Đặc điểm chung của hầu hết các vụ tấn công trên đó là, hacker tìm cách cài đặt được phần mềm gián điệp đặc chủng vào một số máy tính bên trong hệ thống mạng của mục tiêu. Từ đó làm bàn đạp để tấn công vào các nguồn dữ liệu nhạy cảm. Việc tấn công tinh vi vào điểm yếu nhất trong hệ thống, đó là con người khiến cho chúng ta có cảm giác bất kỳ công ty nào giờ đây cũng có thể bị rò rỉ dữ liệu mà không có giải pháp nào để ngăn chặn.

Lỗ hổng, lỗ hổng và lỗ hổng

Nhiều lỗ hổng nguy hiểm có mức độ ảnh hưởng rộng đã bị khai thác trong năm 2014. Đặc biệt là những lỗ hổng của các giao thức quan trọng hoặc các thư viện nguồn mở được sử dụng rộng rãi trong nhiều phần mềm khác nhau.

Ồn ào nhất có lẽ là “Trái tim rỉ máu” Heartbleed, một lỗ hổng nguy hiểm của thư viện mã hoá OpenSSL. Ứng dụng của OpenSSL rất rộng bao gồm các máy chủ web chạy Apache hoặc Ngix, các máy chủ email, máy chủ VPN, Instant Message… Khai thác lỗ hổng, hacker có thể lấy được private key của server, sử dụng để mã hóa các dữ liệu trao đổi giữa server và client. Từ đó hacker có thể đọc được toàn bộ thông tin được trao đổi giữa client và server như chưa hề được mã hóa. Dễ hiểu hơn là hacker có thể đọc được username/password, nội dung email, chat vv.

Tiếp theo có thể kể đến là lỗ hổng Shellshock. Shellshock gây nguy hiểm cho các hệ thống máy chủ, thiết bị mạng trên nền Unix và nguy cơ khai thác rộng. Shellshock đe dọa hạ tầng mạng doanh nghiệp, chủ yếu là máy chủ web hơn là đối tượng người dùng phổ thông với máy tính cá nhân. Khi khai thác thành công sẽ có mức độ nguy hiểm cao, cho phép hacker từ xa điều khiển được máy chủ, thiết bị mục tiêu.

Lỗ hổng có tên POODLE được công bố vào tháng 10 có lẽ đã đặt dấu chấm hết việc sử dụng SSL 3.0 (Secure Socket Layer) để mã hoá các giao dịch trên mạng. Lỗ hổng cho phép hacker có thể khai thác điểm yếu của SSL 3.0 để giải mã các thông tin nhạy cảm, khiến cho các tài khoản của người sử dụng trong nhiều dịch vụ có thể bị đánh cắp. Mọi hệ thống được khuyến cáo từ bỏ SSL vốn được biết đến là không đủ an toàn để chuyển sang sử dụng TLS (Transport Layer Security). Tuy nhiên, mọi chuyện chưa kết thúc khi trong tháng cuối năm 2014, người ta lại tiếp tục công bố POODLE cũng ảnh hưởng tới TLS khiến cho hàng loạt các ngân hàng và hãng lớn phải cấp nhật ngay lập tức bản vá cho TLS.

Tại Việt Nam, các quản trị hệ thống đặc biệt là các tổ chức tài chính, ngân hàng đã có một năm vất vả để cập nhật bản vá cho nhiều lỗ hổng trên các hệ thống giao dịch của mình.

Quyền riêng tư của người sử dụng

Một trong những điểm nhấn về an ninh mạng của năm 2014 đó là vấn đề quyền riêng tư bị xâm phạm. Ngày càng có nhiều cáo buộc các hãng điện thoại, các nhà cung cấp dịch vụ hay ứng dụng tìm cách thu thập các thông tin riêng tư của người sử dụng một cách âm thầm. Điển hình là vụ việc các chuyên gia của F-Secure công bố phát hiện hãng điện thoại Xiaomi thu thập thông tin cá nhân của người sử dụng. Sau đó, phó chủ tịch của Xiaomi là Hugo Barra cũng đã phải lên tiếng xin lỗi về hành vi này. Sự việc trên cũng khiến cho nhiều hãng điện thoại bị yêu cầu kiểm tra, thậm chí có nhiều quốc gia cáo buộc thêm cả Apple, Samsung.. cũng nằm trong diện phải điều chỉnh để phù hợp với luật riêng tư của quốc gia đó.

Ứng dụng Uber trên Android cũng gặp phải cáo buộc tương tự. Các nhà nghiên cứu cũng tìm ra một số dấu hiệu thu thập thông tin của người dùng khiến cho hãng này bắt buộc phải cập nhật phiên bản mới và thay đổi chính sách bảo mật để người dùng tin tưởng hơn.

Tại Việt Nam, vụ việc hơn 14 nghìn điện thoại đã bị cài đặt phần mềm PTracker để nghe lén nội dung tin nhắn, cuộc gọi, địa điểm… cũng là một vụ việc điển hình vì cho sự xâm phạm quyền riêng tư.

Phát hiện nhiều loại mã độc nguy hiểm

Screen Shot 2015-01-08 at 3.39.44 PM

Theo AV-Test, có đến hơn 140 triệu loại mã độc mới xuất hiện trong năm 2014, nhiều hơn hẳn so với các năm trước. Bên cạnh sự vượt trội về số lượng, chúng ta cũng có thể thấy 2014 xuất hiện nhiều mã độc có đặc điểm khác biệt so với các mã độc khác.

Tháng 11, hãng an ninh Kaspersky phát hiện một loại mã độc được đặt tên là DarkHotel. Điểm khác biệt của DarkHotel đó là nó lây lan trong hệ thống mạng wifi của các khách sạn cao cấp. Mục tiêu của nó chính là đánh cắp dữ liệu của các “VIP” các CEO, các chủ tịch hay các lãnh đạo cấp cao của nhiều tập đoàn. Không phải cứ khách hàng nào kết nối máy tính với khách sạn đang trong tầm ngắm đều bị lây nhiễm. Mà kẻ đứng đằng sau DarkHotel nhằm vào từng đối tượng nạn nhân cụ thể. Theo báo cáo thì có khoảng 90% lây nhiễm mã độc DarkHotel được phát hiện ở Nhật Bản, Đài Loan, Trung Quốc, Nga và Hàn Quốc.

Nếu như DarkHotel khác biệt bởi môi trường tấn công của nó thì Regin, một siêu gián điệp được công bố cũng trong tháng 11 nổi bật ở độ phức tạp của nó. Người ta so sánh độ phức tạp của Regin với Stuxnet, sâu đã tấn công vào các nhà máy hạt nhân xuất hiện năm 2010. Đặc điểm nổi bật tạo nên sự khác biệt của Regin đó là nó có module để có thể thu thập thông tin trong mạng GSM. Chính vì vậy mục tiêu của nó có thể là các hạ tầng mạng của các nhà cung cấp dịch vụ viễn thông. Dấu vết của Regin được tìm thấy tại nhiều quốc gia trên thế giới: Nga, A rập Xê út, Bỉ, Đức, Iran, Ấn Độ…

Phần 2: 8 dự đoán về an ninh mạng năm 2015

  1. Tiếp tục xuất hiện các phần mềm gián điệp tinh vi nhắm vào hạ tầng trọng yếu của các quốc gia để đánh cắp và phá huỷ.
  2. Mã độc trên di động tiếp tục tăng nhanh và sẽ xuất hiện nhiều biến thể phần mềm mã hoá tống tiền (ransomware) trên di động
  3. Quyền riêng tư của người sử dụng tiếp tục là vấn đề nóng đặc biệt là trên các hãng sản xuất thiết bị di động hoặc các ứng dụng di động.
  4. Có thể xuất hiện nhiều vụ lọ lọt dữ liệu của người sử dụng tương tự như vụ các diễn viên nổi tiếng bị lộ ảnh nóng trên iCloud. Các dịch vụ lưu trữ dữ liệu đám mây gặp phải sự nghi ngại của người sử dụng do vấn đề đảm bảo an toàn.
  5. Mạng xã hội như Facebook sẽ trở thành con đường chủ yếu để những kẻ lừa đảo hoạt động.
  6. Các cuộc tấn công mạng mang màu sắc chính trị gia tăng giữa nhóm hacker của các quốc gia.
  7. Hacker tiếp tục nhắm vào các giao thức mạng hoặc thư viện quan trọng với hy vọng tìm ra những lỗ hổng tương tự Heartbleed hay Shellshock.
  8. Doanh nghiệp đối đầu với các cuộc tấn công đánh cắp dữ liệu ngày càng tinh vi. Đặc biệt là các tổ chức tài chính và cung cấp dịch vụ internet.

 

Tài liệu tham khảo:

1. http://en.wikipedia.org/wiki/POODLE
2. http://www.pcworld.com/article/2855892/apple-xiaomi-smartphones-found-violating-privacy-laws-in-taiwan.html
3. http://www.gizmag.com/uber-app-malware-android/34962/
4. http://securelist.com/blog/research/66779/the-darkhotel-apt/
5. http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
6. http://www.forbes.com/sites/sungardas/2015/01/02/cyber-security-professionals-predict-their-biggest-concerns-for-2015/
7. https://securelist.com/analysis/kaspersky-security-bulletin/67864/kaspersky-security-bulletin-2014-predictions-2015/
8. http://www.govtech.com/blogs/lohrmann-on-cybersecurity/The-Top-15-Security-Predictions-for-2015.html

A data’s story: Analysing Android malware in 2014 for seeing what’s next

Malware thực chất cũng là phần mềm. Như vậy, cũng như các phần mềm khác, phiên bản sau sẽ được các developer phát triển dựa vào phiên bản trước. Vậy thì một câu hỏi được đặt ra, đó là: Liệu chúng ta có thể dự đoán được sự xuất của các dòng mã độc kế tiếp dựa vào việc phân tích hành vi của những mẫu mà ta đã biết trước ?

Để trả lời câu hỏi trên thì tôi đã làm 1 nghiên cứu nho nhỏ. Tôi lựa chọn đối tượng nghiên cứu các dòng mã độc trên Android thay vì tất cả các loại mã độc vì tôi muốn thử theo nguyên tắc “start small first”. Hành vi mã độc trên Android đủ đa dạng nhưng không quá nhiều như trên PC.

Architecture1

Với các kênh khác nhau, tôi có được 5942 mẫu mã độc Android xuất hiện trong năm 2014. Sau đó tôi cho chạy chúng qua các hệ thống sandbox và ghi nhận các hành vi của chúng. Sau đó công việc của tôi đơn giản chỉ là thống kê.  Hình phía trên là mô tả sơ bộ lại quá trình thử nghiệm của tôi.

Biểu đồ dưới đây thống kê thời điểm xuất hiện của từng mẫu mã độc mà tôi có được trong năm 2014

Screen Shot 2014-12-09 at 6.58.38 PM

Tôi phân loại mã độc trên Android thành 3 dạng chính:

Trojan: Loại mã độc khi lây nhiễm có thể làm gián đoạn hoạt động của điện thoại, gửi các tin nhắn SMS kiếm tiền, hay điều khiển các thành phần như kết nối mạng, GPS…, tạo điều kiện cho hacker từ xa có thể điều khiển được điện thoại để trục lợi.

Spyware: Mã độc sau khi được cài đặt thì tìm cách đánh cắp thông tin/dữ liệu của người dùng trên điện thoại như danh bạ, nội dung tin nhắn, các thông tin tài chính, tài khoản…

Ransomware: Loại mã độc này thường cản trở hoạt động thông thường của điện thoại (như khoá máy, hoặc mã hoá các file trên thẻ nhớ…) sau đó doạ nạt người sử dụng phải trả tiền để điện thoại hoạt động trở lại bình thường.

Screen Shot 2014-12-09 at 7.37.47 PM

Dưới đây là một số kết quả vui vui có được từ các thống kê:

Đã có thể nhìn thấy trước thời điểm xuất hiện của các Ransomware

Theo báo cáo của các hãng AV, thì từ tháng 5/2014 bắt đầu cảnh báo về các dòng ransomware đầu tiên trên thế giới nhằm vào Android. Ban đầu chúng có tính năng khoá máy, sau đó theo thời gian xuất hiện nhiều con thực hiện mã hoá các file trên điện thoại (1).

Tuy nhiên, nếu nhìn lại số liệu thống kê trên ta sẽ thấy, thực tế là các hacker đã bắt đầu thử nghiệm và tung ra một vài con ransomware từ tháng 4. Tuy nhiên tại thời điểm đó, các hãng AV chưa nhìn thấy được sự xuất hiện của dòng mã độc này. Chỉ khi chúng ta nhìn lại bằng số liệu mới thấy được điều đó.

Vậy thì nếu theo dõi thường xuyên các tập mẫu, chúng ta có thể đã biết sớm hơn về sự xuất hiện của Ransomware và có thể cảnh báo chúng sớm hơn nữa.

Sự thay đổi của các Trojan sử dụng SMS

Một điểm quan trọng đối với các ứng dụng trên Android đó là cần phải đăng ký để sử dụng các quyền khác nhau (ví dụ như quyền gửi SMS, quyền truy cập danh bạ, quyền đọc GPS của điện thoại…)

Thống kê số liệu tập mẫu của tôi có được, thì tôi nhận thấy có một sự thay đổi khá rõ nét liên quan tới các quyền sử dụng SMS như: SEND_SMS, READ_SMS, RECEIVE_SMS, WRITE_SMS… Đó là từ khoảng giữa năm trở đi, số quyền SMS được các mã độc sử dụng ít đi trông thấy.

trojansms

 

Có lẽ là các trojan SMS giờ đây rất dễ bị tóm và cũng có thể việc kiếm tiền hoặc truyền thông tin qua SMS không còn được hiệu quả nữa chăng ?

Thống kê top các Permission nguy hiểm được sử dụng theo từng dòng

 

Top 10 các Permission nguy hiểm mà các Trojan sử dụng

Screen Shot 2015-01-05 at 11.13.25 AM

 

Screen Shot 2014-12-10 at 1.39.29 PM

Top 10 các Permission nguy hiểm mà các Spy sử dụng

Screen Shot 2015-01-05 at 11.15.16 AM

Screen Shot 2014-12-10 at 1.44.36 PM

Top 10 các Permission nguy hiểm mà các Ransomware sử dụng

Screen Shot 2015-01-05 at 11.16.43 AM

Screen Shot 2014-12-10 at 1.49.20 PM

Dự đoán 2015 

Dự đoán chung

  • Các dòng trojan sử dụng các quyền liên quan tới SMS tiếp tục giảm đi
  • Các mã độc sử dụng quyền liên quan tới kết nối internet, đọc trạng thái điện thoại, theo dõi cuộc gọi, GPS.. sẽ gia tăng. Điều đó có nghĩa là các spyware nhắm vào đánh cắp thông tin (chẳng hạn mobile banking) người dùng sẽ gia tăng.
  • Xu hướng xuất hiện những mã độc chỉ cần lấy được quyền INTERNET và READ_PHONE_STATE để tránh sự nhòm ngó của các phần mềm AV
  • Ransomeware sẽ tiếp tục gia tăng: ngoài việc mã hoá/khoá máy để kiếm tiền của người dùng bằng cách doạ nạt, nhiều kỹ thuật có thể được sử dụng: dùng quyền CAMERA, CALL_PHONE… để tăng thêm tính doạ nạt cũng như sẽ có nhiều hình thức kết nối thanh toán khác nhau.

Dự đoán đặc điểm của một trojan mới xuất hiện

Screen Shot 2015-01-05 at 11.19.09 AM

 

Dự đoán đặc điểm của một spyware mới xuất hiện

Screen Shot 2015-01-05 at 11.20.25 AM

Dự đoán đặc điểm của một Ransomware mới xuất hiện

Screen Shot 2015-01-05 at 11.21.16 AM

Kết luận

Như vậy, phương pháp này có thể giúp chúng ta một số điểm sau:

  • Có thể nhìn thấy sớm được sự xuất hiện của một dòng mã độc mới
  • Số liệu và sự biến đổi của các dòng mã độc theo từng gian đoạn
  • Có thể giúp chúng ta dự đoán được phần nào đặc điểm của những biến thể mới

Để dự đoán được chính xác hơn đối với từng dòng, ta sẽ phải phân tích và theo dõi các biến thể của dòng đó. Nếu có thời gian, tôi sẽ tiếp tục viết tiếp về việc này. Ví dụ phân tích và dự đoán về các dòng Ramsomware nổi tiếng là Simplocker hay các dòng mobile banking

Hạn chế của phương pháp 

  • Phụ thuộc vào số lượng mẫu có được
  • Không có các thông tin về số lượng bị lây nhiễm và địa điểm bị lây nhiễm (các AV có điều này, nhưng cũng phụ thuộc vào thị trường của họ)
  • Phụ thuộc vào khả năng của Sandbox