Phân Tích Biến Thể Masslogger Credential Stealer: Malware Fileless Đe Dọa Bảo Mật

19/06/2025
2 mins read
Nội dung
Phân Tích Kỹ Thuật Về Biến Thể Masslogger Credential Stealer Sử Dụng Fileless Malware
Chi Tiết Kỹ Thuật Về Chuỗi Lây Nhiễm
Cách Thức Khai Thác (Exploitation)
Thông Tin Về Malware Family
TTPs (Tactics, Techniques, and Procedures) Theo MITRE ATT&CK
Cơ Sở Hạ Tầng (Infrastructure)
Biện Pháp Khắc Phục (Mitigation)
Tóm Tắt Dành Cho SOC, TIP, SIEM và Quản Trị Hệ Thống
Thông Tin Về Malware Family: Masslogger
Chiến Lược Khắc Phục

Phân Tích Kỹ Thuật Về Biến Thể Masslogger Credential Stealer Sử Dụng Fileless Malware

Một biến thể tinh vi của phần mềm độc hại Masslogger, chuyên đánh cắp thông tin xác thực, đang được phân phối thông qua các tệp VBScript Encoded (.VBE). Đây là một mối đe dọa nâng cao, hoạt động dưới dạng malware không file (fileless), tận dụng mạnh mẽ Windows Registry để lưu trữ và thực thi payload độc hại mà không cần ghi tệp xuống ổ đĩa.

Chi Tiết Kỹ Thuật Về Chuỗi Lây Nhiễm

Chuỗi lây nhiễm bắt đầu từ một tệp .VBE. Khi được giải mã, tệp này tiết lộ các lớp mã hóa và các routine mô-đun được thiết kế nhằm che giấu chức năng thực sự. Khi được thực thi, script sẽ thiết lập một môi trường phức tạp trong Registry tại đường dẫn HKCU\Software. Nhiều key và giá trị được mã hóa cứng (hard-coded) được ghi vào đây, một số vẫn giữ trạng thái mã hóa cho đến khi chạy thực thi, nhằm chuẩn bị cho việc triển khai payload.

Cách Thức Khai Thác (Exploitation)

Hoạt động của malware diễn ra qua một quy trình nhiều giai đoạn được xây dựng cẩn thận. Giai đoạn đầu tiên là chuẩn bị các mục nhập trong Registry thông qua các subroutine như AKAAU()XSSAY(). Các subroutine này lưu trữ dữ liệu mã hóa và chia nhỏ payload Masslogger cuối cùng thành các đoạn 25.000 ký tự, được phân bố trên các đường dẫn Registry khác nhau, đảm bảo khả năng tồn tại ẩn mình (stealthy persistence).

Thông Tin Về Malware Family

  • Masslogger: Một biến thể credential stealer sử dụng tệp VBScript Encoded (.VBE) để triển khai.

TTPs (Tactics, Techniques, and Procedures) Theo MITRE ATT&CK

  • Execution:
    • Sử dụng tệp VBScript Encoded (.VBE).
    • Tận dụng Windows Registry để duy trì (persistence).
  • Persistence:
    • Thiết lập cơ chế duy trì thông qua một scheduled task của Windows, được đặt tên dựa trên một key Registry (esBbIgyFlZcXjUl), kích hoạt mỗi phút kể từ ngày lây nhiễm.
  • Command and Control (C2):
    • Thực thi một script .VBS mô phỏng thao tác người dùng trên PowerShell để tải payload trực tiếp vào bộ nhớ (in-memory payload loading).

Cơ Sở Hạ Tầng (Infrastructure)

  • Vector Lây Nhiễm Ban Đầu: Tệp .VBE, có khả năng được phân phối qua email spam hoặc tải xuống tự động (drive-by download).
  • Cơ Chế Duy Trì (Persistence): Scheduled task của Windows được đặt tên theo một key Registry (esBbIgyFlZcXjUl).

Biện Pháp Khắc Phục (Mitigation)

Để chống lại mối đe dọa này một cách hiệu quả, cần triển khai các giải pháp giám sát hành vi nâng cao (advanced behavioral monitoring) và phát hiện bất thường trong Registry (registry anomaly detection). Các phương pháp phát hiện dựa trên chữ ký (signature-based detection) và phần mềm antivirus truyền thống gặp khó khăn trước kỹ thuật lẩn tránh tinh vi này.

Tóm Tắt Dành Cho SOC, TIP, SIEM và Quản Trị Hệ Thống

Thông Tin Về Malware Family: Masslogger

  • Phương Thức Triển Khai: Tệp VBScript Encoded (.VBE).
  • Cơ Chế Duy Trì: Windows Registry và scheduled task.
  • TTPs:
    • Thực thi qua VBScript.
    • Duy trì bằng scheduled task.
    • Tải payload trực tiếp vào bộ nhớ thông qua PowerShell.

Chiến Lược Khắc Phục

  • Giám sát hành vi nâng cao (Advanced behavioral monitoring).
  • Phát hiện bất thường trong Registry (Registry anomaly detection).

Thông tin trên cung cấp cái nhìn chi tiết về biến thể Masslogger và các biện pháp đối phó cần thiết, phù hợp để tích hợp trực tiếp vào các workflow của SOC, TIP, SIEM hoặc quản trị hệ thống.