Phân Tích Chi Tiết Về Phần Mềm Độc Hại KoiLoader

02/04/2025
2 mins read

Thông tin từ bài viết cung cấp một phân tích chi tiết về phần mềm độc hại KoiLoader, lợi dụng các script PowerShell để tải xuống các payload độc hại. Dưới đây là tóm tắt các điểm chính:

Nội dung
Chuỗi lây nhiễm và cơ chế phân phối
Thực thi đa giai đoạn của KoiLoader
Giao tiếp Command and Control (C2)
Biện pháp đối phó

Chuỗi lây nhiễm và cơ chế phân phối

  1. Email lừa đảo: Cuộc tấn công bắt đầu với các email lừa đảo chứa liên kết đến các tập tin zip được đặt tên “chase_statement_march.zip”.
  2. Tập tin shortcut: Bên trong các tập tin zip, nạn nhân gặp phải các tập tin shortcut (.lnk) khai thác một lỗi đã biết của Windows (ZDI-CAN-25373) để che giấu các tham số dòng lệnh độc hại.
  3. Tập tin JScript: Khi được thực thi, tập tin shortcut tải xuống hai tập tin JScript (`g1siy9wuiiyxnk.js` và `i7z1x5npc.js`) vào hệ thống của nạn nhân.
  4. Các tác vụ theo lịch: Các tập tin JScript này tổ chức tính bền vững của phần mềm độc hại và phân phối payload thông qua các tác vụ theo lịch được tạo ra thông qua LOLBin “schtasks.exe”.
  5. Các script PowerShell: Các tập tin JScript vô hiệu hóa các tính năng bảo mật như Giao diện Quét Chống phần mềm độc hại (AMSI) và tải xuống payload của KoiLoader bằng các script PowerShell từ các URL từ xa.

Thực thi đa giai đoạn của KoiLoader

  1. Giai đoạn đầu tiên: KoiLoader giải nén các payload mã hóa được lưu trữ bên trong tệp PE của nó bằng cách sử dụng một thuật toán băm để giải quyết các API của Windows như FindResourceW và LoadResource.
  2. Giải mã và thực thi: Các payload được giải mã bằng các quy trình XOR và thực thi trong bộ nhớ.
  3. Kỹ thuật tránh phát hiện: Giai đoạn thứ hai tập trung vào việc tránh phát hiện và phân phối payload. Nó kiểm tra các môi trường máy ảo, các công cụ của nhà nghiên cứu an ninh và các thuộc tính sandbox để tránh bị phát hiện.
  4. Bảo trì: Khi các kiểm tra tránh phát hiện được vượt qua, KoiLoader thiết lập tính bền vững thông qua các tác vụ theo lịch và tạo ra mutex dựa trên số sê-ri của ổ đĩa của máy nạn nhân để ngăn chặn các trường hợp trùng lặp.
  5. Trộm thông tin: Nó sau đó tải xuống và thực thi KoiStealer, một phần mềm độc hại thông tin tiên tiến viết bằng C#. KoiStealer trích xuất dữ liệu nhạy cảm như GUID máy, tên người dùng, phiên bản hệ điều hành và thông tin miền trước khi giao tiếp với các máy chủ Command-and-Control (C2).

Giao tiếp Command and Control (C2)

  1. Yêu cầu HTTP POST: KoiLoader sử dụng các yêu cầu HTTP POST cho giao tiếp C2. Yêu cầu đầu tiên bao gồm GUID máy nạn nhân, ID phiên bản cụ thể của chiến dịch và một khóa công khai X25519 cho việc trao đổi dữ liệu mã hóa.
  2. Các yêu cầu tiếp theo: Các yêu cầu tiếp theo nhận lệnh được mã hóa dưới dạng ký tự đơn, cho phép các hành động như thực thi script thông qua PowerShell hoặc Command Prompt, tiêm quy trình vào explorer.exe hoặc certutil.exe, và tải DLL động.

Biện pháp đối phó

  1. Vô hiệu hóa wscript.exe: eSentire khuyên nên vô hiệu hóa wscript.exe thông qua AppLocker hoặc Windows Defender Application Control (WDAC) để đối phó với các mối đe dọa như KoiLoader.
  2. Phát hiện dựa trên hành vi: Các tổ chức nên triển khai các cơ chế phát hiện dựa trên hành vi cùng với các chương trình đào tạo nhận thức mạnh mẽ về lừa đảo để giảm thiểu các rủi ro kỹ thuật xã hội.
  3. Giải pháp NGAV và EDR: Việc triển khai Antivirus thế hệ tiếp theo (NGAV) hoặc giải pháp Phát hiện và Phản ứng Điểm cuối (EDR) là rất quan trọng để phát hiện và kiềm chế các mối đe dọa tiên tiến.

Phân tích chi tiết này nổi bật các chiến thuật tinh vi mà KoiLoader sử dụng để tránh bị phát hiện và đánh cắp thông tin nhạy cảm, nhấn mạnh sự cần thiết của việc săn lùng các mối đe dọa chủ động và các biện pháp an ninh mạng tiên tiến.