Phân Tích Chiến Dịch Malware Đa Giai Đoạn Sử Dụng File VBS và AsyncRAT

Phân Tích Chiến Dịch Malware Đa Giai Đoạn Sử Dụng VBS Files

Tổng Quan

Một chiến dịch malware đa giai đoạn tinh vi đã được phát hiện, sử dụng các file VBS để triển khai Remote Access Trojan (RAT) thông qua chuỗi lây nhiễm 3 giai đoạn nhằm chiếm quyền kiểm soát toàn bộ hệ thống.

Phân Tích Kỹ Thuật

Chiến dịch malware này hoạt động qua các giai đoạn sau:

• Giai đoạn 1 – Lây Nhiễm Ban Đầu: Một file VBS đã bị mã hóa (sostener.vbs) được triển khai tại 16 thư mục khác nhau trên hệ thống.
• Giai đoạn 2 – Thực Thi Downloader: Script VBS tải xuống và thực thi một downloader, kiểm tra sự tồn tại của file updatelog. Sau đó, file này được giải mã bằng thuật toán dựa trên XOR để tạo ra file thực thi syshelp.exe.
• Giai đoạn 3 – Triển Khai Payload: Downloader thực thi file syshelp.exe, kiểm tra sự tồn tại của chính file này trong thư mục hiện tại và thực thi nếu tìm thấy. Quá trình này có thể gây ra độ trễ đáng kể do các tác vụ lập lịch (scheduled tasks), tạo khả năng né tránh các hệ thống sandbox tự động.

Thông Tin Về Malware

AsyncRAT: Payload chính được triển khai trong chiến dịch này là một biến thể của AsyncRAT phiên bản 0.5.8. AsyncRAT là một Remote Access Trojan mã nguồn mở, cho phép kẻ tấn công kiểm soát toàn diện hệ thống bị lây nhiễm từ xa.

Ví Dụ Lệnh Command-Line

Thực Thi Downloader:

runsys.vbs

Thực Thi Payload:

syshelp.exe

File Hash

Payload Hash:

SHA256: 53b65b7c38e3d3fca465c547a8c1acc53c8723877c6884f8c3495ff8ccc94fbe

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số liên quan đến chiến dịch malware này, có thể được sử dụng để phát hiện và ngăn chặn:

• File Names:
  • sostener.vbs
  • runsys.vbs
  • updatelog
  • syshelp.exe
  • AClient.exe (payload đã được giải mã)

Khuyến Nghị Khắc Phục

Để giảm thiểu rủi ro từ chiến dịch malware này, các tổ chức và quản trị viên hệ thống nên áp dụng các biện pháp sau:

1. Giám Sát File VBS: Thiết lập giám sát các file VBS bị mã hóa trong các thư mục hệ thống để phát hiện sớm các dấu hiệu triển khai malware.
2. Kiểm Tra Scheduled Tasks: Thường xuyên quét các tác vụ lập lịch trên hệ thống để phát hiện các hoạt động độc hại có thể bị trì hoãn nhằm tránh phát hiện.
3. Triển Khai Công Cụ Phát Hiện Mối Đe Dọa Nâng Cao: Sử dụng các công cụ phát hiện mối đe dọa tiên tiến để nhận diện và chặn downloader cũng như quá trình thực thi payload.
4. Cập Nhật Phần Mềm Bảo Mật: Đảm bảo rằng các phần mềm bảo mật luôn được cập nhật để phát hiện và chặn các biến thể malware đã biết như AsyncRAT.

Tóm Tắt Dành Cho SOC, TIP, SIEM Và Quản Trị Hệ Thống

Dưới đây là thông tin chi tiết về chiến dịch malware, phù hợp để sử dụng trực tiếp trong các quy trình làm việc của SOC, TIP, SIEM hoặc quản trị hệ thống:

• Loại Chiến Dịch: Chiến dịch malware đa giai đoạn sử dụng file VBS.
• Gia Đình Malware: AsyncRAT (phiên bản 0.5.8).
• Lây Nhiễm Ban Đầu: File VBS bị mã hóa (sostener.vbs) được triển khai tại 16 thư mục.
• Thực Thi Downloader: runsys.vbs kiểm tra file updatelog và giải mã để tạo syshelp.exe.
• Triển Khai Payload: syshelp.exe thực thi nếu tồn tại, gây độ trễ do scheduled tasks.
• Payload Hash: SHA256: 53b65b7c38e3d3fca465c547a8c1acc53c8723877c6884f8c3495ff8ccc94fbe.

Thông tin trên cung cấp dữ liệu chính xác và đầy đủ, hỗ trợ các nhóm bảo mật và quản trị viên trong việc phát hiện, phân tích và ứng phó với mối đe dọa này.