Phân Tích Malware Winos 4.0: Kỹ Thuật Tấn Công và Giải Pháp Bảo Mật

18/06/2025
3 mins read
Nội dung
Malware Campaign Winos 4.0: Phân Tích Kỹ Thuật và Khuyến Nghị Bảo Mật
Tổng Quan
TTPs (MITRE ATT&CK IDs)
Cơ Sở Hạ Tầng
Indicators of Compromise (IOCs)
Phân Tích Kỹ Thuật
Triển Khai Trong Bộ Nhớ (In-Memory Deployment)
Loader Scripts
Ví Dụ Lệnh Command-Line
Cấu Hình và Lệnh Liên Quan
Khuyến Nghị và Biện Pháp Khắc Phục
Tóm Lược

Malware Campaign Winos 4.0: Phân Tích Kỹ Thuật và Khuyến Nghị Bảo Mật

Tổng Quan

Chiến dịch malware Winos 4.0 sử dụng các trình cài đặt phần mềm giả mạo (trojanized installers), được ngụy trang dưới dạng các ứng dụng phổ biến như VPN và QQBrowser, để phát tán mã độc. Chiến dịch này đã hoạt động từ tháng 2 năm 2025 và áp dụng nhiều kỹ thuật nhằm qua mặt các biện pháp phát hiện.

TTPs (MITRE ATT&CK IDs)

  • Initial Access: Sử dụng trình cài đặt phần mềm giả mạo để lừa người dùng cài đặt malware.
  • Execution: Triển khai payload cuối cùng, Winos v4.0, thông qua các DLL được mã hóa sRDI và thực thi trực tiếp trong bộ nhớ (in-memory execution).
  • Persistence: Duy trì hiện diện bằng cách sử dụng scheduled tasks và các script giám sát như monitor.bat.
  • Defense Evasion: Áp dụng các kỹ thuật né tránh antivirus (AV), bao gồm thêm ngoại lệ (exclusions) cho Microsoft Defender và sử dụng các hàm hash được làm rối (obfuscated function hashes).
  • Process Monitoring: Liên tục giám sát các tiến trình liên quan đến phần mềm bảo mật (như Qihoo 360, Telegram, WhatsApp) để thay đổi động các payload ở giai đoạn sau.

Cơ Sở Hạ Tầng

Chiến dịch Winos 4.0 sử dụng các máy chủ chỉ huy và điều khiển (C2 servers) được xác định như sau:

  • 134.122.204.11:18852
  • 103.46.185.44:443

Cơ sở hạ tầng này được quan sát chủ yếu tại Hồng Kông, vận hành bởi các nhà cung cấp dịch vụ đám mây đã được kiểm chứng (vetted cloud providers).

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số nhận diện (IOCs) liên quan đến chiến dịch Winos 4.0, giúp phát hiện và theo dõi mối đe dọa:

  • Mutexes:
    • VJANCAVESU
    • zhuxianlu
  • Marker Files:
    • Temp.aps
  • DLLs:
    • 上线模块.dll (phiên dịch máy: Online Module.dll)
    • Xuất một hàm duy nhất có tên VFPower

Phân Tích Kỹ Thuật

Triển Khai Trong Bộ Nhớ (In-Memory Deployment)

Payload cuối cùng của Winos 4.0 được triển khai hoàn toàn trong bộ nhớ thông qua các loader theo từng giai đoạn (staged loaders) dưới dạng DLL mã hóa sRDI. DLL này sử dụng kỹ thuật reflective loading và chỉ xuất một hàm duy nhất có tên VFPower để thực thi.

Loader Scripts

Các script loader được sử dụng trong chiến dịch này thực hiện một số hành động nhằm né tránh phát hiện, bao gồm thêm ngoại lệ cho Microsoft Defender trên nhiều ổ đĩa và áp dụng kỹ thuật phân giải API Windows động thông qua các hàm hash bị làm rối (obfuscated function hashes).

Ví Dụ Lệnh Command-Line

Dưới đây là lệnh được sử dụng để gọi trực tiếp DLL, thay thế phương thức load dựa trên PowerShell:

regsvr32.exe /s /i <path_to_dll>

Cấu Hình và Lệnh Liên Quan

  • Scheduled Tasks: Tạo các nhiệm vụ theo lịch (scheduled tasks) để đảm bảo tính bền vững (persistence) của malware.
  • Watchdog Scripts: Sử dụng các script như monitor.bat để khởi động lại malware nếu bị chấm dứt (terminated).

Khuyến Nghị và Biện Pháp Khắc Phục

Để đối phó với mối đe dọa từ Winos 4.0, các tổ chức cần áp dụng các biện pháp phát hiện và giảm thiểu sau:

  1. Giám Sát Lưu Lượng Mạng: Theo dõi kết nối đến các máy chủ C2 (134.122.204.11:18852103.46.185.44:443) để phát hiện và ngăn chặn việc tải xuống thêm payload.
  2. Tăng Cường EDR: Nâng cao khả năng của các giải pháp Endpoint Detection and Response (EDR) để phát hiện và chặn các hàm hash bị làm rối và kỹ thuật phân giải API Windows động.
  3. Cập Nhật Phần Mềm Bảo Mật: Đảm bảo tất cả phần mềm bảo mật (như Qihoo 360, Telegram, WhatsApp) được cập nhật phiên bản mới nhất và cấu hình để giám sát các tiến trình liên quan đến bảo mật.
  4. Vô Hiệu Hóa Scheduled Tasks Đáng Nghi: Phát hiện và vô hiệu hóa các nhiệm vụ theo lịch (scheduled tasks) đáng ngờ do malware tạo ra.
  5. Phát Hiện Dựa Trên Kỹ Thuật Bộ Nhớ: Triển khai các biện pháp phát hiện tập trung vào kỹ thuật thực thi trong bộ nhớ (memory-based techniques) và các lớp giả mạo phần mềm hợp pháp.
  6. Điều Chỉnh Loader Components: Điều chỉnh các thành phần loader để tránh sự kiểm tra của EDR, bao gồm thay thế phương thức load dựa trên PowerShell bằng cách gọi trực tiếp DLL qua regsvr32.exe.

Tóm Lược

Chiến dịch malware Winos 4.0 là một mối đe dọa tinh vi, tận dụng các trình cài đặt phần mềm giả mạo, DLL mã hóa sRDI, và nhiều kỹ thuật né tránh để duy trì tính ẩn giấu và bền vững. Mối đe dọa này nhắm mục tiêu đến người dùng bằng cách triển khai payload cuối cùng trong bộ nhớ và sử dụng các máy chủ C2 cùng mutexes cứng (hardcoded) để điều khiển. Việc triển khai các biện pháp phát hiện tập trung vào kỹ thuật thực thi trong bộ nhớ và nâng cao khả năng EDR là rất quan trọng để giảm thiểu nguy cơ từ chiến dịch này.