Tin Tặc Khai Thác Lỗ Hổng Word Để Phát Tán Mã Độc FormBook

Một chiến dịch phishing mới đây được FortiGuard Labs của Fortinet phát hiện đã lợi dụng lỗ hổng trong Microsoft Word Equation Editor để phát tán mã độc đánh cắp thông tin nhắm vào người dùng Windows. Bài viết này sẽ phân tích chi tiết về cách thức tấn công, cơ chế khai thác lỗ hổng CVE-2017-11882, cũng như cung cấp các biện pháp phòng ngừa và phản ứng dành cho các chuyên gia IT và quản trị hệ thống.

Chi tiết kỹ thuật của chiến dịch tấn công

Chiến dịch tấn công bắt đầu bằng các email phishing được thiết kế trông cực kỳ hợp pháp, thường giả mạo các đơn hàng hoặc yêu cầu khẩn cấp. Những email này đính kèm các tài liệu Microsoft Word với tên gọi vô hại như order0087.docx. Khi người dùng mở tệp, mã độc sẽ khai thác lỗ hổng trong Microsoft Equation Editor để thực thi mã từ xa và triển khai một biến thể mới của mã độc đánh cắp thông tin FormBook.

1. Cơ chế khai thác lỗ hổng CVE-2017-11882

Lỗ hổng CVE-2017-11882 tồn tại trong Microsoft Equation Editor 3.0, một thành phần của Microsoft Office. Đây là một lỗ hổng buffer overflow trong tệp thực thi EQNEDT32.EXE, cho phép tin tặc thực thi mã từ xa mà không cần tương tác thêm từ người dùng sau khi tài liệu độc hại được mở. Cụ thể, tài liệu Word được lưu ở định dạng OOXML và nhúng một tệp RTF obfuscated có tên Algeria.rtf, chứa các đối tượng nhị phân độc hại để kích hoạt lỗ hổng.

2. Quy trình triển khai mã độc

Sau khi khai thác thành công, mã độc giải nén một tệp DLL ngụy trang vào thư mục tạm của hệ thống và thực thi nó.
Hệ thống bị lây nhiễm sẽ được cấu hình để duy trì sự hiện diện của mã độc thông qua việc thêm một mục auto-run vào registry.
Một payload được mã hóa, ngụy trang dưới dạng tệp ảnh PNG, sẽ được tải xuống từ máy chủ điều khiển.
Sử dụng kỹ thuật process hollowing tiên tiến, FormBook được tiêm vào các tiến trình hợp pháp của Windows để tránh bị phát hiện bởi các công cụ bảo mật.

3. Đặc điểm của mã độc FormBook

FormBook là một loại mã độc chuyên đánh cắp thông tin, nổi tiếng với khả năng thu thập thông tin đăng nhập, ghi lại thao tác gõ phím, chụp ảnh màn hình và sao chép dữ liệu từ clipboard. Sau khi lây nhiễm, FormBook duy trì sự hiện diện trên hệ thống và liên tục gửi dữ liệu nhạy cảm về cho kẻ tấn công, gây rủi ro nghiêm trọng cho cả cá nhân và tổ chức.

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số nhận diện mối đe dọa (IOCs) liên quan đến chiến dịch này:

Email Attachment: order0087.docx
Embedded RTF File: Algeria.rtf
Disguised DLL File: AdobeID.pdf

Khuyến nghị phòng ngừa và phản ứng

Để bảo vệ hệ thống và dữ liệu khỏi các chiến dịch phishing tinh vi như trên, các tổ chức và chuyên gia IT cần thực hiện các biện pháp sau:

1. Nâng cao nhận thức người dùng

Người dùng cần được đào tạo về cách nhận diện email phishing và các tệp đính kèm đáng ngờ. Một số lưu ý quan trọng bao gồm:

Không mở tệp đính kèm từ các nguồn không xác định, đặc biệt nếu email có nội dung khẩn cấp hoặc bất ngờ.
Xác minh tính xác thực của email trước khi thực hiện bất kỳ hành động nào liên quan đến tệp đính kèm.

2. Vá lỗ hổng và cập nhật phần mềm

Đảm bảo rằng tất cả các ứng dụng Microsoft Office, bao gồm Equation Editor, được cập nhật với các bản vá bảo mật mới nhất để ngăn chặn khai thác các lỗ hổng như CVE-2017-11882. Ngoài ra, các phần mềm và plugin khác cũng nên được cập nhật thường xuyên để giảm thiểu nguy cơ bị tấn công.

3. Triển khai các biện pháp bảo mật

Sử dụng các giải pháp lọc email và phần mềm diệt virus để phát hiện và chặn các email phishing cũng như tệp đính kèm độc hại.
Triển khai công cụ Endpoint Detection and Response (EDR) để giám sát hoạt động hệ thống và phát hiện các hành vi bất thường có thể liên quan đến mã độc.

4. Xây dựng kế hoạch ứng phó sự cố

Phát triển kế hoạch ứng phó sự cố (Incident Response Plan) bao gồm các quy trình phát hiện và xử lý các cuộc tấn công phishing hoặc lây nhiễm mã độc.
Thường xuyên tiến hành đánh giá lỗ hổng (vulnerability assessment) và kiểm tra xâm nhập (penetration testing) để xác định và khắc phục các điểm yếu trong hệ thống.

Hướng dẫn kỹ thuật phát hiện và khắc phục

Dưới đây là các bước chi tiết để phát hiện và xử lý lây nhiễm từ chiến dịch này:

Bước 1: Phát hiện

Quét hệ thống bằng phần mềm diệt virus để phát hiện mã độc.
Giám sát hoạt động hệ thống bằng công cụ EDR để nhận diện bất kỳ hành vi đáng ngờ nào.

Bước 2: Khắc phục

Ngắt kết nối hệ thống bị nhiễm khỏi mạng để ngăn chặn lây lan.
Xóa tệp DLL độc hại khỏi thư mục tạm và loại bỏ các mục registry liên quan.
Cập nhật toàn bộ phần mềm và plugin lên phiên bản mới nhất.

Bước 3: Khôi phục

Khôi phục hệ thống từ bản sao lưu sạch đã được xác minh.
Cài đặt lại các ứng dụng hoặc plugin bị ảnh hưởng.
Tái cấu hình bộ lọc email và cài đặt antivirus để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Lệnh CLI hữu ích

Các chuyên gia có thể sử dụng các lệnh sau để kiểm tra và xử lý các tiến trình đáng ngờ:

msconfig: Kiểm tra các chương trình hoặc dịch vụ khởi động bất thường.
tasklist và taskkill: Theo dõi và chấm dứt các tiến trình không rõ nguồn gốc.

Kết luận

Chiến dịch phishing khai thác lỗ hổng CVE-2017-11882 nhấn mạnh tầm quan trọng của việc duy trì cập nhật phần mềm và nâng cao cảnh giác trước các mối đe dọa qua email. Bằng cách áp dụng các biện pháp phòng ngừa, triển khai công cụ bảo mật phù hợp và xây dựng kế hoạch ứng phó hiệu quả, các tổ chức có thể giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công tinh vi như trên và bảo vệ dữ liệu nhạy cảm khỏi mã độc như FormBook.