Bandook – Mối đe dọa không ngừng phát triển

Hệ điều hành bị ảnh hưởng: Microsoft Windows

Người dùng bị ảnh hưởng: Microsoft Windows

Ảnh hưởng: kẻ tấn công từ xa sẽ chiếm quyền điều khiển hệ thống bị nhiễm Bandook

Mức độ nghiêm trọng: Critical

Phần mềm độc hại Bandook là một loại phần mềm độc hại từ xa (remote access trojan) được phát hiện lần đầu tiên vào năm 2007, được viết bằng ngôn ngữ Delphi và C++, và được phát triển bởi một nhà sáng tạo người Liban tên là PrinceAli. Bandook không ngừng phát triển và được phát hiện có mặt trong nhiều cuộc tấn công các năm qua. Bandook được phát hiện lần cuối vào năm 2015 và 2017-2018 trong các chiến dịch “Operation Manul” và “Dark Caracal”. Bandook sau đó hầu như đã biến mất khỏi danh sách các mối đe dọa, nhưng các biến thể của Bandook đã tái xuất hiện từ 2021. Nhiều biến thể của Bandook đang xuất hiện phổ biến ở nhiều lĩnh vực và nhiều nước khác nhau như mảng chính phủ, tài chính, năng lượng, thực phẩm, y tế, giáo dục, công nghệ thông tin và cơ quan pháp luật.

FortiGuard Lab đã xác định một biến thể mới của Bandook đang được phân phối dưới dạng tệp PDF vào tháng 10 năm 2023. Tệp PDF này ẩn chứa một URL rút gọn, khi người dùng nhấp chuột vào URL này, một tệp “.7z” được mã hóa bằng mật khẩu sẽ được tự động tải về máy tính nạn nhân. Sau khi tệp .7z được giải mã và thực thi, phần mềm độc hại sẽ nhúng payload của nó vào tệp thông tin hệ thống Windows “msinfo32.exe”. Trước khi nhúng, một khóa registry sẽ được tạo ra nhằm mục đích kiểm soát hành vi của payload. Tên của khóa là giá trị PID của msinfo32.exe, giá trị của khóa mà mã điều khiển payload. Sau khi được thực thi Bandook sẽ tạo thêm một khóa registry khác chứa mã điều khiển khác duy trì payload, sau đó đưa payload vào tiến trình mới của “msinfo32.exe”. Ở biến thể được báo cáo năm 2021, yêu cầu 4 mã điều khiển, tạo ra 4 quy trình explorer.exe, biến thể mới năm 2023 này sử dụng ít mã điều khiển hơn nhưng phân chia tác vụ chính xác hơn.

Hình 1: Khóa registry được tạo bởi biến thể mới của Bandook

Sau khi được nhúng vào msinfo32.exe, payload sẽ khởi tạo các chuỗi cho tên các khóa registry, cờ, API, … Sử dụng PID của msinfo32.exe để tìm khóa registry và giải mã, phân tích giá trị khóa để thực hiện các tác vụ được ra lệnh từ mã điều khiển. Trong quá trình thực thi của payload, mã GUM để thiết lập cơ chế duy trì, còn mã ACG là mã điều khiển cuộc tấn công.

Trong quá trình thực hiện tấn công, Bandook sẽ giao tiếp với máy chủ C2 của nó. Payload hỗ trợ 139 hành động, ngoài ra có một số lệnh đặc biệt chỉ được gửi tới máy chủ C2 trong những điều kiện riêng. Hầu hết các hành động trong biến thể này đều giống như trong các biến thể trước như thao tác tệp, thao tác vào registry, thao tác tải xuống têp, đánh cắp thông tin, thực thi tệp, kiểm soát máy tính nạn nhân, kết thúc tiến trình, …

Hình 2: Luồng thực thi của Payload

Sự bảo vệ của Fortinet trước phần mềm độc hại Bandook

FortiGuard liên tục theo dõi các biến thể của các phần mềm độc hại và cung cấp các biện pháp bảo vệ thích hợp

Phần mềm độc hại Bandook được FortiGuard Antivirus phát hiện và ngăn chặn dưới dạng:

+ PDF/Agent.1F56!tr (https://www.fortiguard.com/encyclopedia/virus/10164756)

+ W32/Injector.EQDO!tr (https://www.fortiguard.com/encyclopedia/virus/10102604

+ W32/Bandok.NAT!tr (https://www.fortiguard.com/encyclopedia/virus/7159885)

Các thiết bị của Fortinet hỗ trợ dịch vụ FortiGuard Antivirus: FortiGate, FortiMail, FortiClient, và FortiEDR.

Dịch vụ FortiGuard CDR (content disarm and reconstruction) là dịch vụ hỗ trợ phát hiện và loại bỏ nội dung độc hại, vô hiệu hóa các chương trình độc hại ẩn chứa trong tài liệu.

Fortinet cung cấp khóa đào tạo miễn phí NSE1 với nội dung Information Security Awareness (Nhận thức trong bảo mật thông tin) giúp nâng cao kiến thức cũng như cách bảo vệ trước các cuộc tấn công lừa đảo.

Đồng thời Fortinet cung cấp dịch vụ ngăn chặn các cuộc tấn công botnet – dịch vụ “FortiGuard IP Reputation and Anti-Botnet Security Service” –  chủ động ngăn chặn các cuộc tấn công này bằng cách tổng hợp dữ liệu IP nguồn độc hại từ mạng phân tán của Fortinet (Fortinet distributed network) như các cảm biến mối đe dọa, các nhóm Computer Emergency Response Team (CERT), MITRE, thông tin từ các đối thủ cạnh tranh đang hợp tác và các nguồn toàn cầu cộng tác khác để cung cấp thông tin cập nhật về mối đe dọa.

Hiện tại Tech Horizon là nhà phân phối chính thức của FORTINET tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị bảo mật với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội: Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

Hoàng Xuân/Tech Horizon

Tags: , ,

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.