Malware

DownAndExec: มัลแวร์ที่อาศัย Content Delivery Network (CDN) เป็นช่องทางแพร่กระจาย

มัลแวร์ตัวใหม่ที่ใช้ Engine ของเว็บไซต์สตรีมมิ่งเป็นช่องทาง

บริการอย่าง Netflix ใช้เครือข่าย CDN (Content Delivery Network) เพื่อให้ผู้ใช้สามารถใช้แบนด์วิธได้อย่างเต็มประสิทธิภาพในขณะที่กำลังรับชมเนื้อหาอย่าง วิดีโอ ด้วยเซิร์ฟเวอร์ที่ให้บริการทั่วโลกทำให้การดาวน์โหลดซีรีย์หรือภาพยนตร์นั้นรวดเร็วมากยิ่งขึ้น แต่ตอนนี้ CDN กำลังจะกลายเป็นช่องทางใหม่ในการแพร่กระจายมัลแวร์

NSIS_1-768x389

ขอบเขตการโจมตีค่อนข้างกว้าง เพราะมีสคริปต์รีโมทที่สามารถทำงานในระยะไกลได้ บวกกับการใช้เซิร์ฟเวอร์ C&C ของ CDN และเทคนิคอื่นๆที่สามารถเริ่มทำงานมัลแวร์ได้

เราจะมาวิเคราะห์กันว่ามัลแวร์ downAndExec ดาวน์โหลดและเปิดใช้งาน JS Script ได้อย่างไร

Phase 1: ฝังตัวลงบนเครื่อง

การโจมตีเริ่มขึ้นจากไฟล์ไวรัสที่ ESET ตรวจจับได้ในชื่อ NSIS/TrojanDropper.Agent.CL โดยแฮกเกอร์จะปล่อยไฟล์ดังกล่าวด้วยเทคนิค Social Engineering หรือผ่านสังคมออนไลน์

ลักษณะเฉพาะตัวของ NSIS ตั้งแต่เวอร์ชั่น 9.43 คือการดึงสคริปต์ภายในไฟล์ .EXE ที่ใช้เริ่มทำงานไวรัสโทรจัน

เมื่อเริ่มทำงานสคริปต์จะใช้วิธีเรียกตัวเองซ้ำเพื่อปกปิดตัวเองจากการตรวจสอบ

รูปแบบของสคริปต์ตัวนี้ก็คือ เป็นตัวดาวน์โหลดมัลแวร์และเปิดทำงานบนเครื่องของเหยื่อ ในกรณีนี้สคริปต์จะดาวน์โหลด JS Script จะข้างนอกที่จำเป็นสำหรับการเริ่มปฏิบัติการ

โครงสร้างของ CDN นั้นใช้ JS Script เป็นจำนวนมากอยู่แล้ว เพราะฉะนั้นการบล็อกโดเมนของ CDN ทั้งหมดจึงเป็นเรื่องที่เป็นไปไม่ได้ งานหินที่เกิดขึ้นก็คือ:

การบล็อกมัลแวร์ C&C ใหม่ๆ: นี่อาจเป็นเหตุผลที่เราเห็น URL ใหม่ๆโผล่ขึ้นมาในโดเมนเดิมๆบนเซิร์ฟเวอร์ C&C

การค้นหา IoCs: ในสภาพแวดล้อมแบบนี้มีความเป็นไปได้ที่จะพบ Access จำนวนมากที่มาจากซอฟต์แวร์ที่ไม่เป็นอันตราย

Phase 2: ช่วงดาวน์โหลด

ฟังก์ชั่น Eval จะเพิ่มข้อความ “downAndExec(\”<parameter_1>\”, \”<parameter_2>\”)” parameter ตัวแรก (<parameter_1>) จะสอดคล้องกับ URL ของเซิร์ฟเวอร์ C&C parameter ตัวที่สอง (<parameter_2>) มีข้อมูล “x-id” ที่จำเป็นต้องใช้ในการดาวน์โหลด

Phase 3: ติดต่อกับเซิร์ฟเวอร์ C&C และเริ่มทำงาน

ทันทีที่การเตรียมการเสร็จสิ้น กระบวนการติดต่อกับเซิร์ฟเวอร์ C&C ก็จะเริ่มขึ้น และตัวเครื่องก็ถูกมัลแวร์ฝังลงไป

Author: Cassius Puodzius
Source:
https://www.welivesecurity.com/2017/09/13/downandexec-banking-malware-cdns-brazil/
Translated by: Worapon H.

%d bloggers like this: