17/09/2018, 22:30

Malware Rombertic sử dụng công nghệ chống ăn cắp bản quyền

Chúng ta đã biết về Rombertic, một loại malware có khả năng phá hoại bản ghi khởi động của máy tính nạn nhân nhằm tránh bị phát hiện. Mới đây, malware này mới được bổ sung thêm khả năng phát hiện và ngăn chặn các hành vi sử dụng trộm. Rombertic là malware mới thuộc chủng Trojan có tên Carbon ...

rombertik
Chúng ta đã biết về Rombertic, một loại malware có khả năng phá hoại bản ghi khởi động của máy tính nạn nhân nhằm tránh bị phát hiện. Mới đây, malware này mới được bổ sung thêm khả năng phát hiện và ngăn chặn các hành vi sử dụng trộm.

Rombertic là malware mới thuộc chủng Trojan có tên Carbon Grabber, có khả năng ăn cắp các dữ liệu và mở backdoor cho những kẻ tấn công đột nhập vào thiết bị nạn nhân. Malware có một vài cơ chế ẩn nấp để tránh bị phát hiện. Nếu như có ai đó cố gắng khoanh vùng nhằm tìm ra nó, nó sẽ kích hoạt việc ghi đè lên MBR và mã hóa, khiến cho máy tính không thể sử dụng được.

Các nhà nghiên cứu tin rằng, Rombertic cũng có biện pháp để bẫy những kẻ muốn tự chỉnh sửa và sử dụng malware mà không muốn trả tiền mua. Khi tin tặc mua malware Rombertic từ tác giả, chúng sẽ nhận được một bản sao malware chỉ làm việc duy nhất với một kênh command and control (C&C). Địa chỉ của kênh đó sẽ được mã hóa bằng mã nhị phân.

Một vài kẻ đã thử hack mã nhị phân và sau đó thay đổi địa chỉ của kênh điều khiển, để cóthể sử dụng malware này mà không phải bỏ ra một đồng nào. Để ngăn chặn việc sử dụng trái phép này, tác giả của malware cần đảm bảo rằng cơ chế tự hủy của nó sẽ được kích hoạt khi những hành vi trên được phát hiện ra. Sau khi ghi đè lên MBR và mã hóa tất cả các file trong máy tính bị nhiễm, malware sẽ hiển thị một thông báo có nội dung”Carbon crack attempt, failed” giống như đang trừng phạt những kẻ đang cố bẻ khóa nó.

Tuy nhiên, người ta cũng lưu ý rằng, cơ chế bảo vệ này cũng vẫn có thể bị qua mặt. Bởi các tài nguyên được chứa trong địa chỉ URL của kênh C&C được mã hóa bằng một key RSA. Một bảng giải mã của key này được lưu trữ trong trường “compile time” của PE header. Bảng này được dùng để so sánh với phương pháp giải mã được key sử dụng. Nếu như trùng khớp, malware sẽ hoạt động bình thường. Nhưng nếu có sự chỉnh sửa và key RSA bị thay thế không trùng khớp, malware tự động kích hoạt quá trình phá hủy.

Mặc dù đây là một cách rất tốt để kiểm tra xem malware có thể bị dùng lậu hay không, nhưng các tác giả của Rombertic có vẻ như đã mắc sai lầm. Các chuyên gia ngay lập tức phát hiện ra key mã hóa cũng được đính kèm theo trong phần mã nhị phân. Ai cũng có thể mã hóa những địa chỉ URL của kênh C&C khác bằng key công khai và giải mã nó bằng các key cá nhân của mình. Nếu như có một người đã mua malware và muốn sử dụng nó dưới một kênh C&C khác mà không phải trả thêm tiền, họ có thể sử dụng phương pháp này mà không gây kích hoạt cơ chế tự hủy.

Dựa theo những số liệu phân tích, người ta cho rằng chức năng trên không phải để cản trở những nỗ lực của các nhà nghiên cứu. Ngược lại, có vẻ như nó là cách các tác giả trừng phạt những kẻ keo kiệt, muốn sử dụng nó miễn phí. Điều này không phủ nhận thiệt hại mà nó có thể gây ra, malware này vẫn mang tính phá hoại và cực kỳ nguy hiểm. Ít nhất nó cũng không bị sử dụng bừa bãi.

SecurityWeek

0