BabbleLoader - Loader có nhiều cơ chế phòng tránh các biện pháp phát hiện xâm nhập

1. Mã độc BabbleLoader là gì

BabbleLoader là một mã độc mới được trang bị nhiều kỹ thuật lẩn tránh tinh vi, thách thức cả hệ thống phát hiện xâm nhập truyền thống và phát hiện xâm nhập dựa trên AI.

Các tính năng chính của mã độc này bao gồm:

• Chèn mã rác (junk code insertion)

• Biến đổi đa hình (metamorphic transformations)

• Phân giải API động (dynamic API resolution).

• Bypassing sandbox

• Reflective Code Loading

• Anti-sandboxing và anti-analysis

2. Phân tích kỹ thuật

Junk Code/Metamorphism

BabbleLoader sử dụng mã rác (junk code) nhằm mục đích gây khó khăn cho việc phân tích. Ví dụ như sử dụng nhiều đường dẫn giả mà không bao giờ được truy cập, sử dụng các import với các chuỗi được tạo ra ngẫu nhiên,…

Hình 1. Junk code thực hiện các hàm call ngẫu nhiên

Loader cũng sử dụng nhiều lệnh ngẫu nhiên, thêm giá trị vào các biến cục bộ và di chuyển dữ liệu qua lại giữa các thanh ghi mà không có mục đích cụ thể nào.

Hình 2. Dữ liệu được ghi ngẫu nhiên

Hình 3. Số lượng mã rác được thêm vào nhiều đến mức làm sập các công cụ phân tích mã độc.

Những kỹ thuật này ảnh hướng đến kết quả của việc phân tích dựa trên AI. Sự thay đổi liên tục trong cấu trúc mã độc này buộc các mô hình AI phải liên tục học lại những dấu hiệu tấn công, dẫn đến việc bỏ lỡ hoặc đưa ra kết quả dương tính giả. Mã rác cũng tạo ra một lượng lớn thông tin nhiễu trong luồng chương trình, làm quá tải khả năng nhận dạng mẫu của AI và buộc nó phải sàng lọc qua hàng nghìn hành động không liên quan nhằm che giấu hành vi thực sự của phần mềm độc hại.

Dynamic API Resolution

Một trong những hoạt động đầu tiên của loader là bắt đầu quá trình dynamically resolving API calls. Nó sẽ thực hiện điều này thông qua hàm băm API. Đầu tiên, nó sẽ lấy một module handle cho ntdll.dll. Chuỗi cho DLL được giải mã bằng cách sử dụng rolling XOR cipher.

Hình 4. Giải mã chuỗi NTDLL

Bằng cách sử dụng returned handle, loader sẽ bắt đầu đọc PE header của ntdll.dll, xác định thư mục đầu ra và bắt đầu phân tích các giá trị mà nó sẽ cần để phân giải động các chức năng. Loader có cấu trúc code sau:

Hình 5. Cấu trúc code của loader

Các giá trị trên có thể parse và quan sát bằng cách sử dụng công cụ CFF explorer:

Hình 6. Các trường đã được parse và hiển thị trong CFF Explorer

Shellcode Loading và Payload Decryption

Sau khi loader phân giải các pointer, đầu tiên nó sẽ gọi NtCreateSection, sau đó là NtMapViewOfSection. Mục đích là để phần mềm độc hại phân bổ và sử dụng bộ nhớ mà không bị kiểm soát. Quá trình giải mã bắt đầu bằng việc loader sắp xếp lại các khối dữ liệu được encrypted, trước khi tiến hành giải mã từng khối.

Hình 7. Các giai đoạn giải mã khối dữ liệu

Nhưng trước khi giải mã, loader sẽ thực hiện một trong số các kiểm tra anti-sandboxing.

AntiSandboxing/Analysis

DirectX DLL

Một trong những kiểm tra anti-sandboxing đó là kiểm tra các trình điều khiển đồ họa xem nó có đang chạy trong môi trường sandbox hay không. Thực hiện kiểm tra này bằng cách import DLL dxgi.dll. Thư viện này là DirectX Graphics Infrastructure và là DLL cốt lõi của Windows cung cấp chức năng giao tiếp với phần cứng đồ họa.

Mã độc này sử dụng dxgi.dll để trích xuất thông tin VendorId và so sánh nó với ba giá trị ở trong danh sách whitelist:

BabbleLoader sử dụng khóa XOR đơn giản và một vài biến đổi assembly để ẩn số VenderId. Hành vi này được làm rối với một lượng lớn mã rác để ẩn các giá trị thực sự trong quá trình dịch ngược.

Hình 8. XOR để lấy VendorID

VDLL Function

Một hình thức anti-sandbox khác là kiểm tra VDLL để chống lại Windows Defender’s Antivirus Emulator. Kiểm tra đầu tiên là BabbleLoader lấy kernel32.dll và tìm địa chỉ proc cho MpSwitchToNextThread_WithCheck. Kiểm tra thứ hai là ntdll.dll với việc export MpDispatchException.

Hình 9. Gọi hàm mô phỏng

Nếu bất kỳ lệnh call GetProcAddress nào thành công, nó sẽ đặt một biến để đánh dấu và loader thoát sau đó. Việc import các lệnh call thành công chỉ ra rằng loader đang được mô phỏng bởi Windows Defender. Điều này là do các export chỉ tồn tại trong VDLL, là các DLL hệ thống Windows đã sửa đổi chỉ có trong trình giả lập cho Defender. Kỹ thuật này đã được sử dụng trước đây và cho thấy rằng nhà hacker nghiên cứu các vấn đề xung quanh AV và sandbox rất kỹ.

Unique process count

Khi payload của shellcode được đẩy lên bộ nhớ ánh xạ của tiến trình, nó sẽ thực hiện kiểm tra anti-sandboxing một lần nữa, lần này dựa trên các tiến trình đang chạy trong máy.

Điều này được thực hiện đầu tiên bằng cách gọi NtQuerySystemInformation, từ thư viện ntdll.dll. Nó trả về class SystemProcessInformation, sau đó trả về một mảng SYSTEM_PROCESS_INFORMATION, một phần tử chứa thông tin về một tiến trình đang chạy trong hệ thống.

Tên tiến trình của mỗi phần tử trong mảng được thu thập và băm thành một checksum, và được so sánh với mã băm của tên quy trình tiếp theo. Bộ đếm được tăng lên sau mỗi lần lặp, nhưng nếu checksum khớp, bộ đếm sẽ giảm đi một. Điều này nhằm mục đích cung cấp số lượng tiến trình duy nhất đang chạy.

Hình 10. Bộ đếm checksum
Sau đó mã độc sẽ kiểm tra xem có bao nhiêu tiến trình duy nhất đang chạy trên máy tính. Nếu ít hơn 85 tiến trình, mã độc sẽ kết luận đây là sandbox bởi vì kẻ tấn công cho rằng một máy tính thực sự sẽ có nhiều tiến trình đang chạy hơn là một sandbox hoặc trình giả lập.

Khi quá trình kiểm tra sandbox đã thành công, giai đoạn tiếp theo sẽ là giải mã payload và thực thi.

Donut Loader and Payload

Giai đoạn tiếp theo trong quá trình này là Donut Loader. Loader này được sử dụng để giải nén và thực thi payload độc hại vào trong bộ nhớ. Donut Loader đã được nhiều phần mềm độc hại và nhóm hacker khác nhau sử dụng trong các hoạt động bất hợp pháp. Payload trong ví dụ này là WhiteSnake stealer.

Hình 11. WhiteSnake payload

Payload này có phương pháp giao tiếp với máy chủ Command and Control (C2) thông qua TOR.

Hình 12. Dự án mã nguồn mở được sử dụng bởi WhiteSnake

3. Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống mã độc này:

• Sử dụng các giải pháp bảo mật nâng cao: Kết hợp giữa hệ thống phát hiện dựa trên chữ ký, phân tích hành vi, các công cụ EDR để tăng khả năng phát hiện mã độc

• Cải thiện kỹ thuật phát hiện mã độc: Kết hợp các phương pháp phát hiện tĩnh và động để vượt qua các lớp phòng thủ của loader.

• Đào tạo nhận thức người dùng: Nâng cao nhận thức về các mối nguy hiểm từ phần mềm crack và các tệp không rõ nguồn gốc.

• Cập nhật thường xuyên: Cập nhật hệ điều hành và phần mềm bảo mật thường xuyên để vá các lỗ hổng.

• Kiểm tra và theo dõi lưu lượng mạng: Phát hiện các hành vi bất thường trong lưu lượng mạng, đặc biệt là giao tiếp qua TOR hoặc các phương thức ẩn danh khác.

4. IOCs liên quan đến Babble Loader

BabbleLoader:

WhiteSnake Stealer

5. Tham khảo

1. Babble Babble Babble Babble Babble Babble BabbleLoader