Sự quay trở lại của Snake Keylogger - mã độc chuyên đánh cắp thông tin nhạy cảm
Snake Keylogger là một phần mềm đánh cắp thông tin đăng nhập và keylogger, được phát hiện lần đầu tiên vào tháng 11 năm 2020. Mã độc này được viết bằng .NET và là một dạng modular malware. Khả năng chính của Snake Keylogger bao gồm keylogging, đánh cắp thông tin đăng nhập, chụp ảnh màn hình và thu thập dữ liệu từ clipboards nhằm mục đích gửi cho kẻ tấn công.
1. Đặc điểm của Snake Keylogger
Snake Keylogger sử dụng nhiều phương pháp khác nhau để trích xuất dữ liệu, tận dụng nhiều C&C server khác nhau như FTP, SMTP và Telegram.
Bằng cách sử dụng đa dạng server, nó tăng cường khả năng truyền tải dữ liệu đánh cắp được từ mục tiêu đến kẻ tấn công. FTP được sử dụng với mục đích truyền tệp an toàn, trong khi SMTP cho phép gửi email chứa thông tin nhạy cảm ra Internet. Ngoài ra, việc kết hợp với Telegram còn cho phép truyền dữ liệu bị đánh cắp ngay lập tức.
Việc sử dụng đa dạng server còn khiến cho trojan stealer này vượt qua các biện pháp phòng thủ an ninh mạng truyền thống, và che giấu hành vi một cách hiệu quả.
2. Cơ chế vượt qua phòng thủ
Snake Keylogger sử dụng rất nhiều hàm mã hóa và cơ chế obfuscate chính code của nó để tránh bị phát hiện bởi sandbox.
Dưới đây sẽ tập trung phân tích vào loader mà Snake Keylogger sử dụng. Loader này sử dụng .RSRC data entry một cách khéo léo để che giấu payload độc hại đã được mã hóa AES.
Để hiểu rõ hơn, .RSRC section trong tập tin thực thi Portable Executable (PE) chứa các tài nguyên mà chương trình cần, chẳng hạn như biểu tượng, hộp thoại và đối với của mã độc, nó chứa các payload mã hóa. Mã độc sử dụng phần .RSRC để nhúng payload mã độc, làm cho các công cụ bảo mật khó phát hiện và phân tích.
Ban đầu, loader phân tích các thuộc tính cụ thể của phần tài nguyên và tính toán hash SHA256 của một chuỗi khóa đã được xác định trước. Hash này đóng vai trò là khóa giải mã AES-ECB để giải mã payload được lưu trữ trong phần .RSRC.
Sau khi mô phỏng quá trình giải mã, file "Example" nằm ở .RSRC section hiện thị một vài thông tin:
Sau khi phân tích file "Example", nó hiện ra một chức năng phức tạp khác: file này có một loader bổ sung chứa hai .RSRC data entry được mã hóa AES-ECB khác, mỗi phần lại có các bộ khóa giải mã riêng biệt.
Sau khi giải mã thành công các phần này, nội dung chính của file hiện ra: RUNPE injector module và mã độc Snake Keylogger.
Hình dưới đây là sơ đồ về cách loader này giải mã và thực thi mã độc SnakeKeylogger để đánh cắp dữ liệu và thông tin nhạy cảm từ máy chủ bị xâm nhập.
3. Phân tích Techniques và Tactics của Snake Keylogger
Dưới đây là code hàm main của "Snake Keylogger", cho thấy việc sử dụng các kỹ thuật obfuscation để che giấu method và class name trong mã nguồn, nhằm cản trở việc phân tích tĩnh mã độc.
Hãy cùng điểm qua một vài Techniques và Tactics mà trojan stealer này sử dụng:
Discovery
System Information - T1082: Mã độc này thu thập thông tin hệ thống từ các máy chủ bị xâm nhập, bao gồm các thông tin như phiên bản hệ điều hành, kích thước RAM và thông tin ổ đĩa cứng.
System Location Discovery - T1614: Thu thập địa chỉ IP public của máy bị xâm nhập, từ đó trích xuất ra các thông tin như thành phố, mã quốc gia, tọa độ, múi giờ,...
Persistence
Registry Run Keys - T1547.001: Mã độc này sử dụng registry key để duy trì xâm nhập trên máy nạn nhân, đảm bảo nó vẫn được chạy kể cả khi khởi động lại hệ thống.
Defense Evasion
- Impair Defenses - T1562: Snake Keylogger sử dụng cơ chế "Kill Switch". Cơ chế này thực hiện so sánh ngày mà mã độc này được build và ngày hiện tại. Nếu mà ngày build mã độc ở trước ngày hiện tại, nó sẽ coi là môi trường nó đang chạy là sandbox, và sẽ chấm dứt quá trình hoạt động. Ngoài ra nó còn có 1 danh sách tiến trình của các AV để nó có thể chủ động dừng hoạt động trước khi bị phát hiện.
Credential Access
Credentials from Web Browsers - T1555.003: Keylogger này sở hữu một danh sách dài các trình duyệt mà nó coi là mục tiêu để đánh cắp dữ liệu.
Email Collection - T1114: Mã độc này thu thập thông tin Outlook profie nhằm mục đích trích xuất dữ liệu có giá trị như tên người dùng và mật khẩu được liên kết với tài khoản Outlook. Những thông tin đăng nhập này có thể sử dụng cho các hoạt động độc hại tiếp theo và để duy trì tồn tại trong máy chủ bị xâm nhập.
Collection
Clipboard Data - T1115: Snake Keylogger ghi lại dữ liệu được lưu trữ trong clipboard, có thể bao gồm thông tin nhạy cảm như mật khẩu, số thẻ tín dụng,...
Screen Capture - T1113: Trojan stealer cũng chụp ảnh màn hình của người dùng định kỳ và lưu trữ trong thư mục "MyDocument" trước khi gửi cho kẻ tấn công.
Keylogging - T1056.001: Tính năng chính của keylogger, nó bí mật ghi lại mọi thao tác gõ phím do người dùng, nhằm thu thập dữ liệu nhạy cảm như mật khẩu, tên người dùng và thông tin bí mật khác.
Command and Control
Snake Keylogger sẽ cố gắng thiết lập kết nối với C&C server và chờ phản hồi. Tùy thuộc vào cấu hình của mã độc, dữ liệu sẽ được gửi qua các kênh: FTP, SMTP hoặc Telegram.
4. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức một số cách để phòng chống Snake Keylogger:
Đào tạo nhận thức bảo mật: Đào tạo nhân viên về các mối đe dọa bảo mật, đặc biệt là cách nhận biết và phòng chống keylogger.
Sử dụng các giải pháp Email Security: Snake Keylogger lây lan qua các tệp đính kèm email độc hại. Giải pháp bảo mật email có thể xác định và chặn các email chứa tệp đính kèm độc hại.
Sử dụng các giải pháp Endpoint Security: Các giải pháp Endpoint Security có thể xác định và khắc phục tình trạng lây nhiễm phần mềm độc hại trên các thiết bị bị xâm nhập.
Sử dụng Multi-Factor Authentication (MFA): Mục tiêu của Snake Keylogger là thu thập thông tin đăng nhập để chiếm đoạt tài khoản của người dùng. MFA khiến kẻ tấn công gặp khó khăn hơn trong việc sử dụng mật khẩu bị đánh cắp để truy cập vào tài khoản người dùng.
Sử dụng các giải pháp Zero Trust: Việc triển khai zero trust sẽ hạn chế tác động của tài khoản người dùng bị đánh cắp lên hệ thống.
5. IOCs liên quan đến Snake Keylogger
Hashes | Description |
0dd188237a562417f239ff9be662f9336ec77a0906af62c26516a8e6f767f9f5 | SnakeKeylogger |
80e12c2425ec7b8aa8913df82bd47c0c1a62f6539df22b6bf1ddab8b1694e3e8 | SnakeKeylogger |
6. Tham khảo
Under the Hood of SnakeKeylogger: Analyzing its Loader and its Tactics, Techniques, and Procedures:
Sneaky SnakeKeylogger slithers into Windows inboxes to steal sensitive secrets:
https://www.theregister.com/2024/08/05/snakekeylogger_malware_windows/