Hiểu rõ hơn về mã độc Emotet đang hoạt động mạnh trở lại ở Việt Nam

Hiểu rõ hơn về mã độc Emotet đang hoạt động mạnh trở lại ở Việt Nam

Emotet - mã độc nguy hiểm nhất thế giới từng bị tuyên bố khai tử - nay đã quay trở lại và lợi hại hơn xưa. Ở Việt Nam thời gian gần đây đã có thêm nhiều bằng chứng cho thấy dấu vết của mã độc Emotet được phát tán qua hình thức spam thư điện tử. Nếu tính tuổi đời của Emotet tại Việt Nam, chúng tôi tạm ví von rằng thanh niên Emotet Nguyễn năm nay đã đến tuổi lên lớp 1.

DEV2SEC cung cấp một số thông tin hữu ích về mã độc Emotet thông qua các nội dung chính như sau:

1. Emotet là gì?

1.1. Emotet là trojan hay stealer?

Emotet được điểm mặt kể tên trên rất nhiều các trang báo tin tức của Việt Nam, khi chúng tôi thử tìm kiếm từ khóa “Emotet” bằng Google dễ dàng cho ra kết quả:

  • Tin tặc thử nghiệm kỹ thuật mới để phát tán Emotet (2022)
  • Mã độc khét tiếng Emotet đã trở lại (2021)
  • Cảnh báo mã độc Emotet lây lan qua thư điện tử tại Việt Nam (2020)
  • Virus Emotet đồng loạt tấn công Email ngân hàng Việt (2020)
  • Mã độc Emotet tấn công vào hệ thống thông tin của Việt Nam (2018)

Với tần suất xuất hiện đều đặn như vậy, có thể thấy đây là một loại mã độc phổ biến và nguy hiểm.

Emotet có phải là virus theo đúng định nghĩa chuyên ngành không? Câu trả lời là không. Emotet lần đầu tiên xuất hiện trong cuộc tấn công vào hệ thống của các ngân hàng Đức và Áo hồi năm 2014 dưới dạng một stealer malware (mã độc đánh cắp dữ liệu). Tuy nhiên sau nhiều lần cải tiến, Emotet không dừng lại ở dạng mã độc đánh cắp thông tin. Nó ẩn nấp trong các bức thư điện tử giả mạo, trong đó chứa đường dẫn hoặc tập tin đính kèm độc hại, lừa người dùng kích chạy để sau đó bắt đầu cuộc dạo chơi đầy hứng thú của mình. Emotet vươn mình trở thành một loại trojan cũng từ thuở ấy.

1.2. Emotet chưa phải là mã độc cuối cùng trong chuỗi lây nhiễm

Đến đây, chúng ta bắt đầu mổ xẻ xem thực sự Emotet đang hoạt động như thế nào. Chúng tôi sau khi phân tích đã dựng lên một bản “giải phẫu” mã độc Emotet sau đây, các chiến thuật - kỹ thuật theo MITRE ATT&CK sẽ được sử dụng để làm rõ luồng tấn công:

Emotet_flow-1

Để giải thích cho sơ đồ trên, chúng tôi muốn người đọc tập trung vào vị trí trung tâm (được đánh tên là Emotet loader) trước, đó chính là “mã độc Emotet” mà lâu nay chúng ta đang nhắc tới. Tất cả những thứ có liên quan, bao gồm: email spam, tập tin mồi nhử, script độc hại, module độc hại, các loại mã độc khác về mặt bản chất đều không phải là Emotet.

Ngoài ra, cần hiểu rõ về vòng đời của chiến dịch mở rộng botnet Emotet như sau: sử dụng email giả mạo -> lây nhiễm Emotet loader -> Tải xuống Modules bổ sung -> Thực hiện hành vi độc hại -> Đánh cắp mailbox của người dùng -> tạo ra & gửi đi email giả mạo -> tiếp tục vòng lặp ->…

Sau khi làm rõ 2 vấn đề này, chúng tôi sẽ đi vào phân tích luồng lây nhiễm và hoạt động của “Emotet và những người bạn”.

  1. Email giả mạo chứa đường dẫn độc hại hoặc phần đính kèm là (một file nén chứa) một tập tin mồi nhử chứa mã độc. Tập tin mồi nhử này có định dạng là .doc, .docx, .xls, .xlsx, .lnk tùy theo thời điểm phát triển của Emotet (được chú thích trên hình). Khi người dùng kích chạy tập tin mồi nhử, script VBA Macro độc hại/tập tin shortcut giả mạo sẽ được thực thi.
  2. Khi được thực thi, script tiến hành chạy cmd.exe, powershell.exe hoặc các script khác có kết nối đến địa chỉ URL độc hại.
  3. Sau khi kết nối đến URL độc hại, Emotet Loader được tải về.
  4. Để kích hoạt Emotet Loader, mã độc sử dụng powershell.exe hoặc các tập tin ngụy trang chứa script xấu.
  5. Sau khi được kích hoạt, Emotet Loader tiến hành tự giải nén.
  6. Emotet Loader chọc vào Registry để đạt được persistance.
  7. Emotet Loader giao tiếp với máy chủ điều khiển để nhận lệnh và các module bổ sung.
  8. Emotet Loader thực hiện tải xuống module bổ sung hoặc tải xuống cái loại mã độc khác tùy vào cấu hình của nó. Các loại mã độc khác có thể là bất kỳ dòng mã độc nào. Điều này giúp chúng tôi khẳng định Emotet là một mã độc trung gian, chưa phải là mã độc cuối cùng như nhiều người lầm tưởng. Do đó Emotet trở nên nguy hiểm hơn rất nhiều.
  9. Module bổ sung sẽ thực hiện các hành vi độc hại trên máy tính nạn nhân, trong đó có thu thập dữ liệu để gửi về máy chủ điều khiển. Ngoài ra một chức năng quan trọng khác đó là đánh cắp quyền sở hữu của mailbox trên máy tính, sử dụng spam module để tạo ra những email độc hại mới và được gửi đi cho một loạt người dùng trong mail contact. Đây là cách mà Emotet lây lan cho nhiều máy tính khác nhau.

2. Emotet xuất hiện ở Việt Nam thời gian gần đây

Theo dõi tình hình an toàn thông tin tại Việt Nam thời điểm cuối tháng 3/2022 trở lại đây, chúng tôi nhận thấy có nhiều đơn vị phản ánh rằng họ nhận được những email từ địa chỉ lạ, nội dung khá tương đồng nhau, đó là một tập tin đính kèm, vài dòng chữ có yếu tố Tiếng Việt. Tinh vi hơn, email phishing này còn mạo danh đơn vị VNCERT của Việt Nam để đánh lừa người dùng. Chúng tôi được biết, sau khi phân tích mã độc, các đơn vị an ninh mạng tại Việt Nam đưa ra kết luận đây là mã độc Emotet nổi đình nổi đám - đã quay trở lại hoạt động mạnh mẽ trên cả thế giới thời gian gần đây.

5e3816f21d83463490ed9d440b5ac2cb

4ea5a0130fc445ff8b86809b42b7d8f6

8a590261c2d64249a0a7529812a1314a

Emotet không dễ xác định và ngăn chặn vì nó đánh lừa các sản phẩm quét virus thông thường: Là một mã độc đa hình, mã nguồn sẽ thay đổi một chút mỗi khi nó được gọi đến để tránh bị phát hiện dựa trên chữ ký. Emotet có chức năng phát hiện môi trường ảo hóa, sandbox, khi đó mã độc sẽ chuyển sang chế độ chờ và không thực hiện bất kỳ hành động có hại nào tại thời điểm đó.

Từ lúc xuất hiện đến nay, Emotet botnet được ghi nhận qua 5 epoch (nôm na là "kỷ nguyên"). Trong mỗi epoch, Emotet sẽ sử dụng kỹ thuật riêng và máy chủ điều khiển khác nhau. Epoch càng mới thì Emotet càng khó bị ngăn chặn. Có thể thấy, cả thế giới đang nỗ lực để chống lại sự lây lan của mạng botnet nguy hiểm này.

3. Cách đối đầu với Emotet

DEV2SEC khuyến nghị mỗi người dùng cần nâng cao nhận thức về mã độc Emotet để chủ động phòng tránh dựa trên một số lưu ý sau:

  • Cảnh giác là ưu tiên hàng đầu: Ngay cả với những người gửi được cho là đã biết, bạn cũng nên cẩn thận với các tệp đính kèm vào email, đặc biệt là các tài liệu Office và các liên kết chứa chúng. Khi nghi ngờ, bạn nên liên hệ trực tiếp với người gửi e-mail đáng ngờ và kiểm tra độ tin cậy của nội dung.
  • Vì Emotet thường ẩn trong các tệp Microsoft Office và cần macro để có thể cài đặt các chương trình độc hại, do đó không nên enable macro.
  • Mọi bản cập nhật bảo mật được triển khai phải được cài đặt ngay lập tức cho hệ điều hành, chương trình chống virus, trình duyệt web, ứng dụng e-mail client và chương trình Office.
  • Nên sao lưu dữ liệu thường xuyên.

Subscribe to DEV2SEC

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe