Cách phát hiện Virus Emotet trong Email doanh nghiệp
23 Tháng 9, 2020

Cách phát hiện Virus Emotet trong Email doanh nghiệp

Bạn muốn biết trong Email doanh nghiệp có đang tiềm ẩn các nguy cơ tấn công bởi Virus Emotet hay không? Giải pháp bảo mật Email nào được đánh giá cao nhất? Làm sao để bảo vệ niềm tin với khách hàng và uy tín doanh nghiệp khi bị virus Emotettấn công?

Trước hết bạn phải biết về Virus Emotet là gì? chúng chủ yếu tấn công doanh nghiệp thông qua phương thức nào? Mức độ nguy hiểm ra sao? Từ đó cân nhắc đến các giải pháp bảo mật Email phù hợp.

Virus Emotet là gì?

Đây là một loại phần mềm độc hại ban đầu được thiết kế như một Trojan ngân hàng nhằm đánh cắp dữ liệu tài chính, nhưng hiện nay, Emotet đã phát triển với nhiều biến thể phức tạp hơn và trở thành mối đe dọa lớn đối với người dùng ở khắp mọi nơi.

Emotet tấn công doanh nghiệp như thế nào?

Emotet hoạt động như 1 Trojan và chủ yếu phát tán virus độc hại thông qua các Email Spam. Sự lây nhiễm Virus được thực thi thông qua tập lệnh độc hại, tệp tài liệu hỗ trợ macro hoặc các liên kết độc hại. Email Emotet có thể giả mạo như một doanh nghiệp quen thuộc, vẫn thường giao dịch Email hàng ngày với doanh nghiệp của bạn, nhưng đó chỉ là hình thức hiển thị bên ngoài, nếu sử dụng bộ lọc Email của ReceiveGUARD bạn sẽ nhìn thấy liên kết tên miền thực sự của Email đó là hoàn toàn xa lạ.

Cách phát hiện Virus Emotet trong Email doanh nghiệp

Emotet giả mạo Email từ 1 domain Email hợp lệ

Bạn nhận được Email từ doanh nghiệp đối tác với tên miền hợp lệ, nhưng hệ thống filter Email của ReceiveGUARD đã phát hiện đằng sau địa chỉ Email này là một địa chỉ Email tên miền của hacker:

internal_audit@hondapradana.com

Hệ thống bộ lọc Email của ReceiveGUARD sẽ phát hiện và ngăn chặn việc phân phối các Email giả mạo chứa virus ransomware này đến các user. Bộ lọc AI (trí tuệ nhân tạo) của ReceiveGUARD sẽ hiển thị thông tin cảnh báo chi tiết về loại Malware đang tấn công Email doanh nghiệp.

Report chi tiết của hệ thống bộ lọc Email ReceiveGUARD về virus Ransomware

Phương thức hoạt động của Virus Emotet

Cùng VNETWORK phân tích các hoạt động bên trong của Virus Emotet, làm thế nào mà chúng có thể vượt qua các bộ lọc Email thông thường và tấn công doanh nghiệp một cách nhanh nhất.

Cụ thể, sau khi bạn tải file đính kèm trong Email và mở chúng ra, bạn sẽ nhận được thông tin như: “You have to press “Enable Editing” and “Enable Content” buttons to preview this document. Nhằm mục đích lừa người dùng click vào link active để thực thi mã độc VBA AutoOpen macro.

Sau khi mở tài liệu lên thì sẽ thực hiện lệnh gọi đến hàm Zqudtpmjts8_ce() của forms Va0vbf6j5u_txvq0ik

Ta sẽ thấy 1 đoạn script được deobfuscate, đây là một kĩ thuật tinh vi của các hacker, chúng khiến cho các hệ thống bộ lọc Email thông thường khó phát hiện ra nội dung độc hại bên trong.

Sau khi dùng lệnh Ctrl + F để tìm kiếm 1 đoạn mã, bạn sẽ thấy có sự trùng lặp nội dung 1 phần đoạn code ở 22 vị trí khác nhau, từ đó bạn có thể suy luận ra mục đích của sự trùng lặp này nhằm làm cho đoạn script khó hiểu hơn, nên sẽ dễ dàng vượt qua những tool dò tìm mã độc thông thường.

Trong nội dung bên trong đoạn script bạn cũng sẽ dễ dàng tìm thấy có 4 đoạn function khác nhau, bao gồm:

  • Function T7srg7if43pxjzixu5(Llgxrfprdscrj7j): CreateObject cho giá trị truyền vào và showwindow từ form giá trị BorderStyle và HelpContextId.
  • Function Bjcembrz7jg490mk(Tcibwdxyjtphxn): gọi hàm split() chia chuỗi thành list theo "23&bh s6[[hu12 712tdd]]s hj[" và sau đó sử dụng hàm Join() để lấy các thành phần trong list, rồi nối thành chuỗi.
  • Function Ml7prgw8dbgnp(): function này sẽ gán giá trị cho Ah674x18dau bằng giá trị trong form Va0vbf6j5u_txvq0ik.F9sita9_49vy6.Tabs(1).ControlTipText và sau đó gọi hàm Bjcembrz7jg490mk.
  • Function Zqudtpmjts8_ce(): function này ta sẽ sử dụng 3 function trên để phân tích

Tại đây giá trị K2ojzbscxhdh9xq4pu sẽ bằng giá trị của ascii từ dec -> chr.

Gmhg1ulzqgb9uqey9d = winmgmts:win32_process

Vsqw0npy1awdw = ‘tu’

Va0vbf6j5u_txvq0ik.Tdsr8uxnwy8qmn1op.ControlTipText = ‘tar’

=> Olk62xtd7nbamyuv = winmgmts:win32_processstartup

Set Br7dvs8qjhr = T7srg7if43pxjzixu5(Olk62xtd7nbamyuv)

Br7dvs8qjhr = CreateObject(winmgmts:win32_processstartup).showwindow=0

U3w4_w6uxpvgxa bao gồm nhiều giá trị trong array => phân tích Ml7prgw8dbgnp

Từ đó giá trị của Ah674x18dau như sau: => Ml7prgw8dbgnp

Cuối cùng, bạn sẽ nhận được powershell là nội dụng của scirpt đã encode base64. Sau đây ta sẽ decode base64.

Đoạn powershell đã decode base64, nhưng ta lại nhận về script đã bị obfuscated

Sau khi ta phân tích quy tắc code của hacker bạn sẽ ra được đoạn mã như trên và công việc chính của đoạn script này bao gồm việc thi hành các nội dung như sau:

  • Tạo thư mục \temp\WORd\2019\
  • Gán giá trị $Hyx4qei = Thư mục lưu tên file và dowload vào lưu file với tên “Xd4r2l.exe”
  • Tạo ra list các url để kết nối tải file
  • Thực hiện hàm lặp, dowload file từ các url và kiểm tra dung lượng của file đó lớn hơn 33635B thì sẽ run file và break script.

Tiếp tục phân tích file Xd4r2l.exe

File Xd4r2l.exe này sẽ tự động copy chính nó vào thư mục C:\Users\*user*\Appdata\local\xxx\xxx.exe

Và chính thức khởi chạy cùng hệ thống máy tính của bạn: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Sau khi kiểm tra traffic SMTP, bạn sẽ nhận thấy một lượng lớn traffic từ SMTP. Điều này cho thấy sau khi máy tính của bạn bị nhiễm mã độc thì sẽ trở thành một máy bot trong mạng lưới bot net phishing, tức là trở thành công cụ phát tán mã độc đến các Email doanh nghiệp khác bằng con đường phishing Email (Mail giả mạo tên miền doanh nghiệp)

Emotet xâm nhập vào máy tính nạn nhân chủ yếu thông qua Email. Hãy bảo mật Email doanh nghiệp và ngăn chặn Emotet trước khi chúng kiểm soát doanh nghiệp của bạn.

𝐕𝐍𝐄𝐓𝐖𝐎𝐑𝐊

Website: https://vnetwork.vn

Email: contact@vnetwork.vn

Hotline: (028) 7306 8789

Bài Viết Liên Quan
Bí quyết để nâng cao tính bảo mật email cho doanh nghiệp
Vnetwork|27 Tháng 12, 2021
Bí quyết để nâng cao tính bảo mật email cho doanh nghiệp

Trong bối cảnh ngày nay, email chính là phương thức giao tiếp chính và được sử dụng rộng rãi giữa các doanh nghiệp. Vì vậy, việc hệ thống email gặp sự cố có thể hạn chế sự vận hành của công ty. Vậy câu hỏi đặt ra là: doanh nghiệp cần phải làm gì để bảo mật email tốt hơn?

Email bảo mật cho doanh nghiệp - Đâu là giải pháp?
Vnetwork|30 Tháng 12, 2021
Email bảo mật cho doanh nghiệp - Đâu là giải pháp?

Liệu các doanh nghiệp có cần nâng cấp hệ thống bảo mật khi thủ đoạn tấn công từ tin tặc ngày càng tinh vi hơn?

Bảo mật email doanh nghiệp như thế nào để hiệu quả?
Vnetwork|11 Tháng 1, 2022
Bảo mật email doanh nghiệp như thế nào để hiệu quả?

Năm phương pháp thực hiện sau đây giúp bảo mật email doanh nghiệp một cách hiệu quả và chống lại các cuộc tấn công do tin tặc gây ra.

© 2019 VNETWORK JSC. All Rights Reserved

VNETWORK Joint Stock Company

Phòng 23.06, Tầng 23, Tòa nhà UOA, 06 Tân Trào, Tân Phú, Quận 7, TP. Hồ Chí Minh

Enterprise Code: 0312353730 - 03/07/2013

Registration Division: Department of Planning and Investment of HCMC

Powered by VNETWORK