Phân tích mã độc gián điệp FlawedAmmyy -P3

flawed ammyy

Ở phần 2 ,chúng ta đã tìm hiểu một số hoạt động cụ thể và hiểu thêm về cách thức hoạt động của FlawedAmmyy . Trong phần này , chúng ta sẽ tiến hành phân tích sơ bộ “kết cấu” của chúng .

Image result for FlawedAmmyy Phân tích mã độc gián điệp FlawedAmmyy -P3

FlawedAmmyy được phát triển từ việc tận dụng sự rò rỉ mã nguồn trên phiên bản thứ 3 của phần mềm remote desktop Ammyy Admin.Vậy thì FlawedAmmy cũng có chứa những chức năng của phiên bản bị rò rỉ  ,như là :

  • REMOTE DESKTOP CONTROL
  • FILE SYSTEM MANAGER
  • PROXY SUPPPORT
  • AUDIO CHAT

Phân tích mã độc gián điệp FlawedAmmyy -P3

FlawedAmmyy được CnC (command and Control) bằng việc tận dụng port 443 của giao thức HTTPS . Bắt đầu quá trình bắt tay ( như bắt tay 3 bước trong TCP) , gửi từ client đến server , byte đầu tiên luôn là “=”, theo sau là 35 byte “lộn xộn” được mã hóa bằng SEAL . Sau khi , server phản hồi (0x2d00), client bị “xâm nhập” sẽ gửi packet thứ 2. Packet này chứa 5 byte nhãn (header) bao gồm độ dài phần còn lại của gói tin (0x78). Thân packet chứa cặp key-value rõ ràng :

Phân tích mã độc gián điệp FlawedAmmyy -P3

Phân tích mã độc gián điệp FlawedAmmyy -P3

KẾT LUẬN

Ammy admin là một tool remote access phổ biến sử dụng cho doanh nghiệp và người dùng cá nhân trong việc điều khiển và chẩn đoán từ xa các máy tính sử dụng hệ điều hành Windows . Tuy nhiên , việc rò rỉ mã nguồn version 3 của Ammyy Admin là hồi chuông báo động việc xuất hiện hàng loạt Trojan như FlawedAmmyy tận dụng mã nguồn đó cho hàng loạt chiến dịch tấn công mạng . Đối với cá nhân bị lây nhiễm , điều này nghĩa là kẻ tấn công có khả năng kiểm soát hoàn toàn PC của họ , cho phép kẻ tấn công khả năng truy cập một số dịch vụ cá nhân, đánh cắp các file , thông tin xác thực ( như mật khẩu , tài khoản ….) và còn hơn thế nữa . Các chuyên gia phát hiện sử xuất hiện của FlawedAmmyy trong cả hai chiến dịch tấn công lớn vào các hệ thống an ninh mạng gần đây , có khả năng xâm nhập một số lượng lớn các máy tính , cũng như các chiến dịch tấn công có chủ đích giúp kẻ tấn công đánh cắp dữ liệu người dùng ,thông tin cá nhân hoặc hơn thế nữa.

BÌNH LUẬN

Please enter your comment!
Please enter your name here