{%hackmd @themes/dracula %} ```= Trương Hoàng Lân : AT19N0123 Nguyễn Văn Gia Bảo : AT19N0104 ``` https://github.com/ytisf/theZoo/tree/master/malware/Binaries # Wannacry  ## Thông tin - [🌐**WannaCry**](https://en.wikipedia.org/wiki/WannaCry_ransomware_attack) là một loại mã độc tống tiền ([ransomware](https://en.wikipedia.org/wiki/Ransomware)), với các tên gọi khác nhau như **WannaCrypt0r 2.0** hay **WCry** - Nó mã hóa dữ liệu của máy tính và ngăn cản người dùng truy cập dữ liệu trên đó cho đến khi hacker nhận được tiền chuộc ## Nguồn gốc - **WannaCry** được cho là được phát triển bởi một nhóm tấn công mạng có tên [🌐**Lazarus Group**](https://en.wikipedia.org/wiki/Lazarus_Group) >một nhóm hacker được cho là có liên kết với Bắc Triều Tiên :::spoiler 🧾 Một số chứng cứ liên quan ### Phân tích mã độc - [Kaspersky Lab](https://vi.wikipedia.org/wiki/Kaspersky_Lab) đã phân tích và tìm thấy một số đặc điểm chung với các hoạt động trước đó được cho là của **Lazarus Group** ### Liên kết với các cuộc tấn công trước đó - **Lazarus Group** đã được liên kết với nhiều cuộc tấn công mạng có quy mô và phức tạp trước **WannaCry** : - bao gồm cuộc tấn công vào [Sony Pictures Entertainment](https://vi.wikipedia.org/wiki/Sony_Pictures) vào năm 2014 nhằm trả thù [Sony](https://vi.wikipedia.org/wiki/Sony) vì chế giễu lãnh tụ Bắc Tiều Tiên [Kim Jong Un](https://vi.wikipedia.org/wiki/Kim_Jong_Un) - và cuộc tấn công vào ngân hàng [Bangladesh](https://en.wikipedia.org/wiki/Bangladesh_Bank_robbery) vào năm 2016 ### Sự tương đồng về mục tiêu - **WannaCry** nhắm đến các tổ chức và hệ thống toàn cầu, bao gồm các cơ quan chính phủ, bệnh viện và doanh nghiệp lớn - Điều này tương tự với mục tiêu của **Lazarus Group** trong các cuộc tấn công trước đó ::: - **WannaCry** sử dụng phần mềm khai thác [Eternal Blue](https://vi.wikipedia.org/wiki/EternalBlue) của NSA được lấy cắp từ nhóm hacker [The Shadow Brokers](https://vi.wikipedia.org/wiki/The_Shadow_Brokers) để lan truyền qua mạng và tìm kiếm các máy tính khác để tấn công ---> sự lan rộng nhanh chóng của phần mềm độc hại và tác động rộng lớn đến nhiều hệ thống trên toàn thế giới ## Chức năng - Bao gồm một file thực thi chính có tích hợp các file thực thi nhỏ khác bên trong như là các phần mềm mã hóa và giải mã :::warning Khi chương trình chính được thực thi, nó sẽ tìm tất cả các tệp tin từ hình ảnh, video, âm thanh, pdf cho tới những tệp tin của office như word, excel, powerpoint… và sau đó thực hiện mã hóa toàn bộ các file tìm được mà chỉ có thể giải mã với khóa số được gửi từ bên ngoài tới :::  - Để lấy được khóa giải mã, **WannaCry** sẽ yêu cầu người dùng gửi một số tiền vào bitcoin thông qua một trang web chỉ có thể truy cập bằng [tor](https://blog.coccoc.com/che-do-an-danh-voi-tor/) (một trình duyệt ẩn danh tính của cả người gửi lẫn người nhận)  > shortcut key : Alt+Shift+N :::danger ⚠️ Nếu sau một khoảng thời gian không trả tiền, khóa giải mã của người bị nhiễm sẽ bị xóa mất và dữ liệu có khả năng sẽ không thể phục hồi. :::  :::info 💡Cơ chế lây lan của con **WannaCry** đó chính là khai thác lỗ hổng zero-day của giao thức **SMB** đối với các tổ chức cá nhân có máy cài phiên bản thấp và chưa được vá lỗ hổng kịp thời 💀 tập trung vào Win2k8 R2 và Win XP ::: - Tuy nhiên, có một cách để deactivate **WannaCry** đó chính là vì con **WannaCry** sẽ tìm kiếm máy tính mới để inflect, nên chỉ cần máy tính đó disconnected với Internet thì phạm vi ảnh hưởng chỉ duy nhất một :::spoiler Did you know? - Thực ra pop up trên sẽ không thực sự cho mình decrypt key cho dù mình nạp $300 bitcoin hay không - Nó có mục đích khác là khiến mình phải lo sợ và tìm kiếm cách recovery file trên Internet ---> mục tiêu là lây nhiễm diện rộng ::: - Là một loại kill switch activated - Theo Malware Tech Blog, **WannaCry** sẽ tìm kiếm một trang web và nếu trang web đó chưa được đăng ký thì nó sẽ thực hiện việc mã hóa và tống tiền, ngược lại khi trang web đó có thể truy cập thì con **WannaCry** sẽ dừng lại :::spoiler Fun fact - Có mục <font color="#1936C9">++Contact Us++</font> là liên hệ với hacker 🤡 - nhưng nếu mình không connect tới Internet thì khi gửi thông điệp "yêu thương" đến hacker, pop up sẽ bị crashed 😂  ::: ## Ảnh hưởng  - Vào tháng 5 năm 2017, vụ tấn công **WannaCry** đã nổ ra và tính tới ngày 15 tháng 5 (3 ngày sau khi được biết đến) đã lây nhiễm hơn 230.000 máy tính sử dụng hệ điều hành Windows ở 150 quốc gia > theo TheHackerNews, ngay trong vài giờ đầu phát tán, số tiền nhóm tin tặc đứng đằng sau **WannaCry** thu được là khoảng 30.000 USD - Không chỉ vậy, nó còn lây lan và làm gián đoạn các dịch vụ như dịch vụ y tế quốc gia của nước Anh, đường viễn thông của nước Tây Ban Nha hoặc ảnh hưởng tới các ngân hàng ở Nga. - ngoài ra nhóm tin tặc còn nâng cấp và phát tán phiên bản tin vi hơn **WannaCry** là **WannaCry 2.0**  ## Cách thức - Hiện nay có nhiều cách để gửi virus sang cho nạn nhân :::spoiler ví dụ ### Email lừa đảo - Phần mềm độc hại có thể được gửi dưới dạng tệp đính kèm trong email lừa đảo - Nạn nhân có thể bị lừa nhầm khi mở tệp tin đính kèm, cho phép **WannaCry** xâm nhập vào hệ thống của họ. ### Sử dụng lỗ hổng bảo mật - **WannaCry** sử dụng lỗ hổng bảo mật **EternalBlue** trong hệ điều hành Windows để tấn công các máy tính chưa được cập nhật đủ bản vá bảo mật - Khi một máy tính bị nhiễm, nó có thể tự động lan truyền và tấn công các máy tính khác trong mạng nội bộ ### Khai thác các dịch vụ mạng - **WannaCry** có thể tìm kiếm và khai thác các lỗ hổng trong các dịch vụ mạng như **S**erver **M**essage **B**lock (**SMB**), cho phép nó lây lan và tấn công các máy tính khác trên mạng ::: - Cách hiệu quả nhất nhưng rườm rà nhất chính là đánh vào sở thích > victim thích mèo thì attacker có thể đính kèm virus vào một bức ảnh mèo và gửi cho victim # Friday the 13^th^  ## Thông tin - Là 1 [Virus Jerusalem](https://en.wikipedia.org/wiki/Jerusalem_(computer_virus)) được ví von là quả [bom logic](https://en.wikipedia.org/wiki/Logic_bomb) vì nó chỉ kích hoạt đúng vào thứ 6 ngày 13 - Là một loại virus chủ động tự nhân bản và gây hại cho hệ điều hành [DOS](https://en.wikipedia.org/wiki/DOS) trên các máy tính cá nhân ## Nguồn gốc - Được tạo ra ở Isarel vào tháng 10 năm 1987 và kích hoạt đầu tiên vào ngày 13 tháng 5 năm 1988 nhằm kỉ niệm 40 năm thành lập nhà nước Do Thái > do sau tháng 10 năm 1987 không có thứ 6 ngày 13 ## Chức năng - Virus này sẽ lây nhiễm tất cả các file có phần mở rộng ``.com`` và ``.exe`` - Làm tăng size bất cứ khi nào file được thực thi (1,808 -> 1,823) - Làm giảm dung lượng bộ nhớ có sẵn - Làm chậm hệ thống máy tính vì sử dụng bộ nhớ (~2KB) > tuy nhiên sẽ không có gì xảy ra nếu không rơi vào đúng thứ 6 ngày 13 :::warning Vào đúng thứ 6 ngày 13, tất cả chương trình đang chạy sẽ bị nhiễm và bị xoá ::: - trong github theZoo có 4 version:  - mỗi con có một cách thức hoạt động khác nhau - ``.408`` , `.416.A` , `.416.B` : xóa file vừa mới được thực thi - `.540.A` : không gây hại trừ khi chạy chung `.416.A` với `.416.B` mới làm tê liệt môi trường giả lập (DOSBox) ## Ảnh hưởng - Lây lan vài trăm người dùng cá nhân và các tổ chức, nhiều quốc gia, trường đại học, học viện, trong đó có một công ty lớn với hơn 400 máy tính bị lây nhiễm - Có trường hợp gây thiệt hại tới $15.000 vì xóa các phần mềm - Tuy vậy, "tuổi thọ" chỉ vỏn vẹn gần 8 năm trước khi bị diệt bởi phần mềm diệt virus ## Cách thức - Virus này có thể lây lan bằng đường email thông qua các file đính kèm, CD-ROM hay floppy disks nên attacker hoàn toàn có thể đính kèm virus vào một file khác hoặc chèn vào floppy disks và đưa cho victim # MEMZ (Destructive Edition)  ## Thông tin - [🌐**MEMZ**](https://en.wikipedia.org/wiki/MEMZ) là 1 con [trojan horse](https://en.wikipedia.org/wiki/Trojan_horse_(computing)) - Như cái tên nó được đặt, các hiệu ứng khi máy tính bị nhiễm đều được truyền cảm hứng dựa trên những cái "memes" hài hước - **MEMZ** còn được biết tới bởi payload độc nhất và phức tạp ## Nguồn gốc - **MEMZ** được tạo bởi Leurak cho 1 youtuber [Danooct1](https://www.youtube.com/@danooct1) trong loạt series Viewer-Made-Malware ## Chức năng - Các payload đó được thực hiện cùng một lúc, có một vài cái thực hiện sau một khoảng thời gian. - Khi launch, việc đầu tiên **MEMZ** làm sẽ là pop up 1 notepad với payload như sau  - Sau đó sẽ liên tục mở trình duyệt và tìm kiếm với nội dung ngẫu nhiên với đuôi [.co.ck](https://en.wikipedia.org/wiki/.ck) > chẳng hạn như là "how 2 remove a virus" hoặc "how 2 buy w33d" =))))  - Kế tiếp nó sẽ mở các ứng dụng của Microsoft chẳng hạn như Calculator, System Configuration Utility, Device Manager, Command Prompt ... - Một thời gian sau, payload khác thực thi và điều khiển con trỏ chuột khiến nó bị 'lag', giật nhẹ và bàn phím cũng sẽ tự động nhập dữ liệu ngẫu nhiên  - Đồng thời âm thanh "error" báo liên tục - Sau một khoảng thời gian ngắn nữa, màn hình liên tục bị đảo ngược màu từ chậm đến nhanh  - Tiếp đến là các icon "warning" vàng (đảo màu xanh dương) và icon "X" đỏ (đảo màu xanh bích) xuất hiện randomly  - nhiều pop up "Still using this computer?" hiện lên  - Sau đó sẽ chụp màn hình rồi scale chính nó  - Nếu ta cưỡng bức reset máy, thì phân vùng MBR (boot) lúc này đã bị overwrite nên lúc reboot sẽ hiện dòng chữ thông báo  - Rồi xuất hiện video con [Nyan Cat](https://en.wikipedia.org/wiki/Nyan_Cat) kèm nhạc =))))  >khá dui 🤡 - và đây là video kèm nhạc lấy ví dụ trên Youtube <iframe width="560" height="315" src="https://www.youtube.com/embed/dFoKx8Jnllo?si=KTY8KjB3Mb_rQocE" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe> - Nếu nỗ lực tắt **MEMZ** lúc vừa launch trong Task Manager thì chỉ khiến nó chạy nhanh hơn và pop up hàng tá thông báo **flirt** mình =)) > "You are an idiot! HA HA HA HA" > "I WARNED YOU ..." > "YOU KILLED MY TROJAN! Now you are going to die." > v.v..  - Điều gì đến rồi sẽ đến, màn hình xanh đến nhanh hơn và reboot cũng xuất hiện Nyan Cat ## Ảnh hưởng - Dữ liệu bị mất (chắc chắn rồi) - Gián đoạn hoạt động (treo, đơ hoặc không thể sử dụng) - Vì **MEMZ** được người dùng viết và thử nghiệm nên không có ảnh hưởng gì nghiêm trọng - Dùng để "trôn trôn" và quấy rối chứ không tự lan rộng ## Cách thức - Đối với con trojan này, nếu ai đó muốn phá hoại hệ thống người khác thì họ có thể đính kèm **MEMZ** với một phần mềm khác hoặc gửi email để lừa người dùng tải về và thực thi # Windows XP Horror Edition (Destructive) ## Thông tin - [Window XP Horror](https://archive.org/details/winxp.horror.destructive) là 1 dạng Jump Scare application - Ngoài ra còn được biết đến tên **WinXP.Horror.Destructive** - Có 2 phiên bản là Destructive và Peaceful > [👉link tải 1](https://github.com/WobbyChip/Delphi/raw/master/Windows%20XP%20Horror%20Edition/WindowsXPHorrorEdition.exe) (nhớ tắt Window Defender) > [👉link tải 2](https://archive.org/download/winxp.horror.destructive/WinXP.Horror.Destructive.zip) >[!Caution] Ai muốn cringe thì dùng bản Destructive >+ với link1 là tải trực tiếp file .exe >execute với parameter là `-Destructive` >còn mặc định là Peaceful >+ link2 là file .zip >extract ra gồm 2 file .exe >với link2, bản Peaceful sẽ không destroy máy tính >nhưng bản Destructive thì có ## Nguồn gốc - Được viết bởi WoobyChip và gửi đầu tiên cho một youtube [Siam Alam](https://www.youtube.com/@SiamAlamOfficial) để làm video về những con virus do viewer tạo ra ## Chức năng - Là một chương trình cải trang thành bản update Window XP giả  - khi chạy tới 66% sẽ báo lỗi và hiện pop up ``` Setup cannot copy the file ntdll.dll Setup will use the file 666.sys ```  - Khi nhấn "OK", background Window XP chuyển thành màu đỏ với content "Don't Look Behind You" và tiếp tục load đủ 100%  > cùng với nó là đi kèm nhạc [Creepy Music Box](https://www.youtube.com/watch?v=_xABEpnkht8) - Khi cán mốc 100%, màn hình lập tức bị nhiễu (glitch) nhưng trỏ chuột vẫn còn hiển thị  > cap full màn hình thì ảnh hơn 1MB, không up lên hackmd được 🥲 - Sau đó đen màn hình một chốc, rồi hiện lên màn hình startup WinXP nhưng "đính kèm" đầu lâu dòm mình   >vẫn có sound khi khởi động WinXP nhưng có phần "trầm cảm" - Sau khi vào màn hình chính, background bị thay đổi, icon gồm My Computer, Recycle Bin, 1 file `DON'T OPEN ME.txt` và 1 video `NOTHING`  - Trong khoảng thời gian đó, màn hình sẽ thay đổi background ngẫu nhiên để jump scare     - Nếu ta mở file .txt, màn hình pop up notepad thông báo sau và không có nút tắt ``` CONGRATULATION YOU OPENED ME DO YOU WANNA PLAY A GAME OKEY THEN LOOK BEHIND YOU ```  > hơi creepy 😬  - Sau đó sẽ hiện lên cảnh nhân vật bà ngoại Granny "hello kitty" bò thẳng vào màn hình và hiện lên dòng chứ “Game Over” và quay lại màn hình chính   - Về màn hình chính, file .txt sẽ bị glitch và không thể mở lại lần nữa  - File video `NOTHING` chỉ là 1 [clip](https://www.youtube.com/watch?v=KqXbz4kIWGE) kinh dị, xem xong cũng bị glitch và không thể mở lại >tương tự với Recycle Bin - Còn click vào góc trái màn hình ngay chữ "🖐️DEAD" sẽ pop up thông báo nhỏ  - Khi bấm vào icon giống avatar kế số '666' sẽ xuất hiện cánh cửa gỗ  - Click cái nữa là chị gái đầm trắng tóc dài mở cửa và 'chạy về nơi phía anh...'  - Và dòng chữ "liệm đi"  - Nếu ta click vào My Computer, sẽ pop up thông báo ``` DO YOU SERIOUSLY WANT TRASH YOUR COMPUTER FOREVER? ```  > Bịp cái là nếu bấm ++Y++es thì sẽ xóa mà bấm ++N++o cũng sẽ xóa - Sau đó có hiệu ứng icon My Computer tự di chuyển về Recycle Bin và đen màn hình + jump scare thêm 1 vài hình kinh dị - Rồi 1 cái fake red [Screen of Death](https://en.wikipedia.org/wiki/Blue_screen_of_death#Similar_screens) lặp lại 7 lần trước khi reboot hệ thống  - Nhưng vì phân vùng MBR (boot) bị overwrite nên hiện màn hình con mắt kèm dòng chữ sau ``` I'M WATCHING YOU Created by WobbyChip ```  ## Ảnh hưởng - Vì con virus này được người dùng viết và thử nghiệm nên không có ảnh hưởng gì nghiêm trọng và cũng không lây lan ## Cách thức - Nếu dùng cho mục đích phá hoại, kẻ tấn công có thể gửi con virus này đính kèm với tập tin khác và gửi qua email cho nạn nhân # Petya  ## Thông tin - [**🌐Petya**](https://en.wikipedia.org/wiki/Petya_(malware_family)) là con ransomware - 1 họ của malware mã hoá hay trojan horse - Mục tiêu là tấn công hệ thống của Microsoft Window, lây nhiễm MBR (bootloader) để thực thi payload mã hoá ổ cứng và ngăn Window khởi động - Con ransomware này yêu cầu nạn nhân thanh toán Bitcoin để lấy lại quyền truy cập hệ thống ## Nguồn gốc - Được phát hiện lần đầu tiên vào tháng 3 năm 2016, bắt nguồn từ Ukraine - Biến thể mới của **Petya** xuất hiện vào năm 2017 (được gọi là **NotPetya**), tận dụng lỗ hổng Eternal Blue của SMB (giống với **WannaCry**) để lây lan :::spoiler **NotPetya ?** - Tên của **NotPetya** bao gồm **Petya 2.0**, **ExPetr** và **GoldenEye** - **NotPetya** ghi đè lên MBR mà không thể đảo ngược được ---> Mất khả năng phục hồi Win - **NotPetya** cũng không quan tâm tới việc tạo ID cho các máy bị nhiễm nên chính hacker của **NotPetya** cũng không biết máy nạn nhân được dùng key nào ---> Mất dữ liệu - **Petya** thường sẽ yêu cầu quyền quản trị để có thể gây hại nhiều hơn - Nhưng nếu người dùng không cấp thì với con **NotPetya**, có tích hợp với ransomware **Mischa**, sẽ mã hóa toàn bộ dữ liệu của nạn nhân và yêu cầu $300 bitcoin để lấy lại dữ liệu (thực tế không lấy lại được) - Một hoạt động khác của nó là sao chép chính bản thân vào thư mục admin ẩn của máy tính khác và thực thi ==> **NotPetya** không giữ lời hứa về tiền chuộc ===> Mặc kệ nạn nhân🥲 ::: ## Chức năng - **Petya** cũng mang theo một công cụ lấy mật mã hệ điều hành giống như **Mimikatz** và **LSADump** - Khi chạy **Petya**, máy tính của nạn nhân sẽ tự động khởi động lại và sau đó mô phỏng tiến trình Check Disk, cho thấy ổ cứng như đang được sửa chữa.  - Sau đó hiện lên màn hình đỏ cùng với đầu lâu vẽ bằng kí tự ASCII  > hình ảnh nhấp nháy trắng-đỏ - Rồi hiện thông báo tất cả file đã bị mã hoá  ## Ảnh hưởng - Mục tiêu chính của cuộc tấn công này là Nga và Ukraina > nguyên nhân là do vấn đề chính trị và chiến tranh - Nhắm vào các công ty năng lượng, mạng lưới điện, trạm xe buýt, trạm xăng, sân bay, các ngân hàng và các nhà thuốc, bệnh viện. ## Cách thức - **Petya** được cải trang thành một tập tin PDF và được đính kèm trong một email gửi tới nạn nhân - DEMO: <iframe width="560" height="315" src="https://www.youtube.com/embed/y6XJXVxYWMA?si=X-6Acb9cicsb7Trb" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe> # Phương pháp tấn công tốt nhất ## Đính kèm - Yêu cầu phần mềm: - WinRAR - Virus - Tệp tin cần gửi đi - Icon của tệp cần gửi đi - Ta sẽ dùng chức năng tạo file nén SFX của WinRAR để tích hợp file virus và tệp tin cần gửi lại thành một ## DEMO ### Nén - Giả sử ta có một con virus có tên “virus.exe” in ra dòng chữ “Hello world” sau đó tự xóa chính nó và một tệp tin PPTX với icon của powerpoint - Các bước làm: 1. Các file phải cùng 1 thư mục  3. Mở WinRAR, click chọn 2 file .exe và file .pptx xong chọn "Add"  3. Rename file nén trùng với tên file cần gửi "Thuyết Trình.pptx"  4. Chọn option "Create SF++X++ archive"  5. Chuyển tab "Advanced", chọn "SF++X++ options..."  6. Chọn tab "Setup" và sửa ô "Run a++f++ter extraction" như sau ```sfx "%comspec%" /c del "%sfxname%" "virus.exe" "Thuyết Trình.pptx" ```  > xoá file nén > đồng thời chạy file virus và file pptx 7. Chọn tab "Modes" rồi chọn "++H++ide all" của mục "Silent mode"  8. Chọn tab "Update" rồi chỉnh sửa mục "Overwrite mode" thành "Overwrite a++l++l files"  9. Chọn tab "Text and icon" tại mục "Load SFX ++i++con from the file", chọn "Browse..." và tìm tới icon mà mình đã chuẩn bị  10. Bấm "OK" 2 lần để tạo file nén thực thi  ### Chia sẻ - Để chia sẻ file nén này với nạn nhân, ta có thể dùng Proton Mail để gửi email cho nạn nhân 1. Truy cập link https://ufile.io/ và upload file nén đó lên, nó sẽ tạo ra một link để chia sẻ  2. Ta vào trang https://proton.me/ và thực hiện đăng ký tài khoản free mới với username ngẫu nghiên  3. Chọn "New message" --> Điền mail người nhận --> Điền nội dung tiêu đề ---> Điền nội dung thư và chèn link vào ---> Bấm "Send" để gửi >[!Tip]Vì Proton Mail là mail uy tín nên mail đó sẽ được gửi thẳng vào mục Inbox của nạn nhân chứ không vào mục Spam >[!Warning] Khi nạn nhân tải file về và chạy là sẽ bị nhiễm virus