Keylogger & Ransomware

Linux Malware

1. Keylogger

2. Ransomware

Ransomware là một loại mã độc được thiết kế để mã hóa (hoặc khóa) dữ liệu trên hệ thống của nạn nhân, sau đó yêu cầu tiền chuộc để giải mã (hoặc mở khóa) dữ liệu. Mục tiêu của những kẻ tấn công thường là cá nhân, doanh nghiệp, hoặc thậm chí các tổ chức chính phủ. Có nhiều loại ransomware khác nhau, mỗi loại có đặc điểm và phương thức hoạt động riêng. Dưới đây là một số loại ransomware phổ biến:

Crypto Ransomware: Mã hóa dữ liệu cá nhân hoặc tập tin quan trọng trên máy nạn nhân và yêu cầu tiền chuộc để giải mã. Đây là loại ransomware phổ biến nhất.
Locker Ransomware: Khóa quyền truy cập của người dùng vào máy tính hoặc thiết bị của họ, thay vì chỉ mã hóa tập tin. Nạn nhân có thể không thể sử dụng máy tính cho đến khi trả tiền chuộc.
Scareware: Mặc dù không phải là ransomware theo nghĩa truyền thống, scareware bao gồm phần mềm giả mạo bảo mật hoặc thông báo cảnh báo giả mạo, yêu cầu người dùng trả tiền để "sửa chữa" vấn đề không tồn tại.
Doxware (hoặc Leakware): Dọa sẽ công bố thông tin cá nhân hoặc dữ liệu nhạy cảm của nạn nhân lên mạng internet nếu không nhận được tiền chuộc.
RaaS (Ransomware as a Service): Một dạng phân phối ransomware qua mô hình dịch vụ, nơi các kẻ tấn công cung cấp ransomware dưới dạng dịch vụ cho các đối tượng khác. Những kẻ mua dịch vụ này sau đó tự thực hiện các cuộc tấn công và chia sẻ một phần lợi nhuận với nhà cung cấp.
Double Extortion Ransomware: Ngoài việc mã hóa dữ liệu và yêu cầu tiền chuộc để giải mã, loại ransomware này còn dọa sẽ công bố dữ liệu đã bị đánh cắp trước khi mã hóa nếu nạn nhân từ chối trả tiền.
Mobile Ransomware: Được thiết kế đặc biệt để tấn công các thiết bị di động như điện thoại thông minh và máy tính bảng. Thường xuyên lây nhiễm qua ứng dụng độc hại hoặc qua lỗ hổng bảo mật trên thiết bị.

Các giai đoạn của một cuộc tấn công Ransomware

Nguồn: IBM

Một cuộc tấn công bằng ransomware thường diễn ra qua các giai đoạn sau:

Stage 1: Initial access: Các vector truy cập phổ biến nhất cho các cuộc tấn công ransomware tiếp tục là phishing và khai thác lỗ hổng.
Stage 2: Post-exploitation: Tùy thuộc vào vector truy cập ban đầu, giai đoạn thứ hai này có thể liên quan đến một công cụ truy cập từ xa (RAT) trung gian hoặc malware trước khi thiết lập quyền truy cập tương tác.
Stage 3: Understand and expand: Trong giai đoạn tấn công thứ ba này, kẻ tấn công tập trung vào việc hiểu hệ thống địa phương và miền mà họ hiện có quyền truy cập. Các kẻ tấn công cũng làm việc để truy cập vào các hệ thống và miền khác (được gọi là di chuyển ngang).
Stage 4: Data collection and exfiltration: Ở đây, nhà điều hành ransomware chuyển trọng tâm sang việc xác định dữ liệu có giá trị và rò rỉ (đánh cắp) nó, thường là bằng cách tải xuống hoặc xuất một bản sao cho chính họ. Mặc dù kẻ tấn công có thể rò rỉ bất kỳ và tất cả dữ liệu mà họ có thể truy cập, họ thường tập trung vào dữ liệu đặc biệt có giá trị—thông tin đăng nhập, thông tin cá nhân của khách hàng, sở hữu trí tuệ—mà họ có thể sử dụng cho các cuộc tấn công tống tiền kép.
Stage 5: Deployment and sending the note: Ransomware mã hóa bắt đầu xác định và mã hóa tệp tin. Một số ransomware mã hóa cũng vô hiệu hóa các tính năng khôi phục hệ thống, hoặc xóa hoặc mã hóa bản sao lưu trên máy tính hoặc mạng lưới của nạn nhân để tăng áp lực buộc phải trả tiền để nhận khóa giải mã. Ransomware không mã hóa khóa màn hình thiết bị, làm tràn ngập thiết bị bằng các cửa sổ pop-up hoặc ngăn chặn nạn nhân sử dụng thiết bị theo cách khác.
Sau khi tệp đã được mã hóa hoặc thiết bị đã bị vô hiệu hóa, ransomware thông báo cho nạn nhân về sự nhiễm độc. Thông báo này thường xuất hiện thông qua một tệp .txt được đặt trên màn hình desktop của máy tính hoặc qua một cửa sổ pop-up. Thông điệp yêu cầu tiền chuộc chứa hướng dẫn về cách thức thanh toán, thường bằng tiền ảo hoặc một phương thức khó theo dõi tương tự. Việc thanh toán được đổi lấy khóa giải mã hoặc khôi phục hoạt động bình thường.

Cơ cấu hoạt động:

Đầu tiên, tạo ngẫu nhiên ra một cặp khóa bất đối xứng (RSA, ECC,...).
Sử dụng khóa công khai của hacker để mã hóa khóa bí mật vừa được gen ra.
Tiến hành duyệt qua tất cả các file trong thư mục cần mã hóa (có tìm đệ quy)
Sử dụng AES_256_CBC để mã hóa các file sao cho:
- Mỗi file sẽ được mã hóa bằng key và iv được gen ra ngẫu nhiên.
- Lưu đường dẫn tuyệt đối của file, key và iv tương ứng vào 1 file json để sử dụng cho quá trình giải mã.
- Ứng với mỗi file, key trước khi lưu sẽ được mã hóa sử dụng khóa công khai được gen ra từ đầu

-> Muốn giải mã phải lấy key và iv từ file json. Key được mã hóa bằng khóa công khai đc gen -> phải sử dụng khóa bị mật được gen từ đầu để giải mã. Tuy nhiên, khóa này đã bị mã hóa sử dụng khóa công khai của hacker -> nếu không có khóa bí mật của hacker thì không thể giải mã được -> Trả tiền để lấy mã.

Note:

PreviousLinux Internal NextHook & Inject

Last updated 11 months ago

2. Ransomware

Crypto Ransomware: Mã hóa dữ liệu cá nhân hoặc tập tin quan trọng trên máy nạn nhân và yêu cầu tiền chuộc để giải mã. Đây là loại ransomware phổ biến nhất.

Locker Ransomware: Khóa quyền truy cập của người dùng vào máy tính hoặc thiết bị của họ, thay vì chỉ mã hóa tập tin. Nạn nhân có thể không thể sử dụng máy tính cho đến khi trả tiền chuộc.

Scareware: Mặc dù không phải là ransomware theo nghĩa truyền thống, scareware bao gồm phần mềm giả mạo bảo mật hoặc thông báo cảnh báo giả mạo, yêu cầu người dùng trả tiền để "sửa chữa" vấn đề không tồn tại.

Doxware (hoặc Leakware): Dọa sẽ công bố thông tin cá nhân hoặc dữ liệu nhạy cảm của nạn nhân lên mạng internet nếu không nhận được tiền chuộc.

RaaS (Ransomware as a Service): Một dạng phân phối ransomware qua mô hình dịch vụ, nơi các kẻ tấn công cung cấp ransomware dưới dạng dịch vụ cho các đối tượng khác. Những kẻ mua dịch vụ này sau đó tự thực hiện các cuộc tấn công và chia sẻ một phần lợi nhuận với nhà cung cấp.

Double Extortion Ransomware: Ngoài việc mã hóa dữ liệu và yêu cầu tiền chuộc để giải mã, loại ransomware này còn dọa sẽ công bố dữ liệu đã bị đánh cắp trước khi mã hóa nếu nạn nhân từ chối trả tiền.

Mobile Ransomware: Được thiết kế đặc biệt để tấn công các thiết bị di động như điện thoại thông minh và máy tính bảng. Thường xuyên lây nhiễm qua ứng dụng độc hại hoặc qua lỗ hổng bảo mật trên thiết bị.

Các giai đoạn của một cuộc tấn công Ransomware

Nguồn: IBM

Một cuộc tấn công bằng ransomware thường diễn ra qua các giai đoạn sau:

Stage 1: Initial access: Các vector truy cập phổ biến nhất cho các cuộc tấn công ransomware tiếp tục là phishing và khai thác lỗ hổng.

Stage 2: Post-exploitation: Tùy thuộc vào vector truy cập ban đầu, giai đoạn thứ hai này có thể liên quan đến một công cụ truy cập từ xa (RAT) trung gian hoặc malware trước khi thiết lập quyền truy cập tương tác.

Stage 3: Understand and expand: Trong giai đoạn tấn công thứ ba này, kẻ tấn công tập trung vào việc hiểu hệ thống địa phương và miền mà họ hiện có quyền truy cập. Các kẻ tấn công cũng làm việc để truy cập vào các hệ thống và miền khác (được gọi là di chuyển ngang).

Stage 4: Data collection and exfiltration: Ở đây, nhà điều hành ransomware chuyển trọng tâm sang việc xác định dữ liệu có giá trị và rò rỉ (đánh cắp) nó, thường là bằng cách tải xuống hoặc xuất một bản sao cho chính họ. Mặc dù kẻ tấn công có thể rò rỉ bất kỳ và tất cả dữ liệu mà họ có thể truy cập, họ thường tập trung vào dữ liệu đặc biệt có giá trị—thông tin đăng nhập, thông tin cá nhân của khách hàng, sở hữu trí tuệ—mà họ có thể sử dụng cho các cuộc tấn công tống tiền kép.

Stage 5: Deployment and sending the note: Ransomware mã hóa bắt đầu xác định và mã hóa tệp tin. Một số ransomware mã hóa cũng vô hiệu hóa các tính năng khôi phục hệ thống, hoặc xóa hoặc mã hóa bản sao lưu trên máy tính hoặc mạng lưới của nạn nhân để tăng áp lực buộc phải trả tiền để nhận khóa giải mã. Ransomware không mã hóa khóa màn hình thiết bị, làm tràn ngập thiết bị bằng các cửa sổ pop-up hoặc ngăn chặn nạn nhân sử dụng thiết bị theo cách khác.

Sau khi tệp đã được mã hóa hoặc thiết bị đã bị vô hiệu hóa, ransomware thông báo cho nạn nhân về sự nhiễm độc. Thông báo này thường xuất hiện thông qua một tệp .txt được đặt trên màn hình desktop của máy tính hoặc qua một cửa sổ pop-up. Thông điệp yêu cầu tiền chuộc chứa hướng dẫn về cách thức thanh toán, thường bằng tiền ảo hoặc một phương thức khó theo dõi tương tự. Việc thanh toán được đổi lấy khóa giải mã hoặc khôi phục hoạt động bình thường.

Cơ cấu hoạt động:

Đầu tiên, tạo ngẫu nhiên ra một cặp khóa bất đối xứng (RSA, ECC,...).

Sử dụng khóa công khai của hacker để mã hóa khóa bí mật vừa được gen ra.

Tiến hành duyệt qua tất cả các file trong thư mục cần mã hóa (có tìm đệ quy)

Sử dụng AES_256_CBC để mã hóa các file sao cho:

Mỗi file sẽ được mã hóa bằng key và iv được gen ra ngẫu nhiên.
Lưu đường dẫn tuyệt đối của file, key và iv tương ứng vào 1 file json để sử dụng cho quá trình giải mã.
Ứng với mỗi file, key trước khi lưu sẽ được mã hóa sử dụng khóa công khai được gen ra từ đầu

Note: