Một phân tích kỹ thuật gần đây về một biến thể Lockbit ransomware ESXi đã hé lộ nhiều kỹ thuật trốn tránh tinh vi và chi tiết hoạt động nhằm vào các máy chủ Linux dựa trên ESXi.

Mã độc tống tiền Lockbit ESXi: Kỹ thuật chống phân tích

Mã độc này, được ghi nhận lần đầu vào năm 2022, sử dụng lệnh gọi hệ thống ptrace để phát hiện môi trường gỡ lỗi.

Nó thực hiện điều này bằng cách cố gắng gắn vào tiến trình cha của chính nó.

Nếu nỗ lực này thất bại, thường là do một trình theo dõi (tracer) hiện có như gdb hoặc strace, chương trình sẽ thoát ngay lập tức.

Đây là một kỹ thuật evasive quan trọng nhằm ngăn chặn các nỗ lực phân tích động.

Vượt qua cơ chế chống phân tích

Các nhà phân tích có thể vượt qua kỹ thuật này bằng cách vá các bước nhảy có điều kiện trong trình gỡ lỗi.

Một phương pháp khác là sửa đổi trực tiếp binary để đảm bảo việc thực thi không điều kiện, giúp tiếp tục quá trình phân tích.

Giải mã chuỗi và khám phá thông tin ẩn

Sau bước kiểm tra chống gỡ lỗi, mã độc sẽ giải mã các chuỗi sử dụng một thuật toán XOR cuộn đơn giản.

Thuật toán này áp dụng giá trị cơ sở cố định là 0x39 (tương đương 57 trong hệ thập phân) cho từng byte, tiếp tục cho đến khi gặp ký tự kết thúc null.

Quá trình giải mã này hé lộ nhiều yếu tố quan trọng.

Bao gồm một menu trợ giúp, các ghi chú tống tiền, các lệnh bash để quản lý máy ảo, và các thông báo nhật ký chi tiết.

Điều này đơn giản hóa đáng kể quá trình phân tích ngược tiếp theo của Lockbit ransomware ESXi.

Tối ưu hóa phân tích mã

Bằng cách gỡ lỗi thông qua các quy trình này và trích xuất dữ liệu đã giải mã, các nhà nghiên cứu có thể đổi tên các tham chiếu chuỗi trong các công cụ như IDA Pro.

Phương pháp này cho phép ánh xạ hiệu quả chức năng của binary mà không cần viết kịch bản phức tạp.

Kiểm soát luồng và tham số cấu hình

Luồng điều khiển của mã độc tập trung vào một hàm phân tích đối số dòng lệnh (argv).

Hàm này xử lý các đối số thông qua cấu trúc switch-case, cho phép cấu hình các thông số quan trọng.

Các thông số này bao gồm ngưỡng kích thước tệp cho quá trình mã hóa, các chế độ ghi log, và các phần mở rộng tệp đích.

Đáng chú ý, nó bao gồm một menu trợ giúp tích hợp sẵn.

Menu này cung cấp thông tin chi tiết về các tùy chọn cho việc biến thành daemon, xóa không gian trống, và tạm dừng máy ảo.

Thông tin này vô tình hỗ trợ các kỹ sư đảo ngược hiểu rõ logic phân nhánh của mã độc.

Tính năng ghi log mạnh mẽ của mã độc Lockbit

Cơ chế ghi log của Lockbit ransomware ESXi rất mạnh mẽ.

Nó cung cấp các tùy chọn để vô hiệu hóa hoàn toàn chức năng ghi log.

Hoặc ghi nhật ký vào tệp /tmp/locklog, hoặc xuất cả vào tệp và đầu ra chuẩn (stdout).

Các thông báo nhật ký được định dạng với dấu thời gian, ID luồng, và các đối số thông báo.

Theo báo cáo phân tích, tính năng chi tiết này bộc lộ phần lớn hành vi của mã độc, chẳng hạn như các thông báo về quá trình mã hóa tệp.

Tham khảo báo cáo đầy đủ tại: Hack&Cheese – LockBit 3.0 ESXi analysis.

Cơ chế duy trì và xóa dữ liệu của Lockbit ransomware ESXi

Chế độ Daemon và tránh trùng lặp

Để đảm bảo tính dai dẳng, tùy chọn daemon tách biệt tiến trình bằng cách sử dụng hàm daemon của libc.

Việc này tạo ra tệp /tmp/locker.pid với một khóa độc quyền để ngăn chặn nhiều thể hiện chạy cùng lúc.

Điều này đảm bảo Lockbit ransomware ESXi hoạt động đơn lẻ cho đến khi hoàn thành nhiệm vụ.

Tính năng xóa không gian trống

Tính năng xóa dữ liệu trống nhằm gây khó khăn cho việc khôi phục pháp y.

Nó thực hiện điều này bằng cách phân tích đầu ra của lệnh df -h để xác định các điểm gắn kết (mount points).

Sau đó, nó tạo ra các luồng (threads) để ghi các khối dữ liệu chứa toàn số 0 vào các tệp tạm thời.

Quá trình này dựa trên các số liệu thống kê hệ thống tệp từ hàm fstatvfs.

Mục tiêu và hành vi cụ thể trên ESXi

Nhắm mục tiêu vào môi trường ESXi, mã độc sẽ xác minh sự hiện diện của các công cụ như vm-support, vmdumper và vim-cmd trước khi tiếp tục hoạt động.

Nếu bất kỳ công cụ nào bị thiếu, mã độc sẽ thoát và hiển thị menu trợ giúp.

Mã độc kích hoạt SSH thông qua lệnh vim-cmd hostsvc/enable_ssh.

Tuy nhiên, nó không thiết lập các cấu hình backdoor bổ sung như thêm khóa rogue SSH.

Tạm dừng máy ảo và mã hóa

Để thực hiện mã hóa, mã độc tạm dừng các máy ảo đang chạy bằng các lệnh vmdumper.

Nó sẽ thử lại lên đến chín lần cho mỗi ID world, trừ khi cờ nostop được đặt, trong trường hợp đó nó sẽ bỏ qua các máy đang hoạt động.

Các thư mục được liệt kê bằng vm-support --listvms, sau đó được lọc dựa trên danh sách loại trừ.

Cuối cùng, chúng được mã hóa thông qua các lệnh gọi đa luồng tới glob và các quy trình tùy chỉnh.

Cơ chế mã hóa tệp mạnh mẽ của Lockbit ransomware ESXi

Mã hóa tệp tận dụng thư viện libsodium được liên kết tĩnh cho việc tạo khóa và niêm phong (sealing).

Một khóa ngẫu nhiên 128-bit được tạo cho mỗi tệp bằng randombytes_buf.

Sau đó, khóa này được niêm phong trong một crypto_box thông qua crypto_box_seal với một khóa công khai được mã hóa cứng.

Khóa công khai này sau đó được nối vào tệp đã mã hóa.

Cách tiếp cận bất đối xứng này bảo vệ các khóa đối xứng, hạn chế tiện ích của việc trích xuất bộ nhớ đối với từng tệp riêng lẻ.

Thuật toán mã hóa AES tùy chỉnh

Thuật toán mã hóa cốt lõi, được xác định thông qua so khớp đồ thị thủ công mặc dù chữ ký FLIRT tự động thất bại, là một biến thể AES tối ưu hóa.

Biến thể này sử dụng S-box Rijndael và bốn bảng T (T-tables) kích thước 1024 byte để tra cứu hiệu quả.

Những thành phần này được lấy từ các triển khai mã nguồn mở.

Thông báo tống tiền và khuyến khích tấn công nội bộ

Sau khi mã hóa, các ghi chú tống tiền được đặt tên là !!!-Restore-My-Files-!!! sẽ được thả vào các thư mục bị ảnh hưởng.

Các ghi chú này khoe khoang về tốc độ mã hóa và đưa ra các khuyến khích cho các cuộc tấn công nội bộ thông qua Tox.

Phân tích này làm nổi bật sự kết hợp giữa sự đơn giản trong tương tác với máy ảo của mã độc (dựa vào các lệnh bash được thực thi qua popen hoặc system) và sự phức tạp trong việc sử dụng mật mã.

Điều này nhấn mạnh sự phát triển của các mối đe dọa Linux vượt ra ngoài các botnet tập trung vào IoT, đặc biệt với các biến thể mã độc tống tiền như Lockbit ransomware ESXi.