Đợt rồi lọ mọ kiếm sample phục vụ cho một project nhỏ của mấy anh em trong team VReT, vô tình “nhặt” được một sample cũng hay hay, do:
- Có nội dung liên quan chính trị, khả năng sử dụng để targeted attacks.
- Áp dụng CVE-2017-0199 để lây nhiễm mã độc lên máy nạn nhân.
Hash của sample: 7b65b7f4678e9b915640d41d38151621076d4f539b677b0e3f98971547d68fd0
Dùng file/ Trid để kiểm tra thông tin sample (để khẳng định chắc chắn nó là định dạng RTF):
Fig 1
Fig 2
Thử chuyển đổi sang định dạng PDF để xem qua nội dung:
Fig 3
Đọc thấy nội dung chuẩn bị có vẻ công phu lắm… 
Hiện nay, có hai công cụ của hai chuyên gia nổi tiếng dùng để phân tích file có định dạng RTF là:
rtfdumpcủa Didier Stevens (link: https://blog.didierstevens.com/2017/02/25/update-rtfdump-py-version-0-0-5/)rtfobj(thuộc bộ công cụoletools) của Philippe Lagadec (link: https://github.com/decalage2/oletools/wiki/rtfobj)
Sử dụng rtfdump, sau khi parse file, công cụ phát hiện có object data được nhúng tại vị trí 1201:
Fig 4
Tiếp tục dùng rtfdump, lựa chọn vị trí 1201 để dump, thêm tùy chọn –H để decode và xem dưới dạng hexa, -i để in ra các thông tin liên quan tới object tại vị trí được lựa chọn:
Fig 5
Theo thông tin thì object được nhúng có định dạng là OLE file:
Fig 6
Sử dụng tùy chọn –d để dump, ta có được thông tin:
Fig 7
Như vậy, khi mở tài liệu này nó sẽ tự động kết nối và download một tập tin khác tại hxxps://cdn-gmirror.appspot.com/template.rtf. Thử download tập tin template.rtf (tính đến thời điểm viết bài):
Fig 8
Kiểm tra file vừa tải về, trid báo unknown còn file báo định dạng là HTML chứ không phải là RTF:
Fig 9
Mở file bằng một trình Text Editor, thấy đây là một VBScript, thực hiện việc gọi powershell để download file tại hxxps://tp-qbm.appspot.com/icon.png và lưu với tên là unikey.exe tại hai thư mục là “%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup” và “%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup”:
Fig 10
Thử download file tại hxxps://tp-qbm.appspot.com/icon.png, tính đến thời điểm viết bài thì file này không còn nữa:
Fig 11
End.
m4n0w4r
