giới thiệu - pwc.com · pdf filechóng gây ảnh hưởng mạnh mẽ đến...
TRANSCRIPT
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
1
Giới thiệu
Mới đây, ngày 27/06/2017, một làn sóng mã độc mới - Petya ransomware - sau khi bùng phát đã nhanh
chóng gây ảnh hưởng mạnh mẽ đến hầu hết các tổ chức thuộc những ngành công nghiệp trọng điểm. Nhiều
tổ chức bị tấn công được ghi nhận tại Ukraine, Tây Ban Nha, Hà Lan, và Anh. Sự việc này gợi nhắc đến cuộc
tấn công an ninh mạng toàn cầu WannaCry xảy ra vào tháng 05/2017. Mã độc Petya khác ở phương thức
tấn công trên nhiều cấp độ khác nhau, khi thực thi với quyền admin, hệ thống bị mã hóa sector khởi động
MBR (Master Boot Record); với quyền người dùng bình thường, Petya mã hóa các tập tin cụ thể trên hệ
thống. Mã độc này cũng dùng một số phương pháp khác để đảm bảo lây lan đến nhiều thiết bị khác.
Chúng tôi đánh giá rất có khả năng cuộc tấn công đầu tiên diễn ra tại một công ty phần mềm ở Ukraina
chuyên về phần mềm kế toán cho doanh nghiệp tư nhân và nhà nước. Phần mềm này được tích hợp dịch
vụ cập nhật tự động và sẽ thường xuyên kết nối đến các máy chủ để yêu cầu cập nhật. Bản cập nhật phần
mềm mới nhất có chứa mã độc được thực hiện như một phần của bản cập nhật. Khi đó, mã độc sẽ lây lan
qua hệ thống mạng của nạn nhân (như VPN và mạng chia sẻ) và các bên thứ ba bằng hàng loạt các phương
pháp, nhưng chủ yếu là qua sector khởi động SMB (Server Message Block) thông qua khai thác lỗi
EternalBlue.
Hiện tại, chúng tôi chưa có bằng chứng rõ ràng về việc ransomware đã lây nhiễm qua e-mail hoặc các trang
web độc hại có chủ đích (strategic web compromise) hay chưa.
Cập nhật từ ngày 28 tháng 6
Sau báo cáo đầu tiên vào ngày hôm qua, chúng tôi đã xác định một chức năng kiểm tra có trong Petya có
thể ngăn mã độc này thực thi. Khi tập tin đầu tiên bị lây nhiễm, chức năng kiểm tra sẽ được thực thi để tìm
tập tin "perfc.dat" trong thư mục: "C:\Windows\". Nếu tìm thấy tập tin này, mã độc sẽ không chạy như bình
thường mà hiển thị lỗi như hình 1. Tập tin này không nhất thiết phải chứa nội dung cụ thể mà có khi chỉ cần
tồn tại trên hệ thống như một tập tin "read only". Mặc dù nhiều nguồn tin gọi đây là "Killswitch" nhưng chúng
tôi đánh giá thuật ngữ trên không chính xác trong trường hợp này, vì tập tin này sẽ không làm cho tiến trình
mã hóa đang thực hiện bị dừng lại mà việc mã hóa hệ thống chỉ được ngăn chặn khi tập tin tồn tại trước lúc
hệ thống bị lây nhiễm. Việc ngăn chặn như trên có thể không áp dụng được trong các phiên bản mã độc
tương lai, ví dụ nếu phiên bản cập nhật mới của mã độc thay đổi việc truy vấn đến tập tin perfc.dat, việc
thực hiện killswitch sẽ không ngăn được phần mềm mã độc thực thi.
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
2
Hình 1 - Thông báo lỗi được hiển thị nếu hiện diện perfc.dat
Chúng tôi cũng xác nhận sự tồn tại của việc khai thác lỗ hổng EternalBlue ở địa chỉ 0x10005A7E trong tập
tin nhị phân ban đầu (initial binary). Chức năng này mở socket nhiều lần, sau đó truy vấn đến một chức năng
tại địa chỉ offset 0x10003CA0 để thực hiện lệnh XOR tới kernel shellcode với 0xCC và thực thi. Petya sử
dụng phương thức này để lây lan qua các port 139, 445. Hình 2 miêu tả hoạt động của khối shellcode tại địa
chỉ 0x1001123B0.
Hình 2 - 0x10003D80 XOR loop
Một bản chỉnh sửa của công cụ Mimikatz cũng được tích hợp vào trong tập tin nhị phân Petya, công cụ
Mimikatz này sẽ được lưu trữ trong thư mục /AppData/Local/Temp, cố gắng chiếm quyền để thu thập các
thông tin đăng nhập của máy bị nhiễm. Thêm vào đó, chúng tôi đã xác định các lệnh WMIC được dùng bởi
Petya như sau:
wbem\wmic.exe %s /node:"%ws" /user:"%ws" /password:"%ws"
process call create "C:\Windows\System32\rundll32.exe \"
C:\Windows\%s\" #1 \\%s\admin$ \\%ws\admin$\%ws
Những câu lệnh trên được sử dụng thông tin đăng nhập có được từ Mimikatz cho việc kết nối tới hệ thống,
tạo ra một tiến trình trên máy bị kết nối và thực thi tập tin Petya bằng rundll32.exe. Petya sẽ thử kết nối tới
tất cả các mạng chia sẻ bằng những tài khoản có quyền admin.
Chúng tôi đã phát hiện ra một số liên kết khác giữa phiên bản Petya này và một số mẫu cũ hơn như việc
đảm bảo hệ thống phải khởi động lại cũng như mã hóa MBR/MFT thông qua shutdown.exe và
NtRaiseHardError.
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
3
Khuyến nghị chiến lược
Ransomware hiện đang trở thành một mối đe dọa ngày càng phổ biến, số lượng các biến thể được thiết kế
có chủ đích nhắm vào hệ thống mạng doanh nghiệp ngày càng tăng nhanh. Bất chấp việc bùng nổ mạnh mẽ
của ransomware này, các doanh nghiệp hoàn toàn có thể thiết lập chiến lược để giảm thiểu khả năng bị tấn
công, hạn chế mức độ thiệt hại cũng như đảm bảo việc phục hồi hệ thống diễn ra nhanh chóng và hiệu quả.
Các chiến lược này được kết hợp từ nhiều khía cạnh của công tác vận hành và đảm bảo an toàn thông tin
cho hệ thống. Chủ yếu liên quan tới các yếu tố sau:
Lập kế hoạch và diễn tập đảm bảo hệ thống vận hành liên tục - Đảm bảo các hệ thống người dùng cá
nhân và các máy chủ trọng yếu có thể được khôi phục nhanh chóng từ những bản sao lưu, và tần suất sao
lưu được sắp xếp theo khung thời gian của dữ liệu mà tổ chức đã chuẩn bị trước trong trường hợp hệ thống
bị mã hóa dữ liệu.
Lập kế hoạch phòng chống và phản ứng trước sự cố - Đảm bảo có những quy trình chuẩn, theo đó nhân
viên cùng những người chịu trách nhiệm quản lý sự cố có mức độ ưu tiên cao trong tổ chức có thể xử lý các
vấn đề liên quan đến ransomware và khả năng khôi phục các dịch vụ cần thiết cho nhân viên cũng như khách
hàng.
Chính sách bảo mật chặt chẽ và nâng cao nhận thức người dùng - Ngăn chặn ransomware xâm nhập
vào hệ thống IT thông qua những kênh kết nối phổ biến, phishing, qua việc áp dụng kiểm soát chặt chẽ đối
với email gateways và các phân vùng mạng, tăng cường các hoạt động nâng cao nhận thức về an toàn thông
tin của nhân viên.
Quản lý bản vá và lỗ hổng - Những lỗ hổng bị khai thác trong cuộc tấn công này đã được khắc phục bằng
các bản vá mà Microsoft công bố vào tháng 3 và trong tuần này. Một quy trình quản lý lỗ hổng hiệu quả sẽ
giúp giảm thiểu các dạng tấn công tương tự.
Khuyến nghị ưu tiên và một số lưu ý
Ban Giám đốc nên đảm bảo rằng các nhóm quản lý vận hành hệ thống CNTT và máy tính người dùng
được hỗ trợ đầy đủ để triển khai nhanh các bản cập nhật bảo mật quan trọng tháng 4 và tháng 5 của
Microsoft cùng với bản cập nhật bảo mật MS17-010;
Ban Giám đốc nên xem xét các khuyến nghị của nhóm quản lý hệ thống CNTT về việc bảo mật hệ thống
có thể làm gián đoạn tạm thời một số dịch vụ CNTT khi áp dụng các kiểm soát bổ sung nhằm vô hiệu các
lỗ hổng, theo đó nhóm CNTT cần thực hiện kế hoạch nhằm:
o Vô hiệu hóa tất cả các truy cập dịch vụ SMB bên ngoài (chặn các cổng 137, 139 và 445 đến/
từ Internet);
o Vô hiệu hoá việc sử dụng các giao thức chia sẻ file mạng SMBv1 trên toàn bộ hệ thống CNTT;
o Vô hiệu hóa khả năng thực hiện các macro không xác thực trong tài liệu Office, sử dụng các
thiết lập chính sách nhóm (và chứng thực macro của doanh nghiệp);
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
4
o Đảm bảo xác thực hai yếu tố được áp dụng cho tất cả các truy cập vào hệ thống cần thiết
(chẳng hạn như VPN và RDP);
o Xác định và thiết lập ngăn chặn tất cả các kết nối từ những hệ thống chưa được cập nhật bản
vá MS17-010 vào hệ thống chính của doanh nghiệp. Những phân đoạn mạng không dành cho
vận hành hệ thống nên được ngăn cách hoàn toàn khỏi hệ thống chính;
o Đảm bảo hệ thống phòng chống mã độc của doanh nghiệp được cập nhật đầy đủ dữ liệu
phòng chống mã độc;
o Bất cứ hệ thống nào bị nhiễm mã độc cần được tách ly hoàn toàn ra khỏi môi trường vận hành
doanh nghiệp.
PwC không bao giờ khuyến khích việc trả tiền chuộc khi bị ransomware tấn công trừ khi đó là mối đe dọa
tới tính mạng. Việc trả tiền chuộc chỉ giúp thúc đẩy việc tấn công bằng ransomware, tài trợ phát triển các
kỹ thuật và chiến dịch.
Phân tích kỹ thuật
Hiện tại các phương hướng lây nhiễm của đợt bùng phát Ransomware mới nhất chưa được xác định rõ.
Nếu thực thi dưới quyền Administrator, mã độc sẽ mã hóa Master Boot Record (MBR) nhưng không mã hóa
tập tin trong ổ đĩa. Việc MBR bị mã hóa sẽ khiến người dùng không thể nào khởi động lại hệ thống một theo
cách bình thường và màn hình sẽ hiển thị với thông điệp từ Ransomware.Tuy nhiên khi hoạt động với quyền
của người dùng bình thường, mã độc chỉ mã hóa những loại tập tin nhất định (loại tập tin được thiết kế ở
phụ lục A), hành vi đặc trưng Goldeneye.
Tập tin nhị phân với thông số đặc trưng như sau:
Mã MD5: 71b6a493388e7d0b40c83ce903bc6b04
Mã SHA1: 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
Dung lượng tập tin: 362,360 bytes
Trình biên dịch: Microsoft Visual C/C++ 2010
Linker: Microsoft Linker 10
Đầu tiên, mã độc sẽ xác minh hệ điều hành đang vận hành của nạn nhân là 32 bit hoặc 64 bit. Nếu đây là
một hệ điều hành Windows 64 bit, mã độc sẽ tải phiên bản tương thích vào thư mục AppData\Local\Temp
theo định dạng .tmp. Tập tin có thể được nhận biết dựa trên những thông số đặc trưng sau:
Mã MD5: 7e37ab34ecdcc3e77e24522ddfd4852d
Mã SHA1: 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
Dung lượng tập tin: 56320 bytes
Trình biên dịch: Microsoft Visual C/C++ 2010
Linker: Microsoft Linker 10
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
5
Đáng nói nhất là khoảng thời gian mà thư viện liên kết động sử dụng cho cuộc tấn công và mã payload được
biên dịch chỉ cách nhau 12 ngày (x64 DLL: 2017-06-06, mã độc: 2017-06-18). Theo đánh giá của chúng tôi,
chiến dịch phát tán mã độc này đã được lên kế hoạch cách đó vài tuần trước đợt bùng phát.
Hình 3 là tập tin DLL nguyên gốc có chứng chỉ số không hợp lệ, được sao chép từ các công cụ Sysinternals
của Microsoft và ký vào ngày 27 tháng 04 năm 2010.
Hình 3 - Chữ kí số được sử dụng và mạo nhận được tạo ra từ ‘Microsoft Corporation’
Vì định dạng ban đầu là một tập tin DLL nên việc thực thi chỉ có thể được thực hiện thông qua chương trình
rundll32.exe bằng câu lệnh sau:
rundll32.exe perfc.dat #1
Những câu lệnh sau sẽ được sử dụng khi mã độc thực thi:
wevtutil cl Setup wevtutil cl
System wevtutil cl Security
wevtutil cl Application fsutil
usn deletejournal /D C:
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
6
Hình 4 – Những lệnh được sử dụng cho việc xóa log và vô hiệu hóa USN Journal
Wevutil là một chương trình được Microsoft sử dụng cho việc xử lý log và tham số ‘cl’ được dùng cho tác vụ
xóa log. Trong trường hợp này, mã độc đã xóa hầu hết log (cài đặt, hệ thống, an ninh và ứng dụng) nhằm
mục đích che giấu những hành động của mình trên hệ thống. Tiếp theo chương trình fsutil được sử dụng để
xóa và vô hiệu hóa hoàn toàn tính năng USN Journal trên máy bị nhiễm. Nói cách khác, hệ thống sẽ không
thể tác động lên ổ đĩa cũng như nội dung trong đó, gần như loại bỏ khả năng khôi phục dữ liệu sau thời điểm
tấn công.
Mã độc sẽ thiết lập một lịch trình tác vụ cho việc tắt hệ thống và diễn ra trong vòng một tiếng sau khi các lệnh
trên thực thi hoàn thành.
Một tập tin dllhost.data (mã MD5: aeee996fd3484f28e5cd85fe26b6bdcd) sẽ được tải xuống thư mục
%WINDIR%, đây chính là một phiên bản của ứng dụng PSEXEC - một ứng dụng quản trị sử dụng cho việc
thực thi các lệnh từ xa. Chúng tôi đã quan sát được việc quét toàn bộ các máy trong cùng lớp mạng để tìm
ra thư mục admin được chia sẻ với những câu lệnh sau:
\\%\s\admin$
\\%\s\admin%w$
Đây chính là một trong những phương thức mà mã độc sử dụng trong việc lây nhiễm ra toàn bộ hệ thống.
Thêm vào đó, còn có những bằng chứng cho thấy ứng dụng wmic cũng đã bị lợi dụng cho việc lây nhiễm:
wbem\wmic.exe %s /node:"%ws" /user:"%ws" /password:"%ws" process call create
“C:\Windows\System32\rundll32.exe \”C:\Windows\%s\”
Với mục đích gia tăng sự lây nhiễm trong hệ thống, mã độc còn rà soát toàn bộ lớp mạng để tìm kiếm các
máy đang chạy dịch vụ SMB (ports 139, 445) và khai thác lỗ hổng trên dịch vụ này tương tự như WannaCry
và EternalBlue.
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
7
Những thông số đặc trưng
Tên tập tin:
dllhost.dat
Mã băm:
71b6a493388e7d0b40c83ce903bc6b04
a1d5895f85751dfe67d19cccb51b051a
7e37ab34ecdcc3e77e24522ddfd4852d
e285b6ce047015943e685e6638bd837e
2813d34f6197eb4df42c886ec7f234a1
Email:
wowsmith123456@posteo[.]net
URL cho việc trả tiền:
http://mischapuk6hyrn72.onion/
http://petya3jxfp2f7g3i.onion/
http://mischa5xyix2mrhd.onion/MZ2MMJ
http://mischapuk6hyrn72.onion/MZ2MMJ
http://petya3jxfp2f7g3i.onion/MZ2MMJ
http://petya3sen7dyko2n.onion/MZ2MMJ
http://petya3sen7dyko2n.onion/
Các luật phát hiện trên IDS:
alert http any any -> any any (msg:"[PwC] Crimeware - Petya Ransomware - OPTIONS /";
flow:established,from_client; urilen:1; content:"OPTIONS"; http_method; content:"DavClnt";
http_user_agent; content:"translate: f|0d 0a|"; http_header; pcre:"/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-
9]{1,3}$/W";
reference:md5,07250ff40d5f112217a0f7831379f54c3daff24bd628d06b046b21b038d683c9;
classtype:trojan-activity; metadata:copyright,Copyright PwC UK 2017; metadata:tlp amber;
metadata:confidence High; metadata:efficacy Unknown; sid:9000199; rev:2017062701;)
alert http any any -> any any (msg:"[PwC] Crimeware - Petya Ransomware - OPTIONS /admin$";
flow:established,from_client; urilen:7; content:"/admin$"; http_uri; content:"OPTIONS"; http_method;
content:"Microsoft-WebDAV-MiniRedir";
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
8
http_user_agent; content:"translate: f|0d 0a|"; http_header; pcre:"/^[0-9]{1,3}\.[0-
9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/W";
reference:md5,07250ff40d5f112217a0f7831379f54c3daff24bd628d06b046b21b038d683c9;
classtype:trojan-activity; metadata:copyright,Copyright PwC UK 2017; metadata:tlp amber;
metadata:confidence High; metadata:efficacy Unknown; sid:9000200; rev:2017062701;)
alert http any any -> any any (msg:"[PwC] Crimeware - Petya Ransomware - PROPFIND /admin$";
flow:established,from_client; urilen:7; content:"/admin$"; http_uri; content:"PROPFIND"; http_method;
content:"Microsoft-WebDAV-MiniRedir"; http_user_agent; content:"translate: f|0d 0a|"; http_header;
content:"Depth: 0|0d
0a|"; http_header; content:"Content-Length: 0|0d 0a|"; http_header; pcre:"/^[0-
9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/W";
reference:md5,07250ff40d5f112217a0f7831379f54c3daff24bd628d06b046b21b038d683c9;
classtype:trojan-activity; metadata:copyright,Copyright PwC UK 2017; metadata:tlp amber;
metadata:confidence High; metadata:efficacy Unknown; sid:9000201; rev:2017062701;)
Các luật phát hiện trên Yara:
rule Petya : Ransomware
{ meta:
author = "PwC Cyber Threat Operations"
copyright = "Copyright PwC UK 2017 (C)" hash = "71b6a493388e7d0b40c83ce903bc6b04"
date = "2017-06"
tlp = "white"
description = "Identifies latest Petya/Mischa combination."
strings:
$mz = "MZ"
$s1 = "\\.\\pipe\\%ws"
$s2 = "\\%s\\admin$"
$s3 = "\\%ws\\admin$\\%ws"
$s4 = "TERMSRV/"
$s5 = "wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil
usn deletejournal /D %c:"
$x1 = "CHKDSK is repairing sector"
$x2 = "Please reboot your computer!"
$x3 = "Decrypting sector"
$x4 = "Ooops, your important files are encrypted."
$d1 = "dllhost.dat" fullword
$d2 = "bHbGcDiHpY`" fullword
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
9
$d3 = "perfc.dat" fullword
$e1 = "[email protected]"
$e2 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" fullword
Condition:
$mz at 0 and
(
all of ($s*) or 2 of ($x*) or 2 of ($d*) or any of ($e*)
)
}
rule MimiPetya : Ransomware
{
meta:
author = "PwC Cyber Threat Operations" copyright = "Copyright PwC UK 2017 (C)"
date = "2017-06" tlp = "white"
hash1 = "2813D34F6197EB4DF42C886EC7F234A1" hash2 =
"7E37AB34ECDCC3E77E24522DDFD4852D"
description = "Detects Petya using modified version of Mimikatz. Will also hit on some original
Mimikatz binaries."
strings:
//x86
//Petya version
$ = { 55 8B EC 83 E4 F8 83 EC 4C 53 56 57 33 FF 8D 44 24 18 BB ?? ?? ?? ?? 89
44 24 10 89 5C 24 14 C7 44 24 0C 07 00 00 00 39 3D ?? ?? ?? ?? }
//Original Mimikatz
$0x4023e1 = { 55 8B EC 83 E4 F8 83 EC 24 8B 55 08 8B 02 8B 4D 0C 83 64 24 04
00 83 64 24 20 00 81 7A 0C CE 0E 00 00 53 56 8B 31 57 6A 07 89 44 24 18 89 44 24 28 8B 41 08
89 44 24 2C 58 6A 1C 5F 6A 16 89 74 24 24 C7 44 24 10 25 02 00 C0 C7 44 24 1C ?? ?? ?? ?? C7
44 24 20 ?? ?? ?? ?? 8B F0 5B }
//x64
//Petya version
$ = { 48 8B C4 48 89 58 10 48 89 68 18 48 89 70 20 57 41 54 41 55 41 56 41 57
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
10
48 81 EC 30 08 00 00 45 33 FF 48 8B F9 41 8B DF 41 8B F7 41 8B EF 44 89 78 08 4C 39 79 08 }
//Original Mimikatz
$ = { 48 8B C4 48 89 58 20 4C 89 40 18 48 89 50 10 48 89 48 08 55 56 57 48 83
EC 50 45 33 DB 49 8B F0 4D 8B 40 10 48 8B 1E 4C 89 58 C0 48 8D 05 BA B8 0A 00 48 89
44 24 30 48 8B 41 08 4E 8D 0C 03 4C 89 44 24 38 4C 89 5C 24 40 48 8B EA 4C 8B D1 41 8B FB
4C 89 4C 24 20 44 39 18 }
condition
:
uint16(0) == 0x5a4d and any of them
}
Thông tin khác
Chúng tôi chuyên cung cấp các dịch vụ hỗ trợ khách hàng trong công tác phòng chống, phát hiện và ứng phó
trước các cuộc tấn công an ninh mạng ngày càng tinh vi như vi phạm dữ liệu, đánh cắp thông tinh kinh tế và
xâm nhập có chủ đích, thường được nhắc tới với tên gọi APTs. Phân tích chi tiết hơn về các chủ đề được đề
cập trong báo cáo này và những nghiên cứu tương tự khác cũng là một phần của dịch vụ threat intelligence
(TI) mà chúng tôi cung cấp. Nếu quý vị có nhu cầu biết thêm thông tin về bất kỳ chủ đề nào được thảo luận
trong đợt báo cáo cảnh báo này, vui lòng liên hệ bằng cách gửi mail đến [email protected] hoặc
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
11
Phụ lục – Các loại tập tin mục tiêu
File Type
.3ds .dwg .pst .work
.7z .eml .pvi .xls
.accdb .fdb .py .xlsx
.ai .gz .pyc .xvd
.asp .h .rar .zip
.aspx .hdd .rtf
.avhd .kdbx .sln
.back .mail .sql
.bak .mdb .tar
.c .msg .vbox
.cfg .nrg .vbs
.conf .ora .vcb
.cpp .ost .vdi
.cs .ova .vfd
.ctl .ovf .vmc
.dbf .pdf .vmdk
.disk .php .vmsd
.djvu .pmf .vmx
.doc .ppt .vsdx
.docx .pptx .vsv
Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới
12
Tài liệu này được soạn thảo bởi PricewaterhouseCoopers LLP ("PwC"), chỉ dành cho các khách hàng đã ký hợp đồng với
PwC về các dịch vụ liên quan và chỉ dành cho mục đích đã thỏa thuận cũng như theo các điều khoản đặt ra trong hợp
đồng. PwC không chịu trách nhiệm pháp lý (kể cả do sơ suất) đối với bất cứ ai liên quan đến tài liệu này. Tài liệu chỉ được
phân phối theo phân loại TLP từ nơi cung cấp, ngoài ra sẽ không được cung cấp cho bất cứ ai khác.