PHÂN TÍCH MÃ ĐỘC PRACTICAL MALWARE ANALYSIS Lab07-01

Mục lục bài viết || Contents of the article

Chuyên đề phân tích mã độc đang được rất nhiều bạn đọc yêu thích công nghệ quan tâm, SecurityBox đang nhận được rất nhiều phản hồi tích cực từ phía độc giả. Tiếp tục chuyên đề mã độc, ở bài viết này chuyên gia an ninh mạng của SecurityBox sẽ hướng dẫn các bạn phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab07-01.

Cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski : https://nostarch.com/malware

Mẫu mã độc của Lab07-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

Lab07-01 gồm 1 file Lab07-01.exe, không packed

Lab07-01.exe thực hiện các hành vi:

Đánh dấu tồn tại một instance duy nhất trong hệ thống bằng một mutex có tên HGL345
Cài đặt một autostart service với tên Malservice hoặc MalService, đường dẫn thực thi là đường dẫn tới chính file thực thi của mã độc

lab 71

Đặt một WaitableTimer tới thời điểm 0h00 ngày 1/1/2100, sau đó khóa handle và sleep khoảng 50 ngày
Tới thời điểm 0h00 1/1/2100, tạo 20 thread thực hiện một hàm có tên StartAddress

lab 72

Hàm StartAddress mở một kết nối Internet với UA là “Internet Explorer 8.0”. Không có thủ tục kiểm tra có kết nối Internet thành công hay không. Sau khi thực hiện mở một kết nối Internet, mã độc thực hiện lặp vô tận thao tác kết nối tới URL “http://www.malwareanalysisbook.com“

lab 73

Dữ liệu service Malservice được lưu trong registry key HKLM\SYSTEM\CurrentControlSet\Services\Malservice

Như vậy: Mã độc tự cài đặt service cho chính nó để tự khởi động cùng hệ thống, nó cũng có cơ chế kiểm tra xem đã có một instance nào của mình đang thực thi trên hệ thống chưa để đảm bảo tại một thời điểm chỉ có một instance được chạy, tránh gây bất thường dễ phát hiện. Mã độc chỉ tự kết thúc trong trường hợp phát hiện đã có instance khác được thực thi. Vượt qua tất cả các bước kiểm tra trên, mã độc set một đồng hồ đếm ngược rồi ngủ. Tới thời điểm 0h00 ngày 1/1/2100, mã độc tạo 20 thread, mỗi thread thực hiện lặp vô tận kết nối Internet tới URL “http://www.malwareanalysisbook.com“. Kết luận mã độc là một bot phục vụ một cuộc tấn công DoS/DDoS.

Phát hiện

Lab07-01.exe có thể phát hiện bằng signature:

20 byte tính từ fileoffset 4176, là đoạn code kiểm tra mutex để đảm bảo chỉ một instance của mã độc được thực thi trên hệ thống tại một thời điểm

lab 74

20 byte tính từ fileoffset 4462, là đoạn code điều khiển lặp vô tận thao tác tải trang malwareanalysisbook.com

lab 75

Gỡ bỏ

Xóa registry key HKLM\SYSTEM\CurrentControlSet\Services\Malservice , kill handle và xóa file thực thi Lab07-01.exe

lab 76

XEM THÊM: PHÂN TÍCH MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB01-01

Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM CHI TIẾT CHƯƠNG TRÌNH TUYỂN SINH THỰC TẬP 2018 TẠI ĐÂY

Bài viết liên quan || Related posts

Bài viết đề xuất || Recommended

Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?

Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...

Kiến thức | 24/03/2021

Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa

Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp. 1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...

Kiến thức | 24/03/2021

Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp

Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...

Tính năng sản phẩm | 23/03/2021