Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab03-02

Mục lục bài viết || Contents of the article

Bài viết dưới đây sẽ giúp bạn đọc quan tâm đến công nghệ thông tin, virus máy tính hay mã độc hiểu sâu về Lab03-02. Bài viết là kết quả quá trình nghiên cứu và tìm hiểu của chuyên gia an ninh mạng SecurityBox, đi sâu phân tích về mã độc LAB 03-02: cách phát hiện, cách nhận biết và gỡ bỏ mã độc này.

Phân tích mã độc Lab03-02 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab03-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

Practical Malware Analysis Lab03-02 chỉ gồm file Lab03-02.DLL
Cài đặt: rundll32.exe Lab03-02.dll,installA
Sau khi được cài đặt, mã độc tạo một registry key tại HKLM\SYSTEM\CurrentControlSet\Services\IPRIP, cài đặt service IPRIP.

lab321

Service này sử dụng DisplayName là “Intranet Network Awareness (INA+)”, ImagePath là “%SystemRoot%\System32\svchost.exe -k netsvcs”, ServiceDll là đường dẫn tới file Lab03-02.dll

lab322

Như vậy, sau mỗi lần hệ thống khởi động, sẽ luôn có một tiến trình svchost.exe nạp Lab03-02.dll

lab323

XEM THÊM: Phân tích mã độc Lab 03-03

Khi được nạp bởi một tiến trình svchost.exe, mã độc Lab03-02.dll thực hiện các hành vi:

Truy vấn DNS cho practicalmalwareanalysis.com. Tại thời điểm phân tích, kết quả truy vấn DNS trả về là 192.0.78.25 và 192.0.78.24.
Kết nối tới hai địa chỉ trên, sử dụng giao thức HTTP (80), gửi request GET file /serve.html với UA có dạng [ComputerName + Windows XP 6.11] (giá trị “Windows XP 6.11” được hard-coded

lab324

Tại thời điểm phân tích, HTTP response cho request GET /serve.html là 301, Moved permanently.
Trong trường hợp GET /serve.html thành công, mã độc đọc và giải mã (Base64 chuẩn) HTML comment từ file serve.html để nhận password thực thi các chức năng backdoor

Nếu các kết nối trên không thành công, ngủ 10 phút và lặp lại kết nối.

Phát hiện

Phát hiện Lab03-02.dll bằng signature:

20 byte từ vị trí 20340 (4F74h), là các lệnh thực thi tương ứng với dữ liệu nhận được từ practicalmalwareanalysis.com/serve.html

lab325

20 byte từ vị trí 15158 (3B36h), là đoạn chuẩn bị giá trị ServiceName IPRIP

lab326

Gỡ bỏ

Xóa registry key HKLM\SYSTEM\CurrentControlSet\Services\IPRIP
Kill handle và xóa file Lab03-02.dll.

lab327

Theo dõi những bài viết về mã độc từ chuyên gia an ninh mạng TẠI ĐÂY

Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM TẠI ĐÂY

Bài viết liên quan || Related posts

Bài viết đề xuất || Recommended

Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?

Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...

Kiến thức | 24/03/2021

Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa

Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp. 1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...

Kiến thức | 24/03/2021

Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp

Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...

Tính năng sản phẩm | 23/03/2021