Phân tích mã độc Lab11-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab11-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

• Lab11-01.exe chứa một PE file nhúng trong nó, tại SECTION .rsrc, với tên TGAD

Khi thực thi, Lab11-01.exe thực hiện các thao tác:

• Trích xuất section TGAD và ghi vào file msgina32.dll trong cùng thư mục với file thực thi Lab11-01.exe

• Tạo một registry value tại HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL với giá trị là địa chỉ file msgina32.dll mà nó vừa ghi. msgina32.dll sẽ được Winlogon nạp mỗi khi hệ thống khởi động
• Kết thúc thực thi.

Trích xuất lấy file msgina32.dll và phân tích file này:

• DLL có các hàm export yêu cầu bởi GINA, với tên DLL là gina.dll
• Thực hiện ghi credential mỗi lần user log on hệ thống vào file %systemroot%\system32\msutil32.sys (tên file này là đặc trưng cho mẫu mã độc này, không được sử dụng bởi bất kỳ phần mềm nào khác)

• Thông tin credential được ghi vào msutil32.sys có dạng: MM/DD/YY HH:mm:ss – UN [Username] DM [Machine name] PW [Password] OLD (null)

Phát hiện

Lab11-01.exe có thể phát hiện bằng signature:

• 20 byte tính từ fileoffset 4310, là đoạn load section TGAD

• 20 byte tính từ fileoffset 32902, là đoạn chuỗi string lưu địa chỉ registry value và tên msgina32.dll

msgina32.dll có thể phát hiện bằng signature:

• 20 byte tính từ fileoffset 1163, là đoạn nạp msgina.dll của Windows. Các hàm export của msgina32.dll sẽ trỏ tới vị trí các hàm export tương ứng của msgina.dll

• 20 byte tính từ fileoffset 2295, là đoạn ghi log vào file msutil32.sys mỗi lần user logon

Gỡ bỏ

• Xóa file Lab11-01.exe, thêm msgina32.dll như mã độc liên quan
• Xóa registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

• Kill handle và xóa file msgina32.dll
• Xóa file %systemroot%\system32\msutil32.sys (dùng hàm WinAPI GetSystemDirectory)

Tổng hợp phân tích mã độc Lab 09 =>> CLICK NGAY