Mục lục bài viết || Contents of the article

    Phân tích mã độc Lab12-04 trong cuốn sách Practical Malware Analysis

    Practical Malware Analysis: https://nostarch.com/malware

    Mẫu mã độc của Lab12-04 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    Section resource của Lab12-04.exe chứa shell code được gán nhãn BIN 101.

    lab1241

    Lab12-04.exe thực hiện các hành vi:

    • Duyệt tất cả các process, tìm kiếm process Winlogon.exe, gọi hàm SfcTerminateWatcherThread nhằm disable Windows File Protection và chiếm đặc quyền process Winlogon.exe bằng cách đặt quyền SeDebugPrivilege

    Lab1242

    • Nếu thao tác trên thực hiện thành công, sửa tên WindowsDirectory\system32\wupdmgr.exe thành TempPath\winup.exe
    • Trích xuất shell code BIN 101 và ghi vào file WindowsDirectory\system32\wupdmgr.exe
    • Thực thi file WindowsDirectory\system32\wupdmgr.exe thông qua hàm WinExec.

    lab1243

    Shell code BIN 101 (WindowsDirectory\system32\wupdmgr.exe giả mạo) thực hiện các hành vi:

    • Thực thi file TempPath\winup.exe (là Windows Update Manager của Windows, sau khi bị chuyển sang thư mục TempPath) thông qua hàm WinExec. Khi user chạy Windows Update Manager, chương trình này hoạt động như bình thường

    lab1244

    • Download file http://www.practicalmalwareanalysis.com/updater.exe và ghi vào WindowsDirectory\system32\wupdmgrd.exe thông qua hàm URLDownloadToFile, sau đó thực thi WindowsDirectory\system32\wupdmgrd.exe.

    lab1245

    • Tại thời điểm phân tích, file http://www.practicalmalwareanalysis.com/updater.exe không còn tồn tại (HTTP response 301 Moved Permanently) nên mã độc wupdmge.exe kết thúc thực thi mà không thể thực hiện hành vi tải về và ghi file wupdmgrd.exe

    Phát hiện

    Lab12-04.exe có thể phát hiện bằng signature:

    • 20 byte từ fileoffset 4495, là đoạn cài đặt quyền SeDebugPrivilege đối với Winlogon.exe

    lab1246

    • 20 byte từ fileoffset 4758, là đoạn tìm kiếm resource section BIN 101 để trích xuất ra file wupdmgr.exe giả mạo

    lab1247

    File wupdmgr.exe (shellcode) có thể phát hiện bằng signature:

    • 20 byte từ fileoffset 4257, là đoạn gọi thực thi Temp\winup.exe mỗi lần mã độc khởi chạy

    lab1248

    • 20 byte từ fileoffset 4353, là đoạn download file updater.exe

    lab1249

    Gỡ bỏ

    • Xóa bỏ Lab12-04.exe, thêm WindowsDirectory\system32\wupdmgr.exe như mã độc liên quan

    lab12450

    • Nếu phát hiện file wupdmgr.exe giả mạo, xóa nó và nếu nó nằm trong WindowsDirectory\system32, chuyển TempPath\winup.exe về WindowsDirectory\system32\wupdmgr.exe, nếu không khôi phục file thành công, trả về FAIL; cố gắng xóa file WindowsDirectory\system32\wupdmgrd.exe

    12451

    Xem Thêm: Phân tích mã độc Lab TẠI ĐÂY

    Bài viết liên quan || Related posts

    Bài viết đề xuất || Recommended
    Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...
    Tính năng sản phẩm | 23/03/2021

    Địa chỉ: || Address: Tầng 9, số 459 Đội Cấn, Ba Đình, Hà Nội || Floor 9, No. 459 Doi Can, Ba Dinh, Hanoi

    Điện thoại: || Phone number: 092 711 8899

    Email: info@securitybox.vn

    Thông tin tuyển dụng || Recruitment

    Điều khoản sử dụng || Terms of Use