Mục lục bài viết || Contents of the article

    Ở bài viết lần trước bạn đọc đã cùng chuyên gia an ninh mạng SecurityBox Nguyễn Việt Anh tìm hiểu, phân tích, cách phát hiện và cách gỡ bỏ mã độc Practical Malware Analysis Lab03-03. Tiếp tục đồng hành cùng SecurityBox phân tích, phát hiện và tìm hiểu gỡ bỏ mã độc Practical Malware Analysis Lab03-04 trong bài viết dưới đây nhé.

    Phân tích mã độc Lab03-04 trong cuốn Practical Malware Analysis

    Practical Malware Analysis: https://nostarch.com/malware

    Mẫu mã độc của Lab03-04 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    • Lab03-04 gồm 1 file .EXE là Lab03-04.exe, không packed
    • Lab03-04.exe chỉ thực thi các hành vi độc hại khi được cấp đúng tham số đầu vào và password. Password là “abcd”. Các tham số đầu vào cơ bản bao gồm “-in”, “-re”, “-c”, “-cc”. Nếu các tham số ban đầu và password cung cấp sai, mã độc tự xóa file thực thi của chính nó sau đó kết thúc thực thi. Ta có thể đặt tên cho file thực thi của mã độc với bất cứ tên gì. Trong bài phân tích, tên file thực thi được giữ nguyên là “Lab03-04.exe”.

    Lab03-04.exe -in abcd:

    • Các registry key mà mã độc tạo:

                  + HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS (chú ý ký tự SPACE trong subkey “Microsoft ”) với một value có tên là Configuration chứa dữ liệu là các giá trị string “ups”, “http://www.practicalmalwareanalysis.com”, “80”, “60”

    lab341             + HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\X với value DisplayName là “X Manager Service” và ImagePath là “%SYSTEMROOT%\system32\X.exe”, với X là Tên File Thực Thi không kèm tên mở rộng. Registry key này là kết quả gián tiếp sau khi mã độc thực hiện hàm CreateService, tạo một autostart service.

    • Copy file thực thi X.exe vào thư mục %SYSTEMROOT%\system32 với tên giữ nguyên là X.exe (khi detect/disinfect phải lấy %SYSTEMROOT%\system32)
    • Copy giá trị FileTime của C:\Windows\system32\kernel32.dll và dùng giá trị FileTime đó set cho C:\Windows\system32\X.exe (timestomping)lab342
    • Với tham số đầu vào “-in abcd”, mã độc thực hiện chức năng như một backdoor: Kết nối internet với tham số lấy trong registry value Configuration (host www.practicalmalwareanalysis.com, port 80), lệnh điều khiển lấy từ file ngẫu nhiên xxxx/xxxx.xxx. Các lệnh điều khiển là: SLEEP, UPLOAD, DOWNLOAD, CMD, NOTHING.
    • Ví dụ, với file thực thi đặt tên là Lab03-04.exe, mã độc tạo registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lab03-04, với value DisplayName là Lab03-04 Manager Service và ImagePath là “%SYSTEMROOT%\system32\Lab03-04.exe”.

    lab343

    Lab03-04.exe -re abcd:

    • Mã độc gỡ bỏ autostart service mà nó tạo với tham số đầu vào “-in” bằng cách xóa registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lab03-04.
    • Xóa file %SYSTEMROOT%\system32\Lab03-04.exe
    • Xóa dữ liệu trong value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS\Configuration
    • Nếu thao tác xóa dữ liệu của registry value trên không thành công, mã độc cố gắng xóa registry key đó.

    Lab03-04.exe -c abcd chibi cute meow lovely:

    • Với tham số đầu vào “-c”, mã độc yêu cầu các tham số sau đó phải là password và 4 tham số phụ khác (trường hợp này, mã độc sử dụng tổng cộng 7 tham số dòng lệnh), các tham số phụ này đặt tùy ý.
    • Gọi hàm phân giải các tham số 3, 4, 5, 6 (chibi, cute, meow, lovely);  tạo mới/mở registry value tại HKLM\SOFWARE\Microsoft \XPS\Configuration và set dữ liệu là 4 tham số đầu vào vừa phân giải được, sau đó kết thúc thực thi

    Lab03-04.exe -cc abcd:

    • Truy vấn giá trị của registry value HKLM\SOFWARE\Microsoft \XPS\Configuration và in kết quả ra màn hình

    Phát hiện

    Lab03-04.exe có thể phát hiện bằng signature:

    • 20 byte tính từ file offset 9525 (2535h), là đoạn kiểm tra password trong tham số đầu vào

    lab344

    • 20 byte tính từ file offset 49225 (C049h), là một phần của giá trị hard-coded string “SOFWARE\Microsoft \XPS\Configuration”

    lab345

    Gỡ bỏ

    • Xóa file thực thi của mã độc
    • Vì file thực thi có thể được đặt bất cứ tên gì. Ta phải lấy tên file (không tính phần tên mở rộng) ghép vào đường dẫn “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\” và “%SYSTEMROOT%\system32\” để xóa registry key và file thực thi tương ứng.
    • Dùng hàm WinAPI GetSystemDirectory() để lấy giá trị đường dẫn %SYSTEMROOT%
    • Xóa registry key “HKLM\SOFWARE\Microsoft \XPS”

    lab346

     XEM THÊM: PHÂN TÍCH MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB01-01

    Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM TẠI ĐÂY

    Bài viết liên quan || Related posts

    Bài viết đề xuất || Recommended
    Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...
    Tính năng sản phẩm | 23/03/2021

    Địa chỉ: || Address: Tầng 9, số 459 Đội Cấn, Ba Đình, Hà Nội || Floor 9, No. 459 Doi Can, Ba Dinh, Hanoi

    Điện thoại: || Phone number: 092 711 8899

    Email: info@securitybox.vn

    Thông tin tuyển dụng || Recruitment

    Điều khoản sử dụng || Terms of Use