Mục lục bài viết || Contents of the article

    Trong những năm gần đây, Mã độc gia tăng với tốc độ chóng mặt dưới nhiều kỹ thuật tinh vi nhằm đánh cắp thông tin và kiểm soát các hệ thống trên khắp thế giới. Do đó, phân tích mã độc cũng trở thành lĩnh vực được nhiều người quan tâm. Bài viết dưới đây, SeucirtyBox sẽ hướng dẫn bạn đọc cách phân tích, phát hiện và gỡ bỏ mã độc Lab01-02.

    Phân tích mã độc Lab01-02 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

    Mẫu mã độc của Lab01-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    • Lab01-02 gồm 1 file .EXE, được pack bằng UPX 3.04. Có thể unpack file Lab01-02.exe bằng upx, sử dụng lệnh upx -d.

    lab121

    • Mã độc chỉ có hai hàm chức năng đáng chú ý:

                       + Hàm sub_401040 tạo một mutex với tên “HGL345” để đảm bảo tại một thời điểm chí có một instance duy nhất của mã độc được thực thi trong hệ thống. Sau đó mã độc tạo auto start service gọi đến chính file thực thi mã độc

    lab122

                        + Sau khi tạo auto start service, mã độc tạo một bộ hẹn giờ tới thời điểm 0h00 ngày 1/1/2100 sẽ tạo một thread mới gọi hàm StartAddress.

    lab123

                       + Hàm StartAddress thực hiện lặp vô tận thao tác kết nối tới địa chỉ “http://www.malwareanalysisbook.com” với UA là “Internet Explorer 8.0”.

    lab124

    • Mã độc tạo các registry key:

    HKLM\SYSTEM\ControlSet001\Services\Malservice

    HKLM\SYSTEM\ControlSet001\Services\Malservice\Security

    HKLM\SYSTEM\CurrentControlSet\Services\Malservice

    HKLM\SYSTEM\CurrentControlSet\Services\Malservice\Security

    • Như vậy, Lab01-02.exe được cài đặt như một bot, sử dụng bộ đếm giờ tới 0h00 ngày 1/1/2100 thực hiện một cuộc tấn công DoS/DDoS vào máy chủ web của website http://malwareanalysis.com

    Phát hiện

    Lab01-02.exe có thể được phát hiện bằng signature, lấy 20 byte từ file offset 2080 và 2436 để làm signature.

    lab125

    lab126

    Gỡ bỏ

    • Kill handle và xóa file thực thi mã độc

    Chỉ cần xóa key HKLM\SYSTEM\CurrentControlSet\Services\Malservice, key HKLM\SYSTEM\ControlSet001\Services\Malservice và service object trong Service Control Manager tự động được xóa.

    lab127

    Theo dõi đầy đủ các bài viết liên quan đến chủ đề phân tích mã độc của SecurityBox TẠI ĐÂY

    Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM TẠI ĐÂY

    Bài viết liên quan || Related posts

    Bài viết đề xuất || Recommended
    Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...
    Tính năng sản phẩm | 23/03/2021

    Địa chỉ: || Address: Tầng 9, số 459 Đội Cấn, Ba Đình, Hà Nội || Floor 9, No. 459 Doi Can, Ba Dinh, Hanoi

    Điện thoại: || Phone number: 092 711 8899

    Email: [email protected]

    Thông tin tuyển dụng || Recruitment

    Điều khoản sử dụng || Terms of Use