Mục lục bài viết || Contents of the article

    Trong bài viết phân tích mã độc Lab03-03 và Lab03-04 Chuyên gia an ninh mạng của SecurityBox đã hướng dẫn chi tiết các bạn cách phát hiện, phân tích và gỡ bỏ 2 mã độc trên. Bài viết lần này sẽ đi sâu phân tích, phát hiện và gỡ bỏ mã độc  Practical Malware Analysis Lab03-01.

    Đón đọc chuyên đề phân tích mã độc từ chuyên gia tại: https://securitybox.vn/blog/

    Phân tích mã độc Lab03-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

    Mẫu mã độc của Lab03-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    • Lab03-01.exe packed bằng PEncrypt 3.1. Ta thử phân tích động trước khi quyết định có cần thực hiện phân tích tĩnh trên mẫu này hay không. Các công cụ được sử dụng: Sysinternals ProcMon, Regshot, Wireshark/NetMon.

    Khi được thực thi, mã độc lần lượt thực hiện các thao tác sau:

    • Tạo một Mutex với tên WinVMX32 để đảm bảo tại một thời điểm chỉ có một instance của mã độc được thực thi trong hệ thống.

    lab311

    • Copy file thực thi của chính nó vào thư mục C:\WINDOWS\system32 với tên vmx32to64.exe

    Lab312

    lab313

    • Tạo một registry value tại HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run với tên VideoDriver, giá trị trỏ tới C:\WINDOWS\system32\vmx32to64.exe

    lab314

    • Thực hiện truy vấn DNS cho địa chỉ www.practicalmalwareanalysis.com (192.0.78.25, 192.0.78.24)
    • Gửi tới 192.0.78.25:443 hoặc 192.0.78.24:443 256 byte dữ liệu ngẫu nhiên, nhận về 2 gói 186 và 1233 byte. Lặp lại chu trình gửi-nhận trên sau mỗi 30s.

    lab315

    Với các hành vi trên, Lab03-01 có thể được sử dụng như một bot, liên tục gửi tín hiệu về C&C server để thông báo rằng nó vẫn hoạt động và sẵn sàng chờ lệnh từ C&C server (thực tế Lab03-01.exe chỉ gửi và nhận tín hiệu ngẫu nhiên mà không có hành vi độc hại nào dựa trên dữ liệu nhận được từ C&C server).

    Phát hiện

    Phát hiện Lab03-01 bằng signature:

    • 20 byte từ file offset 520 (208h), là hàm start trong .text section.

    lab316

    • 20 byte từ 5878 (16F6h), là vị trí hard-coded string “vmx32to64.exe”.

    lab318

    Gỡ bỏ

    • Kill handle, sau đó xóa file thực thi Lab03-01.exe và C:\WINDOWS\system32\vmx32to64.exe. Đường dẫn thư mục system32 không được hard-coded mà phải dùng hàm WinAPI GetSystemDirectory().
    • Xóa registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver.lab319

     XEM THÊM: PHÂN TÍCH MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB01-01

    Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM TẠI ĐÂY

    Bài viết liên quan || Related posts

    Bài viết đề xuất || Recommended
    Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...
    Tính năng sản phẩm | 23/03/2021

    Địa chỉ: || Address: Tầng 9, số 459 Đội Cấn, Ba Đình, Hà Nội || Floor 9, No. 459 Doi Can, Ba Dinh, Hanoi

    Điện thoại: || Phone number: 092 711 8899

    Email: info@securitybox.vn

    Thông tin tuyển dụng || Recruitment

    Điều khoản sử dụng || Terms of Use