Mục lục bài viết || Contents of the article

    Cùng chuyên gia an ninh mạng của SecurityBox tìm hiểu về cách phân tích, phát hiện và gỡ bỏ mã độc lab09-01 qua bài viết dưới đây.

    Phân tích mã độc Lab09-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

    Mẫu mã độc của Lab09-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    • Lab09-01.exe chỉ thực thi các hành vi độc hại khi được cấp đúng tham số đầu vào và password. Password là “abcd”. Các tham số đầu vào cơ bản bao gồm “-in”, “-re”, “-c”, “-cc”. Nếu các tham số ban đầu hoặc password cung cấp sai, mã độc tự xóa file thực thi của chính nó sau đó kết thúc thực thi. Ta có thể đặt tên cho file thực thi của mã độc với bất cứ tên gì. Trong bài phân tích, tên file thực thi được giữ nguyên là “Lab09-01.exe”.

    Lab09-01.exe -in abcd:

    • Các registry key mà mã độc tạo:

                   + HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS (chú ý ký tự SPACE trong subkey “Microsoft ”) với một value có tên là Configuration chứa dữ liệu là các giá trị string “ups”, “http://www.practicalmalwareanalysis.com”, “80”, “60”

    lab91

                   + HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lab09-01 với value DisplayName là “Lab09-01 Manager Service” và ImagePath là “%SYSTEMROOT%\system32\Lab09-01.exe”. Registry key này là kết quả gián tiếp sau khi mã độc thực hiện hàm CreateService, tạo một autostart service.

    • Copy file thực thi Lab09-01.exe vào thư mục %SYSTEMROOT%\system32 với tên giữ nguyên
    • Copy giá trị FileTime của C:\Windows\system32\kernel32.dll và dùng giá trị FileTime đó set cho C:\Windows\system32\Lab09-01.exe (kỹ thuật timestomping)

    lab92

    • Với tham số đầu vào “-in abcd”, mã độc thực hiện chức năng như một backdoor: Kết nối internet với tham số lấy trong registry value Configuration (host www.practicalmalwareanalysis.com, port 80), lệnh điều khiển lấy từ file ngẫu nhiên xxxx/xxxx.xxx. Các lệnh điều khiển là: SLEEP, UPLOAD, DOWNLOAD, CMD, NOTHING.

    lab93

    Lab09-01.exe -re abcd:

    • Mã độc gỡ bỏ autostart service mà nó tạo với tham số đầu vào “-in” bằng cách xóa registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lab09-01.
    • Xóa file %SYSTEMROOT%\system32\Lab09-01.exe
    • Xóa dữ liệu trong value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS\Configuration
    • Nếu thao tác xóa dữ liệu của registry value trên không thành công, mã độc cố gắng xóa registry key đó.

    Lab09-01.exe -c abcd chibi cute meow lovely:

    • Với tham số đầu vào “-c”, mã độc yêu cầu các tham số sau đó phải là password và 4 tham số phụ khác (trường hợp này, mã độc sử dụng tổng cộng 7 tham số dòng lệnh), các tham số phụ này đặt tùy ý.
    • Gọi hàm phân giải các tham số 3, 4, 5, 6 (chibi, cute, meow, lovely);  tạo mới/mở registry value tại HKLM\SOFWARE\Microsoft \XPS\Configuration và set dữ liệu là 4 tham số đầu vào vừa phân giải được, sau đó kết thúc thực thi

    Lab09-01.exe -cc abcd:

    • Truy vấn giá trị của registry value HKLM\SOFWARE\Microsoft \XPS\Configuration và in kết quả ra màn hình

    Phát hiện

    Lab09-01.exe có thể phát hiện bằng signature:

    • 20 byte tính từ file offset 9525 (2535h), là đoạn kiểm tra password trong tham số đầu vào

    lab94

    • 20 byte tính từ file offset 49225 (C049h), là một phần của giá trị hard-coded string “SOFWARE\Microsoft \XPS\Configuration”

    lab95

    Gỡ bỏ

    • Xóa file thực thi của mã độc
    • Vì file thực thi có thể được đặt bất cứ tên gì. Ta phải lấy tên file (không tính phần tên mở rộng) ghép vào đường dẫn “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\” và “%SYSTEMROOT%\system32\” để xóa registry key và file thực thi tương ứng.
    • Dùng hàm WinAPI GetSystemDirectory() để lấy giá trị đường dẫn %SYSTEMROOT%
    • Xóa registry key “HKLM\SOFWARE\Microsoft \XPS”

    lab96

    Xem chuyên đề phân tích mã độc TẠI ĐÂY

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...