Mục lục bài viết || Contents of the article

    Phân tích mã độc Lab11-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

    Mẫu mã độc của Lab11-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    • Lab11-01.exe chứa một PE file nhúng trong nó, tại SECTION .rsrc, với tên TGAD

    lab111

    Khi thực thi, Lab11-01.exe thực hiện các thao tác:

    • Trích xuất section TGAD và ghi vào file msgina32.dll trong cùng thư mục với file thực thi Lab11-01.exe

    lab112

    • Tạo một registry value tại HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL với giá trị là địa chỉ file msgina32.dll mà nó vừa ghi. msgina32.dll sẽ được Winlogon nạp mỗi khi hệ thống khởi động
    • Kết thúc thực thi.

    Trích xuất lấy file msgina32.dll và phân tích file này:

    • DLL có các hàm export yêu cầu bởi GINA, với tên DLL là gina.dll
    • Thực hiện ghi credential mỗi lần user log on hệ thống vào file %systemroot%\system32\msutil32.sys (tên file này là đặc trưng cho mẫu mã độc này, không được sử dụng bởi bất kỳ phần mềm nào khác)

    lab113

    • Thông tin credential được ghi vào msutil32.sys có dạng: MM/DD/YY HH:mm:ss – UN [Username] DM [Machine name] PW [Password] OLD (null)

    lab114

    Phát hiện

    Lab11-01.exe có thể phát hiện bằng signature:

    • 20 byte tính từ fileoffset 4310, là đoạn load section TGAD

    lab115

    • 20 byte tính từ fileoffset 32902, là đoạn chuỗi string lưu địa chỉ registry value và tên msgina32.dll

    lab116

    msgina32.dll có thể phát hiện bằng signature:

    • 20 byte tính từ fileoffset 1163, là đoạn nạp msgina.dll của Windows. Các hàm export của msgina32.dll sẽ trỏ tới vị trí các hàm export tương ứng của msgina.dll

    lab117

    • 20 byte tính từ fileoffset 2295, là đoạn ghi log vào file msutil32.sys mỗi lần user logon

    lab118

    Gỡ bỏ

    • Xóa file Lab11-01.exe, thêm msgina32.dll như mã độc liên quan
    • Xóa registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

    lab119

    • Kill handle và xóa file msgina32.dll
    • Xóa file %systemroot%\system32\msutil32.sys (dùng hàm WinAPI GetSystemDirectory)

    lab1120

    Tổng hợp phân tích mã độc Lab 09 =>> CLICK NGAY

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...