Phân tích mã độc Lab11-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)
Mẫu mã độc của Lab11-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
Phân tích
- Lab11-01.exe chứa một PE file nhúng trong nó, tại SECTION .rsrc, với tên TGAD
Khi thực thi, Lab11-01.exe thực hiện các thao tác:
- Trích xuất section TGAD và ghi vào file msgina32.dll trong cùng thư mục với file thực thi Lab11-01.exe
- Tạo một registry value tại HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL với giá trị là địa chỉ file msgina32.dll mà nó vừa ghi. msgina32.dll sẽ được Winlogon nạp mỗi khi hệ thống khởi động
- Kết thúc thực thi.
Trích xuất lấy file msgina32.dll và phân tích file này:
- DLL có các hàm export yêu cầu bởi GINA, với tên DLL là gina.dll
- Thực hiện ghi credential mỗi lần user log on hệ thống vào file %systemroot%\system32\msutil32.sys (tên file này là đặc trưng cho mẫu mã độc này, không được sử dụng bởi bất kỳ phần mềm nào khác)
- Thông tin credential được ghi vào msutil32.sys có dạng: MM/DD/YY HH:mm:ss – UN [Username] DM [Machine name] PW [Password] OLD (null)
Phát hiện
Lab11-01.exe có thể phát hiện bằng signature:
- 20 byte tính từ fileoffset 4310, là đoạn load section TGAD
- 20 byte tính từ fileoffset 32902, là đoạn chuỗi string lưu địa chỉ registry value và tên msgina32.dll
msgina32.dll có thể phát hiện bằng signature:
- 20 byte tính từ fileoffset 1163, là đoạn nạp msgina.dll của Windows. Các hàm export của msgina32.dll sẽ trỏ tới vị trí các hàm export tương ứng của msgina.dll
- 20 byte tính từ fileoffset 2295, là đoạn ghi log vào file msutil32.sys mỗi lần user logon
Gỡ bỏ
- Xóa file Lab11-01.exe, thêm msgina32.dll như mã độc liên quan
- Xóa registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
- Kill handle và xóa file msgina32.dll
- Xóa file %systemroot%\system32\msutil32.sys (dùng hàm WinAPI GetSystemDirectory)
Tổng hợp phân tích mã độc Lab 09 =>> CLICK NGAY