Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab11-03

Mục lục bài viết || Contents of the article

SecurityBox tiếp tục gửi đến các bạn Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab11-03 qua bài viết dưới đây

Phân tích

Lab11-03 gồm các file Lab11-03.exe và Lab11-03.dll

Lab 11-03.dll export hàm duy nhất với tên zzz69806582

Lab11-03.exe thực hiện các hành vi:

Copy Lab11-03.dll vào thư mục System32 với tên C:\WINDOWS\System32\inet_epar32.dll (hard-coded, tên file này đặc trưng cho mã độc này và không được dùng bởi bất cứ DLL sạch nào)

lab1131

Sửa đổi section .text của file C:\WINDOWS\System32\cisvc.exe (hard-coded). (cisvc.exe là trình quản lý dịch vụ đánh chỉ mục trên Windows XP hoặc Windows Server 2003. Như vậy, mã độc chỉ chạy đúng trên các phiên bản Windows XP-based hoặc Server 2003-based). Lab11-03.exe thêm đường dẫn của inet_epar32.dll và tên hàm zzz69806582 vào cuối segment IMPORT Hints/Names & DLL Names trong section .text của file C:\WINDOWS\System32\cisvc.exe (312 bytes shellcode tính từ fileoffset E28)

lab1132

Chạy lệnh “net start cisvc” để khởi chạy service cisvc
Mỗi khi service cisvc khởi chạy, cisvc.exe sẽ nạp inet_epar32.dll

inet_epar32.dll khi được nạp sẽ thực hiện các hành vi:

Tạo một thread mới gọi chính nó
Log hoạt động của user vào file C:\WINDOWS\System32\kernel64x.dll (hard-coded) với định dạng “[Current Windows Title]: [Virtual-Key Codes]”

lab1133

Sleep trong 0.01s giữa mỗi lần ghi file

lab1134

Service cisvc khởi chạy dưới chế độ manual, tức là sau khi reboot hệ thống, logger không tự động thực thi, có thể xóa trực tiếp các file inet_epar32.dll và kernel64x.dll

Phát hiện

Lab11-03.exe có thể phát hiện bằng signature:

20 byte tính từ file offset 4450, là đoạn code tìm kiếm section .text của file cisvc.exe để sửa file.

lab1135

20 byte tính từ file offset 4873, là đoạn gọi hàm sửa file từ hàm main

lab1136

Lab11-03.dll có thể phát hiện bằng signature:

20 byte tính từ file offset 4374, là một phần của đoạn memcpy Virtual-Key Code trong hàm KeyLog

lab1137

20 byte tính từ file offset 5104, là đoạn ghi dữ liệu keylog vào file kernel64x.dll và sleep 0.01s.

lab1138

Gỡ bỏ

Xóa file Lab11-03.exe

lab1139

Kill handle và xóa Lab11-03.dll hoặc C:\WINDOWS\System32\inet_epar32.dll
Kill handle và xóa C:\WINDOWS\System32\kernel64x.dll
Kill handle và sửa 312 byte shellcode tính từ fileoffset E28 (3624) của file C:\WINDOWS\System32\cisvc.exe bằng 312 byte 0 (0x00) (có thể sửa trực tiếp bằng fileoffset mà không cần tìm vị trí cuối segment IMPORT Hints/Names & DLL Names trong section .text của file vì mã độc được thiết kế cụ thể để sửa đổi file này)

lab11320

XEM THÊM: Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab11-02

Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab11-01

Bài viết liên quan || Related posts

Bài viết đề xuất || Recommended

Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?

Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...

Kiến thức | 24/03/2021

Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa

Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp. 1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...

Kiến thức | 24/03/2021

Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp

Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...

Tính năng sản phẩm | 23/03/2021