Mục lục bài viết || Contents of the article

    Sau khi phân tích về mã độc Practical Malware Analysis Lab14-01 bài viết này chuyên gia Securitybox tiếp tục Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab14-02.

    Phân tích mã độc Lab14-02 trong cuốn sách Practical Malware Analysis

    Practical Malware Analysis: https://nostarch.com/malware

    Mẫu mã độc của Lab14-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    Lab14-02.exe thực hiện các hành vi:

    Tạo 2 thread gửi và nhận dữ liệu thông qua HTTP, dữ liệu được mã hóa bởi một thuật toán Base64 riêng.

    lab1421

    lab1422

    Thread nhận dữ liệu HTTP thực hiện truy vấn HTTP GET http://127.0.0.1/tenfour.html, sử dụng UA là “Internet Surf”

    lab1423

    Trong hàm ReadHTTP (sub_4015C0), nếu đọc được chuỗi “exit” trong dữ liệu nhận được từ http://127.0.0.1/tenfour.html, mã độc sẽ thoát thread.

    lab1424

    Thread gửi dữ liệu HTTP gửi tín hiệu truy vấn HTTP GET http://127.0.0.1/tenfour.html, sử dụng UA là một chuỗi mã hóa custom Base64.

    lab1425

    Custom alphabet dùng để giải mã Base64:

    abcccc

    Sử dụng công cụ Custom Alphabet Base64 Decoder của Malware Tracker, được kết quả UA sau khi giải mã nhìn giống như màn hình của một cmd được gọi từ WorkingDirectory của tiến trình độc hại.

    lab1426

    lab1427

    Có thể kết luận mã độc thực hiện một reverse shell thông qua kết nối HTTP. Trước khi kết thúc, mã độc thực hiện xóa file thực thi của chính nó.

    lab1428

    Phát hiện

    • 20 byte từ file offset 1941, là đoạn code kiểm tra thao tác tạo thread StartAddress_BackdoorFunction và kết thúc thực thi/xóa file thực thi nếu không tạo thread thành công

    lab1429

    • 20 byte từ file offset 2391, là đoạn gọi hàm CustomBase64 mã hóa UA và thực hiện kết nối tới URL 127.0.0.1/tenfour.html trong hàm StartAddress_BackdoorFunction

    lab14210

    Gỡ bỏ

    lab14211

    Tổng hợp chuyên đề phân tích mã độc =>> XEM NGAY

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...