Mục lục bài viết || Contents of the article

    Sau khi phân tích mã độc Lab14 , chuyên gia Securitybox tiếp tục gửi đến bạn đọc Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab15-02

    Phân tích mã độc Lab15-02 trong cuốn sách Practical Malware Analysis

    Practical Malware Analysis: https://nostarch.com/malware

    Mẫu mã độc của Lab15-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    Lab15-02.exe thực hiện các hành vi:

    • Truy vấn đến http://practicalmalwareanalysis.com/bamboo.html

    lab1521

    • Sử dụng UA là chuỗi string được dịch phải 1 ký tự (VD: ‘A’ thành ‘B’) từ kết quả trả về của hàm gethostname. Để đảm bảo chuỗi string chỉ gồm các ký tự ASCII gồm các chữ cái và số, Lab15-02.exe chuyển các ký tự ‘Z’, ‘z’, và ‘9’ thành các ký tự ‘A’, ‘a’ và ‘0’ tương ứng trước khi dịch chuỗi.

    lab1522

    • Lab15-02.exe sau đó tìm kiếm chuỗi “Bamboo::” và “::” trong nội dung file bamboo.html. Dữ liệu nằm giữa 2 chuỗi “Bamboo::” và “::” được tải về file Account Summary.xls.exe. Lab15-02.exe sau đó sẽ chạy file Account Summary.xls.exe vừa tải về bằng hàm ShellExecuteA.

    lab1523

    lab1524

    Phát hiện

    20 byte từ file offset 0x10C3, đoạn chuyển ký tự ‘Z’ thành ‘A’ trước khi dịch phải 1 ký tự trong chuỗi string gethostname

    lab1525

    20 byte từ file offset 0x12F2, đoạn ShelExecute

    lab1526

    Gỡ bỏ

    Xóa file thực thi của mã độc và cố gắng xóa file Account Summary.xls.exe trong cùng thư mục

    lab1527

    Tổng hợp chuyên đề phân tích mã độc tại SecurityBox.vn

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...