Tạo bài viết
Đăng ký
18/09/2018, 15:54

Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab01-02

Trong những năm gần đây, Mã độc gia tăng với tốc độ chóng mặt dưới nhiều kỹ thuật tinh vi nhằm đánh cắp thông tin và kiểm soát các hệ thống trên khắp thế giới. Do đó, phân tích mã độc cũng trở thành lĩnh vực được nhiều người quan tâm. Bài viết dưới đây, SeucirtyBox sẽ hướng dẫn bạn ...

lab122

Trong những năm gần đây, Mã độc gia tăng với tốc độ chóng mặt dưới nhiều kỹ thuật tinh vi nhằm đánh cắp thông tin và kiểm soát các hệ thống trên khắp thế giới. Do đó, phân tích mã độc cũng trở thành lĩnh vực được nhiều người quan tâm. Bài viết dưới đây, SeucirtyBox sẽ hướng dẫn bạn đọc cách phân tích, phát hiện và gỡ bỏ mã độc Lab01-02.

Phân tích mã độc Lab01-02 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab01-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

  • Lab01-02 gồm 1 file .EXE, được pack bằng UPX 3.04. Có thể unpack file Lab01-02.exe bằng upx, sử dụng lệnh upx -d.

lab121

  • Mã độc chỉ có hai hàm chức năng đáng chú ý:

                   + Hàm sub_401040 tạo một mutex với tên “HGL345” để đảm bảo tại một thời điểm chí có một instance duy nhất của mã độc được thực thi trong hệ thống. Sau đó mã độc tạo auto start service gọi đến chính file thực thi mã độc

lab122

                    + Sau khi tạo auto start service, mã độc tạo một bộ hẹn giờ tới thời điểm 0h00 ngày 1/1/2100 sẽ tạo một thread mới gọi hàm StartAddress.

lab123

                   + Hàm StartAddress thực hiện lặp vô tận thao tác kết nối tới địa chỉ “http://www.malwareanalysisbook.com” với UA là “Internet Explorer 8.0”.

lab124

  • Mã độc tạo các registry key:

HKLMSYSTEMControlSet001ServicesMalservice

HKLMSYSTEMControlSet001ServicesMalserviceSecurity

HKLMSYSTEMCurrentControlSetServicesMalservice

HKLMSYSTEMCurrentControlSetServicesMalserviceSecurity

  • Như vậy, Lab01-02.exe được cài đặt như một bot, sử dụng bộ đếm giờ tới 0h00 ngày 1/1/2100 thực hiện một cuộc tấn công DoS/DDoS vào máy chủ web của website http://malwareanalysis.com

Phát hiện

Lab01-02.exe có thể được phát hiện bằng signature, lấy 20 byte từ file offset 2080 và 2436 để làm signature.

lab125

lab126

Gỡ bỏ

  • Kill handle và xóa file thực thi mã độc

Chỉ cần xóa key HKLMSYSTEMCurrentControlSetServicesMalservice, key HKLMSYSTEMControlSet001ServicesMalservice và service object trong Service Control Manager tự động được xóa.

lab127

Theo dõi đầy đủ các bài viết liên quan đến chủ đề phân tích mã độc của SecurityBox TẠI ĐÂY

Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM TẠI ĐÂY

Bùi Văn Nam

27 chủ đề

7090 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024