Tạo bài viết
Đăng ký
18/09/2018, 15:57

Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab03-02

Bài viết dưới đây sẽ giúp bạn đọc quan tâm đến công nghệ thông tin, virus máy tính hay mã độc hiểu sâu về Lab03-02. Bài viết là kết quả quá trình nghiên cứu và tìm hiểu của chuyên gia an ninh mạng SecurityBox, đi sâu phân tích về mã độc LAB 03-02: cách phát hiện, cách nhận biết và gỡ ...

lab321

Bài viết dưới đây sẽ giúp bạn đọc quan tâm đến công nghệ thông tin, virus máy tính hay mã độc hiểu sâu về Lab03-02. Bài viết là kết quả quá trình nghiên cứu và tìm hiểu của chuyên gia an ninh mạng SecurityBox, đi sâu phân tích về mã độc LAB 03-02: cách phát hiện, cách nhận biết và gỡ bỏ mã độc này.

Phân tích mã độc Lab03-02 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab03-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

  • Practical Malware Analysis Lab03-02 chỉ gồm file Lab03-02.DLL
  • Cài đặt: rundll32.exe Lab03-02.dll,installA
  • Sau khi được cài đặt, mã độc tạo một registry key tại HKLMSYSTEMCurrentControlSetServicesIPRIP, cài đặt service IPRIP.

lab321

  • Service này sử dụng DisplayName là “Intranet Network Awareness (INA+)”, ImagePath là “%SystemRoot%System32svchost.exe -k netsvcs”, ServiceDll là đường dẫn tới file Lab03-02.dll

lab322

  • Như vậy, sau mỗi lần hệ thống khởi động, sẽ luôn có một tiến trình svchost.exe nạp Lab03-02.dll

lab323

XEM THÊM: Phân tích mã độc Lab 03-03 

Khi được nạp bởi một tiến trình svchost.exe, mã độc Lab03-02.dll thực hiện các hành vi:

  • Truy vấn DNS cho practicalmalwareanalysis.com. Tại thời điểm phân tích, kết quả truy vấn DNS trả về là 192.0.78.25 và 192.0.78.24.
  • Kết nối tới hai địa chỉ trên, sử dụng giao thức HTTP (80), gửi request GET file /serve.html với UA có dạng [ComputerName + Windows XP 6.11] (giá trị “Windows XP 6.11” được hard-coded

lab324

  • Tại thời điểm phân tích, HTTP response cho request GET /serve.html là 301, Moved permanently.
  • Trong trường hợp GET /serve.html thành công, mã độc đọc và giải mã (Base64 chuẩn) HTML comment từ file serve.html để nhận password thực thi các chức năng backdoor
  • Nếu các kết nối trên không thành công, ngủ 10 phút và lặp lại kết nối.

Phát hiện

Phát hiện Lab03-02.dll bằng signature:

  • 20 byte từ vị trí 20340 (4F74h), là các lệnh thực thi tương ứng với dữ liệu nhận được từ practicalmalwareanalysis.com/serve.html

lab325

  • 20 byte từ vị trí 15158 (3B36h), là đoạn chuẩn bị giá trị ServiceName IPRIP

lab326

Gỡ bỏ

  • Xóa registry key HKLMSYSTEMCurrentControlSetServicesIPRIP
  • Kill handle và xóa file Lab03-02.dll.

lab327

Theo dõi những bài viết về mã độc từ chuyên gia an ninh mạng TẠI ĐÂY

Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM TẠI ĐÂY

Tạ Quốc Bảo

23 chủ đề

7270 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024