PHÂN TÍCH MÃ ĐỘC – LAB 06 – PRACTICAL MALWARE ANALYSIS (Phần 3)
Tiếp tục đến với chủ đề phân tích mã độc Lab 06 với cấu trúc thứ 3 qua bài viết dưới đây nhé. Kiểm tra bằng PEiD, chương trình không được packed. Kiểm tra Import table: ⇒ Chương trình có thể có hành vi mạng tương tự Lab06-02.exe, có can thiệp ghi/xóa ...
Tiếp tục đến với chủ đề phân tích mã độc Lab 06 với cấu trúc thứ 3 qua bài viết dưới đây nhé.
Kiểm tra bằng PEiD, chương trình không được packed.
Kiểm tra Import table:
⇒ Chương trình có thể có hành vi mạng tương tự Lab06-02.exe, có can thiệp ghi/xóa file, có truy cập và thay đổi giá trị registry key.
Kiểm tra String. Chương trình có thể có các chức năng như Lab06-02.exe, thêm vào đó, có thông báo lỗi khi thực thi lệnh điều khiển và khi sửa đổi giá trị registry key.
SoftwareMicrosoftWindowsCurrentVersionRun
- So sánh phương pháp gọi hàm main với Lab 6 – 2. Có hàm mới nào được gọi?
So với Lab06-02.exe, hàm main gọi thêm hàm sub_401130 sau khi thực hiện in nội dung HTML.
- Hàm mới sử dụng thêm tham số nào?
Hàm sub_401130 sử dụng 2 đối số: Đối số thứ nhất là kí tự lấy được từ nội dung HTML; đối số thứ 2 là argv – tên chương trình khi thực thi.
- Cấu trúc mã nguồn chính trong hàm mới là gì?
Sub_401130 gồm một khối lệnh switch-case với 5 trường hợp.
- Hàm mới có thể thực hiện những nhiệm vụ nào?
Hàm sub_401130 thực hiện so sánh kết quả phép trừ kí tự lấy được từ nội dung HTML cho 61h và lấy kết quả trên làm điều kiện nhảy tới switch case tương ứng trong bảng nhảy tại 0x401153.
- Case 0: Tạo thư mục C:Temp
- Case 1: Copy file nhị phân của chương trình Lab06-03.exe vào thư mục C:Temp, đặt tên mới cho file vừa copy là cc.exe
- Case 2: Xóa file C:Tempcc.exe
- Case 3: Mở subkey tại SoftwareMicrosoftWindowsCurrentVersionRun, thêm một key mới là “Malware” và đặt giá trị cho key đó là “C:Tempcc.exe”. (SoftwareMicrosoftWindowsCurrentVersionRun là subkey chứa các giá trị auto run.)
- Case 4: Sleep 100 giây (100000 milisecond, chuyển đổi từ giá trị 186A0h tại dòng 0x4011D4).
- Default: Báo lỗi aError3_2NotAVa (‘Error 3.2: Not a valid command provided’ (loc_4011E1))
https://msdn.microsoft.com/en-us/library/windows/desktop/aa376977(v=vs.85).aspx
https://technet.microsoft.com/en-us/library/ee851671.aspx
https://arstechnica.com/civis/viewtopic.php?f=17&t=483649
- Có thông số liên quan tới mạng trong chương trình này?
Các dấu hiệu host-based của mã độc:
- Thư mục: C:Temp
- File C:Tempcc.exe
- Subkey: SoftwareMicrosoftWindowsCurrentVersionRun
- Registry key : giá trị: Malware : C:Tempcc.exe
Các dấu hiệu host trên được hard-coded tại phần .data trong file nhị phân Lab06-03.exe
- Mục đích của mã độc này là gì?
Mã độc thực hiện kết nối tới http://www.practicalmalwareanalysis.com/cc.htm , sử dụng UA là “Internet Explorer 7.5/pma”, kiểm tra kết nối và kiểm tra HMTL file. Nếu thỏa mãn, mã độc thực hiện lấy ký tự đầu tiên trong HMTL comment và coi ký tự đó là điều kiện nhảy switch case, thực hiện một trong các hành vi:
- Tạo thư mục mới, copy file thực thi sang thư mục mới với tên cc.exe
- Xóa file thực thi
- Tạo registry key mới và set giá trị cho key vừa tạo
- Sleep trong 100s hoặc thông báo lỗi lệnh nhận được không khả dụng.
XEM LẠI: PHÂN TÍCH MÃ ĐỘC – LAB 06 – PRACTICAL MALWARE ANALYSIS (Phần 2)