Tạo bài viết
Đăng ký
18/09/2018, 15:54

Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab11-01

Phân tích mã độc Lab11-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski ( https://nostarch.com/malware ) Mẫu mã độc của Lab11-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs Phân tích Lab11-01.exe chứa một ...

lab112

Phân tích mã độc Lab11-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab11-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

  • Lab11-01.exe chứa một PE file nhúng trong nó, tại SECTION .rsrc, với tên TGAD

lab111

Khi thực thi, Lab11-01.exe thực hiện các thao tác:

  • Trích xuất section TGAD và ghi vào file msgina32.dll trong cùng thư mục với file thực thi Lab11-01.exe

lab112

  • Tạo một registry value tại HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGinaDLL với giá trị là địa chỉ file msgina32.dll mà nó vừa ghi. msgina32.dll sẽ được Winlogon nạp mỗi khi hệ thống khởi động
  • Kết thúc thực thi.

Trích xuất lấy file msgina32.dll và phân tích file này:

  • DLL có các hàm export yêu cầu bởi GINA, với tên DLL là gina.dll
  • Thực hiện ghi credential mỗi lần user log on hệ thống vào file %systemroot%system32msutil32.sys (tên file này là đặc trưng cho mẫu mã độc này, không được sử dụng bởi bất kỳ phần mềm nào khác)

lab113

  • Thông tin credential được ghi vào msutil32.sys có dạng: MM/DD/YY HH:mm:ss – UN [Username] DM [Machine name] PW [Password] OLD (null)

lab114

Phát hiện

Lab11-01.exe có thể phát hiện bằng signature:

  • 20 byte tính từ fileoffset 4310, là đoạn load section TGAD

lab115

  • 20 byte tính từ fileoffset 32902, là đoạn chuỗi string lưu địa chỉ registry value và tên msgina32.dll

lab116

msgina32.dll có thể phát hiện bằng signature:

  • 20 byte tính từ fileoffset 1163, là đoạn nạp msgina.dll của Windows. Các hàm export của msgina32.dll sẽ trỏ tới vị trí các hàm export tương ứng của msgina.dll

lab117

  • 20 byte tính từ fileoffset 2295, là đoạn ghi log vào file msutil32.sys mỗi lần user logon

lab118

Gỡ bỏ

  • Xóa file Lab11-01.exe, thêm msgina32.dll như mã độc liên quan
  • Xóa registry value HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGinaDLL

lab119

  • Kill handle và xóa file msgina32.dll
  • Xóa file %systemroot%system32msutil32.sys (dùng hàm WinAPI GetSystemDirectory)

lab1120

Tổng hợp phân tích mã độc Lab 09 =>> CLICK NGAY

Bùi Văn Nam

27 chủ đề

7090 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024