18/09/2018, 15:53

Phân tích, phát hiện và gỡ bỏ mã độc PracticalMalwareAnalysis Lab06-03

Trong bài viết lần này SecurityBox tiếp tục gửi đến bạn đọc cách phân tích, phát hiện và gỡ bỏ mã độc PracticalMalwareAnalysis Lab06-03 Phân tích mã độc Lab06-03 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski ( https://nostarch.com/malware ) Mẫu ...

lab633

Trong bài viết lần này SecurityBox tiếp tục gửi đến bạn đọc cách phân tích, phát hiện và gỡ bỏ mã độc PracticalMalwareAnalysis Lab06-03

Phân tích mã độc Lab06-03 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab06-03 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

Lab06-03.exe thực hiện các hành vi:

  • Kiểm tra kết nối Internet trên hệ thống. Nếu có kết nối Internet, in ra màn hình kết quả “Success: Internet Connection”; nếu không có kết nối Internet, in ra màn hình kết quả “Error 1.1: No Internet” và kết thúc thực thi
  • Nếu hệ thống có kết nối Internet, thực hiện truy vấn tới URL “http://www.practicalmalwareanalysis.com/cc.htm” với UA là “Internet Explorer 7.5/pma”. Nếu kết nối tới URL trên không thành công, in ra màn hình kết quả “Error 2.1: Fail to OpenUrl” và kết thúc thực thi. Tại thời điểm phân tích, file cc.htm không còn tồn tại trên máy chủ practicalmalwareanalysis.com nên thực thi mã độc chỉ trả về Error 2.1.

lab631

  • Nếu kết nối URL thành công, đọc 200 byte đầu tiên của file cc.htm. Nếu lỗi đọc file, in ra màn hình kết quả “Error 2.2: Fail to ReadFile” và kết thúc thực thi.
  • So sánh 4 byte đầu tiên trong dữ liệu đọc được với chuỗi “<!–”, nếu không trùng khớp, in ra màn hình kết quả “Error 2.3: Fail to get command” và kết thúc thực thi.

lab632

  • Nếu 4 byte đầu tiên trong dữ liệu đọc từ file cc.htm trùng với chuỗi “<!–” (mở đầu HTML comment), in ra màn hình thông báo “Success: Parsed command is ” và ký tự đầu tiên trong HTML comment
  • So sánh kết quả phép trừ kí tự đầu tiên lấy được từ HTML comment cho 61h (so sánh kí tự đầu tiên trong HTML comment với các kí tự ASCII ‘a’ -> ‘e’) và lấy kết quả trên làm điều kiện nhảy tới switch case tương ứng:

              + Case 0: Tạo thư mục C:Temp

              + Case 1: Copy file thực thi của Lab06-03.exe vào thư mục C:Temp, đặt tên mới cho file vừa copy là cc.exe (C:Tempcc.exe)

              + Case 2: Xóa file C:Tempcc.exe

              + Case 3: Mở subkey tại SoftwareMicrosoftWindowsCurrentVersionRun , thêm một value mới là “Malware” và đặt giá trị cho key đó là “C:Tempcc.exe”.

              + Case 4: Sleep 100 giây

              + Default: Báo lỗi “Error 3.2: Not a valid command provided”

              + Tất cả các đường dẫn và tên registry value trên đều hard-coded

lab633

  • Sleep 60s và kết thúc thực thi.

=>> XEM THÊM: Phân tích, phát hiện và gỡ bỏ mã độc PracticalMalwareAnalysis Lab06-03

Phát hiện

Lab06-03.exe có thể phát hiện bằng signature:

  • 20 byte tính từ fileoffset 4332 (10ECh), là đoạn code so sánh 4 byte dữ liệu đọc từ cc.htm với chuỗi mở đầu HTML comment (“<!–”)

lab634

  • 20 byte tính từ fileoffset 4681 (1249h), là đoạn cuối hàm main

lab635

Gỡ bỏ

  • Lấy tên và xóa bỏ file thực thi của mã độc
  • Cố gắng xóa registry value HKLMSoftwareMicrosoftWindowsCurrentVersionRunMalware
  • Cố gắng xóa file C:Tempcc.exe
  • Đường dẫn tới registry value và file cc.exe trên đều được hard-coded

lab636

Đọc toàn bộ những phân tích về mã độc của chuyên gia an ninh mạng SecurityBox Tại Đây

0