Scribd Logo
Upload

Welcome to Scribd!

  • 3 views

    Lab 3

    Uploaded by

    haianhnguyen22102003
    mã độc

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd

    Lab 3

    Uploaded by

    haianhnguyen22102003
    3 views16 pages
    mã độc

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    mã độc

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Download as docx, pdf, or txt
    3 views16 pages

    Lab 3

    Uploaded by

    haianhnguyen22102003
    mã độc

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Download as docx, pdf, or txt
    of 16

    Bật Process Explorer:

    Bật Wireshark
    Khởi động Wireshark và bắt đầu chụp các gói từ giao diện đi đến máy Linux,
    thường là " Local Area Connection".

    Bật Process Monitor


    Trong Process Monitor, bấm chuột phải vào tên của một trong các tiến trình đang
    chạy, chọn Exclude “Explorer.exe” để loại trừ tiến trình này khỏi danh sách quan
    sát. Tiến hành loại trừ tất cả các tiến trình đang chạy.
    1.1. Phân tích mẫu mã độc Lab03-01.exe

    1.1.1. Tìm kiếm thông tin chung

    Đọc Lab03-01.exe với PEview, trong phần IMPORT Address Table chỉ có giá
    trị kernel32.dll và hàm ExitProcess.
    Sử dụng Strings kiểm tra các chuỗi trong Lab03-01.exe, lưu ý một số chuỗi sau:
    - Vị trí đăng kí: SOFTWARE\Classes\http\shell\open\commandV
    - URL: www.practicalmalwareanalysis.com
    - VideoDriver

    Lưu ý: Nếu mã độc bị nén, các chuỗi sẽ không đọc được.
    Trên "advpack" có một chuỗi bắt đầu bằng "j".
    1.1.2. Phân tích động cơ bản

    Cho mã độc Lab03-01.exe khởi chạy.


    Trong Process Explorer, ở khung trên cùng, tìm Lab03-01.exe.
    Nếu tiến trình Lab03-01.exe không xuất hiện trong Process Explorer, điều đó có
    thể có nghĩa là phần mềm độc hại đã được chạy trên VM này. Để làm cho phần
    mềm độc hại chạy lại đúng cách, khởi động lại VM, nhấn F8, vào Chế độ Safe
    Mode và xóa tệp này: C:\Windows\System32\vmx32to64.exe (có thể xóa trực tiếp
    rồi khởi động lại máy ảo).
    Sau đó khởi động lại VM ở chế độ bình thường.

    Trong Process Explorer, bấm View, "Lower Pane View", Handles.


    Đọc và giải thích các kết quả hiện ra trong Lower Pane của Process Explorer
    Thread: Đây là một luồng đang chạy trong tiến trình Các luồng là các đơn vị thực thi
    của chương trình.
    Key: Đây là các khóa registry liên quan đến WinSock, một API cho phép các ứng dụng
    giao tiếp qua mạng. Điều này cho thấy tiến trình Lab03-01.exe có thể liên quan đến
    giao tiếp mạng.
    File: nơi mã độc được lưu và phân tích. Điều này cho thấy tiến trình đang tương tác với
    tệp từ lab.
    Mutant : Mutant objects được sử dụng trong hệ điều hành Windows để đồng bộ hóa
    truy cập đến các tài nguyên hệ thống
    WindowStation: chịu trách nhiệm quản lý các đối tượng đầu vào (input) như bàn phím,
    chuột, và cửa sổ hiển thị của tiến trình.

    Trên Process Explorer, chọn View, "Lower Pane View", DLLs.


    Cuộn xuống phía dưới để tìm ws2_32.dll và wshtcpip.dll, như hiển thị bên dưới.
    Điều này cho thấy phần mềm độc hại có chức năng mạng.
    Xem các quy trình độc hại trong Process Monitor
    Trong Process Monitor, nhấp vào biểu tượng kính lúp trên thanh công cụ để dừng
    chụp sự kiện
    Trong Process Monitor, chọn Filter, Filter. Nhập bộ lọc cho "Process Name" là
    Lab03-01.exe, Include

    Chọn Add để thêm bộ lọc.

    Thêm 2 bộ lọc:

     Operation of RegSetValue
     Operation of WriteFile

    Nếu sử dụng Windows XP có thêm 8 sự kiện với đường dẫn kết thúc bằng
    "Cryptography\RNG\Seed".
    Nháy đúp vào sự kiện với đờng dẫn kết thúc bằng vmx32to64.exe. Bảng
    Properties cho thấy rằng sự kiện này tạo ra một tệp có tên vmx32to64.exe, như
    hiển thị bên dưới: sự kiện này đã sao chép phần mềm độc hại vào một tệp có tên
    vmx32to64.exe, do đó tên tệp là một dấu hiệu nhận biết hữu ích.

    Bấm đúp vào với một Đường dẫn kết thúc bằng VideoDriver.
    Hành động này tạo ra một khóa Run mới trong sổ đăng ký có tên "VideoDriver"
    với giá trị "C:\WINDOWS\system32\vmx32to64.exe" - giúp mã độc khởi chạy
    khi máy khởi động lại.
    Xem nhật ký INetSim
    Trên máy Kali Linux, bấm vào cửa sổ đang chạy inetsim.
    Nhấn tổ hợp Ctrl+C. Một thông báo xuất hiện cho bạn biết tệp Report nằm ở đâu,
    như hiển thị bên dưới:
    Trong máy Linux, thực hiện lệnh thay thế "report.3384.txt" bằng tên sinh viên.
    nano /var/log/inetsim/report/report.3384.txt
    Cuộn xuống phía dưới sẽ thấy các kết nối DNS tới
    www.practicalmalwareanalysis.com:

    Xem các kết nối mạng trong Wireshark


    Trong máy Windows (hoặc Kali linux), trong Wireshark, chọn Capture, Stop.
    Ở phía trên bên trái của cửa sổ Wireshark, trong Filter, nhập bộ lọc của khung
    chứa practicalmalwareanalysis
    Nhấn Enter để xem các gói được lọc, như hiển thị bên dưới.

    Nhấp vào dòng hiển thị yêu cầu DNS đầu tiên cho
    www.practicalmalwareanalysis.com -- trong ví dụ trên, nó là gói 61.
    Ở phần trên cùng của Wireshark, nhấp vào nút Clear để xóa bộ lọc. Các gói theo
    yêu cầu DNS xuất hiện, như hiển thị bên dưới.

    Có một bắt tay TCP, nhưng không có kết nối HTTPS. Một kết nối HTTPS thực có
    chứa nhiều gói hơn, chẳng hạn như "Client Hello", "Server Hello" và "Change
    Crypt Spec".
    Tìm gói SYN được gửi đến cổng https, có thể được đánh dấu là "443". Trong ví
    dụ trên, nó là gói 63. Nhấp chuột phải vào nó và nhấp vào "Follow TCP", ta thấy
    "Stream Content" chứa 256 byte gói ngẫu nhiên, như hiển thị bên dưới. Đây là
    các ký hiệu và được phần mềm độc hại sử dụng để thông báo cho máy chủ
    Command and Control rằng máy bị nhiễm và sẵn sàng sử dụng.
    Vì dữ liệu là ngẫu nhiên, kết quả thu được có thể khác nhau, nhưng nó phải có
    kích thước 256 byte.

    You might also like