Mã độc (Malware hay Malicious software) là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống, lấy cắp thông tin, làm gián đoạn hoặc tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống hay các máy tính cá nhân. Nó có thể có dạng một tập tin thực thi, script, mã nguồn hoặc bất kỳ phần mềm nào khác. Kẻ tấn công sử dụng mã độc để đánh cắp thông tin nhạy cảm, giám sát hệ thống bị nhiễm và chiếm quyền kiểm soát hệ thống. Thông thường, mã độc xâm nhập trái phép vào hệ thống của nạn nhân và có thể lây lan qua các kênh truyền thông khác nhau như email, web hoặc ổ đĩa USB. 1. Mã độc được phân tích trong bài báo cáo a. Trojan “win33.exe” Trojan là một nhóm các chương trình độc hại được phân biệt bởi khả năng giả mạo như phần mềm lành tính. Tùy thuộc vào loại của chúng, trojan sở hữu nhiều khả năng khác nhau, từ việc duy trì kiểm soát từ xa hoàn toàn đối với máy của nạn nhân đến đánh cắp dữ liệu và tệp, cũng như thả phần mềm độc hại khác. Đồng thời, chức năng chính của mỗi họ trojan có thể khác nhau đáng kể tùy thuộc vào loại của nó. Mã độc win33.exe là một Trojan thuộc họ Dexter được đánh giá với mức độ nguy hiểm cao khi nó có thể giả mạo các phần mềm an toàn và đánh cắp mật khẩu và thông tin người dùng. Win33.exe giả mạo chương trình iexplore.exe để đánh lừa người dùng rằng nó là một chương trình vô hại. Iexplore.exe là một thành phần của Windows Internet Explorer – trình duyệt web được phát triển bởi Mincrosoft, kẻ tấn công cố tình đặt cho các quy trình của họ cùng tên tệp để tránh bị phát hiện. Có thể kể đến các virus có cùng tên file iexplore.exe như TrojanSpy.Win32.WinSpy.acj hoặc Backdoor.Win32.Cbot.bg (được phát hiện bởi Kaspersky) và Spyware.PCAcme hoặc WS.Reputation.1 (được phát hiện bởi Symantec).
TỔNG QUAN LÝ THUYẾT
Mã độc là gì?
Mã độc (Malware hay Malicious software) là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống, lấy cắp thông tin, làm gián đoạn hoặc tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống hay các máy tính cá nhân Nó có thể có dạng một tập tin thực thi, script, mã nguồn hoặc bất kỳ phần mềm nào khác Kẻ tấn công sử dụng mã độc để đánh cắp thông tin nhạy cảm, giám sát hệ thống bị nhiễm và chiếm quyền kiểm soát hệ thống Thông thường, mã độc xâm nhập trái phép vào hệ thống của nạn nhân và có thể lây lan qua các kênh truyền thông khác nhau như email, web hoặc ổ đĩa USB.
1 Mã độc được phân tích trong bài báo cáo a Trojan “win33.exe”
Trojan là một nhóm các chương trình độc hại được phân biệt bởi khả năng giả mạo như phần mềm lành tính Tùy thuộc vào loại của chúng, trojan sở hữu nhiều khả năng khác nhau, từ việc duy trì kiểm soát từ xa hoàn toàn đối với máy của nạn nhân đến đánh cắp dữ liệu và tệp, cũng như thả phần mềm độc hại khác Đồng thời, chức năng chính của mỗi họ trojan có thể khác nhau đáng kể tùy thuộc vào loại của nó.
Mã độc win33.exe là một Trojan thuộc họ Dexter được đánh giá với mức độ nguy hiểm cao khi nó có thể giả mạo các phần mềm an toàn và đánh cắp mật khẩu và thông tin người dùng Win33.exe giả mạo chương trình iexplore.exe để đánh lừa người dùng rằng nó là một chương trình vô hại Iexplore.exe là một thành phần của Windows Internet Explorer – trình duyệt web được phát triển bởi Mincrosoft, kẻ tấn công cố tình đặt cho các quy trình của họ cùng tên tệp để tránh bị phát hiện Có thể kể đến các virus có cùng tên file iexplore.exe như Trojan-Spy.Win32.WinSpy.acj hoặc Backdoor.Win32.Cbot.bg (được phát hiện bởi Kaspersky) và Spyware.PCAcme hoặc WS.Reputation.1 (được phát hiện bởi Symantec).
Sau đây là các thông tin về mã độc win33.exe:
Hệ điều hành Microsoft Windows
MD5 140D24AF0C2B3A18529DF12DFBC5F6DE
SHA1 E8DB5AD2B7FFEDE3E41B9C3ADB24F3232D764931
SHA256 4EABB1ADC035F035E010C0D0D259C683E18193F509946652ED8AA7C5D92B6A92 b Mẫu “SnakeKeylogger.exe”
Snake Keylogger là phần mềm độc hại đánh cắp thông tin được viết bằng ngôn ngữ lập trình NET Nó được phát hiện vào tháng 11 năm 2020 và còn được gọi là
404 Keylogger, 404KeyLogger và Snake Snake Keylogger đánh cắp nhiều thông tin khác nhau từ nạn nhân, chẳng hạn như thông tin đăng nhập đã lưu, dữ liệu clipboard, tổ hợp phím và ảnh chụp màn hình màn hình của nạn nhân Phần mềm độc hại này cũng kiểm tra và thu thập thông tin hệ thống, bao gồm tên máy chủ, tên người dùng, địa chỉ IP, vị trí địa lý, ngày giờ của hệ thống, v.v Sau đó, nó lọc thông tin được thu thập thông qua các giao thức như FTP, SMTP và Telegram.
Thông tin về mẫu SnakeKeylogger.exe:
SHA256 f381e338212079c3a03fbbb532cdec44b1d27db03e8cc4c47408ef038885d934
Phân tích động
1 Khái niệm, ưu nhược điểm
Phân tích động trong phân tích mã độc là việc theo dõi và nghiên cứu cách mã độc hoạt động trong môi trường thực thi Nó giúp phát hiện và hiểu rõ hành vi của mã độc, xác định các hoạt động đáng ngờ, thu thập thông tin quý báu về mục tiêu và chức năng của mã độc, giúp tạo chữ ký phát hiện và biện pháp phòng chống. Ưu điểm:
Tính tổng quan: Phân tích động cho phép bạn quan sát cách mã độc hoạt động trong môi trường thực tế Điều này có nghĩa rằng bạn có thể hiểu rõ hơn về tác động thực tế của mã độc và cách nó tương tác với hệ thống và dữ liệu.
Phát hiện mã độc ẩn: Nếu mã độc tự giải mã hoặc tự triển khai trong quá trình chạy, phân tích tĩnh có thể bỏ lỡ nó Phân tích động có thể tiết lộ các hành vi độc hại mà phân tích tĩnh không thể nhận diện được.
Khả năng xác minh và theo dõi: Phân tích động cho phép bạn xác minh cách mã độc tương tác với hệ thống và dữ liệu, và theo dõi các hoạt động độc hại qua thời gian Điều này có thể giúp bạn phát hiện và ngăn chặn các tấn công trong quá trình diễn ra.
Khả năng thí nghiệm và đánh giá tấn công: Bằng cách sử dụng phân tích động, bạn có thể thực hiện các thử nghiệm và đánh giá các tình huống tấn công một cách an toàn mà không cần làm hỏng hệ thống hoặc dữ liệu thật.
Đòi hỏi môi trường thực tế: Phân tích động đòi hỏi một môi trường thực tế để thử nghiệm mã độc, điều này có thể gây ra rủi ro nếu không thực hiện cẩn thận.
Mã độc có thể gây hại cho hệ thống và dữ liệu trong quá trình phân tích.
Khả năng phát hiện thấp: Mã độc có thể phát hiện sự hiện diện của môi trường phân tích động và thay đổi hành vi của nó để tránh bị phát hiện.
Thời gian và tài nguyên: Phân tích động thường đòi hỏi nhiều thời gian và tài nguyên hơn so với phân tích tĩnh Việc theo dõi và ghi lại các hoạt động của mã độc có thể tốn thời gian và cần nguồn tài nguyên máy tính mạnh mẽ.
Khả năng hiện thực: Phân tích động có thể không hiệu quả khi bạn không thể tạo môi trường thực tế tương tự cho mã độc, ví dụ khi mã độc phụ thuộc vào các điều kiện môi trường cụ thể.
2 Vai trò và tầm quan trọng của phân tích động
Phân tích động (dynamic analysis) là một phần quan trọng trong quá trình phân tích mã độc Nó đóng một vai trò quan trọng trong việc hiểu cách mã độc hoạt động, xác định tác vụ của nó và tìm ra các tác động không mong muốn hoặc có hại
Hiểu cách hoạt động: Phân tích động cho phép nghiên cứu và theo dõi hoạt động của mã độc trong môi trường chạy thực tế Điều này giúp xác định cách mã độc tương tác với hệ thống và dữ liệu của nó, bao gồm cách nó truy cập, sử dụng và thay đổi tài nguyên hệ thống.
Xác định tác vụ: Bằng cách quan sát hành vi của mã độc trong môi trường thực tế, phân tích động có thể giúp xác định mục tiêu và tác vụ của mã độc Điều này rất quan trọng để hiểu mục đích cuối cùng của mã độc và cách nó tác động vào hệ thống.
Phát hiện tác động không mong muốn: Phân tích động cũng giúp phát hiện các tác động không mong muốn hoặc có hại đối với hệ thống, chẳng hạn như việc lấy cắp thông tin cá nhân, thực hiện các hoạt động độc hại, hoặc gây hại cho hệ thống Điều này giúp nhà nghiên cứu bảo mật tìm cách ngăn chặn hoặc loại bỏ mã độc này khỏi hệ thống.
Phân tích các kỹ thuật phòng ngừa: Phân tích động giúp hiểu cách mã độc tránh các công cụ bảo mật và các biện pháp phòng ngừa Điều này có thể giúp cải thiện các biện pháp bảo mật hiện có và phát triển các giải pháp mới để ngăn chặn mã độc.
Cung cấp thông tin cho việc phân tích tĩnh: Kết quả từ phân tích động có thể cung cấp thông tin quan trọng cho phân tích tĩnh, giúp tạo ra một cái nhìn toàn diện về mã độc Phân tích động và tĩnh thường đi đôi và bổ sung lẫn nhau để tạo ra một hình ảnh rõ ràng về mã độc.
3 Quy trình phân tích động
Quy trình thực hiện phân tích động gồm 4 Phase như sơ đồ sau:
+ Tạo một máy ảo với hệ điều hành cần thiết.
+ Cài đặt tất cả các công cụ cần thiết.
+ Tạo một bản snapshot của máy ảo.
+ Thực hiện bất kỳ cấu hình cụ thể nào nếu cần thiết.
+ Chuyển mẫu Malware vào máy ảo.
+ Khởi động các công cụ cần thiết (ví dụ: giám sát, theo dõi, gỡ lỗi, v.v.).
+ Bắt đầu theo dõi và giám sát hành vi và hoạt động của nó.
+ Theo dõi cuộc gọi hệ thống.
+ Truy cập vào các tệp tin.
+ Ghi lưu lưu lượng mạng
+ Ghi lại/Chụp ảnh màn hình, bộ nhớ, tệp cấu hình, tệp đăng ký, các tệp tin được giải nén, v.v.
+ Phân tích và ghi chú về mọi thứ đã xảy ra.
+ Quan sát hành vi hiển thị.
+ Ghi lại sự kiện và hành động.
Các công cụ sử dụng trong quá trình phân tích động
Process Hacker là một công cụ cho hệ điều hành Windows, được sử dụng để quản lý quá trình và thực hiện phân tích động các tiến trình và quá trình trên hệ thống Dưới đây là một số thông tin về công cụ Process Hacker, đánh giá và ưu nhược điểm của nó trong việc sử dụng để phân tích mã độc: Ưu điểm:
Giao diện dễ sử dụng: Process Hacker có một giao diện đồ họa dễ sử dụng, giúp người dùng dễ dàng quản lý và theo dõi các tiến trình trên hệ thống.
Xem chi tiết quá trình: Nó cho phép bạn xem thông tin chi tiết về mỗi tiến trình, bao gồm các tệp tin và thư mục mà tiến trình đang truy cập và thông tin về mạng.
Dễ dàng tìm kiếm và lọc: Process Hacker cung cấp các tính năng tìm kiếm và lọc mạnh mẽ để giúp bạn tìm kiếm các tiến trình cụ thể hoặc theo dõi hoạt động đáng ngờ.
Hỗ trợ đa nhiệm vụ: Ngoài việc quản lý quá trình, Process Hacker cũng hỗ trợ quản lý các tác vụ và dịch vụ trên hệ thống.
Phần mềm bảo mật có thể phát hiện: Một số phần mềm bảo mật có thể nhận diện Process Hacker như một phần mềm độc hại, vì nó có khả năng thay đổi tiến trình và quá trình chạy của hệ thống.
Khả năng gây hỏng hệ thống: Sử dụng không cẩn thận hoặc không hiểu rõ có thể dẫn đến tình trạng không mong muốn, ví dụ như tắt tiến trình quan trọng hoặc thay đổi cài đặt hệ thống.
Cần kiến thức về hệ thống: Để sử dụng hiệu quả Process Hacker cho việc phân tích mã độc, bạn cần có kiến thức về hệ thống và quá trình làm việc của các tiến trình.
Không phải công cụ chuyên biệt: Process Hacker chủ yếu là một công cụ quản lý tiến trình và quá trình trên hệ thống, không phải là một công cụ phân tích mã độc chuyên biệt Điều này có nghĩa là nó có giới hạn trong việc phân tích mã độc so với các công cụ chuyên biệt khác như IDA Pro hoặc OllyDbg.
Công cụ Process Monitor là một ứng dụng mạnh mẽ được phát triển bởiMicrosoft, được sử dụng để theo dõi và ghi lại các hoạt động hệ thống trên máy tính chạy hệ điều hành Windows Nó cung cấp thông tin chi tiết về các sự kiện liên quan đến hệ thống, bao gồm tệp tin, Registry, quá trình (process), mạng và các tài nguyên hệ thống khác Process Monitor thường được sử dụng để các mục đích sau: Ưu điểm:
Theo dõi hoạt động hệ thống chi tiết: Process Monitor cung cấp một cái nhìn chi tiết về tất cả các hoạt động hệ thống, cho phép bạn xem các tệp tin được mở, Registry được thay đổi, quá trình nào được tạo ra hoặc kết thúc, và các kết nối mạng nào được thiết lập.
Sử dụng cùng với công cụ phân tích mã độc khác: Nó có thể kết hợp tốt với các công cụ phân tích mã độc khác như debuggers hoặc disassemblers để cung cấp thông tin về hoạt động của mã độc trong môi trường thực tế.
Lọc và tìm kiếm dễ dàng: Process Monitor cho phép bạn áp dụng các bộ lọc và tìm kiếm để tập trung vào các hoạt động quan trọng hoặc loại bỏ sự kiện không cần thiết.
Xem thời gian thực: Bạn có thể xem các sự kiện theo thời gian thực, giúp theo dõi và phân tích các hoạt động một cách nhanh chóng.
Dễ gây rối: Process Monitor có thể tạo ra lượng dữ liệu lớn, và việc hiểu và lọc thông tin có thể đòi hỏi kỹ năng và kiến thức kỹ thuật.
Cần kiến thức kỹ thuật: Để sử dụng Process Monitor một cách hiệu quả để phân tích mã độc, bạn cần phải có kiến thức về hệ thống và quy trình làm việc của các tiến trình.
Không phải công cụ chuyên biệt: Process Monitor là công cụ tổng quan cho việc theo dõi hoạt động hệ thống và không phải là một công cụ phân tích mã độc chuyên biệt.
DEMO – PHÂN TÍCH CÁC MẪU THỬ
Mẫu Trojan “Win33.exe”
Các công cụ sử dụng:
Registry Key: Regshot, Process Monitor
Sau đây chung ta sẽ tiến hành phân tích động mẫu mã độc win33.exe
Bước 1: Tạo môi trường an toàn cho việc phân tích Đầu tiên chúng ta sẽ tạo môi trường cô lập để đảm bảo an toàn cho việc phân tích mã độc này Chi tiết:
Công cụ giả lập: Oracle VM VirtualBox 7.0.10
Môi trường: Windows 7 Ultimate 64 bit
Cấu hình mạng: mạng kín được giả lập bởi Fakenet-NG a Lựa chọn card mạng Host-only Adapter trên VirtualBox b Cấu hình địa chỉ ip tĩnh cho máy tính với các thông số:
DNS: 4.2.2.2 c Chạy FakeNet-NG ghi log vào file log.txt, việc cấu hình mạng đến đây đã hoàn tất
Bước 2: Khởi động các công cụ phục vụ cho việc phân tích Để phân tích mã độc, chúng ta bật các công cụ được sử dụng là process explorer, process monitor, regshot, wireshark Đối với regshot, trước khi chạy mã độc ta cần click vào nút 1 st shot.
Bước 3: Chạy file win33.exe và theo dõi hành vi của nó
Chạy file win33.exe dưới quyền Administrator Theo dõi các tiến trình trênProcess Explorer, ta thấy tiến trình win33.exe chạy đầu tiên, sau đó biến mất và tiến trình mới iexplore.exe được tạo ra.
Xem log về process trong process monitor, ta thấy tiến trình win33.exe (Pid
4852) được tạo ra đầu tiên, sau đó nó thực hiện việc load các file dll và tạo file mới
Sau đó tiến trình Process Create của win33.exe thực hiện tạo mới một file iexplore.exe trong thư mục C:/ProgramFiles(x86)/Internet Explorer/ Từ đây, tiến trình iexplore.exe ( Pid 3844) được tạo ra và khởi chạy Tiếp theo, tiến trình win33.exe load file iexplore.exe và kết thúc chính nó.
Theo như kết quả ở phần theo dõi tiến trình, ta thấy rằng mẫu mã độc đã thực hiện tạo mới file iexplore.exe trong thư mục C:/ProgramFiles(x86)/Internet
File iexplore.exe được đặt tên trùng với một thành phần chính thức của Internet Explorer nhằn đánh lừa người dùng rằng nó là một chương trình an toàn Tuy nhiên ta có thể thấy nó được tạo ra với tiến trình win33.exe
Ngoài ra, tiến trình của mã độc còn tạo thư mục Java Sercurity Plugin và một file javaplugin.exe:
Mở phần ghi log về Registry Key trong Process Monitor, ta thấy tiến trình iexplore.exe của mã độc đã thực hiện mở và thay đổi cài đặt vùng của người dùng Ở phần theo dõi File, ta thấy một file thực thi javaplugin.exe đã được tạo ra, phần mềm độc hại sau đó sẽ tự sao chép vào tệp thực thi "javaplugin.exe" mới được tạo ra trong "…\AppData \ Roaming" này và sau đó khoá đăng ký liên quan đến việc khởi động chương trình trên máy được thay đổi trong:
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
Tìm thấy khóa được thay đổi trong Regedit:
Thông qua khóa đăng ký này, phần mềm độc hại chắc chắn sẽ khởi động cùng lúc với máy bị nhiễm.
Kỹ thuật này dựa trên tính hợp pháp của một chương trình giả mạo như một plugin bảo mật Java Loại tên này được sử dụng để ngăn cản người dùng không nghi ngờ và xóa chương trình này khỏi danh sách tự khởi động.
Phần mềm độc hại cũng sẽ xóa tệp thực thi mà nó được khởi chạy trong phần này của mã
Phát hiện thấy có kết nối đến địa chỉ IP 151.248.115.107 của tiến trình iexplore.exe
Ta có thế thấy nó đang cố gắng gửi một yêu cầu POST đến url
/w19218317418621031041543/gateway.php và máy 151.248.115.107 phản hồi lại bằng phản hồi HTTP với thông báo 404 Not Found Điều này là do hiện tại máy này không còn tồn tại nữa.
Gói tin HTTP phản hồi từ IP lạ:
Kiểm tra IP bằng trang web CheckIP ta thấy địa chỉ IP này đến từ Nga
Bước 4: Phân tích và kết luận
Qua việc theo dõi các hành vi của mẫu ở trên, ta có thể phân tích các hành vi của mẫu như sau:
Mẫu chạy tiến trình win33.exe của chính mình, tự khởi động Internet Explorer và tạo mới file iexplore.exe trong thư mục của nó Mẫu tạo file javaplugin.exe và tự sao chép vào đó, sau đó xóa tiến trình của chính mình và thay đổi giá trị của khóa đăng ký "SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Từ đó đảm bảo mẫu sẽ luôn được khởi chạy đồng thời với máy bị nhiễm Đảm bảo tính bền vững.
Chương trình iexplore.exe được tạo ra từ tiến chính win33.exe đã thực hiện đọc và thay đổi các giá trị đăng ký về cài đặt vùng người dùng: “SOFTWARE\
Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 Và khóa đăng ký liên quan đến việc khởi động chương trình trên máy: "SOFTWARE\Microsoft\
Mã độc có hành động giao tiếp với các địa chỉ IP lạ, địa chỉ IP là
151.248.115.107 và url /w19218317418621031041543/gateway.php có thể đóng vai trò là máy chủ điều khiển phần mềm độc hại hoặc là địa chỉ nguồn để tải xuống các thành phần bổ sung Để trích xuất dữ liệu bị đánh cắp, phần mềm độc hại sẽ liên hệ với máy chủ điều khiển được mã hóa cứng trong cấu hình của nó, thông qua yêu cầu HTTP.Do đó, yêu cầu HTTP POST được khởi tạo đến địa chỉ máy chủ điều khiển (151.248.115.107) trên cổng 80
Mô hình các hành vi của mẫu mã độc:
Khó khăn trong quá trình phân tích mẫu:
Trong quá trình phân tích động mã độc win33.exe, một số khó khăn có thể kể đến như:
Do mã độc này có thể đánh cắp dữ liệu và thông tin người dùng rồi gửi đến máy chủ điều khiển nên việc đảm bảo an toàn về mạng là quan trọng Cần phần giả lập một mạng ảo và đảm bảo sử dụng card mạng là Host-only Adapter, nếu sử dụng NAT hoặt Brigde thì có thể gây lây nhiễn cho hệ thống thật.
Máy chủ điều khiển của mã độc hiện tại không còn hoạt động, nên việc theo dõi các hoạt động trên mạng của mã độc này trở nên khó khăn.
Mã độc sau khi thực thi sẽ tự động xóa bỏ chính nó nên việc theo dõi sẽ có thể bỏ sót tiến trình của nó
Sau khi mã độc chạy, có thể gây lỗi cho explorer khiến nó bị lỗi Cantnot Responding
Cách thức, phương pháp xử lý
Bài demo đã sử dụng fakenet-ng để giả lập một mạng kín giúp cho việc phân tích mã độc trở nên an toàn hơn Ngoài ra fakenet-ng còn có thể ghi log trên
Sử dụng Process Monitor, ta có thể theo dõi lại các tiến trình của mã độc mà đã bị nó xóa bỏ đi trong quá trình chạy bằng chức năng Process Tree Process Explorer không làm được điều này.
Cần tạo các bản Snapshot của máy phân tích trước khi bắt đầu chạy mã để có thể quay lại lúc máy còn an toàn.
Mẫu “SnakeKeylogger.exe”
Các công cụ sử dụng trong quá trình phân tích mẫu:
Giám sát quy trình: Process Hacker,Process Monitor.
Giám sát file: Process Monitor
Fiddler: Xem các yêu cầu web của mã độc
Môi trường phân tích: máy ảo Windows 10 cài đặt trên VMware
Các bước thực hiện quá trình phân tích:
Bước 1: Mở các công cụ phân tích và tạo bản shot đầu tiên
Bước 2: Tiến hành chạy mẫu và phân tích
Khi kiểm tra các tiến trình đang chạy bằng Process Hacker, ta thấy rằng chỉ có
1 tiến trình thuộc phần mềm độc hại đang chạy.
Phần mềm độc hại có thể đã tạo một quy trình khác nhưng ta có thể không nhìn thấy nó vì nó không chạy ngay lập tức Tiến hành kiểm tra hành vi này bằng công cụ procmon.
Nhấn nút "Hiển thị cây quy trình" ở menu trên cùng, procmon sẽ hiển thị cây quy trình mà nó đã tạo trong thời gian ghi lại.
Như có thể thấy trong hình trên, chúng ta thấy rằng quy trình đầu tiên chúng ta chạy có một quy trình con (4280 PID) có tên là "regsvcs.exe".
Regsvcs.exe là một công cụ có tên NET Service Installation Utility, được cài đặt mặc định trong hệ điều hành Windows của Microsoft.
Những kẻ tấn công thường đặt tên cho các ứng dụng mặc định trong hệ điều hành để tránh bị phát hiện Chúng tôi phải xác định xem phần mềm độc hại mà chúng tôi đang kiểm tra có thực sự là ứng dụng hợp pháp xuất hiện theo mặc định trongWindows hay đó là cách kẻ tấn công đặt tên cho phần mềm của riêng mình để ngăn chặn việc bị phát hiện.
Khi kiểm tra thông tin đường dẫn của quy trình, thấy rằng thư mục thực tế chứa công cụ RegSvcs.exe, theo mặc định trong hệ điều hành Windows, xuất hiện. Tuy nhiên, chúng tôi vẫn cần thực hiện kiểm tra hàm băm để xác minh điều này.
Lấy hàm băm "C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe" với sự trợ giúp của công cụ có tên HashMyFile.
Có thể cho rằng phần mềm độc hại tạo ra quy trình này để thực hiện hoạt động độc hại vì nó được tạo bởi phần mềm độc hại Ta đã phát hiện các quy trình phần mềm độc hại với sự trợ giúp của Procmon Tiếp theo, chúng ta cần phát hiện các hoạt động mạng, tệp và đăng ký của các quy trình này.
Trước khi thực hiện phân tích trên Wireshark, hãy kiểm tra xem liệu phần mềm độc hại có thực hiện bất kỳ yêu cầu web nào không, vì nó có thể được kiểm tra dễ dàng hơn.
Khi xem xét ứng dụng Fiddler, thấy rằng có một yêu cầu web do phần mềm độc hại thực hiện (regsvcs.exe, 4280 PID).
Khi kiểm tra yêu cầu web, thấy rằng phần mềm độc hại đưa ra yêu cầu tới checkip.dyndns.org để tìm địa chỉ IP công cộng Những kẻ tấn công thường sử dụng dịch vụ học địa chỉ IP để thực hiện các cuộc tấn công có chủ đích hoặc tìm hiểu địa chỉ IP của nạn nhân Hành vi này có thể được coi là phổ biến đối với phần mềm độc hại.
Khi kiểm tra các hoạt động mạng qua Wireshark, thấy rằng có lưu lượng truy cập SMTP SMTP là giao thức được sử dụng để gửi email Vì ta không gửi email nên có thể nói rằng đây là một lưu lượng truy cập rất đáng ngờ.
Có thể thấy rõ tất cả lưu lượng SMTP bằng cách nhấp chuột phải vào bất kỳ gói SMTP nào và nhấp vào “Theo dõi” rồi nhấp vào “Dòng TCP”.
Nếu kiểm tra lưu lượng SMTP, ta thấy rằng phần mềm độc hại kết nối với máy chủ thư của skychine[.]com[.]my và gửi email đến Graceunlimited153@gmail[.]com với " Pc Name: admin | Snake Keylogger ".
Khi nhìn vào nội dung thư, chúng ta thấy có nhiều tệp đính kèm có tên như
"Password.txt", "User.txt" Để đưa nội dung về định dạng có thể đọc được, chúng ta phải giải mã base64
Ta có thể thấy từ tiêu đề chủ đề và nội dung email, phần mềm độc hại đã phân tích thực sự là Snake Keylogger.
Khi xem nội dung e-mail, chúng ta có thể thấy phần mềm độc hại gửi tên người dùng, thông tin mật khẩu của ứng dụng web và địa chỉ IP của thiết bị.
Những kẻ tấn công thường gửi thông tin chúng có được đến địa chỉ email của chính chúng bằng cách sử dụng máy chủ SMTP mà chúng đã chiếm giữ trước đó Nói cách khác, tên miền skychine[.]com[.]my thực chất là một máy chủ SMTP không độc hại nhưng bị kẻ tấn công chiếm quyền điều khiển và sử dụng cho mục đích xấu Tuy nhiên, vì email gửi được gửi đến địa chỉ email của kẻ tấn công nên địa chỉ Graceunlimited153@gmail.com rất có thể thuộc về kẻ tấn công.
Bây giờ chúng tôi đã hoàn thành phân tích phần mềm độc hại, chúng tôi có thể kết hợp thông tin chúng tôi đã thu thập được Chúng tôi đã phát hiện ra rằng: