Đang tải... (xem toàn văn)
PHÂN TÍCH MÃ ĐỘC 1. Phân tích động Mô hình phù hợp để phân tích mã độc. Cài 2 máy tính ảo kali + xp chỉ 2 máy tính kết nối với nhau Máy ảo kali chạy phần mềm giả lập internet inetsim Phương pháp phân tích tĩnh Khác với phương pháp phân tích hoạt động, phương pháp phân tích tĩnh cho phép Phân tích để xác định ngôn ngữ lập trình mã độc Xác định chương trình nén hay cơ chế bảo vệ tránh dịch ngược. Thực hiện giải nén đưa về định dạng phù hợp Dùng các công cụ gỡ lỗi, debug mã độc khi không thể dịch ngược hoặc việc dịch ngược thiếu hiệu quả Mã độc hại thường có các kỹ thuật chống dịch ngược, có các kỹ thuật chống debug (antidebug) và người phân tích cần phải vượt qua việc này để phân tích (antidebug)
PHÂN TÍCH MÃ ĐỘC Phân tích động - Mơ hình phù hợp để phân tích mã độc Cài máy tính ảo kali + xp máy tính kết nối với Máy ảo kali chạy phần mềm giả lập internet inetsim ( Đi thi kì, viết báo cáo ptmd, cơng cụ để phân tích động, đề thi hỏi phần dùng cơng cụ đó) - Cơng cụ theo dõi tiến trình prosess Monitor - Cơng cụ quan sát tiến trình prosess Exproer - Công cụ Regshot quan sát thay đổi registry - Công cụ Wireshark quan sát thông tin kết nối mạng - Công cụ ApateDNS quan sát yêu cầu DNS - Công cụ Netcat quan sát kết nối mạng Các bước phân tích sau: Bước 1: Thực thi chương trình Process Mornitor, Thiết lập lọc với tên mã độc định thực thi Bước 2: Thực thi chương trình Process Explorer Bước 3: Thực thi chương trình Regshot thu thập snapshot chương trình Bước 4: Xem xét lại tồn thông tin kết nối mạng máy sử dụng InetSim ApateDNS Bước 5: Thực thi Wireshark để ghi lại tồn thơng tin phân tích mạng Sau hoàn thành toàn bước thực cơng việc kích hoạt mã độc vào sau khoảng thời gian ngừng lại chương trình phân tích, từ phân tích thơng tin thu 2 Phương pháp phân tích tĩnh Khác với phương pháp phân tích hoạt động, phương pháp phân tích tĩnh cho phép - Phân tích để xác định ngơn ngữ lập trình mã độc - Xác định chương trình nén hay chế bảo vệ tránh dịch ngược - Thực giải nén đưa định dạng phù hợp - Dùng công cụ gỡ lỗi, debug mã độc dịch ngược việc dịch ngược thiếu hiệu - Mã độc hại thường có kỹ thuật chống dịch ngược, có kỹ thuật chống debug (anti-debug) người phân tích cần phải vượt qua việc để phân tích (anti-debug) - Cơng cụ phân tích: + Cơng cụ Peid xác định tệp tin phân tích có bị nén không (dã coppy tool) + Công cụ Dependency Walker xác định tệp tin dll + Công cụ PEView, xem thông tin trường định dạng PeFile + Công cụ HexEditor xem thông tin tệp tin dạng hex + Công cụ IDA pro phần mềm xem mã Assembly tệp tin + Công cụ OllyDebug phần mềm hỗ trợ debug cho tệp tin + Các cơng cụ hỗ trợ Unpack + Ngồi cịn nhiều phần mềm hỗ trợ phân tích khác Bước 1: Sử dụng cơng cụ Peid xác định tệp tin phân tích có bị nén khơng? Bước 2: Nếu bị nén file giải nén fike thủ cơng cơng cụ giải nén hỗ trợ Ví dụ mẫu bị nén UPX, giải nén file thủ cơng sử dụng Khi thi điền vào báo cáo I.Virustotal Điền giá trị mã băm hash Virustotal -> Details MD5 bb7425b82141a1c0f7d60e5106676bb1 (SHA-1/SHA-256) SHA-1 9dce39ac1bd36d877fdb0025ee88fdaff0627cdb File tyle:…… Dùng công cụ TRID kiểm tra kiêu file Win64 EXE Information of File: A, File tạo ngơn ngữ lập trình nào? Microsoft Visual C++ 6.0 Dùng cơng cụ PEID B, Kích thước File ?(ghi xác bytes) 16,384 bytes C, Ngày tạo file (property -> Detals) 2:19 AM ngày 1/8/2012 D, Người tạo ra(nếu có) (property -> Detals) Last Ana (lần phân tích cuối cùng) A, Số phần mềm phát mã độc? (Virustotal) 48/69 B, Đặt tên đa phần mà gì? (trojan,…) Trojan C, Xem ngày cuối phân tích (Virustotal -> Detail ->History 2020-10-03 20:50:59 D, Liệt kê số tên để điền vào loveletter.exe ex1.exe String Để tìm thú vị II Cơng cụ Peview Time Date Stamp: 19/12/2010 sun 16:16:19UTC III Cơng cụ PEID Nếu có pack dùng PEID kiểm tra xem có nén khơng? Có nén giải nén, đưa vào cơng cụ để kiểm tra Nếu bị nén file giải nén file thủ công công cụ giải nén hỗ trợ Link nghiên cứu cách giải nén: https://whitehat.vn/threads/upx-pack-vaunpack.4696/ A, Entrypoint 00001820 B, Ngôn ngữ tạo Microsoft Visual C++ 6.0 IV DepenDne Kiểm tra xem cơng cụ gọi đến cơng cụ nào? (Giải thích ý nghĩa) Sơ đồ có ý nghĩa gì? (ví dụ KERNEL32 có ý nghĩa gì?) Trong virustotal -> Details -> Imports KERNEL32.dll Tệp Kernel32.dll xử lý việc sử dụng nhớ "Microsoft Windows" Đây tệp cần thiết để "Windows" hoạt động bình thường Khi bạn khởi động PC - kernel32.dll tải vào không gian bảo vệ nhớ sau định vị ứng dụng khác muốn tải vào nhớ Khơng có hoạt động “Windows” tệp kernel32.dll bị hỏng, bị di chuyển bị xóa MSVCRT.dll Tệp msvcrt.dll phần "Microsoft Visual Studio 6.0" quan trọng để hầu hết ứng dụng hoạt động bình thường Nó chứa mã chương trình cho phép ứng dụng viết "Microsoft Visual C ++" chạy cách Mã chương trình công cụ so sánh chuỗi phép toán toán học phép toán lượng giác Đây tập tin có giá trị lập trình viên V Phân tích động: (có thi phần) (Thực máy ảo) Các bước: B1: Mở Procmon.exe Mở Filter (lọc) Lọc theo tên tên tiến trình -> is -> Pei đại diện cho tiến trình B2: Mở Procexp exe Trình bày theo mơ hình Chạy tiến trình nào? B3: Thực thi chương trình Regshot chụp ảnh sau chạy xong chụp ảnh lại Có thay đổi?, Key mời? Cịn lại có u cầu dùng CFF Explorer làm ... nén không (dã coppy tool) + Công cụ Dependency Walker xác định tệp tin dll + Công cụ PEView, xem thông tin trường định dạng PeFile + Công cụ HexEditor xem thông tin tệp tin dạng hex + Công cụ... cần thiết để "Windows" hoạt động bình thường Khi bạn khởi động PC - kernel32.dll tải vào không gian bảo vệ nhớ sau định vị ứng dụng khác muốn tải vào nhớ Khơng có hoạt động “Windows” tệp kernel32.dll... pack dùng PEID kiểm tra xem có nén khơng? Có nén giải nén, đưa vào cơng cụ để kiểm tra Nếu bị nén file giải nén file thủ công công cụ giải nén hỗ trợ Link nghiên cứu cách giải nén: https://whitehat.vn/threads/upx-pack-vaunpack.4696/