Ngồi ra cịn các chức năng như: Dùng kiểu tấn công syn flood một máy nào đó, và tìm giải mã hệ thống lưu trữ bảo vệ Pstore của windows. Dùng các hàm API tại Pstore.dll để lấy và giải mã các dữ liệu.
Trên đây đã phân tích các kỹ thuật của file chính là rewrite process thành một con mới là một botnet IRC.
4.6 Viết báo cáo với mẫu vừa phân tích.
I. CONF4.exe
SHA256:1c09b262b940d22c7f0b6956aee0949a640db66616bf70e4cdf6b 1e7eae06828
SHA1: fd24495048ce85e39174b0f9f6fc5597137b84d5 MD5: ceea769e2b3dfc45ce8f0075541a5939
File size: 112.7 KB( 115376 bytes) File name: conf4.exe
File type: Win32EXE
Code bằng Borland Delphi( 2.0-7.0) và VisualC++ 6.0 II. Thông tin chung
- File là một Spy Bot Net đã bị 22/44 trình diệt virus phát hiện theo virus total xác định.
III. Các hoạt động cụ thể.
Kiểm tra các chương trình thực hiện việc phân tích như wireshark,… và hàm kiểm tra sanbox, vmware…
175
Hình 4-65: Kiểm tra mơi trường phân tích
Thực hiện việc đăng kí, tạo thread tự động copy file, dùng các API CopyFileA copy file virus sang, tạo mới các file desktop.ini đăng kí các khóa autorun:
Hình 4-66: Tạo autorun
Tạo các thread với hàm chính của Bot, để duy trì nhận lệnh bot từ xa từ C&C server: New.gov.me.
Các chức năng của Bot tìm thấy: - Tự hủy
- Xóa Registry key
- Tự tạo file.bat remove các file - Download các file tự cập nhật
176
Hình 4-67 Lây lan file crack vào cacsi file .rar
- Spam email ( gửi file zip ), Spam lấy thông tin các loại tài khoản yahoo, MSN, Spype
- Đưa file lây nhiễm vào mạng P2P torrent
Hình 4-68 Lây nhiễm vào mạng P2P torrent - Tấn công Dos các mục tiêu chỉ định ( syn flood)
- Tìm giả mã hệ thống bảo vệ Pstore của Windows
177
Chương 5
CÁC KỸ THUẬT PHÂN TÍCH ĐỘNG
Phân tích động là một trong nhiều phương pháp sử dụng để phân tích mã độc hại.
5.1 Kỹ thuật phân tích động sử dụng Sandbox
Việc xây dựng hệ thống tự động phân tích mã độc hại thì đã có rất nhiều hãng trên thế giới đã thực hiện, họ cũng sử dụng có rất nhiều cơng nghệ khác nhau. Có thể kể đến các hãng như :
- Threat Expert : www.threatexpert.com
- Anubis http://analysis.seclab.tuwien.ac.at/
- CWSandbox http://research.sunbelt-software.com/ViewMalware.aspx - Norman Sandbox http://www.norman.com/microsites/nsic/en-us - Joebox http://www.joebox.com
Tuy nhiên thường các hãng thì khơng nói rõ cách thức tạo hệ thống tự động phân tích mã độc hại và phương pháp để phân tích chi tiết rõ ràng như thế nào. Mà thường chỉ cho cho người phân tích gửi mẫu lên và sau một thời gian nhận kết quả qua email về.
Chỉ có hãng Joebox nêu đặc điểm cách xây dựng và những cách họ áp dụng, về thế phần tiếp sau đây sẽ mơ tả q trình phát triển hệ thống tự động phân tích mã độc hại của họ qua từng phiên bản.
5.1.1 Công nghệ Sanbox của Joebox
5.1.1.1 Giới thiệu hãng Joebox
Joe Security là một tổ chức được điều hành bởi Stefan Buehlmann BSc FHNW người hiện giờ đang theo đuổi bằng Master ở It-Security tại Security Engineering Lab tại khoa Engineering and Information Technology của trường Bern University of Applied Sciences, Switzerland. Anh có sở thích đăc biệt với các chương trình mức thấp, mạng máy tính và các hệ thống phân tán, thiết kế hệ điều hành và các ứng dụng bảo mật. Anh ta là người đứng đầu JoeSecurity.
Mục đích của họ là thực thi một hệ thống phân tán cỡ lớn, cơ sở hạ tầng để thu thập, phân tích, đánh giá và chống lại mã độc hại trên môi trường Windows.
178
Thành viên trong JoeSecurity khá ít ngồi Stephan chỉ có thêm Christopher Liebchen là một sinh viên từ Đức hiện giờ nghiên cứu về tin học tại trường Darmstadt. Đây là 1 người cũng rất thích nghiên cứu mã độc hại và các chương trình cấp thấp và dịch ngược.
5.1.1.2 Giới thiệu về công nghệ Sandbox Joebox sử dụng
Sandbox là một hệ thống tự động tìm kiếm và ghi lại hoạt động của mã độc hại. Ứng dụng Sandbox này được trong suốt với mã độc hại. Các log file được sử dụng phân tích và biết được hành vi mã độc hại và từ đó nắm được những hành vi xấu lên hệ thống từ đó có thể xây dựng chương trình xóa mã độc hại.
Thường thì sandbox được xây dựng bằng máy ảo. Tuy nhiên hiện giờ rất nhiều mã độc hại có nhiều phương pháp dị tìm ra việc này. Kết quả là hacker sử dụng nhiều kỹ thuật để chặn đứng việc nghiên cứu hoặc làm chậm việc phân tích mã độc hại mới nếu như người phân tích sử dụng mơi trường máy ảo.
Chính vì thế hãng Joe Security đã sử dụng một hệ thống thực thành vì giả lập các phần mềm. Họ thiết kế những phần cứng đặc biệt.
Việc phân tích được chú trọng đầu tiên vào windows XP và windows Vista.
5.1.1.3 Thiết kế hệ thống Sandbox của hãng Joebox
Joebox application sử dụng một máy tính thật để phân tích mã độc hại. Phần mềm này được thể hiện dưới 4 phần dưới đây.