Debug MBR thật đơn giản

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Debug MBR thật đơn giản
Như chúng ta biết, MBR được chạy trước cả hệ điều hành. Vậy làm sao để debug được MBR? Điều này dường như không thể. Trong bài viết này mình sẽ cùng các bạn làm điều không thể đó :)

1700030420447.png

Trong năm 2016, ransomware đạt đến đẳng cấp mới, xuất hiện các mẫu ransomware mã hóa MBR, như mình được biết mẫu đầu tiên là Ransomware Petya. Mình sẽ lấy luôn mẫu Petya để thực hành trong bài viết này.

Dưới đây là các bước debug MBR.

- Download và cài đặt các tool sau trong máy ảo:
- Tạo một ổ đĩa ảo:
  • Vào thư mục “C:program FilesBochs-2.6.8” chạy file bximage.exe với các tham số mặc đinh. Enter và Enter.
  • Ổ đĩa ảo mặc định như hình dưới là: c.img
1489939953Capture.PNG

- Tạo file config: Tạo file “bochsrc.bxrc” trong “C:program FilesBochs-2.6.8”. Nội dung như hình bên dưới

1489939953Capture.PNG

- Sử dụng tool HxD copy code Ransomware Petya vào ổ đĩa ảo c.img vừa tạo ở trên.

1489939953Capture.PNG

- Debug MBR:
  • Tới đây là chúng ta đã có một môi trường debug hoàn hảo
  • Chạy file bochsdbg.exe. Để bắt đầu debug
  • Sử dụng các nút: Step, Step[N], Break[^c]... để debug. Chắc hẳn các bạn nhìn vào cũng đoán được chắc năng của các nút @@
1489939953Capture.PNG

Và đây, thành quả của chúng ta: Giao diện tống tiền của ransomware Petya

1489939953Capture.PNG

Thật là đơn giản phải không các bạn! Bài viết tới mình sẽ phân tích chi tiết mẫu ransomware Petya này. Các bạn nhớ theo dõi nhé.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Nếu có thời gian bạn phân tích mẫu Spora mới này được không, vì tò mò nó có thể thể mã hóa các tập tin mà không cần kết nối với máy chủ C&C.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cơ chế của loại ransomware này thường là:
- Mã hóa file bằng thuật toán đối xứng(như AES)
- Key mã hóa file sẽ được mã hóa bằng thuật toán bất đối xứng như(RSA) và key public của RSA sẽ được lưu luôn trong ransomware(có thể trong resource)
=> Nên không cần kết nối mạng bạn ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
debug mbr
Bên trên