Quy trình phân tích mã độc và các tool sử dụng

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Quy trình phân tích mã độc và các tool sử dụng
KHÁI QUÁT VỀ QUÁ TRÌNH PHÂN TÍCH MÃ ĐỘC

wireshark whitehat.jpg

1. Sử dụng sanbox để đánh giá ban đầu về mẫu https://zeltser.com/automated-malware-analysis/
2. Thiết lập môi trường máy ảo để kiểm soát, cô lập mã độc phục vụ quá trình phân tích https://zeltser.com/build-malware-analysis-toolkit/
3. Kiểm tra các thuộc tính file như: kích thước, version, chữ ký số... để có sơ loại và đưa ra các giả thuyết ban đầu
4. Thực hiện phân tích hành vi để kiểm tra các tác động vào môi trường của mẫu
5. Thực hiện phân tích tĩnh code để hiểu về các hành vi bên trong của mẫu
6. Thực hiện phân tích động để hiểu hơn về các khía cạnh khó hơn mà phân tích tĩnh không nhìn ra được
7. Nếu mẫu bị pack, nếu cầu thì anpack mẫu
8. Nghiên cứu memory để bổ sung các phát hiện khác https://digital-forensics.sans.org/media/Poster_Memory_Forensics.pdf
9. Lặp lại bước 4-8 có thể khác thứ tự đến khi đạt được mục tiêu phân tích
10. Viết tài liệu thật chi tiết, rõ ràng các hành vi, kỹ thuật của mẫu https://zeltser.com/malware-analysis-report/

PHÂN TÍCH HÀNH VI

- Trở lại các snapshot cần thiết của máy ảo
- Monitor hành vi(Process Explorer, Process Monitor, ProcDOT, Noriben).
- Phát hiện các tác động độc hại của mẫu (RegShot, Autoruns).
- Monitor mạng (Wireshark, Fiddler).
- Chuyển hướng mạng (fakedns, FakeNet-NG).

PHÂN TÍCH TĨNH - IDA PROC
upload_2017-8-31_21-20-26.png


PHÂN TÍCH ĐỘNG x64dbg/x32dbg hoặc OLLY
upload_2017-8-31_21-24-6.png


UNPACK CODE


- Xác định các trình pack (Detect It Easy, Exeinfo PE, Bytehist, peframe...)
- Thử anpack nhanh memory trên máy ảo(Scylla)
- Tìm OEP trong môi trường của debugger với OllyDumpEx.
- Để tìm OEP, dự đoán gần cuối của trình unpack và thiết lập breakpoint.
- Thiết lập thử một số breakpoint trong memory, stack để bắt được code clear
- Thử đặt breakpoint thử ở một số hàm hay dùng cho quá trình unpack như: VirtualAlloc, LoadLibrary...
- Thử đặt breakpoint thử ở một số hàm hay inject process như VirtualAllocEx, WriteProcessMemory....
- Fix bảng import Imports Fixer, UIF, pe_unmapper.

CÁC PHÂN TÍCH KHÁC

- Giải mã obfuscated sử dụng FLARE, xorsearch, Balbuzard
- Giải mã data trong quá trình phân tích động bằng các đặt breakpoint sau hàm giả mã để xem kết quả
- Vô hiệu hóa các chức năng antidebug
- Để ý vào các lệnh nhảy trong quá trình phân tích thông qua TLS, SEH, RET, CALL
- Nếu phân tích shell code dùng scdbg and jmp2it.
- Vô hiệu hóa ASLR thông qua setdllcharacteristics, CFF Explorer.

Nguồn https://zeltser.com/malware-analysis-cheat-sheet/
 
Chỉnh sửa lần cuối bởi người điều hành:
Cho hỏi tại sao tôi không tải được
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đúng ạ tôi muốn tải tool xin bạn hãy hướng dẫn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đúng ạ tôi muốn tải tool xin bạn hãy hướng dẫn
Link tải tool cho bạn:
- Máy ảo Virtualbox: https://www.virtualbox.org/wiki/Downloads
- Các tool monitor
+ Monproc: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
+ Autorun: https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
- Tool CFF xem thông tin file: http://www.ntcore.com/exsuite.php
- Các tool phân tích:
+ Olly: http://www.ollydbg.de/
+ IDA: https://www.hex-rays.com/products/ida/
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Hana and XJN
Comment
Xin chân thành cảm ơn<3
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
bài viết rất hay xin cảm ơn ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: HustReMw
Comment
Thẻ
phân tích mã độc tool
Bên trên