Phân tích mẫu Spyware nghe lén, chụp Webcam

Malware

Wh------
08/01/2015
41
56 bài viết
Phân tích mẫu Spyware nghe lén, chụp Webcam
Bài viết trước mình viết bài phân tích mẫu spyware với hành vi keylogger. Hôm nay mình sẽ tiếp tục phân tích mẫu một mẫu spyware có thêm hành vi nghe lén và chụp ảnh thông qua webcam.
Thông tin mẫu trên VirusTotal

14899399393.1.png


14899399393.2.png

Thông tin mẫu trên VirusTotal​


Mẫu spyware với các hành vi gián điệp nguy hiểm đặc biệt nguy hiểm như
- Lấy thông tin các phân vùng.
- Chụp ảnh màn hình
- Keylogger
- Nghe lén
- Chụp ảnh bằng webcam
- Điều khiển từ xa.
- Tải các file thực thi từ trên server và thực thi
- Lấy thông tin các tiến trình trên hệ thống.
- Xóa Eventlog
- Uninstall Malware
- Update các phiển bản malware mới
Thông tin về file:
- File type: DLL
- Kích thước file: 106 KB
- Chạy dưới quyền service “svchost.exe” và quyền user “rundll32.exe”
C&C
- evn.myddns.com
- evn.dynamic-dns.net
- www7216ou.sakura.ne.jp
Thông tin hành vi chi tiết
14899399393.3.png

Case xử lý lệnh nhận được từ server


14899399393.4.png

Lấy thông tin các phân vùng của ổ cứng
14899399393.5.png

Chụp ảnh màn hình

14899399393.7.png

Keylogger xử dụng kỹ thuật SetWindowHook​
14899399393.8.png

Nghe lén
14899399393.9.png

Chụp ảnh bằng webcam


14899399393.10.png

Điều khiển từ xa​

14899399393.11.png

Tải file thực thi từ server và thực thi
14899399393.12.png

Lấy thông tin các tiến trình và module trên hệ thống


14899399393.13.png

Xóa EventLog

14899399393.14.png

Uninstall Malware​




Trên đây là bài viết sơ lược về hành vi của một mẫu spyware nghe lén và chụp ảnh qua webcam thực tế để mọi người có thể hình dung được cơ chế hoạt động của một spyware chụp webcam và nghe lén điển hình. Từ đó có thể phát hiện và xử lý nếu gặp phải.
 
Chỉnh sửa lần cuối bởi người điều hành:
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

Đọc xong bài viết mà chả thu được kiến thức gì @@
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

thread viết cái j đây??? :confused:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

Vãi thật, trình độ còn kém. Đọc chả hiểu gì!!!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

Bạn không hiểu chỗ nào? :D. Góp ý những chỗ chưa được để mình bổ sung :)
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

Em thấy bài viết rất hay và khó .
a) Để tóm được con virus này thì phải biết được (hoặc đoán trước) các sự cố nó tạo ra
b) Tóm được rồi thì phải có tool để giải mã code của nó ra bằng C
c) Nhưng mà em chưa có lập trình được C, mà chỉ biết về C# một chút vậy thì hiểu sao giờ ?

Xin các bác chỉ giáo giúp cho . Mà cho em hỏi thêm là, nếu họ viết virut thì họ cần PHẢI biết lõi Code của windows không ? Hay chỉ viết theo các lệnh của windows ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

a. Mục đích bài này mình nói về phân tích. không nói về cách rà soát :).
b.Tool bạn có thể dùng IDA.
c. Khi viết bài này. Mặc định là bạn phải có kiến thức về Lập trình C, Windows API, File PE, Ollydbg, IDA....., Nên vì thế bạn nên tìm hiểu tìm hiểu các kiến thức này trước khi đọc bài viết.
d. Mình vẫn chưa hiểu rõ câu hỏi của ban. ""cần PHẢI biết lõi Code", ""theo các lệnh của windows". Mình tạm trả lời là code theo Windows API.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

xin cảm ơn các anh DiepNV88 và anh sunny đã xem và trả lời phần thắc mắc của em.
a) = ok , b) decode = IDA ( hoặc các tool khác ) ok.

c ) > em hỏi ý là có phải, hoặc có phải tìm hiểu hoặc cố tình tìm cho ra ( nếu có thể ) về códe của lõi windows (là một os phổ dụng) để tìm khe hở mà viết các tool, hoặc virut để khai thác, hay chỉ viết các loại viruts kiểu như là, keylogs, delete files , format ổ = những lệnh của chính Os sẵn có . Viết xong thì "lừa" victim vô là gọi là viruts ? ý là vậy ạ. :)D) . Vì thường thi em đọc, thấy bên họ linux họ có shell code open. Vậy thì việc khai thác thì phải hiểu rõ và tìm được các, điểm iếu rồi viết tool . Còn windows code họ ko open, nên ý em là chỉ viết virust trên nền các lệnh của Windows được thôi phải không ạ . Thanks kiu verry bigs .
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

Thứ 1: Mình trả lời bạn mà bạn lại đi cám ơn người khác --> Thấy hơi bị động chạm lòng tự trọng :|.
Thứ 2: Mình đọc câu hỏi của bạn càng đọc càng không biết bạn đang hỏi gì. Nên mình trả lời tạm thời trả lời theo ý mình hiểu như sau:

Virus nghĩa gốc của nó là loại malware có tính lây vào các file chương trình khác. Khái niệm như bạn nói nó không virus mà chuẩn phải là Malware. Nhưng do thói quen thì thường gọi malware là virus. Còn cái shell code và tool bạn nói đến là 1 loại malware khai thác lỗ hổng phần mềm . Khai thác lỗ hổng thì bạn cần phải tìm được lỗ hổng sau đó tìm các khai thác và viết shell code để khai thác nó sau khi làm bằng tay "ngon lành cành đào" thì viết thành tool.

Đó là câu trả lời nếu lạc đề trả lời không đúng câu hỏi của bạn thì bỏ qua nhé. Mình chỉ hiểu được câu hỏi của bạn đến mức đấy thôi.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

Ôi chết thật, em xin lỗi anh Malware nhé, em là lính mới tham gia diễn đàn nên còn nhiều thiếu sót mong bác thông cảm, em click cảm ơn nhé, em bấm nút cảm ơn rồi đó. Xin anh thông cảm cho em nhé, em ko có ý gì cả, chỉ vì là member mới nên chưa có biết sài forum sao cho chuẫn mà.
cảm ơn anh nhiều vì đả quan trâm trả lời em. Giờ thì em rõ hơn rồi về Malware và viruts, theo như cách anh giải thích thì khái niệm Malware và Viruts chúng khá là ok giống nhau, chúng chỉ khác nhau ở mục đích và cách thức phá hoại . Giờ em đang tính lọ mọ thử code con keylogs bằng C#, sau đó làm sao cho nhẹ gọn và chạy ngon, rồi phiên bản tiếp lên có thể nó sẽ có thêm vài chức năng khác như gửi mail, tự sao chép v.v tóm lại em phải bắt đầu thôi, sẽ rất khó khăn đó nha, nhưng hy vọng em sẽ vô đây học hỏi các anh. Zô zo.:cool:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

"Malware và Viruts chúng khá là ok giống nhau" --> Virus là tập con của Malware. Ngoài ra còn có trojan, worm... Tất cả đều là 1 tập con của malware. Malware là tổng hợp các tập con đó hợp lại.

Gợi ý thêm cho bạn nữa là: Có rất nhiều mẫu trojan viết bằng C# trong đó có mẫu "
Shadow KeyLogger" bạn có thể tham khảo thêm mẫu đó.



 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

chẳng hiểu gì
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
huhu hình die hết rồi T___T
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Malware : bạn vui lòng up lại hình cho các bạn thành viên theo dõi bài viết nhé. thanks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thanks bác đã đăng bài.Nhưng không có mẫu dựng lab thì bài này khó khó hiểu đây là 1 mẫu malware mạng bạn đơn thuần chỉ đang phân tích tĩnh các module.Theo mình thấy không khả quan lắm cho việc học tập.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên