Debug MBR thật đơn giản

[HustReMw]

Như chúng ta biết, MBR được chạy trước cả hệ điều hành. Vậy làm sao để debug được MBR? Điều này dường như không thể. Trong bài viết này mình sẽ cùng các bạn làm điều không thể đó

​

Trong năm 2016, ransomware đạt đến đẳng cấp mới, xuất hiện các mẫu ransomware mã hóa MBR, như mình được biết mẫu đầu tiên là Ransomware Petya. Mình sẽ lấy luôn mẫu Petya để thực hành trong bài viết này.

Dưới đây là các bước debug MBR.

- Download và cài đặt các tool sau trong máy ảo:

• Bochs x86 PC Emulator: Là tool dùng để debug MBR, nó sẽ tạo ra một ổ đĩa ảo để debug. (https://sourceforge.net/projects/bochs/files/bochs/)
• HxD: Là tool để xem mã hex MBR của ổ đĩa(https://mh-nexus.de/en/downloads.php?product=HxD)

- Tạo một ổ đĩa ảo:

• Vào thư mục “Crogram FilesBochs-2.6.8” chạy file bximage.exe với các tham số mặc đinh. Enter và Enter.
• Ổ đĩa ảo mặc định như hình dưới là: c.img

​

- Tạo file config: Tạo file “bochsrc.bxrc” trong “Crogram FilesBochs-2.6.8”. Nội dung như hình bên dưới

​

- Sử dụng tool HxD copy code Ransomware Petya vào ổ đĩa ảo c.img vừa tạo ở trên.

- Debug MBR:

• Tới đây là chúng ta đã có một môi trường debug hoàn hảo
• Chạy file bochsdbg.exe. Để bắt đầu debug
• Sử dụng các nút: Step, Step[N], Break[^c]... để debug. Chắc hẳn các bạn nhìn vào cũng đoán được chắc năng của các nút @@

​

Và đây, thành quả của chúng ta: Giao diện tống tiền của ransomware Petya

​

Thật là đơn giản phải không các bạn! Bài viết tới mình sẽ phân tích chi tiết mẫu ransomware Petya này. Các bạn nhớ theo dõi nhé.

 

Nếu có thời gian bạn phân tích mẫu Spora mới này được không, vì tò mò nó có thể thể mã hóa các tập tin mà không cần kết nối với máy chủ C&C.

 

Cơ chế của loại ransomware này thường là:
- Mã hóa file bằng thuật toán đối xứng(như AES)
- Key mã hóa file sẽ được mã hóa bằng thuật toán bất đối xứng như(RSA) và key public của RSA sẽ được lưu luôn trong ransomware(có thể trong resource)
=> Nên không cần kết nối mạng bạn ạ