Debug MBR thật đơn giản

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 14/01/17, 01:01 AM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 507
    Đã được thích: 236
    Điểm thành tích:
    43
    Như chúng ta biết, MBR được chạy trước cả hệ điều hành. Vậy làm sao để debug được MBR? Điều này dường như không thể. Trong bài viết này mình sẽ cùng các bạn làm điều không thể đó :)

    Trong năm 2016, ransomware đạt đến đẳng cấp mới, xuất hiện các mẫu ransomware mã hóa MBR, như mình được biết mẫu đầu tiên là Ransomware Petya. Mình sẽ lấy luôn mẫu Petya để thực hành trong bài viết này.

    Dưới đây là các bước debug MBR.

    - Download và cài đặt các tool sau trong máy ảo:
    - Tạo một ổ đĩa ảo:
    • Vào thư mục “C:program FilesBochs-2.6.8” chạy file bximage.exe với các tham số mặc đinh. Enter và Enter.
    • Ổ đĩa ảo mặc định như hình dưới là: c.img
    [​IMG]








    - Tạo file config: Tạo file “bochsrc.bxrc” trong “C:program FilesBochs-2.6.8”. Nội dung như hình bên dưới [​IMG]







    - Sử dụng tool HxD copy code Ransomware Petya vào ổ đĩa ảo c.img vừa tạo ở trên.
    [​IMG]







    - Debug MBR:
    • Tới đây là chúng ta đã có một môi trường debug hoàn hảo
    • Chạy file bochsdbg.exe. Để bắt đầu debug
    • Sử dụng các nút: Step, Step[N], Break[^c]... để debug. Chắc hẳn các bạn nhìn vào cũng đoán được chắc năng của các nút @@
    [​IMG]








    Và đây, thành quả của chúng ta: Giao diện tống tiền của ransomware Petya [​IMG]








    Thật là đơn giản phải không các bạn! Bài viết tới mình sẽ phân tích chi tiết mẫu ransomware Petya này. Các bạn nhớ theo dõi nhé.
     
    Last edited by a moderator: 14/01/17, 10:01 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Math95

    Math95 W-------

    Tham gia: 25/03/16, 09:03 AM
    Bài viết: 47
    Đã được thích: 15
    Điểm thành tích:
    18
    Nếu có thời gian bạn phân tích mẫu Spora mới này được không, vì tò mò nó có thể thể mã hóa các tập tin mà không cần kết nối với máy chủ C&C.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 507
    Đã được thích: 236
    Điểm thành tích:
    43
    Cơ chế của loại ransomware này thường là:
    - Mã hóa file bằng thuật toán đối xứng(như AES)
    - Key mã hóa file sẽ được mã hóa bằng thuật toán bất đối xứng như(RSA) và key public của RSA sẽ được lưu luôn trong ransomware(có thể trong resource)
    => Nên không cần kết nối mạng bạn ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan