Phân tích Cerber ransomware

[HustReMw]

Hi, Như mình đã chia sẻ ở bài viết trước, hôm nay mình và các bạn cùng đi vào phân tích mẫu ransomware Cerber để nắm được quá trình sử dụng trich BypassUAC.

​

Sau đây chúng ta cùng đi vào các hành vi chi tiết của ransomware này:

Đây là sơ đồ tổng quan mô tả các bước BypassUAC của ransomware Cerber. Nhìn cũng dễ hiểu, phải không các bạn

​

• Tìm File EXE, DLL để tấn công, lợi dụng để nâng quyền UAC

Căp Exe mà Ceber chọn để tấn công và nâng quyền là AdapterTroubleshooter.exe, d3d9.dll

​

Đây là đoạn code mà Cerber khi đè vào d3d9.dll và lợi dụng EXE để load và chạy code độc hại. Nhìn vào ảnh dưới ta thấy, đoạn code độc hại ghi đè vào có hành vi Create process chính Crerber lên.

​

• Inject code vào Explorer.exe để ShellExcuteEx EXE

​

Chúng ta thấy, rasomware Cerber cũng không có gì quá cao siêu cả . Để BypassUAC nó lợi dụng sự kế thừa quyền của tiến trình(tiến trình con có đầy đủ các quyền của tiến trình cha) và một số quyền đặc ân windows ban cho explorer.exe.

 

UAC = User Acount Control, phải không bạn?

 

Anh HustReMw ơi. E đang tìm hiểu về ransomware để làm bài tập lớn. Em thấy trên mạng viết chung chung quá. Anh có thể gửi cho em một số bài viết phân tích hoặc nghiên cứu về một con ransomware cụ thể không anh.
Em cảm ơn

 

Vâng a nktung @@

 

Chào bạn EllyS, bạn có thể tham khảo link mẫu ransomware này https://whitehat.vn/forum/thao-luan/virus-malware/62355-phan-tich-mau-ransomware-petya