Phân tích Cerber ransomware

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phân tích Cerber ransomware
Hi, Như mình đã chia sẻ ở bài viết trước, hôm nay mình và các bạn cùng đi vào phân tích mẫu ransomware Cerber để nắm được quá trình sử dụng trich BypassUAC.

1700032300566.png

Sau đây chúng ta cùng đi vào các hành vi chi tiết của ransomware này:

Đây là sơ đồ tổng quan mô tả các bước BypassUAC của ransomware Cerber. Nhìn cũng dễ hiểu, phải không các bạn :D


1489939954Capture.PNG
  • Tìm File EXE, DLL để tấn công, lợi dụng để nâng quyền UAC
Căp Exe mà Ceber chọn để tấn công và nâng quyền là AdapterTroubleshooter.exe, d3d9.dll

1489939954Capture.PNG

1489939954Capture.PNG

Đây là đoạn code mà Cerber khi đè vào d3d9.dll và lợi dụng EXE để load và chạy code độc hại. Nhìn vào ảnh dưới ta thấy, đoạn code độc hại ghi đè vào có hành vi Create process chính Crerber lên.


1489939954Capture.PNG
  • Inject code vào Explorer.exe để ShellExcuteEx EXE
1489939954Capture.PNG

Chúng ta thấy, rasomware Cerber cũng không có gì quá cao siêu cả :D. Để BypassUAC nó lợi dụng sự kế thừa quyền của tiến trình(tiến trình con có đầy đủ các quyền của tiến trình cha) và một số quyền đặc ân windows ban cho explorer.exe.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
UAC = User Acount Control, phải không bạn?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Anh HustReMw ơi. E đang tìm hiểu về ransomware để làm bài tập lớn. Em thấy trên mạng viết chung chung quá. Anh có thể gửi cho em một số bài viết phân tích hoặc nghiên cứu về một con ransomware cụ thể không anh.
Em cảm ơn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Vâng a nktung @@
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
cerber ransomware
Bên trên