Phân tích mã độc - BackDoor

Thảo luận trong 'Virus/Malware' bắt đầu bởi Malware, 10/02/15, 10:02 AM.

  1. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 42
    Điểm thành tích:
    48
    Trong bài viết này mình sẽ giới thiệu khái quát về backdoor cũng như phân tích một mẫu backdoor để giúp các bạn hiểu và có cái nhìn trực quan hơn về loại mã độc này.

    Giới thiệu về backdoor
    Loại mã độc này sau khi được cài đặt vào máy sẽ tự động mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy bị nhiễm, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra.

    Cơ chế xâm nhập vào máy victim:
    Mẫu backdoor được fake tên gần giống với các tiến trình hệ thống của Window như winIogon.exe, Isass.exe… Kẻ tấn công làm việc này để ẩn giấu mã độc, lừa người chạy mã độc vì nếu người dùng không chú ý kỹ sẽ bị nhầm lẫn với file hệ thống.

    Cơ chế hoạt động
    Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau, tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi mở cổng dịch vụ và tải file từ server của mẫu này.
    Cơ chế mở cổng dịch vụ và tải file từ server
    - Bypass Windows FireWall để có thể mở cổng không bị Window phát hiện
    - Lấy thông tin cấu hình máy gửi về server (Thông tin hệ điều hành, Thông tin CPU)
    - Mở cổng lắng nghe
    - Tải và thực thi file nhận từ server

    Chi tiết các hành vi
    Bypass Windows FireWall:
    Mã độc thực hiện kiểm tra key List có tồn tại không. Nếu có nó thay đổi giá trị của trường C:WINDOWSsystem32Isass.exe thành C:WINDOWSsystem32Isass.exe:*:Enabled:Local Security Authority Service
    [​IMG]

    Hình 2: Bypass Windows FireWall​



    Lấy thông tin cấu hình của hệ điều hành:
    Mã độc dùng các hàm GetUserNameA để lấy tên user, GetComputerNameA để lấy tên của computer, hàm GetVersionExA để lấy thông tin phiên bản của hệ điều hành.
    [​IMG]

    Hình 3: Lấy thông tin cấu hình của hệ điều hành​



    Lấy cấu hình của vi xử lý:
    Do thông tin cấu hình của vi xử lý được Window lưu trữ trong key HKLMHARDWAREDESCRIPTIONSystemCentralProcessor 0. Mã độc truy vấn vào key này để lấy thông tin.
    [​IMG]

    Hình 4: Lấy cấu hình của vi xử lý​



    Thực hiện các kiểm tra về mạng:
    Mã độc sử dụng socket để thực hiện hành vi kết nối đến server
    [​IMG]

    Hình 5: Thực hiện kiểm tra mạng, mở cổng kết nối​


    Kiểm tra kết nối mạng (lan, modem)
    [​IMG]

    Hình 5.1: Kiểm tra kết nối mạng​



    Kết nối đến server: (hàm ConnectToServer_www_6bone_net())
    [​IMG]

    Hình 5.2: Kết nối đến server​



    Mở cổng lắng nghe: (Hàm Connect_server())
    Mã độc làm việc này để chuẩn bị gửi lệnh và nhận dữ liệu từ server trả về.
    [FONT=&amp] [​IMG][/FONT]​
    Hình 5.3: Mở cổng lắng nghe​




    Mã độc thực hiện tính tốc độ mạng: (Hàm TinhTocDoMang())
    Tính tốc độ kết nối đến server của một vài nước như Brazin, Đức, Ả rập, Australia
    [FONT=&amp] [​IMG][/FONT]​
    Hình 5.4: Tính tốc độ mạng​



    Hàm GetTimeConnectToUrl: sử dụng hàm clock() để tính thời gian sử dụng kết nối:
    [​IMG]

    Hình 5.5: Kỹ thuật để tính tốc độ mạng​



    Tải file từ server và thực thi file: Việc tải file về được thực hiện bằng cách:
    Mã độc sẽ gửi yêu cầu lên server bằng hàm send() . Server nhận được yêu cầu và gửi lại nội dung. Nội dung nhận về sẽ được ghi vào 1 file ở máy nạn nhân. Sau khi xử lý xong, file sẽ bị xóa.
    [​IMG]

    Hình 6.1: Tải file từ server​


    [​IMG]
    Hình 6.2: Ghi nội dung nhận được vào file, sau đó thực thi file và xóa​



    Thực hiện tải file từ server: (Hàm Revc_())
    [​IMG]

    Hình 6.3: Tải file từ sever​



    Trên đây là bài phân tích của mình. Bài phân tích còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.
     
    Last edited by a moderator: 23/08/16, 03:08 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    cracker and popachoc like this.
  2. d.v.phuc

    d.v.phuc Member

    Tham gia: 16/04/20, 08:04 AM
    Bài viết: 5
    Đã được thích: 1
    Điểm thành tích:
    3
    chủ post có thể cho em file virus được không ạ ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 460
    Đã được thích: 213
    Điểm thành tích:
    43
    Chủ ý giờ bay màu rồi bạn. Một số loại virus phổ biến ban có thể lên Github tìm source nhé bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    VladimirTrinh95 thích bài này.
  4. VladimirTrinh95

    VladimirTrinh95 Member

    Tham gia: 09/07/17, 11:07 AM
    Bài viết: 20
    Đã được thích: 7
    Điểm thành tích:
    3
    search từ khoá backdoor, virus,.... github là ra đầy, mình cũng đang làm đồ án về chúng nó đây
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. d.v.phuc

    d.v.phuc Member

    Tham gia: 16/04/20, 08:04 AM
    Bài viết: 5
    Đã được thích: 1
    Điểm thành tích:
    3
    mình cũng đang làm đồ án về nó nhưng kiểu cho lắm nên đại loại lấy file có sẵn về học cách phân tích
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. VladimirTrinh95

    VladimirTrinh95 Member

    Tham gia: 09/07/17, 11:07 AM
    Bài viết: 20
    Đã được thích: 7
    Điểm thành tích:
    3
    là bạn xin file để phân tích phải không
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. d.v.phuc

    d.v.phuc Member

    Tham gia: 16/04/20, 08:04 AM
    Bài viết: 5
    Đã được thích: 1
    Điểm thành tích:
    3
    đúng rồi bạn. mình muốn xin file để phân tích
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    VladimirTrinh95 thích bài này.
  8. VladimirTrinh95

    VladimirTrinh95 Member

    Tham gia: 09/07/17, 11:07 AM
    Bài viết: 20
    Đã được thích: 7
    Điểm thành tích:
    3
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    d.v.phuc thích bài này.
  9. d.v.phuc

    d.v.phuc Member

    Tham gia: 16/04/20, 08:04 AM
    Bài viết: 5
    Đã được thích: 1
    Điểm thành tích:
    3
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan