Phân tích mẫu Spyware nghe lén, chụp Webcam

Thảo luận trong 'Virus/Malware' bắt đầu bởi Malware, 27/01/15, 09:01 AM.

  1. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    Bài viết trước mình viết bài phân tích mẫu spyware với hành vi keylogger. Hôm nay mình sẽ tiếp tục phân tích mẫu một mẫu spyware có thêm hành vi nghe lén và chụp ảnh thông qua webcam.
    Thông tin mẫu trên VirusTotal

    [​IMG]

    [​IMG]
    Thông tin mẫu trên VirusTotal​


    Mẫu spyware với các hành vi gián điệp nguy hiểm đặc biệt nguy hiểm như
    - Lấy thông tin các phân vùng.
    - Chụp ảnh màn hình
    - Keylogger
    - Nghe lén
    - Chụp ảnh bằng webcam
    - Điều khiển từ xa.
    - Tải các file thực thi từ trên server và thực thi
    - Lấy thông tin các tiến trình trên hệ thống.
    - Xóa Eventlog
    - Uninstall Malware
    - Update các phiển bản malware mới
    Thông tin về file:
    - File type: DLL
    - Kích thước file: 106 KB
    - Chạy dưới quyền service “svchost.exe” và quyền user “rundll32.exe”
    C&C
    - evn.myddns.com
    - evn.dynamic-dns.net
    - www7216ou.sakura.ne.jp
    Thông tin hành vi chi tiết
    [​IMG]
    Case xử lý lệnh nhận được từ server


    [​IMG]
    Lấy thông tin các phân vùng của ổ cứng
    [​IMG]
    Chụp ảnh màn hình

    [​IMG]
    Keylogger xử dụng kỹ thuật SetWindowHook​
    [​IMG]
    Nghe lén
    [​IMG]
    Chụp ảnh bằng webcam


    [​IMG]
    Điều khiển từ xa​

    [​IMG]
    Tải file thực thi từ server và thực thi
    [​IMG]
    Lấy thông tin các tiến trình và module trên hệ thống


    [​IMG]
    Xóa EventLog

    [​IMG]
    Uninstall Malware​




    Trên đây là bài viết sơ lược về hành vi của một mẫu spyware nghe lén và chụp ảnh qua webcam thực tế để mọi người có thể hình dung được cơ chế hoạt động của một spyware chụp webcam và nghe lén điển hình. Từ đó có thể phát hiện và xử lý nếu gặp phải.
     
    Last edited by a moderator: 23/08/16, 03:08 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    linh24 thích bài này.
  2. luffy

    luffy W-------

    Tham gia: 26/02/14, 08:02 AM
    Bài viết: 98
    Đã được thích: 7
    Điểm thành tích:
    48
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    Đọc xong bài viết mà chả thu được kiến thức gì @@
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. hoank

    hoank W-------

    Tham gia: 11/05/14, 04:05 PM
    Bài viết: 25
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    thread viết cái j đây??? :confused:
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. mrduke

    mrduke Wh------

    Tham gia: 11/03/14, 08:03 AM
    Bài viết: 48
    Đã được thích: 2
    Điểm thành tích:
    18
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    Vãi thật, trình độ còn kém. Đọc chả hiểu gì!!!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    Bạn không hiểu chỗ nào? :D. Góp ý những chỗ chưa được để mình bổ sung :)
     
    Last edited by a moderator: 27/01/15, 06:01 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. noikhongloi

    noikhongloi W-------

    Tham gia: 01/02/15, 12:02 AM
    Bài viết: 9
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    Em thấy bài viết rất hay và khó .
    a) Để tóm được con virus này thì phải biết được (hoặc đoán trước) các sự cố nó tạo ra
    b) Tóm được rồi thì phải có tool để giải mã code của nó ra bằng C
    c) Nhưng mà em chưa có lập trình được C, mà chỉ biết về C# một chút vậy thì hiểu sao giờ ?

    Xin các bác chỉ giáo giúp cho . Mà cho em hỏi thêm là, nếu họ viết virut thì họ cần PHẢI biết lõi Code của windows không ? Hay chỉ viết theo các lệnh của windows ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    a. Mục đích bài này mình nói về phân tích. không nói về cách rà soát :).
    b.Tool bạn có thể dùng IDA.
    c. Khi viết bài này. Mặc định là bạn phải có kiến thức về Lập trình C, Windows API, File PE, Ollydbg, IDA....., Nên vì thế bạn nên tìm hiểu tìm hiểu các kiến thức này trước khi đọc bài viết.
    d. Mình vẫn chưa hiểu rõ câu hỏi của ban. ""cần PHẢI biết lõi Code", ""theo các lệnh của windows". Mình tạm trả lời là code theo Windows API.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. noikhongloi

    noikhongloi W-------

    Tham gia: 01/02/15, 12:02 AM
    Bài viết: 9
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    xin cảm ơn các anh DiepNV88 và anh sunny đã xem và trả lời phần thắc mắc của em.
    a) = ok , b) decode = IDA ( hoặc các tool khác ) ok.

    c ) > em hỏi ý là có phải, hoặc có phải tìm hiểu hoặc cố tình tìm cho ra ( nếu có thể ) về códe của lõi windows (là một os phổ dụng) để tìm khe hở mà viết các tool, hoặc virut để khai thác, hay chỉ viết các loại viruts kiểu như là, keylogs, delete files , format ổ = những lệnh của chính Os sẵn có . Viết xong thì "lừa" victim vô là gọi là viruts ? ý là vậy ạ. :)D) . Vì thường thi em đọc, thấy bên họ linux họ có shell code open. Vậy thì việc khai thác thì phải hiểu rõ và tìm được các, điểm iếu rồi viết tool . Còn windows code họ ko open, nên ý em là chỉ viết virust trên nền các lệnh của Windows được thôi phải không ạ . Thanks kiu verry bigs .
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    Thứ 1: Mình trả lời bạn mà bạn lại đi cám ơn người khác --> Thấy hơi bị động chạm lòng tự trọng :|.
    Thứ 2: Mình đọc câu hỏi của bạn càng đọc càng không biết bạn đang hỏi gì. Nên mình trả lời tạm thời trả lời theo ý mình hiểu như sau:

    Virus nghĩa gốc của nó là loại malware có tính lây vào các file chương trình khác. Khái niệm như bạn nói nó không virus mà chuẩn phải là Malware. Nhưng do thói quen thì thường gọi malware là virus. Còn cái shell code và tool bạn nói đến là 1 loại malware khai thác lỗ hổng phần mềm . Khai thác lỗ hổng thì bạn cần phải tìm được lỗ hổng sau đó tìm các khai thác và viết shell code để khai thác nó sau khi làm bằng tay "ngon lành cành đào" thì viết thành tool.

    Đó là câu trả lời nếu lạc đề trả lời không đúng câu hỏi của bạn thì bỏ qua nhé. Mình chỉ hiểu được câu hỏi của bạn đến mức đấy thôi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. noikhongloi

    noikhongloi W-------

    Tham gia: 01/02/15, 12:02 AM
    Bài viết: 9
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    Ôi chết thật, em xin lỗi anh Malware nhé, em là lính mới tham gia diễn đàn nên còn nhiều thiếu sót mong bác thông cảm, em click cảm ơn nhé, em bấm nút cảm ơn rồi đó. Xin anh thông cảm cho em nhé, em ko có ý gì cả, chỉ vì là member mới nên chưa có biết sài forum sao cho chuẫn mà.
    cảm ơn anh nhiều vì đả quan trâm trả lời em. Giờ thì em rõ hơn rồi về Malware và viruts, theo như cách anh giải thích thì khái niệm Malware và Viruts chúng khá là ok giống nhau, chúng chỉ khác nhau ở mục đích và cách thức phá hoại . Giờ em đang tính lọ mọ thử code con keylogs bằng C#, sau đó làm sao cho nhẹ gọn và chạy ngon, rồi phiên bản tiếp lên có thể nó sẽ có thêm vài chức năng khác như gửi mail, tự sao chép v.v tóm lại em phải bắt đầu thôi, sẽ rất khó khăn đó nha, nhưng hy vọng em sẽ vô đây học hỏi các anh. Zô zo.:cool:
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    "Malware và Viruts chúng khá là ok giống nhau" --> Virus là tập con của Malware. Ngoài ra còn có trojan, worm... Tất cả đều là 1 tập con của malware. Malware là tổng hợp các tập con đó hợp lại.

    Gợi ý thêm cho bạn nữa là: Có rất nhiều mẫu trojan viết bằng C# trong đó có mẫu "
    Shadow KeyLogger" bạn có thể tham khảo thêm mẫu đó.



     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. vinhquyen191

    vinhquyen191 W-------

    Tham gia: 24/03/15, 08:03 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Phân tích mẫu Spyware nghe lén, chụp Webcam

    chẳng hiểu gì
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. nopperabou91

    nopperabou91 W-------

    Tham gia: 23/10/15, 10:10 PM
    Bài viết: 19
    Đã được thích: 0
    Điểm thành tích:
    6
    huhu hình die hết rồi T___T
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Malware : bạn vui lòng up lại hình cho các bạn thành viên theo dõi bài viết nhé. thanks
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. 东南号

    东南号 New Member

    Tham gia: 01/02/18, 04:02 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Thanks bác đã đăng bài.Nhưng không có mẫu dựng lab thì bài này khó khó hiểu đây là 1 mẫu malware mạng bạn đơn thuần chỉ đang phân tích tĩnh các module.Theo mình thấy không khả quan lắm cho việc học tập.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan