Phân tích virus trên Linux

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 22/07/20, 04:07 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 469
    Đã được thích: 215
    Điểm thành tích:
    43
    Chúng ta đã quá quen với các loại virus trên Windows, hôm nay chúng ta cùng nhau phân tích một mẫu virus chạy trên Linux xem có gì khác biệt không nhé :D

    Định dạng file ELF
    Đầu tiên, chúng ta tìm hiểu qua một chút về file thực thi trên Linux. Để một file chạy được trên hệ điều hành, nó phải tuân thủ cấu trúc file của hệ điều hành đó. Ví dụ như Windows, file phải có cấu trúc PE file (thường có các đuôi .exe, .dll, .sys) thì mới thực thi được, Linux cũng vậy, định dạng của nó là ELF. Các bạn có thể tìm kiếm trên google để hiểu sâu hơn về các thông tin trong cấu trúc file elf.

    Thông tin mẫu
    Md5: 426FABE5700D4806C60EC5C4A485A028
    FileSize: 1.01 MB (1058408 bytes)

    Công cụ phân tích
    Nếu như trên Windows là sự kết hợp giữa các công cụ Olly, IDA thì trên Linux là sự kết hợp giữa GDB Debug và IDA

    Phân tích virus
    Bây giờ chúng ta cùng đi vào phân tích mẫu. Đi từ hàm main chúng ta bắt gặp đoạn code quan trọng nhất

    upload_2020-7-22_16-16-2.png

    Nó thực hiện kết nối tới C&C server để nhận và thực thi lệnh từ hacker. Như hình bên dưới chúng ta có thể thấy C&C là 180_76_114_169
    upload_2020-7-22_16-16-50.png

    Toàn bộ các lệnh được thể hiện ở bảng sau








































    Mã lệnh Hành vi
    0 WZTCP_Flood
    1 ICMP_Flood
    2 GETFT_Flood
    3 HEAD_Flood
    4 UDP_Flood
    5 SYN_Flood
    6 GET_Flood
    7 POST_Flood
    8 WZUDP_Flood
    9 WZSYN_Floo
    10 ack_Flood
    11 xzcc_Flood
    Như chúng ta thấy, toàn bộ các lệnh của virus đều nhằm mục đích tấn công Ddos. Dưới đây là một đoạn code mình chứng cho điều này. Để hiểu rõ hơn về DDos các bạn đọc bài này nhé: https://whitehat.vn/threads/cac-loai-cua-tan-cong-tu-choi-dich-vu.705/
    upload_2020-7-22_16-26-53.png

    Kết luận: Mục đích của virus thì không phân biệt hệ điều hành nào, tùy vào từng loại chúng có các mục đích khác nhau như đánh cắp thông tin, ăn cắp mật khẩu, tấn công DDos... Chúng chỉ khác nhau về định dạng và cách lập trình để thích ứng với các hệ điều hành khác nhau.
     
    Chỉnh sửa cuối: 22/07/20, 04:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    WhiteHat News #ID:2018 and vpn like this.