Quy trình phân tích mã độc và các tool sử dụng

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 01/09/17, 11:09 AM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    KHÁI QUÁT VỀ QUÁ TRÌNH PHÂN TÍCH MÃ ĐỘC

    wireshark whitehat.jpg

    1. Sử dụng sanbox để đánh giá ban đầu về mẫu https://zeltser.com/automated-malware-analysis/
    2. Thiết lập môi trường máy ảo để kiểm soát, cô lập mã độc phục vụ quá trình phân tích https://zeltser.com/build-malware-analysis-toolkit/
    3. Kiểm tra các thuộc tính file như: kích thước, version, chữ ký số... để có sơ loại và đưa ra các giả thuyết ban đầu
    4. Thực hiện phân tích hành vi để kiểm tra các tác động vào môi trường của mẫu
    5. Thực hiện phân tích tĩnh code để hiểu về các hành vi bên trong của mẫu
    6. Thực hiện phân tích động để hiểu hơn về các khía cạnh khó hơn mà phân tích tĩnh không nhìn ra được
    7. Nếu mẫu bị pack, nếu cầu thì anpack mẫu
    8. Nghiên cứu memory để bổ sung các phát hiện khác https://digital-forensics.sans.org/media/Poster_Memory_Forensics.pdf
    9. Lặp lại bước 4-8 có thể khác thứ tự đến khi đạt được mục tiêu phân tích
    10. Viết tài liệu thật chi tiết, rõ ràng các hành vi, kỹ thuật của mẫu https://zeltser.com/malware-analysis-report/

    PHÂN TÍCH HÀNH VI

    - Trở lại các snapshot cần thiết của máy ảo
    - Monitor hành vi(Process Explorer, Process Monitor, ProcDOT, Noriben).
    - Phát hiện các tác động độc hại của mẫu (RegShot, Autoruns).
    - Monitor mạng (Wireshark, Fiddler).
    - Chuyển hướng mạng (fakedns, FakeNet-NG).


    PHÂN TÍCH TĨNH - IDA PROC
    upload_2017-8-31_21-20-26.png

    PHÂN TÍCH ĐỘNG x64dbg/x32dbg hoặc OLLY
    upload_2017-8-31_21-24-6.png
    UNPACK CODE

    - Xác định các trình pack (Detect It Easy, Exeinfo PE, Bytehist, peframe...)
    - Thử anpack nhanh memory trên máy ảo(Scylla)
    - Tìm OEP trong môi trường của debugger với OllyDumpEx.
    - Để tìm OEP, dự đoán gần cuối của trình unpack và thiết lập breakpoint.
    - Thiết lập thử một số breakpoint trong memory, stack để bắt được code clear
    - Thử đặt breakpoint thử ở một số hàm hay dùng cho quá trình unpack như: VirtualAlloc, LoadLibrary...
    - Thử đặt breakpoint thử ở một số hàm hay inject process như VirtualAllocEx, WriteProcessMemory....
    - Fix bảng import Imports Fixer, UIF, pe_unmapper.

    CÁC PHÂN TÍCH KHÁC
    - Giải mã obfuscated sử dụng FLARE, xorsearch, Balbuzard
    - Giải mã data trong quá trình phân tích động bằng các đặt breakpoint sau hàm giả mã để xem kết quả
    - Vô hiệu hóa các chức năng antidebug
    - Để ý vào các lệnh nhảy trong quá trình phân tích thông qua TLS, SEH, RET, CALL
    - Nếu phân tích shell code dùng scdbg and jmp2it.
    - Vô hiệu hóa ASLR thông qua setdllcharacteristics, CFF Explorer.

    Nguồn https://zeltser.com/malware-analysis-cheat-sheet/
     
    Last edited by a moderator: 24/10/17, 10:10 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Hoàng Kỳ

    Hoàng Kỳ Member

    Tham gia: 13/12/17, 08:12 PM
    Bài viết: 22
    Đã được thích: 2
    Điểm thành tích:
    3
    Cho hỏi tại sao tôi không tải được
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    Bạn muốn tải các tool ạ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Hoàng Kỳ

    Hoàng Kỳ Member

    Tham gia: 13/12/17, 08:12 PM
    Bài viết: 22
    Đã được thích: 2
    Điểm thành tích:
    3
    Đúng ạ tôi muốn tải tool xin bạn hãy hướng dẫn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 449
    Đã được thích: 207
    Điểm thành tích:
    43
    Link tải tool cho bạn:
    - Máy ảo Virtualbox: https://www.virtualbox.org/wiki/Downloads
    - Các tool monitor
    + Monproc: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
    + Autorun: https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
    - Tool CFF xem thông tin file: http://www.ntcore.com/exsuite.php
    - Các tool phân tích:
    + Olly: http://www.ollydbg.de/
    + IDA: https://www.hex-rays.com/products/ida/
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Hana and XJN like this.
  6. Hoàng Kỳ

    Hoàng Kỳ Member

    Tham gia: 13/12/17, 08:12 PM
    Bài viết: 22
    Đã được thích: 2
    Điểm thành tích:
    3
    Xin chân thành cảm ơn<3
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan