Rà soát mã độc trong USB và cái kết

tgnd

Moderator
Thành viên BQT
18/08/2021
45
73 bài viết
Rà soát mã độc trong USB và cái kết
Hello anh em, tiếp nối bài chia sẻ về rà soát mã độc ở phần trước, hôm nay mình sẽ chia sẻ thêm để giúp anh em có thể rà soát được mã độc mà các tool trước đó chưa thể rà soát được triệt để, bắt đầu nha!

a.jpg

Các bạn còn nhớ thằng em tên từa của mình không, nay nó nhờ xem hộ máy, bảo là cứ cắm USB vào là không thấy file đâu, mình check thử thì đúng là không thấy file mà chỉ còn 1 cái shortcut có tên giống với tên của USB. (Đoạn này anh em nào biết thì thường là mã độc fake shortcut usb và thường shortcut sẽ trỏ đến file của mã độc, mục đích là đánh lừa người dùng ấn vào mở shortcut, đồng nghĩa với việc chạy mã độc).

1.png

Mình thử kiểm tra thông tin của shortcut:

2.png

Target của shortcut là C:\Windows\System32\cmd.exe /q /c "Docusment\1\1.exe 663 41"
Nhìn vào USB không thấy file này đâu nên mình vào folder option để hiện file ẩn:

3.png

Thông tin thư mục và các file trong thư mục con:

4.png

Ở đây mình kiểm tra các file trong thư mục mà shortcut usb target đến:

5.png

File “1.exe” có chữ ký số và là file sạch, file “Adobe_Caps.dll” là mã độc.

6.png

Như vậy, đây là mã độc hijacking dll.

Tiếp theo, mình xử lý mã độc trong USB bằng cách xóa các file của mã độc.
Tuy nhiên, shortcut usb lại bị sinh lại:

7.png

Shortcut bị sinh lại chứng tỏ trên máy vẫn còn mã độc, mình tiếp tục tiến hành rà soát.
Trước tiên là rà soát sử dụng 2 công cụ “Process Explorer” và “AutoRuns” mình đã giới thiệu với các bạn ở bài trước, bạn nào chưa xem có thể xem lại tại đây nhé.
Kết quả chưa phát hiện được mã độc dựa vào những gì mình đã chia sẻ, cho nên mình sử dụng công cụ thứ 3 đó là “Process Monitor” cũng thuộc họ nhà Sysinternals.

8.png

Process Monitor là một công cụ giám sát, lọc, hiển thị theo thời gian thực các tác động liên quan đến hệ thống file, registry và hoạt động của process, thread.
Một số tính năng nổi bật:
  • Ghi lại các tham số đầu ra, đầu vào của các sự kiện
  • Ghi lại các thông tin chi tiết liên quan đến tiến trình như đường dẫn, command, user …
  • Cây tiến trình không bị phá hủy (tiến trình đã terminate nhưng vẫn còn hiển thị trong cây).
  • Ghi lại nhật ký sự kiện khi khởi động (boot logging).
Và rất nhiều tính năng khác, các bạn có thể xem chi tiết tại đây.
Giao diện của em nó:

9.png

Được rồi, đi tìm mã độc nào anh em!
Bởi vì shortcut và các file mã độc bị sinh lại, nên mình sẽ lọc các sự kiện liên quan đến các hành vi này mình sẽ thực hiện như sau:
Cách 1: trên thanh menu chọn Filter -> Filter…

10.png

Cách 2: Ấn tổ hợp phím Ctrl + L
Cách 3: Ấn vào biểu tượng cái phễu màu xanh như hình bên dưới.

11.png

Sau đó chọn các thông tin chúng ta cần lọc, ở đây mình cần lọc những Path có chứa chuỗi “1.exe”.
Ngoài ra để chi tiết hơn các bạn có thể lọc thêm nhiều điều kiện khác, ví dụ: Operation is WriteFile thì tool sẽ lọc cho chúng ta theo cột “operation”.

12.png

Kết quả chúng ta lọc được:

13.png

Từ kết quả lọc được, mình đã tìm ra thủ phạm lây vào USB của mình. Tuy nhiên, tiến trình “dllhost.exe” có thể là tiến trình bị mã độc inject vào nên vẫn phải tìm ra thủ phạm thật sự.
Xem trong process tree thì không thấy tiến trình cha của “dllhost.exe”.

14.PNG

Đến đây, mình sẽ sử dụng tính năng “boot logging” của Process Monitor để tìm xem đâu là tiến trình mã độc thực sự.

Để bật boot logging, các bạn vào menu chọn mục Options -> Enable Boot Logging

15.png

Sau khi khởi động lại máy, bật lại tool Process Monitor và lưu file nhật ký, chờ một lát tool sẽ load các sự kiện được ghi lại từ lúc khởi động.

16.png

Sau khi rà soát cây tiến trình lúc khởi động, chúng ta đã tìm thấy mã độc, đó chính là file Adobe_Caps.dll được load bởi tiến trình sạch đó là AdobePhotos.exe, đều nằm trong thư mục ProgramData.

17.png

Tổng kết lại, mình đã giới thiệu tới các bạn cách để rà soát mã độc dựa vào nhật ký các sự kiện tác động đến file, tiến trình,... hệ thống với sự hỗ trợ của công cụ Process Monitor. Các bạn cần hiểu thêm về tool có thể để lại câu hỏi ở phần bình luận để mình trả lời và làm video chi tiết nhé. Chúc các bạn rà soát và xử lý mã độc thành công!

Thông tin mẫu mã độc trong bài viết:
MD5 8217ab42887bf513464d714eb0a40c02
SHA-1 69e05e93edbc2f0b258fb8ed0a4af15129940dbc
SHA-256 15e66ea8656a4cadd0b62eaf8c8e5c3492e4640c89bcd93adb96d5c6dcf56f8b

tgnd
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
cái kết mất hết ảnh
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
b ơi, cho mình hỏi chút. Mẫu mã độc như bài viết của b mình tải về rồi, giải nén ra nó chỉ có file đuôi 15e66ea8656a4cadd0b62eaf8c8e5c3492e4640c89bcd93adb96d5c6dcf56f8b này thôi ạ. cho mình hỏi cách lây nhiễm virus này như thế nào ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
b ơi, cho mình hỏi chút. Mẫu mã độc như bài viết của b mình tải về rồi, giải nén ra nó chỉ có file đuôi 15e66ea8656a4cadd0b62eaf8c8e5c3492e4640c89bcd93adb96d5c6dcf56f8b này thôi ạ. cho mình hỏi cách lây nhiễm virus này như thế nào ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
1 Comment
tgnd
tgnd
bạn check tin nhắn riêng nhé
 
b ơi, dấu hiệu nhận biết khi bị nhiễm virus này là gì hả b
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Xử lý cái này dùng cmd là diệt được thôi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
malware processmonitor rasoat
Bên trên