 |
| Practical Malware Analysis |
CHAPTER 3 - BASIC DYNAMIC ANALYSIS
Write up Lab 3-1
 |
| Lab03-01.exe |
Analyze the malware found in the file Lab03-02.dll using basic dynamic analysis tools.Phân tích phần mềm độc hại được tìm thấy trong tệp Lab03-02.dll sử dụng các công cụ phân tích động cơ bản.
Questions
2. What are the malware’s host-based indicators?
3. Are there any useful network-based signatures for this malware? If so, what are they?
Answers
1. What are this malware’s imports and strings?
(Tìm hiểu chức năng nhập và danh sách chuỗi của mã độc này?).
PHÂN TÍCH TĨNH CƠ BẢN
Phân tích chức năng nhập
Thông tin cơ bản về mẫu:
Được tạo Sun, Jan 6 2008, 14:51:31.
 |
| Hash Lab03-01.exe |
Được tải lên Virustotal ngày 2012-02-17 04:59:56 kể từ đó nó có tỷ lệ phát hiện 66/70.
Dựa trên Virustotal ta biết được mã độc này là trojan truy cập từ xa có tên là PoisonIvy, có một bài viết về malware này trên FSecure.
 |
| Virustotal upload scan Lab03-01.exe |
 |
| History Lab03-01.exe |
Có thể dùng các công cụ như PEiD, Dependency Walker, CFF Explorer, IDAPro, PE Studio, Detect It Easy để tìm kiếm cho câu trả lời.
- PEiD:
Được pack bằng PEncrypt 3.1 Final, lần nhập duy nhất là ExitProcess.
 |
| PEiD Lab03-01.exe |
- Dependency Walke:
Chương trình Lab03-01.exe chỉ có duy nhất hàm nhập ExitProcess từ Kernel32.dll.
 |
| Dependency Walker Lab03-01.exe |
- CFF Explorer:
 |
| CFF Explorer Lab03-01.exe |
- IDAPro:
 |
| IDAPro Lab03-01.exe |
Phân tích strings
Tiến hành tải và copy file Strings vào cùng thư mục lưu trữ Lab03-01.exe, sử dụng
cmd, kết quả như sau:Click full view:
Strings v2.54 - Search for ANSI and Unicode strings in binary images.
Copyright (C) 1999-2021 Mark Russinovich
Sysinternals - www.sysinternals.com
!This program cannot be run in DOS mode.
Rich
.text
`.data
ExitProcess
kernel32.dll
ws2_32
A)|
-~_
"p7
cks=u
ttp=
cks=
CONNECT %s:%i HTTP/1.0
QSRW
?503
200
PWW
thj@h
PWW
VSWRQ
YZ_[^
f5
YZ_[^
D$0
D$0
D$0
D$0
D$0
D$0
|$,
D$0
t$,
D$0
t$,
|$,
D$4
D$4
D$4
D$4
D$4
D$4
D$4
D$4
D$4
D$4
G]=
QVlM
4~v
X:a
3sg
6I*h<8
^-m-m<|<|<|M
o/o/
00U
advapi32
ntdll
user32
Jbh
ww!
1+KY
x{w
#%li
}>*K
40j
QQVP
ucj
jjjjjj
advpack
hk7
~Pj
<2f
StubPath
SOFTWARE\Classes\http\shell\open\commandV
Software\Microsoft\Active Setup\Installed Components\
test
www.practicalmalwareanalysis.com
admin
VideoDriver
WinVMX32-
vmx32to64.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ph?
V5h
V)V
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
PWj
AppData
j@h
VQj
ViW
V%X_
Dù tệp được pack nhưng khi phân tích
strings vẫn có các chuỗi không bị làm dối, một số chuỗi đáng lưu ý mình đã lọc ra:!This program cannot be run in DOS mode. ExitProcess kernel32.dll ws2_32 CONNECT %s:%i HTTP/1.0 advapi32 ntdll user32 advpack SOFTWARE\Classes\http\shell\open\commandV Software\Microsoft\Active Setup\Installed Components\ test www.practicalmalwareanalysis.com admin VideoDriver WinVMX32- vmx32to64.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Run SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders AppData
- Một số chuỗi gợi ý về các thư viện khác đang được sử dụng ( ws2_32, ntdll, user32, advapi32), ws2_32 ta dự đoán mã độc sẽ liên quan đến kết nối mạng.
- Các advapi32 chuỗi khóa registry và cho biết các sửa đổi registry.
- Khóa CurrentVersion\Run đăng ký cho biết rằng một cái gì đó mới sẽ bắt đầu với Windows.
- Chuỗi vmx32to64.exe trỏ đến một tệp thực thi độc hại có thể xảy ra.
- Một URL www.practicalmalwareanalysis.com có thể được sử dụng để trích xuất, tải xuống hoặc gọi về trang chủ..
Trường hợp này ta cũng có thể sử dụng PE Studio
 |
| PE Studio imports |
 |
| PE Studio strings |
Các chức năng đó có thể dễ dàng được xác định bằng tên của chúng, dựa trên các tìm kiếm đơn giản trên google theo tham chiếu của API hoặc bạn có thể sử dụng cơ sở dữ liệu tại malapi.io để xác định.
2. What are the malware’s host-based indicators?
(Dấu hiệu lây nhiễm mã độc này trên máy ?).
PHÂN TÍCH ĐỘNG CƠ BẢN
Thời điểm tôi sử dụng để phân tích lab thì hệ điều hành đang rất phổ biến là Windows 11, những máy tính với cấu hình phần cứng CPU Intel thế hệ 12, 11 và AMD Ryzen 7, 5 đang phổ biến, trên máy tính tôi đang sử dụng là Windows 10/Intel(R) Core(TM) i5-10210U/16GB RAM.
Windows XP cũng không còn được Microsfot hỗ trợ nữa nhưng tôi dễ dàng tìm được bản .iso trên archive.org.
Hệ thống lab của tôi bao gồm những công cụ:
Kali linux 2023 VMWare.
Windows 10 Hyper - V.
Windows 7 VMWare.
Windows XP VMWare.
ProcessExplorer.
ProcessMonitor.
Regshot. Wireshark.
Phân tích động thì cần có một hệ thống máy ảo để giả lập môi trường chạy malware, có 3 máy ảo tôi lựa chọn là Windows 10, 7, và XP.
Windows 10 - chạy file nhưng không thấy gì.
Windows 7 - chạy file nhưng xuất hiện thông báo:
 |
| Run Lab03-01.exe on Windows7 |
Vậy là chỉ còn Windows XP để chạy mã độc.
Trong Windows XP - VMWare tiến hành các bước sau để thực hiện quá trình phân tích động:
Bước 1: Đặt địa chỉ DNS của Windows XP về IP của máy Kali Linux.
Bước 2. Bật chương trình Process Explorer.
Bước 3. Bật chương trình bắt gói tin Wireshark.
Bước 4. Khởi động chương trình Regshot và chạy lấy thông tin Windows Registry hiện thời của hệ thống.
Bước 5. Chạy mã độc.
Bước 6. Chạy tiếp chương trình Regshot để so sánh thông tin Windows Registry đã thay đổi những gì?
Bước 7. Kiểm tra chương trình Process Explorer.
Bước 8. Kiểm tra chương trình với Process Monitor
Bước 9. Kiểu tra chương trình Wireshark để xem các thông tin về kết nối.
Quá trình thực hiện
Bước 1 Đặt địa chỉ DNS của Windows XP về IP của máy Kali Linux
 |
| IP Kali Linux |
 |
| DNS Windows XP |
Bước 2. Bật chương trình Process Explorer
 |
| Process Explorer |
Bước 3. Bật chương trình bắt gói tin Wireshark
 |
| Wireshark |
Bước 4. Khởi động chương trình Regshot và chạy lấy thông tin Windows Registry hiện thời của hệ thống
Thực hiện như sau:
1. Output path: chọn nơi save file.
2. Click 1stshot để ghi lại thông tin hệ thống khi chưa chạy mã độc Lab03-01.exe
 |
| Regshot |
Bước 5. Chạy mã độc
 |
| Run Lab03-01.exe |
Bước 6. Chạy tiếp chương trình Regshot để so sánh thông tin Windows Registry đã thay đổi những gì?
Click 2ndshot → Shot.
 |
| Regshot 2nd shot |
Cuối cùng click vào Compare để hoàn thành quá trình ghi lại thay đổi của Windows Registry sau khi chạy Lab03-01.exe.
 |
| Regshot complete |
Phân tích tệp trích xuất của Regshot nhận thấy Windows Registry được thêm vào rõ ràng nhất là VideoDriver trong kóa Run, registry này chắc chắn có liên quan đến VideoDriver trong khóa Run ở phần strings phân tích tĩnh trước đó.
 | |
|
Regshot 1.9.0 x86 Unicode
Comments:
Datetime: 2023/5/13 03:12:04 , 2023/5/13 03:22:03
Computer: MARTIN-2D182FE5 , MARTIN-2D182FE5
Username: Administrator , Administrator
----------------------------------
Values added: 6
----------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver: 43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 76 00 6D 00 78 00 33 00 32 00 74 00 6F 00 36 00 34 00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:Fubegphg gb Puncgre_3Y.yax: 02 00 00 00 06 00 00 00 40 AB F1 BA 48 85 D9 01
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Nqzvavfgengbe\Qrfxgbc\Cenpgvpny Znyjner Nanylfvf Ynof\OvanelPbyyrpgvba\Puncgre_3Y\Yno03-01.rkr: 02 00 00 00 06 00 00 00 D0 42 B4 BC 48 85 D9 01
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-31249: "Transfers copies of the selected items to a public Web page so that you can share them with other people."
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-31237: "Creates a new, empty folder in the folder you have open."
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\Desktop\Practical Malware Analysis Labs\BinaryCollection\Chapter_3L\Lab03-01.exe: "Lab03-01"
----------------------------------
Values modified: 5
----------------------------------
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: A8 40 4D 9A F0 62 99 19 BC 80 37 99 5A A2 6F B9 F6 5C 71 E8 CD 34 D7 0C 4A 21 8A FF E1 F5 5A 16 D2 D9 E3 32 7F D8 CD 66 53 89 AA D0 89 0E CE 1D 85 A6 6C AB D2 65 D8 A3 A2 B7 76 01 1F 61 85 82 DC 29 57 8E B8 A0 73 61 1C 5A 64 8C CD A8 D3 45
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: C9 05 01 58 DF C2 AE 86 E6 06 E8 D9 6E 1D E9 0E 56 BD 75 09 93 56 B0 CD 39 0F 4A 0F DE F1 BC 2E F8 96 9A DB B1 FF 1C D5 7F 9F A3 5A D2 89 6D E7 24 DB 4D 3B 38 11 C0 FC 11 30 A3 5A B9 5D 33 44 7D 88 95 4A 29 12 E8 03 3F 56 93 B4 54 C8 7D 7C
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_HVFPHG: 02 00 00 00 27 00 00 00 60 C7 A1 A6 48 85 D9 01
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_HVFPHG: 02 00 00 00 28 00 00 00 40 AB F1 BA 48 85 D9 01
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 02 00 00 00 32 00 00 00 40 1F B0 A6 48 85 D9 01
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 02 00 00 00 34 00 00 00 D0 42 B4 BC 48 85 D9 01
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 00 00 00 00 0A 00 00 00 09 00 00 00 08 00 00 00 07 00 00 00 06 00 00 00 05 00 00 00 04 00 00 00 03 00 00 00 02 00 00 00 01 00 00 00 FF FF FF FF
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 04 00 00 00 00 00 00 00 0A 00 00 00 09 00 00 00 08 00 00 00 07 00 00 00 06 00 00 00 05 00 00 00 03 00 00 00 02 00 00 00 01 00 00 00 FF FF FF FF
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\SessionInformation\ProgramCount: 0x00000003
HKU\S-1-5-21-1957994488-1606980848-1644491937-500\SessionInformation\ProgramCount: 0x00000004
----------------------------------
Total changes: 11
----------------------------------
 |
| Process Explorer |
- Từ menu View → Lower Pane View → Handles:
 |
| Process Explorer Handles |
Malware tạo một mutex có tên WinVMX32.
- Từ menu View → Lower Pane View → DLLs:
 |
| Process Explorer DLLs |
Ở phần phân tích tĩnh ta đã dự đoán mã độc có liên quan đến kết nối mạng thông qua .dlls ta chắc chắn điều này.
Nhờ tính năng Verify trong phần Image của Windows có thể biết được tiến trình đang chạy có thuộc hệ thống hay không.
Trên Process Explorer chọn tệp cần kiểm tra ( ví dụ ở đây là tệp svchot.exe thuộc hệ thống ) click phải chuột chọn Properties → Verify:
 |
| Svchot.exe |
 |
| Lab03-01.exe |
Có thể thấy Lab03-01.exe không có bất cứ chứng thực nào từ Microsoft, điều đó chứng tỏ nó là tiến trình không thuộc hệ thống.
Sau khi đặt bộ lọc ấn Apply, kết quả trả về như sau:
Bước 8. Kiểm tra chương trình với Process Monitor
Bật chương trình Process Monitor để xem những thay đổi mà malwarwe tác động đến hệ thống tệp ( filesystem) và registry.
 |
| Process Monitor |
Quan sát thấy có rất nhiều kết quả, Tuy nhiên ta chỉ cần lọc ra một số kết quả nhất định, do đó cần sử dụng tính năng Filter.
Click Menu Filter → Filter...
Hộp thoại Filter hiện ra thực hiện tạo bộ lọc như sau:
 |
| Filter-1 |
 |
| Filter-2 |
 |
| Filter-3 |
 |
| Solution Filter |
Có hai mục thú vị, như thể hiện trong Solution Filter:
1. Thao tác WriteFile.
2. Ghi dữ liệu vào Registry.
- Phân tích thao thác WriteFile
Nhấp đúp vào mục nhập này tôi biết rằng nó đã ghi 7.168 byte vào C:\WINDOWS\system32\vmx32to64.exe , có cùng kích thước với kích thước của tệp Lab03-01.exe
 |
| vmx32to64.exe |
Hoặc mở Windows Explorer và duyệt đến vị trí đó cũng ra kết quả kích thước của tệp.
 |
| Windows Explorer |
Phân tích tĩnh
strings của vmx32to64.exe nhận thấy rằng các strings giống với Lab03-01.exe nhau:Click full view:
Strings v2.54 - Search for ANSI and Unicode strings in binary images.
Copyright (C) 1999-2021 Mark Russinovich
Sysinternals - www.sysinternals.com
!This program cannot be run in DOS mode.
Rich
.text
`.data
ExitProcess
kernel32.dll
ws2_32
A)|
-~_
"p7
cks=u
ttp=
cks=
CONNECT %s:%i HTTP/1.0
QSRW
?503
200
PWW
thj@h
PWW
VSWRQ
YZ_[^
f5
YZ_[^
D$0
D$0
D$0
D$0
D$0
D$0
|$,
D$0
t$,
D$0
t$,
|$,
D$4
D$4
D$4
D$4
D$4
D$4
D$4
D$4
D$4
D$4
G]=
QVlM
4~v
X:a
3sg
6I*h<8
^-m-m<|<|<|M
o/o/
00U
advapi32
ntdll
user32
Jbh
ww!
1+KY
x{w
#%li
}>*K
40j
QQVP
ucj
jjjjjj
advpack
hk7
~Pj
<2f
StubPath
SOFTWARE\Classes\http\shell\open\commandV
Software\Microsoft\Active Setup\Installed Components\
test
www.practicalmalwareanalysis.com
admin
VideoDriver
WinVMX32-
vmx32to64.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ph?
V5h
V)V
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
PWj
AppData
j@h
VQj
ViW
V%X_
D:\0 Practical Malware Analysis\LABS>
Kiểm tra hàm băm MD5 xác thực một lần nữa thì MD 5của vmx32to64.exe và Lab03-01.exe giống nhau .
 |
| MD5 vmx32to64.exe |
- Phân tích thao tác ghi dữ liệu vào Registry:
+ Nhấn đúp vào vị trí RegSetValue và xem mã độc ghi dữ liệu vào Registry
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver:C:\WINDOWS\system32\vmx32to64.exe
 |
| RegSetValue |
Trên hộp thoại Run ( phím tắt "Windows+R" ) nhập "geredit" hộp thoại Registry Editor xuất hiện, tiến hành tìm đến vị trí mã độc tạo khóa registry để xác thực.
 |
| Registry |
Mục đăng ký mới được tạo này được sử dụng để chạy vmx32to64.exe mỗi khi khởi động windows bằng cách sử dụng vị trí HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run và tạo khóa có tên VideoDriver.
Bước 9. Kiểu tra chương trình Wireshark để xem các thông tin về kết nối
Phân tích mạng với Wireshark, để tìm xem mã độc có thực hiện bất kỳ yêu cầu DNS nào không.
Menu Analyze → Fllow UDP Stream,
 |
| Wireshark |
Từ kết quả trên ta thấy nếu cho phép mã độc thiết lập kết nối, nó sẽ gửi báo hiệu 256 byte dữ liệu ngẫu nhiên qua cổng 443.
3. Are there any useful network-based signatures for this malware? If so, what are they?
(Mã độc này có một số đặc điểm mạng hữu ích nào không? Nếu vậy, chúng là gì?)
Chữ ký mạng là kết nối giữa quá trình phân giải tên miền độc hại và www.practicalmalwareanalysis.com khớp với danh sách strings được hiển thị trước đó.
TỔNG KẾT
1. Chức năng nhập và danh sách chuỗi của mã độc này?
Mã độc có môt chức năng nhập duy nhất là Exit Process.
2. Dấu hiệu lây nhiễm mã độc này trên máy chủ?
- Mutual Exclusion (Mutex) là Loại trừ lẫn nhau - đây thực chất là khóa tài nguyên được tạo cho “WinVMX32”.
- Phần mềm độc hại được sao chép vào một tệp có tên “vmx32to64.exe” được thả trong C:\Windows\System32.
- Một Registry được tạo ở HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver để duy trì cho biết bất cứ khi nào hệ thống khởi động, hệ thống sẽ chạy phần mềm độc hại đã sao chép.
Dấu hiệu lây nhiễm của mã độc này là nó tự sao chép vào thư mục C:\WINDOWS\System32\ và đổi tên thành vmx32to64.exe, đồng thời sửa đổi registry và thêm mục tự khởi động vmx32to64.exe khi khởi động.
3. Liệu mã độc này có một số chữ ký mạng hữu ích? Nếu như vậy, chúng là gì?
Mã độc Lab03-01.exe đã truy cập trang web www.practicalmalwareanalysis.com