Phân tích chi tiết mã độc trong CCleaner

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phân tích chi tiết mã độc trong CCleaner
Như trong bài viết trước, mình có trình bày về "Phương thức cài đặt và hoạt động của malware trong CCleaner". Bài viết này, mình tiếp tục đi vào phân tích chi tiết các hành vi độc hại của CCleaner 5.33 này.

1700044095366.png

Nếu các bạn đọc bài viết trước, CCleaner 5.33 đã bị modified code. Dưới đây là đoạn code bị modified đó. Đoạn code này có nhiệm vụ giải mã binary code và thực thi.

upload_2017-9-19_3-39-15.png


Khi mã code payload thực thi. Nó sẽ lấy tên máy tính, danh sách các phần mềm được cài đặt trên máy, danh sách các tiến trình trên máy Remote Desktop.

Lấy tên máy tính

upload_2017-9-19_3-54-12.png

Query registry để lấy danh sách các phần mềm đang cài trên máy.

upload_2017-9-19_3-59-3.png


Đây là một đoạn memory lưu tên các phần mềm lấy được trên máy mình.

upload_2017-9-19_4-7-23.png

Lấy danh sách các tiến trình trên máy Remote.

upload_2017-9-19_4-10-31.png

Sau khi lấy được các thông tin trên. Mã độc sẽ mã hóa dữ liệu và gửi về C&C 216.126.255.148

upload_2017-9-19_4-16-23.png


Một hành vi nguy hiểm nhất là tải và thực thi code payload trên memory nhận từ server. Dưới đây là đoạn code nhận play load từ server.

upload_2017-9-19_4-19-2.png


Vậy các hành vi độc hại của mã độc trong CCleaner 5.33 là:
  • Lấy tên máy tính, danh sách các phần mềm được cài đặt trên máy, danh sách các tiến trình trên máy Remote Desktop
  • Mã hóa dữ liệu và gửi về C&C 216.126.255.148
  • Tải và thực thi code payload trên memory nhận từ server
Hướng dẫn xử lý và một số lưu ý cũng mẫu phân tích các bạn xem ở bài đăng trước nhé. Chúc vui cùng WhiteHat!
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny and maldet
Thẻ
ccleaner
Bên trên