Phân tích virus trên Linux
Chúng ta đã quá quen với các loại virus trên Windows, hôm nay chúng ta cùng nhau phân tích một mẫu virus chạy trên Linux xem có gì khác biệt không nhé
Định dạng file ELF
Đầu tiên, chúng ta tìm hiểu qua một chút về file thực thi trên Linux. Để một file chạy được trên hệ điều hành, nó phải tuân thủ cấu trúc file của hệ điều hành đó. Ví dụ như Windows, file phải có cấu trúc PE file (thường có các đuôi .exe, .dll, .sys) thì mới thực thi được, Linux cũng vậy, định dạng của nó là ELF. Các bạn có thể tìm kiếm trên google để hiểu sâu hơn về các thông tin trong cấu trúc file elf.
Thông tin mẫu
Md5: 426FABE5700D4806C60EC5C4A485A028
FileSize: 1.01 MB (1058408 bytes)
Công cụ phân tích
Nếu như trên Windows là sự kết hợp giữa các công cụ Olly, IDA thì trên Linux là sự kết hợp giữa GDB Debug và IDA
Phân tích virus
Bây giờ chúng ta cùng đi vào phân tích mẫu. Đi từ hàm main chúng ta bắt gặp đoạn code quan trọng nhất
Nó thực hiện kết nối tới C&C server để nhận và thực thi lệnh từ hacker. Như hình bên dưới chúng ta có thể thấy C&C là 180_76_114_169
Toàn bộ các lệnh được thể hiện ở bảng sau
Như chúng ta thấy, toàn bộ các lệnh của virus đều nhằm mục đích tấn công Ddos. Dưới đây là một đoạn code mình chứng cho điều này. Để hiểu rõ hơn về DDos các bạn đọc bài này nhé: https://whitehat.vn/threads/cac-loai-cua-tan-cong-tu-choi-dich-vu.705/
Kết luận: Mục đích của virus thì không phân biệt hệ điều hành nào, tùy vào từng loại chúng có các mục đích khác nhau như đánh cắp thông tin, ăn cắp mật khẩu, tấn công DDos... Chúng chỉ khác nhau về định dạng và cách lập trình để thích ứng với các hệ điều hành khác nhau.
Định dạng file ELF
Đầu tiên, chúng ta tìm hiểu qua một chút về file thực thi trên Linux. Để một file chạy được trên hệ điều hành, nó phải tuân thủ cấu trúc file của hệ điều hành đó. Ví dụ như Windows, file phải có cấu trúc PE file (thường có các đuôi .exe, .dll, .sys) thì mới thực thi được, Linux cũng vậy, định dạng của nó là ELF. Các bạn có thể tìm kiếm trên google để hiểu sâu hơn về các thông tin trong cấu trúc file elf.
Thông tin mẫu
Md5: 426FABE5700D4806C60EC5C4A485A028
FileSize: 1.01 MB (1058408 bytes)
Công cụ phân tích
Nếu như trên Windows là sự kết hợp giữa các công cụ Olly, IDA thì trên Linux là sự kết hợp giữa GDB Debug và IDA
Phân tích virus
Bây giờ chúng ta cùng đi vào phân tích mẫu. Đi từ hàm main chúng ta bắt gặp đoạn code quan trọng nhất
Nó thực hiện kết nối tới C&C server để nhận và thực thi lệnh từ hacker. Như hình bên dưới chúng ta có thể thấy C&C là 180_76_114_169
Toàn bộ các lệnh được thể hiện ở bảng sau
Mã lệnh | Hành vi |
0 | WZTCP_Flood |
1 | ICMP_Flood |
2 | GETFT_Flood |
3 | HEAD_Flood |
4 | UDP_Flood |
5 | SYN_Flood |
6 | GET_Flood |
7 | POST_Flood |
8 | WZUDP_Flood |
9 | WZSYN_Floo |
10 | ack_Flood |
11 | xzcc_Flood |
Như chúng ta thấy, toàn bộ các lệnh của virus đều nhằm mục đích tấn công Ddos. Dưới đây là một đoạn code mình chứng cho điều này. Để hiểu rõ hơn về DDos các bạn đọc bài này nhé: https://whitehat.vn/threads/cac-loai-cua-tan-cong-tu-choi-dich-vu.705/
Kết luận: Mục đích của virus thì không phân biệt hệ điều hành nào, tùy vào từng loại chúng có các mục đích khác nhau như đánh cắp thông tin, ăn cắp mật khẩu, tấn công DDos... Chúng chỉ khác nhau về định dạng và cách lập trình để thích ứng với các hệ điều hành khác nhau.
Chỉnh sửa lần cuối bởi người điều hành: