Thông tin tài liệu
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần : An Tồn Mạng Chủ đề: Volatility – Memory Forensic Tool Giảng viên : TS Đặng Minh Tuấn Sinh viên : Trần Văn Hải Mã sinh viên : B18DCAT073 Lớp : D18CQAT01-B Nhóm mơn học : 02 Số điện thoại 0947017224 : Lời mở đầu Volatility forensic framework sử dụng nhiều công cụ để phân tích hình ảnh nhớ Cơng cụ phát triển Python, hỗ trợ nhà điều tra tìm hiểu thêm nhớ tạm (RAM) hệ thống cách trích xuất tiến trình chạy, cấu hình máy tính, kết nối mạng mở, phần mềm độc hại có, v.v RAM lưu giữ dấu vết mã độc, liệu bị lấy từ hệ thống, tên người dùng mật khẩu, nội dung cửa sổ mở, registry phần liệu khác sử dụng điều tra Vì RAM nhớ tạm thời nên liệu biến hệ thống bị tắt nguồn Để lưu nội dung RAM, số công cụ định sử dụng để thu thập nhớ từ đó, tính Volatility sử dụng để phân tích thu được, cung cấp cho điều tra viên tất loại chứng Các tiến trình chạy, mật khẩu, kết nối mạng nhiều danh sách hiển thị để giúp người kiểm tra phân tích xảy hệ thống Bằng chứng cung cấp Volatility tạo tất khác biệt sử dụng hết khả nó, cung cấp đầy đủ thơng tin cách hệ thống bị xâm phạm thời gian mà nhớ trích xuất Mục lục Mục lục .3 I Giới thiệu Tổng quan Lịch sử hình thành Thuật ngữ .8 II Hướng dẫn cài đặt Tải xuống Volatility Cài đặt Volatility 2.1 Các thư viện phụ thuộc Cập nhật Volatility 11 III Các lệnh 12 Các tùy chọn chung 13 1.1 Hiển thị Trợ giúp .13 1.2 Chọn Cấu hình 14 1.3 Các tùy chọn khác .16 1.4 Bật thông báo gỡ lỗi 18 1.5 Sử dụng nhớ đệm 18 1.6 Đặt múi .18 1.7 Đặt DTB 20 1.8 Đặt địa KDBG .20 1.9 Đặt địa KPCR 21 1.10 Bật hỗ trợ ghi 21 1.11 Chỉ định Thư mục Plugin Bổ sung 22 1.12 Chọn định dạng Đầu .22 Các tùy chọn cụ thể plugin 23 Sử dụng Volatility làm Thư viện 23 IV Các plugin thường sử dụng .24 Vùng nhớ .24 1.1 Imageinfo 24 1.2 Crashinfo 24 1.3 Hibinfo 25 1.4 Imagecopy .25 Các tiến trình DLLs 26 2.1 Pslist 26 2.2 Pstree .26 2.3 Psscan 27 2.4 Dllist 27 2.5 Dlldump 28 2.6 Handles 28 2.7 Cmdscan 29 Các đối tượng nhớ kernel 30 3.1 Procmemdump 30 3.2 Procexedump 30 3.3 Modscan 30 3.4 Driverscan .31 3.5 Filescan 31 Mạng 32 4.1 Connections .32 4.2 Connscan 32 4.3 Sockscan 33 4.4 Netscan 34 Registry .34 5.1 Hivescan and Hivelist 34 5.2 Hivedump .35 5.3 Hashdump .35 Phân tích mã độc 36 6.1 Malfind 36 6.2 Svcscan 36 6.3 Apihooks 37 6.4 Callbacks 37 6.5 Devicetree .38 6.6 Psxview 39 V Các plugin khác 39 Iehistory 39 Evtlogs 40 Deskscan 40 VI Kịch .40 Kịch : Memory Analysis - Ransomware .40 Kịch : Memory Analysis – Stuxnet sử dụng Process Injection 48 VII Tổng kết 59 VIII Tài liệu tham khảo .60 I Giới thiệu Tổng quan Volatility cơng cụ mã nguồn mở dùng để phân tích nhớ thời gian chạy máy tính để phục vụ cơng việc xử lý cố phân tích phần mềm độc hại Volatility viết Python hỗ trợ hỗ trợ Microsoft Windows, Mac OS X Linux (kể từ phiên 2.5) Volatility tạo Aaron Walters, dựa nghiên cứu học thuật mà ông thực pháp y nhớ Vào năm 2007, phiên Volatility Framework phát hành công khai Black Hat DC Phần mềm dựa nhiều năm nghiên cứu học thuật cơng bố kỹ thuật phân tích pháp y nhớ tiên tiến Cho đến thời điểm đó, điều tra kỹ thuật số tập trung chủ yếu vào việc tìm kiếm tệp tin khả nghi tồn ổ cứng Volatility giới thiệu cho người sức mạnh việc phân tích trạng thái thời gian chạy hệ thống cách sử dụng liệu tìm thấy nhớ tạm (RAM) máy tính Nó cung cấp tảng đa tảng, mơ-đun mở rộng để khuyến khích nghiên cứu sâu vào lĩnh vực nghiên cứu thú vị Một mục tiêu khác dự án khuyến khích hợp tác, đổi khả tiếp cận với kiến thức phổ biến cộng đồng phần mềm cơng Kể từ thời điểm đó, phân tích nhớ trở thành chủ đề quan trọng tương lai điều tra kỹ thuật số volatility trở thành tảng pháp y nhớ sử dụng rộng rãi giới Dự án hỗ trợ cộng đồng lớn tích cực ngành pháp y Volatility cung cấp tảng độc đáo cho phép chuyển nghiên cứu tiên tiến vào tay nhà điều tra kỹ thuật số Kết là, nghiên cứu xây dựng dựa volatility xuất hội nghị học thuật hàng đầu volatility sử dụng số điều tra quan trọng thập kỷ qua Nó trở thành cơng cụ điều tra kỹ thuật số thiếu nhà thực thi pháp luật, quân đội, học viện nhà điều tra thương mại toàn giới tin cậy Sự phát triển volatility hỗ trợ “The Volatility Foundation”, tổ chức phi lợi nhuận độc lập Quỹ thành lập để thúc đẩy việc sử dụng Volatility phân tích nhớ cộng đồng pháp y, để bảo vệ tài sản trí tuệ dự án (nhãn hiệu, giấy phép, v.v.) tuổi thọ, cuối cùng, để giúp thúc đẩy nghiên cứu phân tích trí nhớ sáng tạo Cùng với đó, tảng thành lập để giúp bảo vệ quyền nhà phát triển, người hy sinh thời gian tài nguyên họ để làm cho tảng pháp y nhớ tiên tiến giới trở nên miễn phí có nguồn mở Lịch sử hình thành Gần đây, ngày có nhiều ý dành cho nghiên cứu tiến lĩnh vực phân tích pháp y nhớ tạm Mặc dù ý ngày tăng, nhà điều tra cảm thấy họ có thời gian, nguồn lực chun mơn để đưa phân tích nhớ tạm vào trình điều tra kỹ thuật số họ Một số nhà điều tra, nhiều người số họ phải đối mặt với vụ án tồn đọng, coi nhớ hệ thống dễ bay “chất” khác cần phân tích Do đó, nhớ tạm thường khơng thu thập q trình xử lý cố trường hợp thu thập, phân tích thường tập trung vào việc tìm kiếm chuỗi khơng có ngữ cảnh Mục đích cơng việc nhấn mạnh thơng điệp pháp y nhớ tạm không nên coi “nhiệm vụ bổ sung” cho người điều tra kỹ thuật số tải, mà phần thiếu trình điều tra kỹ thuật số Chúng tơi chứng minh cách loại phân tích q trình chuyển đổi dễ dàng cho người tận dụng bối cảnh cung cấp từ kỹ thuật xử lý hệ thống trực tiếp Có số nguyên tắc pháp y quan trọng cần xem xét trích xuất liệu từ hệ thống trực tiếp Những xem xét tập trung vào việc cố gắng giảm thiểu thay đổi hệ thống, hiểu tác động thay đổi giảm thiểu tin cậy đặt vào hệ thống Thật khơng may, có cơng việc thực để đánh giá xem phương pháp thu thập liệu trực tiếp có tuân thủ nguyên tắc tốt Vì vậy, cơng cụ thiết kế để giúp nhà điều tra kỹ thuật số nhóm xử lý cố nhanh chóng xác định bối cảnh hệ thống thời gian chạy đầu mối điều tra hữu ích giai đoạn phân tích sau Cuối cùng, kỹ thuật pháp y nhớ tạm công vụ Volatility chứng minh đưa vào trình điều tra kỹ thuật số giúp giải số thách thức hàng đầu mà pháp y kỹ thuật số phải đối mặt Các cơng cụ kỹ thuật phân tích nhớ sử dụng để bổ sung cho công cụ thực hành sử dụng điều tra kỹ thuật số Ví dụ: nhà điều tra tận dụng bối cảnh tìm thấy nhớ tạm để tập trung điều tra với khối lượng lớn chứng phân tích thơng tin nhớ tạm trước tiêu tan Thuật ngữ Dưới số từ khóa quan trọng: - Volatile: Dữ liệu khơng cố định; bị nguồn điện bị ngắt khỏi hệ thống - Plugin: Phần mềm làm cho phần mềm lớn có khả hoạt động tốt - Framework: Một cấu trúc công cụ pháp y hỗ trợ điều tra - Forensic: pháp y, điều tra hành vi mã độc thực hệ thống II Hướng dẫn cài đặt Tải xuống Volatility Bạn lấy mã nguồn cách tải xuống phát hành ổn định chép từ github Để thực thao tác sau, nhập: Thao tác tạo thư mục Volatility có chứa mã nguồn bạn chạy thư mục Volatility từ Cài đặt Volatility Nếu bạn sử dụng tệp thực thi Windows, Linux Mac độc lập, không cần cài đặt - cần chạy từ dấu nhắc lệnh Khơng cần cài thêm gói phụ thuộc, chúng đóng gói bên exe Nếu bạn sử dụng tệp thực thi Pyinstaller (chỉ dành cho Windows), nhấp đúp làm theo hướng dẫn cài đặt (về bao gồm nhấp $ git clone https://github.com/volatilityfoundation/volatility.git vào “Continues” vài lần sau “Finish”) Bạn phải có Python 2.7 hoạt động Cũng xem bên để biết thư viện phụ thuộc Nếu bạn tải xuống kho lưu trữ mã nguồn zip tar (Windows, Linux, OSX), có hai cách để "cài đặt" mã: Cách 1: Giải nén kho lưu trữ chạy setup.py Thao tác thực việc chép tệp vào vị trí đĩa bạn Việc chạy setup.py cần thiết bạn muốn có quyền truy cập vào không gian tên Volatility từ tập lệnh Python khác, ví dụ: bạn định nhập Volatility làm thư viện Ưu điểm: dễ dàng sử dụng thư viện Nhược điểm: khó nâng cấp gỡ cài đặt Cách 2: Giải nén kho lưu trữ vào thư mục mà bạn chọn Khi bạn muốn sử dụng Volatility, cần thực python /path/to/directory/vol.py Đây phương pháp gọn gàng khơng có tệp di chuyển thư mục bạn chọn, điều giúp bạn dễ dàng nâng cấp lên phiên chúng phát hành Ngoài ra, bạn dễ dàng cài đặt đồng thời nhiều phiên Volatility cách giữ chúng thư mục riêng biệt (như /home/me/vol2.0 /home/me/vol2.1) Ưu điểm: sạch, dễ chạy nhiều phiên bản, dễ nâng cấp gỡ cài đặt Nhược điểm: khó sử dụng thư viện 2.1 Các thư viện phụ thuộc Phần không áp dụng cho tệp thực thi Windows độc lập, thư viện phụ thuộc bao gồm exe Cũng xin lưu ý phần lớn chức cốt lõi Volatility hoạt động mà khơng có phụ thuộc bổ sung Bạn cần cài đặt gói bạn định sử dụng plugin cụ thể tận dụng gói (xem phần thư viện đề xuất) bạn muốn nâng cao trải nghiệm (xem phần thư viện tùy chọn) Lưu ý: Linux, bạn phải cài đặt vài gói / thư viện khác làm điều kiện tiên cho gói đề xuất sau (Ví dụ: apt-get install pcregrep libpcre ++ - dev python-dev -y) 2.1.1 Các thư viện đề xuất Để hỗ trợ plugin toàn diện nhất, bạn nên cài đặt thư viện sau Nếu bạn không cài đặt thư viện này, bạn thấy thơng báo cảnh báo để nâng cao nhận thức mình, tất plugin khơng dựa vào thư viện bị thiếu hoạt động bình thường - Distorm3 : Thư viện Dissassembler mạnh mẽ dành cho x86/AMD64 Các plugin phụ thuộc: o Apihooks o Callbacks o Impscan o Kdbgscan, pslist, modules v.v cho máy chạy Windows 8/2012 o Các lệnh dissassemble volshell, linux_volshell mac_volshell - Yara : Một công cụ phân loại nhận dạng phần mềm độc hại Các plugin phụ thuộc: o yarascan, linux_yarascan, mac_yarascan Lưu ý: lấy yara từ trang web dự án, khơng cài đặt pip Lưu ý: bạn sử dụng Linux, bạn phải sử dụng lệnh sau: echo "/usr/local/lib" >> /etc/ld.so.conf && ldconfig - PyCrypto : Bộ công cụ mật mã Python Các plugin phụ thuộc: o Lsadump o Hashdump Lưu ý: điều yêu cầu python-dev để cài đặt (trừ bạn nhận tệp nhị phân tạo sẵn) - PIL : Thư viện hình ảnh Python Các plugin phụ thuộc: o Screenshots - OpenPyxl : Thư viện Python để đọc / ghi tệp Excel 2007 xlsx / xlsm Các plugin phụ thuộc: • PID • Pslist • Psscan • Thrdproc • Pspcdid • Csrss V Các plugin khác Các plugin sau đến từ “Month of Volatility” không phân loại tiêu đề phụ trước đó, chúng hoạt động khác Iehistory Plugin tạo lại lịch sử / nhớ cache Internet Explorer Điều hữu ích điều tra nhằm kiểm tra hoạt động internet người dùng pid: Lọc theo tiến trình offset: Lọc theo offset leak redr Evtlogs Plugin trích xuất Nhật ký kiện Windows (chỉ dành cho XP / 2003) Plugin hữu ích điều tra, nhật ký kiện giúp hiểu thứ xảy hệ thống $python vol.py –f profile= evtlogs -D $python vol.py –f profile= iehistory save-evt: Lưu event logs (.evt) verbose: SID đánh giá Deskscan Deskscan liệt kê hình nền, phân bổ heap hình luồng liên quan Nó hỗ trợ tìm kiếm máy tính để bàn giả mạo sử dụng để ẩn ứng dụng khỏi người dùng đăng nhập Nó phát máy tính để bàn tạo ransomware liên kết luồng với máy tính để bàn chúng Nó phân tích heap máy tính để bàn khỏi lỗi nhớ tìm kiếm phân bổ heap máy tính để bàn cấu hình để định vị đối tượng USER VI Kịch Ở lab này, sử dụng phiên Volatility 2.6 standalone phát hành trang https://www.volatilityfoundation.org/releases Kịch : Memory Analysis - Ransomware Kịch : Người quản lý tài khoản gọi cho SOC trước bực bội tức giận Anh nói anh khơng thể truy cập tệp máy tính tiếp tục nhận cửa sổ bật lên cho biết tệp anh mã hóa Bạn ngắt kết nối máy tính khỏi mạng trích xuất nhớ máy bắt đầu phân tích với Volatility Tiếp tục điều tra bạn để khám phá cách thức hoạt động ransomware cách ngăn chặn nó! Giải vấn đề: Ban đầu, chưa biết hệ điều hành ghi nhớ mà có, có C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone> thể sử dụng plugin imageinfo để kiểm tra cấu hình có -f /infected.vmem imageinfo thể sử dụng volatility_2.6_win64_standalone.exe Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG Như thấy, sử dụng cấu hình search Suggested Profile(s) : Win7SP1x86_23418, Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 cho ghi củaWin7SP0x86, Win7SP1x86 Ở đây, sử dụng Win7SP1x86 AS Layer1 để cấu: hình IA32PagedMemoryPae cho lệnh(Kernel tiếp AS) AS Layer2 : FileAddressSpace theo (C:\Users\tranh\Desktop\Volatility\infected.vmem) PAE type : PAE : 0x185000L Bước tiếp theo, kiểm tra xem liệu có tiếnDTB trình đáng ngờ KDBG : 0x82948c28L Number of Processors : Image Type (Service Pack) : KPCR for CPU : 0x82949c00L KUSER_SHARED_DATA : 0xffdf0000L Image date and time : 2021-01-31 18:24:57 UTC+0000 Image local date and time : 2021-01-31 13:24:57 -0500 thực thi cách liệt kê tất tiến trình psscan Kết thu danh sách lớn tiến trình: Nhìn qua tên tiến trình khác nhau, thấy vài tên kì lạ ngồi tên tiến trình hệ thống @WanaDecryptor , or4qtckT.exe theo hiển thị, or4qtckT.exe ( PID : 2732 ) tiến trình cha tiến trình @WanaDecryptor ( PID : 3968 2688) Tuy nhiên, thời điểm trích xuất nhớ, tiến trình có PID 2688 bị kết thúc lúc 2021-01-31 18:24:49 UTC+0000 ( thời gian bắt đầu lúc 2021-01-31 18:24:49 UTC+0000 – tức gần lập tức) C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2.6 _win64_standalone.exe -f /infected.vmem profile=Win7SP1x86 psscan Chúng ta sử dụng pstree để thấy rõ ràng mối quan hệ Volatility Foundation Volatility Framework 2.6 Offset(P) Name PID PPID PDB Time created tiến trình chạy Time exited -Giờ sâu vào PID đáng ngờ, thấy ngồi @WanaDecryptor, C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_ 0x000000000be92b88 dwm.exe 1424 2021-01-31 or4qtckT.exe cịn đẻ thêm tiến trình 856 khác0x1e6d92e0 taskdl.exe (PID : 18:01:12 2.6_win64_standalone.exe -f /infected.vmem profile=Win7SP1x86 pstree UTC+0000 Volatility Foundation Volatility Framework 2.6 4060) 0x000000001dc0fd40 svchost.exe 688 496 0x1e6d9140 2021-01-31 18:01:11 Name Pid PPid Thds UTC+0000 Hnds Time - Tiếp tục điều tra thêm file or4qtckT.exe, ta kiểm tra xem 18:01:13 0x000000001ec424a0 svchost.exe 2032 chúng 496 0x1e6d93a0 2021-01-31 -UTC+0000 kẻ cơng tải xuống file độc hại đường dẫn 0x000000001ec81d40 dllhost.exe 1740 496 0x1e6d9440 2021-01-31 18:01:14 0x84c6a030:explorer.exe 1456 1408 26 plugin filescan: UTC+0000 765 2021-01-31 18:01:12 UTC+0000 0x000000001ed0a030 SearchFilterHo 3008 2232 0x1e6d9620 2021-01-31 18:23:00 0x83ed4350:or4qtckT.exe 2732 1456 UTC+0000 Từ kết thu được, suy đường dẫn nơi tệp độc hại thực 79 2021-01-31 18:02:16 UTC+0000 0x000000001ed3d940 WmiPrvSE.exe 208 620 0x1e6d9520 2021-01-31 18:24:23 0x83ec6800:@WanaDecryptor 3968 2732 thi 18:02:48 lần đầu làUTC+0000 : C:\Users\hacker\Desktop\or4qtckT.exe UTC+0000 59 2021-01-31 0x000000001ed5ead8 SearchProtocol 2304 2232 0x1e6d9180 2021-01-31 18:01:18 UTC+0000 Sau xác địnhexplorer.exe file nghi ngờ,1456 chúng1408 ta kết xuất tệp tin 18:01:12 0x000000001ee6a030 0x1e6d9300 2021-01-31 C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_ UTC+0000 xuống để phục cho điều tra sâu thôngfilescan qua plugin 2.6_win64_standalone.exe -f vụ /infected.vmem profile=Win7SP1x86 | 0x000000001ee80a48 VGAuthService 1560 496 0x1e6d9320 2021-01-31 18:01:12 grep or4qtckT.exe procdump dumpfiles sau: UTC+0000 Volatility Foundation Volatility Framework 2.6 0x000000001eef9d40 1688 1456 0x1e6d9340 2021-01-31 18:01:12 0x000000001ed75ae8 vm3dservice.ex R r-UTC+0000 File lưu xuống có tên executable.2732.exe Chúng ta lấy \Device\HarddiskVolume1\Users\hacker\Desktop\or4qtckT.exe 0x000000001ef04498 1700 1456 0x1e6d9360 2021-01-31 18:01:12 0x000000001fcaf798 vmtoolsd.exe R r-d UTC+0000 hash sha256 thơng qua sha256sum kết \Device\HarddiskVolume1\Users\hacker\Desktop\or4qtckT.exe 0x000000001ef11030 vmtoolsd.exe 1720 496 0x1e6d9380 2021-01-31 18:01:13 5215d03bf5b6db206a3da5dde0a6cbefc8b4fee2f84b99109b0fce07bd2 UTC+0000 0x000000001ef28a78 msdtc.exe 0x1e6d93c0 2021-01-31 18:01:16 246d6 Đưa mã băm lên VirusTotal để2044 kiểm tra496 được: UTC+0000 0x000000001ef9ed40 @WanaDecryptor 2688 2732 0x1e6d9460 2021-01-31 18:24:49 UTC+0000 2021-01-31 18:24:49 UTC+0000 C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_ 0x000000001efb5418 smss.exe 268 0x1e6d9020 2021-01-31 18:01:10 2.6_win64_standalone.exe -f /infected.vmem profile=Win7SP1x86 procdump -p UTC+0000 2732 -m dump-dir=./ 0x000000001efc1d40 SearchIndexer 2232 496 0x1e6d9260 2021-01-31 18:01:18 C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_ Volatility Foundation Volatility Framework 2.6 UTC+0000 2.6_win64_standalone.exe -f sppsvc.exe /infected.vmemResult profile=Win7SP1x86 psscan | Process(V) ImageBase Name 0x000000001fcbc0f0 2432 496 0x1e6d9580 2021-01-31 18:03:14 grep 2732UTC+0000 - -Volatility Foundation Framework 2.6 0x83ed4350 0x00400000 Volatility or4qtckT.exe OK: 3968 executable.2732.exe 0x000000001fcc6800 @WanaDecryptor 2732 0x1e6d95c0 2021-01-31 18:02:48 0x000000001e992a88 taskdl.exe 4060 2732 0x1e6d9540 2021-01-31 UTC+0000 18:24:54 0x000000001fcd4350 UTC+0000 2021-01-31 18:24:54 UTC+0000 or4qtckT.exe 2732 1456 0x1e6d94c0 2021-01-31 18:02:16 0x000000001ef9ed40 @WanaDecryptor 2688 2732 0x1e6d9460 2021-01-31 UTC+0000 18:24:49 0x000000001fff1c40 UTC+0000 2021-01-31 18:24:49 UTC+0000 System 0x00185000 2021-01-31 20:56:12 0x000000001fcc6800 @WanaDecryptor 3968 2732 0x1e6d95c0 2021-01-31 UTC+0000 18:02:48 0x000000001fff6920 UTC+0000 System 0x00185000 2021-01-31 18:01:10 0x000000001fcd4350 or4qtckT.exe 2732 1456 0x1e6d94c0 2021-01-31 UTC+0000 18:02:16 UTC+0000 C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2 6_win64_standalone.exe -f /infected.vmem profile=Win7SP1x86 handles -p 2732 Volatility Foundation Frameworktrả 2.6 Theo kếtVolatility từ VirusTotal về, kết luận máy bị nhiễm Offset(V) Pid Handle Access Type Details Ransomware -WannaCry 0x8f9f5578 2732 0x4 0x3 Directory KnownDlls 0x84f76a28 2732 0x8 0x100020 File Điều tra sâu hơn, tìm kiếm tên tệp chứa khóa cơng khai \Device\HarddiskVolume1\Users\hacker\Desktop mà ransomware để Key mã hóa khóa bí mật gì? 0x97a70c50 2732 0xc sử dụng 0x20019 MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS 0x8cd89400 2732 0x10 0x1 Key Sử dụng plugin handles, thấy file mã độc thực MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER đọc/ghi liệu đến file khác có tên 00000000.eky 0x85d933c8 2732 0xd8 0x100002 Timer 0x83ea6268 2732 0xdc 0x120196 File Đối với phần mở rộng tệp eky, tìm kiếm google \Device\HarddiskVolume1\Users\hacker\Desktop\00000000.eky Chúng ta biết WannaCry, tìm kiếm thứ đơn giản “wannacry public key file extension” Liên kết báo FireEye: https://www.fireeye.com/blog/threatresearch/2017/05/wannacry-malware-profile.html Có nhiều thơng tin thú vị, số : Điều trơng quen thuộc Chúng ta không cần thực filescan grep cho tệp chúng tơi tìm thấy tệp thông qua handles.Nhưng filescan | grep -F "hacker\Desktop (-F có nghĩa grep seaches cho chuỗi cố định, không sử dụng regex), nhận nhiều: Tại đây, thấy tất tệp thực thi độc hại, khóa số tệp khác 00000000.res b.wnry Phần mở rộng wnry phần mở rộng WannaCry sử dụng cho tệp mã hóa Các res có lẽ liên quan đến khóa C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2.6_win64_sta Kịch bản-f2 /infected.vmem : Memory Analysis – Stuxnet sử dụng Process Injection ndalone.exe profile=Win7SP1x86 filescan | grep -F "hacker\Desktop Volatility Foundation Volatility Framework 2.6 0x000000000bf1df80 R r-d C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2.6_win64_ Kịch : Máy tính người dùng bị báo nhiễm mã độc Tuy nhiên \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\zlib1.dll standalone.exe 0x000000000cf8c4c8 -f /stuxnet.vmem profile=WinXPSP2x86 R r-d pslist sau Volatility hồi kiểm Framework tra các0 tiến Volatility\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\tor.exe Foundation 2.6 trình chạy thời gian thực Offset(V) 0x000000001dc53528 Name PID R rwThds LúcHnds Sess Wow64 Start xuất khơng nhận thấy tiến trình1PPID đáng ngờ bạn trích Exit \Device\HarddiskVolume1\Users\hacker\Desktop\taskse.exe 0x000000001dd3cd48 hành -0 R r-d nhớ máy tiến trình điều tra -mình. \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libssp-0.dll -0x823c88300x000000001df8c850 System 4 R r-d 59 403 -0 0x820df020\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\ssleay32.dll smss.exe 19 -0 2010-10-29 Giải vấn đề: 376 17:08:53 UTC+0000 0x000000001df8f6f8 R r-d 0x821a2da0\Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.exe csrss.exe 600 376 11 395 0 2010-10-29 17:08:54 UTC+0000 0x000000001df90458 R r-Tương tự lab trước, bước sử dụng plugin 0x81da5650\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libssp-0.dll winlogon.exe 624 376 19 570 0 2010-10-29 imageinfo : 17:08:54 UTC+0000 0x000000001dfaf520 R r-d 0x82073020\Device\HarddiskVolume1\Users\hacker\Desktop\b.wnry services.exe 668 624 21 431 0 2010-10-29 17:08:54 UTC+0000 0x000000001e96a518 R rwỞ sử680dụng624 WinXPSP2x86 để làm0cấu hình cho 0x81e70020\Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.exe.lnk lsass.exe 19 342 2010-10-29 17:08:54 UTC+0000 0x000000001e9c00f8 R r-d lệnh 0x823315d8\Device\HarddiskVolume1\Users\hacker\Desktop\taskdl.exe vmacthlp.exe 844 668 25 0 2010-10-29 17:08:55 UTC+0000 0x000000001e9c0318 RWD 0x81db8da0\Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.bmp svchost.exe 856 668 17 193 2010-10-29 Lấy danh sách tiến trình chạy ghi0 nhớ plugin 17:08:55 UTC+0000 0x000000001ec063e0 R r-0x81e61da0\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libeay32.dll svchost.exe 940 668 13 312 0 2010-10-29 pslist: 17:08:55 UTC+0000 0x000000001ec081d8 R r-0x822843e8\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_extra-2-0-5.dll svchost.exe 1032 668 61 1169 0 2010-10-29 17:08:55 UTC+0000 0x000000001ec5ba80 R r-d C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2 0x81e18b28\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_extra-2-0-5.dll svchost.exe 1080 668 80 0 2010-10-29 17:08:55 UTC+0000 0x000000001ec5bb38 R r-6_win64_standalone.exe -f /stuxnet.vmem imageinfo 0x81ff7020\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libgcc_s_sjlj-1.dll svchost.exe 668 2.614 197 0 2010-10-29 Volatility Foundation Volatility1200 Framework 17:08:55 UTC+0000 0x000000001ec5d0f0 R r-INFO : volatility.debug : Determining profile based on KDBG search 0x81fee8b0\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent-2-0-5.dll spoolsv.exe 1412 668 10 118 0 2010-10-29 Suggested Profile(s) :7 WinXPSP2x86, WinXPSP3x86 (Instantiated 17:08:56 UTC+0000 0x000000001ecae5a0 R r-Như thấy, kết trả có tới tận tiến trình có tên with lsass.exe WinXPSP2x86) 0x81e0eda0\Device\HarddiskVolume1\Users\hacker\Desktop\taskse.exe jqs.exe 1580 668 148 0 2010-10-29 Lsass.exe AS(Local Layer1Security :7 IA32PagedMemoryPae Process) (Kernel AS) file an toàn 17:09:05 UTC+0000 0x000000001ed75ae8 Authority R r-FileAddressSpace 0x81fe52d0\Device\HarddiskVolume1\Users\hacker\Desktop\or4qtckT.exe vmtoolsd.exeAS Layer2 :1664 668 284 0 2010-10-29 Microsoft sử 1dụng hệ điều hành Windows Nó đóng vai 17:09:05 UTC+0000 0x000000001ed76a28 R rw(C:\Users\tranh\Desktop\Volatility\stuxnet.vmem) 0x8205ada0\Device\HarddiskVolume1\Users\hacker\Desktop\taskdl.exe alg.exe 668 0của 2010-10-29 PAE type PAE trò quan trọng: 188 hoạt6 động107 bình thường máy tính 17:09:09 UTC+0000 0x000000001eedf690 DTB :8 0x319000L R r-0x820ec7e8\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\ssleay32.dll explorer.exe 1196 1728 bị xóa, 16 di chuyển 582 chỉnh 2010-10-29 Windows :khơng nên sửa theo bất KDBG 0x80545ae0L 17:11:49 UTC+0000 0x000000001eef1718 R r-Number of Processors : kỳ cách 2040File1032 lsass.exe đặt 2010-10-29 thư 0x820ecc10\Device\HarddiskVolume1\Users\hacker\Desktop\@WanaDecryptor@.exe wscntfy.exe 28 Image Type (Service Pack) :6 17:11:49 UTC+0000 0x000000001ef5cc58 R r-mụcKPCR \Windows\System32\ 7sử dụng54để thực sách for CPU : 324 0xffdff000L 0x81e86978\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_core-2-0-5.dll TSVNCache.exe 1196 thi 2010-10-29 KUSER_SHARED_DATA :6 0xffdf0000L 17:11:49 UTC+0000 0x000000001ef5ce38 R r-bảo mật, có nghĩa 2011-06-03 có liên 04:31:36 quan đếnUTC+0000 thứ như0 thay đổi mật Image date and time :1712 0x8210d478\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\taskhsvc.exe jusched.exe 1196 26 2010-10-29 17:11:50 UTC+0000 0x000000001ef64a70 R rwImage local andminh time đăng :1 2011-06-03 00:31:36 khẩudate xác nhập Vì có-0400 thể lsass bị giả mạo có 0x82279998 \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent-2-0-5.dll imapi.exe 756 668 116 0 2010-10-29 tới tiến trình đang6khởi chạy lúc máy bạn 17:11:54 UTC+0000 0x000000001efdd158 R r-d 0x822b9a10\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\taskhsvc.exe wuauclt.exe 976 1032 133 0 2010-10-29 17:12:03 UTC+0000 0x000000001efeb5b8 R r-d Kiểm tra list DLL của6603 tiến trình biệt rõ ràng 0x81c543a0\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libevent_core-2-0-5.dll Procmon.exe 1196 13 189thấy có0 khác 2011-06-03 04:25:56 UTC+0000 0x000000001f4546d8 -W-r-về DLL mà chúng dụng 0x81fa5390\Device\HarddiskVolume1\Users\hacker\Desktop\00000000.res wmiprvse.exe 1872 sử856 134 0 2011-06-03 04:25:58 UTC+0000 0x000000001fca6268 11 -W-r-0x81c498c8\Device\HarddiskVolume1\Users\hacker\Desktop\00000000.eky lsass.exe 868 668 23 0 2011-06-03 04:26:55 UTC+0000 0x000000001fcab038 R r-0x81c47c00\Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\tor.exe lsass.exe 1928 668 65 0 2011-06-03 04:26:55 UTC+0000 0x000000001fcaf798 R r-d 0x81c0cda0\Device\HarddiskVolume1\Users\hacker\Desktop\or4qtckT.exe cmd.exe 968 1664 -0 2011-06-03 04:31:35 UTC+0000 0x000000001fcb38c8 2011-06-03 04:31:36 UTC+0000 R rwd \Device\HarddiskVolume1\Users\hacker\Desktop 0x81f149380x000000001fcb5568 ipconfig.exe 304 968 R r-d -0 2011-06-03 04:31:35 UTC+0000 \Device\HarddiskVolume1\Users\hacker\Desktop\TaskData\Tor\libgcc_s_sjlj-1.dll 2011-06-03 04:31:36 UTC+0000 C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2.6 _win64_standalone.exe -f /stuxnet.vmem profile=WinXPSP2x86 dlllist -p 680,1928,868 Volatility Foundation Volatility Framework 2.6 ************************************************************************ lsass.exe pid: 680 Command line : C:\WINDOWS\system32\lsass.exe Service Pack Base Size LoadCount Path -0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe 0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll 0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll 0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll 0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll 0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll 0x75730000 0xb5000 0xffff C:\WINDOWS\system32\LSASRV.dll 0x71b20000 0x12000 0xffff C:\WINDOWS\system32\MPR.dll 0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll 0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll 0x77b20000 0x12000 0xffff C:\WINDOWS\system32\MSASN1.dll 0x77c10000 0x58000 0xffff C:\WINDOWS\system32\msvcrt.dll 0x5b860000 0x55000 0xffff C:\WINDOWS\system32\NETAPI32.dll 0x767a0000 0x13000 0xffff C:\WINDOWS\system32\NTDSAPI.dll 0x76f20000 0x27000 0xffff C:\WINDOWS\system32\DNSAPI.dll 0x71ab0000 0x17000 0xffff C:\WINDOWS\system32\WS2_32.dll 0x71aa0000 0x8000 0xffff C:\WINDOWS\system32\WS2HELP.dll 0x76f60000 0x2c000 0xffff C:\WINDOWS\system32\WLDAP32.dll 0x71bf0000 0x13000 0xffff C:\WINDOWS\system32\SAMLIB.dll 0x74440000 0x6a000 0xffff C:\WINDOWS\system32\SAMSRV.dll 0x76790000 0xc000 0xffff C:\WINDOWS\system32\cryptdll.dll 0x5cb70000 0x26000 0x1 C:\WINDOWS\system32\ShimEng.dll 0x6f880000 0x1ca000 0x1 C:\WINDOWS\AppPatch\AcGenral.DLL 0x76b40000 0x2d000 0x2 C:\WINDOWS\system32\WINMM.dll 0x774e0000 0x13d000 0x4 C:\WINDOWS\system32\ole32.dll 0x77120000 0x8b000 0x2 C:\WINDOWS\system32\OLEAUT32.dll 0x77be0000 0x15000 0x1 C:\WINDOWS\system32\MSACM32.dll 0x77c00000 0x8000 0x1 C:\WINDOWS\system32\VERSION.dll 0x7c9c0000 0x817000 0x2 C:\WINDOWS\system32\SHELL32.dll 0x77f60000 0x76000 0x4 C:\WINDOWS\system32\SHLWAPI.dll 0x769c0000 0xb4000 0xf C:\WINDOWS\system32\USERENV.dll 0x5ad70000 0x38000 0x3 C:\WINDOWS\system32\UxTheme.dll 0x773d0000 0x103000 0x1 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 0x5d090000 0x9a000 0x1 C:\WINDOWS\system32\comctl32.dll 0x4d200000 0xe000 0x1 C:\WINDOWS\system32\msprivs.dll 0x71cf0000 0x4c000 0x2 C:\WINDOWS\system32\kerberos.dll 0x77c70000 0x24000 0x5 C:\WINDOWS\system32\msv1_0.dll 0x76d60000 0x19000 0x8 C:\WINDOWS\system32\iphlpapi.dll 0x744b0000 0x65000 0x2 C:\WINDOWS\system32\netlogon.dll 0x767c0000 0x2c000 0x2 C:\WINDOWS\system32\w32time.dll 0x76080000 0x65000 0x2 C:\WINDOWS\system32\MSVCP60.dll 0x767f0000 0x27000 0x7 C:\WINDOWS\system32\schannel.dll 0x77a80000 0x95000 0x9 C:\WINDOWS\system32\CRYPT32.dll 0x74380000 0xf000 0x1 C:\WINDOWS\system32\wdigest.dll 0x68000000 0x36000 0x1 C:\WINDOWS\system32\rsaenh.dll 0x74410000 0x2f000 0x1 C:\WINDOWS\system32\scecli.dll 0x77920000 0xf3000 0x1 C:\WINDOWS\system32\SETUPAPI.dll 0x743e0000 0x2f000 0x1 C:\WINDOWS\system32\ipsecsvc.dll 0x776c0000 0x12000 0x1 C:\WINDOWS\system32\AUTHZ.dll 0x75d90000 0xd0000 0x1 C:\WINDOWS\system32\oakley.DLL 0x74370000 0xb000 0x1 C:\WINDOWS\system32\WINIPSEC.DLL 0x71a50000 0x3f000 0x2 C:\WINDOWS\system32\mswsock.dll 0x662b0000 0x58000 0x1 C:\WINDOWS\system32\hnetcfg.dll 0x71a90000 0x8000 0x1 C:\WINDOWS\System32\wshtcpip.dll 0x743a0000 0xb000 0x1 C:\WINDOWS\system32\pstorsvc.dll 0x743c0000 0x1b000 0x1 C:\WINDOWS\system32\psbase.dll 0x68100000 0x26000 0x1 C:\WINDOWS\system32\dssenh.dll ************************************************************************ lsass.exe pid: 868 Command line : "C:\WINDOWS\\system32\\lsass.exe" Service Pack Base Size LoadCount Path -0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe 0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll 0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll 0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll 0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll 0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll 0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll 0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll ************************************************************************ lsass.exe pid: 1928 Command line : "C:\WINDOWS\\system32\\lsass.exe" Service Pack Base Size LoadCount Path -0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe 0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll 0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll 0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll 0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll 0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll 0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll 0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll 0x00870000 0x138000 0x1 C:\WINDOWS\system32\KERNEL32.DLL.ASLR.0360b7ab 0x76f20000 0x27000 0x2 C:\WINDOWS\system32\DNSAPI.dll 0x77c10000 0x58000 0x27 C:\WINDOWS\system32\msvcrt.dll 0x71ab0000 0x17000 0xa C:\WINDOWS\system32\WS2_32.dll 0x71aa0000 0x8000 0x8 C:\WINDOWS\system32\WS2HELP.dll 0x76d60000 0x19000 0x2 C:\WINDOWS\system32\IPHLPAPI.DLL 0x5b860000 0x55000 0x2 C:\WINDOWS\system32\NETAPI32.dll 0x774e0000 0x13d000 0x5 C:\WINDOWS\system32\ole32.dll 0x77120000 0x8b000 0x4 C:\WINDOWS\system32\OLEAUT32.dll 0x76bf0000 0xb000 0x2 C:\WINDOWS\system32\PSAPI.DLL 0x7c9c0000 0x817000 0x2 C:\WINDOWS\system32\SHELL32.dll 0x77f60000 0x76000 0x8 C:\WINDOWS\system32\SHLWAPI.dll 0x769c0000 0xb4000 0x2 C:\WINDOWS\system32\USERENV.dll 0x77c00000 0x8000 0x2 C:\WINDOWS\system32\VERSION.dll 0x771b0000 0xaa000 0x2 C:\WINDOWS\system32\WININET.dll 0x77a80000 0x95000 0x2 C:\WINDOWS\system32\CRYPT32.dll 0x77b20000 0x12000 0x2 C:\WINDOWS\system32\MSASN1.dll 0x71ad0000 0x9000 0x2 C:\WINDOWS\system32\WSOCK32.dll 0x773d0000 0x103000 0x2 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 0x5d090000 0x9a000 0x1 C:\WINDOWS\system32\comctl32.dll Sử dụng malfind để kiểm tra xem liệu có thêm shellcode hay dll khác tiêm vào tiến trình hay không C:\Users\tranh\Desktop\Volatility\volatility_2.6_win64_standalone>volatility_2.6 _win64_standalone.exe -f /stuxnet.vmem profile=WinXPSP2x86 malfind -p 680,1928,868 Volatility Foundation Volatility Framework 2.6 Process: lsass.exe Pid: 868 Address: 0x80000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00080000 0x00080010 0x00080020 0x00080030 0x00080000 0x00080001 0x00080002 0x00080003 0x00080005 0x00080007 0x0008000a 0x0008000c 0x0008000d 0x0008000f 0x00080015 0x00080017 0x0008001a 0x0008001c 0x0008001e 0x00080020 0x00080022 0x00080024 0x00080026 0x00080028 0x0008002a 0x0008002c 0x0008002e 0x00080030 0x00080032 0x00080034 0x00080036 0x00080038 0x0008003a 0x0008003c 0x0008003e 4d b8 00 00 5a 00 00 00 90 00 00 00 00 00 00 00 03 00 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0801 0000 00 00 00 00 00 00 00 00 00 00 00 00 04 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff 00 00 08 ff 00 00 01 00 00 00 00 00 00 00 00 MZ @ ff 00 00 00 00 00 00 00 00 00 00 00 MZ @ DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL OR [ECX], AL ADD [EAX], AL Process: lsass.exe Pid: 868 Address: 0x1000000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: CommitCharge: 2, Protection: 0x01000000 0x01000010 0x01000020 0x01000030 4d b8 00 00 5a 00 00 00 90 00 00 00 00 00 00 00 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff 00 00 d0 0x01000000 0x01000001 0x01000002 0x01000003 0x01000005 0x01000007 0x0100000a 0x0100000c 0x0100000d 0x0100000f 0x01000015 0x01000017 0x0100001a 0x0100001c 0x0100001e 0x01000020 0x01000022 0x01000024 0x01000026 0x01000028 0x0100002a 0x0100002c 0x0100002e 0x01000030 0x01000032 0x01000034 0x01000036 0x01000038 0x0100003a 0x0100003c 0x0100003e 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 d000 0000 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ROL BYTE [EAX], 0x1 ADD [EAX], AL Process: lsass.exe Pid: 1928 Address: 0x80000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00080000 0x00080010 0x00080020 0x00080030 0x00080000 0x00080001 0x00080002 0x00080003 0x00080005 0x00080007 0x0008000a 0x0008000c 0x0008000d 0x0008000f 0x00080015 0x00080017 0x0008001a 0x0008001c 0x0008001e 0x00080020 0x00080022 0x00080024 0x00080026 0x00080028 4d b8 00 00 5a 00 00 00 90 00 00 00 00 00 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 40 00 00 00 00 00 00 00 00 00 00 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL 00 00 00 00 ff 00 00 08 ff 00 00 01 00 00 00 00 00 00 00 00 MZ @ 0x0008002a 0x0008002c 0x0008002e 0x00080030 0x00080032 0x00080034 0x00080036 0x00080038 0x0008003a 0x0008003c 0x0008003e 0000 0000 0000 0000 0000 0000 0000 0000 0000 0801 0000 ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL OR [ECX], AL ADD [EAX], AL Process: lsass.exe Pid: 1928 Address: 0x1000000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: CommitCharge: 2, Protection: 0x01000000 0x01000010 0x01000020 0x01000030 0x01000000 0x01000001 0x01000002 0x01000003 0x01000005 0x01000007 0x0100000a 0x0100000c 0x0100000d 0x0100000f 0x01000015 0x01000017 0x0100001a 0x0100001c 0x0100001e 0x01000020 0x01000022 0x01000024 0x01000026 0x01000028 0x0100002a 0x0100002c 0x0100002e 0x01000030 0x01000032 0x01000034 0x01000036 0x01000038 0x0100003a 0x0100003c 0x0100003e 4d b8 00 00 5a 00 00 00 90 00 00 00 00 00 00 00 03 00 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 d000 0000 00 00 00 00 00 00 00 00 00 00 00 00 04 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff 00 00 d0 ff 00 00 00 00 00 00 00 00 00 00 00 MZ @ 35 00 00 00 00 32 4c 37 01 00 00 00 ) w5 K.E.R.N.E.L.3.2 D.L.L A.S.L R 0.3.6.0.b.7 DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ROL BYTE [EAX], 0x1 ADD [EAX], AL Process: lsass.exe Pid: 1928 Address: 0x6f0000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x006f0000 0x006f0010 0x006f0020 0x006f0030 29 4b 2e 52 87 00 00 00 7f 45 44 2e ae 00 00 00 00 52 4c 30 00 00 00 00 00 4e 4c 33 00 00 00 00 ff 45 2e 36 ff 00 00 00 ff 4c 41 30 ff 00 00 00 77 33 53 62 0x006f0000 0x006f0006 0x006f0008 0x006f0009 0x006f000a 0x006f000b 0x006f000e 0x006f0010 0x006f0011 0x006f0014 0x006f0015 0x006f0018 0x006f0019 0x006f001d 0x006f001f 0x006f0021 0x006f0025 0x006f0029 0x006f002c 0x006f002d 0x006f0031 0x006f0033 0x006f0035 0x006f0037 0x006f0039 0x006f003b 0x006f003e 0x006f003f 29877fae0000 0000 ff ff ff ff7735 0001 4b 004500 52 004e00 45 004c0033 0032 002e 0044004c 004c002e 004100 53 004c0052 002e 0030 0033 0036 0030 006200 37 00 SUB [EDI+0xae7f], EAX ADD [EAX], AL DB 0xff DB 0xff DB 0xff PUSH DWORD [EDI+0x35] ADD [ECX], AL DEC EBX ADD [EBP+0x0], AL PUSH EDX ADD [ESI+0x0], CL INC EBP ADD [EAX+EAX+0x33], CL ADD [EDX], DH ADD [ESI], CH ADD [EAX+EAX+0x4c], AL ADD [EAX+EAX+0x2e], CL ADD [ECX+0x0], AL PUSH EBX ADD [EAX+EAX+0x52], CL ADD [ESI], CH ADD [EAX], DH ADD [EBX], DH ADD [ESI], DH ADD [EAX], DH ADD [EDX+0x0], AH AAA DB 0x0 Process: lsass.exe Pid: 1928 Address: 0x680000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00680000 0x00680010 0x00680020 0x00680030 0x00680000 0x00680001 0x00680002 0x00680007 0x0068000a 0x0068000f 0x00680011 0x00680013 0x00680016 0x00680018 0x00680019 0x0068001b 0x0068001d 0x0068001f 0x00680021 0x00680024 0x00680029 0x0068002a 0x0068002c 0x0068002d 0x0068002f 0x00680036 90 f2 00 65 06 04 00 77 68 68 6f 4f 00 00 00 66 c6 48 e8 53 90 06 6800c60768 002400 6800a50400 00f2 0468 004806 0000 c9 0468 0029 0000 0000 006f00 e813000000 5a 774d 61 7056 6965774f665365 6374696f 07 06 13 65 68 00 00 63 00 00 00 74 24 c9 00 69 00 04 5a 6f 68 68 77 6e 00 00 4d 00 a5 29 61 5a 04 00 70 51 00 00 56 81 00 00 69 c1 NOP PUSH ES PUSH DWORD 0x6807c600 ADD [EAX+EAX], AH PUSH DWORD 0x4a500 ADD DL, DH ADD AL, 0x68 ADD [EAX+0x6], CL ADD [EAX], AL LEAVE ADD AL, 0x68 ADD [ECX], CH ADD [EAX], AL ADD [EAX], AL ADD [EDI+0x0], CH CALL 0x68003c POP EDX JA 0x680079 POPA JO 0x680085 IMUL ESP, [EBP+0x77], 0x6553664f ARPL [ECX+EBP*2+0x6f], SI h h.$.h h.H h.) o ZwMapVi ewOfSection.ZQ 0x0068003a 0x0068003b 0x0068003e 0x0068003f 6e 005a51 81 c1 OUTS DX, BYTE [ESI] ADD [EDX+0x51], BL DB 0x81 DB 0xc1 Process: lsass.exe Pid: 1928 Address: 0x870000 Vad Tag: Vad Protection: PAGE_EXECUTE_READWRITE Flags: Protection: 0x00870000 0x00870010 0x00870020 0x00870030 0x00870000 0x00870001 0x00870002 0x00870003 0x00870005 0x00870007 0x0087000a 0x0087000c 0x0087000d 0x0087000f 0x00870015 0x00870017 0x0087001a 0x0087001c 0x0087001e 0x00870020 0x00870022 0x00870024 0x00870026 0x00870028 0x0087002a 0x0087002c 0x0087002e 0x00870030 0x00870032 0x00870034 0x00870036 0x00870038 0x0087003a 0x0087003c 0x0087003e 4d b8 00 00 5a 00 00 00 90 00 00 00 00 00 00 00 4d 5a 90 0003 0000 000400 0000 ff ff00 00b800000000 0000 004000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0801 0000 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff 00 00 08 ff 00 00 01 00 00 00 00 00 00 00 00 MZ @ DEC EBP POP EDX NOP ADD [EBX], AL ADD [EAX], AL ADD [EAX+EAX], AL ADD [EAX], AL DB 0xff INC DWORD [EAX] ADD [EAX+0x0], BH ADD [EAX], AL ADD [EAX+0x0], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL ADD [EAX], AL OR [ECX], AL ADD [EAX], AL Kết trả cho thấy tiến trình 868 1928 có đoạn mã tiêm vào, bao gồm đoạn mã có chứa PE header Từ suy tiến trình tiến trình độc hại Chúng ta trích xuất đoạn mã để tiến hành điều tra sâu thêm cách thêm tùy chọn -D Thu file sau: Kiểm tra VirusTotal thu kết shellcode Worm Stuxnet VII Tổng kết Phân tích trực tiếp nhớ giúp giải số thách thức phản ứng trực tiếp máy bị xâm phạm Phân tích nhớ tạm sử dụng thay bổ sung cho phản ứng trực tiếp, tùy thuộc vào mục tiêu điều tra cụ thể Phân tích nhớ, làm việc với hình ảnh nhớ định, giúp người điều tra dễ dàng xác định nhiều kiện khác trạng thái hệ thống khả nghi thời điểm thu nhận nhớ Volatility sử dụng để xác định tệp mà nghi phạm làm việc, hoạt động mạng mà tham gia gần Hình ảnh phát trích xuất dễ dàng cách sử dụng kỹ thuật thu thập liệu Có thể tìm thấy sử dụng chứng hoạt động độc hại nhiễm phần mềm độc hại máy tính để chứng thực chứng tìm thấy đĩa để phát dòng phần mềm độc hại khơng ghi vào đĩa Phân tích nhớ chí tiết lộ khóa mã hóa mật sử dụng để giải mã ổ đĩa tệp bị khóa, bao gồm việc truy cập tệp người dùng ổ đĩa mạng dùng chung Với Volatility pháp y nhớ, khối lương chứng cơng thu lớn bảo lưu đến thời điểm kết xuất nhớ Cuối cùng, dù pháp y nhớ bắt đầu thay đổi cách thức tiến hành điều tra pháp y máy tính, cịn nhiều việc phải làm Nó lĩnh vực chủ yếu bao gồm kỹ sư đảo ngược phần mềm Hơn nữa, lây nhiễm cô lập, hiểu biết sâu sắc lây nhiễm chủ yếu có thơng qua kỹ thuật đảo ngược phần mềm độc hại Và khó khăn người dùng Volatility cần phải có kiến thức định cách thức xâm nhập mã độc VIII Tài liệu tham khảo [1] V Foundation, "Volatility," 20 12 2021 [Online] Available: https://code.google.com/archive/p/volatility/wikis [2] R Chandel, "Memory Forensics: Volatility Framework & Workbench," 29 10 2020 [Online] Available: https://www.hackingarticles.in/memory-forensicsusing-volatility-framework/ [Accessed 20 12 2021] [3] R Carbone, Malware Memory Analysis for Non-specialists: Investigating Publicly Available Memory Image for the Tigger Trojan Horse, Canada: DRDC Valcartier Research Centre North Quebec (Quebec) Canada, 2014 [4] W Aaron and N L Petroni, Volatools: Integrating Volatile Memory Forensics into the Digital, USA: Komoku, Inc., 2007 ... 3.3 Modscan 30 3.4 Driverscan .31 3.5 Filescan 31 Mạng 32 4.1 Connections .32 4.2 Connscan 32 4.3 Sockscan 33 4.4 Netscan ... 2.6 standalone phát hành trang https://www.volatilityfoundation.org/releases Kịch : Memory Analysis - Ransomware Kịch : Người quản lý tài khoản gọi cho SOC trước bực bội tức giận Anh nói anh truy... thêm thông tin, xem trang hệ thống nhớ đệm hướng dẫn dành cho nhà phát triển cho phiên phát hành bạn 1.6 Đặt múi Dấu thời gian trích xuất từ nhớ theo địa phương hệ thống theo Tọa độ thời gian toàn
Ngày đăng: 08/01/2022, 11:13
Xem thêm:
