HITCON GIRLS Malware Analysis

⼈人友增⼀一⼈人友 &Turkey

Outline • HITCON GIRLS 想 • ⼈人 • ⼒力種了於
• • ⼈人友⼼心 • 這到友增⼀一 •

HITCON GIRLS 想 • HITCON GIRLS • 想對 •
• 起於啊⼈人友給 Malware 到⼼心於會起

HITCON GIRLS 想 Web PT Android PT 來要 #

⼈人 # CTF ⼈人 Flag Key 於會機之
⼈人於 Flag ! Code ⼼心⾏行時 CTF 就不 Write Up

⼈人

⼈人(Malware) • 很 • 意不個⼈人 • 明想
於開可於才 • • 於事三⼩小於過都 • 上覺可想⽤用 • 被你後明想

  ⼈人

Grayware • Grayware ⼼心每⼈人 • 出⼈人 • •
動 • 裡間間⼿手

  增⼀一

看於種了 • 看 • & • 到友&這到
友 • • 會   • 點 • Registry Key • 做 • Process • API • 有為

⼈人友 • 友 • 學⼈人樣⾃自   •
Snapshot • 地以友   • 下

• 間全我⼈人⼼心知給於於過於⾼高⼩小 
• 可給麼

• 快能⼼心 • Registry Key - AutoRuns •
Process - Process Explorer / Process Monitor • Network - TCPView / TCPLogView / WireShark • File system - AutoRuns / Process Explorer

- Registry • Registry 著⽽而更 • 可⼈人都
想 • C:\Windows\regedit.exe

- 做 • ⼈人做⼈人想他不做 •
Registry 是做 • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Registry Key • ⼈人可都可 Registry Key 新
• ⼈人在發做 Registry 下做做

• 快能⼼心 • Registry Key - AutoRuns •
Process - Process Explorer / Process Monitor • Network - TCPView / TCPLogView / WireShark • File system - AutoRuns / Process Explorer

- Process • ⼈人 → 家 → 成 • 成
(process) ⼈人

- Process • ⼈人⼈人 • 吃想 • 多
⼈人

然說

- • 過做 HKLM\…\CurrentVersion\Run • Process Injection • 可想
• IP DNS • ⾼高⼩小

⼈人友⼼心 • Behavior Tool • Autoruns • Process
Monitor / Process Explorer • TCPView / TCPLogView / WireShark • Online Sandbox • Virustotal • Comodo • Sandbox • CaptureBat • Cuckoo

友⼼心 - AutoRuns • ⼥女要 Registry Key 真於過

友⼼心 - ProcessExplorer • ⼥女之家成能 • 的
• ⼤大到⼈人 (DLL) 於

友⼼心 - TCPView • 於天⼈人⾃自

友⼼心 - SandBox 裡 • 說⼈人什感
• ⽤用於⼼心開⼈人⼈人什們

Sandbox 3 ſƹľŏ D!Rǘ

友⼼心 - VirusTotal

友⼼心 - CaptureBAT

• 間間⼼心 •

想 (%) Digital Forensics • 如⼥女要 ( ") Malware
Detection • 只⼜又三⼥女們 ($ ) Reversing Engineering • 於次會讓第 AllenOwn 什

想 (%) Digital Forensics • 如⼥女要 ( ") Malware
Detection • 只⼜又三⼥女們 ($ ) Reversing Engineering • 於次會讓第

• 間 Reversing Engineering • 於次 '  •
⼈人⼼心 • 明想 → • 主 →

好 • 間 Reversing Engineering • 於次 ' 
• ⼈人⾃自發 & • 明想 → • 主 →

  (打Д´)ů

• Reverse Engineering • 全著麼友於次 •
會 • • 中有為

- 這到到 # 3 "# 3 % /
31)(6($ ,* '! - 42 '! 05'! 3+ /&.

到友 - ⼼心 • Immunity Debugger ( ´∀`)ů •
Olly Dbg ( 㱼 )ů

這到友 - ⼼心 • IDA ( ´∀`)ů • IDA
Pro Interactive Disassembler 會⼩小 • 這到友      

這到友增⼀一 • 經 • • API • ⼈人

這到友增⼀一(1) • 經 • 經經於⽅方經 •
⼈人友 • • 是經 • 無經⼼心 / 無經

UPX 經知 ?

這到友增⼀一(2) • • ⼈人   • • String
Windows • 了信⼈人

了信知

這到友增⼀一(3) • API • IDA Windows API •
API • • 要  

API • API (Application Programming Interface) • ⼈人裡 •
Function • 分

Windows API 知

這到友增⼀一(4) • ⼈人 • • •

這到友增⼀一(4) • ⼈人 • • ⼈人意不 • 還
電 • 有為

有為⽣生

有為 age = input(‘How old are you?’) if (age <18):
print ‘No you can’t drink beer.’ mov edx, OFFSET HowOldAreYou; call WriteString; call readint; cmp eax,18d; jb LessThan18; LessThan18: mov edx,OFFSET NoYouCantDrinkBeer; call WriteString; Python Assembly Language 於不

有為 • 得有為 • 01010000 • 有為 • 有為
覺家 • 和 MASM於NASM

有為 • ⼈人 • .EXE (executable ﬁle) 現 • •
⼼心會有為

有為

  快

Turkey   知友

!& SHA256:  77c39cf091b0cb9f84a5d2a25e9c63f0 bf9dcacb054a4f902fe36de6491aad14  ~ ~

1.ProcessExplorer 2.ProcessMonitor 3.TCPview 4.Wireshark 5.CaptureBAT (

ProcessExplorer & ProcessMonitor • ProcessExplorer a'I@$ Process ! • 1
+W$ Processe "+ @) Process e+ ProcessMonitor d 'IB/ Process W$

ProcessExplorer c s v p @B

ProcessExplorer p v d V R@ P BTB ( R@
P BTB 75h # bki PID

ProcessMonitor u @B 8 FP c 75 0 V @B
h 6F PB 75 F P B 7 @ AB c

ProcessMonitor p v d V R@ P BTB ( R@
P BTB 75h # bki ) 1( A P v 1( A P S @ R@ BTB v S @ R@ BTB BI l ACA ) BD ACA ) BD v ACA ) BD

TCPView RM'I2 Process KV

TCPView p v d V R@ P BTB ( R@
P BTB 75h # bki ) 1( A P v 1( A P S @ R@ BTB v S @ R@ BTB BI l ACA ) BD ACA ) BD v ACA ) BD q ( () )( 4 =FBS x c

Wireshark • \Z?98N • <04[Hidns,tcp,http,...... m V h

Wireshark 6F PB P@ kr ( () )( # u
4 =FBS r w 6 S 4 P B I

Wireshark k o 3 A :BM B P

6F PB A kr F PSB I S BP  
#F PSB I S BP pV 7 ( () )( Wireshark

p v d V R@ P BTB ( R@ P
BTB 75h # bki ) 1( A P v 1( A P S @ R@ BTB v S @ R@ BTB BI l ACA ) BD ACA ) BD v ACA ) BD q 7 ( () )( . A F PSB I S BP pV 7 h( () )( Wireshark

6:C* p v d V R@ P BTB ( R@
P BTB 75h # bki ) 1( A P v 1( A P S @ R@ BTB v S @ R@ BTB BI l ACA ) BD ACA ) BD v ACA ) BD q 7 ( () )( . A F PSB I S BP pV 7 h( () )( e#_P [email protected] c~dfds3.reg `SO7( F/-j

CaptureBAT • SandBox • RM'I+T)gex:.5$ c`S$%%h ##_P`Se >LRMbf

• W$ CaptureBAT *eGJ, DA CaptureBAT EQi cd C:\Program Files\Capture
CaptureBAT.exe -c -n * X^ihttp://travisaltman.com/malware-analysis-tool-capture-bat/

CaptureBAT 4 P B32 a l D m V h
deleted V

CaptureBAT #_P~dfds3.reg `S;=i p v d V R@ P BTB
( R@ P BTB 75h # bki ) 1( A P v 1( A P S @ R@ BTB v S @ R@ BTB BI l ACA ) BD ACA ) BDv ACA ) BD ACA ) BD h e t~ 8 7 B RB BTB q 7 ( () )( . A F PSB I S BP pV 7 h( () )(

CaptureBAT t~a V MSIServer.exe h n V”n ”

CaptureBAT _PU( wscsvc.exe p v d V R@ P BTB
( R@ P BTB 75h # bki ) 1( A P v 1( A P 1( A P h V S @ R@ BTB S @ R@ BTB v S @ R@ BTB BI l ACA ) BD ACA ) BDv ACA ) BD ACA ) BD h e t~ 8 7 B RB BTB q 7 ( () )( . A F PSB I S BP pV 7 h( () )(

CaptureBAT 4 P B32 a l D m V h
deleted V t~f Vn V

g ` S $ . 5 $ F
PSB I S BP   #7 ( () )($ ] Y 3 t~ n n

6:!&$ p v d V R@ P BTB ( R@
P BTB 75h # bki ) 1( A P v 1( A P 1( A P h V S @ R@ BTB S @ R@ BTB v S @ R@ BTB BI l ACA ) BD ACA ) BDv ACA ) BD ACA ) BD h e t~ 8 7 B RB BTB q 7 ( () )( . A F PSB I S BP pV 7 h( () )(

HITCON GIRLS Malware Analysis

HITCON GIRLS Malware Analysis

More Decks by Nothing

Other Decks in Technology

Featured

Transcript