Malware Analysis - Example

Security Camp 2011

惡意程式分析實作

講師：鄭毓芹 博士生

服務單位:國立成功大學電機系

E-mail：julia.yc.cheng@gmail.com

2 Security Camp 2011

課程大綱： �

n  資安事件知多少 �

n  惡意程式介紹 �

n  惡意程式分析 �

n  惡意程式防範 �

2

3 Security Camp 2011

資安事件1: �

n  假購物，假發票：開啟透過電子郵件寄發的假收據或點選惡意郵件中的收據連結，因而遭到身分竊盜威脅。���᠋᠌᠍ �

假冒美國知名航空公司 Delta

Airlines 所發出的電子郵件收據。 • 木馬程式會修改系統登錄，讓自己在每

次開機時自動執行。 �• 具有 rootkit 功能，可以隱藏該程式的處理程序、檔案或系統登錄機碼。 �

• 遠端連線到某個網站來下載其他檔案。讓已遭感染的電腦遭受更多攻擊。 �

TROJ_DELF.PSZ

4 Security Camp 2011

資安事件 2: �•  SKYPE暱稱暗藏社交工程陷阱：來自 Skype“管理者“的

緊急系統通告，有詐！ �

緊急系統掃瞄通告！請仔細閱讀！！”、”WINDOWS需要立極檢修，注意！安全中心在你的電腦中偵測到惡意軟體！ �

h/p://www.securonline.net

5 Security Camp 2011

資安事件3: �•  色情網站遭入侵，凡看過者必下載 Rootkit �

–  色情相關網站遭惡意JavaScript的搭載入侵，進而重導使用者進入惡意網域中，下載一個MBR rootkit（TROJ_SNOWAL.A）入受感染的系統中。 �

6 Security Camp 2011 6  

資安事件4:

www.hit.edu.tw  

7 Security Camp 2011

駭客任務--進行曲 �

n  駭客任務首部曲: 攻陷你的電腦 �

n 鎖定你的電腦當成目標，讓你中毒 �n 竊取個人隱私資料 �n 使用您的電腦計算能力（肉雞） �n 變成詐騙的肥羊 �

n  駭客任務續集: 你的電腦是駭客的好幫手 �

n 電腦變成跳板，幫助駭客隱藏身份躲避查緝。 �n 加入網路大軍BotNet，接受控制發動攻擊 �

註: BotNet俗稱殭屍網路(Zombie Network)，也稱機器人網路(Robot Network) �

7

8 Security Camp 2011

駭客任務—方法論 �

8

u 病毒/木馬 病毒/網蟲 botnet/木馬程式

u 入侵電腦 弱點攻擊 弱密碼 社交工程

u 網路搜尋 應保護而未保護的資料 部落格、社交網路

u 攻陷資料庫 會員申請 網路遊戲

入侵個人電腦， 取得控制權

竊取個人資訊， 取得不法利益

Malware

9 Security Camp 2011

惡意程式定義 �

n  惡意程式(Malicious programs，簡稱Malware)是指在未明確提示用戶或未經用戶許可的情況下，在用戶電腦上進行安裝、侵害或竊取用戶系統資訊的程式，包含病毒、蠕蟲及木馬。���᠋᠌᠍(From wiki) �

10 Security Camp 2011

惡意程式特性 �

n  廣義來說，凡具有下列特性的程式即為惡意程式 �n 自我複製與感染物件  n 刪除檔案  n 強制安裝  n 難以移除  n 首頁綁架（hijacking  )  n 廣告彈出  n 蒐集使用者與系統資訊  n 惡意移除用戶端程式  n 干擾電腦運作  n 影響系統與網路效能

Security Camp 2011

���᠋᠌᠍

惡意程式分析���᠋᠌᠍���᠋᠌᠍���᠋᠌᠍���᠋᠌᠍

�

11

12 Security Camp 2011

惡意程式分析 �

n  Before we start, what should we learn ? n What is the objects that we can get?

n Memory, Binary, Compromised system, device …

n Think about – What is we want to know?

12

13 Security Camp 2011

What is Malware

13

14 Security Camp 2011

What is Malware ? (Cont.)

14

15 Security Camp 2011

Trojan Type Activities

15

16 Security Camp 2011

Trojan Type Activities (Cont.)

17 Security Camp 2011

Defense Mechanisms Used By Malware

17

18 Security Camp 2011 18

19 Security Camp 2011

Basic Rules to determine and AV detect

19

20 Security Camp 2011

Malware Analysis Methodology

20

21 Security Camp 2011 21

22 Security Camp 2011

Behavior Analysis

22

23 Security Camp 2011

Behavior Analysis (Cont.)

23

24 Security Camp 2011

Behavior Analysis Tools

24

25 Security Camp 2011

Process Explorer

25

26 Security Camp 2011

Regshot

26

27 Security Camp 2011

TCPView

27

28 Security Camp 2011

Code Analysis Tools:

28

29 Security Camp 2011

Online Malware Analysis Tools:

29

30 Security Camp 2011

Hands-On Training:

30

31 Security Camp 2011

Hands-On Training (Cont.)

31

Security Camp 2011

���᠋᠌᠍

惡意程式防範���᠋᠌᠍���᠋᠌᠍���᠋᠌᠍���᠋᠌᠍

�

32

33 Security Camp 2011

防範一: 安裝防毒軟體 �

n  安裝防毒軟體，並定時更新病毒碼 �

n  一台電腦只需要安裝一個或是二個防毒軟體就可以 �

n  免費線上掃毒軟體總整理http://hyc005.myweb.hinet.net/on-virus/ �

http://briian.com/?p=243 �

34 Security Camp 2011

防範二:掃描來路不明的檔案 �

n  說明：VirusTotal Uploader 按右鍵直接上傳可疑檔案，用39個防毒軟體偵測病毒！ �

n  下載：h1p://www.virustotal.com/vtsetup.exe  

35 Security Camp 2011

惡意程式分析: 線上病毒掃描 �

n  Kaspersky  Virus  File  Scanner  h1p://www.kaspersky.com/scanforvirus  

n Dr.Web  ®  online  check  h1p://online.us.drweb.com/  

n  avast!  Online  Scanner  h1p://onlinescan.avast.com/  

n  ClamAV  Online  Specimen  Scanner    h1p://www.gietl.com/test-­‐clamav/      

36 Security Camp 2011

惡意程式分析: 線上病毒掃描(Cont.) �

n Online  Virus  Scanner  &  Submission  h1p://www.for@guardcenter.com/an@virus/virus_scanner.html  

n  ThreatExpert  –  Online  File  Scanner    h1p://www.threatexpert.com/filescan.aspx  

n VirusTotal  –  免費線上病毒和惡意軟體掃瞄 h1p://www.virustotal.com/zh-­‐tw/  

n  JoO  Online  malware  scan    h1p://virusscan.joD.org/    

37 Security Camp 2011

惡意程式分析: 線上病毒掃描(Cont.) �

n  Virus.Org  ::  Malware  Scanning    h1p://scanner.virus.org/  

n  VirSCAN.org-­‐線上防毒引擎掃瞄網站 (使用 39  種防毒軟體掃瞄引擊)  h1p://www.virscan.org/  

n  Filterbit  (使用  8  種防毒軟體掃瞄引擊)  h1p://www.filterbit.com/    

38 Security Camp 2011

惡意程式分析: 線上行為分析 �

n  ThreatExpert:  線上行為分析與檢測工具h1p://www.threatexpert.com/submit.aspx  

n  Sunbelt  CWSandbox  h1p://www.sunbeltsecurity.com/Submit.aspx  

n Anubis:  Analyzing  Unknown  Binaries  h1p://anubis.iseclab.org/  

n Norman  Sandbox  h1p://www.norman.com/security_center/security_tools/submit_file/en  

39 Security Camp 2011

u  安裝正版作業系統及應用程式，並定期更新（修補） �u  安裝防毒軟體，並定期更新病毒特徵碼 �u  避免使用不明儲存媒體，在使用前先掃毒 �u  避免安裝/執行不明的應用程式或檔案 �u  避免瀏覽不明網頁，或下載不明物件 �u  安裝（啟用）防火牆，停用不使用的系統服務 �u  減少使用P2P共享程式 �u  定期清理系統暫存檔與執行全機掃毒 �u  養成良好電腦操作習慣，例如定期變更系統登入密

碼，設定複雜密碼 �

其他防範步驟 �

40 Security Camp 2011

惡意程式技術的進化

v 使用加殼程式 �Ø 隱藏程式碼不被防毒軟體所掃瞄。可保護程式碼免於遭到

反組譯，讓惡意程式更難以分析。 �

v 關閉防毒軟體 �Ø 惡意軟體停用電腦的安全解決方案，或是讓防護軟體無法

偵測。 �

v 隱藏程序技術 �Ø 隱藏惡意程式的操作，讓防毒軟體及所有系統處理程序皆

無法察覺。 �

v 網路元件功能 �Ø 惡意程式具網路連線功能測試，連線到windows update測

試，若連線功能正常，再連線到惡意網站下載惡意程式。

41 Security Camp 2011

如何完整清除病毒 �

1.  更新防毒軟體至最新的病毒特徵碼（線上或手動） �

2.  拔除網路線 �

3.  清除瀏覽器和系統暫存檔 �

4.  關閉Windows系統還原 �

5.  重新開機進入安全模式 �

6.  透過防毒軟體掃描與清除惡意程式 �

7.  防毒軟體沒有作用時，透過救援光碟開機進行掃毒 �

8.  利用工具收集系統資訊 �

9.  刪除登錄檔中的相關鍵值，檢查檔案有無遺失或毀損 �

10.  傳送可疑檔案，請防毒軟體廠商分析 �

Security Camp 2011

Q & A Thank you for your

attention !!