Dưới đây là chall Forensic của SVATTT 2024. Tác giả: bquanman Chall cho ta 2 file: file process dump file pcapng lưu lượng mạng 1. Kiểm tra file process dump Load vào windbg Dùng command lm để check các module: Nhận thấy chỉ có module OneDrive là không có symbols. Kiểm tra module này, bằng lệnh lmDvmOneDrive Thấy file thực thi được tải về từ Internet tại Downloads. ...
Trong bài này mình sẽ phân tích một mẫu redline stealer được được thực thi thông qua file batch script có mã hash: 4F1DD4357574C51EC7871212DBC7439C1013561041B5D6B3D5E5CE0DAC996AEB Đã quá lâu kể từ khi mình viết report phân tích vì….mình khá lười :smile: Ok, lẹt gô Stage 1 Đầu tiên với file batch script như sau: Ở đây các bạn có thể tấy echo off và line 6 cực kỳ dài. Line 6 bắt đầu bằng :: (tương đương lệnh REM) thì giống như nó đang truyền param là string tại line 6 vào 1 hàm nào đó đúng không. Đến đoạn này thì đầu tiên mình nghĩ đến dùng cmd deobfuscate tuy nhiên tool có vẻ không dùng được với đoạn này. Đến đây mình quyết định tham khảo công nghệ ChatGPT 3.5 (do nghèo) thì nhận được kết quả đoạn script đầu tiên là làm rối đoạn code check AV Defender. :< ...
Giới thiệu Mã độc Emotet là một trong những loại mã độc phổ biến nhất hiện nay, với nhiều biến thể, phiên bản cũ mới khác nhau nhưng nhìn chung mã độc này vẫn sử dụng cách thức lây nhiễm bằng việc spam email bằng những tài liệu được đính kèm macro mã độc. Trong báo cáo này, tôi thực hiện phân tích mã độc Emotet E4 xuất hiện vào những ngày đầu tháng 12/2021. Biến thể này có sự thay đổi nhiều hơn hẳn so với mã độc Emotet lần đầu xuất hiện năm 2014 và có sự tương đồng ở một số điểm so với các biến thể E2, E3 đã xuất hiện trong năm 2021. ...