Malware Analyze
ကဲ.. ညီအကိုတို႔အတြက္ ကြ်န္ေတာ္ Website တစ္ခုနဲ႔မိတ္ဆက္ေပးခ်င္ပါတယ္။
အဲဒီ website ကဒါပါ။
သူက Online Antivirus Scanner ေတာ႔မဟုတ္ပါဘူး။ ဒါေပမယ္႔သူ႔နည္းသူ႔ဟန္နဲ႔ေတာ႔ အရမ္းအသံုး၀င္ပါတယ္။ Online AV Scanner ဆိုရင္ သူက Signature နဲ႔ပဲတိုက္စစ္ေပးလိမ္႔မယ္။ Signature နဲ႔တိုက္ဆိုင္မွ Virus/Trojan/Malware အၿဖစ္ၿပလိမ္႔မယ္။ ဒီဆိုက္မွာ exe ဖိုင္နဲ႔ apk ဖိုင္ေတြကို အရင္ upload လုပ္လိုက္ပါ။ ၿပီးရင္သူက အဲဒါကို run ေပးလိမ္႔မယ္။ ဟုတ္ပါတယ္။ Run ေပးမွာပါ.. သူ႔ဆာဗာမွာေပါ႔။ ၿပီးရင္ ခဏေစာင္႔ေပးလိုက္။ သူက Report ၿပန္ၿပလိမ္႔မယ္။ အဲဒီ exe/apk ကဘာေတြလုပ္သြားလဲဆိုတာကို အစအဆံုးၿပလိမ္႔မယ္။ Registry ေတြၿပင္တာ.. Startup ထဲထည္႔တာ.. key log လုပ္တာ.. IP ကိုလွမ္း connect လုပ္တာ.. ဖိုင္ေတြဖ်က္တာ.. DLL file load, Registry Edit, ဗိုင္းရပ္လုပ္သြားတာေတြ အားလံုးကိုၿပတယ္။
အကုန္ report ၿပန္ေပးပါတယ္။ ဒါဆုိရင္ FUD ဒါမွမဟုတ္ UD ၿဖစ္ေနတဲ႔ RAT/Trojan ေတြေတာင္ Detect လုပ္ႏုိင္တယ္ေလ။ သူ႔လုပ္ေဆာင္ခ်က္ကိုၾကည္႔လိုက္ေပါ႔။ တကယ္လို႔ မလိုအပ္ဘဲနဲ႔ ဖိုင္ေတြဖ်က္.. Registry ေတြၿပင္.. Startup ထဲမွာထည္႔တာေတြဘာေတြဆိုရင္.. ေသခ်ာသေလာက္ပဲ.. အဲဒါ RAT ပါ။ FUD ၿဖစ္ေနရင္virustotal တို႔ဘာတုိ႔က သံုးစားမရဘူးေလ။ ဒါကေတာ႔ သံုးစားရတာေပါ႔ဗ်။
ညီအကိုတို႔.. အခုကစၿပီး မသကၤာတဲ႔ ဖိုင္ေတြမွန္သမွ် virustotal နဲ႔တင္မကဘဲ ဒါနဲ႔ပါစမ္းၾကည္႔ၿပီးမွ ကိုယ္႔စက္မွာ run မ run ဆံုးၿဖတ္ပါ။
Sample Report : http://anubis.iseclab.org/?action=result&task_id=17f0c00bf81f4ffd42db7f04b551571aa&format=html
ဒါက DarkComet RAT ကို ကြ်န္ေတာ္ upload လုပ္ၿပီး စမ္းခိုင္းတာပါ။ အဲဒီမွာ DarkComet server ကဘာေတြလုပ္သြားလဲဆိုတာ အကုန္မွတ္တမ္းတင္ထားတယ္။
အဲဒီ website ကဒါပါ။
သူက Online Antivirus Scanner ေတာ႔မဟုတ္ပါဘူး။ ဒါေပမယ္႔သူ႔နည္းသူ႔ဟန္နဲ႔ေတာ႔ အရမ္းအသံုး၀င္ပါတယ္။ Online AV Scanner ဆိုရင္ သူက Signature နဲ႔ပဲတိုက္စစ္ေပးလိမ္႔မယ္။ Signature နဲ႔တိုက္ဆိုင္မွ Virus/Trojan/Malware အၿဖစ္ၿပလိမ္႔မယ္။ ဒီဆိုက္မွာ exe ဖိုင္နဲ႔ apk ဖိုင္ေတြကို အရင္ upload လုပ္လိုက္ပါ။ ၿပီးရင္သူက အဲဒါကို run ေပးလိမ္႔မယ္။ ဟုတ္ပါတယ္။ Run ေပးမွာပါ.. သူ႔ဆာဗာမွာေပါ႔။ ၿပီးရင္ ခဏေစာင္႔ေပးလိုက္။ သူက Report ၿပန္ၿပလိမ္႔မယ္။ အဲဒီ exe/apk ကဘာေတြလုပ္သြားလဲဆိုတာကို အစအဆံုးၿပလိမ္႔မယ္။ Registry ေတြၿပင္တာ.. Startup ထဲထည္႔တာ.. key log လုပ္တာ.. IP ကိုလွမ္း connect လုပ္တာ.. ဖိုင္ေတြဖ်က္တာ.. DLL file load, Registry Edit, ဗိုင္းရပ္လုပ္သြားတာေတြ အားလံုးကိုၿပတယ္။
အကုန္ report ၿပန္ေပးပါတယ္။ ဒါဆုိရင္ FUD ဒါမွမဟုတ္ UD ၿဖစ္ေနတဲ႔ RAT/Trojan ေတြေတာင္ Detect လုပ္ႏုိင္တယ္ေလ။ သူ႔လုပ္ေဆာင္ခ်က္ကိုၾကည္႔လိုက္ေပါ႔။ တကယ္လို႔ မလိုအပ္ဘဲနဲ႔ ဖိုင္ေတြဖ်က္.. Registry ေတြၿပင္.. Startup ထဲမွာထည္႔တာေတြဘာေတြဆိုရင္.. ေသခ်ာသေလာက္ပဲ.. အဲဒါ RAT ပါ။ FUD ၿဖစ္ေနရင္virustotal တို႔ဘာတုိ႔က သံုးစားမရဘူးေလ။ ဒါကေတာ႔ သံုးစားရတာေပါ႔ဗ်။
ညီအကိုတို႔.. အခုကစၿပီး မသကၤာတဲ႔ ဖိုင္ေတြမွန္သမွ် virustotal နဲ႔တင္မကဘဲ ဒါနဲ႔ပါစမ္းၾကည္႔ၿပီးမွ ကိုယ္႔စက္မွာ run မ run ဆံုးၿဖတ္ပါ။
Sample Report : http://anubis.iseclab.org/?action=result&task_id=17f0c00bf81f4ffd42db7f04b551571aa&format=html
ဒါက DarkComet RAT ကို ကြ်န္ေတာ္ upload လုပ္ၿပီး စမ္းခိုင္းတာပါ။ အဲဒီမွာ DarkComet server ကဘာေတြလုပ္သြားလဲဆိုတာ အကုန္မွတ္တမ္းတင္ထားတယ္။
0 comments: