CCFC2011-ISFS-Frankie

Malware  Forensics  ISFS      Frankie  Li  April  12,  2011  1  Who  am  I  • Council  Member  of  ISFS  ()  • Part  Time  lecturer  of  HKU  SPACE  -­‐  PDITF  • Member  of  (ISC)2  -­‐  CISSP,  PISA,  ACFE(Associate)  • A  Sunday  researcher  • Malware  hobbyist  2  Today’s  works  • To  perform  staOc  (code)  analysis  and  dynamic  analysis  (behavioral)  of  a  malware  (bot/Trojan  horse)  • Slackbot  (2000)  Chinese  version,  a  bot  can  perform  DDoS  using  IRC  as  command  and  control  (C&C)  centre  3  A  short  Malware  history  • In  the  past  – Mischief  – One  man  show  – Targeted  on  protocols  – Targeted  on  the  OS  • Now?  – From  curiosity  to  financial  gain  – A  complete  business  model– Targeted  to  applicaOon.  (such  as:  browsers,  pdf  and  flash  files)  rather  than  OS  – By  way  of  installing  itself  at:  – Ring3:  API  hooking/code  injecOon  – Ring0:  SSDT  hooking/kernel  mode  driver  – Development  becomes  more  easier  because  of  modularizaOon  4  InvesOgaOon  and  Forensics  Methodologies  • The  Locard’s  exchange  principle  –  with  contact  between  two  items,  there  will  be  an  exchange  (ie  any  exchange  leaves  a  trace)  • Malware  is  not  an  excepOon,  but  it  can  hide  its  traces  (arOfacts)  or  even  itself  aaer  executed  (a.k.a.  de-­‐obfuscaOon)    • Purpose:  to  retain  forensics  soundness  • Forensics  procedures:  IdenOficaOon,  PreservaOon,  Analysis,  DocumentaOon  and  PresentaOon  of  digital  (or  malware)  evidence  5  What  to  Documented  • Summary  of  the  analysis  – An  abstract  of  the  analysis  results,  such  as  key  observaOons,  recommendaOon,  limitaOons,  report  date  and  authors  (show  PestControl_report.htm)  • IdenOficaOon  – The  type  of  file,  name,  size,  hash,  known  name,  current  detected  capabiliOes  (show  ThreatExpert.htm)  • CharacterisOcs  – The  sample’s  capabiliOes  for  infecOng  files,  self-­‐preservaOon,  spreading,  leaking  data,  interacOng  with  the  adacker  (remote  adacker  interacOons),  and  so  on.  • Dependencies  – Files  and  network  resources  related  to  the  specimen’s  funcOonality,  such  as  supported  OS  versions  and  required  iniOalizaOon  files,  custom  DLLs,  executables,  URLs  and  scripts  • Dynamic  and  code  analysis  findings  – Dynamic,  code-­‐dynamic  analysis,  staOc  analysis  and  memory  analysis  observaOons  • SupporOng  figures  and  snapshots  – logs,  screenshots,  string  excerpts,  funcOon  lisOngs,  flowcharts  and  other  exhibits  that  support  the  invesOgators  analysis  • Incident  interpretaOon  and  recommendaOons  – Indicators  for  detecOng  the  sample  on  other  systems  and  networks  and  possible  for  prevenOon  steps  From:  SANS  Forensics  610  6  Our  Lab  • Three  VMs  are  used:  REMnux*,  WinXP,  WinXP_2.0  (2-­‐NICs,  NAT  NIC  is  off  by  default)  • All  NICs  are  configured  as  Host-­‐only,  except  the  NAT  inside  WinXP_2.0  for  Internet  access  • Drag  and  drop  &  copy  and  paste  are  enabled  • REMnux  is  configured  as  default  gateway  • WinXP  is  used  to  test  slackbot  • WinXP_2  is  used  to  build  slackbot  and  be  used  as  a  second  vicOm  • Some  snapshots  are  created  to  keep  different  stage  of  in-­‐depth  analysis  *REMnux  2.0  is  Lenny  Zeltser  and  can  be  download  from  sourceforge.net  .  This  lab  version  has  been  added  with  Chinese  character  support  and  Vmware-­‐Tools.    A  second  NIC  is  also  added,  but  disable.  7  The  Lab  8  IniOalizaOons  of  the  VMs  • All  VMs:  check  NIC  configured  Host-­‐only  and  Connect  at  power  on  • REMnux:  ID=“remnux”,  PW=“malware”,  startx,  ifconfig  –a  (IP  address=192.168.80.130)  • WinXP:  check  IP  address  under  Network,  TCP/IP,  ProperOes  (IP  address=192.168.80.110  &  default  gateway=192.168.80.130)  • Ping  each  others  or  check  firewall  serng  to  allow  ICMP  response  if  no  response  9  iauzzy.exe  • Official  name:  Slackbot  v1.0  by  slim  • Executable  is  distributed  with  a  builder  called  sbconfig.exe  (found:  WinXP_2.0)  • Freely  download  without  source  code  • A  Chinese  version,  downloaded  from  hdp://bbs.mmbest.com    • A  tool  that  use  IRC  as  C&C  • Some  hidden/un-­‐documented  funcOons  hdp://  hdp://=635d7d7c9518c10b0e5138b945e4060f    10  First  Lab  • Start  REMnux:  lea-­‐click  for  user  menu  (xterm,  firefox  &  wireshark),  sudo  PW=“malware”  • Start  WinXP  – On  the  desktop  you  can  found  “iauzzy.exe”  – Slackbot  folder  contains  difference  versions  – Don’t  touch  Zeus  folder  (it  is  to  be  used  in  next  session)  • If  you  have  double,  create  snapshot  to  prevent  unnecessary  start  over  11  Dynamic  Analysis  Procedures  • Check  hash:  md5sum  • Check  Strings:  bintext,  FileAnlyzer,  strings  • Create  staOc  snapshots