[RE016] Malware Analysis: ModiLoader


1. Introduction

Recently, I have been investigating a malware loader which is ModiLoader. This loader is delivered through the Malspam services to lure end users to execute malicious code. Similar to other loaders, ModiLoader also has multi stages to download the final payload which is responsible for stealing the victim's information. After digged into some samples, I realized that this loader is quite simple and didn't apply anti-analysis techniques like Anti-Debug, Anti-VM that we have seen in GuLoader/CloudEyE samples (1;2). Instead, for avoiding antivirus detection, this loader uses digital signatures, decrypts payloads, Url, the inject code function at runtime and executes the payload directly from memory.

Currently, according to my observation, there are not many analysis documents about this loader in the world as well as in Vietnam. So, in this post, I will cover techniques are used by this loader as well as apply new released tool from FireEye is capa that helps to quickly find the loader's main code. During the analysis, I also try to simulate the malicious code in python script for automatic extracting and decoding payload, Url.

[RE016] Malware Analysis: ModiLoader

 

1. Giới thiệu

Gần đây, tôi có tìm hiểu một dòng loader có tên là ModiLoader. Loader này được phát tán thông qua các dịch vụ Malspam để lừa người dùng thực thi mã độc. Tương tự như các dòng loader khác, ModiLoader cũng thông qua nhiều bước (stage) để tải về payload cuối cùng có nhiệm vụ đánh cắp thông tin của nạn nhân. Qua tìm hiểu một số sample, xét về mặt kĩ thuật thì dòng loader này khá cơ bản, không áp dụng các kĩ thuật anti-analysis như Anti-Debug, Anti-VM mà chúng tôi đã gặp ở các sample GuLoader/CloudEyE (1;2). Thay vào đó, để tránh bị phát hiện bởi các chương trình AV, loader này sử dụng chữ kí số, thực hiện giải mã các payload, Url, hàm làm nhiệm vụ inject code, và thực thi payload trực tiếp từ bộ nhớ.

Hiện tại, trên thế giới cũng như cũng như ở Việt Nam chưa có nhiều bài viết phân tích về dòng loader này. Do vây, trong bài viết này, tôi sẽ trình bày các kĩ thuật mà loader này sử dụng cũng như áp dụng công cụ mới công bố gần đây của FireEye là capa giúp nhanh chóng tìm ra đoạn code cần phân tích. Bài phân tích cũng tối đa hóa việc mô phỏng lại code của mã độc bằng python để phục vụ việc tự động trích xuất và giải mã payload, Url.

[EX005] Hành trình khai thác lỗ hổng phần mềm CVE-2020–5902


Chắc hẳn nhiều người đã biết đến lỗ hổng CVE-2020-5902, mới được công bố tồn tại trên hệ thống BIG-IP của F5 được cộng đồng bảo mật quan tâm gần đây. Sau thời gian tìm hiểu, tôi cũng tò mò về root cause của nó và càng thấy thú vị hơn về mitigation bypass được công bố vài ngày sau đó. Do đó, tôi quyết định tìm hiểu sâu hơn về lỗ hổng này. Bài viết chia sẻ lại một số câu hỏi mà tôi đã đặt ra và trả lời trong quá trình hiểu về lỗ hổng.

Bài viết này được viết sau khi tìm hiểu, trao đổi và hướng dẫn bởi anh QuangNX (@sovietw0rm) và QuangBX (@buxu). Xin chân thành cảm ơn các chuyên gia!

Image source: https://skugal.org/critical-rce-flaw-with-f5-let-remote-attackers-take-complete-control-of-the-device/

Câu chuyện

Mã khai thác được lan truyền nhiều trên mạng xã hội chỉ vài ngày ngắn ngủi sau khi hãng F5 ra KB về lỗ hổng này. Tôi bắt đầu với một số câu hỏi trong đầu: 
  • Tại sao lỗ hổng lại tồn tại?
  • Tại sao với chuỗi ..; lại có thể bypass auth, hơn nữa lại chỉ có thể áp dụng với /tmui/login.jsp mà không phải là các endpoint khác.

[IR006] Incident Response Challenge_Sad Chal Write-up


1. Câu chuyện

Thông qua Twitter, tôi biết được công ty Cynet có xây dựng và tổ chức một cuộc thi dành cho các chuyên gia Ứng phó sự cố (Incident Response) kiểm tra kỹ năng của mình thông qua một loạt thử thách theo cấp độ từ Basic tới Advanced. Lý do Cynet tổ chức cuộc thi này là do họ nhận thấy các cuộc thi Capture the Flag (CTF) đã quá phổ biến, trong khi các cuộc thi về Capture the Evidence nhằm kiểm tra khả năng điều tra, phán đoán, chắt lọc thông tin dựa trên các chứng cứ thu được vẫn còn rất ít. Toàn bộ 25 bài thử thách được Cynet công bố tại đây và không giới hạn số lượng người tham gia. Người nào vượt qua hết các thử thách và đứng ở vị trí đầu tiên sẽ giành được giải thưởng là $5.000 USD.

Theo Cynet, các thử thách đều được xây dựng và cố vấn bởi các chuyên gia hàng đầu. Thời gian tạo nên khác biệt! Trả lời đáp án càng nhanh thì số điểm ghi được càng nhiều. Trong quá trình tham gia các thử thách, tôi nhận thấy bài 21 (Sad) là một trong những thử thách đòi hỏi ở người tham dự nhiều kĩ năng khác nhau, bao gồm Memory Forensic, Packet AnalysisMalware Analysis. Trong bài viết này, tôi sẽ chia sẻ lại quá trình tôi tìm ra đáp án như thế nào.

[CVE49] Microsoft Windows LNK Remote Code Execution Vulnerability - CVE-2020-1299



Shell Link Binary File Format, which contains information that can be used to access another data object. The Shell Link Binary File Format is the format of Windows files with the extension "LNK", we call it a shortcut file. Regarding the structure of this format is very complicated, Microsoft has provided a document about LNK file format for reference[1].

I've followed the Microsoft patches for a long time. In 2018, I found that they had 2 LNK bugs which were fixed and all of them were RCE. Recently, @Lays found a bunch of LNK file parsing bugs, so with this binary file format I think it is suitable for fuzzing. However, you need to reverse and learn how to handle this LNK file on Windows.

Introduction

File Explorer, previously known as Windows Explorer, is a file manager application that has been included with releases of the Microsoft Windows operating system from Windows 95 onwards. It provides a graphical user interface for accessing the file systems. It is also the component of the operating system that presents many user interface items on the screen such as the taskbar and desktop.