RUVIDEO
Поделитесь видео 🙏

Malware Analysis - ROKRAT Unpacking from Injected Shellcode

Анализ вредоносных программ - Распаковка ROKRAT из введенного шеллкода

Sample:
https://beta.virusbay.io/sample/browse/b441d9a75c60b222e3c9fd50c0d14c5b
https://www.hybrid-analysis.com/sample/9b383ebc1c592d5556fec9d513223d4f99a5061591671db560faf742dd68493f?environmentId=100

Article: https://blog.talosintelligence.com/rokrat-reloaded/

Process Injection Graphic: https://struppigel.blogspot.com/2017/07/process-injection-info-graphic.html

x64dbg: https://x64dbg.com/#start
HxD: https://mh-nexus.de/en/hxd/
PortexAnalyzer batch: https://pastebin.com/Qudtr5eN
PortexAnalyzer jar: https://github.com/struppigel/PortEx/tree/master/progs
Process Explorer: https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer

00:01 Введение в анализ вредоносной программы

• Обсуждение статьи "Rogue Rid Reloaded" и других статей о вредоносных программах.
• Новый вариант вредоносной программы, обсуждаемый в статье.
• Сравнение с семейством Melbourne и отсутствие полезной нагрузки.

00:56 Анализ файла и его структуры

• Использование product analyzer для анализа файла.
• Файл не запутан, что облегчает его изучение.
• Высокая энтропия раздела ресурсов и типичные импорты для внедрения кода.

02:51 Процесс внедрения кода

• Процесс создания и ожидания другого процесса.
• Использование virtual alloc и create remote thread для записи данных.
• Создание удаленной угрозы и использование create process.

04:30 Отладка процесса внедрения

• Использование отладчика для анализа процесса внедрения.
• Установка точки останова на вызов create process.
• Обнаружение кода для внедрения и использование create remote thread.

06:40 Анализ полезной нагрузки

• Подключение к другому процессу для продолжения отладки.
• Установка точки останова на адрес выполнения кода.
• Обнаружение шелл-кода и декодирование PE-файла.

09:25 Декодирование PE-файла

• Поиск цикла для декодирования PE-файла.
• Обнаружение операции xor и декодирование PE-изображения.
• Установка точки останова после цикла для анализа декодированного кода.

11:03 Анализ полезной нагрузки

• Обнаружение интересного цикла и установка точки останова.
• Декодирование PE-изображения и анализ полезной нагрузки.
• Сравнение полезной нагрузки с материалами из статьи.

13:27 Заключение

• Подтверждение полезной нагрузки и сравнение с материалами из статьи.
• Важность анализа вредоносных программ через статьи.
• Призыв к дальнейшему анализу и сравнению с материалами из статей.

Что делает видео по-настоящему запоминающимся? Наверное, та самая атмосфера, которая заставляет забыть о времени. Когда вы заходите на RUVIDEO, чтобы посмотреть онлайн «Malware Analysis - ROKRAT Unpacking from Injected Shellcode», вы рассчитываете на нечто большее, чем просто загрузку плеера. И мы это понимаем. Контент такого уровня заслуживает того, чтобы его смотрели в HD 1080, без дрожания картинки и бесконечного буферизации.

Честно говоря, Rutube сегодня — это кладезь уникальных находок, которые часто теряются в общем шуме. Мы же вытаскиваем на поверхность самое интересное. Будь то динамичный экшн, глубокий разбор темы от любимого автора или просто уютное видео для настроения — всё это доступно здесь бесплатно и без лишних формальностей. Никаких «заполните анкету, чтобы продолжить». Только вы, ваш экран и качественный поток.

Если вас зацепило это видео, не забудьте взглянуть на похожие материалы в блоке справа. Мы откалибровали наши алгоритмы так, чтобы они подбирали контент не просто «по тегам», а по настроению и смыслу. Ведь в конечном итоге, онлайн-кинотеатр — это не склад файлов, а место, где каждый вечер можно найти свою историю. Приятного вам отдыха на RUVIDEO!

Видео взято из открытых источников Rutube. Если вы правообладатель, обратитесь к первоисточнику.