Digital Forensics: Binwalk II
จุดประสงค์สำหรับการทดสอบ1.เพื่อตระหนักถึงไฟล์อันตรายที่ถูกซ่อนอยู่
2.สามารถใช้เครื่องมือตรวจสอบเบื้องต้นว่ามีไฟล์ซ่อนอยู่ในไฟล์ที่เราจะใช้งานหรือไม่
วันนี้มาทดสอบโปรแกรมที่ Built ใหม่ จาก 2 ไฟล์ด้านล่างนี้ เพิ่อหลอกให้เหยื่อคิดว่าเป็นไฟลของโปรแกรม Putty
1. Putty.exe 551 kb โปรแกรม remote
2. server.exe 24 kb ไฟล์ backdoor
ผมใช้ Tool สำหรับรวมไฟล์ ตามภาพด้านล่าง
Server.exe backdoor |
Upload to VirusTotal |
58 engines detected this file Server.exe |
VIRUSTOTAL |
พบมัลแวร์จากไฟล์ Putty.exe
44 engines detected this file Putty.exe |
Binwalk คือ
เป็นเครื่องมือที่ใช้งาน สำหรับการวิเคราะห์ไฟล์ไบนารี (binary files) โดยเฉพาะ มันถูกออกแบบมาเพื่อค้นหาไฟล์และ(embeded files)โค้ดที่ฝังอยู่ภายใน firmware images ส่วนใหญ่จะใช้เพื่อ Extract ไฟล์ฺออกมาจาก firmware images บนระบบ Linuxจริงๆโปรแกรม Binwalk ส่วนใหญ่ มักใช้ในการแข่ง CTF forensic เจอในโจทย์ตลอด ใครต้องแข่ง ก็ลองศึกษาดูครับมีประโยชน์
คำสั่งที่ใช้ scanไฟล์ที่อยู่ในไฟล์ firmware ว่ามีไฟล์ชนิดไหนบ้าง
$ binwalk -M putty.exe
ไฟล์ต้นฉบับ putty.exe
md5 = 2fdbfe5999e130d7a2b0960b2f1e676d
จากการ scan สังเกต OpenSSH และ Microsoft Executeable 0x0 PE
Putty.exe Original file |
ไฟล์ backdoor ต้นฉบับ server.exe
md5= be8c453b4497b0c86c1928addd61323f
จากการ scan สังเกต Microsoft Executeable 0x0 PE
Server.exe Backdoor |
md5= 13669eddbf2df2218edd065ea5872d88
Microsoft Executeable 0x0 & 0x120F |
จากการ scan สังเกต Microsoft Executeable 0x0 PE
จากการ scan สังเกต OpenSSH และ Microsoft Executeable 0x120F PE
Putty.exe Backdoor |
1. สามารถใช้โปรแกรม ฺ Binwalk ในการตรวจสอบและวิเคราะห์ข้อมูลในไฟล์ได้
2. ใช่ Hash value ในการตรวจสอบว่าไฟล์ที่ได้มาถูกต้องกับต้นฉบับหรือไม่
3. ใช้ ฺVirustotal ในการตรวจสอบไฟล์ที่สงสัยว่าไม่ปลอดภัย
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud