Wednesday, September 18, 2019

Digital Forensics: Binwalk part II

Digital Forensics: Binwalk II

     จุดประสงค์สำหรับการทดสอบ
    1.เพื่อตระหนักถึงไฟล์อันตรายที่ถูกซ่อนอยู่
    2.สามารถใช้เครื่องมือตรวจสอบเบื้องต้นว่ามีไฟล์ซ่อนอยู่ในไฟล์ที่เราจะใช้งานหรือไม่

   วันนี้มาทดสอบโปรแกรมที่ Built ใหม่  จาก 2 ไฟล์ด้านล่างนี้ เพิ่อหลอกให้เหยื่อคิดว่าเป็นไฟลของโปรแกรม Putty

    1. Putty.exe   551 kb  โปรแกรม remote
    2. server.exe   24 kb ไฟล์ backdoor

ผมใช้ Tool สำหรับรวมไฟล์ ตามภาพด้านล่าง


 Server.exe backdoor
 หลังจากรวมไฟล์แล้วทำการตรวจสอบโดย Upload file to VirusTotal

Upload to VirusTotal
พบมัลแวร์จากไฟล์นี้
 58  engines detected this file Server.exe

VIRUSTOTAL
ไฟล์ที่ทำการ Built ใหม่นี้ Putty.exe  มีขนาด 756 kb


พบมัลแวร์จากไฟล์ Putty.exe 
 44 engines detected this file Putty.exe

Binwalk คือ

เป็นเครื่องมือที่ใช้งาน สำหรับการวิเคราะห์ไฟล์ไบนารี (binary files) โดยเฉพาะ   มันถูกออกแบบมาเพื่อค้นหาไฟล์และ(embeded files)โค้ดที่ฝังอยู่ภายใน firmware images ส่วนใหญ่จะใช้เพื่อ Extract ไฟล์ฺออกมาจาก firmware images บนระบบ Linux

   จริงๆโปรแกรม Binwalk   ส่วนใหญ่ มักใช้ในการแข่ง CTF  forensic เจอในโจทย์ตลอด ใครต้องแข่ง ก็ลองศึกษาดูครับมีประโยชน์

คำสั่งที่ใช้ scanไฟล์ที่อยู่ในไฟล์ firmware ว่ามีไฟล์ชนิดไหนบ้าง
$ binwalk -M putty.exe


ไฟล์ต้นฉบับ putty.exe 
md5  = 2fdbfe5999e130d7a2b0960b2f1e676d

 จากการ scan สังเกต OpenSSH และ Microsoft Executeable 0x0  PE
Putty.exe Original file

ไฟล์ backdoor ต้นฉบับ  server.exe  
 md5= be8c453b4497b0c86c1928addd61323f
 จากการ scan สังเกต  Microsoft Executeable  0x0  PE
Server.exe Backdoor
ไฟล์ putty.exe  ที่ใส่ไฟล์ backdoorแล่้ว
md5= 13669eddbf2df2218edd065ea5872d88

Microsoft Executeable   0x0  &  0x120F

 จากการ scan สังเกต                          Microsoft Executeable  0x0          PE
 จากการ scan สังเกต OpenSSH และ Microsoft Executeable   0x120F   PE
Putty.exe  Backdoor
สรุป ผลการทดสอบ
        1. สามารถใช้โปรแกรม ฺ Binwalk ในการตรวจสอบและวิเคราะห์ข้อมูลในไฟล์ได้
        2. ใช่ Hash value ในการตรวจสอบว่าไฟล์ที่ได้มาถูกต้องกับต้นฉบับหรือไม่
        3. ใช้ ฺVirustotal ในการตรวจสอบไฟล์ที่สงสัยว่าไม่ปลอดภัย

   

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....