Lịch sử nghiên cứu
Trong bối cảnh nguy cơ bảo đảm an toàn thông tin toàn cầu ngày càng gia tăng về số lượng và độ phức tạp, môi trường an ninh thông tin tại Việt Nam đang trở nên đáng lo ngại Các báo cáo hiện tại chỉ ra rằng sự lây nhiễm từ các thành phần độc hại có thể gây ra tác động tiêu cực trực tiếp đến các hệ thống quan trọng, làm tăng nguy cơ rủi ro cho an toàn thông tin quốc gia.
Các thông tin dưới đây được trích dẫn từ các báo cáo của các tổ chức và doanh nghiệp uy tín trong lĩnh vực an toàn an ninh thông tin, nhằm cung cấp cái nhìn tổng quan về tình hình an toàn an ninh thông tin tại Việt Nam.
Việt Nam xếp thứ 4 toàn cầu về quy mô botnet, tức là các máy tính bị kiểm soát để thực hiện các cuộc tấn công vào máy chủ, trong giai đoạn Q2 và Q3 năm 2015.
Hình 1: Việt Nam trong các mạng Botnet lớn nhất thế giới
Việt Nam hiện là quốc gia đứng thứ hai thế giới về mức độ nhiễm Ghostnet, một hệ thống máy tính bị kiểm soát tương tự như botnet Ghostnet được thiết kế nhằm mục đích thu thập thông tin từ người dùng thông qua các phương tiện như bàn phím, chat, email, micro và camera.
Hình 2: Việt Nam trong thống kê lây nhiễm Ghostnet trên thế giới
Việt Nam hiện đang dẫn đầu thế giới về tỷ lệ lây nhiễm virus Enfal, với 394 trên 874 hệ thống bị ảnh hưởng tại 33 quốc gia, theo báo cáo của Trend Macro vào tháng 09/2011 Malware Enfal chủ yếu nhắm vào các cơ quan chính phủ, nhà thầu quân sự và quốc phòng, cũng như các viện nghiên cứu trong lĩnh vực hạt nhân, năng lượng, và ngành hàng không vũ trụ.
− Theo thống kê của SecureList, trong năm 2015,Việt Nam nằm trong top những nước có khả năng bị lây nhiễm mã độc nhiều nhất với khoảng từ 35- 48%
Hình 3: Việt Nam trong danh sách những nước bị nhiễm mã độc nhiều nhất
− Và đứng thứ 5 trong danh sách những nước bị nhiễm mã độc nhiều nhất với 39,55%
− Theo thống kê trong ngày của Kaspersky Việt Nam thường xuyên trong top
10 nước bị nhiễm mã độc nhiều nhất trên thế giới Các số liệu Kaspersky thống kê vào ngày 14/04/2016 của Việt Nam
• 20.010 website bị nhiễm mã độc
• 6.021 email phát tán mã độc
• 24.765 vụ xâm nhập trái phép
• 2.798 và lỗ hổng phần mềm
Việt Nam đứng đầu bảng trong các nước bị lây nhiễm nội bộ, với các dữ liệu phát hiện phần mềm gây hại trên các thiết bị hoặc phương tiện kết nối đến máy tính như USB, ổ cứng lưu trữ bên ngoài, thẻ nhớ trong điện thoại và các thiết bị lưu trữ ngoài khác.
# Quốc gia Tỷ lệ lây nhiễm nội bộ
Việt Nam thường xuyên nằm trong top 10 quốc gia phát tán thư rác và thư có nội dung độc hại, theo báo cáo của Kaspersky Lab Trong quý 1 năm 2015, tỷ lệ phát tán thư rác của Việt Nam đạt 2.84%.
Hình 4: Việt Nam trong thống kê thư rác trên thế giới quý 1 năm 2015
Vào năm 2014, các hacker Trung Quốc đã tiến hành hai đợt tấn công lớn vào các website của chính phủ, ngân hàng, báo chí và doanh nghiệp tại Việt Nam Theo thống kê từ SecurityDaily.net, đợt tấn công thứ nhất diễn ra từ 30/04 đến 10/05, với 225 website, chủ yếu là của các doanh nghiệp lớn và một số tên miền gov, bị xâm nhập thành công Đợt tấn công thứ hai xảy ra trong kỳ nghỉ 02/09, đã ghi nhận 749 website, bao gồm cả website của chính phủ và các trường học, bị hack.
Các cơ quan và doanh nghiệp tại Việt Nam đang đối mặt với những mối đe dọa an ninh mạng ngày càng gia tăng với những đặc điểm chưa từng có Những cuộc tấn công không cần tiếp xúc vật lý với mục tiêu, cho phép các hoạt động diễn ra dễ dàng qua biên giới nhiều quốc gia Hơn nữa, tội phạm mạng có khả năng tấn công tự động, với tốc độ cao và nhắm vào số lượng lớn nạn nhân cùng lúc, trong khi dễ dàng che giấu danh tính của mình.
Việt Nam hiện đang đối mặt với nguy cơ phụ thuộc hoàn toàn vào phần cứng, hệ điều hành và phần mềm ứng dụng, điều này có thể dẫn đến việc mất kiểm soát dữ liệu.
Mục đích nghiên cứu của luận văn, đối tượng, phạm vi nghiên cứu
Theo khảo sát về tình hình an ninh mạng hiện tại, chi phí xây dựng tổ chức phòng chống mã độc là rất lớn Trong xã hội hiện nay, nhiều người muốn tìm hiểu về mã độc nhưng không biết bắt đầu từ đâu.
Để khắc phục những hạn chế hiện tại, việc xây dựng một hệ thống tự động phân tích mã độc là rất cần thiết Hệ thống này có ưu điểm là không yêu cầu người vận hành có chuyên môn cao; chỉ cần một chiếc máy tính và không cần kết nối Internet, mặc dù nếu có thì hiệu quả sẽ tốt hơn Hệ thống cho phép phân tích các loại mã độc một cách tự động và có khả năng duy trì lâu dài mà không tốn nhiều công sức và chi phí.
Phương pháp nghiên cứu
Trong quá trình nghiên cứu cho luận văn, tôi đã quyết định áp dụng các chương trình mã nguồn mở để phát triển hệ thống tự động phân tích mã độc.
TỔNG QUAN VỀ MÃ ĐỘC VÀ HỆ THỐNG TỰ ĐỘNG PHÂN TÍCH MÃ ĐỘC
Khái niệm và phân loại mã độc
Phần mềm độc hại, hay còn gọi là Malware, là chương trình được thiết kế để thâm nhập và phá hoại hệ thống máy tính một cách bí mật, nhằm đánh cắp thông tin và gây gián đoạn hoạt động Malware có thể ảnh hưởng đến tính bí mật, tính toàn vẹn và tính sẵn sàng của dữ liệu Các loại malware phổ biến bao gồm virus, worm, trojan và rootkit, được phân loại dựa trên chức năng và phương thức lây nhiễm.
Virus máy tính là một loại phần mềm hoặc mã có khả năng tự sao chép từ đối tượng này sang đối tượng khác, bao gồm các file chương trình, văn bản, máy tính và hệ thống mạng Tính năng quan trọng nhất của virus là khả năng lây lan; nếu không có khả năng này, chương trình sẽ không được xem là virus.
Virus máy tính là một loại phần mềm độc hại, nhưng thường bị nhầm lẫn với các loại phần mềm độc hại khác như worm và trojan Trong bài luận này, thuật ngữ "virus máy tính" sẽ được sử dụng để chỉ chung cho tất cả các loại phần mềm độc hại.
Mã độc có thể được phân loại theo nhiều tiêu chí như chức năng, cách thức lây nhiễm và mục đích sử dụng, mỗi cách đều có ưu và nhược điểm riêng Tuy nhiên, không có phương pháp phân loại nào có thể bao quát tất cả các khía cạnh của virus máy tính Sự phát triển nhanh chóng của mã độc, cả về số lượng lẫn chất lượng, nhờ vào sự bùng nổ của Internet, đã dẫn đến xu hướng “xác nhập” giữa các loại mã độc, tạo ra những biến thể mới với khả năng phá hoại và lây lan mạnh mẽ hơn Do đó, ranh giới giữa các loại mã độc ngày càng mờ nhạt, làm cho việc phân loại trở nên khó khăn hơn bao giờ hết.
Các phân loại được đưa ra dưới đây đều dựa trên chức năng, đối tượng lây nhiễm và các đặc trưng của mã độc máy tính
Virus boot là loại virus xâm nhập vào boot sector hoặc master boot record của ổ cứng, nơi lưu trữ thông tin quan trọng để khởi động hệ thống và nạp các phân vùng.
Virus Boot hoạt động trước khi hệ điều hành được khởi động, do đó nó hoàn toàn độc lập với hệ điều hành Nhược điểm của B-Virus là khó lập trình vì không thể tận dụng các dịch vụ và chức năng có sẵn của hệ điều hành, đồng thời kích thước của virus cũng bị giới hạn bởi kích thước của các sector, mỗi sector chỉ chứa 512 byte.
Ngày nay, Boot Virus gần như không còn xuất hiện do tốc độ lây lan chậm và không phù hợp với thời đại Internet Virus Macro, loại virus lây vào các file văn bản, bảng tính và trình diễn trong bộ ứng dụng Microsoft Office, cũng đã gần như tuyệt chủng Trong khi đó, virus Scripting, viết bằng các ngôn ngữ như VBScript và JavaScript, dễ dàng lây lan và thay đổi nội dung file HTML để chèn quảng cáo Cuối cùng, File Virus lây vào các file thực thi như com, exe, và dll, kích hoạt mã virus khi file được mở, gây ra hành vi phá hoại và lây nhiễm.
Loại virus này có đặc điểm lây lan nhanh và khó diệt hơn các loại virus khác do phải xử lý cắt bỏ, chỉnh sửa file bị nhiễm
File Virus có nhược điểm là chỉ lây vào một số định dạng file nhất định và phụ thuộc vào hệ điều hành
File Virus vẫn tồn tại tới ngày nay với những biến thể ngày càng trở nên nguy hiểm, phức tạp hơn
17 e Trojan horse – ngựa thành tơ roa
Tên của virus Trojan được lấy cảm hứng từ câu chuyện cổ về cuộc chiến với người Tơ-roa, nơi các chiến binh Hy Lạp đã sử dụng một con ngựa gỗ để xâm nhập vào thành phố Tương tự, virus Trojan ẩn mình trong các phần mềm hoặc virus khác để xâm nhập vào máy tính của nạn nhân Khi điều kiện thuận lợi, chúng sẽ thực hiện các hành động như đánh cắp thông tin cá nhân và mật khẩu, cũng như điều khiển máy tính của nạn nhân Đặc điểm nổi bật của Trojan là nó không tự lây lan mà cần phải dựa vào các chương trình khác để phát tán.
Dựa vào cách hoạt động ta có thể phân chia Trojan thành các loại sau: BackDoor, Adware và Spyware f BackDoor:
Phần mềm BackDoor, một dạng Trojan, khi xâm nhập vào máy tính nạn nhân sẽ mở ra cổng dịch vụ cho phép kẻ tấn công điều khiển hoạt động của máy Kẻ tấn công có thể cài đặt BackDoor lên nhiều máy tính khác nhau, tạo thành mạng lưới Bot Net để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) Ngoài ra, Adware và Spyware cũng là loại Trojan, xâm nhập với mục đích quảng cáo hoặc gián điệp, gây khó chịu cho người dùng bằng cách hiển thị quảng cáo, mở trang web không mong muốn và thay đổi trang chủ trình duyệt Chúng còn cài đặt chương trình ghi lại thao tác bàn phím để đánh cắp mật khẩu và thông tin cá nhân.
Hình 5: Virus Adware quảng cáo lừa đảo h Worm – sâu máy tính:
Worm (sâu máy tính) là một trong những loại virus phát triển và lây lan mạnh mẽ nhất hiện nay, chủ yếu thông qua mạng Internet Ban đầu, Worm được thiết kế để phát tán qua email, và khi xâm nhập vào máy tính, chúng sẽ tìm kiếm các sổ địa chỉ và danh sách email của nạn nhân Sau đó, Worm giả mạo các email để gửi chính nó tới những địa chỉ đã thu thập được, thường với nội dung lừa đảo.
Các email giả mạo thường sử dụng tiêu đề "giật gân" hoặc "hấp dẫn" và có thể trích dẫn từ email của nạn nhân để tạo sự tin tưởng Điều này làm cho các email giả mạo trở nên thuyết phục hơn, khiến người nhận dễ bị lừa Nhờ vào những email này, Worm đã lây lan mạnh mẽ trên Internet theo cấp số nhân.
Hình 6:Ví dụ về worm lây qua email
Worm không chỉ lây lan qua email mà còn sử dụng ổ USB để phát tán Sự phổ biến của thiết bị nhớ USB nhờ kích thước nhỏ gọn và tính di động đã biến nó thành phương tiện lý tưởng cho Worm.
Worm, với khả năng lây lan mạnh mẽ, đã được các tác giả virus cải tiến bằng cách tích hợp thêm các tính năng phá hoại và ăn cắp thông tin Nhờ đó, Worm trở thành “bạn đồng hành” của nhiều loại phần mềm độc hại khác như BackDoor và Adware, trong đó có cả Rootkit.
Rootkit ra đời sau các loại virus khác, nhưng rootkit lại được coi là một trong những loại virus nguy hiểm nhất
Rootkit không phải là virus mà là một chương trình hoặc tập hợp các chương trình máy tính được thiết kế để can thiệp sâu vào hệ thống máy tính, bao gồm cả nhân của hệ điều hành và phần cứng Mục tiêu chính của rootkit là che giấu sự hiện diện của nó và các phần mềm độc hại khác.
Sự xuất hiện của rootkit đã khiến cho các phần mềm độc hại trở nên "vô hình" trước các công cụ thông thường và cả phần mềm diệt virus Điều này làm cho việc phát hiện và tiêu diệt virus trở nên khó khăn hơn, do rootkit được trang bị nhiều kỹ thuật hiện đại và tinh vi.
Cách thức và đối tượng lây nhiễm
Virus lây lan qua hành vi sử dụng máy tính và Internet của con người Hiểu rõ cách thức lây nhiễm sẽ giúp chúng ta có giải pháp hiệu quả trong việc phòng chống, phát hiện và tiêu diệt virus Virus có thể lây nhiễm theo cách cổ điển.
Sự lây nhiễm virus máy tính thường xảy ra qua các thiết bị lưu trữ di động, với đĩa mềm và đĩa CD từng là phương tiện phổ biến nhất Hiện nay, khi đĩa mềm ít được sử dụng, virus chủ yếu lây lan qua ổ USB, ổ cứng di động và các thiết bị giải trí công nghệ số Ngoài ra, virus cũng có thể lây nhiễm qua thư điện tử, tạo ra một mối đe dọa lớn cho người dùng.
Khi thư điện tử trở nên phổ biến toàn cầu, virus đã chuyển hướng lây nhiễm qua e-mail thay vì các phương thức lây nhiễm truyền thống.
Khi virus lây nhiễm vào máy tính, nó tự động quét và thu thập danh sách địa chỉ email có sẵn, sau đó gửi đi hàng loạt thư đến các địa chỉ này Nếu người nhận không phát hiện ra virus, máy tính của họ có thể bị lây nhiễm tiếp, tạo ra một chu kỳ lây lan không ngừng Kết quả là, số lượng máy tính bị nhiễm virus có thể tăng theo cấp số nhân, dẫn đến hàng triệu máy tính bị ảnh hưởng chỉ trong một thời gian ngắn, gây ra sự tê liệt cho nhiều cơ quan trên toàn thế giới.
Khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt virus, chúng có thể ngăn chặn việc tự gửi nhân bản hàng loạt để phát tán virus đến các địa chỉ trong danh bạ của nạn nhân Tuy nhiên, những kẻ phát tán virus đã chuyển sang hình thức gửi thư virus tự động bằng cách sử dụng các địa chỉ email đã được sưu tập trước đó.
Phương thức lây nhiễm qua thư điển tử bao gồm:
Virus có thể lây nhiễm qua các file đính kèm trong thư điện tử, và người dùng chỉ bị nhiễm khi mở file đính kèm bị nhiễm virus Để tránh bị lừa, người dùng cần cẩn trọng với các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo phần mềm giá rẻ, vì đây thường là cách mà virus "trá hình" để đánh lừa người dùng.
Lây nhiễm virus có thể xảy ra khi người dùng mở liên kết trong thư điện tử, dẫn đến trang web chứa mã độc Những liên kết này thường khai thác lỗ hổng của trình duyệt và hệ điều hành, hoặc thực thi đoạn mã độc hại, khiến máy tính bị lây nhiễm virus.
Lây nhiễm virus có thể xảy ra ngay khi người dùng mở thư điện tử, mà không cần phải kích hoạt tệp tin hay nhấp vào liên kết nào Phương thức này rất nguy hiểm vì nó thường khai thác các lỗ hổng của hệ điều hành, dẫn đến việc máy tính dễ dàng bị lây nhiễm qua mạng Internet.
Với sự bùng nổ của Internet, các hình thức lây nhiễm virus qua mạng đã trở thành phương thức chủ yếu trong thời đại hiện nay Virus có khả năng lây lan nhanh chóng và không bị giới hạn về địa lý, cho phép chúng xâm nhập vào nhiều thiết bị trong thời gian ngắn.
Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:
Virus có thể lây nhiễm qua các file tài liệu và phần mềm, đây là phương thức lây nhiễm truyền thống Thay vì sử dụng các thiết bị lưu trữ như đĩa mềm hay USB, người dùng hiện nay thường tải file từ Internet hoặc trao đổi thông qua các phần mềm, dẫn đến nguy cơ cao hơn về sự lây lan của virus.
Khi người dùng truy cập các trang web có chứa virus, họ có nguy cơ cao bị lây nhiễm mã độc và phần mềm độc hại Những trang web này có thể được thiết lập với mã độc hại, dẫn đến việc máy tính của người sử dụng bị nhiễm virus một cách vô tình hoặc cố ý.
Tin tặc có thể lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗ hổng bảo mật trong hệ điều hành, ứng dụng có sẵn hoặc phần mềm của hãng thứ ba Những lỗ hổng này, như trong Windows Media Player hoặc Acrobat Reader, có thể bị lợi dụng khi người dùng mở các tệp liên kết, dẫn đến việc máy tính nạn nhân bị tấn công.
Hơn 90% virus được phát hiện hiện nay nhắm vào hệ thống sử dụng hệ điều hành Windows, do đây là hệ điều hành phổ biến nhất trên toàn cầu.
Do sự phổ biến của Windows, tin tặc thường chú ý nhiều hơn đến hệ điều hành này so với các hệ điều hành khác Mặc dù có quan điểm cho rằng Windows có tính bảo mật kém hơn, dẫn đến việc xuất hiện nhiều virus hơn, nhưng nếu các hệ điều hành khác cũng có mức độ phổ biến tương tự như Windows, thì số lượng virus có thể sẽ tương đương.
Số lượng virus trên nền tảng di động đang gia tăng cả về số lượng lẫn mức độ nguy hiểm, ảnh hưởng đến hầu hết các hệ điều hành như Android, iOS và Windows.
Một số loại mã độc và hệ thống tự động phân tích mã độc
1.3.1 Một số loại mã độc nổi tiếng a Morris Worm
Sâu máy tính đầu tiên được phát tán qua Internet và thu hút sự chú ý lớn từ các phương tiện truyền thông là một sự kiện quan trọng trong lịch sử công nghệ Tác giả của con sâu này đã tạo ra một hiện tượng đáng chú ý trong cộng đồng mạng.
Robert Tappan Morris, một sinh viên tại Đại học Cornell Sâu Morris được thả lên mạng vào ngày 2 tháng 11 năm 1988 từ học viện MIT
Theo thống kê, khoảng 6.000 máy tính chạy Unix đã bị nhiễm sâu Morris, gây thiệt hại ước tính từ 10 đến 100 triệu đô la Virus Jerusalem, được phát hiện vào năm 1987, là một trong những virus máy tính đầu tiên trên thế giới, nổi tiếng với khả năng xóa sạch dữ liệu và file chương trình nếu chạy vào Thứ Sáu ngày 13 Loại virus này lây lan trên hệ điều hành MS-DOS, trước khi Windows 95 trở thành hệ điều hành phổ biến Khi bị nhiễm, tất cả các file chương trình có phần mở rộng EXE hoặc COM đều tăng kích thước do bị chèn thêm virus, ngoại trừ file COMMAND.COM chứa tập lệnh nội trú của DOS.
Virus Michelangelo, được phát hành vào năm 1991, đã gây ra sự hoang mang toàn cầu với "quả bom hẹn giờ" được lập trình kích hoạt vào ngày 6 tháng 3, ngày được coi là khai sinh của virus này Mặc dù virus này được thiết kế để ghi đè lên tất cả các sector của ổ đĩa, nhưng thực tế, mức độ thiệt hại mà nó gây ra không lớn.
Xuất hiện vào năm 1999, virus này đã tước quyền sử dụng BIOS, một chương trình quản lý chip CPU quan trọng nằm trên bo mạch chủ của máy tính, thiết yếu cho hoạt động của hệ thống.
Khi virus Melissa đạt được mục đích, máy tính không nhận được tín hiệu từ BIOS, buộc người dùng phải lập trình lại chip hoặc thay thế toàn bộ mainboard Virus này, được đặt theo tên một vũ nữ nhảy cột tại Florida, lần đầu xuất hiện vào năm 1999, lây lan qua hệ thống Email và tấn công các khách hàng của Microsoft.
Virus Melissa, được lập trình để lây lan qua hệ thống Outlook và Microsoft Word, đã gây ra những thiệt hại nghiêm trọng.
Virus Anna Kournikova, còn được biết đến với tên VBS.SST@mm, xuất hiện vào năm 2001 và thường được gửi qua email trong hộp thư Outlook, kèm theo file đính kèm cùng lời chú thích rằng đó là hình ảnh của ngôi sao quần vợt nổi tiếng Anna Kournikova.
Khi người dùng nhấp vào file đính kèm, virus Love Letter ngay lập tức phát tán bản sao của nó đến tất cả các địa chỉ email trong sổ địa chỉ.
Love Letter là một loại virus máy tính có nguồn gốc từ Philippines, được phát triển bởi một sinh viên Chỉ trong vòng 6 giờ, virus này đã lây lan qua 20 quốc gia, bao gồm cả Việt Nam.
55 triệu máy tính, gây thiệt hại khoảng 8,7 tỷ USD h Mydoom
Vào ngày 26/1/2004, virus "Mydoom" (còn được gọi là "Novarg hoặc "Shimgapi") đã xuất hiện trong hình dáng của "một cơn bão virus" nguy hiểm theo đúng nghĩa của nó
Theo thống kê từ các công ty diệt virus, virus "Mydoom" xuất hiện trong 1 trên 9 email toàn cầu, cho thấy mức độ nguy hiểm của loại virus này.
"Mydoom" gây ra tình trạng tích nghẽn đường truyền và được lập trình để tấn công vào website của Microsoft i Vector
Vector là dòng virus điển hình của loại virus siêu đa hình.Virus siêu đa hình có thể
Phần lớn các phần mềm diệt virus không có khả năng quét sâu ("deep scan") sẽ không phát hiện được virus một cách triệt để Nếu phần mềm chỉ dựa vào các mẫu nhận diện cố định để nhận diện virus đa hình hoặc siêu đa hình, khả năng tìm kiếm các biến thể của virus sẽ bị hạn chế, dẫn đến việc diệt virus không hiệu quả.
Virus vector có xuất xứ từ Đức và đã xuất hiện, hoành hành trên Internet cách đây gần
Trong suốt 3 năm qua, virus vector liên tục xuất hiện các biến thể mới, ngày càng phức tạp Những biến thể này không chỉ gây khó khăn cho người dùng mà còn là thách thức lớn đối với các phần mềm diệt virus.
Nhiều phần mềm diệt virus hiện nay không đủ khả năng phát hiện và xử lý triệt để các biến thể của dòng virus vector Điều này dẫn đến tình trạng không an toàn cho người dùng, khi các phần mềm này không thể bảo vệ hệ thống khỏi những mối đe dọa tiềm ẩn.
Virus Sality là một loại virus siêu đa hình, lần đầu xuất hiện vào năm 2003, với khả năng tự biến đổi để tránh bị phát hiện bởi các phần mềm diệt virus Virus này có thể gây ra tình trạng mất mát dữ liệu khi xóa hoặc cô lập các file bị nhiễm, dẫn đến việc người dùng không thể truy cập hoặc sử dụng hệ điều hành Windows do các file chuẩn bị xóa Sality lây lan rộng rãi thông qua nhiều công nghệ như P2P và lỗ hổng phần mềm, gây ra những tác động nghiêm trọng đến hệ thống.
Sality được coi là một trong những virus phức tạp và nguy hiểm nhất k Conficker
Virus Conficker là một trong những mối đe dọa lớn nhất trên toàn cầu, đã biến hàng triệu máy tính thành nô lệ bằng cách khai thác lỗ hổng của hệ điều hành Windows Nó có khả năng lẻn vào máy tính qua Internet hoặc ổ USB, đồng thời ngăn chặn người dùng truy cập vào các website bảo mật để tải về phiên bản chống virus mới nhất.
Hình 7: Conficker lây lan qua lỗ hổng phần mềm Windows
So sánh về các dữ liệu đầu vào mà các hệ thống này hỗ trợ
Các loại mã độc hiện nay có khả năng ẩn mình trong nhiều định dạng tập tin và tài liệu khác nhau, do đó, hệ thống phân tích mã độc cần hỗ trợ nhiều định dạng để phát hiện các mối đe dọa tiềm ẩn Chẳng hạn, nếu một kẻ tấn công giấu payload độc hại trong tài liệu PDF, công cụ phân tích phải có khả năng làm việc với định dạng PDF để thực hiện việc phân tích hiệu quả Nếu hệ thống không hỗ trợ định dạng này, quá trình bóc tách và phân tích tài liệu PDF sẽ không hiệu quả, dẫn đến việc không phát hiện được payload độc hại.
Khi xem xét các tài liệu PDF từ góc độ của một công cụ phân tích mã độc tự động, chúng ta nhận thấy rằng các tài liệu này chỉ đơn thuần là một tập hợp byte ngẫu nhiên.
Các kẻ tấn công thường sử dụng các định dạng tập tin và tài liệu phổ biến để đính kèm mã độc, nhằm phát tán phần mềm độc hại Hầu hết các định dạng này đều quen thuộc với người dùng, vì vậy dưới đây là những giải thích ngắn gọn về chúng.
• exe: Là định dạng file thực thi trên Windows hay còn gọi là Windows PE
• elf: Là định dạng file thực thi trên Linux ELF ( Linux executable programs )
• mach-o: là định dạng của những file thực thi chạy trên máy MAC của Apple
(MAC OS X Mach-O executable files)
• apk: Android APK executable files
• doc/docx: DOC/DOCX documents
• ppt/pptx: PPT/PPTX documents
• xsl/xsls: XSL/XSLS documents
• htm/html: HTM/HTML web pages
• jar: JAR Java executable files
• png/jpg: PNG/JPG images
• zip/rar: ZIP/RAR archived
• ie: Analyze Internet Explorer process when opening an URL
Bảng dưới đây liệt kê các định dạng tập tin và loại tài liệu mà hệ thống phân tích mã độc tự động hỗ trợ Mỗi hàng tương ứng với một định dạng tập tin hoặc loại tài liệu, trong khi các cột thể hiện cách thức hệ thống phân tích mã độc hoạt động, được ký hiệu bằng một hoặc hai chữ cái Dấu ✔ chỉ ra rằng định dạng tập tin hoặc loại tài liệu được hỗ trợ, trong khi dấu * cho biết rằng sự hỗ trợ cho các loại tài liệu đó đang được phát triển nhưng chưa khả dụng.
Hình 8: So sánh về các định dạng file mà các hệ thống hỗ trợ
Mỗi hệ thống tự động phân tích mã độc không thể áp dụng cho tất cả các loại tập tin, vì mã độc có thể ẩn mình trong nhiều loại tập tin và tài liệu khác nhau Một phương pháp phổ biến để nhúng mã độc vào tập tin thực thi là thêm mã hợp ngữ độc hại vào phần text của tập tin Ngoài ra, trong trường hợp mã độc nằm trong tài liệu docx, nó thường được viết dưới dạng macro và sẽ được thực thi bởi Microsoft Word khi tài liệu được mở.
Trong bài viết này, chúng tôi sẽ phân loại các định dạng tập tin và loại tài liệu thành các nhóm có đặc tính chung Mỗi loại sẽ được mô tả ngắn gọn về cách mà mã độc hoạt động, cùng với những yêu cầu cần thiết để các hệ thống tự động phân tích mã độc có thể thực hiện phân tích hiệu quả.
Các tập tin thực thi như exe, elf, mach-o, apk, dll thường chứa mã độc được phát tán trên Internet dưới dạng phần mềm hoặc trò chơi crack Khi người dùng tải về những chương trình này với mong muốn crack phần mềm, họ thường không biết rằng các file crack này có thể chứa mã độc do kẻ xấu chèn vào Khi thực thi các tập tin này trên máy tính, thiết bị của người dùng sẽ bị lây nhiễm virus hoặc phần mềm độc hại.
Các loại tài liệu như pdf, doc/docx, ppt/pptx, xml/XSLT và rtf thường chứa nhiều lỗ hổng phần mềm trong các chương trình sử dụng để mở chúng Những lỗ hổng này được phát hiện gần như hàng ngày Khi một kẻ tấn công phát hiện ra lỗ hổng trong các ứng dụng như Acrobat Reader hay Microsoft Word/OpenOffice, họ có thể tạo ra các tài liệu độc hại mà khiến chương trình không thể xử lý, dẫn đến tình trạng crash.
33 vào loại lỗ hổng, kẻ tấn công có thể có thể thực hiện một payload độc hại có trong các loại tài liệu này
Trình duyệt web, giống như PDF Reader và Office Suite, cũng có thể chứa lỗ hổng bảo mật Kẻ tấn công có khả năng tạo ra một trang web độc hại mà trình duyệt không thể xử lý, dẫn đến việc trình duyệt bị crash và cho phép kẻ tấn công thực thi mã tùy ý.
Các định dạng nén như zip và rar có thể được sử dụng để phát tán các tập tin độc hại trên Internet Khi một tập tin độc hại được đặt bên trong các định dạng lưu trữ này và được bảo vệ bằng mật khẩu, các giải pháp phân tích thông thường sẽ không thể phân tích nội dung bên trong, khiến việc xác định sự hiện diện của tập tin độc hại trở nên khó khăn.
Các định dạng ảnh như PNG và JPG có thể bị kẻ tấn công lợi dụng để ẩn chứa payload độc hại bên trong Những file ảnh này có thể được xử lý bởi các ứng dụng web bị khai thác trên máy chủ không được cấu hình đúng Do đó, giải pháp phân tích mã độc cần phải có khả năng kiểm tra nhiều định dạng ảnh khác nhau để phát hiện các yếu tố bất thường, bao gồm cả payload độc hại.
Các định dạng ngôn ngữ lập trình như Python, VBS và PowerShell (ps1) cho phép kẻ tấn công phát tán mã độc thông qua các đoạn script, mà sau đó có thể bị thực thi bởi các ứng dụng trên máy tính của nạn nhân Một ví dụ điển hình là macro trong file Word, mà sẽ được thực hiện nếu người dùng cho phép khi mở file trong Microsoft Word.
Kỹ thuật được sử dụng để phát hiện hệ thống phân tích mã độc
Các kỹ thuật phát hiện môi trường phân tích malware tự động đã được tích hợp vào các mẫu mã độc, cho phép chúng kiểm tra xem có đang hoạt động trong môi trường có kiểm soát hay không Nếu phát hiện môi trường này, các loại mã độc thường ngừng thực hiện hành vi độc hại để tránh bị phát hiện.
Trong bài viết này, chúng ta sẽ khám phá mã độc và các phương pháp phát hiện nó trong môi trường phân tích Chúng tôi sẽ làm rõ từng kỹ thuật để người đọc có cái nhìn tổng quát và chi tiết hơn về cách nhận diện mã độc hiệu quả.
Khi mã độc xâm nhập vào hệ thống, chúng có thể hoạt động ở chế độ user-mode hoặc kernel-mode, tùy thuộc vào kỹ thuật khai thác Mặc dù thường mã độc chạy ở chế độ user-mode, nhưng cũng tồn tại nhiều kỹ thuật cho phép chúng hoạt động ở chế độ kernel-mode Dù ở chế độ nào, có nhiều phương pháp để phát hiện mã độc khi chúng thực thi trong môi trường phân tích tự động Các phương pháp này được phân loại thành nhiều loại khác nhau.
Debugger là công cụ quan trọng cho các chuyên gia phân tích mã độc, giúp họ tự kiểm tra và hiểu rõ hơn về mẫu mã độc Mặc dù debugger không thường được sử dụng trong phân tích mã độc tự động, nhưng nhiều kỹ thuật phát hiện debugger có thể được tích hợp vào mã độc, làm cho quá trình debug trở nên khó khăn hơn, ví dụ như làm tốn thêm thời gian chạy hệ thống phân tích.
Kỹ thuật Anti-disassembly không trực tiếp liên quan đến môi trường phân tích mã độc tự động, nhưng nó có thể gây khó khăn cho các chuyên gia khi phân tích mã độc trong debugger Mã độc sử dụng các kỹ thuật khác nhau để làm rối quá trình phân tích hoặc làm cho mã trở nên phức tạp hơn Mặc dù kỹ thuật này hữu ích trong phân tích mã độc thủ công, nhưng tác dụng của nó trong môi trường phân tích tự động là hạn chế.
Môi trường Sandbox là một không gian tách biệt khỏi hệ điều hành chính, cho phép các loại mã độc hoạt động mà không làm ảnh hưởng đến phần còn lại của hệ thống Mục đích của Sandbox là mô phỏng các thành phần của hệ thống hoặc toàn bộ hệ thống, nhằm tách biệt hệ thống Guest khỏi hệ thống Host Có nhiều loại Sandbox khác nhau tùy thuộc vào các kỹ thuật ảo hóa, sẽ được trình bày trong các phần tiếp theo.
• Virtualized Programs: Chromium Sandbox, Sandboxie
• Virtualized Environment: VirtualPC, VMware, VirtualBox, QEMU
Hình 9: Mô phỏng hệ thống hoạt động khi có và không có SandBox
Mỗi hệ thống phân tích mã độc tự động sử dụng các hệ thống phụ trợ khác nhau để chạy mã độc trong môi trường kiểm soát, có thể là máy thật hoặc máy ảo Việc sử dụng máy tính thật tạo điều kiện thuận lợi cho việc thiết lập phòng thí nghiệm phân tích phần mềm độc hại, giúp mã độc khó xác định hơn khi chúng đang được thực thi Khi xây dựng phòng thí nghiệm phân tích mã độc, có thể kết nối nhiều máy tính để tạo thành mạng lưới phân tích hoặc đơn giản chuyển đổi giữa máy ảo và máy vật lý, tùy thuộc vào loại máy sử dụng.
Mỗi hệ thống tự động phân tích mã độc đều sử dụng môi trường ảo hóa như Qemu/KVM, VirtualBox, hay VMWare để chạy các mẫu mã độc Tùy thuộc vào công nghệ ảo hóa được áp dụng, một mẫu mã độc có thể hoạt động khác nhau.
Có 37 kỹ thuật khác nhau được sử dụng để phát hiện mã độc, giúp phân tích và chấm dứt thực thi ngay lập tức Nhờ đó, các mẫu mã độc không thể bị phát hiện vì chúng không thực hiện các hành vi gây hại.
Các hệ thống tự động phân tích mã độc hại sử dụng công nghệ ảo hóa khác nhau để thực thi các mẫu mã độc Một số loại sandbox, như Joe Sandbox, cho phép chạy mẫu mã độc trên máy thật và áp dụng các kỹ thuật ngăn chặn mã độc phát hiện môi trường phân tích Tuy nhiên, nhiều kỹ thuật khác vẫn tồn tại để mã độc có thể nhận biết khi nó bị phân tích Cuộc chiến giữa các kỹ thuật phát hiện và chống phát hiện diễn ra liên tục, với các kỹ thuật mới được phát hiện hàng ngày Khi một kỹ thuật phát hiện mới xuất hiện, thường sẽ có một kỹ thuật chống phát hiện mới được phát triển để làm cho kỹ thuật phát hiện trở nên vô dụng.
Tổng kết về các hệ thống phân tích mã độc
Trong phần này, chúng ta đã trình bày sự khác biệt giữa các hệ thống tự động phân tích mã độc và cách các hệ thống này hỗ trợ phân tích các định dạng tập tin và tài liệu khác nhau Mỗi hệ thống chỉ có khả năng xử lý một số định dạng nhất định, vì vậy việc lựa chọn dịch vụ phù hợp với loại tập tin cần phân tích là rất quan trọng Để phân tích hiệu quả một loại mã độc, cần chọn hệ thống tương thích với đặc điểm của mã độc đó Tuy nhiên, do nhiều kỹ thuật mà kẻ tấn công có thể áp dụng, một số loại mã độc có thể không được phân tích chính xác trong môi trường tự động.
Kết quả từ 38 xác cho thấy file sạch trong trường hợp này là giả, do đó, chỉ những chuyên gia phân tích mã độc mới nên sử dụng các hệ thống này để xác định sự hiện diện của mã độc Với hàng triệu mẫu độc hại được phát tán hàng ngày, việc kiểm tra thủ công là không khả thi, vì vậy, hệ thống phân tích mã độc tự động là giải pháp hiệu quả để tăng tốc độ phân tích Bài viết tiếp theo sẽ khám phá chi tiết các phương pháp phân tích mã độc và hướng dẫn từng bước xây dựng hệ thống tự động phân tích mã độc.
CÁC PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC
Cách thức phân tích mã độc
Có hai phương pháp chính được các chuyên gia phân tích mã độc sử dụng: phân tích tĩnh, tức là phân tích các đoạn mã của chương trình, và phân tích động, hay còn gọi là phân tích hành vi Cả hai kỹ thuật này giúp các chuyên viên phân tích nhanh chóng và chi tiết hiểu rõ các hiểm họa cũng như mục tiêu của từng mẫu malware cụ thể.
2.1.1 Phân tích tĩnh Để thực hiện việc phân tích tĩnh, chúng ta cần hiều được các cơ chế về lập trình, hợp ngữ x86 Trong quá trình phân tích tĩnh, chúng ta sẽ không thực thi mã độc Thông thường thì mã nguồn của mã độc sẽ không được cung cấp Chúng ta phải giải phân tách từng phần của virus trước và sau đó thực hiện việc dịch ngược Khi đó chúng ta phải hiểu ngôn ngữ lập trình bậc thấp assembly Phần lớn các chuyên gia phân tích mã độc thực hiện việc phân tích tĩnh ở khâu đầu tiên trong quá trình phân tích mã độc, bởi vì nó an toàn hơn việc phân tích động Sự khó khăn trong quá trình phân tích tĩnh là bởi vì sự phát triển của các mã độc hiện nay được thực hiện ngày càng tinh vi hơn, những loại mã độc này thường chứa trong bản thân một vài thành phần chống dịch ngược, để cho các chuyên gia phân tích mã độc khó có thể phân tích được một cách rõ ràng các thành phần của mã độc đó
Phân tích động, hay còn gọi là phân tích hành vi, là quá trình theo dõi và thực thi mã độc để ghi nhận các hành vi của nó Quá trình này giúp phát hiện những thay đổi nguy hiểm như xóa file, thay đổi registry, và đánh cắp thông tin cá nhân khi mã độc lây nhiễm vào hệ thống Để thực hiện phân tích động, cần có một môi trường an toàn để theo dõi sự thay đổi trên các file, registry, tiến trình và kết nối mạng Lợi ích của phân tích động là giúp chúng ta hiểu rõ hơn về các hành vi của mã độc trên máy tính Để quản lý lượng mẫu mã độc ngày càng tăng, cần phát triển các công cụ phân tích mã độc tự động.
Phân tích tự động mã độc là rất quan trọng cho các tổ chức xử lý lượng lớn mã độc, giúp các nhà phân tích tập trung vào các yếu tố cần thiết khác mà chỉ con người mới có thể phân tích.
Sử dụng công cụ phân tích mã độc tự động giúp giảm thời gian phân tích cho các chuyên gia diệt mã độc Tuy nhiên, một số bước trong quy trình này, đặc biệt là thiết lập môi trường ảo cho mã độc thực thi, có thể tốn nhiều thời gian.
Một số công nghệ giám sát, phát hiện và bảo vệ
2.2.1 Công nghệ giám sát a Tự bảo vệ - Self Defense
Virus ngày càng trở nên nguy hiểm, không chỉ ẩn mình trước các phần mềm diệt virus mà còn tấn công trực tiếp vào chúng, làm giảm khả năng bảo vệ của hệ thống Một số hành vi tấn công chống lại phần mềm antivirus đang gia tăng đáng kể.
- Ngăn chặn khả năng cập nhập mẫu nhận diện mới của Antivirus
- Xóa tiến trình hoạt động của Antivirus (process killer) khiến hệ thống không còn Antivirus nữa
- Thay đổi mọi thông tin của phần mềm Antivirus như file hệ thống, file Database, registry, thư viện, hàm diệt
- Tấn công Antivirus thông qua lỗ hổng phần mềm của chính Antivirus
Ngày nay, phần mềm Antivirus được trang bị công nghệ tự bảo vệ (Self Defense), giúp phát hiện và tiêu diệt virus ngay cả khi chúng đã xâm nhập vào hệ thống Điều này đảm bảo hiệu quả bảo vệ tối ưu khi Antivirus được cập nhật với mẫu nhận diện mới nhất Ngoài ra, môi trường ảo hoá - Sandbox cũng đóng vai trò quan trọng trong việc kiểm tra và phân tích các mối đe dọa mà không làm ảnh hưởng đến hệ thống chính.
Sandbox là phần mềm ảo hóa giúp cách ly các ứng dụng và tiến trình trong một môi trường ảo Các phần mềm hoạt động trong sandbox bị giới hạn quyền truy cập vào hệ thống và tệp tin, không thể thực hiện thay đổi lâu dài Do đó, mọi hoạt động diễn ra trong sandbox chỉ tồn tại trong không gian này mà không ảnh hưởng đến hệ thống chính.
Chạy tự động hoặc thủ công một số phần mềm không an toàn trong sandbox trong trường hợp chúng có chứa virus, spyware hoặc các mẫu malware khác
Chạy trình duyệt web trong môi trường sandbox là một biện pháp hiệu quả để bảo vệ máy tính khỏi malware, đặc biệt là khi lướt web, nơi thường xuyên xuất hiện các mối đe dọa Việc này giúp ngăn chặn malware đã có trên máy tính không thể thu thập thông tin đăng nhập và thông tin thanh toán trong quá trình mua sắm trực tuyến.
2.2.2 Công nghệ phát hiện mã độc a.Phòng vệ chủ động Đây là một khái niệm chung cho việc sử dụng các công nghệ thông minh (heuristic, hips, behaviour…) để phát hiện các chủng virus mới
Ngược lại với Proactive Detection là Reactive Reaction, đây là phương pháp nhận diện virus đã biết thông qua mẫu nhận diện
- Công nghệ thông minh (Heuristic):
Công nghệ nhận dạng virus sử dụng trí tuệ nhân tạo giả lập hệ thống máy ảo để thực thi các file như chương trình và script Hệ thống này thông minh xem xét toàn bộ hành vi thực hiện để xác định xem file có chứa virus hay không Những hành vi đáng ngờ như xóa file, thay thế, ẩn tiến trình file, hoặc lưu thông tin bất thường sẽ được phát hiện, và file đó sẽ bị đánh dấu là nguy hiểm, đồng thời cảnh báo đến người dùng và đội ngũ chuyên gia.
Hệ thống Heuristic hoạt động bằng cách giải mã và phân tích mã nguồn của một file thông qua phương pháp phân tích tĩnh Dựa vào hành vi được thực hiện trong mã nguồn, công nghệ này tự động xác định xem có hành vi bất thường hay không và đánh giá khả năng file đó có phải là virus.
Công nghệ này hỗ trợ phát hiện virus chưa được biết đến, nhưng do tính chất ước lượng, nó có nguy cơ cao trong việc nhầm lẫn các file an toàn với virus.
- Công nghệ phát hiện hành vi và giám sát truy cập (HIPS):
Hệ thống ngăn chặn xâm nhập (HIPS) là công nghệ bảo mật thông minh, hoạt động như một lớp bảo vệ bổ sung cho phần mềm Antivirus HIPS theo dõi và phân tích các hành vi liên quan đến tiến trình, file, ứng dụng, registry và mạng, nhằm phát hiện và ngăn chặn các mối đe dọa an ninh.
HIPS sử dụng phương pháp dựa trên luật để xác định hành vi tốt và xấu trong quá trình theo dõi Những hành vi không được quy định trong luật sẽ được đánh dấu để thu hút sự chú ý hoặc đề xuất sử dụng công nghệ nhận diện khác.
HIPS sử dụng các luật để phát hiện và ngăn chặn virus khai thác lỗ hổng phần mềm, giúp bảo vệ hệ thống khỏi các cuộc tấn công zero-day, tức là những cuộc tấn công vào hệ thống có lỗ hổng bảo mật chưa được vá.
The HIPS solution for Antivirus serves as a compact model for an Intrusion Prevention System (IPS) designed for comprehensive protection across computer networks It offers real-time protection, ensuring that systems are safeguarded against potential threats as they occur.
Hệ thống bảo vệ theo thời gian thực là thành phần quan trọng nhất trong phần mềm Antivirus, có nhiệm vụ theo dõi mọi hành vi của người dùng và hệ thống như mở email, lướt web, và sử dụng thiết bị lưu trữ Bất kỳ hành vi hoặc dữ liệu bất thường nào chứa dấu hiệu của virus sẽ được phát hiện và tiêu diệt ngay lập tức Để đạt hiệu năng cao, hệ thống này yêu cầu công nghệ phức tạp và can thiệp sâu vào nhân hệ điều hành (kernel mode) nhằm theo dõi đầy đủ hành vi của hệ thống mà không làm chậm hiệu suất Ngoài ra, việc ngăn chặn các website chứa mã độc cũng là một chức năng quan trọng, giúp bảo vệ người dùng khỏi các mối đe dọa trực tuyến.
Site Advisor là dịch vụ giúp người dùng đánh giá mức độ an toàn của các website thông qua công nghệ phát hiện virus và thu thập thông tin Dịch vụ này lưu trữ và cập nhật thông tin về các website có chứa virus trong cơ sở dữ liệu Khi người dùng truy cập vào một website, phần mềm Antivirus sẽ tự động ngăn chặn và cảnh báo về nguy cơ tiềm ẩn.
Công nghệ bảo mật này lần đầu tiên được McAfee giới thiệu vào năm 2006 và hiện nay đã được tích hợp rộng rãi trong hầu hết các phần mềm Antivirus Ngoài ra, các trình duyệt phổ biến như Firefox và Chrome cũng đã áp dụng công nghệ này nhằm bảo vệ người dùng khỏi các mối đe dọa trực tuyến.
2.2.3 Các công nghệ bảo vệ a.Bảo vệ chat – IM Protection
Công nghệ diệt mã độc
2.3.1 Sử dụng mã nhận diện (Signature-based)
Công nghệ này gồm các bước như sau:
- Chuyên gia phân tích mã độc đã biết, quyết định nó là chủng loại virus nào, cách diệt ra sao
- Tạo mẫu nhận diện và lưu vào Database
- Viết hàm diệt mã độc
- Log, cảnh báo cho người dùng
Phương pháp này được coi là kinh điển và mang lại lớp phòng vệ chính xác cao nhất Hiện tại, có hàng chục triệu mã độc, tương ứng với hàng chục triệu mẫu nhận diện khác nhau.
2.3.2 Sử dụng máy trạng thái và công nghệ giả lập
Việc diệt virus bằng máy trạng thái và công nghệ giả lập vẫn cần sự tham gia của chuyên gia để phân tích và viết hàm diệt Khác với mã nhận diện truyền thống, mẫu nhận diện trong máy trạng thái và công nghệ giả lập có khả năng phát hiện nhiều loại virus cùng một lúc, thay vì chỉ nhận diện một virus cụ thể.
Trong công nghệ này, các bước được tiến hành như sau:
- Mẫu Virus được chuyên gia phân tích để tìm ra cách diệt và các trạng thái đặc trưng
- Mỗi file cần kiểm tra sẽ được đi qua một hệ thống giả lập để ghi nhận lại các trạng thái và hành vi
- Nếu file kiểm tra được nhận diện đầy đủ các trạng thái thì nó được đánh dấu là bị nhiễm virus
- File bị nhiễm virus được đi qua trình khôi phục file gốc Chương trình ghi log và cảnh báo cho người dùng
Một số công nghệ khác
2.4.1 Công nghệ điện toàn đám mây - Cloud Antivirus
Hệ thống Antivirus theo mô hình điện toán đám mây khác biệt rõ rệt so với Antivirus truyền thống, đặc biệt là ở cơ sở dữ liệu mẫu nhận diện Mô hình điện toán đám mây sử dụng công nghệ hiện đại để cập nhật và phân tích dữ liệu nhanh chóng, giúp bảo vệ người dùng hiệu quả hơn trước các mối đe dọa an ninh mạng.
Mô hình truyền thông lưu trữ tất cả mẫu nhận diện virus trên hệ thống cá nhân (Windows, PC), yêu cầu antivirus phải thường xuyên cập nhật các mẫu này, điều này tiêu tốn dung lượng bộ nhớ Tuy nhiên, bù lại, tốc độ phát hiện và tiêu diệt hầu hết các loại virus diễn ra rất nhanh chóng.
Mô hình điện toán đám mây trong việc lưu trữ mẫu nhận diện và giải pháp tìm diệt mang lại nhiều lợi ích cho người dùng Tất cả các yêu cầu phân tích và phát hiện đều được xử lý trên Server, giúp giảm dung lượng bộ nhớ cho Antivirus Client và không ảnh hưởng nhiều đến hiệu suất hệ thống Tuy nhiên, mô hình này cũng có những nhược điểm như tốc độ phát hiện và tìm diệt chậm, đồng thời yêu cầu kết nối internet liên tục.
Các Antivirus hiện nay kết hợp cả 2 mô hình này nhằm tận dụng mọi ưu điểm của hai mô hình
Ngoài tính năng tường lửa thông thường (cấu hình chặn, mở cổng), firewall cho Antivirus là sự kết hợp của nhiều công nghệ Antivirus
Tưởng lửa tích hợp công nghệ Behaviour Antivirus, cho phép theo dõi hành vi kết nối mạng và cảnh báo về các hoạt động nghi ngờ liên quan đến virus.
Khi phát hiện truy cập bất thường đến các website chứa virus, Firewall sẽ chặn và cấm hành vi truy cập đó Đồng thời, Firewall cũng sẽ thông báo cho Antivirus để phân tích file thực thi nhằm quyết định tìm và diệt virus.
2.4.3 Giám sát và điều khiển truy cập - Parental Control
Chức năng này giúp kiểm soát việc sử dụng máy tính và truy cập internet, đồng thời hạn chế việc sử dụng máy tính cho những người cùng chia sẻ hệ thống.
Parental Control thường được sử dụng để chặn truy cập vào các trang web không phù hợp, thường được xác định là web đen Hệ thống hoặc người sử dụng sẽ xác định và quản lý các website bị nghi ngờ, nhằm bảo vệ trẻ em khỏi nội dung không an toàn trên internet.
Để truy cập vào các website bị chặn, người dùng cần có mật khẩu, mà chỉ chủ sở hữu Antivirus mới được cấp.
2.4.4 Hệ thống thu thập virus và hành vi - Honey pot
Honeypots (hũ mật) là hệ thống tài nguyên thông tin được thiết kế để giả lập môi trường thực, nhằm đánh lừa và thu hút những kẻ xâm nhập trái phép Chúng có chức năng ngăn chặn kẻ tấn công tiếp cận hệ thống thật, đồng thời thu thập mẫu và phương thức tấn công để nâng cao khả năng bảo mật.
Hệ thống tự phơi bày điểm yếu trên mạng được thiết kế để thu hút các cuộc tấn công, nhằm mục đích thu thập thông tin quý giá về các phương thức tấn công thực tế.
Trong trường hợp Antivirus, hệ thống này nhằm thu thập các loại virus mới, cho phép cập nhật thêm mẫu nhận diện của Antivirus
2.5 Lựa chọn phương pháp để xây dựng hệ thống
Mục tiêu của luận văn này là phát triển một hệ thống phân tích mã độc tự động, sử dụng phương pháp phân tích động kết hợp với kiến thức đã thu thập về mã độc để tạo ra hệ thống hiệu quả.
Trong phần tiếp theo, tôi sẽ trình bày tổng quan về một hệ thống tự động phân tích mã độc và cách thức xây dựng hệ thống này
Lựa chọn phương pháp đẻ xây dựng hệ thống
TỰ ĐỘNG 4.1 Lý thuyết cơ bản về Sanbox
Với sự phát triển phức tạp của mã độc, việc áp dụng các công nghệ phân tích mã độc mà không ảnh hưởng đến hệ thống hiện có là rất cần thiết Một trong những công nghệ hiệu quả được sử dụng là sandbox, một khái niệm quen thuộc trong lĩnh vực kỹ thuật Sandbox là cơ chế cô lập chương trình, cho phép thực thi mã độc trong một môi trường hạn chế, tách biệt khỏi hệ thống chính Nhờ vào sandbox, chúng ta có thể chạy các chương trình nghi ngờ và quan sát hành vi của chúng một cách an toàn.
Nhờ vào Cuckoo Sandbox, người dùng có thể an toàn phân tích mã độc mà không lo ngại về sự thay đổi hệ thống Một số công cụ sandbox như Buster Sandbox Analyzer, Zero Wine, Malheur và Cuckoo Sandbox có thể được sử dụng để tạo môi trường phân tích tự động Trong số đó, Cuckoo Sandbox nổi bật với đầy đủ tính năng cần thiết, mã nguồn mở và cộng đồng phát triển mạnh mẽ.
4.2 Môi trường phân tích mã độc
Môi trường phân tích mã độc là một môi trường an toàn để phân tích các loại mã độc
Phòng thí nghiệm phân tích phần mềm độc hại là một môi trường cô lập, cung cấp nhiều công cụ hữu ích cho các chuyên gia phân tích mã độc, giúp họ nhanh chóng và thuận tiện trong việc phân tích các loại mã độc Việc xây dựng một phòng thí nghiệm như vậy giúp tổ chức chủ động đối phó với các mối đe dọa mới và hiện đại, có khả năng tấn công bất ngờ Ngoài ra, đây còn là một hình thức phát hiện tiên tiến trước khi các tổ chức chống virus cập nhật mẫu mã độc mới vào cơ sở dữ liệu của họ Kết quả phân tích cuối cùng sẽ được xử lý bởi các chuyên gia trong lĩnh vực này.
Phân tích tĩnh là quá trình tách biệt và dịch ngược mã độc mà không cần thực thi đoạn mã đó Phương pháp này cho phép các chuyên gia an ninh đánh giá và hiểu rõ hơn về hành vi của mã độc trong trạng thái chưa hoạt động.
