HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN MÔN CƠ SỞ AN TOÀN THÔNG TIN ĐỀ TÀI TÌM HIỂU VỀ BỘ CÔNG CỤ SYSINTERNAL, CÁCH THỨC SỬ DỤNG NHẰM PHÁT HIỆN CÁC MÃ ĐỘC HẠI Giảng viên hướng dẫn: CHƯƠNG 1. TỔNG QUAN VỀ BỘ CÔNG CỤ SYSINTERNALS 1.1. Định nghĩa bộ công cụ Sysinternals Có rất nhiều công cụ quản trị khác được tích hợp trong Windows, có sẵn miễn phí trên web hoặc thậm chí thông qua các nguồn thương mại, nhưng không có công cụ nào trong số chúng hoàn toàn không thể thiếu được như bộ công cụ SysInternals. SysInternals là một bộ công cụ cực kỳ hữu dụng với cả người dùng và các quản trị viên công nghệ thông tin. SysInternals Tools được Microsoft cung cấp miễn phí và nó có các công cụ giúp bạn thực hiện hầu hết mọi nhiệm cụ của quản trị viên, từ giám sát hoặc bắt đầu một quy trình tới len lỏi sâu vào hệ thống để xem ứng dụng của bạn đang truy cập các tệp và khóa registry nào. Bộ công cụ SysIternals chỉ đơn giản là một bộ ứng dụng Windows có thể được tải xuống miễn phí từ phần của trang web Microsoft Technet. Chúng đều là thiết bị cầm tay, điều đó có nghĩa là không chỉ bạn không phải cài đặt chúng, bạn có thể dán chúng vào ổ đĩa flash và sử dụng chúng từ bất kỳ PC nào. Trên thực tế, bạn thực sự có thể chạy chúng mà không cần cài đặt thông qua SysIternals Live. Cách tải về bộ công cụ Sysinternals • Bạn có thể tải các công cụ Sysinternals tại trang web của Microsoft. Tải xuống tệp ZIP với tất cả các tiện ích hoặc chỉ lấy tệp ZIP cho ứng dụng riêng lẻ mà bạn muốn sử dụng. • Sau khi tải về, chỉ cần giải nén file ZIP và dùng luôn, không cần cài đặt.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ******************* MƠN: CƠ SỞ AN TỒN THƠNG TIN ĐỀ TÀI: TÌM HIỂU VỀ BỘ CƠNG CỤ SYSINTERNAL, CÁCH THỨC SỬ DỤNG NHẰM PHÁT HIỆN CÁC MÃ ĐỘC HẠI Giảng viên hướng dẫn : Khúc Hữu Hùng Lớp : AT16-L03 Sinh viên thực : Hà Nội – Năm 2022 MỤC LỤC CHƯƠNG TỔNG QUAN VỀ BỘ CƠNG CỤ SYSINTERNALS 1.1 Định nghĩa cơng cụ Sysinternals Có nhiều cơng cụ quản trị khác tích hợp Windows, có sẵn miễn phí web chí thơng qua nguồn thương mại, khơng có cơng cụ số chúng hồn tồn khơng thể thiếu công cụ SysInternals SysInternals công cụ hữu dụng với người dùng quản trị viên công nghệ thông tin SysInternals Tools Microsoft cung cấp miễn phí có cơng cụ giúp bạn thực hầu hết nhiệm cụ quản trị viên, từ giám sát bắt đầu quy trình tới len lỏi sâu vào hệ thống để xem ứng dụng bạn truy cập tệp khóa registry Bộ công cụ SysIternals đơn giản ứng dụng Windows tải xuống miễn phí từ phần trang web Microsoft Technet Chúng thiết bị cầm tay, điều có nghĩa khơng bạn khơng phải cài đặt chúng, bạn dán chúng vào ổ đĩa flash sử dụng chúng từ PC Trên thực tế, bạn thực chạy chúng mà khơng cần cài đặt thơng qua SysIternals Live Cách tải công cụ Sysinternals • Bạn tải cơng cụ Sysinternals trang web Microsoft Tải xuống tệp ZIP với tất tiện ích lấy tệp ZIP cho ứng dụng riêng lẻ mà bạn muốn sử dụng • Sau tải về, cần giải nén file ZIP dùng luôn, không cần cài đặt 1.2 Cách chạy công cụ từ Sysinternals Live Nếu không muốn tải về, bạn dùng cơng cụ qua hệ thống Sysinternals Live Về bản, truy cập vào thư mục chứa cơng cụ Sysinternals Microsoft chia sẻ từ máy tính có kết nối Internet câu lệnh • Nhấn Win + R để mở Run • Nhập \\live.sysinternals.com\tools vào Run nhấn Enter • Chờ chút thư mục cơng cụ nhấn đúp vào công cụ để chạy • Bạn chạy cơng cụ cách nhập câu lệnh \\live.sysinternals.com\tools\ • Thay tên cơng cụ bạn muốn chạy ví dụ procexp.exe để chạy Process Explorer procmon.exe để chạy Process Monitor Các công cụ cập nhật Mới đây, Microsoft tung cập nhật cho 17 công cụ SysInternals Những công cụ cập nhật bao gồm AccessEnum, Autoruns, CacheSet, Contig, Process Monitor, PsShutdown, TCPView Ngoài ra, Microsoft cịn bổ sung thêm cơng cụ mang tên Desktop Công cụ cho phép bạn tạo tới hình ảo sử dụng khay giao diện phím tắt để xem trước diễn hình chuyển đổi dễ dàng chúng 1.3 Các tiện ích cơng cụ Sysinternals 1.3.1 Process Explorer Process Explorer tiện ích Sysinternals tốt sử dụng nhiều Như tên nó, cơng cụ đơn giản nâng cao cho phép bạn biết thứ xử lý DLL mở hoạt động hệ thống bạn Bạn coi Process Explorer Trình quản lý tác vụ steroid Một số điều Process Explorer làm bao gồm không giới hạn để xem tất quy trình DLL, xem quy trình có khóa tệp thư mục nào, hủy tạm dừng quy trình, đặt mức độ ưu tiên quy trình, kiểm tra quy trình Virustotal, thống kê đồ họa xác Việc sử dụng CPU, nhớ I / O, chế độ xem dạng để hiển thị quy trình phụ thuộc chúng, v.v Sau thời gian sử dụng công cụ này, bạn thực thay Windows Task Manager Process Explorer (Options> Replace Task Manager) hai cú nhấp chuột muốn Tất nhiên, bạn sử dụng nhiều ứng dụng, trở nên tốt Màn hình Process Explorer bao gồm hai cửa sổ phụ Cửa sổ hiển thị danh sách quy trình hoạt động, bao gồm tên tài khoản sở hữu chúng, thông tin hiển thị cửa sổ phụ thuộc vào chế độ mà Process Explorer ở: chế độ xử lý, bạn thấy xử lý trình chọn cửa sổ mở ra; Process Explorer chế độ DLL, bạn thấy tệp DLL tệp ánh xạ nhớ mà quy trình tải Process Explorer có khả tìm kiếm mạnh mẽ nhanh chóng hiển thị cho bạn tiến trình có xử lý cụ thể mở tệp DLL tải Các khả độc đáo Process Explorer giúp hữu ích việc theo dõi cố phiên DLL xử lý rị rỉ, đồng thời cung cấp thơng tin chi tiết cách hoạt động Windows ứng dụng Ví dụ: Giả sử bạn có PC thực chậm để khắc phục cố bạn muốn kiểm tra tất luồng cho ứng dụng cụ thể, sau bạn muốn xem tồn ngăn xếp cho luồng để xem xác DLL chức Process Explorer làm cho việc trở nên tầm thường - bạn cần nhấp đúp vào quy trình, lật qua tab Chủ đề sau nhấp vào nút Ngăn xếp Ngăn xếp chưa tràn Cách sử dụng: • Chỉ cần tải xuống tệp, giải nén thực thi “procexp.exe” Là ứng dụng di động, không cần cài đặt • Để hủy quy trình, cần chọn quy trình nhấn phím “Delete” • Để qt quy trình, chọn quy trình, điều hướng đến “Tùy chọn> Virustotal.com” sau chọn “Kiểm tra Virustotal.com” Yêu cầu tải xuống • Máy khách: Windows 8.1 đổ lên • Máy chủ: Windows Server 2012 đổ lên 1.3.2 Autoruns Tiện ích này, có kiến thức tồn diện vị trí tự động khởi động trình giám sát khởi động nào, cho bạn biết chương trình cấu hình để chạy trình khởi động đăng nhập hệ thống bạn khởi động ứng dụng Windows tích hợp sẵn khác Internet Explorer, Explorer media người chơi Các chương trình trình điều khiển bao gồm chương trình trình điều khiển thư mục khởi động bạn, Run, RunOnce khóa Registry khác Autoruns báo cáo tiện ích mở rộng shell Explorer, cơng cụ, đối tượng trình trợ giúp trình duyệt, thơng báo Winlogon, dịch vụ tự động khởi động Autoruns vượt xa tiện ích tự khởi động khác Tùy chọn Ẩn mục nhập Microsoft ký Autoruns giúp bạn phóng to hình ảnh tự động khởi động bên thứ ba thêm vào hệ thống bạn hỗ trợ xem hình ảnh tự động khởi động định cấu hình cho tài khoản khác định cấu hình hệ thống Cũng bao gồm gói tải xuống dịng lệnh tương đương xuất định dạng CSV, Autorunsc Cách chạy: • Cũng giống Process Explorer, Autoruns có tính di động Vì vậy, tải xuống, giải nén thực thi ứng dụng “autoruns.exe” • Sau mở, bạn tắt mục nhập tự động chạy cách bỏ chọn hộp kiểm • Tệp “autorunsc.exe” mà bạn thấy tệp zip phiên dịng lệnh • Đơn giản cần chạy Autoruns hiển thị cho bạn ứng dụng tự động khởi động cấu danh sách đầy đủ vị trí hệ thống tệp đăng ký có sẵn để cấu hình tự động khởi động Các vị trí tự động khởi động Autoruns hiển thị bao gồm mục đăng nhập, tiện ích bổ sung Explorer, tiện ích bổ sung Internet Explorer bao gồm Đối tượng trình trợ giúp trình duyệt (BHO), Appinit DLL, xâm nhập hình ảnh, hình ảnh thực thi khởi động, DLL thông báo Winlogon, Dịch vụ Windows Nhà cung cấp dịch vụ phân lớp Winsock, phương tiện codec Chuyển tab để xem tự động khởi động từ danh mục khác • Để xem thuộc tính tệp thực thi cấu hình để chạy tự động, chọn tệp sử dụng mục menu Thuộc tính nút cơng cụ Nếu Process Explorer chạy có tiến trình hoạt động thực thi tệp thực thi chọn mục menu Process Explorer menu Entry mở hộp thoại thuộc tính quy trình cho tiến trình thực hình ảnh chọn • Điều hướng đến Registry vị trí hệ thống tệp hiển thị cấu hình mục tự động khởi động cách chọn mục sử dụng mục menu Jump to Entry nút công cụ, điều hướng đến vị trí hình ảnh tự khởi động • Để tắt mục nhập tự động bắt đầu, bỏ chọn hộp kiểm Để xóa mục nhập cấu hình tự động bắt đầu, sử dụng nút Xóa mục menu nút cơng cụ • Menu Tùy chọn bao gồm số tùy chọn lọc hiển thị, chẳng hạn hiển thị mục nhập Windows, quyền truy cập vào hộp thoại tùy chọn quét mà từ bạn bật xác minh chữ ký, băm Virus Total gửi tệp • Chọn mục nhập menu Người dùng để xem hình ảnh tự động khởi động cho tài khoản người dùng khác • Thơng tin thêm tùy chọn hiển thị thơng tin bổ sung có sẵn trợ giúp trực tuyến Sử dụng Autorunsc Autorunsc phiên dòng lệnh Autoruns Cú pháp sử dụng là: Usage: autorunsc [-a ] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z] | [user]]] ST T Tham số Mô tả ST T 17 Tham số Mô tả -a * b d Lựa chọn mục nhập tự động khởi động Tất Khởi động thực thi Appinit DLLs t Các nhiệm vụ lên lịch 18 19 20 w -c -ct Tiện ích Explorer Tiện ích bên 21 22 -h -m h i Image hijacks Tiện ích bổ sung 23 24 -s -t k Các tệp DLL biết 25 -u Mục Winlogon In đầu dạng CSV In đầu dạng giá trị phân cách tab Hiển thị tệp băm Ẩn mục nhập Microsoft Xác minh chữ ký điện tử Hiển thị dấu thời gian UTC chuẩn hóa Hiển thị tệp chưa đánh dấu e g 10 10 l Đăng nhập khởi động 26 -x 11 m Các mục WMI 27 -v[rs] 12 n Các nhà cung cấp giao thức mạng Winsock 28 -vt 13 o Bộ giải mã 29 -z 14 p Màn hình máy in DLL 30 user 15 r 16 s Các nhà cung cấp bảo mật LSA Dịch vụ tự khởi động trình điều khiển khơng bị vơ hiệu hóa In đầu dạng XML Truy vấn VirusTotal cho phần mềm độc hại dựa tệp băm Chấp nhận điều khoản dịch vụ VirusTotal Chỉ định hệ thống Windows ngoại tuyển để quét Chỉ định tên tài khoản người dùng mà mục tự động chạy hiển thị 1.3.3 TCPview TCPview ứng dụng đơn giản liệt kê tất quy trình kết nối với internet Mọi quy trình kết nối với internet gắn nhãn “Đã thiết lập” Nếu muốn, bạn đóng kết nối từ menu chuột phải Điều tốt TCPview hiển thị cho bạn nguồn cấp liệu trực tiếp tất quy trình với độ trễ giây Nếu muốn, bạn thay đổi tốc độ cập nhật từ menu Xem 11 Hơn nữa, kết nối mã hóa màu, tức điểm cuối hiển thị màu xanh cây, cập nhật cho điểm cuối hiển thị màu vàng điểm cuối xóa hiển thị màu đỏ Cách sử dụng: • Tải xuống, giải nén thực thi tệp “tcpview.exe” • Ngay sau mở ứng dụng, bạn thấy tất trình với kết nối hoạt động Tệp “tcpvcon.exe” mà bạn thấy kho lưu trữ cơng cụ dịng lệnh hoạt động giống tiện ích netstat Windows • Khi bạn khởi động TCPView, liệt kê tất điểm cuối TCP UDP hoạt động, phân giải tất địa IP thành phiên tên miền chúng Bạn sử dụng nút công cụ mục menu để chuyển đổi hiển thị tên phân giải TCPView hiển thị tên tiến trình sở hữu điểm cuối, bao gồm tên dịch vụ (nếu có) 12 • Theo mặc định, TCPView cập nhật giây, bạn sử dụng mục menu Tùy chọn | Tốc độ làm để thay đổi tốc độ Các điểm cuối thay đổi trạng thái từ cập nhật sang cập nhật đánh dấu màu vàng; điểm bị xóa hiển thị màu đỏ điểm cuối hiển thị màu xanh lục • Bạn đóng kết nối TCP / IP thiết lập (những kết nối có nhãn trạng thái ĐÃ ĐƯỢC THIẾT LẬP) cách chọn Tệp | Đóng Kết nối cách nhấp chuột phải vào kết nối chọn Đóng Kết nối từ menu ngữ cảnh kết • Bạn lưu cửa sổ đầu TCPView vào tệp cách sử dụng mục menu Lưu Sử dụng Tcpvcon Cách sử dụng tcpvcon tương tự cách sử dụng tiện ích netstat tích hợp sẵn Windows: Shell: tcpvcon [-a] [-c] [-n] [process name or PID] Tham số -a -c -n Mô tả Hiển thị tất điểm cuối (mặc định hiển thị kết nối TCP thiết lập) In đầu dạng CSV Không giải địa Yêu cầu tải xuống • Máy khách: Windows 8.1 đổ lên • Máy chủ: Windows Server 2012 đổ lên 13 CHƯƠNG CÁCH THỨC SỬ DỤNG BỘ CÔNG CỤ SYSINTERNALS ĐỂ PHÁT HIỆN CÁC MÃ ĐỘC HẠI 2.1 Phần mềm sử dụng để xử lý quét mã độc Thông thường, nghi ngờ máy tính bị nhiễm mã độc người dùng thường sử dụng phần mềm Anti-virus để rà quét xử lý mã độc Anti-virus hay gọi phần mềm diệt virus dạng phần mềm có khả bảo vệ, phát hiện, cảnh báo loại bỏ virus máy tính xâm nhập cơng máy tính người dùng, từ khắc phục phần hồn tồn hậu virus gây Ngoài ra, ngày phần mềm Anti-virus cịn có khả cập nhật qua Internet để nhận diện phòng chống phần mềm độc hại, virus, phần mềm gián điệp, mã độc tống tiền ngày tinh vi nguy hiểm Hình minh họa Hiện có nhiều sản phẩm phần mềm Anti-virus hãng bảo mật tiếng sử dụng rộng rãi như: Microsoft, Trend Micro, Symantec, Sophos… Nhìn 14 chung, phần mềm Anti-virus sử dụng chế, kỹ thuật phát diệt virus giống bao gồm so sánh sở liệu virus nhận dạng trước nhằm kịp thời phát hiện, tiêu diệt virus độc hại, phát kiểm tra hoạt động bất thường máy tính nhằm tìm phần mềm độc hại hoạt động ẩn máy tính người dùng, đồng thời kết hợp với liệu mạng tồn cầu nhằm kiểm sốt, cập nhật liên tục mã độc biến thể mã độc mới, tận dụng nhiều công cụ hỗ trợ bảo vệ người dùng nhằm ngăn chặn mã độc nhiều chủng loại, từ keylogger đến lừa đảo, mã độc tống tiền… Tuy nhiên, với thủ đoạn ngày tinh vi, nguy hiểm hacker liên tục tạo dạng mã độc có khả che giấu, vượt qua dễ dàng hệ thống phịng thủ, an tồn bảo mật, khơng thể phát tiêu diệt phần mềm Anti-virus Ví dụ: Mã độc dạng fileless hoạt động trực tiếp nhớ memory, không ghi vào ổ đĩa cứng, khơng để lại dấu vết nào, gây khó khăn q trình phát hiện, gỡ bỏ, điều tra hành vi mã độc Do vậy, để phát bóc gỡ mã độc, ngồi việc sử dụng phần mềm Anti-virus đơn thuần, người dùng kết hợp thêm số biện pháp bên để phân tích kiểm tra trường hợp nghi ngờ máy tính bị nhiễm mã độc 2.2 Sử dụng Process Explorer để phát mã độc hại Process Explorer phần mềm nằm công cụ Windows Sysinternals phát triển Microsoft, sử dụng để theo dõi quản lý tiến trình hoạt động máy tính, cho phép phát gỡ bỏ tiến trình độc hại sử dụng loại mã độc spyware, adware, virus, Giống Windows Task Manager, công cụ Process Explorer cung cấp khả theo dõi tiến trình, hiệu suất hoạt động máy tính Tuy nhiên, Process Explorer có nhiều tính nâng cao hữu ích, đặc biệt việc phát bóc gỡ mã độc 2.2.1 Tính Virus Total 15 Process Explorer sử dụng VirusTotal, dự án Google cho phép kiểm tra tiến trình chạy máy tính có phải tiến trình độc hại hay không dựa sở liệu hầu hết hãng cung cấp phần mềm Anti-virus tiếng giới • Bước 1: Mở phần mềm Process Explorer • Bước 2: Chọn Options → Chọn VirusTotal.com → Check VirusTotal.com 16 • Bước 3: Tại cột VirusTotal, ý đến tiến trình có số lượng lớn phần mềm Antivirus xác định độc hại Như hình vẽ minh họa, tiến trình KMS-R@1n.exe có 24/68 phần mềm Antivirus xác • định độc hại Bước 4: Kích chuột phải tiến trình chọn: - Search online: Tìm kiếm thơng tin ứng dụng, phần mềm khởi chạy tiến trình Internet - Properties: Xem thuộc tính tiến trình - Kill Process Kill Process Tree: Tắt tiến trình xác định tiến trình độc hại 17 2.2.2 Tính Verify Image Signatures Image Signatures chữ ký số phần mềm, cho phép xác định nguồn gốc, hãng, cơng ty tạo phần mềm Tính phân tích, kiểm tra, xác nhận chữ ký tất file thực thi liên kết với tiến trình hệ thống để xác định phần mềm độc hại • • Bước 1: Mở phần mềm Process Explorer Bước 2: Chọn Options → Chọn Verify Image Signatures 18 • Bước 3: Tại cột Verified Signer: - Các tiến trình có chữ bắt đầu Verified gần chắc tiến trình bình thường - Các tiến trình khơng có thơng tin bắt đầu (No signature was present in the subject) khả cao phần mềm độc hại • Bước 4: Kích chuột phải tiến trình nghi ngờ độc hại chọn: - Search online: Tìm kiếm thơng tin ứng dụng, phần mềm khởi chạy tiến trình Internet - Properties: Xem thuộc tính tiến trình - Kill Process Kill Process Tree: Tắt tiến trình xác định tiến trình độc hại 19 2.2.3 Biện pháp gỡ bỏ mã độc khỏi máy tính Windows Khi xác định tiến trình độc hại, thực bước sau để bóc gỡ hoàn toàn mã độc hệ thống (sử dụng phần mềm Process Explorer) • Bước 1: Tạm dừng tắt tiến trình độc hại Kích phải chuột vào tiến trình độc hại, chọn Suspend Kill Process để tạm dừng tắt tiến trình • Bước 2: Xác định vị trí file thực thi khởi chạy tiến trình độc hại giá trị registry mà mã độc tạo - Kích phải chuột chọn Properties tiến trình → Tại tab Image: 20 - Path: Xác định vị trí file thực thi khởi chạy tiến trình độc hại - AutoStart Location: Xác định registry mà mã độc tạo để khởi động tiến trình độc hại với hệ thống • Bước 3: Xóa file thực thi giá trị registry xác định Bước Trên hướng dẫn số biện pháp phát xử lý mã độc việc sử dụng công cụ Sysinternals, phần mềm Anti-virus 21 ... cơng cụ số chúng hồn tồn khơng thể thiếu công cụ SysInternals SysInternals công cụ hữu dụng với người dùng quản trị viên công nghệ thông tin SysInternals Tools Microsoft cung cấp miễn phí có... cài đặt 1.2 Cách chạy công cụ từ Sysinternals Live Nếu không muốn tải về, bạn dùng cơng cụ qua hệ thống Sysinternals Live Về bản, truy cập vào thư mục chứa cơng cụ Sysinternals Microsoft chia sẻ... thực chạy chúng mà không cần cài đặt thông qua SysIternals Live Cách tải cơng cụ Sysinternals • Bạn tải cơng cụ Sysinternals trang web Microsoft Tải xuống tệp ZIP với tất tiện ích lấy tệp ZIP