PHÂN TÍCH HÀNH VI CỦA ỨNG DỤNG KHẢ NGHI BẰNG CÔNG CỤ SANDBOXIE Nếu nghi ngờ file thực thi có chứa mã độc hay khơng, cách đơn giản tải lên VirusTotal chờ kết quét Nhưng thật bối rối kết thống kê cho thấy 50% số AV engine cho file độc hại! Ta lại phân tích file thực thi dịch vụ sandbox trực tuyến ThreadExpert hay Hybrid-Analysis Cuckoo Sandbox, báo cáo từ sandbox thể hành vi file thực thi chế độ mặc định Chúng ta biết hành vi chương trình chạy với tham số đầu vào cụ thể người dùng click vào nút giao diện Một cơng cụ nhắc tới tiến trình phân tích mã độc Sandboxie (https://www.sandboxie.com/) Nó cho phép người dùng thực loạt thao tác nghi ngờ khơng an tồn mà khơng ảnh hưởng đến hệ thống Mặc dù mục đích ban đầu Sandboxie cho phép người dùng chạy chương trình khơng gian lập, cơng cụ sử dụng để thu thập, phân tích hành vi chương trình Có hai cách để điều tra tác động lên hệ thống gây phần mềm khả nghi thơng qua Sandboxie Phân tích tự động sử dụng Buster Sandbox Analyzer BSA công cụ miễn phí sử dụng để theo dõi hành vi tiến trình chạy Sandboxie BSA hoạt động bên Sandboxie cần cấu hình trước chạy cách thêm dòng sau vào file cấu hình Sandboxie: InjectDll=[path_to_LOG_API32.DLL] OpenWinClass=TFormBSA NotifyDirectDiskAccess=y Cần thực thao tác theo hướng dẫn cài đặt trang web BSA (http://bsa.isoftware.nl/frame5.htm) Sau cài đặt thành công, ta chạy file BSA.EXE nhập vào đường dẫn thư mục Sandboxie Để lấy đường dẫn thư mục Sandboxie, click đúp vào biểu tượng Sandboxie thơng báo tác vụ, kéo chương trình thả vào Sandbox DefaultBox Sau đó, click vào Sandbox DefaultBox cửa sổ Control chọn “Explore Contents” Một cửa sổ với đường dẫn thư mục sandbox, ta copy paste vào trường nhập Sandbox folder to check BSA Click vào nút Start Analysis để thực thi chương trình cần phân tích Trong chương trình thực thi, ta theo dõi thơng tin thực thi API Call Log Khi thấy thông tin thực thi đủ, click chuột phải Sandboxie Control chọn Terminate Programs, sau quay lại cửa sổ BSA chọn Finish Analysis Click vào Viewer chọn View Analysis để hiển thị file Analysis.TXT, file chứa thông tin chi tiết hoạt động chương trình lúc thực thi Sandboxie Ví dụ bên kết phân tích hoạt động mã độc DarkCometRAT Ta thấy mã độc thực kiểm tra trình debug, kiểm tra diện trình quản lý tiến trình, tạo autostart registry, log liệu bàn phím, leo thang đặc quyền, chặn thực thi regedit task manager kết nối tới cổng 1604 host 127.0.0.1 Một số mã độc có chức phát trình debug thực thi phát quản lý trình debug BSA cập nhật lần tháng để qua mặt kỹ thuật phát trình debug mã độc Phân tích thủ cơng Nếu cần vài chứng để kết luận file thực thi có hành vi độc hại hay khơng khơng muốn dùng cơng cụ bên thứ 3, ta phân tích nhanh hành vi file thực thi phương pháp thủ công Để quan sát thay đổi gây chương trình cần phân tích, click chuột phải vào DefaultBox cửa sổ Sandboxie Control, chọn “Explore Contents” truy cập trực tiếp vào thư mục C:\Sandbox\ [username]\DefaultBox Nếu thấy xuất thư mục “drive” hay “user”, chứng tỏ chương trình cần phân tích có tạo file ổ đĩa Để kiểm tra thay đổi hệ thống registry, truy cập regedit, kiểm tra key HKEY_USERS, click File -> Load Hive, duyệt tới C:\Sandbox\ [username]\DefaultBox mở file RegHive Nhập vào tên bất kỳ, ví dụ sandboxie để tiện theo dõi, sau click OK Một key với tên ta vừa nhập (sandboxie) tạo HKEY_USERS, ta duyệt key để quan sát thay đổi hệ thống registry Ở hình trên, chương trình cần phân tích tạo autostart để chạy file msdcsc.exe ... độc Phân tích thủ cơng Nếu cần vài chứng để kết luận file thực thi có hành vi độc hại hay khơng không muốn dùng công cụ bên thứ 3, ta phân tích nhanh hành vi file thực thi phương pháp thủ công. .. Analysis Click vào Viewer chọn View Analysis để hiển thị file Analysis.TXT, file chứa thông tin chi tiết hoạt động chương trình lúc thực thi Sandboxie Ví dụ bên kết phân tích hoạt động mã độc... (http://bsa.isoftware.nl/frame5.htm) Sau cài đặt thành công, ta chạy file BSA.EXE nhập vào đường dẫn thư mục Sandboxie Để lấy đường dẫn thư mục Sandboxie, click đúp vào biểu tượng Sandboxie thông báo tác vụ, kéo