Đang tải... (xem toàn văn)
MỤC LỤC LỜI MỞ ĐẦU 3 CHƯƠNG I TỔNG QUAN VỀ MÃ ĐỘC VÀ PHÁT HIỆN MÃ ĐỘC 4 1 Tổng quan về mã độc 4 1 1 Khái niệm mã độc 4 1 2 Các dạng mã độc 5 2 Các phương pháp phát hiện mã độc 7 2 1 Phương pháp phát h.
MỤC LỤC DANH MỤC HÌNH VẼ LỜI MỞ ĐẦU Thế giới chứng kiến thay đổi lớn phát triển nhanh chóng mặt, ngành công nghệ thông tin Tuy nhiên bên cạnh lợi ích mã khơng gian mạng mang lại, nhiều nguy gây ảnh hưởng đến hệ thống thơng tin người dùng – điển hình xuất gia tăng nhanh chóng loại mã độc nhằm đánh cắp thông tin, tống tiền, thám,… cá nhân tổ chức không gian mạng Các loại mã độc ngày đa dạng tinh vi hơn, có khả lẩn tránh phần mềm anti-virus thông qua kỹ thuật nén, xáo trộn mã, tự thay đổi mã nguồn, dẫn đến việc sử dụng phương pháp rà quét phát dựa chữ ký không thực hiệu Hơn nữa, để tạo chữ ký mẫu mã độc, chuyên gia phải tiêu tốn nhiều thời gian công sức, khiến cho việc cập nhật phần mềm anti-virus chậm hơn, khó có khả phát mã độc kịp thời Để cải thiện khả nhận dạng phát mẫu mã độc, phương “ pháp phát mã độc dựa phân tính động” phương giúp cải thiện khả bị mã độc công Trong loại mã độc nay, có mã độc tống tiền Ransomware loại mã độc nguy hiểm bậc nay, đặc biệt mã độc Wanacry Trong tiểu luận này, em trình bày “mơi trường phân tích bước thực phân tích động mã độc Wanacry” để hiểu rõ loại mã độc *Bài tiểu luận gồm phần: +Tổng quan mã độc phát mã độc +Phương pháp phát mã độc dựa phân tích động +Xây dựng mơi trường phân tích bước thực phân tích mã độc Wanacry *Phương pháp nghiên cứu: Phương pháp nghiên cứu nghiên cứu lý thuyết kết hợp với thực nghiệm phân tích, đánh giá kết CHƯƠNG I: TỔNG QUAN VỀ MÃ ĐỘC VÀ PHÁT HIỆN MÃ ĐỘC Tổng quan mã độc 1.1 Khái niệm mã độc Mã độc phần mềm thiết kế cách có chủ đích, dùng để gây thiệt hại tới máy tính cá nhân, máy chủ hệ thống mạng máy tính Mục đích mã độc thực thi hành vi bất hợp pháp như: truy cập trái phép, đánh cắp thông tin người dùng, lây lan thư rác, chí thực hành vi tống tiền, công gây tổn thương cho hệ thống máy tính… nhằm chuộc lợi cá nhân, lợi ích kinh tế, trị hay đơn giản chúng có tạo trò đùa ác ý Q trình phát triển mã độc chia làm giai đoạn chính: • Những năm đầu (1971 – 1999): thời kỳ mã độc sơ khai, chủ yếu lây lan qua đĩa mềm truyền từ máy tính sang máy tính khác cách thủ công Khi mạng internet phát triển, người viết mã độc nhanh chóng thích nghi tận • dụng phương tiện truyền thơng Tỉ lệ lây nhiễm bắt đầu gia tăng (2000 – 2010): khoảng thời gian này, mã độc gia tăng đáng kể, số lượng tốc độ lây lan Toolkits bắt đầu xuất hiện, công cụ nhắm vào websites trở nên phổ biến, khiến cho số lượng • websites bị cơng ngày nhiều Được phủ tài trợ, tinh vi hướng đến lợi nhuận (2010 – nay): nhóm tội phạm có tổ chức tài trợ phủ tiếp tục phát triển loại mã độc tiên tiến, có khả vượt qua hệ thống diệt virus thông thường Mã độc sử dụng để công doanh nghiệp, hệ thống quân sự, việc kiếm tiền từ phần mềm độc hại gia tăng nhanh chóng, thơng qua ransomware phần mềm bất hợp khác 1.2 Các dạng mã độc • Virus máy tính Đặc điểm virus máy tính có khả tự nhân Nó thường cơng lây nhiễm vào tệp tin hệ thống nạn nhân Sau lây nhiễm vào tệp tin, virus tự động tải chạy mà không cần quyền từ người dùng Khi thực thi cố gắng chép vào bên mã thực thi khác Các mã lây nhiễm chạy tiếp tục lây nhiễm sang mã Ngoài khả đánh cắp làm hỏng liệu, virus tiêu tốn tài nguyên hệ thống – khiến cho hệ thống máy chủ trở nên chậm chạp chí bị vơ hiệu hóa Một đặc điểm thường gặp virus chúng che giấu kĩ, khiến cho chúng khó bị phát • Worm Cũng virus, worm có khả tự nhân Tuy nhiên, worm không cần phải lây nhiễm vào tệp tin cụ thể Worm phát tán thơng qua hệ thống mạng, dựa vào lỗi bảo mật để truy cập vào máy tính nạn nhân, sau đánh cắp xóa liệu Nhiều worm thiết kế để tự phát tán mà khơng gây tổn hại đến hệ thống mà qua • Trojan Mã độc Trojan Horse tên xuất phát từ điển tích “Con ngựa thành Troy” thần thoại Hy Lạp Tội phạm mạng cải trang trojan thành phần mềm hữu ích thuyết phục người dùng cài đặt Do vậy, cách phát tán trojan sử dụng social engineering • Adware Adware chương trình thiết kế để hiển thị quảng cáo máy tính người dùng, sau chuyển hướng u cầu tìm kiếm người dùng tới website quảng cáo thu thập liệu tiếp thị người dùng Ví dụ, adware thu thập thông tin website mà người dùng truy cập, sau hiển thị quảng cáo phù hợp với nhu cầu người dùng Adware thường coi nhánh spyware không gây nhiều thiệt hại nghiêm trọng • Spyware Spyware phần mềm dùng để theo dõi người dùng Spyware thiết kế để giám sát chặn bắt lịch sử duyệt web hoạt động khác người dùng, sau bán thơng tin cho nhà quảng cáo bên thứ ba Spyware có nhiều chức so với adware, ví dụ, thu thập liệu nhạy cảm tài khoản ngân hàng, mật khẩu, thơng tin thẻ tín dụng • Rootkit Rootkit công cụ phần mềm độc hại cho phép người dùng trái phép có quyền truy cập vào máy tính Khi rootkit cài đặt, kẻ cơng điều khiển từ xa để thực thi tệp tin thay đổi cấu hình hệ thống máy nạn nhân Rootkit khơng có khả tự nhân Chúng phải cài đặt thực thi lớp thấp hệ điều hành, kernel, hệ thống vào thiết bị (BIOS) với quyền truy cập đặc quyền, đó, chúng khó để phát gỡ bỏ Khi phát rootkit, chuyên gia khuyến cáo nên xóa ổ cứng cài lại hệ điều hành từ đầu • Backdoor Backdoor dạng malware cung cấp cho kẻ cơng “cổng vào” bí mật tới hệ thống Backdoor không sử dụng cách riêng lẻ Nó thường hỗ trợ cho dạng cơng khác Đơi lập trình viên tạo backdoor chương trình nhằm bỏ qua bước xác thực debug máy chủ • Keylogger Keylogger ghi lại tất phím bấm máy tính mà người dùng khơng biết Keylogger công nhận công cụ giám sát chuyên nghiệp hợp pháp Tuy nhiên, keylogger thường sử dụng với mục đích xấu, thu thập thơng tin nhạy cảm, bao gồm tài khoản, mật khẩu, câu trả lời câu hỏi bảo mật thông tin tài • Ransomware Ransomware dạng mã độc khóa tất liệu máy tính nạn nhân, thường cách mã hóa Nạn nhân phải trả tiền để kẻ công giải mã liệu trả lại quyền truy cập Động công ransomware tiền Một bị cơng, máy tính bị “đóng băng”, người dùng khơng thể truy cập tệp tin nào, không dạng công khác, người dùng thơng báo hướng dẫn cách tốn để khơi phục lại liệu bình thường Phương thức toán thường loại tiền ảo, Bitcoin, nhằm giữ kín danh tính kẻ cơng Các phương pháp phát mã độc 2.1 Phương pháp phát dựa chữ ký Cơ sở phương pháp phân tích tĩnh, phân tích mã nguồn mà khơng cần thực thi tệp tin Phân tích tĩnh tức đọc mã nguồn mã độc cố gắng suy luận tính chất từ mã nguồn Một số kỹ thuật dùng phân tích tĩnh bao gồm: • Kiểm tra định dạng tệp: metadata tệp tin cung cấp thơng • tin hữu ích Trích xuất chuỗi: liên quan đến việc kiểm tra đầu phần mềm (thông điệp trạng thái thông điệp báo lỗi) suy luận hoạt • động mã độc Lưu vết: trước thực phân tích cần tính tốn giá trị băm tệp • tin, nhằm xác minh xem tệp tin bị chỉnh sửa chưa Quét phần mềm diệt virus: tệp tin phân tích mã độc biết, hầu hết phần mềm diệt virus phát • Cách thường dùng để kiểm tra lại kết phân tích Disassembly: liên quan đến việc đảo ngược mã máy thành hợp ngữ (assembly language) từ biết logic mục đích phần mềm Phát dựa chữ ký phương pháp tĩnh dựa chữ ký định nghĩa sẵn Chữ ký chuỗi băm tệp tin mã độc (MD5 SHA1), chuỗi cố định metadata tệp tin Khi nhà cung cấp giải pháp anti-malware xác định đối tượng độc hại, chữ ký thêm vào sở liệu Phương pháp phát phù hợp với dạng mã độc phổ biến, có chữ ký cố định lưu sở liệu Ngoài ra, loại mã độc cịn có khả thay đổi chữ ký nhằm tránh bị phát hiện; chữ ký tạo việc kiểm tra thành phần bên trong, mã độc cần thay đổi phần mà không làm ảnh hưởng đến chức hành vi 2.2 Phương pháp phát dựa hành vi Phân tích động khơng giống với phân tích tĩnh chỗ, hành vi mã độc giám sát thực thi, từ tìm hiểu thuộc tính mục đích mã độc Thông thường mã độc thực thi mơi trường ảo (vd Sandbox) Trong q trình phân tích phát tất hành vi mã độc, mở tệp tin, tạo mutexes, … kiểu phân tích nhanh phân tích tĩnh nhiều Tuy nhiên, phân tích động biết hành vi mã độc hệ thống ảo dùng để kiểm tra, ví dụ kết thu thực thi hai mã độc giống môi trường Windows Windows 8.1 khác Từ phương pháp phân tích động, người ta định nghĩa phương pháp phát dựa hành vi Phương pháp phát dựa hành vi (hay gọi dựa heuristics) đánh giá đối tượng dựa hành vi Khi đối tượng cố gắng thực thi hành vi bất thường không cấp quyền biểu thị đối tượng độc hại đáng ngờ Có số hành vi coi nguy hiểm vơ hiệu hóa điều khiển bảo mật, cài đặt rootkits, autostart, sửa tệp tin host, thiết lập kết nối đáng ngờ,… Mỗi hành vi khơng nguy hiểm kết hợp với làm tăng độ đáng ngờ đối tượng Có ngưỡng xác định sẵn, tệp tin vượt qua ngưỡng cảnh báo mã độc Phương pháp áp dụng để phát loại mã độc có khả thay đổi chữ ký (đa hình) loại mã độc (zero-day) Mặc dù phương pháp tốn nhiều thời gian hơn, an tồn hơn, tệp tin kiểm tra trước chạy thực tế Ưu điểm phát dựa heuristics khơng phát mã độc biết mà phát công zero-day loại virus đa hình Tuy nhiên, số loại mã độc có khả phát mơi trường ảo, không thực thi hành vi độc hại môi trường sandbox Hơn nữa, thực tế, với lượng mã độc ngày gia tăng, phương pháp không thực hiệu trước loại mã độc Quy trình phân tích mã độc thơng thường Cơng việc phân tích mã độc cần có quy trình cụ thể rõ ràng, lên kế hoạch kĩ lưỡng phải đạt mức an toan cao, điều giúp giảm thiểu rủi ro mã độc gây Quy trình phân tích mã độc bao gồm đầy đủ bước sau: Hình 1: Quy trình phân tích mã độc thông thường CHƯƠNG II: PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC DỰA TRÊN PHÂN TÍCH ĐỘNG Tổng quan phân tích độnG Phân tích động hành động thực sau thực thi mã độc Cơng nghệ phân tích tĩnh bước q trình phân tích mã độc Bước thơng thường thực sau q trình phân tích tĩnh mức Sử dụng kĩ thuật vượt qua hạn chế mà trình phân tích mức khơng làm được: packed, obfuscated Khác với phân tích tĩnh, phân tích động cho phép quan sát hành vi thực mã độc phương pháp hiệu để xác nhận hành vi có thực xảy thực nguy hiểm hay không Tuy vậy, nên thực thi việc phân tích động sau có đầy đủ thơng tin từ q trình phân tích tĩnh, đồng thời cần thực phân tích động mơi trường thích hợp để đảm bảo khơng gây ảnh hưởng tiêu cực tới môi trường thực Phân tích động có mặt hạn chế tất chức mã độc thực thi q trình phân tích mà cần có điều kiện mơi trường cụ thể Do đó, để phân tích mức chun sâu hơn, cần có kết hợp từ phân tích động nâng cao kĩ thuật phân tích tĩnh để xác định tồn hành vi mã độc, từ tìm đặc trưng phương pháp diệt Mặc dù kỹ thuật phân tích động mạnh mẽ, chúng nên thực sau hồn thành phân tích tĩnh bản, phân tích động khiến mạng hệ thống bạn gặp rủi ro Các kỹ thuật động có hạn chế chúng, khơng phải tất đường dẫn mã thực thi phần mềm độc hại chạy Ví dụ: trường hợp phần mềm độc hại dòng 10 gỡ lỗi kernel, định cấu hình VMware để kích hoạt cổng nối tiếp ảo máy ảo máy chủ định cấu hình WinDbg máy chủ Bạn cần thiết lập máy ảo cách chỉnh sửa tệp C: \ boot.ini thông thường (Hãy chắn tùy chọn thư mục bạn đặt để hiển thị tệp ẩn.) Trước bạn bắt đầu chỉnh sửa tệp boot.ini, chụp ảnh nhanh máy ảo bạn Nếu bạn mắc lỗi làm hỏng tệp, bạn quay lại ảnh chụp nhanh *Sử dụng WinDBG WinDbg uses a command-line interface for most of its functionality We will cover the more important commands here You can browse the complete list of commands in the WinDbg Help menu • Đọc từ nhớ Cửa sổ nhớ WinDbg sườn hỗ trợ duyệt nhớ trực tiếp từ dòng lệnh Lệnh d sử dụng để đọc vị trí nhớ, chẳng hạn liệu chương trình ngăn xếp, với cú pháp sau: • Sử dụng tốn tử số học Bạn thực thao tác nhớ ghi trực tiếp từ dịng com-mand phép tốn số học đơn giản, chẳng hạn phép cộng (+), phép trừ (-), phép nhân (*) phép chia (/) Các tùy chọn dịng lệnh hữu ích phím tắt cố gắng tạo biểu thức cho điểm dừng có điều kiện 38 Lệnh dwo sử dụng để hủy bỏ trỏ 32 bit xem giá trị vị trí Ví dụ: bạn điểm dừng cho hàm đối số chuỗi ký tự rộng, bạn xem chuỗi lệnh này: • Cài đặt Breakpoints Lệnh bp sử dụng để đặt điểm dừng WinDbg Bạn định lệnh chạy tự động điểm dừng nhấn trước điều khiển chuyển đến người dùng Điều sử dụng với lệnh go (g), để điểm dừng thực hành động sau tiếp tục mà khơng cần chờ người dùng Ví dụ, lệnh sau in đối số thứ hai hàm GetProcAddress gọi mà không thực dừng thực thi chương trình 39 CHƯƠNG III: XÂY DỰNG MƠI TRƯỜNG PHÂN TÍCH VÀ CÁC BƯỚC THỰC HIỆN PHÂN TÍCH MÃ ĐỘC WANACRY Tổng quan mã độc Ransomware Wanacry WannaCry gọi WannaDecryptor 2.0, phần mềm độc hại mã độc tống tiền tự lan truyền máy tính sử dụng Microsoft Windows Vào tháng năm 2017, công không gian mạng quy mơ lớn sử dụng đưa ra, tính tới ngày 15 tháng (3 ngày sau biết đến) gây lây nhiễm 230.000 máy tính 150 quốc gia, u cầu tốn tiền chuộc từ 300 tới 600 Euro bitcoin với 20 ngôn ngữ (bao gồm tiếng Thái tiếng Trung Quốc) Hiện thời người ta biết tới tài khoản bitcoin họ, đến có khơng 130 người chịu trả tiền, thu nhập tối đa khoảng 30.000 Euro Cuộc công ảnh hưởng đến Telefónica số cơng ty lớn khác Tây Ban Nha, phận Dịch vụ Y tế Quốc gia (NHS) Anh, FedEx Deutsche Bahn Các mục tiêu khác 99 quốc gia báo cáo bị công vào thời điểm, Hơn 1.000 máy tính Bộ Nội vụ Nga, Bộ Khẩn cấp Nga công ty viễn thông Nga MegaFon, báo cáo bị dính mã độc WannaCry cho sử dụng khai thác lỗ hổng EternalBlue, Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển để cơng máy tính chạy hệ điều hành Microsoft Windows Mặc dù vá để loại bỏ lỗ hổng ban hành vào ngày 14 tháng năm 2017, chậm trễ việc cập nhật bảo mật làm cho số người dùng tổ chức dễ bị cơng 40 Hình 21: Giao diện mã độc Wanacry 2.1 Xây dựng môi trường phân tích bước thực Wanacry Xây dựng mơi trường Thơng thường để phân tích mẫu mã độc, cần môi trường giả lập Môi trường giả lập máy ảo hệ thống máy tính thật nối với tạo thành hệ thống giả lập cho hệ thống thực tế (ví dụ hệ thống máy tính quản lý điện nhà máy điện hạt nhân trên) Tuy nhiên đây, nói đến hệ thống máy ảo Theo đánh giá chung giới phân tích, VMWare cơng cụ mạnh nhất, dễ sử dụng, cung cấp môi trường làm việc thân thiện, mức độ ảo hóa cao, an tồn Nếu cần thiết lập mơi trường chun biệt cho phân tích mã độc, sử dụng vài công cụ hỗ trợ như: 41 • Norton Ghost: giúp cho việc khơi phục lại chụp hệ thống cách dễ dàng Tuy nhiên, cơng cụ cần phải trả phí • Ghost: cơng cụ có chức tương tự, hoạt động tương đối tốt, miễn phí • Truman: hệ thống chun biệt cho q trình phân tích mã độc sử dụng máy vật lý (máy thật) • CoreProtect tạo phần cứng gọi “hard drive write card” sử dụng để thiết lập hệ thống có khả khơi phục lại trở ngun trạng lần khởi động lại Ở đây, để phân tích mã độc Wanacry em xây dựng mơi trường ảo hóa gồm máy ảo: máy chủ sử dụng hệ điều hành Kali linu, máy sử dụng Win SP1 đặt phần mềm Vmware Máy chủ hoạt động chuyển đổi ảo chạy REMnux v.6, cơng cụ Linux miễn phí để phân tích kỹ thuật đảo ngược phần mềm độc hại Trong hai máy ảo (VM) sử dụng Windows SP1, VM cho nhiễm WannaCry, VM khác Máy REMnux hoạt động máy chủ DNS HTTP bắt chặn tất giao tiếp mạng Wireshark Các dịch vụ DNS HTTP REMnux kích hoạt tiện ích FakeDNS HTTP Daemon tương ứng Hình 22: Mơi trường ảo hóa 42 Các hành động cấp hệ thống thực WannaCry quan sát máy Windows SP1 bị nhiễm với địa IP 192.168.180.130 Để quan sát báo cáo hành động mà WannaCry thực chạy hệ thống, công cụ SysAnalyzer sử dụng Lợi ích SysAnalyzer có khả chụp ảnh nhanh hệ thống trước sau thực thi phần mềm độc hại, kiểm tra thuộc tính hệ thống, chạy quy trình, mở cổng, tải DLL, thay đổi khóa đăng ký, sửa đổi tệp thời gian, lên lịch nhiệm vụ, đối tượng loại trừ lẫn (mutexes) kết nối mạng SysAnalyzer có khả lấy nhớ quét chúng để tìm biểu thức quy cụ thể Trước thực mẫu WannaCry máy bị nhiễm, trình hướng dẫn cấu hình SysAnalyzer đặt để áp dụng độ trễ 120 giây ảnh chụp nhanh hệ thống, cho phép kiểm tra tất thay đổi thuộc tính hệ thống 2.2 Lấy mẫu Wanacry Để bắt đầu phân tích, em lấy mẫu mã độc cách lấy (SHA 25624d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b10 22c / MD5 Db349b97c37d22f5ea1d1841e3c89eb4) từ Virustotal Chi tiết mã độc: MD5: Db349b97c37d22f5ea1d1841e3c89eb4 Mã hóa: MD5: 84c82835a5d21bbcf75a61706d8ab549 43 2.3 Các bước phân tích mã độc a Khởi chạy mã độc Chạy mã độc sử dụng công cụ Process hacker để xem hoạt động mã độc: Hình 23: Khởi chạy mã độc 44 Sau chạy mã độc: Hình 24: Các tiến trình tạo sau chạy mã độc b Phân tích thư viện chức Cơng cụ phân tích: Pestudio 8.68 Sau sử dụng cơng cụ Pestudio phân tích mẫu mã độc, đưa thành phần worm thành phần mã hóa WannaCry chứa DLL: Hình 25: Thơng tin mã độc sử dụng Pestudio 8.68 45 Trong trình thực thi, thành phần worm gọi iphlpapi.dll để lấy cài đặt cấu hình mạng cho máy chủ bị nhiễm Kernel32.dll msvcrt.dll hai thư viện gọi thường xuyên thành phần mã hóa, điều chức mã hóa thực hai thư viện độc hại Để xác nhận điều này, ta phải kiểm tra chức nhập thư viện Nhờ sử dụng Pestudio, em quan sát chức hoạt động mẫu mã độc: Hình 26: Các chức năng, hoạt động mã độc Từ đây, ta thấy rằng, nói chung, WannaCry sử dụng mã Microsoft, chức quản lý tệp C runtime file APIs (thời gian chạy file API) Thư viện crypto API sử dụng để tạo quản lý khóa mật mã đối xứng bất đối xứng ngẫu nhiên Phân tích kết nối ban đầu mã độc Để phân tích kết nối ban đầu mã độc, em sử dụng cơng cụ c để phân tích là: FakeDNS Wireshark Sau thực phân tích động cơng cụ trên, kết rằng: mã độc khởi động, thành phần worm cố gắng kết nối tới miền 46 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, nhờ sử dụng hàm chức InternetOpenUrl Khi mã độc kích hoạt, máy dùng REMnux, tiện ích FakeDNS ghi lại yêu cầu DNS độc hại cổng 80 Hình 27: Yêu cầu DNS độc hại cổng 80 Wireshark hiển thị truy vấn gói DNS gửi từ máy bị nhiễm (IP 192.168.180.130) đến máy chủ DNS REMnux (IP 192.168.180.128) Hình 28: Truy vấn gói DNS gửi từ máy bị nhiễm d Phân tích tiến trình xảy Sau kết nối thất bại với miền kill-switch, thành phần worm cố gắng tạo tiến trình mssecsvs2.0 với DisplayName (Tên hiển thị) “Microsoft Security Center (2.0) Service" Ta quan sát dịch vụ khởi chạy công cụ Process Explorer Process Hacker 47 Hình 29: Quan sát tiến trình xảy băng Process Monitor Cuối cùng, WannaCry tạo entry registry Windows để đảm bảo chạy, máy tính khởi động lại Entry chứa chuỗi (ví dụ: “midtxzggq900”), mã định danh tạo ngẫu nhiên việc sử dụng tên máy tính Khi thành phần taskche.exe chạy, tự chép vào thư mục có tên tạo ngẫu nhiên thư mục Common Appdata máy bị nhiễm Sau đó, cố gắng thiết lập tính bền vững nhớ cách thêm vào tính AutoRun 48 Tóm lại, phân tích động rằng, để đạt trì liên tục máy bị nhiễm, WannaCry thực hành động sau: +Tạo entry ghi registry Windows để đảm bảo thực thi máy khởi động lại, +Cố gắng đạt trì với nhớ cách thêm vào tính AutoRun Windows, +Sử dụng lệnh icacls để cấp cho quyền truy cập hồn tồn vào tất tệp máy, +Xóa tất (shadow) lưu cố gắng ngăn không khởi động chế độ Safe Mode cách thực thi số lệnh dòng lệnh Windows, +Xóa tất thư mục lưu, +Bằng cách sử dụng dịng lệnh Windows, tạo chương trình VBScript để tạo lối tắt tập tin giải mã @WanaDecryptor@.exe, +Cố gắng tiêu diệt tiến trình database (cơ sở liệu) SQL MS Exchange cách thực thi số lệnh dòng lệnh Windows e Mã hóa liệu Để mã hóa tệp, tạo khóa AES đối xứng 16 byte hàm CryptGenRandom Sau đó, mã hóa khóa AES tạo khóa RSA cơng khai lưu trữ bên header tệp (phần mở đầu tệp) bắt đầu chuỗi giá trị WANACRY! Các tệp mã hóa tiếp tục đổi tên gắn vào tệp có phần mở rộng WNCRY Thành phần mã hóa chứa kho lưu trữ ZIP bảo vệ mật Để lấy mật khẩu, em phân tách mã hóa cơng cụ IDA Pro tìm mật “WNcry@2ol7” 49 +msg thư mục chứa danh sách tệp định dạng văn (RTF) phong phú với phần mở rộng wnry Các tệp hướng dẫn readme sử dụng để hiển thị thông báo tống tiền cho nạn nhân ngôn ngữ khác nhau, dựa thông tin thu từ hệ thống chức WannaCry độc hại +b.wnry tệp hình ảnh sử dụng để hiển thị hướng dẫn giải mã tệp người dùng Nó bắt đầu với 42 chuỗi 4D, cho biết tệp hình ảnh bitmap c.wnry chứa danh sách địa Tor có phần mở rộng onion liên kết đến file cài đặt nén trình duyệt Tor từ Tor Project +r.wnry tệp văn tiếng Anh với hướng dẫn giải mã bổ sung sử dụng thành phần giải mã (tệp u.wnry đề cập bên dưới) +tệp s.wnry tệp lưu trữ ZIP (chữ ký HEX 50 4B 03 04) chứa phần mềm Tor thực thi Với hỗ trợ công cụ WinHex, việc thực thi thu lại cách lưu liệu nhị phân thô với phần mở rộng zip; t.wnry tệp mã hóa với định dạng mã hóa WANACRY! Tiêu đề tệp bắt đầu với chuỗi WANACRY! +taskdl.exe công cụ hỗ trợ để xóa tệp có phần mở rộng WNCRY Bằng cách quan sát thuộc tính tệp, ta tìm thấy mơ 50 tả giả trang sau: “SQL Client Configuration Utility" (Tiện ích cấu hình máy khách SQL) +taskse.exe công cụ hỗ trợ để thực thi phần mềm độc hại phiên RDP (giao thức máy tính để bàn từ xa), xác định mô tả tệp: “waitfor - wait/send a signal over a network” +u.wnry tệp thực thi (chữ ký HEX 4D 5A) với tên “@WanaDecryptor@.exe”, đại diện cho thành phần giải mã WannaCry f Ngăn chặn người dùng khôi phục liệu Sau kết thúc trình mã hóa, WannaCry cố gắng ngăn chặn phương thức phục hồi liệu khác cách thực số lệnh hệ thống Để ngăn phục hồi liệu, WannaCry thực thi lệnh sau: +vssadmin delete shadows/all/quiet Xóa tất khối lượng shadow hệ thống mà không cảnh báo người dùng Theo mặc định, ổ đĩa chứa liệu lưu trường hợp có lỗi hệ thống +wmic shadowcopy delete Đảm bảo xóa liên quan đến shadow volume (dịch vụ lưu liệu) +bcdedit/set default bootstatuspolicy ignoreallfailures Đảm bảo máy khởi động tìm thấy lỗi +bcdedit/set default recoveryenabled no Vơ hiệu hóa tính khơi phục Windows, ngăn chặn nạn nhân khôi phục hệ thống họ dựng trước +wbadmin delete catalog -q Đảm bảo nạn nhân khơng cịn sử dụng tệp lưu tạo Windows Server KẾT LUẬN Với phát triển không ngừng ngành cơng nghiệp nói chung, cơng nghệ thơng tin nói riêng, việc bảo vệ thông tin cá nhân, công ty, quốc gia, hệ thống máy tính cơng nghiệp… khỏi mã độc trở nên cấp thiết Việc phân tích phát mã độc quan trọng Trong tiểu luận, dựa vào 51 phương pháp phát mã độc dựa phân tích động cho thấy độ xác cao, kết khả quan yêu cầu cần giải toán phát mã độc Những kết đạt tiểu luận: Tìm hiểu mã độc, phân tích mã độc, phân loại phát mã độc • Trình bày phương pháp phát mã độc dựa phân tích động • Nghiên cứu trình bày mơi trường, bước phân tích mã độc Ransomware Wanacry Trong q trình làm tiểu luận, kiến thức hạn chế, chưa • tiếp xúc thực tế nhiều, chưa có điều kiện để thực hành nhiều nên làm có nhiều sai sót, chưa theo yêu cầu đề ra, cần góp ý thầy để bổ sung cải thiện Qua em thấy cịn nhiều thiếu sót nhiều kinh nghiệm thực tế kiến thức chuyên môn Trong tương lai, em cải thiện kiến thức tảng đồng thời thực hành, tiếp cận với thực tế nhiều để cải thiện kỹ thân 52 ... thống tự động phân tích mã độc để hỗ trợ tự động phân tích sử dụng SandBox, hệ thống phân tích tự động hãng Phần trình bày cách thức xây dựng mơi trường phân tích phù hợp để phân tích mã độc 11... trình phân tích mã độc bao gồm đầy đủ bước sau: Hình 1: Quy trình phân tích mã độc thơng thường CHƯƠNG II: PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC DỰA TRÊN PHÂN TÍCH ĐỘNG Tổng quan phân tích độnG Phân tích động... phương pháp phân tích tĩnh, phân tích mã nguồn mà khơng cần thực thi tệp tin Phân tích tĩnh tức đọc mã nguồn mã độc cố gắng suy luận tính chất từ mã nguồn Một số kỹ thuật dùng phân tích tĩnh bao