HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN NGỌC QUÂN NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 BÁO CÁO LUẬN VĂN THẠC SĨ HÀ NỘI – 2015 LỜI CẢM ƠN Trước hết xin cảm ơn sâu sắc tới TS Nguyễn Trung Kiên, định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn suốt q trình nghiên cứu hồn thành luận văn tốt nghiệp Tôi xin cảm ơn cán Viện Công nghệ thông tin truyền thông CDIT; thầy cô khoa Công nghệ thông tin, khoa Quốc tế Đào tạo sau Đại học - Học viện Công nghệ Bưu Viễn thơng giúp đỡ truyền đạt kiến thức cho suốt thời gian học tập nghiên cứu trường Tôi xin cảm ơn cấp Lãnh đạo tồn thể đồng nghiệp, gia đình, bạn bè chia sẻ, giúp đỡ, tạo điều kiện cho tơi hồn thành khóa luận Hà Nội, tháng năm 2015 Nguyễn Ngọc Quân ii LỜI CAM ĐOAN Tôi xin cam đoan Luận văn cơng trình nghiên cứu khoa học nghiêm túc cá nhân, thực hướng dẫn khoa học TS Nguyễn Trung Kiên Các số liệu, kết nghiên cứu kết luận trình bày Luận văn trung thực chưa cơng bố hình thức Tơi xin chịu trách nhiệm cơng trình nghiên cứu TÁC GIẢ LUẬN VĂN Nguyễn Ngọc Quân iii MỤC LỤC LỜI CẢM ƠN ii LỜI CAM ĐOAN ii MỤC LỤC ii DANH MỤC CÁC TỪ VIẾT TẮT ii DANH MỤC HÌNH VẼ ii MỞ ĐẦU ii CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 Tổng quan mã độc .2 1.1.1 Khái niệm mã độc 1.1.2 Tình hình mã độc Việt Nam giới 1.2 Phân loại mã độc 1.2.1 Virus máy tính 1.2.2 Sâu máy tính 1.2.3 Trojan hourse 1.2.4 Phần mềm gián điệp (Spyware) .2 1.2.5 Phần mềm tống tiền (Scareware) .2 1.2.6 Phần mềm quảng cáo .2 1.2.7 Downloader 1.2.8 Backdoor 1.2.9 Botnet .2 1.2.10 Launcher 1.2.11 Rootkit 1.2.12 Keylogger 1.3 Cách thức hoạt động hành vi loại mã độc 1.3.1 Mục đích mã độc 1.3.2 Hướng lây nhiễm mã độc 1.3.3 Hành vi mã độc 1.3.4 Biện pháp để phát mã độc máy tính hệ thống mạng iv 1.3.5 Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy hệ thống mạng 1.4 Phương thức lây nghiễm mã độc 1.4.1 Phương thức lây nhiễm Virus 1.4.2 Phương thức lây nhiễm Worm (Sâu máy tính) 1.4.3 Phương thức lây nhiễm Trojan 1.5 Kết luận Chương CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 2.1 Nghiên cứu kỹ thuật phân tích mã độc 2.1.1 Mục đích kỹ thuật phân tích mã độc 2.1.2 Các kỹ thuật phân tích mã độc 2.2 Nghiên cứu phương pháp phân tích tĩnh .2 2.2.1 Basic static analysis 2.2.2 Advanced static analysis 2.3 Nghiên cứu phương pháp phân tích động 2.4 Môi trường thực việc phân tích mã độc .2 2.4.1 Môi trường tải mã độc 2.4.2 Mơi trường phân tích mã độc 2.4.3 Mơ hình mơi trường phân tích mã độc 2.5 Quy trình thu thập phân tích mã độc 2.5.1 Thu thập mã độc 2.5.2 Quy trình phân tích mã độc .2 2.6 Nghiên cứu cơng cụ hỗ trợ phân tích mã độc 2.6.1 Công cụ hỗ trợ phân tích tĩnh 2.6.2 Công cụ hỗ trợ phân tích động 2.7 Kết luận Chương CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC 3.1 Kiến trúc hệ thống 3.2 Mơ hình logic hệ thống Malware analytics 3.3 Mơ hình vật lý hệ thống 3.4 Giới thiệu hệ thống sử dụng cho việc phân tích hành vi mã độc v 3.1.1 Quy trình phân tích tập tin .2 3.1.2 Quy trình phân tích địa URL độc hại 3.2 Kết luận chương KẾT LUẬN TÀI LIỆU THAM KHẢO .2 PHỤ LỤC DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt AV-TEST Tổ chức kiểm định đánh giá độc lập phần mềm diệt Virus cho Windows Android BKAV Công ty an ninh mạng BKAV CPU Central Processing Unit Bộ xử lý trung tâm máy tính IPS Intrusion prevention system Hệ thống phát xâm nhập IDS Intrusion detection system Hệ thống ngăn ngừa xâm nhập IIS Internet Information Services MD5 Message Digest Algorithm Thuật toán băm mã hóa liệu MD5 NIST National Institute of Standards and Technology Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ P2P Peer to peer Mạng ngang hàng PC Personal computer Máy tính cá nhân PE File Portable Executable File SHA-1 Secure Hash Algorithm Thuật toán băm mã hóa liệu SHA-1 VNCERT Vietnam Computer Emergency Response Team Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNPT Vietnam Posts and Telecommunication Group Tập đoàn Bưu Viễn thơng Việt Nam vii DANH MỤC HÌNH VẼ Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST Hình 2: Danh sách 15 nước phát tán mã độc nhiều giới Hình 3: Tình hình mã độc tháng 5/2013 theo BKAV Hình 4: Virus đính kèm tập tin thực thi Hình 5: Mơ tả mức độ lây lan sâu mật mã đỏ năm 2001 Hình 6: Trojan ẩn phần mềm miễn phí Hình 7: Hoạt động người dùng Spyware ghi lại .2 Hình 8: Scareware mạo danh FBI tống tiền người dùng .2 Hình 9: Cơng dụng mạng Botnet .2 Hình 10: Hash Netcat Hình 11: String tách từ mẫu Malware Hình 12: String tách từ mẫu Malware Hình 13: Chuỗi ASCII Hình 14: Chuỗi Unicode .2 Hình 15: File Malware nc giả dạng file nén Hình 16: Byte định dạng file thực thi Hình 17: Byte định dạng file zip Hình 18: Chương trình Malware biên dịch Visual C++ .2 Hình 19: Hệ thống chạy chưa thực thi Malware Hình 20: Hệ thống xuất tiến trình lạ thực thi Malware Hình 21: Malware tác động đến file hệ thống Hình 22: Mơi trường phân tích mã độc Hình 23: Mơ hình thực phân tích Malware Hình 24: Thành phần mơi trường phân tích mã độc Hình 25: Quy trình phân tích mã độc chưa có hệ thống phân tích tự động Hình 26: Quy trình phân tích mã độc có hệ thống phân tích tự động Hình 27: Màn hình sử dụng PEiD Hình 28: Rdg Packer Detector Hình 29: ExeInfo Hình 30: Giao diện đồ họa IDA Pro .2 Hình 31: BinDiff Hình 32: Giao diện sử dụng Process Monitor Hình 33: Cửa sổ Filter Process Monitor Hình 34: Mơ hình logic hệ thống Malware analytics Hình 35: Mơ hình vật lý hệ thống vii viii Hình 36: Giao diện trang phân tích hành vi mã độc Hình 37: Quy trình phân tích mã độc hệ thống .2 Hình 38: Giao diện mục nhập mã độc Hình 39: Trang thị thơng tin mã độc phân tích Hình 40: Thơng tin sơ lược mã độc Hình 41: Các thơng tin chi tiết hành vi mã độc (1) Hình 42: Các thơng tin chi tiết hành vi mã độc (2) Hình 43: Các thơng tin chi tiết hành vi mã độc (3) Hình 44: Giao diện nhập địa URL để phân tích .2 Hình 45: Trang hiển thị thơng tin địa URL phân tích Hình 46: Các thơng tin chi tiết hành vi website chứa mã độc Hình 47: Tiến hành cài đặt Winpcap .2 Hình 48: Tiến hành cài đặt Wireshark Hình 49: Giải nén BSA Hình 50: Giao diện sandboxie sau cài đặt xong Hình 51: Chỉnh sửa cấu hình Sandbox Hình 52: File cấu hình Sandbox trước chỉnh sửa Hình 53: File cấu hình chỉnh sửa .2 Hình 54: Chạy thử process monitor mơi trường sandbox Hình 55: Hoạt động Buster Sandbox Analyzer .2 Hình 56: Thực thi netcat mơi trường sandbox .2 Hình 57: Netcat load file thư viện, tạo tiến trình .2 Hình 58: Thông tin file report Hình 59: Phân tích hành vi Hình 60: Malware query DNS teredo.ipv6.microsoft.com Hình 61: Malware query DNS teredo.ipv6.microsoft.com Hình 62: Malware nhận trả lời từ việc query tên miền Hình 63: Malware nhận trả lời từ việc query tên miền Hình 64: Malware nhận trả lời từ việc query tên miền Hình 65: Kiểm tra Malware với Virus total Hình 66: Kết kiểm tra qua phần mềm anti Malware tiếng Hình 67: Conficker thay đổi thuộc tính Chrome .2 Hình 68: Web server hoạt động .2 Hình 69: Conficker lấy thơng tin từ web server Hình 70: Conficker truy vấn tên miền .2 Hình 71: Wireshark bắt tin conficker truy vấn tên miền Hình 72: Conficker download file từ website Hình 73: Giao diện cơng cụ Armitage viii ix Hình 74: Sử dụng Trojan lưu dạng file exe Hình 75: Upload Trojan lên webserver Hình 76: Khởi động dịch vụ apache Hình 77: Chọn launch để khởi động dịch vụ Hình 78: Người dùng vơ tình cài Trojan lên máy tính họ .2 Hình 79: Kết nối mở để hacker điều khiến máy tính người dùng Hình 80: Thực command cmd máy tính người dùng .2 Hình 81: Report hành vi Trojan Hình 82: Wireshark capture tin Trojan gửi ix