HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - PHÙNG ANH TUẤN XÂY DỰNG CHƯƠNG TRÌNH DIỆT MÃ ĐỘC DỰA TRÊN BỘ LUẬT YARA CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 8.48.01.01 ĐỀ ÁN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS ĐÀO NGỌC PHONG HÀ NỘI-2023 I MỤC LỤC DANH MỤC HÌNH ẢNH, BẢNG BIỂU III DANH MỤC TỪ VIẾT TẮT IV MỞ ĐẦU 1.TÍNH CẤP THIẾT CỦA ĐỀ ÁN .1 2.MỤC TIÊU VÀ NHIỆM VỤ 3.ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU CỦA ĐỀ ÁN 4.PHƯƠNG PHÁP NGHIÊN CỨU CỦA ĐỀ ÁN 5.Ý NGHĨA LÝ LUẬN VÀ THỰC TIỄN CỦA ĐỀ ÁN 6.BỐ CỤC ĐỀ ÁN CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1.THỰC TRẠNG VỀ VẤN ĐỀ MÃ ĐỘC VÀ CÁC CÔNG CỤ DIỆT MÃ ĐỘC HIỆN NAY 1.1.1 Thực trạng vấn đề mã độc 1.1.2 Một số kĩ thuật thường sử dụng mã độc 1.2.MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC HIỆN NAY 1.2.1 Xây dựng sách phịng chống mã độc 1.2.2 Đào tạo nâng cao nhận thức người dùng an ninh thông tin 10 1.2.3 Quản lý lỗ hổng hệ thống 12 1.2.4 Sử dụng hệ thống, phần mềm phòng thủ mạng, phòng chống mã độc 13 1.2.5 Một số chương trình phịng chống mã độc phổ biến 13 1.3.NGUY CƠ AN NINH TỪ CÁC PHẦN MỀM PHÒNG CHỐNG MÃ ĐỘC .16 TỔNG KẾT CHƯƠNG 18 CHƯƠNG 2: XÂY DỰNG CHƯƠNG TRÌNH DIỆT MÃ ĐỘC DỰA TRÊN BỘ LUẬT YARA .19 2.1.KĨ THUẬT PHÁT HIỆN MÃ ĐỘC 19 2.1.1 Nguyên lý phát 19 2.1.2 Phát dựa đặc điểm bất thường 22 2.1.3 Các kỹ thuật phát mã độc .23 2.1.4 Kĩ thuật xử lí mã độc 29 2.2.ỨNG DỤNG BỘ LUẬT YARA TRONG ĐỊNH DẠNG ĐẶC TRƯNG MÃ ĐỘC 30 2.2.1 Luật YARA .31 II 2.2.2 Các Module YARA .38 2.3.MƠ HÌNH CHƯƠNG TRÌNH DIỆT MÃ ĐỘC DỰA TRÊN BỘ LUẬT YARA 40 2.3.1 Các thành phần chương trình 41 2.3.2 Cơng cụ lập trình môi trường hoạt động 46 TỔNG KẾT CHƯƠNG 47 CHƯƠNG 3: CÁC KỊCH BẢN THỬ NGHIỆM, ĐÁNH GIÁ 48 3.1 MƠ HÌNH THỬ NGHIỆM 48 3.1.1 Môi trường thử nghiệm: .48 3.1.2 Kết thử nghiệm: 48 3.2 HẠN CHẾ VÀ HƯỚNG PHÁT TRIỂN 56 3.2.1 Hạn chế 56 3.2.2 Hướng phát triển 56 TỔNG KẾT CHƯƠNG 56 KẾT LUẬN .58 TÀI LIỆU THAM KHẢO 59 BẢN CAM ĐOAN 60 LỜI CẢM ƠN 62 III DANH MỤC HÌNH ẢNH, BẢNG BIỂU Hình 1.1: Mã độc tạo icon giả mạo icon USB Hình 1.1: Tỉ lệ phát mã độc số phần mềm AV tiếng 14 Hình 1.2: Những chương trình AV “nhẹ” chiếm dụng đến 10% tài nguyên máy .15 Hình 1.3 Kết tìm “phan mem diet virus crack” 16 Hình 1.4 Website phát tán phần mềm AVG Antivirus đính kèm mã độc .16 Bảng 2.1: Nội dung kĩ thuật phát mã độc theo dấu hiệu đặc trưng .21 Hình 2.5: Tệp chứa mã độc quét trang virustotal.com 23 Hình 2.1: Cách tính toán giá trị hash với khối ký tự 24 Hình 2.2: Mô tả sau tiến hành Rolling hash 24 Hình 2.3: cấu trúc ghi cờ CPU Intel 16bit định nghĩa lại ngôn ngữ C .25 Hình 2.4: kỹ thuật Heuristic nhận dạng số virus thực tế 26 Hình 2.5: Phân loại ngưỡng lây nhiễm mức đơn lớp .26 Hình 2.6: Một đoạn mã virus Stoned phân tích .27 Hỉnh 2.7: Một khối ngăn chặn hành vi lừa đảo DOS 28 Hình 2.8: Mơ hình hệ thống chương trình 40 Hình 2.9: Giao diện chọn tính qt 41 Hình 2.10: Giao diện thực quét 41 Hình 2.11 Giao diện hiển thị kết 42 Hình 2.12: Mơ hình module nhận dạng mã độc 43 Hình 2.13: Đoạn mã nạp liệu luật vào module 43 Hình 2.14: Đoạn mã scan file với liệu luật nạp 44 Hình 2.15: Đoạn mã scan tiến trình với liệu luật nạp .44 Hình 2.16: Mơ hình trình xử lý mã độc 45 Hình 3.1: Folder chứa mã độc dùng để thử nghiệm 48 Hình 3.2: Kết thử nghiệm quét folder chứa mã độc .49 Hình 3.3: Tiến trình chứa mã độc njRAT 50 Hình 3.4: Thực quét tiến trình máy ảo thử nghiệm 50 Hình 3.5: Kết quét tiến trình 51 Hình 3.6: Tiến trình chứa mã độc njRAT DarkComet 51 Hình 3.7: Kết quét tiến trình mã độc njRAT DarkComet 52 Hình 3.8: Trước Chương trình dừng tiến trình mã độc njRAT 53 Hình 3.9: Chương trình dừng tiến trình tạo mã độc njRAT .53 Hình 3.10: Trước xóa dừng tiến trình độc hại 54 Hình 3.11: Các tiến trình độc hại bị dừng Chương trình 54 IV DANH MỤC TỪ VIẾT TẮT API AV CPU OEP PE PUI RAT Application programming interfaces Giao diện chương trình ứng dụng AntiVirus Phần mềm diệt virus Central Process Unit Bộ xử lí trung tâm Original Entry Point Điểm tiếp cận nguyên Portable excutable Định dạng xử lí Program Under Inspection Chương trình xử lí Remote access tool Công cụ điều khiển truy cập MỞ ĐẦU Tính cấp thiết Đề án Trong năm gần đây, mức độ sử dụng máy tính thiết bị kết nối mạng Việt Nam tăng đột biến, mơi trường lý tưởng để loại mã độc bùng phát, lây lan mạnh Số liệu từ Cục ATTT, Bộ TT&TT cho thấy tháng 8/2022 ghi nhận, cảnh báo hướng dẫn xử lý 907 công mạng, gây cố vào hệ thống thông tin Việt Nam, giảm 7,7% so với tháng 72022 tăng 6,9% so với kỳ tháng 8/2021 Cũng tháng 8, số lượng địa IP Việt Nam nằm mạng botnet (mạng máy tính ma) 619.610 địa chỉ, giảm 5% so với tháng 7/2022 giảm 43,1% so với kỳ năm ngoái Số lượng website lừa đảo bị chặn 163, tăng 83,1% so với tháng 7/2022, tăng 89,5% so với kỳ tháng 8/2021 Theo đại diện Trung tâm Giám sát an tồn khơng gian mạng quốc gia (NCSC) thuộc Cục ATTT, Bộ TT&TT, ngồi tình trạng thiết bị kết nối mạng Việt Nam nằm mạng botnet diễn từ lâu, gần xảy nhiều công mạng bắt nguồn từ việc website, máy chủ, địa IP Việt Nam tham gia vào hạ tầng điều khiển mạng máy tính ma (botnet) phát tán mã độc Điều khơng gây ảnh hưởng đến uy tín hình ảnh Việt Nam khơng gian mạng mà cịn ảnh hưởng đến hoạt động chuyển đổi số (CĐS) quốc gia Xuất phát từ lí trên, việc nghiên cứu tìm hiểu làm chủ kĩ thuật tìm kiếm diệt mã độc để từ thiết kế hệ thống phịng chống mã độc khơng phụ thuộc vào tổ chức khác mục tiêu cần thiết tổ chức lớn, có nhiều thơng tin mật Qua trình học tập, nghiên cứu lớp Hệ thống thông tin, Khoa Công nghệ thông tin, hướng dẫn thầy TS Đào Ngọc Phong, tơi lựa chọn đề tài “XÂY DỰNG CHƯƠNG TRÌNH DIỆT MÃ ĐỘC DỰA TRÊN BỘ LUẬT YARA” làm luận thạc sĩ Từ kết đạt nghiên cứu phát triển thành phần mềm có khả triển khai hoạt động hiệu nhiều hệ thống thực tế 2 Mục tiêu nhiệm vụ - Mục tiêu: Xây dựng tổng hợp số đặc trưng nhận dạng mã độc, tìm hiểu ứng dụng phương pháp nhận dạng mã độc chương trình, thiết kế hệ thống chương trình tìm diệt mã độc hoạt động ổn định hệ điều hành Windows - Nhiệm vụ: + Tìm hiểu số giải pháp phịng chống mã độc thực trạng sử dụng phần mềm diệt mã độc + Tìm hiểu số loại mã độc phổ biến, phân loại cách thức lây nhiễm, phát tán mã độc + Tìm hiểu số kỹ thuật phát mã độc phần mềm phịng chống mã độc + Tìm hiểu ứng dụng thuật công nghệ Yara tìm kiếm mã độc + Thiết kế mơ hình hoạt động chương trình tìm, diệt mã độc hệ điều hành Windows + Xây dựng chương trình, thử nghiệm Đối tượng phạm vi nghiên cứu Đề án - Đối tượng nghiên cứu: Đối tượng nghiên cứu Đề án kĩ thuật phát mã độc mơ hình, cách thức hoạt động hệ thống tìm, diệt mã độc - Phạm vi nghiên cứu: Do thời gian nghiên cứu hạn chế số điều kiện khách quan, chủ quan khác, tác giả xác định hướng xác định phạm vi nghiên cứu sâu, nghiên cứu kĩ thuật mã độc đặc trưng mã độc, sử dụng luật định dạng mã độc theo chuẩn YARA để tìm quét mã độc Xây dựng hệ thống tìm quét diệt mã độc có khả can thiệp sâu vào tệp tin, tiến trình hệ điều hành Windows Phương pháp nghiên cứu Đề án Căn vào mục đích, yêu cầu, nội dung đặt Đề án, tác giả xác định phương pháp nghiên cứu bao gồm: - Xây dựng sơ đồ nghiên cứu tổng quan mang lại nhìn chung hoạt động chương tình tìm diệt mã độc hoạt động hệ điều hành Windows - Tìm hiểu, nghiên cứu tài liệu viết mã độc kĩ thuật phân tích, phát mã độc Nghiên cứu phương pháp xây dựng sở liệu cho định dạng, mô tả đặc trưng mã độc Tiến hành thu thập mẫu mã độc phân tích mơt số mẫu mã độc - Tìm hiểu chế hoạt động hệ thống phòng chống mã độc phổ biến nay, nghiên cứu chế hoạt động, quản lý, tương tác hệ thống phòng chống mã độc với hệ điều hành, tiến trình, tệp tin phân tích đề xuất xây dựng mơ hình hoạt động đạt hiệu tương tự hệ thống phòng chống mã độc Ý nghĩa lý luận thực tiễn Đề án Nghiên cứu số phương pháp tìm kiếm mã độc, mơ hình tìm kiếm diệt mã độc, yếu tố quan trọng để chương trình diệt mã độc hoạt động Nắm làm chủ cơng nghệ tìm kiếm diệt mã độc nay, phát triển để sử dụng thực tế quan, đơn vị, có nhiều liệu thơng tin cần bảo mật như: Các quan Cơ yếu; Các đơn vị nghiên cứu chiến lược; Lực lượng vũ trang; Tập đồn lớn Đảm bảo khơng phụ thuộc vào phần mềm diệt mã độc từ tổ chức khác, giảm thiểu rủi ro lộ lọt liệu, thông tin Bố cục Đề án Nội dung Đề án gồm phần với nội dung sau: - Phần 1: Mở đầu - Phần 2: Nội dung Đề án, gồm chương: + Chương 1: Tổng quan vấn đề nghiên cứu + Chương 2: Mã độc số kĩ thuật phát mã độc + Chương 3: Xây dựng thử nghiệm hệ thống - Phần 3: Hướng phát triển - Phần 4: Kết luận - Phần 5: Tài liệu tham khảo CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 THỰC TRẠNG VỀ VẤN ĐỀ MÃ ĐỘC VÀ CÁC CÔNG CỤ DIỆT MÃ ĐỘC HIỆN NAY 1.1.1 Thực trạng vấn đề mã độc Mã độc mà điển hình Virus Trojan hay gần Ransomware, Stealer trở thành mối hiểm họa lớn hệ thống thông tin Các mã độc thường tập trung vào đánh cắp liệu, mã hóa liệu nhằm tống tiền, theo dõi, gián điệp quan, tổ chức lớn Mục đích kẻ công sử dụng phần mềm độc hại thường nhắm đến mục đích lợi ích kinh tế mục tiêu trị Mã độc thường có mục đích sau: + Bot Net : Là loại mã độc có khả tự nhân lây nhiễm lên máy tính hệ thống mạng, nhằm kiểm sốt nhiều thiết bị tốt, tạo lập hệ thống mạng thiết bị tin tặc kiểm soát + Phần mềm gián điệp: Là dạng phần mềm thu thập thông tin cá nhân, tài liệu, theo dõi hoạt động mạng Internet nạn nhân + Trojan: Loại mã độc ngụy trang vỏ bọc phần mềm vô hại chí hoạt động, chương trình hợp pháp hệ thống trước thực hành vi độc hại định + Stealer: phần mềm độc hại sửa đổi trình duyệt web chuyển hướng liệu nhằm thu thập thông tin người dùng thơng qua trình duyệt + Rootkit: mã độc hoạt động quyền quản trị, driver điều khiển phần cứng, ẩn sâu hệ điều hành thực hành vi độc hại + Malvertising dạng phần mềm độc hại sử dụng cho mục đích quảng cáo trực tuyến + Mã độc tống tiền (Ransomware): Là loại mã độc mã hóa tệp tin người dùng đòi tiền chuộc nhằm giải mã + Mã độc APT: Là mã độc sử dụng chiến dịch công APT (tấn công có chủ đích, thường nhắm đến mục tiêu có giá trị kinh tế, trị cao),