HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG PHÙNG ANH TUẤN XÂY DỰNG CHƯƠNG TRÌNH DIỆT MÃ ĐỘC DỰA TRÊN BỘ LUẬT YARA CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 8.48.01.01 TÓM TẮT ĐỀ ÁN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS ĐÀO NGỌC PHONG HÀ NỘI-2023 2 Đề án tốt nghiệp hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: Phản biện 1: ………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Đề án tốt nghiệp bảo vệ trước Hội đồng chấm đề án tốt nghiệp thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm 2023 Có thể tìm hiểu đề án tốt nghiệp tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn Đề án Số liệu từ Cục ATTT, Bộ TT&TT cho thấy tháng 8/2022 ghi nhận, cảnh báo hướng dẫn xử lý 907 công mạng, gây cố vào hệ thống thông tin Việt Nam, giảm 7,7% so với tháng 7-2022 tăng 6,9% so với kỳ tháng 8/2021 Cũng tháng 8, số lượng địa IP Việt Nam nằm mạng botnet (mạng máy tính ma) 619.610 địa chỉ, giảm 5% so với tháng 7/2022 giảm 43,1% so với kỳ năm ngoái Số lượng website lừa đảo bị chặn 163, tăng 83,1% so với tháng 7/2022, tăng 89,5% so với kỳ tháng 8/2021 Theo đại diện Trung tâm Giám sát an tồn khơng gian mạng quốc gia (NCSC) thuộc Cục ATTT, Bộ TT&TT, nhiều địa IP Việt Nam tham gia vào hạ tầng điều khiển mạng máy tính ma (botnet) phát tán mã độc Điều khơng gây ảnh hưởng đến uy tín hình ảnh Việt Nam khơng gian mạng mà ảnh hưởng đến hoạt động chuyển đổi số (CĐS) quốc gia 4 Xuất phát từ lí trên, việc nghiên cứu tìm hiểu làm chủ kĩ thuật tìm kiếm diệt mã độc để từ thiết kế hệ thống phịng chống mã độc không phụ thuộc vào tổ chức khác mục tiêu cần thiết tổ chức lớn, có nhiều thơng tin mật Qua q trình học tập, nghiên cứu lớp Hệ thống thông tin, Khoa Công nghệ thông tin, hướng dẫn thầy TS Đào Ngọc Phong, lựa chọn đề tài “XÂY DỰNG CHƯƠNG TRÌNH DIỆT MÃ ĐỘC DỰA TRÊN BỘ LUẬT YARA” làm luận thạc sĩ Từ kết đạt nghiên cứu phát triển thành phần mềm có khả triển khai hoạt động hiệu nhiều hệ thống thực tế Mục tiêu nhiệm vụ nghiên cứu - Mục tiêu: Xây dựng tổng hợp số đặc trưng nhận dạng mã độc, tìm hiểu ứng dụng phương pháp nhận dạng mã độc chương trình, thiết kế hệ thống chương trình tìm diệt mã độc hoạt động ổn định hệ điều hành Windows - Nhiệm vụ: + Tìm hiểu số giải pháp phòng chống mã độc thực trạng sử dụng phần mềm diệt mã độc + Tìm hiểu số loại mã độc phổ biến, phân loại cách thức lây nhiễm, phát tán mã độc + Tìm hiểu số kỹ thuật phát mã độc phần mềm phòng chống mã độc + Tìm hiểu ứng dụng thuật cơng nghệ Yara tìm kiếm mã độc + Thiết kế mơ hình hoạt động chương trình tìm, diệt mã độc hệ điều hành Windows + Xây dựng chương trình, thử nghiệm Đối tượng phạm vi nghiên cứu - Đối tượng nghiên cứu: Đối tượng nghiên cứu Đề án kĩ thuật phát mã độc mơ hình, cách thức hoạt động hệ thống tìm, diệt mã độc - Phạm vi nghiên cứu: Phạm vi nghiên cứu Đề án nghiên cứu kĩ thuật mã độc đặc trưng mã độc, sử dụng luật định dạng mã độc theo chuẩn YARA để tìm quét mã độc Xây dựng hệ thống tìm quét diệt mã độc có khả can thiệp sâu vào tệp tin, tiến trình hệ điều hành Windows Phương pháp nghiên cứu - Xây dựng sơ đồ nghiên cứu tổng quan mang lại nhìn chung hoạt động chương tình tìm diệt mã độc hoạt động hệ điều hành Windows - Nghiên cứu phương pháp xây dựng sở liệu cho định dạng, mô tả đặc trưng mã độc Tiến hành thu thập mẫu mã độc phân tích mơt số mẫu mã độc - Tìm hiểu chế hoạt động hệ thống phòng chống mã độc phổ biến nay, phân tích đề xuất xây dựng mơ hình hoạt động đạt hiệu tương tự hệ thống phòng chống mã độc CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 THỰC TRẠNG VỀ VẤN ĐỀ MÃ ĐỘC VÀ CÁC CÔNG CỤ DIỆT MÃ ĐỘC HIỆN NAY 1.1.1 Thực trạng vấn đề mã độc - Mã độc mà điển hình Virus Trojan hay gần Ransomware, Stealer trở thành mối hiểm họa lớn hệ thống thông tin Các mã độc thường tập trung vào đánh cắp liệu, mã hóa liệu nhằm tống tiền, theo dõi, gián điệp quan, tổ chức lớn Mục đích kẻ công sử dụng phần mềm độc hại thường nhắm đến mục đích lợi ích kinh tế mục tiêu trị - Một số kĩ thuật thường sử dụng mã độc: - Kĩ thuật lây nhiễm, ẩn náu: + Lây nhiễm file thực thi – Pefile; + Lây nhiễm qua macro file tài liệu Micorsoft Office; + Lây nhiễm qua cơng cụ mở rộng trình duyệt; + Ẩn náu registry; - Kĩ thuật phát tán, lây lan: + Phát tán qua email lừa đảo; + Phát tán qua đường link, website; + Qua thiết bị lưu trữ USB; 1.2 MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC HIỆN NAY 1.2.1 Xây dựng sách phòng chống mã độc - Trước nguy hậu mã độc gây ra, doanh nghiệp quan, tổ chức phải có sách ngăn chặn cố liên quan đến mã độc Chính sách cần rõ ràng, cho phép khả thực cách quán hiệu - Chính sách phòng chống mã độc thường tập trung vào số quy định sau: Yêu cầu dùng phần mềm quét thiết bị lưu trữ đơn vị bên tổ chức trước sử dụng; Yêu cầu tập tin đính kèm thư điện tử, bao gồm tập tin nén file zip cần lưu vào ổ đĩa kiểm tra trước mở; Cấm gửi nhận số loại tập tin thực thi qua thư điện tử;-Hạn chế cấm việc sử dụng phần mềm không cần thiết; Hạn chế cung cấp quyền quản trị cho người sử dụng; Yêu cầu cập nhật phần mềm, vá, cho hệ điều hành; Hạn chế sử dụng thiết bị di động, vật mang tin; Người dùng muốn có quyền truy cập vào mạng khác (bao gồm Internet) cần thông qua đồng ý tổ chức; Yêu cầu thay đổi cấu hình tường lửa để phù hợp với sách cơng ty, tổ chức; Hạn chế việc sử dụng thiết bị di động mạng tin cậy 1.2.2 Đào tạo nâng cao nhận thức người dùng an ninh thông tin Các tổ chức cần cung cấp khóa học để giúp nâng cao nhận thức cho cán bộ, nhân viên tổ chức Trước hết xây dựng chương trình đào tạo, cử đào tạo nhân viên phục trách an tồn thơng tin Từ xây dựng hệ thống sách, quy định an 10 tồn thơng tin cho tổ chức chủ quản, nhằm phịng chống nguy an tồn thơng tin từ mã độc, kịp thời xử lý phù hợp xảy 1.2.3 Quản lý lỗ hổng hệ thống Để hạn chế tối đa rủi ro bị công mã độc qua lỗ hổng bảo mật dịch vụ, ứng dụng hệ thống mạng, tổ chức phải có quy trình rõ rang rà sốt, kiểm thử, vá lỗ hổng bảo mật hệ thống Theo dõi sát khuyến cáo, cảnh báo từ đội ứng phó xử lý cố An tồn thơng tin 1.2.4 Sử dụng hệ thống, phần mềm phòng thủ mạng, phòng chống mã độc - Hệ thống phòng chống xâm nhập mạng: Hệ thống phòng chống xâm nhập mạng (IPS) thực cơng việc tra gói tin phân tích lưu lượng mạng để xác định ngăn chặn hoạt động bất thường 11 - Phần mềm phịng chống mã độc: Kiểm tra tồn file hệ thống để tìm mối đe dọa, tệp tin độc hại; Hạn chế lây lan qua việc chép liệu 1.3 NGUY CƠ AN NINH TỪ CÁC PHẦN MỀM PHÒNG CHỐNG MÃ ĐỘC - Nguy tồn malware dạng gián điệp, điều khiển từ xa từ phần mềm diệt virus crack, hay re-patch - Nguy thứ đến từ việc can thiệp sâu phần mềm diệt Virus vào hệ điều hành, cài đặt dịch vụ trình điều khiển chạy mức System, gần thực câu lệnh Tổng kết chương - Đưa nhìn tổng quan thực trạng mã độc nay, kĩ thuật của mã độc, phương pháp lây lan,ẩn náu, phát tán mã độc, làm sở cho việc tìm hiểu kĩ thuật tìm kiếm đặc trưng, phân tích điểm bất thương, tìm kiếm phát dấu hiệu mã độc trình bày chương 12 - Đưa nguy ATTT việc sử dụng phần mềm phòng chống mã độc bên thứ 3, cần thiết sở hữu làm chủ hệ thống, chương trình dò quét mã độc quan, đơn vị, tổ chức có nhu cầu bảo mật liệu cao CHƯƠNG 2: XÂY DỰNG CHƯƠNG TRÌNH DIỆT MÃ ĐỘC DỰA TRÊN BỘ LUẬT YARA 2.1 KĨ THUẬT PHÁT HIỆN MÃ ĐỘC 2.1.1 Nguyên lý phát - Về kỹ thuật phân tích mã độc: + Phân tích tĩnh: Phân tích tĩnh mơ tả việc phân tích mã, cấu trúc phần mềm mà không cần thực thi chúng nhằm mục đích kiểm tra xem tập tin, phần mềm có phải mã độc hay khơng, cố gắng xác định hành vi mã độc; 13 + Phân tích động: việc phân tích hành vi, chức mã độc cách thực thi phần mềm độc hại Bên cạnh đó, thực tế, phần mềm phòng chống mã độc kỹ sư phân tích mã độc cịn tích hợp tính Hybrid: phân tích lai, sử kết hợp phân tích động tĩnh - Về phát mã độc + Phát mã độc theo dấu hiệu đặc trưng: Sử dụng tập dấu hiệu đặc trưng (signature) để tiến hành so khớp với liệu tệp tin để đưa định tệp tin có chứa mã độc hay khơng + Phát dựa đặc điểm bất thường: Gồm giai đoạn, Training  Learning Detection  Monitoring: Ưu điểm : chìa khóa để phát việc khai thác lỗ hổng 0-day Hạn chế: Sai số trạng thái bình thường bất thường; Sự phức tạp, rắc rối xác định trạng thái phép học + Phương pháp lai, tìm kiếm, nhận diện kết hợp 14 Sử dụng kết hợp linh hoạt hai phương pháp phát theo dấu hiệu đặc trưng phát theo điểm bất thường 2.1.2 Các kỹ thuật phát mã độc - Đối chiếu hash – checksum - Fuzzy Hashing: Tương tự hash-cheksum, kết hợp sử dụng kết hàm băm nhiều phần nhỏ tệp tin mã độc, từ đó, nhận mã hash “họ hàng”, nâng cao khả phát chương trình mã độc - Ảo hóa: Tạo lập máy tính ảo với hệ thống CPU, hệ thống quản lý nhớ, lệnh mã máy… giống thiết bị thông thường nhằm theo dõi hoạt động mã độc - Static heuristic analysis: Là kỹ thuật thuộc nhóm Anomaly-based detection Kỹ thuật phân tích, tính tốn thơng tin từ chương trình như: PE Header, Section, hàm API Import… hay dấu hiệu đáng nghi ngờ như: kích thước số trường khơng xác, mã điều hướng, tổ hợp Flag… - Scan string, Behavior Blocking 15 2.1.3 Kĩ thuật xử lí mã độc: Xóa mã độc ổ đĩa; Xóa mã độc thực thi; Gỡ mã độc khỏi file bị nhiễm 2.2 ỨNG DỤNG BỘ LUẬT YARA TRONG ĐỊNH DẠNG ĐẶC TRƯNG MÃ ĐỘC YARA công cụ nhằm mục đích giúp xác định phân loại mẫu mã độc, dựa nguyên phiên khác mã độc Mỗi mô tả, hay gọi rule-“luật” , bao gồm tập hợp chuỗi biểu thức logic đúng-sai mà xác định logic 2.2.1 Luật YARA Mỗi luật YARA bắt đầu với từ khóa theo sau định danh quy tắc Nhận dạng phải tuân theo quy ước từ vựng tương tự ngơn ngữ lập trình C, chúng chứa ký tự chữ số ký tự gạch dưới, kí tự khơng thể chữ số Đặt tên cho Rule nhạy cảm vượt 128 ký tự Các từ khóa sau dành riêng khơng thể sử dụng định danh: all and any ascii at condition contains 16 entrypoint false filesize fullword import include int8 int16 meta strings int32be matches private Rule uint32 uint8be uint16be global in int32 int8be int16be nocase not or of them true uint8 uint16 uint32be for wide - Rules thường bao gồm hai phần: chuỗi định nghĩa điều kiện Mỗi chuỗi có định danh gồm ký tự $ chuỗi ký tự chữ số, dấu gạch dưới, định danh sử dụng phần điều kiện để tham khảo chuỗi tương ứng - Phần điều kiện nơi thiết lập logic luật Phần phải chứa biểu thức boolean điều kiện q trình tập tin đáp - Strings: Có ba loại chuỗi YARA: chuỗi mã hex, chuỗi văn regular expressions - Regular expressions: YARA hỗ trợ toàn cú pháp Regular Expression 2.2.2 Các Module YARA 17 Modules cách YARA cung cấp cho việc mở rộng tính Chúng cho phép để xác định cấu trúc liệu chức mà sử dụng quy tắc để diễn tả điều kiện phức tạp Ở ta tìm thấy mơ tả số module thức viết với YARA: PE ( mặc định); ELF (mặc định); Cuckoo (phải thêm cấu hình); Magic (phải thêm cấu hình ); Hash (phải thêm cấu hình ); Math (phải thêm cấu hình ) 2.3 Mơ hình Chương trình diệt mã độc dựa luật Yara Chương trình diệt mã độc luật Yara thiết kết xây dựng hoạt động hệ điều hành Windows, với tính chính: - Quét mã độc ổ đĩa, thử mục hệ thống - Quét mã độc nhớ, tiến trình chạy - Ghi nhật kí thơng tin qt file mã độc tìm - Xóa mã độc tìm 2.3.1 Các thành phần chương trình 18 - Module Tương tác với người dùng; - Module tiếp nhận yêu cầu: Phân tích, tách yêu cầu người dùng thành phẩn nhỏ để xử lí Trong có u cầu cần giải quyết: Quét Mã độc thư mục, file, tiến trình chạy; Xử lí kết qt mã độc - Module nhận dạng mã độc: Nhận dạng tệp tin, tiến trình có mã độc hay khơng thông qua tập luật Yara - Module quản lý hệ thống: Đây module đảm nhận việc tương tác với hệ điều hành, quản lý tệp tin, tiến trình, xử lí, cấp quyền dừng tiến trình, thêm, sửa xóa file, xử lí mã độc 2.3.2 Cơng cụ lập trình mơi trường hoạt động - Chương trình viết ngôn ngữ C# C++, sử dụng cơng cụ lập trình Visual Studio 2019, tảng Net Framework 4.7 - Hoạt động hệ điều hành Windows 10 phiên Windows phát hành, cập nhật sau đó, yêu cầu cài đặt Net Framework 4.7 19 Tổng kết chương Qua việc tìm hiểu số kĩ thuật tìm kiếm, phát hiện, xóa gỡ mã độc, ưu điểm hạn chế chúng, tác giả đề xuất: - Sử dụng chuẩn YARA với công cụ tìm kiếm chuỗi – phương pháp Scan string, kết hợp với phân tích đặc điểm bất thường dấu hiệu đặc trưng mã độc để đưa mô tả mã độc, làm sở luật cho cơng cụ tìm kiếm - Xác định tính chính, thiết kế mơ hình hoạt động Chương trình CHƯƠNG 3: CÁC KỊCH BẢN THỬ NGHIỆM, ĐÁNH GIÁ - Các nội dung thử nghiệm: + Bài 1: Kiểm tra khả duyệt quét mã độc file, quét mã độc file theo định dạng, kiểm tra kết quét mã độc + Bài 2: Kiểm tra khả qt tồn tiến trình thực thi hệ thống 02 mã độc njRAT DarkComet 20 Bài 3: Kiểm tra khả dừng xóa tiến trình chứa mã độc - Kết thử nghiệm: Tất thử nghiệm cho kết khả quan vận hành tốt, ổn định, đáp ứng tính đề Chương trình Tổng kết chương Sau hồn thành thiết kế mơ hình hệ thống lập trình phần mềm, hồn thiện chức năng, chương trình qua thử nghiệm đạt mục tiêu đề Tuy tốc độ quét chưa tốt chương trình cho kết xác kỳ vọng KẾT LUẬN Quá trình nghiên cứu, tác giả thực thành thành công nội dung: Nghiên cứu tổng quan phần mềm Anti-Virus nay; Các chế hoạt động, lây lan Virus; Cấu trúc cách hoạt động hệ thống phần mềm Anti-Virus cấu trúc, chế luật