HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN MƠN: PHÂN TÍCH MÃ ĐỘC CHỦ ĐỀ: PHÂN TÍCH ĐỘNG SỬ DỤNG CUCKOO SANDBOX Giảng viên hướng dẫn: Đỗ Xuân Chợ   Nhóm thực hiện: nhóm Sinh viên thực hiện: Mai Đức Mạnh B20DCAT120   Lưu Văn Hưng B20DCAT088   Chu Văn Phúc B20DCAT140   Vũ Quốc Hoàng B20DCAT072   Đinh Quang Huy B20DCAT076   Đặng Quang Tú B20DCAT164 Hà Nội 11/2023 Mục Lục I Tổng quan phân tích mã độc: .2 Định nghĩa: .2 Vai trò, chức mục đích việc phân tích mã độc: .2 Phân loại: a Phân tích tĩnh(static analysis): b Phân tích động(dynamic analysis): Các phương pháp phát mã độc: Các phương pháp phòng chống mã độc: .4 II Kỹ thuật phân tích động: Tổng quan: .5 Vai trò tầm quan trọng: Ưu, nhược điểm: Quy trình phân tích động: Một số cơng cụ phân tích động bản: .8 III Cuckoo Sandbox: Khái niệm: Kiến trúc: 10 Cách Cuckoo Sandbox phát mã độc: 11 Các bước phân tích mã độc sử dụng Cuckoo Sandbox: 11 Kết phân tích: .12 IV Demo: 14 V Kết luận: 23 I Tổng quan phân tích mã độc: Định nghĩa: Malware hay gọi mã độc tên gọi chung cho phần mềm thiết kế, lập trình đặc biệt để gây hại cho máy tính làm gián đoạn mơi trường hoạt động mạng Mã độc thâm nhập vào hệ thống máy tính mà khơng có đồng ý nạn nhân Mã độc hại định nghĩa chương trình(program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống hay máy tính cá nhân Phân tích mã độc việc nghiên cứu hành vi mã độc Mục tiêu phân tích mã độc hiểu thực hoạt động mã độc cách phát loại bỏ Vai trị, chức mục đích việc phân tích mã độc: Phát xác định mã độc: Phân tích mã độc đóng vai trò quan trọng việc  phát xác định loại phần mềm độc hại virus, trojan, ransomware, spyware worm Nó giúp nhận biết mẫu mã độc xác định cách thức hoạt động chúng Hiểu phân tích hành vi mã độc: Phân tích mã độc giúp hiểu cách mã độc thực hoạt động độc hại gửi thông tin từ xa, công DDoS, lấy cắp thông tin người dùng hoạt động khơng mong muốn khác Nó giúp xác định đặc điểm kỹ thuật phương pháp công mã độc Phát triển biện pháp ngăn chặn bảo vệ: Phân tích mã độc cung cấp thông tin cần thiết để phát triển biện pháp ngăn chặn bảo vệ hệ thống khỏi cơng  Nó hỗ trợ phát triển chữ ký quy tắc phát hiện, xây dựng tường lửa, phần mềm chống vi-rút giải pháp bảo mật khác Loại bỏ mã độc phục hồi hệ thống: Phân tích mã độc cung cấp sở để loại bỏ mã độc cách an toàn phục hồi liệu bị ảnh hưởng Nó giúp xác định vùng bị nhiễm tệp tin bị tác động để tiến hành q trình loại bỏ khơi  phục Cung cấp thơng tin cho giám sát phịng ngừa: Phân tích mã độc cung cấp thơng tin hữu ích cho việc giám sát phịng ngừa cơng mạng Nó giúp nhận diện mẫu mã độc cung cấp thông tin mối đe dọa tiềm Mục đích phân tích mã độc phát hiện, hiểu đối phó với mã độc,  bảo vệ hệ thống liệu khỏi công, đảm bảo an ninh toàn diện cho mạng người dùng.(nhớ đọc) Phân loại: a Phân tích tĩnh(static analysis): o Phân tích mã nguồn file thực thi mã độc mà không cho mã độc hoạt động Thường thực máy tính an tồn khơng kết nối mạng           Cho phép khám phá cấu trúc chức bên mã độc Phát công cụ kỹ thuật sử dụng o Ưu điểm: An toàn hơn, dễ thực o  Nhược điểm: Khó nắm bắt hành vi thực tế mã độc Phải có kĩ mã độc, khó thu hành vi, dấu hiệu nễu mã độc sử dụng kĩ thuật mã hóa o Phân tích tĩnh bản: tìm cách hiểu mã độc cách phân tích file, cấu trúc file, chức sử dụng mã độc o Phân tích tĩnh nâng cao: phân tích sâu tìm cách hiểu mã độc dựa dịch ngược (disassembled) b Phân tích động(dynamic analysis): o Phân tích mã độc cách cho mã độc thực thi giám sát phân tích hoạt động Thường thực mơi trường lập để đảm bảo an toàn Cho phép nghiên cứu hành vi mã độc máy chủ, tương tác với mạng hệ thống Có thể phát số mạng máy chủ liên quan đến mã độc o Ưu điểm: Hiểu hành vi tác động mã độc, không cần hiểu biết o  Nhược điểm: Cần mơi trường lập nguy hiểm Cấu hình cài đặt  phức tạp, tốn tài nguyên, khó thu hành vi mã độcnếu mã độc ở  chế độ ngủ đơng chế độ ảo hóa o Phân tích động bản: Chạy mã độc mơi trường lập có trang bị sẵn cơng cụ giám sát khác cố gắng hiểu mã độc làm dựa đầu cơng cụ o Phân tích động nâng cao: phân tích khơng đem lại kết muốn tìm hiểu kỹ cần thực phân tích nâng cao mã đ cách sử dụng gỡ lỗi (debuger) Bằng cách này, chuyên gia có nhiều quyền kiểm soát cách mã độc thực thi Trên thực tế chuyên gia thường kết hợp phân tích tĩnh phân tích động để đem lại hiệu cao Được gọi phân tích lai (hybrid malware analysis) Cơng cụ phân tích mã độc tập hợp phương pháp, quy trình thuật tốn để  phân tích mã độc Trong thực tế, cơng cụ phương pháp sử dụng áp dụng rời rạc đồng Thông thường cơng cụ phân tích mã độc cơng cụ dạng phần mềm Các phương pháp phát mã độc: Mã độc có nhiều hình thái khác để phát mã độc tồn máy tính, hệ thống mạng việc khơng dễ dàng Đối với người dùng thông thường họ thường nhận biết khả máy tính bị nhiễm mã độc thông qua số dấu hiệu như:  Khóa, khơng cho chạy chương trình hệ thống (cmd, regedit, tasl manager, gpedit, run, ) o Khi chạy chương trình thường thơng báo lỗi, chạy file *.exe, *.com, bị thay chương trình khác o Máy tính chạy chậm bất thường, chậm kết nối mạng o  Nhận thấy có tiến trình chạy tốn nhiều tài ngun hệ thống, tốn RAM, CPU chưa tìm o Ẩn file, thư mục , tạo thư mục lạ, biểu tượng lạ o Thay đổi địa IP không vào mạng o  Ngồi có nhiều dấu hiệu khác cho thấy máy tính bị nhiễm mã độc Tuy nhiên dấu hiệu kết xung đột phần mềm chạy máy tính, phần cứng phần mềm khơng tương thích Bên cạnh đó, người dùng khó tìm vị trí xác mã độc nằm đâu máy tính, hệ thống mạng Để xác định vị trí phát thực mã độc nằm đâu người dùng sử dụng số phần mềm phát phòng chống mã độc Các phương pháp phát mã độc: o Phương pháp phát dựa vào chuỗi nhận dạng: Hoạt động theo nguyên lý nhận dạng mẫu, AV sử dụng CSDL chứa mẫu virus (ID virus library) Mỗi có virus mới, chuyên gia anti-virus giải mã, trích chọn cập nhật chuỗi nhận dạng virus vào thư viện Thông tin đối tượng chuẩn đốn (ghi nhận từ hệ thống đích) với thông tin virus (trong thư viện mẫu) cho kết luận tình trạng đối tượng o Phương pháp phát dựa hành vi: khác với việc phát dựa vào  bề ngoài, cấu trúc tệp tin có sẵn xác định hành động thực mã độc việc xá định cấu trúc nhị phân chương trình Các chương trình khơng giống với cú pháp hay cấu trúc có hành vi giống với hành vi xác định trước xác định mã độc hay không o Phát vius dựa vào ý đinh: lưu giữ hình ảnh chi tiết máy tính tình trạng sạch, sau tiếp tục theo dõi trạng thái hệ thống Những thay đổi quan trọng tập tin, cấu hình hệ thống hay HĐH cảnh báo mối hiểm họa tiềm tàng Khi thay đổi đánh giá nguy hiểm, hệ thống khơi phục máy tình trạng ban đầu Mặc dù đơn giản tiếp cận tỏ hiệu bảo vệ máy tính khỏi mối đe dọa chưa biết đến, kể virus máy tính Các phương pháp phịng chống mã độc: Hiện việc phòng chống mã độc yêu cầu chung người sử dụng máy tính hệ thống mạng Hiện người dùng thường sử dụng phần mềm diệt o     mã độc, nhiên mã độc xuất theo giờ, ngày hầu hết chương trình diệt mã độc khơng cập nhật kịp mẫu phù hợp Vì bên cạnh giải pháp sử dụng phần mềm diệt mã độc cách người dùng cần  phải có sách sử dụng máy tính phù hợp sau: o Sử dụng phần mềm diệt mã độc, cập nhật thường xuyên o Quét virus định kỳ o Luôn quét USB, ổ cứng gắn ngồi cắm vào máy tính o Duyệt web an tồn, thiết lập bảo mật cho trình duyệt, tránh click link  quảng cáo bất thường o Quét file tải từ Internet o Khơng kích vào link hay tệp đính kèm email chưa chắn độ an toàn chúng o Tải cài đặt phần mềm từ website tin cậy o Sử dụng Sandbox, máy ảo, trang kiểm tra trực tuyến để kiểm thử chương trình khơng chắn tính an tồn o Vận dụng kinh nghiệm sử dụng máy tính  Phát hoạt động khác thường máy tính  Kiểm sốt ứng dụng hoạt động  Loại bỏ số tính HĐH tạo điều kiện lây nhiễm cho virus o Cập nhật vá lỗi hệ điều hành o Bảo vệ liệu máy tính  Sao lưu liệu theo chu kỳ  Tạo liệu phục hồi cho toàn hệ thống II Kỹ thuật phân tích động: Tổng quan: Phân tích động (phân tích hành vi) liên quan đến việc phân tích mẫu cách thực thi môi trường cô lập theo dõi hành vi (hoạt động, tương tác tác động lên hệ thống), thường thực sau phân tích tĩnh Đặc điểm phân tích động: o Theo dõi chức năng, hoạt động thật mã độc o Thường thực sau phân tích tĩnh o Một cách hiệu để xác định chức phần mềm độc hại o Cung cấp thơng tin q giá o Hữu ích không tiết lộ tất chức o Cài đặt trường lab cách biệt Vai trò tầm quan trọng:   Phân tích động đóng vai trị quan trọng phân tích mã độc (malware analysis)  bởi cung cấp thơng tin quan trọng hành vi thực tế mã độc chạy môi trường thực tế Dưới số vai trị tầm quan trọng phân tích động phân tích mã độc: o Phát mối đe dọa: Phân tích động giúp phát hoạt động đáng ngờ bất thường mã độc Nó cung cấp thông tin hành vi mà mã độc thực trình thực thi, kết nối mạng, thay đổi file hệ thống, thu thập thông tin, vv o Hiểu rõ tác động mã độc: Bằng cách quan sát hành vi mã độc mơi trường thực tế, người phân tích hiểu rõ cách mà ảnh hưởng đến hệ thống liệu o Xác định chế tự vệ ngăn chặn: Phân tích động cho phép người  phân tích xác định chế mà mã độc sử dụng để tự bảo vệ ngăn chặn hoạt động phân tích o Phân tích chữ ký đặc điểm nhận diện: Các hành vi cụ thể mã độc q trình thực thi sử dụng để tạo chữ ký đặc điểm nhận diện, giúp nhận diện biến thể phiên tương tự mã độc tương lai o Phát triển biện pháp bảo vệ: Phân tích động cung cấp thông tin cần thiết để  phát triển biện pháp bảo vệ phòng ngừa khỏi mối đe dọa tương tự tương lai o  Nghiên cứu malware mối đe dọa mới: Dynamic Analysis đóng vai trò quan trọng việc nghiên cứu phát triển giải pháp chống malware mới, đặc biệt người phân tích tiếp cận loại malware chưa gặp trước Ưu, nhược điểm: Ưu điểm: o Không yêu cầu kĩ năng: người phân tích động khơng cần có kỹ cao phân tích mã độc hiểu hành vi tác động mã độc cách dễ dàng o Cung cấp thông tin hành vi thực mã độc: cho phép quan sát hàng vi malware thực chạy hệ thông Điều giúp hiểu rõ cách hoạt động mục tiêu malware o Phát kỹ thuật công tiên tiến: cho phép phát kỹ thuật công tiên tiến mà malware sử dụng để vượt qua biện  pháp bảo vệ truyền thống o Phân tích tương tác mạng: Theo dõi kết nối mạng giao tiếp malware giúp xác định máy chủ mục tiêu, cổng kết nối liệu truyền tải   o o Vượt qua số kĩ thuật gây rối mã độc (kiểm tra chống phân tích, rối mã nguồn, liên kết động, mã hóa/giải mã, sửa đổi hành vi động, ngăn chặn cơng cụ phân tích…)  Nhận diện giảm thiểu hậu cơng: cho phép ngăn chặn kiểm sốt công, giảm thiếu thiệt hại gây malware  Nhược điểm: o Cần mơi trường lập, cấu hình cài đặt cơng cụ phân tích phức tạp o Tốn tài nguyên hệ thống trình theo dõi hành vi mã độc o Có thể khơng thể thu thập đầy đủ thông tin chi tiết hoạt động malware mơi trường kiểm sốt o Phân tích động tập trung vào việc thực thi malware, khơng thể xem xét phân tích phần không thực thi mã độc o Một số trường hợp thu thập hành vi mã độc mã độc sử dụng số chức như: ngủ đơng, chống ảo hóa… Quy trình phân tích động:  Reverting to the clean snapshot (quay trở lại snapshot sạch) o Mục tiêu: Đảm bảo mơi trường phân tích trạng thái ban đầu, không bị ảnh hưởng tác động mã độc trước o Thực hiện: Tạo snapshot trước thực phân tích mã độc Bản snapshot chứa trạng thái môi trường (hệ điều hành, ứng dụng, tệp tin, v.v.) Trước phân tích mới, phục hồi lại môi trường  bản snapshot Điều đảm bảo khơng có tác động từ mã độc trước cịn tồn o Cuckoo sử dụng cơng cụ mơi trường ảo hóa VirtualBox để quay lại trạng thái Running the dynamic analysis tools (chạy cơng cụ phân tích động) o Mục tiêu: Ghi lại hoạt động mã độc q trình thực thi để phân tích o Cuckoo sandbox triển khai loạt công cụ giám sát Procmon (theo dõi tiến trình), Wireshark (theo dõi gói tin mạng), Regshot (theo dõi thay đổi registry), công cụ khác Các công cụ cung cấp liệu liên quan đến tác động mã độc lên hệ thống mạng Executing the malware specimen (Thực thi mẫu mã độc) o Mục tiêu: Chạy mẫu mã độc môi trường cô lập để quan sát hành vi tác động o Cuckoo chạy mẫu mã độc môi trường giả lập máy ảo win7 Mã độc thực thi tác động lên mơi trường win7 Có thể quan sát trực tiếp hành vi mã độc giúp hiểu rõ cách thức hoạt động mã độc Stopping the monitoring tools (Dừng công cụ giám sát) o Mục tiêu: Ngưng việc ghi lại liệu sau mã độc kết thúc thực thi Điều ngăn chặn việc tiếp tục ghi lại liệu ko cần thiết o Sau mã độc kết thúc thực thi, cuckoo tắt công cụ giám sát Điều ngăn chặn việc tiếp tục ghi lại liệu ko cần thiết tiến hành phân tích kết thời điểm cụ thể Analyzing the results (Phân tích kết quả) o Mục tiêu: Đánh giá liệu kết từ trình phân tích để hiểu cách thức hoạt động mã độc tác động lên hệ thống o Cuckoo thu thập liệu từ công cụ giám sát Từ để xem xét hành vi khơng bình thường đáng nghi ngờ (tạo tệp tin thư mục mới, ghi vào registry, kết nối đến máy chủ từ xa,…)  phát triển biện  pháp bảo vệ giải pháp ngăn chặn phù hợp Một số cơng cụ phân tích động bản: Process monitoring - giám sát tiến trình o Giám sát hoạt động tiến trình       Kiểm tra thuộc tính có từ kết tiến trình thực thi mã độc o Các công cụ: Process Hacker, Process Monitor, Process Explorer File system monitoring - giám sát hệ thống tệp: o Giám sát theo thời gian thực hoạt động hệ thống thực thi mã độc o Các công cụ: Process Monitor, Noriben Registry monitoring – giám sát registry: o Giám sát khóa registry truy cập, chỉnh sửa liệu registry đọc/ghi tệp nhị phân độc hại o Các công cụ: Regshot, Process Monitor  Network monitoring – giám sát mạng: o Giám sát lưu lượng truy cập thời gian thực đến từ hệ thống trình thực thi mã độc o Các công cụ: Wireshark, INETsim, Netcat, ApateDNS, Fakenet-NG III Cuckoo Sandbox: Khái niệm: Cuckoo Sandbox tảng phân tích động mã độc mã nguồn mở thiết kế để phân tích xác định mẫu độc hại Nó cung cấp mơi trường an tồn để chạy tệp tin chương trình độc hại mơi trường cách ly, từ thu thập thơng tin hành vi tác động chúng lên hệ thống Kiến trúc cuckoo theo mơ hình máy ảo thật bao gồm host guest o Máy host máy cài chương trình ảo hóa virtualbox hay vmware o Máy guest máy tính cài hệ điều hành dành cho việc thực thi malware Có thể máy ảo máy vật lý  Nó sử dụng để tự động chạy phân tích tệp thu thập kết phân tích tồn diện để phác thảo phần mềm độc hại thực chạy bên hệ điều hành bị lập Ngồi Cuckoo cịn trích xuất thơng tin mã độc vơ hữu ích như: o Các tệp phần mềm độc hại tạo ra, cài đặt hay tải xuống trình thực thi o Bộ nhớ mà phần mềm độc hại sử dụng o Theo dõi lưu lượng mạng định dạng Pcap o Thơng tin chi tiết q trình thực thi phần mềm Cuckoo thiết kế để sử dụng chạy ứng dụng mơi trường độc lập tích hợp vào framework lớn nhờ vào thiết kế module linh hoạt o        Chính nhờ linh hoạt mà cuckoo phân tích nhiều định dạng loại file khác : o Generic Windows executables o DLL files o PDF documents o Microsoft Office documents o URLs and HTML files o PHP scripts o CPL files o Visual Basic (VB) scripts o ZIP files o Java JAR  o Python files Kiến trúc: Cuckoo Core: o Chức chính: Quản lý tồn q trình phân tích Điều bao gồm việc giao tiếp với analyzer, định nên chọn máy ảo để chạy mẫu mã độc, tạo yêu cầu machinery (quản lý máy ảo), thu thập kết phân tích o Mơ-đun định: Đưa định quan trọng việc chọn mơi trường phân tích nào, theo dõi hành vi mẫu mã độc, quản lý quy trình phân tích tổng thể Analyzer: o Mơi trường Cơ lập: Cung cấp không gian cô lập cho việc chạy mã độc, giúp ngăn chặn ảnh hưởng đến hệ thống host o Ổ đĩa ảo (Virtual Disk): Sử dụng để lưu trữ ảnh trạng thái máy ảo, giúp theo dõi thay đổi hệ thống file registry Collector: Thu thập liệu: Tập trung liệu quan trọng từ môi trường máy ảo sau q trình phân tích kết thúc Các liệu bao gồm thơng tin file, registry, gói tin mạng, thông tin khác Processor: Xử lý liệu: Tiếp nhận liệu từ Collector chuyển đổi thành  báo cáo dễ đọc dễ hiểu Web Interface: Giao diện người dùng: Cung cấp giao diện web đẹp mắt dễ sử dụng để tương tác với Cuckoo Sandbox Cho phép người dùng gửi mẫu mã độc, xem kết phân tích, quản lý tác vụ Reporting: Tạo báo cáo: Tạo báo cáo chi tiết kết phân tích, bao gồm hành vi độc hại thông tin cần thiết khác        10      Signatures: Kiểm tra chữ ký: Sử dụng quy tắc chữ ký để phát hành vi độc hại Cung cấp cách để tự động xác định mơ hình hành vi độc hại Machinery: Quản lý VMs Containers: Được sử dụng để quản lý máy ảo containers, bao gồm trình khởi động, tắt máy ảo, v.v Database: Lưu trữ liệu: Lưu trữ liệu thu thập từ mẫu mã độc để xem lại tham khảo tương lai Integrations (Tích hợp): YARA, Suricata, v.v.: Tích hợp với cơng cụ bên để cung cấp khả phát phân tích mạnh mẽ Extensions (Mở rộng): Plugins: Cung cấp chế mở rộng linh hoạt, cho phép người dùng thêm plugin mở rộng khả tảng Cách Cuckoo Sandbox phát mã độc: Process Monitoring (Quan Sát Tiến Trình): Cuckoo theo dõi việc tạo tương tác tiến trình mẫu malware Nó ghi lại hành động tạo tiến trình, kết thúc tiến trình, thay đổi liên quan File System Activity (Hoạt Động Hệ Thống Tệp): Cuckoo ghi lại tất thay đổi hệ thống tệp từ việc tạo, sửa đổi, đổi tên, xóa tệp Điều giúp xác định tệp tạo tệp hệ thống quan trọng bị sửa đổi Registry Activity (Hoạt Động Registry): Cuckoo theo dõi thay đổi Registry trình thực thi Sự thay đổi Registry dấu hiệu malware cố gắng tự chạy hệ thống khởi động  Network Traffic Analysis (Phân Tích Lưu Lượng Mạng): ): Ghi lại tất kết nối mạng tạo tập tin độc hại Điều giúp xác định liệu tập tin độc hại có liên lạc với máy chủ độc hại khác hay không API Hooking (Kỹ Thuật Hook API): Cuckoo sử dụng kỹ thuật hook vào gọi API Windows để theo dõi hành vi mẫu malware Những gọi API không bình thường động đáng ngờ ghi lại Behavioral Heuristics (Tiêu Chuẩn Hành Vi): Cuckoo Sandbox có số tiêu chuẩn hành vi mặc định tích hợp để phát hành vi đáng ngờ Ví dụ, theo dõi hành vi mở cổng sau tiến trình bắt đầu thực thi hành vi tạo số lượng lớn tiến trình Signature-Based Detection (Phát Hiện Dựa Trên Ký Hiệu): Cuckoo Sandbox có cơ  sở liệu chứa ký hiệu mẫu hành vi malware biết Nó so sánh hành vi mẫu phân tích với sở liệu để xác định liệu có khớp tương tự không Reporting (Báo Cáo): Sau hồn tất q trình phân tích, Cuckoo Sandbox tạo  báo cáo chi tiết hành vi mẫu malware, bao gồm thông tin hành động khơng bình thường độc hại Báo cáo giúp người dùng hiểu rõ tiềm mẫu malware         11 Các bước phân tích mã độc sử dụng Cuckoo Sandbox: Bước 1: Thực thi module "Cuckoo Agent": o Cuckoo Agent lắng nghe kết nối từ máy chủ o Khi có kết nối từ máy chủ, Cuckoo Agent chấp nhận kết nối nhận mẫu mã độc cần phân tích với thơng tin cấu hình u cầu o Cuckoo Agent chạy module Analyzer để tiếp tục trình phân tích Bước 2: Module Analyzer kích hoạt: o Analyzer khởi tạo số chức bản, bao gồm mở kênh IDC (inter-process communication) dump cấu hình tiến trình o Analyzer chạy gói phân tích đặc biệt liên quan đến ứng dụng mà mã độc sử dụng (ví dụ: PDF, DOC, DLL, EXE) Các gói quản lý module "Analysis packages" o Analyzer chèn thư viện CuckooMon từ module "Analysis packages" Bộ thư viện CuckooMon thành phần quan trọng module "Analysis  packages" chứa ghi hành động tiến trình mơi trường ảo hóa Đây thành phần đo đạc quan trọng Cuckoo Sandbox để xác định hành vi mã độc thông qua kỹ thuật Hooks inline Bước 3: Thực thi mã độc: o CuckooMon chèn thực thi thông qua hàm khởi tạo APC (Adenomatous Polyposis Coli) o Analyzer khởi tạo chạy Hooks API có liên quan đến mã độc thông báo cho module "Analyzer" thông qua giao thức Named Pipe o Mã độc bắt đầu thực thi Trong trình mã độc thực thi, CuckooMon ghi lại hành động gửi máy chủ thông qua giao thức TCP/IP với địa IP cổng khởi tạo ban đầu Các thông tin xử lý module "Processing" sau đưa vào module "Signature" để so sánh phát hành vi đáng nghi ngờ độc hại Cuối cùng, module "Reporting" tạo báo cáo kết phân tích Kết phân tích: Thơng tin q trình: o ID mẫu: Mỗi mẫu có ID riêng để dễ dàng xác định o Thời gian bắt đầu kết thúc phân tích: Để biết thời gian cụ thể mà mẫu mã độc chạy Phiên hệ điều hành: Cuckoo ghi lại phiên hệ điều hành sử dụng môi trường lập Danh sách tiến trình: Cuckoo ghi lại danh sách tiến trình khởi chạy chạy q trình phân tích Danh sách tệp tin thư mục: Cuckoo ghi lại danh sách tệp tin thư mục tạo, sửa đổi xóa q trình phân tích        12       Danh sách khóa giá trị Registry: Cuckoo ghi lại danh sách khóa giá trị Registry sửa đổi tạo q trình phân tích Thơng tin mạng: o Gói tin mạng: Ghi lại gói tin mạng gửi nhận q trình  phân tích o Cổng kết nối: Thơng tin cổng mà mẫu mã độc cố gắng kết nối đến Hành vi tiến trình: Ghi lại hành vi cụ thể tiến trình, bao gồm chức hệ thống gọi hệ thống quan trọng Phát tính độc hại: Sử dụng quy tắc chữ ký để xác định mơ hình hành vi độc hại Tạo báo cáo phân tích chi tiết: Cung cấp thơng tin trình bày cách dễ hiểu hành vi mẫu mã độc Phát từ mã độc sau phân tích: Kết từ Cuckoo Sandbox sau phân tích mẫu mã độc giúp bạn phát hiểu rõ nhiều khía cạnh mã độc: o Mục Đích Mã Độc: Ví dụ: Ransomware mã hóa liệu bạn yêu cầu tiền chuộc, trojan cài đặt cửa hậu, adware hiển thị quảng cáo không mong muốn, vv o Hành Vi Tác Động lên Hệ Thống:  Các tệp tạo, chỉnh sửa, xóa  Thay đổi registry  Các trình khởi tạo kết thúc o Tương Tác Mạng:  Địa IP tên miền mà mã độc liên lạc  Các liệu gửi nhận từ mạng  Việc xác định máy chủ Command & Control (C2) mà mã độc liên lạc để nhận lệnh gửi liệu o Kỹ Thuật Ẩn Tránh: Các kỹ thuật mà mã độc sử dụng để tránh bị phát packers, obfuscation, rootkits o Khả Năng Tự Lây Lan: Mã độc có khả cơng máy tính khác mạng nội hay không o Dấu Vết Chữ Ký Mã Độc: Cuckoo so sánh hành vi đặc điểm mã độc với sở liệu chữ ký để xác định dấu vết đặc trưng o Thông Tin Cần Thiết cho Khắc Phục:  Các file hay registry keys cần phải xóa  Cách để giải mã liệu (trong trường hợp ransomware) o Thông Báo Cảnh Báo: Thông báo yêu cầu trả tiền chuộc hình thức thơng báo từ mã độc 13 IV   Demo: Thực phân tích độc mã độc CryptoLocker 2014: Sau upload mã độc Cuckoo Sandbox, Cuckoo tiến hành phân tích, chạy máy ảo win7 cuckoo trả kết phân tích chạy mã độc: o Phân tích thơng tin tên tệp, kích thước tệp, hàm băm o Đánh giá mức độ nguy hiểm mã độc thang điểm 10 14 o Ghi lại log trình thực thi mã độc Ở log cung cấp chi tiết bước kiện diễn tra q trình phân tích 15 16 o Thơng tin chữ ký mã độc phát hiện, chữ ký liên quan đến hành vi mã độc Ở phát kiện nguy hiểm tự cài đặt autorun khởi chạy Windows 17 o Phân tích hành vi:  Ghi lại hoạt động tiến trình tiến trình mã độc thực thi   Giao tiếp mạng: Địa IP, cổng giao thức mà mã độc tương tác APIs: liệt kê API hệ thống arguments tương ứng mã mã độc sử dụng 18 o Phân tích mạng:  Dữ liệu lưu lượng mạng ghi lại trình thực thi 19  o Địa IP: liệt kê địa IP mà mã độc kết nối Danh sách tệp tin tạo mã độc Có thể xem thơng tin tải để phân tích kỹ 20 o  Nội dung nhớ tiến trình ghi lại để phân tích chi tiết 21   Ngồi chức phân tích động Cuckoo Sandbox cịn số chức sau: o Phân tích tĩnh: Chi tiết thuộc tính tĩnh PE có nhiều ý nghĩa section headers, PE complie time, Strings, import, export, resesources,… 22 V      Kết luận: Phân tích mã độc dựa phân tích động, đặc biệt sử dụng cơng cụ Cuckoo Sandbox, đóng vai trị quan trọng việc tiếp cận nghiên cứu  phần mềm độc hại Việc sử dụng Cuckoo Sandbox q trình phân tích mã độc mở cửa sổ toàn diện vào hành vi mục tiêu malware Cuckoo cung cấp mơi trường kiểm sốt, cho phép malware hoạt động môi trường thực tế mà không gây nguy hại cho hệ thống Điều giúp nắm vững thông tin quan trọng cách hoạt động, kết nối mạng, hành vi động mã độc Cuckoo Sandbox giúp phát kỹ thuật gây rối phòng ngừa malware Dựa quan sát môi trường kiểm sốt, ta xác định thay đổi hành vi tương tác với hệ thống cách chi tiết Điều cho phép ta phát triển biện pháp phòng ngừa phát tương ứng Tuy nhiên, việc sử dụng Cuckoo Sandbox đòi hỏi tâm kiến thức cách cấu hình sử dụng công cụ Không vậy, số malware phát mơi trường kiểm sốt thay đổi hành vi chúng, tạo thách thức cho q trình phân tích Việc sử dụng Cuckoo Sandbox phân tích mã độc mở cánh cửa quan trọng đến việc nghiên cứu đối mặt với mối đe dọa độc hại Kết hợp với kỹ thuật cơng cụ phân tích khác, Cuckoo Sandbox đóng góp vào việc bảo vệ hệ thống liệu khỏi công malware tiềm ẩn 23