HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN Mơn: Phân tích mã độc Bài tập lớp Họ tên SV: Nguyễn Hoàng Tuấn Anh Mã số sinh viên: B20DCAT007 Họ tên GV: Đinh Trường Duy Bài tập lớp A.Các loại mã độc Mã độc back doors 1.1 Nguồn gốc Mã độc backdoor (hay cịn gọi backdoor malware) có nguồn gốc từ lĩnh vực bảo mật công nghệ thông tin Ban đầu, backdoor phát triển cho mục đích hợp pháp, cho phép quản trị hệ thống từ xa để thực bảo trì sửa chữa hệ thống mà không cần phải trực tiếp máy tính Tuy nhiên, sau đó, tội phạm mạng hacker bắt đầu tạo phiên độc hại backdoor để xâm nhập trái phép vào máy tính hệ thống mục tiêu 1.2 Chức Mở lối vào ẩn: Mã độc backdoor tạo cửa sau, lối vào ẩn vào máy tính hệ thống mục tiêu mà không cần cho phép người sử dụng Điều cho phép kẻ công truy cập kiểm sốt máy tính từ xa mà khơng phát Kiểm sốt từ xa: Khi cài đặt, mã độc backdoor cho phép kẻ cơng kiểm sốt máy tính mục tiêu từ xa Họ thực hành động, xem lấy liệu, thay đổi cài đặt hệ thống, cài đặt phần mềm độc hại khác, chí xâm nhập sâu vào hệ thống Thu thập liệu: Mã độc backdoor thường sử dụng để thu thập liệu từ máy tính mục tiêu, bao gồm thông tin cá nhân, tài khoản, lịch sử duyệt web, nhiều loại liệu quan trọng khác Gieo rắc mã độc khác: Mã độc backdoor sử dụng để gieo rắc loại mã độc khác vào máy tính mục tiêu, làm cho tình trạng bảo mật trở nên tồi tệ 1.3 Cách hoạt động Xâm nhập: Mã độc backdoor thường xâm nhập vào máy tính hệ thống mục tiêu thơng qua lỗ hổng bảo mật, email độc hại, tải xuống tập tin từ nguồn không tin cậy phương pháp tương tự Cài đặt: Khi xâm nhập thành công, mã độc backdoor cài đặt máy tính mục tiêu Liên lạc với máy chủ điều khiển: Mã độc backdoor thường liên lạc với máy chủ điều khiển kẻ công qua internet để lấy lệnh tải công cụ tập tin bổ sung Thực hành động độc hại: Mã độc backdoor thực hành động mục tiêu mà kẻ công muốn thực hiện, chẳng hạn thu thập liệu kiểm sốt máy tính từ xa Mã độc logic bomb 2.1 Nguồn gốc Mã độc Logic bomb loại mã độc hại thiết kế để thực hành động hại máy tính hệ thống thời điểm cụ thể điều kiện cụ thể Logic bomb thường cài đặt trước người hoạt động điều kiện xác định đáp ứng Mã độc Logic bomb có nguồn gốc từ lĩnh vực lập trình bảo mật Ban đầu, logic bomb phát triển với mục đích thử nghiệm đảm bảo tính tồn vẹn phần mềm Tuy nhiên, tội phạm mạng hacker bắt đầu sử dụng chúng để gây hại cho máy tính hệ thống mục tiêu 2.2 Chức *Chức mã độc Logic bomb thực loạt hành động độc hại phá hoại thời điểm cụ thể điều kiện cụ thể Điều bao gồm: -Xóa biến đổi liệu quan trọng máy tính -Tắt phá hoại hệ thống máy tính mạng -Kích hoạt thay đổi cài đặt khác máy tính mục tiêu 2.3 Cách hoạt động -Cài đặt ban đầu: Người tạo mã độc Logic bomb cài đặt máy tính mục tiêu phần mềm cụ thể -Điều kiện hoạt động: Mã độc Logic bomb thiết lập để hoạt động điều kiện cụ thể, chẳng hạn ngày cụ thể, kiện cụ thể xảy ra, kiện định -Thực hành động độc hại: Khi điều kiện đáp ứng, Logic bomb thực hành động độc hại cài đặt trước Điều gây thiệt hại đáng kể cho máy tính liệu người dùng Mã độc Trojan horses 3.1.Nguồn gốc Mã độc Trojan horses, thường gọi Trojan mã độc ngựa chiến, loại phần mềm độc hại giấu vẻ ngoại trang phần mềm tập tin không độc hại Tên "Trojan horse" lấy từ câu chuyện chiến tranh La Mã việc tặng ngựa độc hại cho người Dardanian (Troy) để chiếm thành tư lệnh bên ngựa Trong lĩnh vực công nghệ thông tin, nguyên tắc tương tự áp dụng Mã độc Trojan horses thường tạo sử dụng hacker tội phạm mạng để cơng máy tính hệ thống mục tiêu 3.2.Chức *Chức mã độc Trojan horses tạo cửa sau lối vào bí mật vào máy tính hệ thống mục tiêu thơng qua việc lừa dối người dùng Mã độc Trojan thường tạo để thực hành động sau: -Thu thập thơng tin: Trojan thu thập thơng tin cá nhân, liệu tài khoản thông tin quan trọng từ máy tính mục tiêu -Cài đặt mã độc khác: Trojan mở cửa cho loại mã độc khác cài đặt máy tính mục tiêu -Kết nối với máy chủ điều khiển: Mã độc Trojan thường liên lạc với máy chủ điều khiển kẻ công qua internet để lấy lệnh tải công cụ tập tin bổ sung -Tạo lối vào từ xa: Khi cài đặt, Trojan cho phép kẻ cơng kiểm sốt máy tính mục tiêu từ xa thực hành động độc hại khác 3.3 Cách hoạt động -Lừa dối người dùng: Mã độc Trojan che giấu vẻ ngoại trang phần mềm tập tin không độc hại Người dùng họ cài đặt mã độc họ tải xuống chạy tập tin -Cài đặt máy tính mục tiêu: Mã độc Trojan cài đặt máy tính mục tiêu người dùng chạy tập tin phần mềm bị nhiễm mã độc -Thực hành động độc hại: Khi cài đặt, mã độc Trojan thực hành động độc hại mà người tạo cài đặt trước đó, chẳng hạn thu thập liệu, lấy quyền kiểm sốt từ xa, tạo lối vào bí mật Mã độc Adware Spyware 4.1 Nguồn gốc Adware Spyware hai loại phần mềm độc hại thường sử dụng để theo dõi thu thập thông tin cá nhân người dùng hiển thị quảng cáo không mong muốn Adware (Phần mềm quảng cáo): Adware có nguồn gốc từ ngành quảng cáo trực tuyến Ban đầu, tạo với mục tiêu hiển thị quảng cáo máy tính người dùng để tạo doanh thu cho nhà quảng cáo Tuy nhiên, nhiều biến thể adware trở thành phiền toái có tính chất độc hại Spyware (Phần mềm theo dõi): Spyware có xuất phát từ nhu cầu theo dõi thu thập liệu từ máy tính người dùng Ban đầu, sử dụng cho mục đích theo dõi hành vi người dùng trực tuyến để quảng cáo cố định Tuy nhiên, nhiều biến thể spyware trở nên độc hại thu thập thông tin cá nhân người dùng mà họ 4.2 Chức *Adware: Document continues below Discover more Học viện Cơng from: nghệ Bưu chín… CCC1 Học viện Cơng ng… 63 documents Go to course Phân tích Kịch 11 Iron Man Học viện Công nghệ… None Gigabyte G27F UM 40 EN 0410 Học viện Công nghệ… None Phan Tich Thiet Ke 11 124 Học viện Công nghệ… Học viện Công nghệ… None DC3DT34 - Bài giảng -Cơ sở truyền số liệ… Học viện Công nghệ… None Bìa thi cuối kỳ none Học viện Cơng nghệ… None Dự đốn diễncủa biến -Hiển thị quảng cáo khơng mong muốn: Chức Moving adware hiển thị quảng cáo máy tínhphim người dùngep 10… mà không cần cho phép họ Học viện nghệ… -Tạo doanh thu: Adware tạo để tạoCông doanh thu cho nhà quảng cáo thông qua hiển thị quảng cáo tương tác người dùng với chúng *Spyware: -Theo dõi thu thập thông tin: Spyware theo dõi hành vi người dùng trực tuyến thu thập thông tin cá nhân lịch sử duyệt web, liệu đăng nhập, tài khoản ngân hàng, nhiều dạng thông tin quan trọng khác -Truyền thông tin máy chủ: Thông tin thu thập spyware thường gửi đến máy chủ điều khiển kẻ công 4.3 Cách hoạt động *Adware:Adware thường cài đặt phần phần mềm miễn phí ứng dụng tải xuống khác mà người dùng cài đặt -Sau cài đặt, adware theo dõi hành vi trực tuyến người dùng hiển thị quảng cáo khơng mong muốn trình duyệt máy tính *Spyware:Spyware thường cài đặt máy tính người dùng mà thông qua phương tiện phần mềm miễn phí, email độc hại lỗ hổng bảo mật -Sau cài đặt, spyware bắt đầu theo dõi hành vi trực tuyến người dùng thu thập thông tin cá nhân -Thông tin thu thập gửi đến máy chủ điều khiển kẻ cơng mà họ sử dụng cho mục đích độc hại None Mã độc Rootkit 5.1 Nguồn gốc -Mã độc Rootkit loại phần mềm độc hại thiết kế để ẩn ẩn hoạt động độc hại hệ thống máy tính mà xâm nhập Rootkit thường nhằm đến việc ẩn tồn hoạt động độc hại để tránh phát phần mềm chống mã độc người quản trị hệ thống -Mã độc Rootkit có nguồn gốc từ lĩnh vực bảo mật phát triển phần mềm Ban đầu, rootkit phát triển cho mục đích thử nghiệm để tạo công cụ quản lý hệ thống mạnh mẽ Tuy nhiên, tội phạm mạng hacker bắt đầu sử dụng chúng để ẩn hoạt động độc hại kiểm soát máy tính mục tiêu mà khơng bị phát 5.2 Chức -Ẩn hoạt động độc hại: Rootkit thiết kế để ẩn hoạt động độc hại máy tính mà xâm nhập, chẳng hạn virus, keyloggers backdoor -Ẩn tồn nó: Rootkit thường ẩn tồn hệ thống máy tính để tránh phát Điều bao gồm ẩn tệp tin, quy trình, dịch vụ liên quan đến rootkit -Bảo vệ truy cập khơng ủy nhiệm: Rootkit sử dụng để bảo vệ quyền truy cập vào máy tính mục tiêu ngăn người quản trị hệ thống từ việc loại bỏ 5.3.Cách hoạt động -Xâm nhập hệ thống: Rootkit thường xâm nhập vào hệ thống máy tính thơng qua lỗ hổng bảo mật, email độc hại tải xuống tập tin từ nguồn không tin cậy -Ẩn hoạt động độc hại: Rootkit cài đặt bắt đầu ẩn hoạt động độc hại máy tính mục tiêu Điều bao gồm ẩn tệp tin, quy trình dịch vụ liên quan đến rootkit -Ẩn tồn nó: Rootkit thường ẩn tồn hệ thống để tránh phát -Bảo vệ truy cập không ủy nhiệm: Rootkit sử dụng để bảo vệ quyền truy cập vào máy tính mục tiêu, ngăn người quản trị hệ thống phần mềm chống mã độc từ việc loại bỏ Mã độc Ransomware 6.1.Nguồn gốc -Mã độc Ransomware loại phần mềm độc hại thiết kế để mã hóa liệu máy tính người dùng yêu cầu khoản tiền chuộc để giải mã liệu -Mã độc Ransomware xuất phát từ lĩnh vực bảo mật phát triển phần mềm Ban đầu, tạo với mục đích thử nghiệm để tạo cơng cụ quản lý hệ thống mạnh mẽ Tuy nhiên, tội phạm mạng hacker bắt đầu sử dụng chúng để cơng máy tính cá nhân, doanh nghiệp tổ chức với mục tiêu lợi nhuận 6.2.Chức -Mã hóa liệu: Ransomware mã hóa liệu máy tính người dùng, biến thành liệu khơng đọc cách sử dụng mã hóa mạnh mẽ -Yêu cầu tiền chuộc: Sau liệu bị mã hóa, ransomware hiển thị thơng báo u cầu tiền chuộc hình máy tính người dùng Thơng báo thông báo số tiền mà họ phải trả để nhận khóa giải mã -Cung cấp khóa giải mã (nếu trả tiền): Nếu người dùng trả tiền chuộc, kẻ cơng cung cấp khóa giải mã cho họ để giải mã liệu truy cập lại 6.3 Cách hoạt động -Phát tán: Ransomware thường lây lan qua email độc hại, tệp tin tải xuống, lỗ hổng bảo mật hệ thống -Mã hóa liệu: Sau xâm nhập vào máy tính mục tiêu, ransomware bắt đầu mã hóa tệp thư mục quan trọng máy tính Người dùng khơng thể truy cập sử dụng liệu -Hiển thị thông báo chuộc: Ransomware hiển thị thông báo hình máy tính người dùng, thơng báo số tiền chuộc mà họ phải trả để nhận khóa giải mã -Trả tiền (hoặc khơng): Người dùng có lựa chọn trả tiền chuộc cho kẻ cơng để nhận khóa giải mã Tuy nhiên, khơng có đảm bảo kẻ công thực điều Trong nhiều trường hợp, người dùng trả tiền không nhận khóa giải mã khơng thể truy cập lại liệu Mã độc Viruses 7.1.Nguồn gốc -Mã độc Viruses (viết tắt "virus") loại phần mềm độc hại có khả tự nhân lây nhiễm máy tính khác thơng qua tệp tin thực thi -Mã độc Viruses xuất phát từ ngành khoa học máy tính lĩnh vực phát triển phần mềm Chúng tạo ban đầu để mô cách virus hoạt động giới thực Tuy nhiên, sau đó, hacker tội phạm mạng bắt đầu sử dụng chúng để cơng máy tính hệ thống mạng 7.2.Chức -Tự nhân bản: Virus có khả tự nhân cách gắn vào tệp tin thực thi phần mềm khác máy tính Điều giúp virus lây nhiễm lây truyền từ máy tính sang máy tính khác -Gây hại: Một virus lây nhiễm máy tính, thực hành động độc hại xóa biến đổi liệu, làm hỏng hệ thống, thực công từ chối dịch vụ (DoS), thực hành động khác mà người tạo virus lập trình -Lây truyền: Virus lây truyền sang máy tính khác qua tệp thực thi chương trình Điều dẫn đến lan rộng nhanh chóng virus mạng lưới máy tính 7.3.Cách hoạt động -Nhân bản: Mã độc Virus gắn vào tệp thực thi phần mềm thường làm cho chúng trở nên nhiễm virus -Lây nhiễm máy tính: Khi người dùng chạy tệp tin thực thi phần mềm nhiễm virus, virus lây nhiễm máy tính họ tiếp tục nhân lây truyền sang máy tính khác qua tệp thực thi khác -Thực hành động độc hại: Sau lây nhiễm, virus thường thực hành động độc hại lập trình người tạo nó, chẳng hạn xóa liệu, gây hỏng hệ thống làm ngừng hoạt động máy tính Mã độc Worms 8.1.Nguồn gốc -Mã độc Worms (hoặc Worm) loại phần mềm độc hại không cần tệp thực thi có khả tự nhân để lây truyền từ máy tính sang máy tính khác qua mạng -Mã độc Worms xuất phát từ lĩnh vực bảo mật mạng phát triển phần mềm Chúng tạo ban đầu để thử nghiệm nghiên cứu cách lây truyền liệu kiến thức qua mạng Tuy nhiên, sau đó, hacker tội phạm mạng bắt đầu sử dụng chúng để lây truyền mã độc cơng mạng lưới máy tính 8.2.Chức -Tự nhân bản: Worm có khả tự nhân cách tạo lây truyền sang máy tính khác mạng mà truy cập -Lây truyền qua mạng: Worm lây truyền từ máy tính sang máy tính khác thơng qua mạng, thường qua lỗ hổng bảo mật, email độc hại, phương tiện khác -Thực hành động độc hại: Sau lây truyền, worm thực hành động độc hại xóa liệu, gây hỏng hệ thống, thực công từ chối dịch vụ (DoS), thực hành động khác mà người tạo worm lập trình 8.3.Cách hoạt động -Nhân bản: Worm tạo lây truyền sang máy tính khác mạng Một số worm cố gắng lây truyền qua email qua kết nối mạng -Lây truyền qua mạng: Worm tìm kiếm máy tính mạng mà truy cập thơng qua lỗ hổng bảo mật phương tiện khác Sau đó, lây truyền sang máy tính cách tận dụng lỗ hổng bảo mật sử dụng tài khoản xâm nhập -Thực hành động độc hại: Sau lây truyền, worm thực hành động độc hại lập trình người tạo nó, chẳng hạn xóa liệu, gây hỏng hệ thống thực hành động khác 9 Mã độc Zombie/ Bot 9.1.Nguồn gốc -Mã độc Zombie/Bot (cịn gọi Botnet) khơng phải loại phần mềm độc hại cụ thể mà hệ thống mạng mạng botnet kiểm soát kẻ công -Mã độc Zombie/Bot xuất phát từ nhu cầu kiểm sốt tận dụng máy tính cá nhân thiết bị kết nối mạng mà không đồng thuận chủ sở hữu Các botnet ban đầu tạo để cơng mạng máy chủ cụ thể, sau đó, chúng phát triển thành mạng lưới thiết bị zombie (bot) để thực mục tiêu khác 9.2 Chức -Kiểm sốt máy tính từ xa: Khi máy tính người dùng bị nhiễm, trở thành thiết bị bot kiểm soát từ xa kẻ cơng Kẻ cơng thực hành động máy tính mà khơng cần cho phép chủ sở hữu -Xây dựng botnet: Kẻ cơng kiểm sốt hàng trăm chí hàng nghìn máy tính cá nhân thiết bị kết nối mạng để tạo mạng lưới botnet mạnh mẽ -Thực công mạng: Mạng botnet sử dụng để thực công mạng công từ chối dịch vụ (DoS), công phủ phủ (DDoS), hành động độc hại khác spam email, trộm thông tin cá nhân tài khoản, nhiều hành động khác 9.3 Cách thức hoạt động -Nhiễm máy tính: Mã độc bot ban đầu nhiễm máy tính người dùng thơng qua lỗ hổng bảo mật, phần mềm độc hại, phương tiện khác -Kết nối đến máy chủ điều khiển: Máy tính nhiễm bot sau kết nối đến máy chủ điều khiển kiểm sốt kẻ cơng -Kiểm sốt từ xa: Khi kết nối thiết lập, kẻ công kiểm sốt máy tính từ xa thêm máy tính vào botnet họ -Thực hành động độc hại: Máy tính botnet sử dụng để thực công mạng, spam, thực hành động độc hại khác mà kẻ cơng muốn B Mơi trường phân tích mã độc 1.Mơi trường phân tích : Flare-Vm 1.1.u cầu : -Máy tính chạy hệ điều hành Windows: Flare VM phát triển cho mơi trường Windows Phần mềm ảo hóa: Để chạy Flare VM, bạn cần cài đặt phần mềm ảo hóa VirtualBox VMware Workstation Trong hướng dẫn này, sử dụng VirtualBox 1.2 Cài đặt -Xem hướng dẫn theo link : Flare-VM Installaon - YouTube -Cài đặt thành cơng kiểm tra có đủ công cụ máy ảo Flare-Vm 2.Chạy thử mã độc 2.1 Mã độc loại adware - mã độc adware.GenerickKD.31006658 - Mã độc kích hoạt chạy tiến trình quảng cáo khơng mong muốn , kèm theo đánh cắp thông tin , xâm nhập lây lan vào hệ thống mạng 3.Giới thiệu virustotal 3.1 Tổng quan virustotal - VirusTotal dịch vụ trực tuyến cung cấp khả quét phân tích tệp tin URL để phát loại mã độc phần mềm độc hại khác Dịch vụ phát triển công ty thuộc sở hữu Google có hỗ trợ từ cộng đồng an ninh mạng toàn cầu VirusTotal công cụ quan trọng lĩnh vực bảo mật mạng phân tích mã độc 3.2 Các chức virustotal - Phát mã độc: VirusTotal cho phép người dùng tải lên tệp tin cung cấp URL để kiểm tra xem chúng có chứa phần mềm độc hại hay không Dịch vụ sử dụng nhiều công cụ quét từ nhà cung cấp bảo mật khác để phân tích tệp tin URL cung cấp kết dựa sở liệu chữ ký phân tích động -Phân tích động: VirusTotal không dựa vào sở liệu chữ ký mà cịn phân tích tệp tin URL mơi trường cách ly an tồn Điều giúp phát trường hợp không xác định phần mềm độc hại -Thông tin chi tiết: VirusTotal cung cấp thông tin chi tiết kết quét, bao gồm danh sách công cụ quét sử dụng, kết công cụ, hỗ trợ cho việc xem biểu đồ liệu phân tích liên quan -Cộng đồng an ninh: VirusTotal sử dụng rộng rãi cộng đồng an ninh mạng, cho phép nhà nghiên cứu, chuyên gia bảo mật, tổ chức bảo mật trao đổi thông tin kết phân tích 3.3 Cách cài đặt - Để sử dụng VirusTotal, bạn truy cập trang web thức https://www.virustotal.com/ Sau đó, bạn tải lên tệp tin cung cấp URL cần kiểm tra Dịch vụ thực trình quét trả kết cho bạn -VirusTotal cung cấp phiên miễn phí cho người dùng cá nhân, có phiên trả phí với tính mở rộng hỗ trợ cao cấp cho doanh nghiệp tổ chức lớn