Đang tải... (xem toàn văn)
Trang 1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNGMơn: Phân tích mã độcBài tập lớn đề tài: Phân tích tĩn Trang 3 CƠ SỞ LÝ THUYẾTTổng quan về mã độcMã độc là gì?Mã độc Malware hay Maliciou
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Mơn: Phân tích mã độc Bài tập lớn đề tài: Phân tích tĩn Giảng viên giảng dạy Thầy Đỗ Xuân Chợ Lớp – Phạm Quang Huy Bùi Đăng Phúc – Thân Văn Tiến Hà Nội, tháng 11 năm 2023 Mục lục CƠ SỞ LÝ THUYẾT Tổng quan mã độc Tổng quan phân tích mã độc Phân tích tĩnh CI ĐẶT & CẤU HÌNH Cài đặt Cấu hình cài đặt: THỰC NGHIỆ TỔNG KẾT CƠ SỞ LÝ THUYẾT Tổng quan mã độc Mã độc gì? Mã độc (Malware hay Malicious software) loại phần mềm tạo chèn vào hệ thống cách bí mật với mục đích thâm nhập, phá hoại hệ thống, lấy cắp thông tin, làm gián đoạn tổn hại tới tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống hay máy tính cá nhân Nó có dạng tập tin thực thi, script, mã nguồn phần mềm Kẻ công sử dụng mã độc để đánh cắp thông tin nhạy cảm, giám sát hệ thống bị nhiễm chiếm quyền kiểm sốt hệ thống Thơng thường, mã độc xâm nhập trái phép vào hệ thống nạn nhân lây lan qua kênh truyền thơng khác email, web ổ đĩa USB Các mục tiêu phân loại thành: ➢ Gây gián đoạn hoạt động hệ thống máy chủ ➢ Đánh cắp thông tin quan trọng, chẳng hạn thơng tin cá nhân tài ➢ Truy cập trái phép vào hệ thống tài khoản Gián điệp Gửi thư rác ➢ Sử dụng hệ thống nạn nhân để thực cơng DDoS ➢ Khóa tệp tin nạn nhân máy chủ yêu cầu tiền chuộc để mở khóa Phân loại mã độc (Logic bombs): mã độc thường “nhúng” vào chương trình bình thường thường hẹn để “phát nổ” số điều kiện cụ thể Khi “phát nổ” bom logic xố liệu, files, tắt hệ thống Horses: Chứa mã độc, thường giả danh chương trình có ích, nhằm lừa người dùng kích hoạt chúng (cửa hậu): Thường lập trình viên tạo ra, dùng để gỡ rối test chương trình Cửa hậu thường cho phép truy nhập trực tiếp vào hệ thống mà không qua thủ tục kiểm tra an ninh thơng thường Do trở thành mối đe dọa đến an ninh hệ thống Là loại phần mềm độc hại thiết kế để ẩn danh hệ thống máy tính cho phép kẻ cơng có quyền truy cập cao vào hệ thống mà không bị phát Rootkit thường sử dụng để giấu hoạt động độc hại khác hệ thống, truy cập trái phép, chép liệu thực công khác (tên đầy đủ advertising supported software): Là phần mềm tự động hiển thị bảng quảng cáo thời gian người dùng tải sử dụng phần mềm re thường đóng gói chung với phần mềm khác dạng phần phần mềm dịch vụ miễn phí Là dạng phần mềm độc hại cài đặt tự động nhằm giám sát, thu thập đánh cắp thông tin nhạy cảm hệ thống nạn nhân Là loại phần mềm độc hại có khả mã hố tệp tin hệ thống nạn nhân yêu cầu nạn nhân phải trả tiền chuộc để nhận chìa khóa giải mã Ransomware mối đe dọa an ninh mạng nguy hiểm gây thiệt hại nặng nề cho tổ chức cá nhân (Virus): Là chương trình “nhiễm” vào chương trình khác, cách sửa đổi chương trình Nếu chương trình bị sửa đổi chứa vi rút h hoạt virus tiếp tục “lây nhiễm” sang chương trình khác Vi rút máy tính có khả tự nhân bản, tự lây nhiễm sang chương trình khác mà tiếp xúc Có nhiều đường lây nhiễm vi rút, chép file, gọi ứng dụng dịch vụ ua mạng, email (Worm): Là loại phần mềm độc hại có khả tự lây nhiễm từ máy sang máy khác mà khơng cần chương trình chủ, vật chủ, trợ giúp người dùng Khi sâu lây nhiễm vào máy, sử dụng máy làm “bàn đạp” để tiếp tục rà quét, công máy khác Các phương pháp lây lan sâu gồm: lây lan qua thư điện tử, lây lan thông qua khả thực thi từ xa, lây lan thông qua khả in (đăng nhập) từ xa Là chương trình thiết kế để giành quyền kiểm soát máy tính, thiết bị tính tốn có kết nối Internet sử dụng máy tính bị kiểm sốt để công hệ thống khác, gửi thư rác Botnet (mạng máy tính ma) tập hợp máy tính bot kiểm sốt một, nhóm kẻ cơng Ngun tắc hoạt động mã độc nguyên tắc hoạt động chung mã độc bao gồm: Xâm nhập vào hệ thống: Mã độc thường sử dụng lỗ hổng bảo mật phương pháp xâm nhập khác để xâm nhập vào hệ thống máy tính thiết bị khác Điều khiển kiểm sốt hệ thống: Sau xâm nhập thành công, mã độc tìm cách lấy quyền điều khiển kiểm sốt hệ thống Điều cho phép kẻ cơng thực hoạt động độc hại hệ thống mà không bị phát Mở cửa hậu cho kẻ công: Mã độc thường tạo lỗ hổng cửa sau hệ thống cho phép kẻ cơng tiếp tục cơng truy cập vào hệ thống sau mà không cần phải xâm nhập lại Thực hoạt động độc hại: Mã độc thường thực hoạt động độc hại hệ thống, bao gồm việc tạo file giả mạo, thay đổi cài đặt hệ thống, mã hoá tệp tin quan trọng, đánh cắp thông tin cá nhân thông tin quan trọng, chí điều khiển thiết bị khác mạng nạ Che dấu hoạt động: Mã độc thường giấu kín hoạt động để tránh bị phát gỡ bỏ khỏi hệ thống Điều bao gồm việc tránh chương trình chống virus, mã hóa tệp tin kết nối mạng phương thức mã hóa thay đổi cài đặt hệ thống để tránh bị phát Hình thức phát tán: ● ● ● Phát tán qua lỗ hổng ● Phát tán qua điểm yếu hệ thống ● Phát tán qua file nguồn khơng an tồn: crack, keygen, free, social Các định dạng liệu nhiễm mã độc Các hành vi & kỹ thuật ẩn dấu hiệu mã độc Thành phần mã độc ● ● ● ● ● ● ● ● Chi tiết: Files: Đây thành phần mã độc, chứa mã nguồn, encrypt data, payload thơng tin mã độc… Registry keys khóa hệ thống registry Windows, chứa thông tin quan trọng hệ thống ứng dụng Mã độc tạo, ghi, sửa đổi key để khởi động thực thi hệ thống Process, memory: Mã độc tạo process (tiến trình) sửa đổi nhớ (memory) tiến trình chạy máy tính để thực hoạt động độc hại Foders: Một số mã độc tạo thư mục, thư mục ẩn để che dấu tệp tin độc hại Document continues below Discover more from: Lý An Quản Tồn Thơng Tin Học viện Công ng… 10 documents Go to course Qlattt De Xuat Cho 36 Ngan Hang Quản Lý An Tồn Thơng… None Hoang Van HE CV rgdegzdgdg Quản Lý An Tồn Thơng… None BT Nhom dfgdfdfdfdf Quản Lý An Tồn Thơng… None CV - Nguyen Xuan Quan - adadadad Quản Lý An Tồn Thơng… None Phạm Đức Hiếu Backend Developer… Quản Lý An Tồn Thơng… Kỹ thuật ẩn Che giấu: Sử dụng kỹ thuật mã hóa, ẩn file None Pham Minh Thien Fresher Java mặc định, windows thiết lập ● File có thuộc tính ẩn (hidden file, system file): Theo Quản Lý An Tồn Thơng… None khơng hiển thị tệp có thuộc tính ẩn thuộc tính tệp hệ thống (system files) Mã độc thường lợi dụng chế để ẩn file độc hại ● Giả mạo icon: Mã độc giả mạo icon thư mục file nén phần mềm chuẩn ● Giả mạo shortcut ● Giả mạo file Rootkit: Mã độc ẩn thành phần ● Fileless: Mã độc Fileless không tồn dạng file hệ thống ● Chèn mã, system call: Mã độc thực thi qua lời gọi hệ thống chèn mã vào tiến trình có sẵn ● Mã độc lợi dụng tiến trình, service hệ thống để ẩn ● Khai báo lỗ hổng:Mã độc sử dụng kỹ thuật lỗ hổng ● Virus lây file: mã độc ẩn cách lây nhiễm vào chương trình thực Dấu hiệu nhận biết: ● Máy tính chạy chậm bất thường, chậm kết nối mạng ● Máy tính bị khóa khơng trả lời (stop responding) liên tục, khơng cho chạy chương trình hệ thống (cmd, regedit, task manager, gpedit, run, ) ● Máy tính tự động khởi động lại bị lỗi (crashes) ● Khi chạy chương trình thường thơng báo lỗi, chạy file *.exe, *.com, bị thay chương trình khác ● Ẩn file, thư mục, tạo thư mục lạ, biểu tượng lạ Xuất icon icon cũ tự ● Xuất cửa sổ pop up thông báo lạ, tin nhắn báo lỗi khơng bình thường ● Hiển thị file in bị biến dạng ● Xuất cặp đơi phần mở rộng file Ví dụ: vbs.txt ● Phần mềm diệt virus không chạy cài đặt ● Tệp bị lỗi thư mục tạo cách tự động bị thay đổi, bị xóa, bị ● Hệ thống bị thay đổi cài đặt hay bị kiểm sốt từ Các cơng cụ rà quét mã độc phương pháp phòng chống mã độc Công cụ rà quét ● File: Explorer, cmd… ● Process: Task manager, Process Explorer, Process Hacker… ● Network: TcpView, Wireshark… ● Startup: Regedit, AutoRuns… ● Rootkit: PC Hunter, Rootkit Remover… ● Logs: Event Viewer, Process Monitor… ● Scanner: KVRT, TDSSKiller, Norton Power Eraser, ClamAV… Phương pháp phòng chống Tổng quan phân tích mã độc Phân tích mã độc gì? Phân tích mã độc việc nghiên cứu hành vi mã độc Mục tiêu phân tích mã độc hiểu cách thức hoạt động mã độc cách phát loại bỏ Vai trị phân tích mã độc Mục đích thực phân tích mã độc thu thập thơng tin từ mẫu mã độc Từ xác định khả mã độc, phát ngăn chặn Ngồi phân tích mã độc làm nguồn cung cấp, xác định mẫu mã độc để hỗ trợ việc phát ngăn chặn tương lai Các nguyên nhân để thực phân tích mã độc sau: ● Xác định chất mục đích mã độc Ví dụ, xác định liệu mã độc có phải kẻ đánh cắp thơng tin, bot HTTP, bot spam, rootkit, keylogger, RAT ● Hiểu rõ hệ thống bị xâm phạm ảnh hưởng Xác định số mạng liên quan đến mã độc, sau sử dụng để phát mã độc tương tự cách theo dõi mạng Thu thập số dựa máy chủ tên tập tin, khóa registry, sau sử dụng để xác định mã độc tương tự cách theo dõi máy chủ Xác định ý định động kẻ cơng Ví dụ, q trình phân tích, thấy mã độc đánh cắp thông tin ngân hàng động kẻ công tiền Phân loại kỹ thuật phân tích mã độc ❖ Phân tích tĩnh Phân tích mã nguồn file thực thi mã độc mà không cho mã độc hoạt động Thường thực máy tính an tồn không kết nối mạng Cho phép khám phá cấu trúc chức bên mã độc Phát công cụ kỹ thuật sử dụng Ưu điểm: An tồn hơn, dễ thực Nhược điểm: Khó nắm bắt hành vi thực tế mã độc Phân loại: ● Phân tích tĩnh bản: tìm cách hiểu mã độc cách phân tích file, cấu trúc file, chức sử dụng mã độc ● Phân tích tĩnh nâng cao: phân tích sâu tìm cách hiểu mã độc dựa dịch ngược (disassembled) ❖ Phân tích động Phân tích mã độc cách cho mã độc thực thi giám sát phân tích hoạt động Thường thực môi trường cô lập để đảm bảo an toàn Cho phép nghiên cứu hành vi mã độc máy chủ, tương tác với mạng hệ thống Có thể phát hiệ số mạng máy chủ liên quan đến mã độc Ưu điểm: Hiểu hành vi tác động mã độc Nhược điểm: Cần mơi trường lập nguy hiểm Phân loại: ● Phân tích động bản: Chạy mã độc mơi trường lập có trang bị sẵn công cụ giám sát khác cố gắng hiểu mã độc làm dựa đầu cơng cụ ● Phân tích động nâng cao: phân tích khơng đem lại kết muốn tìm hiểu kỹ cần thực phân tích nâng cao mã đ cách sử dụng gỡ lỗi (debugger) Bằng cách này, chuyên gia có nhiều quyền kiểm sốt cách mã độc thực thi Phân tích tĩnh Phân tích tĩnh gì? Phân tích tĩnh kỹ thuật phân tích tệp nghi ngờ (mẫu) mà khơng thực thi Là phương pháp phân tích ban đầu liên quan đến việc trích xuất thơng tin hữu ích từ tệp nhị phân nghi ngờ để đưa định có cách phân loại phân tích mã độc hướng phân tích Phân tích tĩnh chia làm loại: Phân tích tĩnh bản.Phân tích tĩnh bao gồm kỹ thuật như: Giải mã: Giải mã mã nhị phân thành mã nguồn lập trình ● Phân tích chuỗi: Tìm kiếm chuỗi, số mã ● Phân tích cấu trúc: Phân tích cấu trúc gói, lớp, hàm mã Phân tích tĩnh nâng cao Phân tích tĩnh nâng cao bao gồm kỹ thuật phức tạp như: Sử dụng PeStudio để hiển thị chuỗi ASCII chuỗi Un Có tổng cộng 1416 chuỗi tập tin, PEStudio giới hạn số chuỗi nên hiển thị 1416 chuỗi Trong công cụ PeStudio, chuỗi đánh dấu cờ “x” thường cho chúng liên quan đến hành vi độc hại mã độc Lấy chuỗi bị che dấu floss Sẽ có chuỗi mà mã độc không muốn ta phát nên che giấu để lấy chuỗi che giấu ta sử dụng FLOSS Xác định cách che giấu tập tin Xác định tệp tin ẩn giấu Exinfo PE Exeinfo PE giúp ta thấy file khơng bị đóng gói Nhận biết mã độc có bị nén hay mã hóa hay khơng Ta kiểm tra kích thước raw size Nếu kích thước chênh lệch q lớn có khả đăng đóng gói mã hóa Nhưng ta thấy độ chênh lệch không lớn nên khơng có đóng gói mã hóa Tệp tin PE .text: Phần ".text" chứa mã máy (machine code) chương trình, phần tệp thực thi chứa lệnh mã nhị phân thực thi máy tính .data: Phần ".data" chứa liệu tĩnh (static data) chương trình, bao gồm biến tồn cục liệu khai báo mã nguồn .itext: Phần ".itext" (instruction text) chứa mã máy chương trình đọc (read only), nghĩa khơng thể bị thay đổi q trình thực thi Thơng thường, phần chứa mã máy không thay đổi, mã assembly mã thực thi mã hóa .pdata: Phần ".pdata" (procedure data) chứa thông tin liên quan đến hàm quy trình chương trình Nó bao gồm ghi (records) hàm, bao gồm địa bắt đầu kết thúc hàm, thông tin liên quan đến xử lý ngoại lệ (exception handling), thơng tin khác để hỗ trợ q trình gỡ lỗi xử lý ngoại lệ .rsrc: Phần ".rsrc" (resource) chứa tài nguyên mã máy, chẳng hạn hình ảnh, biểu đồ, âm thanh, văn bản, biểu mẫu giao diện người dùng, tài liệu khác Đây nơi chứa tài nguyên sử dụng chương trình reloc: Phần ".reloc" (relocation) chứa thông tin việc tương đối (reloc mã máy Khi tệp thực thi tải vào nhớ, địa tuyệt đối mã máy cần điều chỉnh (relocated) để phù hợp với vị trí cụ thể nhớ Phần ".reloc" chứa thông tin việc thay đổi địa tệp thực thi tải vào nhớ Tại ta thấy chương trình có sử dụng thư viện động: ta đưa sổ giả thuyết liên quan đến việc mã độc thực viễn hành vi độc hại ảnh hưởng đến nạn nhân cách thức ẩn mã độc ● DLL: Chứa hàm tiện ích nhẹ cho giao diện người dùng hoạt động liên quan đến chuỗi, đường dẫn, đăng ký URL ● USER32.DLL: Chứa hàm cốt lõi hệ điều hành Windows, quản lý nhớ, xử lý, tài nguyên, đồng hóa, xử lý ngoại lệ nhập xuất Thư viện phần thiếu hầu hết ứng dụng Windows bị hỏng thiếu, máy tính gặp phải số lỗi nghiêm trọng ● SHLWAPI.DLL: Là thư viện chứa hàm liên quan đến giao diện người dùng Windows Như tạo quản lý cửa sổ, menu, cuộn, nút, hộp thoại bàn phím, chuột thơng báo Thư viện phần thiếu hầu hết ứng dụng Windows bị hỏng thiếu, máy tính gặp phải lỗi hiển thị tương tác với ứng dụng Đối với việc Zeus Banking Trojan gây hành vi độc hại: ● Zeus banking trojan sử dụng hàm SHLWAPI.dll để thao tác với đường dẫn, đăng ký URL, ví dụ tạo đường dẫn giả mạo, thay đổi giá trị đăng ký kết nối với máy chủ điều khiển từ xa ● Zeus banking trojan sử dụng hàm KERNEL32.dll để thực hoạt động cốt lõi hệ điều hành, ví dụ để cấp phát nhớ, tạo tiến trình con, ghi đè hàm hệ thống gọi hàm API khác ● Zeus banking trojan sử dụng hàm USER32.dll để thao tác với giao diện người dùng, ví dụ theo dõi kiện bàn phím, chuột, cửa sổ, menu, hàn hộp thoại, để hiển thị thông báo giả mạo để thu thập thông tin nhạy cảm từ người dùng Việc Zeus Banking Trojan thực hành động ẩn mình: ● Zeus banking trojan sử dụng hàm SHLWAPI.dll để ẩn đường dẫn, đăng ký URL, ví dụ đổi tên, mã hóa che dấu tệp nó, để sử dụng tên động địa IP ngẫu nhiê ● Zeus banking trojan sử dụng hàm KERNEL32.dll để ẩn khỏi hoạt động cốt lõi hệ điều hành, ví dụ đê chèn mã vào tiến trình hợp lệ, sửa đổi bảng nhập xuất, tạo kỹ thuật rootkit ● hể sử dụng hàm USER32.dll để ẩn giao diện người dùng, ví dụ để giả lập ứng dụng, trang web thông báo hợp lệ để ẩn cửa sổ, menu hộp thoại Kiểm tra imports Ta ý đến số imports quan trọng: imports thường liên quan tới việc truy cập tệp tin, nhớ, thông tin cửa sổ, ghi lại thao tác người dùng, thực ẩn mình, mở cửa hậu… Những hàm mà mã độc sử dụng để thực ẩn có hành vi gây cản trở q trình phát cơng cụ phát mã độc: ● để thay đổi thư mục làm việc tiến trình mã độc sang thư mục khác, thường thư mục ứng dụng hợp pháp Điều giúp mã độc tránh bị phát công cụ kiểm tra thư mục làm việc tiến trình chạy ● để lấy thơng tin trang nhớ sử dụng tiến trình mã độc, sau sử dụng hàm để mã hóa trang nhớ thuật toán XOR Điều giúp mã độc tránh bị phát công cụ kiểm tra nhớ tiến trình chạy ● để tạo cổng hồn thành I/O, sau sử dụng hàm để mở ánh xạ tệp tạo tiến trình khác Điều giúp mã độc tránh bị phát công cụ kiểm tra tệp mở tiến trình chạy ● để xóa tệp thực thi mã độc sau chạy Điều giúp mã độc tránh bị phát cơng cụ kiểm tra tệp có nghi ngờ đĩa cứng Những hàm mà mã độc sử dụng để thực hành vi độc hại nạn ● để tạo thư mục hệ thống ẩn, sau sử dụng hàm để thêm phần mở rộng tệp giả vào tên thư mục Điều giúp mã độc lừa nạn nhân vào việc mở thư mục tệp thực thi, từ kích hoạt mã độc ● để lấy cửa sổ shell Windows, sau sử dụng để lấy thuộc tính cửa sổ Điều giúp mã độc lấy thông tin phiên làm việc nạn nhân, tên người dùng, tên máy tính, phiên hệ điều hành, v.v ● để thay đổi nội dung hộp thoại trang web ngân hàng dịch vụ toán trực tuyến Điều giúp mã độc lấy thông tin nhạy cảm nạn nhân, số tài khoản, mật khẩu, mã xác thực, v.v ● để lấy thơng tin kích thước độ phân giải hình, sau sử dụng hàm để lấy vùng cập nhật cửa sổ Điều giúp mã độc chụp ảnh hình nạn nhân, từ thu thập thêm thơng tin hoạt động nạn nhân inte Một số hàm thể cho việc ZeuS banking mở cửa hậu gửi liệu thu thập máy nạn nhân máy tính kẻ cơng là: ● : Hàm cho phép mã độc mở ánh xạ tệp tạo tiến trình khác, cửa hậu cài đặt trước Hàm giúp mã độc truy cập vào tệp nhớ chia sẻ cửa hậu, từ gửi liệu ngồi nhận lệnh từ kẻ cơng ● ã độc khóa giải phóng đối tượng chia sẻ nhiều tiến trình Hàm giúp mã độc đồng hóa việc gửi nhận liệu qua cửa hậu, tránh xung đột mát liệu ● : Hàm cho phép mã độc lấy cửa sổ shell , cửa sổ ẩn chứa icon tác vụ Hàm giúp mã độc tạo cửa sổ bên cửa sổ shell, từ gửi nhận liệu qua mạng mà không bị phát người dùng cơng cụ bảo mật Bên cạnh cịn kể đến số hàm khác: ● KERNEL32.PathRelativePathToW: dùng để tạo đường dẫn tương đối từ tệp đường thư mục khác, mã độc sử dụng hàm để xác định vị trí tệp thư mục quan trọng hệ thống nạn nhân tệp cấu hình, tệp nhật ký, tệp chứa thơng tin tài khoản ngân hàng, sau mã độc đọc, ghi, xóa tệp thư mục để thực hành vi độc hại ● KERNEL32.OpenFileMappingA: dùng để mở đối tượng ánh xạ tệp haojcw khơng có tên cho tệp định, Zeus Banking Trojan co thể sử dụng hàm để tạo vùng nhớ chia tiến trình, máy tính thơng qua mạng, điều giúp mã độc truyền liệu vè cho kẻ cơng lây nhiễm sang máy tính khác, ngồi hàm giúp mã độc ẩn mình, cách tạo đối tượng ánh xạ tệ khơng có tên, sử dụng hàm MapViewOfFile để truy cập vào vùng nhớ đó, khiến cho cơng cụ bảo mật khó lịng phát Kiểm tra exports: Có thể nơi liệu bị đánh cắp gửi đến Sử dụng Capa để tìm phương thức phịng thủ ta thấy sử dụng kỹ thuật sử dụng kỹ thuật VM/Sandbox Evasion để tránh bị kiểm tra phát Ta thấy mã độc cịn có khả phát mơi trường ảo : Virtual Sử dụng Cutter hiển thị cho đoạn mã , giúp ta biết mã độc muốn làm Hàm GetTickCount() kiểm tra xem máy Windows chạy Đây hàm giúp cho mã độc phát mơi trường có phải mơi trường ảo hay ẩn tránh Đây để mã độc vào chế độ ngủ đông, tránh gây việc theo dõi q trình phân tích động Sau thời gian tự khởi động chạy hàm AllowSetForegroundWindow cho mã độc quyền chạy mà không bị giới hạn quy tắc an toàn hệ điều hành, vượt qua bảo mật hệ thống Nhìn vào chuỗi ngẫu nhiên trích xuất : Ta thử tìm cutter xem dịng rác có đặc biệt không xem mục disassemble t thấy có đoạn mã string ‘ighC’ sử dụng nhằm mục đích gần hàm KERNEL32.CreateFileA nên ta có giả thuyết mã độc cố tạo mở thư mục nhằm mục đích gây hại Đây giả thuyết nhiều dòng lệnh ngẫu nhiên kèm theo hàm gọi có nghĩa LoadBitmap GetCapture sử dụng để lấy cắp hình ảnh hình máy nhiễm độc, có khả để xem thơng tin cá nhân thơng tin đăng nhập người dùng GetDriveType dùng để phân biệt loại drive máy tính bị nhiếm mã độc, khả USB drive mã độc thực thi lnehj WriteFile để lây nhiễm qua USB rồ PathParseIconLationW dùng để phân tích vị trí file dùng để lấy icon file để giả mạo chương trình tin cậy khác hệ thống Phân loại Phân loại dựa chữ ký: dựa vào virustotal, so sánh mã Hash đoạn mã đặc trưng tập tin nghi ngờ với sở liệu chứa chữ ký loại mã độc biết => quét được, ta biết mã độc thuộc loại nào, họ nào, thực hành vi độc hại máy tính nạn nhân hững mã độc thực hoạt động đánh cắp thông tin tài khoản ngân hàng, Zeus banking trojan theo dõi, hị lại hoạt động người dùng trang web ngân hàng, gửi thông tin cho kẻ cơng Ngồi nso thay đổi nội dung trang web ngân hàng để lừa người dùng nhập thông tin nhạy cảm, mã OTP, mã PIN Zeus banking trojan loại mã độc mở cửa hậu, tạo kết nối mạng máy tính nạn nhân máy tính kẻ cơng, cho phép kẻ cơng điều khiển máy tính nạn nhân từ xa, tải xuống chạy tệp độc hại khác từ máy tính kẻ cơng Thấy hành vi ẩn gây cản trở trình phát mã độc này: Zeus banking trojan thực kỹ thuật rootkit, polymorphism, obfusaction …, co thể tự xóa tự chép để trốn tránh công cụ bảo mật, số tên khác mã độc kể đến: Những mã độc thự gửi thơng tin máy tính tin tặc: Zeus banking gửi thơng tin máy tính kẻ công thông qua kênh khác HTTP, FTP, SMTP …, sử dụng kỹ thuật mã hóa, nén ẩn thơng tin gói tin mạng để tránh bị phát hiện, tên gọi khác mã độc kể đến: Mối đe dọa phổ biến TỔNG KẾT Nguyên tắc hoạt động / Dấu hiệu Giả dạng Đóng gói, Cố gắng che giấu chuỗi Sử dụng thư viện động Sử dụng hàm đặc quyền Sử dụng Xâm nhập vào hệ thống Điều khiển kiểm soát hệ thống Mở cửa hậu cho kẻ Thực hoạt động độc hại Che giấu hoạt động