Môn học phân tích mã độc báocáobài tậplớnđề tài phát hiện mã độc bằng phươngphápđộng

Lý thuyết● Khái niệm mã độc:- Mã độc Malware hay Malicious software là một loại phần mềm được tạo ra và chènvào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống, lấy cắ

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

MÔN HỌC PHÂN TÍCH MÃ ĐỘCBÁO CÁO BÀI TẬP LỚN

Đề tài: Phát hiện mã độc bằng phương pháp động

Lớp 4 - Nhóm 3

Giảng viên hướng dẫn : Đinh Trường Duy

Thành viên: Nguyễn Đăng Tuấn Bảo - B20DCAT015

Bùi Quang Anh - B20DCAT003 Ninh Văn Cường - B20DCAT023 Đào Văn Chung - B20DCAT027 Trần Lê Cao Sơn - B20DCAT156

Hà Nội, tháng 10/2023

1 Mục đích yêu cầu 2

+ Mục đích 2

+ Yêu cầu 2

2 Lý thuyết 2

● Khái niệm mã độc: 2

● Các thành phần của mã độc: 2

● Phát hiện mã độc là gì 3

● Phát hiện mã độc bằng phương pháp động là gì 4

● Phát hiện mã độc bằng phương pháp tĩnh là gì 4

● So sánh 2 phương pháp 5

● Tìm hiểu về mã độc 000.exe 6

● Tìm hiểu về ransomware wannacry 6

● Tìm hiểu về kĩ thuật ẩn mình cơ bản 7

● Tìm hiểu về Sandbox 7

● Giới thiệu về cuckoo sandbox 8

● Giới thiệu về windows sandbox 8

Các đặc tính của Windows Sandbox: 9

● Tìm hiểu về công cụ process monitor 9

● Tìm hiểu về công cụ malwarebyte 10

3 Demo 12

- Wannacry trên cuckoo sandbox 12

- Thực thi wannacry trên windows sandbox 20

4: Kết luận: 24

5: Phụ lục DEMO 25

+ Yêu cầu

1 Xác định mục tiêu nghiên cứu:

Nghiên cứu, phân tích, và đánh giá hiệu suất các phương pháp phát hiện mã độc bằngphương pháp động trong môi trường thực tế

2 Xác định phạm vi nghiên cứu:

Định rõ phạm vi của nghiên cứu, bao gồm các loại mã độc cụ thể hoặc môi trường thửnghiệm

3 Phương pháp nghiên cứu:

Mô tả cụ thể về các phương pháp và kỹ thuật bạn sẽ sử dụng để phát hiện mã độcbằng phương pháp động Bao gồm cả các công cụ và phần mềm bạn sẽ áp dụng

- Nó có thể có dạng một tập tin thực thi, script, mã nguồn hoặc

- Các mục tiêu chính nhất có thể được phân loại thành:

+ Gây gián đoạn hoạt động của hệ thống máy chủ

+ Đánh cắp thông tin quan trọng, chẳng hạn như thông tin cá nhân và tài chính+ Truy cập trái phép vào hệ thống hoặc tài khoản

+ Gián điệp

+ Gửi thư rác

+ Sử dụng hệ thống của nạn nhân để thực hiện tấn công DDoS

+ Khóa tệp tin của nạn nhân trên máy chủ và yêu cầu tiền chuộc để mở khóa

● Các thành phần của mã độc:

- Mã độc (malware), có thể bao gồm nhiều thành phần khác nhau để thực hiện các mụctiêu và chức năng cụ thể Dưới đây là các thành phần cơ bản thường xuất hiện trongmột mã độc:

1 Loader (bộ nạp): Thành phần này thường xuất hiện ban đầu và có nhiệm vụ tải mãđộc lên hệ thống mục tiêu Nó có thể được gửi dưới dạng tệp đính kèm trong email,hoặc thông qua lỗ hổng bảo mật trong phần mềm hoặc hệ thống mục tiêu

2 Payload (nội dung chính): Payload là phần chính của mã độc, thường được thiết kế đểthực hiện các mục tiêu xác định Điều này có thể bao gồm các chức năng như lấy dữliệu trực tiếp từ máy tính mục tiêu, truyền dữ liệu đến máy chủ từ xa, hoặc thậm chítạo ra các kết nối sau lưng và kiểm soát máy tính mục tiêu.

3 Rootkit: Rootkit là một thành phần được sử dụng để che giấu sự tồn tại của mã độctrên hệ thống mục tiêu Nó thường thay đổi hệ thống hoặc tệp tin để che giấu mã độc

và các hoạt động độc hại khỏi quá trình kiểm tra và phân tích

4 Backdoor (cửa sau): Cửa sau là một thành phần cho phép tấn công viên truy cập vàkiểm soát máy tính từ xa mà không cần xác thực bình thường Cửa sau thường được

sử dụng để duyệt qua các tường lửa và truy cập máy tính mục tiêu sau lưng

5 Keylogger: Một keylogger là một thành phần thu thập thông tin về các phím đượcnhấn trên bàn phím máy tính mục tiêu Thông tin này sau đó có thể được gửi đến kẻtấn công, cho phép họ thu thập thông tin đăng nhập và mật khẩu

6 Spyware (phần mềm giám sát): Spyware là các thành phần được thiết kế để thu thậpthông tin cá nhân và hoạt động trên máy tính mục tiêu, chẳng hạn như lịch sử duyệtweb, tệp tin cá nhân, hoặc dữ liệu ngân hàng

7 Trojan Horse (ngựa Troy): Trojan horse là một loại mã độc giả mạo thành phần hợppháp hoặc hữu ích để lừa người sử dụng cài đặt nó Sau khi được cài đặt, nó có thểthực hiện các hoạt động độc hại mà người dùng không biết

8 Botnet Agent: Nếu mã độc là một phần của một mạng botnet, nó sẽ chứa thành phần

để kết nối và điều khiển máy tính mục tiêu từ xa, thường thông qua một máy chủ điềukhiển

9 Polymorphic Code (mã đa biến): Mã độc có thể được thiết kế để tự động thay đổihoặc biến đổi trong mỗi lần thực thi để tránh phát hiện dựa trên chữ ký hoặc mã hóa

10 Obfuscation (ẩn mã): Thành phần này sử dụng các kỹ thuật để làm cho mã độc khóhiểu hơn và ngăn người phân tích từ việc đọc và hiểu mã nguồn

- Các mã độc có thể có sự kết hợp của các thành phần này hoặc sử dụng các kỹ thuật ẩnmình khác nhau để đảm bảo sự tồn tại của chúng không bị phát hiện và loại bỏ dễdàng

● Phát hiện mã độc là gì

- Phát hiện mã độc (malware detection) là quá trình xác định sự tồn tại của phần mềmđộc hại (malware) hoặc mã độc trên một hệ thống máy tính hoặc mạng Mã độc là mộtloại phần mềm được tạo ra với mục đích gây hại cho hệ thống, truy cập trái phép vào

dữ liệu, hoặc thực hiện các hành động độc hại khác mà không được sự cho phép củangười sở hữu hệ thống hoặc người dùng Mã độc có thể bao gồm virus, trojans,worms, spyware, ransomware và nhiều loại phần mềm độc hại khác

- Phát hiện mã độc là một phần quan trọng của bảo mật mạng và bảo mật máy tính Nógiúp ngăn chặn, xác định và loại bỏ các mối đe dọa từ mã độc trước khi chúng có cơhội gây hại Các kỹ thuật phát hiện mã độc bao gồm:

1 Phần mềm chống virus (Antivirus Software): Phần mềm chống virus quét và

so sánh các tệp tin và hoạt động trên máy tính với cơ sở dữ liệu của nó để xácđịnh các tệp tin bị nhiễm malware Nếu phát hiện, nó cố gắng cách ly hoặc xóamalware

2 Phân tích hành vi (Behavior Analysis): Các hệ thống bảo mật có thể theo dõihành vi của các ứng dụng và quy trình trên máy tính để phát hiện các hoạtđộng đáng ngờ như việc tạo và truy cập các tệp tin bất thường

3 Chữ ký số (Signature-based Detection): Các phần mềm chống virus và cáccông cụ bảo mật có thể dựa vào các chữ ký số đã biết để xác định mã độc dựatrên các biểu hiện cụ thể của nó

4 Phân tích động (Dynamic Analysis): Đây là việc chạy mã độc trong môitrường kiểm tra để xem nó thực hiện các hành động độc hại Các công cụ độngnày có thể phát hiện các hoạt động không mong muốn.

5 Thám tử hành vi (Behavioral Detectors): Các công cụ này theo dõi hành vi hệthống và ứng dụng để phát hiện các hành vi bất thường hoặc đáng ngờ

- Phát hiện mã độc là một phần quan trọng của bảo mật mạng và máy tính, và nó đóngmột vai trò quan trọng trong việc bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa từmalware

● Phát hiện mã độc bằng phương pháp động là gì

- Phát hiện mã độc bằng phương pháp động là quá trình xác định sự tồn tại hoặc hoạtđộng của mã độc bằng cách thực hiện thử nghiệm và theo dõi hành vi của nó trongmột môi trường thực tế hoặc giả lập Phương pháp này tập trung vào việc quan sát cáchoạt động thực tế của mã độc khi nó thực hiện các hành vi độc hại, thay vì phân tíchcấu trúc tĩnh của mã

- Các phần cơ bản của phương pháp động để phát hiện mã độc:

+ Thực Thi Mã Độc: Mã độc được thực thi trong một môi trường kiểm tra, chẳng hạnnhư một máy tính ảo (virtual machine) hoặc một môi trường sandbox Môi trường nàyđược tạo ra để đảm bảo rằng mã độc không gây hại đến hệ thống thật và có thể theodõi mọi hoạt động của nó

+ Theo Dõi Hoạt Động Mã Độc: Trong quá trình thực thi, các công cụ và quy trìnhkiểm tra sẽ theo dõi các hoạt động của mã độc Điều này bao gồm việc ghi lại tất cảcác hành động như tạo ra hoặc thay đổi tệp, truy cập registry, thực hiện kết nối mạng,

và tương tác với hệ thống hoặc ứng dụng khác

+ Phân Tích Luồng Mã: Các công cụ phân tích động thường theo dõi luồng mã (codeexecution) của mã độc và ghi lại các hàm, chức năng, và lệnh được thực thi Điều nàygiúp xác định xem mã độc có thực hiện các hành động độc hại không

+ Theo Dõi Kết Nối Mạng: Nếu mã độc có khả năng kết nối mạng, các công cụ động cóthể theo dõi các yêu cầu và phản hồi mạng để xác định xem có sự tương tác độc hạinào với máy chủ từ xa

+ Phát Hiện Hành Vi Độc Hại: Các công cụ động thường kiểm tra các hành vi độc hại,chẳng hạn như tạo ra phần mềm độc hại khác, thay đổi cấu hình hệ thống, ẩn mìnhkhỏi các công cụ an ninh, và nhiều hành vi khác có thể đặc trưng cho mã độc

=> Phương pháp động là một phần quan trọng của quá trình phát hiện và phân tích mã độc,giúp xác định các mối đe dọa mà mã có thể gây ra khi thực hiện trong môi trường thực tế

● Phát hiện mã độc bằng phương pháp tĩnh là gì

- Phát hiện mã độc bằng phương pháp tĩnh (Static Analysis) là quá trình xác định tínhđộc hại của một tệp hoặc ứng dụng dựa trên thông tin tĩnh, tức là thông tin liên quanđến cấu trúc và nội dung của tệp mà không cần thực hiện thử nghiệm thực tế (chạynó) Phương pháp này tập trung vào việc phân tích các đặc điểm tĩnh của tệp để xácđịnh xem nó có dấu hiệu của mã độc hoặc phần mềm độc hại không

- Các phần cơ bản của phương pháp tĩnh để phát hiện mã độc:

+ Phân Tích File Header: Kiểm tra thông tin trong tiêu đề tệp (file header) để xác địnhloại tệp, định dạng, và tên tệp Điều này có thể giúp xác định xem tệp có phù hợp vớiloại nó khẳng định mình là không

+ Xem Xét Mã Nguồn: Phân tích mã nguồn của tệp hoặc ứng dụng để xem xét các đoạn

mã có dấu hiệu của mã độc, chẳng hạn như chức năng ghi dữ liệu không mong muốnvào hệ thống

+ Kiểm Tra Chữ Ký Số: Kiểm tra chữ ký số hoặc hash được tạo ra bằng các công cụphát triển hoặc phân phối tệp Kiểm tra chữ ký số có thể giúp xác định tính toàn vẹncủa tệp và xác định xem tệp có bị sửa đổi hay không.

+ Phân Tích Nội Dung Tệp: Xem xét nội dung của tệp để xác định xem có chứa chuỗi

bí danh, mã độc, hoặc cấu trúc đáng ngờ nào không Các phần mềm phát hiện mã độcthường tìm kiếm các chữ ký của phần mềm độc hại đã biết và các mẫu mã độc hại đãđược đăng ký trước đó

+ Kiểm Tra Cấu Trúc Tệp: Kiểm tra cấu trúc của tệp để xác định xem có sự thay đổihoặc chèn dữ liệu không mong muốn nào Điều này có thể bao gồm việc kiểm tra cácđoạn mã bổ sung hoặc các phần cố ý được che giấu

+ Phân Tích Cấu Trúc Hệ Thống: Phân tích cấu trúc hệ thống để xem xét các phần tử cóliên quan đến mã độc, chẳng hạn như dịch vụ Windows, quyền truy cập hệ thống, vàảnh hưởng đến hệ thống

● So sánh 2 phương pháp

So sánh Phân Tích Tĩnh (Static Analysis) Phân Tích Động (Dynamic Analysis)

Ưu điểm ● Tốn ít thời gian và tài nguyên:

Phân tích tĩnh thường nhanh hơn

và tiết kiệm tài nguyên hơn dokhông cần thực hiện thử nghiệmthực tế

● Phát hiện mã độc đã biết trước:

Hiệu quả trong việc phát hiệncác loại mã độc đã biết trước vàtìm kiếm các đặc điểm tĩnh độchại cụ thể trong tệp

● Không gây nguy hại: Không córủi ro gây nguy hại cho môitrường thực tế do không thực thi

mã độc

● Phát hiện hành vi thực tế: Chophép quan sát hành vi thực tếcủa mã độc khi thực thi, baogồm tạo ra và thay đổi tệp, kếtnối mạng và tương tác với hệthống

● Phát hiện mã độc mới: Có khảnăng phát hiện các loại mãđộc mới mà chưa biết trước

● Xử lý thời gian thực: Chophép ngăn chặn hoạt độngđộc hại ngay khi nó xảy ra

Hạn chế ● Không phát hiện được mã độc

đã mã hóa mạnh: Không thểphát hiện được các mã độc đãđược mã hóa mạnh hoặc sửdụng kỹ thuật ẩn mình mạnhmẽ

● Tốn thời gian và tài nguyên:Phương pháp động thườngtốn nhiều thời gian và tàinguyên hơn, đặc biệt khi thựchiện trong môi trường thực tếhoặc sandbox

● Không phát hiện được mã độc

đã mã hóa mạnh: Các mã độcrất tinh vi hoặc đã được mãhóa mạnh có thể không tiết lộhành vi độc hại ngay khi thựcthi

tác với hệ thống.

=> Phương pháp phân tích mã độc tĩnh thường nhanh hơn và hiệu quả trong việc phát hiệncác mẫu mã độc hại đã biết trước Trong khi đó, phương pháp phân tích mã độc động chophép xem xét hành vi thực tế của mã và có khả năng phát hiện các mẫu mã độc hại mới Do

đó, thường tốt nhất là sử dụng cả hai phương pháp kết hợp để tăng cường khả năng phát hiện

và đảm bảo tính toàn diện trong việc bảo vệ hệ thống khỏi mã độc và phần mềm độc hại

● Tìm hiểu về mã độc 000.exe

Chúng ta có thể tìm thấy nó trên internet dưới dạng tập tin nén , ở định dạng ZIP hoặcRAR Hơn nữa, điều quan trọng cần biết là nó chỉ có thể lây nhiễm cho chúng ta nếu chúng tachạy nó trên máy tính của mình Mã độc hại ban đầu được tạo cho một YouTube nhưng cuốicùng nó lại lan truyền trên mạng Và đó là người dùng của kênh được đề cập đã xuất bản mộtliên kết có vi-rút và một số người dùng đã tải nó xuống

Điều nổi bật cũng như đáng sợ ở loại virus này là khi chúng ta chạy nó ngay lập tứctrên màn hình sẽ thấy một loạt hình ảnh đen trắng ảm đạm Sau đó, máy tính khởi động lại vàchúng tôi sẽ thấy rằng người dùng của chúng tôi đã được đổi tên TIẾP THEO Với mọi thứ

và với nó, chúng tôi có thể truy cập vào hệ thống, nhưng đó là nơi bắt đầu khủng bố thực sự.Điều này là bởi vì chúng tôi sẽ tìm thấy chính mình với một máy tính để bàn đầy các phím tắttham chiếu đến một số tệp có cùng tên với URNEXT

Rõ ràng là tất cả những điều này sẽ không cho phép chúng ta làm việc bình thườngvới máy tính Sau một thời gian, a vô số hộp thoại bắt đầu xuất hiện với một thông báo lỗiđọc cùng một thông báo Ngoài ra, nếu chúng ta cố gắng đóng những cửa sổ nhỏ này, nhữngcửa sổ mới sẽ xuất hiện Cũng cần biết rằng vi rút 000.exe tắt Trình quản lý tác vụ để ngănngười dùng chấm dứt các quy trình của nó

● Tìm hiểu về ransomware wannacry

WannaCry là một loại mã độc tống tiền (ransomware), với các tên gọi khác nhau nhưWannaCrypt0r 2.0 hay WCry Phần mềm độc hại này mã hóa dữ liệu của máy tính và ngăncản người dùng truy cập dữ liệu trên đó cho đến khi tin tặc nhận được tiền chuộc Các chuyêngia cho rằng, mã độc này nguy hiểm vì, nó hỗ trợ tin tặc “giữ” dữ liệu của người dùng làm

“con tin” để tống tiền các cá nhân hoặc tổ chức/doanh nghiệp Việc làm này được cho là hiệuquả hơn việc đánh cắp hoặc xóa đi dữ liệu trên máy tính

Khi được cài đặt vào máy tính, WannaCry sẽ tìm kiếm các tập tin (thông thường làcác tập tin văn bản) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thôngbáo yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu Mã độc WannaCry khai thác lỗ hổngcủa hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) đã nắm giữ Tội phạmmạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã độc

Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận đượcthông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa Để khôi phục dữ liệu,người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấn công.Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7 ngày, dữliệu của người dùng sẽ bị mất Màn hình của máy tính bị nhiễm WannaCry sẽ hiển thị đầy đủthông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian và được thể hiện bằng

28 ngôn ngữ khác nhau

WannaCry có 2 cách thức lây lan chính:

Cách 1: Phát tán qua phương thức thông thường là đính kèm vào các bản “bẻ khóa”của phần mềm rồi chia sẻ lên các trang web có nhiều người truy cập Mục đích là để ngườidùng tải về và kích hoạt hoặc truy cập vào các trang web độc hại để lây nhiễm mã độc Vềmặt kỹ thuật, WannaCry phát tán qua các mạng lưới phát tán mã độc và bộ khai thác ExploitKit.

Cách 2: Lây lan qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của dịch

vụ SMB mà NSA phát triển bí mật, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh cắp

và phát hành công khai Cách này đã làm cho WannaCry lây lan một cách nhanh chóng trêntoàn thế giới

● Tìm hiểu về kĩ thuật ẩn mình cơ bản

Sử dụng Tên và Đường dẫn Giả mạo: Mã độc có thể sử dụng tên tệp và đường dẫn giảmạo để làm cho nó trông như một tệp hoặc chương trình hợp pháp Điều này làm cho việcphát hiện trở nên khó khăn hơn

Tạo Thay Đổi Trong Registry (Windows): Mã độc có thể tạo các mục registry giảmạo hoặc thay đổi các giá trị registry để tự khởi động cùng hệ thống Điều này giúp nó ẩnmình và khởi động mỗi khi máy tính được bật

Tự Điểm Đặt Lịch Trình (Cron Jobs Trên Unix/Linux): Trên các hệ điều hànhUnix/Linux, mã độc có thể tự động đặt lịch trình để chạy vào thời gian cố định, làm cho việcphát hiện trở nên khó khăn

Sử Dụng Mã Hóa: Mã độc có thể sử dụng mã hóa để che giấu nội dung của nó Nó sẽgiải mã nội dung chỉ khi cần thiết để thực hiện chức năng độc hại

Injecting vào Tiến trình Khác: Mã độc có thể tiêm chính nó vào tiến trình khác chạytrên hệ thống Điều này có thể làm cho việc phát hiện trở nên khó khăn hơn vì nó tồn tại dướidạng một phần của một tiến trình hợp pháp

Sử Dụng Giao Tiếp Không Rõ Ràng: Mã độc có thể sử dụng các kênh giao tiếp không

rõ ràng hoặc mã hóa thông tin giao tiếp để tránh bị phát hiện trong quá trình truyền dữ liệuđến hoặc từ máy chủ điều khiển

Sử Dụng Kỹ Thuật Anti-Debugging và Anti-Analysis: Mã độc có thể sử dụng các kỹthuật để phát hiện khi máy tính đang được kiểm tra hoặc phân tích bởi các công cụ debughoặc sandboxing và sau đó thực hiện hành động tương ứng để tránh bị phát hiện

Thay Đổi Chữ Ký: Mã độc có thể thay đổi các phần của chính nó để tránh sự pháthiện dựa trên chữ ký của các phần mềm bảo mật

Tự Xóa Sau Khi Hoàn Thành Nhiệm Vụ: Mã độc có thể được thiết lập để tự xóachính nó sau khi hoàn thành mục tiêu độc hại, làm cho việc phát hiện trở nên khó khăn hơn

Sử Dụng Kỹ Thuật Mã đa Biến: Kỹ thuật mã đa biến làm thay đổi mã độc mỗi lầnchạy, làm cho các chữ ký và phân tích dựa trên mẫu trở nên vô dụng

Các kỹ thuật này giúp cho mã độc tránh bị phát hiện và nắm quyền kiểm soát trênmáy tính mục tiêu một cách ẩn danh Để bảo vệ hệ thống, việc sử dụng phần mềm bảo mật,cập nhật hệ thống, và thực hiện các biện pháp an ninh hợp lý là rất quan trọng

● Tìm hiểu về Sandbox

Sandbox là một kỹ thuật giúp cô lập các ứng dụng, giúp bảo vệ và không cho cácphần mềm độc hại xâm nhập vào máy tính, điện thoại để hạn chế hỏng hệ thống máy hoặc rò

rỉ các thông tin cá nhân

Sandbox đóng vai trò là một môi trường dùng để chạy phần mềm và môi trường đóđược kiểm soát nghiêm ngặt và chặt chẽ

Sandbox sẽ giới hạn chức năng của một đoạn mã nào đó và cấp quyền cho chúng chỉđược hiện một số chức năng nhất định, không cho nó thực hiện những chức năng khác gâynguy hại đến máy tính của bạn.

● Giới thiệu về cuckoo sandbox

Cuckoo Sandbox là hệ thống phân tích mã độc tự động mã nguồn mở hàng đầu Bạn

có thể đưa bất kỳ tệp đáng ngờ nào vào nó và chỉ trong vài phút, Cuckoo sẽ cung cấp một báocáo chi tiết về hành vi của tệp khi chạy trong một môi trường cách ly thực tế nhưng ảo

Mã độc là công cụ đa năng của các kẻ tấn công mạng và bất kỳ kẻ thù nào đối với tậpđoàn hoặc tổ chức của bạn

Trong thời đại tiến triển này, phát hiện và loại bỏ các dấu vết của mã độc không đủ:quan trọng là hiểu cách chúng hoạt động để hiểu ngữ cảnh, động cơ và mục tiêu của việc xâmnhập

Cuckoo Sandbox là phần mềm miễn phí tự động hóa công việc phân tích bất kỳ tệpđộc hại nào trên Windows, macOS, Linux và Android

Nó có thể làm gì? Cuckoo Sandbox là hệ thống phân tích mã độc tự động cấp tiến,cực kỳ mô-đun hóa và 100% mã nguồn mở với vô số cơ hội ứng dụng Theo mặc định, nó cókhả năng:

+ Phân tích nhiều loại tệp độc hại khác nhau (tệp thực thi, tài liệu văn phòng, tệp PDF,email, vv) cũng như các trang web độc hại trong môi trường ảo Windows, Linux, mac

+ Thực hiện phân tích bộ nhớ nâng cao của hệ thống ảo bị nhiễm qua công cụ Volatilitycũng như trên mức bộ nhớ của quá trình sử dụng YARA

Nhờ tính chất mã nguồn mở và thiết kế mô-đun mạnh mẽ của Cuckoo, bạn có thể tùychỉnh bất kỳ khía cạnh nào của môi trường phân tích, xử lý kết quả phân tích và giai đoạn báocáo Cuckoo cung cấp cho bạn tất cả các yêu cầu để dễ dàng tích hợp hệ thống cát hộp vàokhung làm việc và hệ thống sau lưng hiện có của bạn theo cách bạn muốn, với định dạng bạnmuốn, và tất cả điều đó không đòi hỏi bất kỳ yêu cầu về cấp phép nào

● Giới thiệu về windows sandbox

Windows Sandbox được thiết kế cho mục đích bảo mật và dùng một lần, do đó, khibạn đã hoàn thành việc chạy ứng dụng ở chế độ này, toàn bộ Sandbox cũng sẽ bị xóa VớiWindows Sandbox, bạn sẽ không cần phải thiết lập một máy ảo, nhưng nó sẽ yêu cầu khảnăng ảo hóa được kích hoạt trong BIOS Microsoft đang cung cấp Windows Sandbox dướidạng một tính năng của Windows 10 Pro hoặc Windows 10 Enterprise, và công cụ này rõràng là hướng tới đối tượng người dùng là các doanh nghiệp hoặc những người dùng chuyênsâu, có nhu cầu cao về bảo mật

Ngoài ra, cũng sẽ có một tính năng mới khá thông minh, đó là mỗi khi WindowsSandbox được kích hoạt, nó chỉ đơn giản là tạo ra một bản cài đặt Windows nhẹ (100MB)mới để chạy ứng dụng Microsoft sẽ sử dụng trình ảo hóa riêng của mình để tạo ra một nhân(kernel) riêng biệt, cách ly hoàn toàn với PC chủ Người dùng Windows 10 sẽ có thể bắt đầuthử nghiệm tính năng mới này sau khi Microsoft phát hành bản cập nhật 18305 trở về sau.

Các đặc tính của Windows Sandbox:

● Sandbox là một phần của Windows - mọi thứ cần thiết cho tính năng này đều đikèm với Windows 10 Pro và Enterprise

● Nguyên bản - mỗi khi Windows Sandbox được khởi chạy, nó sẽ hoạt động nhưmột bản cài đặt hoàn toàn mới của Windows, và hoàn toàn “sạch sẽ”

● Dùng một lần - không có gì được giữ lại, mọi thứ sẽ bị xóa bỏ hoàn toàn sau khibạn đóng ứng dụng

● Bảo mật - Sandbox sử dụng ảo hóa dựa trên phần cứng để cách ly kernel, dựatrên bộ ảo hóa Microsoft để chạy kernel riêng biệt, đồng thời cũng cách lyWindows Sandbox khỏi máy tính chủ

● Hiệu quả - Sandbox sử dụng bộ lập lịch kernel tích hợp, quản lý bộ nhớ và GPU

ảo một cách thông minh

● Tìm hiểu về công cụ process monitor

- Process Monitor (ProcMon) là một công cụ mạnh mẽ được phát triển bởi Microsoft,được sử dụng để theo dõi và ghi lại hoạt động liên quan đến tiến trình (process) trên hệ thốngWindows Nó cho phép bạn xem các sự kiện hệ thống chi tiết liên quan đến tệp, registry,mạng, tiến trình, và nhiều khía cạnh khác của hoạt động hệ thống

- Process Monitor thường được sử dụng cho mục đích phân tích hệ thống, gỡ lỗi ứngdụng, và giám sát hoạt động không mong muốn

Một số đặc điểm quan trọng của công cụ Process Monitor:

- Real-time Monitoring: Process Monitor cho phép bạn theo dõi các hoạt động hệ thống

và ghi lại sự kiện một cách thời gian thực Bạn có thể xem các hoạt động ngay lập tức khichúng xảy ra trên hệ thống của bạn

- Sự Kiện Ghi Chép Chi Tiết: ProcMon ghi lại mọi hoạt động chi tiết, bao gồm thôngtin về tệp tin, registry, quyền truy cập, thời gian thực thi, và nhiều thông tin khác Điều nàygiúp bạn phân tích các vấn đề hệ thống chi tiết

- Bộ Lọc Tùy Chọn: Process Monitor cho phép bạn áp dụng các bộ lọc để tìm kiếmhoạt động cụ thể hoặc tập hợp các sự kiện Bạn có thể lọc dựa trên quyền, tên tệp, tiến trình,

và nhiều tiêu chí khác

- Ghi lại Log File: Bạn có thể xuất kết quả ghi lại thành một tệp log để xem lại sau hoặc

để chia sẻ với người khác để giải quyết các vấn đề hệ thống

- Hỗ Trợ cho Người Dùng Thường Xuyên và Chuyên Gia: ProcMon có giao diện dễ sửdụng cho người dùng thông thường, nhưng cũng cung cấp tính năng mạnh mẽ để phân tíchsâu hơn cho các chuyên gia

- Miễn Phí: Process Monitor là một công cụ miễn phí và có sẵn để tải xuống và sử dụngtrên các hệ thống Windows

- Các chức năng chính của Process Monitor bao gồm:

+ Theo dõi tất cả các hoạt động hệ thống: Process Monitor ghi lại tất cả các sự kiện

hệ thống như tạo, mở, đóng tệp, ghi vào Registry, gọi hàm hệ thống, và nhiều hoạtđộng hệ thống khác Điều này giúp bạn xem được toàn bộ quá trình diễn ra trong hệthống

+ Hiển thị thông tin chi tiết: Công cụ này cung cấp thông tin chi tiết về mỗi sự kiện,

bao gồm đường dẫn tệp, tên tiến trình, mã hóa hệ thống, thời gian thực hiện, và nhiềuthông tin khác Thông tin chi tiết này giúp bạn theo dõi và phân tích từng hoạt độngmột

+ Ghi lại Thời Gian Thực: Process Monitor hoạt động trong thời gian thực, cho phép

bạn xem các sự kiện hệ thống ngay lập tức khi chúng xảy ra Điều này giúp bạn kiểmtra và theo dõi hoạt động hệ thống trong thời gian thực

+ Hỗ Trợ Cho Trình Theo Dõi Lưu Lượng Mạng: Bạn có thể theo dõi và ghi lại hoạt

động lưu lượng mạng liên quan đến các tiến trình và ứng dụng trên hệ thống

+ Lọc và tìm kiếm sự kiện: Process Monitor cho phép bạn áp dụng bộ lọc để chỉ hiển

thị các sự kiện cụ thể, giúp làm sạch thông tin và tập trung vào điều bạn quan tâm.Bạn cũng có thể tìm kiếm sự kiện dựa trên nhiều tiêu chí để nhanh chóng tìm kiếmthông tin cụ thể

+ Xuất Kết Quả Ghi Lại: Process Monitor cho phép bạn lưu lại kết quả ghi lại hoạt

động hệ thống thành một tệp log để xem lại sau, phân tích hoặc chia sẻ với người khác.+ Xác định sự cố và lỗi hệ thống: Process Monitor là một công cụ mạnh mẽ để xác

định và giải quyết các sự cố và lỗi hệ thống Bằng cách xem các sự kiện hệ thống liênquan đến một ứng dụng hoặc tiến trình cụ thể, bạn có thể tìm ra vấn đề gốc rễ và thựchiện các biện pháp sửa chữa

+ Kiểm tra tác động của phần mềm độc hại: Process Monitor cũng được sử dụng để

phát hiện và phân tích phần mềm độc hại Bằng cách theo dõi các hoạt động khôngthường xuyên hoặc đáng ngờ, bạn có thể phát hiện sự tồn tại của phần mềm độc hạitrên hệ thống

+ Hỗ trợ trong phát triển ứng dụng: Nhà phát triển phần mềm có thể sử dụng Process

Monitor để theo dõi hoạt động của ứng dụng trong quá trình phát triển và kiểm tra cácvấn đề liên quan đến I/O, Registry, hoặc hành vi tiến trình khác

● Tìm hiểu về công cụ malwarebyte

- Malwarebytes là một phần mềm bảo mật nổi tiếng khắp thế giới về khả năng chốnglại tất cả các mối đe dọa từ những loại mã độc, virus tinh vi Tính năng diệt virus củaMalwarebytes được đánh giá hữu hiệu hơn những phần mềm anti-virus truyền thống

- Malwarebytes có các tính năng sau:

+ Tính năng bảo vệ máy tính khỏi malware: Ứng dụng có khả năng ngăn chặn các

loại phần mềm độc hại đối với máy tính và dữ liệu ở trong đó Ngăn chặn các phầnmềm gián điệp, malware, trojan, worm, ransomware,…

+ Tính năng xác định Virus khác: Xác định một số loại virus khác nhất định không

chỉ malware

+ Tính năng xác định mối nguy hại: Phương pháp Heuristics, Malwarebytes sẽ có khả

năng xác định xem đối tượng có nguy cơ xâm hại đến máy tính hay dữ liệu hay không.+ Nhiều tùy chọn quét khác nhau: Nhiều mức độ quét như Threat Scan, Hyper Scan

hay Custom Scan, bạn có thể yên tâm về độ chính xác mà Malwarebytes mang lại.+ Ngăn chặn tấn công mạng: Ứng dụng được cập nhật thường xuyên, và luôn trong

tình trạng sẵn sàng cho việc ngăn chặn tấn công mạng hay các loại phần mềm độc hạimới được phát tán,

+ Cập nhật liên tục: Cập nhật liên tục đảm bảo các công cụ mới các tính năng mới

luôn được update liên tục Nâng cao hiệu quả bảo vệ của Malwarebytes đối với cơ sở

dữ liệu của người dùng

- Quy trình quét virus của Malwarebytes trải qua 7 bước:

+ Bước 1: Kiểm tra bản dữ liệu đã cập nhật hay chưa (Check for updates)

+ Bước 2: Chuẩn bị quét (Pre-Scan Operations)

+ Bước 3: Quét bộ nhớ (Scan Memory)

+ Bước 4: Quét file khởi động của Windows (Scan Startup files)

+ Bước 5: Quét Registry (Scan Registry)

+ Bước 6: Quét toàn bộ file hệ thống (Scan File System)

+ Bước 7: Phân tích các hành động khả nghi (Heuristic Analysis)

- Một số lý do mà Malwarebytes có thể phát hiện một tệp là virut có thể bao gồm:+ Chữ ký chính xác: Malwarebytes có thể có dữ liệu chữ ký của virut trong cơ sở dữ

liệu của nó Nếu tệp hoặc chương trình trên hệ thống của bạn có chữ ký tương tự hoặcgiống với dữ liệu chữ ký của virus, phần mềm có thể xác định rằng đó là một loạivirut

+ Hành vi đáng ngờ: Malwarebytes theo dõi hành vi của các tiến trình và ứng dụng.

Nếu một tệp hoặc tiến trình hoạt động theo cách đáng ngờ và tương tự như cách màvirus thường hoạt động, phần mềm có thể báo cáo rằng đó là một mối đe dọa

+ Kiểm tra heuristics: Malwarebytes sử dụng thuật toán heuristics để xác định các hoạt

động bất thường có thể liên quan đến phần mềm độc hại Nếu tệp hoặc tiến trình hiểnthị các đặc điểm bất thường, nó có thể được xem xét là một tiềm ẩn đối tượng độc hại.+ Cơ sở dữ liệu cập nhật: Phần mềm chống malware thường cập nhật cơ sở dữ liệu

của nó để phát hiện các mối đe dọa mới Nếu virus mới được phát hiện sau khi bạncập nhật Malwarebytes, nó có thể xác định được nó

 Tìm hiểu về Process Explorer

Process Explorer là một phần mềm miễn phí cho MicrosoftWindows do Sysinternals tạo ra, và được tập đoàn Microsoft mua lại

Process Explorer là tiện ích theo dõi và kiểm tra hệ thống, có thể sử dụng như một công

cụ gỡ rối cho các phần mềm cũng như các vấn đề phát sinh của hệ thống Có thể dùngnhư một tiện ích thay thế Task Manager của Windows

Process Explorer có thể được sử dụng để theo dõi về các vấn đề Ví dụ như, xem tiếntrình nào đang chạy, theo dõi những tệp tin đang được mở bởi các chương trình,hiện dòng lệnh đã được sử dụng để khởi động chương trình Nó cũng được dùngnhư Task Manager để quản lý tài khoản từng chương trình chiếm dụng, thiết lập mức độ

ưu tiên của từng tiến trình,v.v

Process Explorer là một trong những tiện ích quản lý vào theo dõi hệ thống sẵn dùngtại Microsoft Sysinternals website.

Hiện nay Process Explorer làm việc trên Windows XP, Windows Server 2003, WindowsVista, Windows 7 và các phiên bản sau này của Windows bao gồm cả các phiên bản 64-bit

Chức năng

 Xem các quá trình theo cấu trúc cây

 Có khả năng hiện biểu tượng và tên nhà sản xuất của từng quá trình

 Có khả năng tạm dừng/tiếp tục một quá trình

 Diệt một cây quá trình

 Tìm kiếm dll, tài nguyên đang bị chiếm giữ, giải phóng tài nguyên bị chiếm giử

 Đặt mức độ ưu tiên cho các tiến trình

 Đồ thị trạng thái ở khay hệ thống

 Khởi chạy các tiến trình với quyền hạn chế/ nâng cao

 Tìm hiểu về công cụ TCPVIEW

- TCPView có tác dụng là liệt kê các tiến trình có hoạt động giao tiếp với bên ngoài Công cụnày tương tự với netstat tuy nhiên nó hiệu quả hơn rất nhiều khi chỉ rõ được ứng dụng nàođang chạy tiến trình đó

- Người quản trị hệ thống Windows thường xuyên cần phải theo dõi các cổng, dịch vụ, địachỉ IP, trạng thái kết nối các hoạt động trong mạng để xác định cổng mạng máy chủ ứng dụngđang hoạt động, đảm bảo rằng các cổng không bị mở không kiểm soát, hoặc tìm hiểu cácđược kết nối tới hệ thống đang truy cập Người quản trị có thể dùng kết hợp nhiều công cụ

như ngay trong Windows là trình netstat để có được thông tin như vậy, nhưng netstat có một

số hạn chế Các phiên bản có sẵn trong Windows 2000 và các phiên bản trước đó không cóbáo cáo về quá trình liên kết với một thiết bị đầu cuối; các phiên bản tích hợp sẵn trongWindows Server 2003 và Windows XP cho thấy tiến trình chủ sở hữu các tiến trìnhkhác(Process ID), nhưng không phải là image name của tiến trình Những hạn chế này làmcho khó khăn để xác định tiến trình nào sở hữu một cổng mạng đang mở Hơn

nữa, netstat không thuận tiện để xem các thay đổi trong giao thức TCP / IP việc sử dụng các

cổng

- Trong bộ công cụ Sysinternals, phần mềm công cụ TCPView là một ứng dụng miễn phíchạy trên Windows NT 4.0 và trên các nền tảng NT sau này Phần mềm hiển thị một tập các

thông tin mà chương trình giống như netstat, hơn thế nữa cung cấp cho người quản trị một

cách dễ dàng theo dõi những thay đổi để sử dụng cổng theo thời gian

3 Demo

- Wannacry trên cuckoo sandbox

+ Khởi động cuckoo