Trang 3 ->Săn tìm dữ liệu nhạy cảm: Zeus theo dõi các hoạt động của người dùng trên máy tính nhiễm bệnh, đặc biệt là khi họ truy cập các trang web ngân hàng hoặc cung cấp thông tin tài k
Trang 1MÔN HỌC PHÂN TÍCH MÃ ĐỘC
BÀI TẬP LỚP
Giảng viên hướng dẫn : Đinh Trường Duy
Sinh Viên: Nguyễn Đăng Tuấn Bảo
Mã Sinh Viên: B20DCAT015 Lớp: D20CQAT03-B
Hà Nội, tháng 10/2023
Trang 21 Tìm mỗi loại mã độc trong 9 loại đã học 1 mẫu Phân tích nhanh nguồn gốc, chức năng, cách hoạt động của nó.
1 Backdoor: cho phép truy nhập trực tiếp vào hệ thống mà không qua các thủ tục
kiểm tra an ninh thông thường
Nguồn gốc của Zbot: Trojan Zeus (Zbot) xuất phát từ nước Nga và đã được tạo
ra bởi một nhóm hacker hoặc tội phạm mạng không rõ danh tính Ban đầu, nó được phát hiện vào năm 2007 và đã trải qua nhiều biến đổi và cập nhật từ đó Chức năng cơ bản của Sub7:
->Đánh cắp thông tin cá nhân: Trojan Zeus được thiết kế để đánh cắp thông tin nhạy cảm từ máy tính bị nhiễm, bao gồm tên người dùng, mật khẩu, số thẻ tín dụng, và các thông tin liên quan đến tài khoản ngân hàng
->Gửi thông tin đến máy chủ kiểm soát: Nó có khả năng gửi các thông tin đã thu thập về các máy chủ kiểm soát được điều khiển bởi hacker Điều này cho phép hacker kiểm soát và sử dụng thông tin đánh cắp
Cách hoạt động cụ thể của Sub7:
->Phân tán: Trojan Zeus thường được phân tán qua các phương tiện như email spam, trang web độc hại hoặc cảnh báo giả mạo Các tập tin độc hại được gửi đính kèm vào email hoặc ẩn trong các tệp tin tải xuống từ các trang web không an toàn
->Ngự trị ẩn danh: Khi nó lọt vào máy tính, Trojan Zeus có khả năng chạy
ẩn danh, tùy biến và che giấu mình trong các tệp tin hệ thống để tránh sự phát hiện
Trang 3->Săn tìm dữ liệu nhạy cảm: Zeus theo dõi các hoạt động của người dùng trên máy tính nhiễm bệnh, đặc biệt là khi họ truy cập các trang web ngân hàng hoặc cung cấp thông tin tài khoản cá nhân
->Gửi thông tin đánh cắp: Thông tin thu thập được gửi về các máy chủ kiểm soát được điều khiển bởi hacker, người có thể sử dụng nó để tiến hành các hoạt động gian lận hoặc lừa đảo
2 Logic bombs: được “nhúng” vào các chương trình bình thường và thường hẹn
giờ để “phát nổ” trong một số điều kiện củ thể Khi “phát nổ” bom logic có thể xoá dữ liệu, files, tắt cả hệ thống
Nguồn gốc:
Melissa virus (hoặc W97M/Melissa) được tạo ra bởi một người có biệt danh
"Kwyjibo" vào năm 1999 Virus này là một ví dụ tiêu biểu về logic bomb và phần mềm độc hại
Chức năng:
->Lây nhiễm và lan truyền: Melissa là một loại virus lây truyền qua email dưới dạng một tệp đính kèm với tên "list.doc" Khi người dùng mở tệp tin này, virus sẽ tự động kích hoạt
->Gửi email truyền nhiễm: Melissa sẽ tự động gửi bản thân đến 50 địa chỉ email ngẫu nhiên từ danh bạ email của nạn nhân Điều này dẫn đến việc lan truyền rộng rãi của virus
->Logic Bomb: Melissa cũng chứa một phần logic bomb Ngày 26 của mỗi tháng, virus sẽ chuyển sang một giai đoạn "bẩn thỉu" Trong giai đoạn này,
nó sẽ thay đổi tài liệu văn bản được mở bằng Word bằng cách chèn các trích dẫn từ show truyền hình "The Simpsons" Logic bomb này sẽ gây ra tình trạng quá tải trên mạng và email servers vào ngày đó
Cách hoạt động:
->Người dùng nhận email với tệp đính kèm "list.doc" và mở nó
Khi tệp tin mở, virus được kích hoạt và tiến hành lây nhiễm máy tính của nạn nhân
Sau đó, vào ngày 26 của mỗi tháng, logic bomb được kích hoạt Virus thực hiện các thay đổi tài liệu văn bản và gửi email truyền nhiễm
3 Trojan: giả danh những chương trình có ích, nhằm lừa người dùng kích hoạt
chúng
Nguồn gốc:
->Trojan Stuxnet được phát hiện vào năm 2010 và trở nên nổi tiếng vì nó là một trong những loại Trojan phức tạp nhất và có mục tiêu rõ ràng nhất từng được phát hiện Mục tiêu của nó là tấn công hệ thống kiểm soát và giám sát của các nhà máy điện hạt nhân ở Iran
Trang 4Chức năng:
->Phá hoại hệ thống công nghiệp: Stuxnet được thiết kế để tấn công và phá hoại các hệ thống kiểm soát công nghiệp, đặc biệt là hệ thống điều khiển PLC (Programmable Logic Controller)
->Lây nhiễm và lan truyền: Trojan Stuxnet sử dụng các lỗ hổng bảo mật trong hệ điều hành Windows để lây nhiễm máy tính Nó cũng có khả năng tự sao chép và lan truyền thông qua các thiết bị USB và mạng local
Cách hoạt động:
->Lây nhiễm: Stuxnet sử dụng các lỗ hổng bảo mật trong Windows để xâm
nhập vào máy tính Khi máy tính bị nhiễm, nó bắt đầu thực hiện các hoạt động phá hoại
->Tấn công hệ thống điều khiển: Trojan Stuxnet sử dụng các lỗ hổng trong
hệ thống kiểm soát PLC để gửi lệnh và thay đổi các thiết lập quan trọng Điều này có thể gây ra sự hỏng hóc và thậm chí phá hủy các thiết bị và quy trình trong một nhà máy điện hạt nhân
4 Spyware: là một dạng phần mềm độc hại được cài đặt tự động nhằm giám sát,
thu thập và đánh cắp các thông tin nhạy cảm trên hệ thống nạn nhân
Nguồn gốc:
->FlexiSpy là một loại phần mềm giám sát và theo dõi dùng để theo dõi hoạt động của điện thoại di động và các thiết bị di động khác Nó được phát triển bởi một công ty có cùng tên, FlexiSPY, và đã tạo ra tranh cãi lớn do việc sử dụng không đúng cách có thể vi phạm quyền riêng tư của người khác
Chức năng:
->Giám sát hoạt động điện thoại: FlexiSpy cho phép người sử dụng giám sát
và ghi lại các cuộc gọi, tin nhắn, ảnh, video, vị trí GPS, và nhiều hoạt động khác trên điện thoại di động mục tiêu
->Ghi âm cuộc gọi: Nó cung cấp tính năng ghi âm cuộc gọi điện thoại để người sử dụng có thể nghe lại sau này
Cách hoạt động:
->Cài đặt ẩn danh: Spyware như FlexiSpy thường được cài đặt ẩn danh trên điện thoại mục tiêu mà người dùng không nhận ra
->Thu thập thông tin: Sau khi được cài đặt, nó ghi lại và gửi các thông tin nhạy cảm về các hoạt động của điện thoại di động đó đến máy chủ điều khiển được quản lý bởi người sử dụng spyware
->Truy cập và giám sát từ xa: Người sử dụng có thể truy cập máy chủ điều khiển từ xa thông qua giao diện trực tuyến và xem thông tin được ghi lại từ điện thoại di động mục tiêu
Trang 55 Rootkit: một loại phần mềm độc hại được thiết kế để ẩn danh trên hệ thống máy
tính và cho phép kẻ tấn công có quyền truy cập cao nhất vào hệ thống mà không bị phát hiện
Nguồn gốc:
->Rootkit của Sony BMG là một trường hợp nổi tiếng và gây tranh cãi năm
2005 khi hãng ghi âm Sony BMG cố gắng kiểm soát việc sao chép bất hợp pháp của các CD âm nhạc bằng cách sử dụng rootkit
Chức năng:
->Ẩn và che giấu: Rootkit giúp che giấu các thành phần phần mềm độc hại trên hệ thống, làm cho chúng trở nên khó phát hiện và loại bỏ
->Tránh bị gỡ bỏ: Nó có khả năng tự bảo vệ và tự tái cài đặt sau khi bị gỡ
bỏ, tạo ra sự khó khăn đối với việc loại bỏ rootkit
Cách hoạt động:
->Cài đặt ẩn danh: Rootkit được cài đặt vào hệ thống một cách ẩn danh, thường bằng cách sử dụng các lỗ hổng bảo mật hoặc kỹ thuật xâm nhập khác
->Che giấu các hoạt động độc hại: Rootkit thường che giấu các hoạt động của phần mềm độc hại, làm cho chúng trở nên khó nhận diện
->Tự bảo vệ và tự tái cài đặt: Khi rootkit bị phát hiện và loại bỏ, nó có thể cố gắng tự bảo vệ bằng cách khắc phục lại mình hoặc triển khai các biến thể khác để tiếp tục tấn công
6 Viruses: là một chương trình có thể “nhiễm” vào các chương trình khác,
bằng cách sửa đổi các chương trình này Nếu các chương trình đã bị sửa đổi
chứa vi rút được kích hoạt thì vi rút sẽ tiếp tục “lây nhiễm” sang các chương
trình khác Vi rút máy tính cũng có khả năng tự nhân bản, tự lây nhiễm sang
các chương trình khác mà nó tiếp xúc Có nhiều con đường lây nhiễm vi rút,
như sao chép file, gọi các ứng dụng và dịch vụ qua mạng, email
Nguồn gốc:
->ILOVEYOU là một loại virus máy tính có hại được phát hiện vào năm
2000 Nó xuất phát từ Philippines và trở thành một trong những loại virus phổ biến nhất trong lịch sử Internet
Chức năng:
->Lây nhiễm và lan truyền: ILOVEYOU lây nhiễm qua email dưới dạng một tệp tin đính kèm với tên "LOVE-LETTER-FOR-YOU.txt.vbs" Khi người dùng mở tệp tin này, virus sẽ kích hoạt và bắt đầu lây nhiễm hệ thống
->Ghi đè và xóa dữ liệu: Sau khi lây nhiễm, ILOVEYOU sẽ tiến hành ghi đè lên các tệp tin hình ảnh, âm thanh và văn bản bằng cách chuyển đổi chúng thành các bản sao của chính nó, gây ra sự mất mát dữ liệu quan trọng
->Gửi bản thân qua email: ILOVEYOU cũng có khả năng tự gửi bản thân đến địa chỉ email trong danh bạ của người bị nhiễm
Trang 6Cách hoạt động:
->Người dùng nhận email và mở đính kèm: ILOVEYOU được gửi dưới dạng một tệp tin đính kèm với tên "LOVE-LETTER-FOR-YOU.txt.vbs" ->Kích hoạt virus: Khi tệp tin mở, virus được kích hoạt và bắt đầu lây nhiễm
hệ thống
->Ghi đè và lan truyền: ILOVEYOU tiến hành ghi đè lên các tệp tin quan trọng và lan truyền qua email đến các địa chỉ trong danh bạ của người bị nhiễm
7 Ransomware: mã hóa tệp tin và tống tiền
Nguồn gốc:
->CryptoLocker xuất hiện lần đầu vào năm 2013 Đây là một trong những loại ransomware đầu tiên và đã gây ra nhiều thiệt hại lớn trên toàn cầu Chức năng:
->Mã hóa dữ liệu: CryptoLocker mã hóa dữ liệu trên máy tính mục tiêu, làm cho chúng trở nên không thể truy cập hoặc đọc được
->Yêu cầu tiền chuộc: Ransomware hiển thị một thông báo yêu cầu nạn nhân trả tiền chuộc, thường được yêu cầu trả bằng tiền điện tử như Bitcoin hoặc Monero, để nhận được chìa khóa giải mã
Cách hoạt động:
->Lây nhiễm: CryptoLocker thường lây nhiễm qua email phishing hoặc trang web độc hại Khi người dùng mở tệp tin hoặc truy cập trang web bị nhiễm, ransomware bắt đầu hoạt động
->Mã hóa dữ liệu: Sau khi lây nhiễm, CryptoLocker bắt đầu mã hóa dữ liệu trên máy tính và các ổ đĩa kết nối
->Hiển thị thông báo chuộc tiền: Ransomware hiển thị một thông báo yêu cầu nạn nhân trả tiền chuộc để nhận chìa khóa giải mã Thông báo này thường có hạn thời gian, đe dọa rằng nếu không trả tiền trong thời hạn, chìa khóa giải mã sẽ bị hủy bỏ
8 Worms: là một loại phần mềm độc hại có khả năng tự lây nhiễm từ máy này
sang máy khác mà không cần chương trình chủ, vật chủ, hoặc sự trợ giúp của người dùng Khi sâu lây nhiễm vào một máy, nó sử dụng máy này làm “bàn đạp”
để tiếp tục rà quét, tấn công các máy khác Các phương pháp lây lan chính của sâu gồm: lây lan qua thư điện tử, lây lan thông qua khả năng thực thi từ xa, lây lan thông qua khả năng log-in (đăng nhập) từ xa
Nguồn gốc:
->Conficker (còn được gọi là Downadup) là một loại worm máy tính được phát hiện vào cuối năm 2008 Nó đã tấn công hàng triệu máy tính trên toàn thế giới và vẫn còn được coi là một trong những mối đe dọa tiềm ẩn trong thế giới công nghệ
Chức năng:
Trang 7->Lây nhiễm và lan truyền: Conficker sử dụng các lỗ hổng bảo mật trong hệ điều hành Windows để lây nhiễm máy tính Nó cũng có khả năng tự sao chép và lan truyền trong mạng nội bộ
->Tự cập nhật: Một trong những đặc điểm đáng chú ý của Conficker là khả năng tự cập nhật từ các máy chủ điều khiển của nó, giúp nó thích ứng với các biện pháp bảo mật mới
Cách hoạt động:
->Lây nhiễm: Conficker sử dụng các lỗ hổng bảo mật trong Windows để lây nhiễm máy tính Điều này có thể xảy ra thông qua các tệp tin đính kèm, trang web độc hại, hoặc các lỗ hổng trong hệ điều hành
->Cập nhật và tự cập nhật: Conficker có khả năng tải về và cài đặt các phiên bản mới của chính nó từ các máy chủ điều khiển, giúp nó thích ứng với biện pháp bảo mật mới
->Tấn công: Một khi đã lây nhiễm, Conficker có thể thực hiện các hành động gây hại, bao gồm cài đặt và chạy phần mềm độc hại khác, steal thông tin cá nhân, và tấn công các mạng và máy tính khác trong cùng một mạng nội bộ
9 Zombie/Bot: là một chương trình được thiết kế để giành quyền kiểm soát một
máy tính, hoặc thiết bị tính toán có kết nối Internet và sử dụng máy tính bị kiểm soát để tấn công các hệ thống khác, hoặc gửi thư rác Botnet (mạng máy tính ma)
là một tập hợp các máy tính bot dưới sự kiểm soát của một, hoặc một nhóm kẻ tấn công
Nguồn gốc:
->Storm Worm Botnet xuất hiện vào cuối năm 2006 và nhanh chóng trở thành một trong những botnet lớn nhất và nguy hiểm nhất từng được biết đến Chức năng:
->Hình thành botnet: Mục tiêu của Storm Worm Botnet là tạo ra một mạng zombie lớn bằng cách lây nhiễm hàng nghìn hoặc thậm chí hàng triệu máy tính trên toàn thế giới
->Thực hiện tấn công phân phối spam và phá hoại: Botnet này có thể thực hiện các loại tấn công như gửi email spam, phá hoại hệ thống, và thậm chí tham gia vào các cuộc tấn công phân tán (DDoS)
Cách hoạt động:
->Lây nhiễm: Storm Worm Botnet sử dụng các email spam chứa các tệp tin đính kèm độc hại để lây nhiễm máy tính Khi người dùng mở tệp tin, máy tính sẽ
bị lây nhiễm và trở thành một phần của botnet
->Kết nối và tương tác với máy chủ điều khiển: Máy tính bị lây nhiễm sẽ kết nối với các máy chủ điều khiển được quản lý bởi kẻ tấn công Thông qua kết nối này, máy tính có thể nhận lệnh để thực hiện các loại tấn công khác nhau
Trang 8->Tham gia vào hoạt động tấn công: Máy tính trong botnet có thể được điều khiển để thực hiện các loại tấn công như gửi email spam, tấn công DDoS, hoặc tham gia vào các hoạt động phá hoại khác
2 Tìm hiểu cách dựng được môi trường để phân tích mã độc Thực hiện chạy
3 mẫu mã độc và đưa ra kết quả.
Trước khi bạn chạy phần mềm độc hại để thực hiện phân tích động, bạn phải thiết lập môi trường an toàn Phần mềm độc hại mới có thể đầy bất ngờ, và nếu bạn chạy nó trên một máy chạy sản xuất, nó có thể nhanh chóng lan sang các máy khác trong mạng và rất khó loại bỏ Môi trường an toàn sẽ cho phép bạn điều tra về phần mềm độc hại mà không thể xâm nhập vào máy tính của bạn hoặc máy tính khác trong mạng lưới vào rủi ro không mong muốn
Creating Your Malware Analysis Machine sử dụng VMware
Configuring VMware
Khi phân tích phần mềm độc hại, bạn có thể muốn quan sát hoạt động mạng của phần mềm độc hại để giúp bạn hiểu ý định của tác giả, tạo chữ ký hoặc thực hiện chương trình một cách đầy đủ VMware cung cấp một số tùy chọn mạng cho mạng ảo
Disconnecting the Network
Mặc dù bạn có thể cấu hình máy tính ảo không kết nối mạng, thường không nên tắt kết nối mạng Thực hiện điều này chỉ hữu ích trong một số trường hợp cụ thể Mà không có kết nối mạng, bạn sẽ không thể phân tích hoạt động mạng độc hại
Setting Up Host-Only Networking
Một tính năng tạo ra một mạng LAN riêng biệt giữa hệ điều hành máy chủ và hệ điều hành máy ảo, thường được sử dụng cho phân tích phần mềm độc hại Mạng chỉ cho máy chủ không được kết nối đến Internet, điều này có nghĩa là phần mềm độc hại được giữ trong máy tính ảo của bạn nhưng vẫn có mạng
Using Multiple Virtual Machines
Cấu hình cuối cùng kết hợp các tùy chọn tốt nhất Nó yêu cầu nhiều máy tính ảo được liên kết thông qua mạng LAN nhưng không được kết nối với Internet và máy tính máy chủ, để phần mềm độc hại được kết nối với mạng, nhưng mạng không được kết nối với bất cứ điều gì quan trọng
Chạy và phân tích phần mềm độc hại bằng cách sử dụng VMware và máy tính ảo đòi hỏi các bước sau:
1 Bắt đầu bằng một bản snapshot mà không có phần mềm độc hại chạy trên đó
2 Truyền phần mềm độc hại vào máy tính ảo
3 Tiến hành phân tích trên máy tính ảo
Trang 94 Lấy ghi chú, ảnh chụp màn hình và dữ liệu từ máy tính ảo và truyền chúng vào máy tính vật lý
5 Quay trở lại máy tính ảo bằng bản snapshot
- Cài đặt cuckoo sandbox
Cuckoo là một sandbox phân tích malware Cho phép thực thi malware trong một môi trường máy ảo, ngoài ra nó còn cho phép phân tích trên môi trường máy thật Kiến trúc của cuckoo theo mô hình của một máy ảo thật sự bao gồm host và guest
Yêu cầu:
1 Một máy tính chạy Linux (thường là Ubuntu hoặc Debian)
2 Python 2.7
3 QEMU (một ứng dụng ảo hóa)
4 Một máy ảo Windows để chạy các mẫu độc hại
5 Một môi trường máy ảo hoặc thiết bị vật lý để chạy môi trường Cuckoo Sandbox
Bước 1: Cài đặt các phụ thuộc:
Bước 2: Cài đặt YARA:
Bước 3: Cài đặt Mongodb:
Bước 4: Cài đặt VirtualBox hoặc VMware (tuỳ chọn): Nếu bạn muốn sử
dụng VirtualBox hoặc VMware cho các máy ảo Windows, bạn cần cài đặt nó trước
Bước 5: Cài đặt Cuckoo Sandbox:
Bước 6: Cấu hình Cuckoo: Chỉnh sửa tệp cấu hình Cuckoo theo cách mà bạn
muốn sử dụng Bạn cần chỉ định đường dẫn đến các công cụ bên ngoài như QEMU, VirtualBox hoặc VMware và cấu hình các tùy chọn mạng
Bước 7: Chạy Cuckoo:
Sau khi đã cấu hình và chạy Cuckoo, bạn có thể gửi các mẫu độc hại để phân tích bằng cách sử dụng API hoặc giao diện web
+ Máy host là máy được cài chương trình ảo hóa như virtualbox hay vmware + Máy guest là một máy tính được cài hệ điều hành dành cho việc thực thi malware Có thể là máy ảo hoặc máy vật lý
- Malware Azorult.exe Trojan