Trang 3 ->Săn tìm dữ liệu nhạy cảm: Zeus theo dõi các hoạt động của người dùng trên máy tính nhiễm bệnh, đặc biệt là khi họ truy cập các trang web ngân hàng hoặc cung cấp thông tin tài k
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN MƠN HỌC PHÂN TÍCH MÃ ĐỘC BÀI TẬP LỚP Giảng viên hướng dẫn : Đinh Trường Duy Sinh Viên: Nguyễn Đăng Tuấn Bảo Mã Sinh Viên: B20DCAT015 Lớp: D20CQAT03-B Hà Nội, tháng 10/2023 Nguyễn Đăng Tuấn Bảo-b20dcat015 Tìm loại mã độc loại học mẫu Phân tích nhanh nguồn gốc, chức năng, cách hoạt động Backdoor: cho phép truy nhập trực tiếp vào hệ thống mà không qua thủ tục kiểm tra an ninh thông thường Nguồn gốc Zbot: Trojan Zeus (Zbot) xuất phát từ nước Nga tạo nhóm hacker tội phạm mạng khơng rõ danh tính Ban đầu, phát vào năm 2007 trải qua nhiều biến đổi cập nhật từ Chức Sub7: ->Đánh cắp thông tin cá nhân: Trojan Zeus thiết kế để đánh cắp thông tin nhạy cảm từ máy tính bị nhiễm, bao gồm tên người dùng, mật khẩu, số thẻ tín dụng, thông tin liên quan đến tài khoản ngân hàng ->Gửi thơng tin đến máy chủ kiểm sốt: Nó có khả gửi thông tin thu thập máy chủ kiểm soát điều khiển hacker Điều cho phép hacker kiểm sốt sử dụng thơng tin đánh cắp Cách hoạt động cụ thể Sub7: ->Phân tán: Trojan Zeus thường phân tán qua phương tiện email spam, trang web độc hại cảnh báo giả mạo Các tập tin độc hại gửi đính kèm vào email ẩn tệp tin tải xuống từ trang web khơng an tồn ->Ngự trị ẩn danh: Khi lọt vào máy tính, Trojan Zeus có khả chạy ẩn danh, tùy biến che giấu tệp tin hệ thống để tránh phát Nguyễn Đăng Tuấn Bảo-b20dcat015 ->Săn tìm liệu nhạy cảm: Zeus theo dõi hoạt động người dùng máy tính nhiễm bệnh, đặc biệt họ truy cập trang web ngân hàng cung cấp thông tin tài khoản cá nhân ->Gửi thông tin đánh cắp: Thông tin thu thập gửi máy chủ kiểm soát điều khiển hacker, người sử dụng để tiến hành hoạt động gian lận lừa đảo Logic bombs: “nhúng” vào chương trình bình thường thường hẹn để “phát nổ” số điều kiện củ thể Khi “phát nổ” bom logic xố liệu, files, tắt hệ thống Nguồn gốc: Melissa virus (hoặc W97M/Melissa) tạo người có biệt danh "Kwyjibo" vào năm 1999 Virus ví dụ tiêu biểu logic bomb phần mềm độc hại Chức năng: ->Lây nhiễm lan truyền: Melissa loại virus lây truyền qua email dạng tệp đính kèm với tên "list.doc" Khi người dùng mở tệp tin này, virus tự động kích hoạt ->Gửi email truyền nhiễm: Melissa tự động gửi thân đến 50 địa email ngẫu nhiên từ danh bạ email nạn nhân Điều dẫn đến việc lan truyền rộng rãi virus ->Logic Bomb: Melissa chứa phần logic bomb Ngày 26 tháng, virus chuyển sang giai đoạn "bẩn thỉu" Trong giai đoạn này, thay đổi tài liệu văn mở Word cách chèn trích dẫn từ show truyền hình "The Simpsons" Logic bomb gây tình trạng tải mạng email servers vào ngày Cách hoạt động: ->Người dùng nhận email với tệp đính kèm "list.doc" mở Khi tệp tin mở, virus kích hoạt tiến hành lây nhiễm máy tính nạn nhân Sau đó, vào ngày 26 tháng, logic bomb kích hoạt Virus thực thay đổi tài liệu văn gửi email truyền nhiễm Trojan: giả danh chương trình có ích, nhằm lừa người dùng kích hoạt chúng Nguồn gốc: ->Trojan Stuxnet phát vào năm 2010 trở nên tiếng loại Trojan phức tạp có mục tiêu rõ ràng phát Mục tiêu cơng hệ thống kiểm soát giám sát nhà máy điện hạt nhân Iran Nguyễn Đăng Tuấn Bảo-b20dcat015 Chức năng: ->Phá hoại hệ thống công nghiệp: Stuxnet thiết kế để công phá hoại hệ thống kiểm sốt cơng nghiệp, đặc biệt hệ thống điều khiển PLC (Programmable Logic Controller) ->Lây nhiễm lan truyền: Trojan Stuxnet sử dụng lỗ hổng bảo mật hệ điều hành Windows để lây nhiễm máy tính Nó có khả tự chép lan truyền thông qua thiết bị USB mạng local Cách hoạt động: ->Lây nhiễm: Stuxnet sử dụng lỗ hổng bảo mật Windows để xâm nhập vào máy tính Khi máy tính bị nhiễm, bắt đầu thực hoạt động phá hoại ->Tấn công hệ thống điều khiển: Trojan Stuxnet sử dụng lỗ hổng hệ thống kiểm soát PLC để gửi lệnh thay đổi thiết lập quan trọng Điều gây hỏng hóc chí phá hủy thiết bị quy trình nhà máy điện hạt nhân Spyware: dạng phần mềm độc hại cài đặt tự động nhằm giám sát, thu thập đánh cắp thông tin nhạy cảm hệ thống nạn nhân Nguồn gốc: ->FlexiSpy loại phần mềm giám sát theo dõi dùng để theo dõi hoạt động điện thoại di động thiết bị di động khác Nó phát triển cơng ty có tên, FlexiSPY, tạo tranh cãi lớn việc sử dụng không cách vi phạm quyền riêng tư người khác Chức năng: ->Giám sát hoạt động điện thoại: FlexiSpy cho phép người sử dụng giám sát ghi lại gọi, tin nhắn, ảnh, video, vị trí GPS, nhiều hoạt động khác điện thoại di động mục tiêu ->Ghi âm gọi: Nó cung cấp tính ghi âm gọi điện thoại để người sử dụng nghe lại sau Cách hoạt động: ->Cài đặt ẩn danh: Spyware FlexiSpy thường cài đặt ẩn danh điện thoại mục tiêu mà người dùng không nhận ->Thu thập thông tin: Sau cài đặt, ghi lại gửi thông tin nhạy cảm hoạt động điện thoại di động đến máy chủ điều khiển quản lý người sử dụng spyware ->Truy cập giám sát từ xa: Người sử dụng truy cập máy chủ điều khiển từ xa thông qua giao diện trực tuyến xem thông tin ghi lại từ điện thoại di động mục tiêu Nguyễn Đăng Tuấn Bảo-b20dcat015 Rootkit: loại phần mềm độc hại thiết kế để ẩn danh hệ thống máy tính cho phép kẻ cơng có quyền truy cập cao vào hệ thống mà không bị phát Nguồn gốc: ->Rootkit Sony BMG trường hợp tiếng gây tranh cãi năm 2005 hãng ghi âm Sony BMG cố gắng kiểm soát việc chép bất hợp pháp CD âm nhạc cách sử dụng rootkit Chức năng: ->Ẩn che giấu: Rootkit giúp che giấu thành phần phần mềm độc hại hệ thống, làm cho chúng trở nên khó phát loại bỏ ->Tránh bị gỡ bỏ: Nó có khả tự bảo vệ tự tái cài đặt sau bị gỡ bỏ, tạo khó khăn việc loại bỏ rootkit Cách hoạt động: ->Cài đặt ẩn danh: Rootkit cài đặt vào hệ thống cách ẩn danh, thường cách sử dụng lỗ hổng bảo mật kỹ thuật xâm nhập khác ->Che giấu hoạt động độc hại: Rootkit thường che giấu hoạt động phần mềm độc hại, làm cho chúng trở nên khó nhận diện ->Tự bảo vệ tự tái cài đặt: Khi rootkit bị phát loại bỏ, cố gắng tự bảo vệ cách khắc phục lại triển khai biến thể khác để tiếp tục cơng Viruses: chương trình “nhiễm” vào chương trình khác, cách sửa đổi chương trình Nếu chương trình bị sửa đổi chứa vi rút kích hoạt vi rút tiếp tục “lây nhiễm” sang chương trình khác Vi rút máy tính có khả tự nhân bản, tự lây nhiễm sang chương trình khác mà tiếp xúc Có nhiều đường lây nhiễm vi rút, chép file, gọi ứng dụng dịch vụ qua mạng, email Nguồn gốc: ->ILOVEYOU loại virus máy tính có hại phát vào năm 2000 Nó xuất phát từ Philippines trở thành loại virus phổ biến lịch sử Internet Chức năng: ->Lây nhiễm lan truyền: ILOVEYOU lây nhiễm qua email dạng tệp tin đính kèm với tên "LOVE-LETTER-FOR-YOU.txt.vbs" Khi người dùng mở tệp tin này, virus kích hoạt bắt đầu lây nhiễm hệ thống ->Ghi đè xóa liệu: Sau lây nhiễm, ILOVEYOU tiến hành ghi đè lên tệp tin hình ảnh, âm văn cách chuyển đổi chúng thành nó, gây mát liệu quan trọng ->Gửi thân qua email: ILOVEYOU có khả tự gửi thân đến địa email danh bạ người bị nhiễm Nguyễn Đăng Tuấn Bảo-b20dcat015 Cách hoạt động: ->Người dùng nhận email mở đính kèm: ILOVEYOU gửi dạng tệp tin đính kèm với tên "LOVE-LETTER-FOR-YOU.txt.vbs" ->Kích hoạt virus: Khi tệp tin mở, virus kích hoạt bắt đầu lây nhiễm hệ thống ->Ghi đè lan truyền: ILOVEYOU tiến hành ghi đè lên tệp tin quan trọng lan truyền qua email đến địa danh bạ người bị nhiễm Ransomware: mã hóa tệp tin tống tiền Nguồn gốc: ->CryptoLocker xuất lần đầu vào năm 2013 Đây loại ransomware gây nhiều thiệt hại lớn tồn cầu Chức năng: ->Mã hóa liệu: CryptoLocker mã hóa liệu máy tính mục tiêu, làm cho chúng trở nên truy cập đọc ->Yêu cầu tiền chuộc: Ransomware hiển thị thông báo yêu cầu nạn nhân trả tiền chuộc, thường yêu cầu trả tiền điện tử Bitcoin Monero, để nhận chìa khóa giải mã Cách hoạt động: ->Lây nhiễm: CryptoLocker thường lây nhiễm qua email phishing trang web độc hại Khi người dùng mở tệp tin truy cập trang web bị nhiễm, ransomware bắt đầu hoạt động ->Mã hóa liệu: Sau lây nhiễm, CryptoLocker bắt đầu mã hóa liệu máy tính ổ đĩa kết nối ->Hiển thị thông báo chuộc tiền: Ransomware hiển thị thông báo yêu cầu nạn nhân trả tiền chuộc để nhận chìa khóa giải mã Thơng báo thường có hạn thời gian, đe dọa không trả tiền thời hạn, chìa khóa giải mã bị hủy bỏ Worms: loại phần mềm độc hại có khả tự lây nhiễm từ máy sang máy khác mà khơng cần chương trình chủ, vật chủ, trợ giúp người dùng Khi sâu lây nhiễm vào máy, sử dụng máy làm “bàn đạp” để tiếp tục rà quét, công máy khác Các phương pháp lây lan sâu gồm: lây lan qua thư điện tử, lây lan thông qua khả thực thi từ xa, lây lan thông qua khả log-in (đăng nhập) từ xa Nguồn gốc: ->Conficker (còn gọi Downadup) loại worm máy tính phát vào cuối năm 2008 Nó cơng hàng triệu máy tính tồn giới coi mối đe dọa tiềm ẩn giới công nghệ Chức năng: Nguyễn Đăng Tuấn Bảo-b20dcat015 ->Lây nhiễm lan truyền: Conficker sử dụng lỗ hổng bảo mật hệ điều hành Windows để lây nhiễm máy tính Nó có khả tự chép lan truyền mạng nội ->Tự cập nhật: Một đặc điểm đáng ý Conficker khả tự cập nhật từ máy chủ điều khiển nó, giúp thích ứng với biện pháp bảo mật Cách hoạt động: ->Lây nhiễm: Conficker sử dụng lỗ hổng bảo mật Windows để lây nhiễm máy tính Điều xảy thơng qua tệp tin đính kèm, trang web độc hại, lỗ hổng hệ điều hành ->Cập nhật tự cập nhật: Conficker có khả tải cài đặt phiên từ máy chủ điều khiển, giúp thích ứng với biện pháp bảo mật ->Tấn công: Một lây nhiễm, Conficker thực hành động gây hại, bao gồm cài đặt chạy phần mềm độc hại khác, steal thông tin cá nhân, công mạng máy tính khác mạng nội Zombie/Bot: chương trình thiết kế để giành quyền kiểm sốt máy tính, thiết bị tính tốn có kết nối Internet sử dụng máy tính bị kiểm sốt để cơng hệ thống khác, gửi thư rác Botnet (mạng máy tính ma) tập hợp máy tính bot kiểm sốt một, nhóm kẻ công Nguồn gốc: ->Storm Worm Botnet xuất vào cuối năm 2006 nhanh chóng trở thành botnet lớn nguy hiểm biết đến Chức năng: ->Hình thành botnet: Mục tiêu Storm Worm Botnet tạo mạng zombie lớn cách lây nhiễm hàng nghìn chí hàng triệu máy tính tồn giới ->Thực cơng phân phối spam phá hoại: Botnet thực loại công gửi email spam, phá hoại hệ thống, chí tham gia vào công phân tán (DDoS) Cách hoạt động: ->Lây nhiễm: Storm Worm Botnet sử dụng email spam chứa tệp tin đính kèm độc hại để lây nhiễm máy tính Khi người dùng mở tệp tin, máy tính bị lây nhiễm trở thành phần botnet ->Kết nối tương tác với máy chủ điều khiển: Máy tính bị lây nhiễm kết nối với máy chủ điều khiển quản lý kẻ công Thông qua kết nối này, máy tính nhận lệnh để thực loại công khác Nguyễn Đăng Tuấn Bảo-b20dcat015 ->Tham gia vào hoạt động cơng: Máy tính botnet điều khiển để thực loại công gửi email spam, công DDoS, tham gia vào hoạt động phá hoại khác Tìm hiểu cách dựng mơi trường để phân tích mã độc Thực chạy mẫu mã độc đưa kết Trước bạn chạy phần mềm độc hại để thực phân tích động, bạn phải thiết lập mơi trường an tồn Phần mềm độc hại đầy bất ngờ, bạn chạy máy chạy sản xuất, nhanh chóng lan sang máy khác mạng khó loại bỏ Mơi trường an tồn cho phép bạn điều tra phần mềm độc hại mà khơng thể xâm nhập vào máy tính bạn máy tính khác mạng lưới vào rủi ro khơng mong muốn Creating Your Malware Analysis Machine sử dụng VMware Configuring VMware Khi phân tích phần mềm độc hại, bạn muốn quan sát hoạt động mạng phần mềm độc hại để giúp bạn hiểu ý định tác giả, tạo chữ ký thực chương trình cách đầy đủ VMware cung cấp số tùy chọn mạng cho mạng ảo Disconnecting the Network Mặc dù bạn cấu hình máy tính ảo khơng kết nối mạng, thường không nên tắt kết nối mạng Thực điều hữu ích số trường hợp cụ thể Mà khơng có kết nối mạng, bạn khơng thể phân tích hoạt động mạng độc hại Setting Up Host-Only Networking Một tính tạo mạng LAN riêng biệt hệ điều hành máy chủ hệ điều hành máy ảo, thường sử dụng cho phân tích phần mềm độc hại Mạng cho máy chủ không kết nối đến Internet, điều có nghĩa phần mềm độc hại giữ máy tính ảo bạn có mạng Using Multiple Virtual Machines Cấu hình cuối kết hợp tùy chọn tốt Nó u cầu nhiều máy tính ảo liên kết thông qua mạng LAN không kết nối với Internet máy tính máy chủ, để phần mềm độc hại kết nối với mạng, mạng không kết nối với điều quan trọng Chạy phân tích phần mềm độc hại cách sử dụng VMware máy tính ảo đòi hỏi bước sau: Bắt đầu snapshot mà khơng có phần mềm độc hại chạy Truyền phần mềm độc hại vào máy tính ảo Tiến hành phân tích máy tính ảo Nguyễn Đăng Tuấn Bảo-b20dcat015 Lấy ghi chú, ảnh chụp hình liệu từ máy tính ảo truyền chúng vào máy tính vật lý Quay trở lại máy tính ảo snapshot - Cài đặt cuckoo sandbox Cuckoo sandbox phân tích malware Cho phép thực thi malware môi trường máy ảo, ngồi cịn cho phép phân tích môi trường máy thật Kiến trúc cuckoo theo mơ hình máy ảo thật bao gồm host guest Yêu cầu: Một máy tính chạy Linux (thường Ubuntu Debian) Python 2.7 QEMU (một ứng dụng ảo hóa) Một máy ảo Windows để chạy mẫu độc hại Một môi trường máy ảo thiết bị vật lý để chạy môi trường Cuckoo Sandbox Bước 1: Cài đặt phụ thuộc: Bước 2: Cài đặt YARA: Bước 3: Cài đặt Mongodb: Bước 4: Cài đặt VirtualBox VMware (tuỳ chọn): Nếu bạn muốn sử dụng VirtualBox VMware cho máy ảo Windows, bạn cần cài đặt trước Bước 5: Cài đặt Cuckoo Sandbox: Bước 6: Cấu hình Cuckoo: Chỉnh sửa tệp cấu hình Cuckoo theo cách mà bạn muốn sử dụng Bạn cần định đường dẫn đến cơng cụ bên ngồi QEMU, VirtualBox VMware cấu hình tùy chọn mạng Bước 7: Chạy Cuckoo: Sau cấu hình chạy Cuckoo, bạn gửi mẫu độc hại để phân tích cách sử dụng API giao diện web + Máy host máy cài chương trình ảo hóa virtualbox hay vmware + Máy guest máy tính cài hệ điều hành dành cho việc thực thi malware Có thể máy ảo máy vật lý - Malware Azorult.exe Trojan Nguyễn Đăng Tuấn Bảo-b20dcat015 Nguyễn Đăng Tuấn Bảo-b20dcat015 10 Nguyễn Đăng Tuấn Bảo-b20dcat015 - Remcos.exe Trojan 11 Nguyễn Đăng Tuấn Bảo-b20dcat015 12 Nguyễn Đăng Tuấn Bảo-b20dcat015 13 Nguyễn Đăng Tuấn Bảo-b20dcat015 14 Nguyễn Đăng Tuấn Bảo-b20dcat015 - Gnil.exe virus/worm 15 Nguyễn Đăng Tuấn Bảo-b20dcat015 16 Nguyễn Đăng Tuấn Bảo-b20dcat015 Tìm hiểu về virustotal Các chức của công cụ Virustotal công cụ dành cho người dùng hệ điều hành Windows có cơng dụng qt phân tích tập tin hay đường link (URL) để xem chúng có chứa mã độc hay virus khơng, từ đưa đánh giá xác mức độ an tồn cho máy tính bạn Virustotal nhánh Google nên bạn an tâm sử dụng Bên cạnh đó, cơng cụ cịn chứa nhiều chương trình antivirus (trình quét virus mã độc) hàng đầu giới cho phép bạn upload tệp tin có dung lượng lên đến 550MB Chức công cụ: Quét tệp URL: VirusTotal cho phép bạn tải lên tệp nhập URL để kiểm tra xem chúng có chứa mã độc khơng Sử dụng nhiều công cụ phát hiện: VirusTotal sử dụng 70 cơng cụ khác (bao gồm chương trình chống virus phần mềm bảo mật hàng đầu) để phân tích tệp URL bạn Sau đó, tổng hợp kết từ công cụ để đánh giá mức độ an toàn 17 Nguyễn Đăng Tuấn Bảo-b20dcat015 Kết chi tiết: VirusTotal hiển thị kết phân tích chi tiết cơng cụ, bao gồm thông tin việc mã độc phát hay không, tên mã độc, mã MD5/SHA-256, Kiểm tra lịch sử: Bạn kiểm tra lịch sử kiểm tra tệp URL cụ thể để xem liệu chúng báo cáo độc hại hay không Xem cổng quét đặc điểm hash: VirusTotal cung cấp thông tin chi tiết cổng quét đặc điểm hash tệp để bạn kiểm tra xem có liên quan đến tệp khác hay không API: VirusTotal cung cấp API cho nhà phát triển để tích hợp VirusTotal vào ứng dụng dịch vụ họ Phân tích động tĩnh: VirusTotal cung cấp khả phân tích động tĩnh tệp, giúp bạn hiểu rõ cách tệp hoạt động Đánh giá: VirusTotal cho phép người dùng báo cáo kết sai giả mạo để cải thiện chất lượng dịch vụ 18