Từ đó sẽ xem được các thông tin của mã độc.- Đặc điểm:+ Ưu điểm. Là trang web hoàn toàn miễn phí, khơng cần cài đặt, an tồn, nhanh chóngvà dễ sử dụng. Đa nguồn quét: VirusTotal được tí
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN MƠN HỌC: PHÂN TÍCH MÃ ĐỘC Đề tài: Phân tích Ransomware sử dụng phương pháp phân tích kết hợp Giảng viên hướng dẫn : Đỗ Xuân Chợ Nhóm lớp: 02 Nhóm thực hiện: Nhóm 06 Thành viên : Nguyễn Thành Danh – B0DCAT028 Nguyễn Thị Trang – B20DCAT188 Đỗ Thị Lâm Oanh – B20DCAT036 Phạm Văn Huy – B20DCAT084 Nguyễn Cảnh Hiếu – B20DCAT059 HÀ NỘI – 2023 Mục lục I Tổng quan về rasomware Giới thiệu ransomware Nguồn gốc Ransomware .4 Cơ chế công ransomware Cerber Ransomware Phịng ngừa mã độc mã hóa liệu – Ransomware .7 II Giới thiệu cơng cụ phân tích Virutotal PE Studio PeiD String 10 FLOSS 11 Cuckoo Sanbox .12 Process Monitor 12 Process Explorer .13 Wireshark 14 III Phương pháp phân tích 14 Phân tích tĩnh 16 a Phân tích mã độc sử dụng Virustotal 16 b) Phân tích thành phần PE .20 c) Phát PACKED với PEID .24 d) Phân tích chuỗi sử dụng Strings 26 Phân tích động 31 a) Phân tích động sử dụng Cuckoo Sandbox .31 b) Phân tích động nâng cao windows 44 IV Kết luận .53 I Tổng quan về rasomware Giới thiệu ransomware Ransomware phần mềm độc hại chuyên mã hóa liệu, khóa quyền truy cập thiết bị người dùng Để trả lại quyền truy cập liệu thiết bị, người dùng cần trả cho hacker khoản tiền định gọi tiền chuộc Ransomware biết tới với tên mã độc tống tiền phần mềm tống tiền Mức tiền chuộc thông thường rơi vào khoảng $250 – $500 cho máy tính cá nhân Đối với doanh nghiệp hay tổ chức lên đến hàng ngàn đô la Hacker chủ yếu yêu cầu nạn nhân trả tiền chuộc bitcoin chuyển khoản Trong vài năm gần đây, người phát tán Ransomware ưa chuộng việc giao dịch tiền chuộc bitcoin tính bảo mật cao khó để truy lùng dấu vết Nguồn gốc Ransomware Giai đoạn hình thành: Ransomware phát Nga vào năm 2005 – 2006 Ở giai đoạn đầu tiên, Ransomware có dạng biến thể TROJan CRYZIP.A Những nhà phân tích liệu phát biến thể dạng Trojan xâm nhập vào máy, liệu bị mã hóa Nếu muốn truy cập vào lại cần phải có mật Để nhận lại mật khẩu, người dùng yêu cầu phải trả $300 Giai đoạn phát triển: Theo thời gian, Ransomware ngày mở rộng phạm vi Nó ăn vào tệp văn bản, bảng tính có định dạng *.xl, *.doc, *.exe,… Vào năm 2011, truyền thông giới ghi nhận xuất loại Ransomware khác có tên SMS Ransomware Ngồi đặc tính thơng thường, SMS Ransomware cịn gửi thơng báo u cầu người dùng liên lạc với hacker qua số điện thoại cung cấp chuyển tiền theo u cầu Ngồi ra, có phiên khác Ransomware làm mưa làm gió cơng MBR hệ điều hành máy chủ Nói theo cách khác, khiến cho hệ điều hành khơng có khả hoạt động - Giai đoạn lan rộng: Ransomware xuất Nga khoảng thời gian ngắn, loại virus lan rộng khắp châu Âu Đỉnh điểm vào năm 2012, lượng lớn vụ công Ransomware ghi nhận châu Âu Canada, Mỹ Đến bây giờ, Ransomware xuất nơi đâu giới - Cơ chế công ransomware Ransomware thường lây lan qua thư rác email lừa đảo, thơng qua trang web tải xuống theo ổ đĩa, để lây nhiễm vào thiết bị điểm cuối xâm nhập vào mạng Khi xâm nhập, ransomware sau khóa tất tệp mà truy cập thuật tốn mã hóa mạnh Cuối cùng, phần mềm độc hại yêu cầu tiền chuộc (thường phải trả Bitcoin) để giải mã tệp khôi phục toàn hoạt động cho hệ thống CNTT bị ảnh hưởng Trong số trường hợp, phần mềm ransomware cài đặt với trojan để có quyền kiểm soát nhiều thiết bị nạn nhân 4 Cerber Ransomware Cerber loại ransomware, gọi "Cerber Ransomware," phát lần đầu vào năm 2016 trở thành mối đe dọa nghiêm trọng lĩnh vực an ninh mạng Nó gây nhiều vụ cơng tồn giới ví dụ điển hình loại ransomware tiêu biểu Cerber thống trị thị trường ransomware khơng liên tục cập nhật thêm tính mới, chẳng hạn khả tránh phát cơng cụ bảo vệ, mà cịn rao bán dịch vụ dành cho hacker trình độ thấp muốn thực cơng nhanh chóng với tác giả ransomware để chia phần địi tiền chuộc Một số đặc tính Cerber • • • • Các file liệu bị mã hóa đổi tên file thành kí tự ngẫu nhiên cerber • Virus chủ yếu lây nhiễm theo phương thức đính kèm mail spam, chèn link độc hại web, ứng dụng chat, Skype Kaspersky phát ngăn chặn nhiên người dùng click vào link mã độc, trình mã hóa xảy nhanh,các biến thể virus đường dẫn thay đổi liên tục nên chương trình chưa kịp xử lý bị mã hóa liệu Những ổ mạng chia sẻ map vào máy có quyền Write bị mã hóa file từ máy trạm bị nhiễm virus Cho đến viết khơng có cách giải mã file bị mã hóa Phịng ngừa mã độc mã hóa liệu – Ransomware • • • Khơng mở file đính kèm từ email chưa rõ danh tính Ln đảm bảo hệ điều hành, phần mềm, ứng dụng phần mềm diệt virus cập nhật thường xun khơng tắt chương trình diệt virus thời điểm Sao lưu liệu bảo vệ liệu thiết bị rời Cách tốt để đảm bảo an toàn liệu quan trọng có lịch trình lưu phù hợp Sao lưu phải thực thường xuyên cần phải tạo thiết bị lưu trữ truy cập trình lưu Tức thiết bị lưu trữ di động ngắt kết nối sau lưu Việc không tuân thủ khuyến nghị dẫn • • đến tập tin lưu bị công mã hóa phần mềm tống tiền theo cách tương tự phiên tập tin gốc Cấu hình hạn chế truy cập đến thư mục chia sẻ mạng Bật tính System Protection (System Restore) cho tất ổ đĩa II Giới thiệu cơng cụ phân tích Virutotal - VirusTotal trang web quét phân tích virus hoạt động tốc độ cao, dịch vụ trực tuyến miễn phí cung cấp cơng ty Google Nó sử dụng để kiểm tra phân tích tệp tin địa URL để xác định xem chúng có chứa mã độc hay không VirusTotal kết hợp với nhiều công cụ quét mã động từ nhà cung cấp bảo mật khác để cung cấp kết phân tích chi tiết - Giao diện VirusTotal đơn giản sử dụng cách dễ dàng Quét mã độc VirusTotal cần làm bước sau: Vào trang web https://www.virustotal.com/gui/home/upload Tải lên tệp tin nhập URL muốn kiểm tra lên trang web Chờ trình quét diễn ra: Sau tải lên, VirusTotal tiến hành quét công cụ từ nhà sản xuất khác Xem kết quả: Sau q trình qt hồn thành, VirusTotal hiển thị kết chi tiết phân tích Từ xem thông tin mã độc - Đặc điểm: + Ưu điểm Là trang web hồn tồn miễn phí, khơng cần cài đặt, an tồn, nhanh chóng dễ sử dụng Đa nguồn quét: VirusTotal tích hợp nhiều công cụ quét từ nhiều nhà cung cấp bảo mật khác làm tăng khả phát phần mềm độc hại cung cấp kết phân tích đáng tin cậy Có báo cáo phân tích chi tiết: VirusTotal có báo cáo phân tích chi tiết kết quét điều giúp hiểu rõ mã độc, độ an toàn tệp hay URL + Nhược điểm Phụ thuộc vào công cụ qt: Việc tích hợp dựa cơng cụ qt không đảm bảo phát tất mối đe dọa Nếu công cụ quét không phát mối đe dọa đó, VirusTotal khơng báo cáo dẫn đến việc bỏ sót mối đe dọa, gây hại cho hệ thống Khơng phân tích sâu: VirusTotal cung cấp báo cáo chi tiết mã độc không cung cấp chi tiết cách hoạt động hay tiềm mà người dùng phải tự đánh giá mức độ nguy hiểm hay cách thức hoạt động Thời gian quét bị hạn chế dung lượng file cần quét: Thời gian quét kéo dài thời gian tương đối Dung lượng file cần quét bị hạn chế mức định nên có file lớn, cần dùng cơng cụ khác để tiến hành phân tích PE Studio PEStudio, cơng cụ phân tích tĩnh thiết kế để kiểm tra tập tin thực thi Windows (PE files), bao gồm tập tin DLL, tập tin thực thi (EXE files), tập tin có chứa mã động (dynamic-link libraries), tập tin driver (driver files) Công cụ giúp chuyên gia an ninh mạng, lập trình viên, chuyên gia phân tích động (dynamic analysis) xem xét cấu trúc, tính năng, yếu tố liên quan tập tin thực thi Windows PeiD - Công cụ PEiD (Pack, Exeinfo, Detect) cơng cụ phân tích tĩnh cho tệp thực thi Windows (như tệp exe dll) Chức PEiD phát xem tệp thực thi có bị "packed" (được nén gói gọn) hay khơng - PEiD chương trình miễn phí, dùng để phát packer sử dụng chương trình đưa phiên trình biên dịch sử dụng PEiD sử dụng tập hợp chữ ký nhiều (phiên có khoảng 600 chữ ký trình biên dịch packer khác nhau; đó, với hỗ trợ nhà phân tích, có có 10000 chữ ký!) - Đặc điểm: + Ưu điểm: Dễ sử dụng: PEiD có giao diện đơn giản dễ sử dụng, giúp người dùng làm quen nhanh chóng Phát bảo vệ bản: PEiD có khả phát bảo vệ mã hóa tệp thực thi, packer crypter phổ biến Hiển thị thông tin chi tiết: Nó cho phép xem thơng tin chi tiết packer crypter cụ thể, bao gồm phiên tác giả Hữu ích cho phân tích an ninh: PEiD giúp chuyên gia an ninh xác định tệp bị cơng bất thường + Hạn chế: Khả phát bị giới hạn: PEiD khơng nhận diện packer crypter mới, tùy chỉnh đặc biệt phức tạp Không cung cấp giải pháp giải mã: PEiD giúp bạn xác định diện bảo vệ, khơng cung cấp khả giải mã loại bỏ bảo vệ Dừng phát triển: Phiên cuối PEiD (phiên 0.95) phát hành vào năm 2011, khơng cịn cập nhật thức kể từ Điều có nghĩa PEiD khơng tương thích với tệp thực thi packer/crypter Giới hạn cho hệ thống Windows: PEiD chủ yếu công cụ cho hệ thống Windows không hỗ trợ tệp thực thi khác, chẳng hạn tệp ELF Linux String Strings tiện ích dịng lệnh tích hợp sẵn Linux sử dụng để trích xuất chuỗi văn từ tệp nhị phân Cơng cụ giúp người dùng tìm thấy hiển thị chuỗi có tệp nhị phân, bao gồm chuỗi văn thông thường, chuỗi mật khẩu, tên tệp, địa URL, thông tin khác mà ẩn tệp thực thi, thư viện, tệp nhị phân khác - Strings thực kiểm tra tệp thực thi để tìm thơng tin cốt lõi, phân tích mã độc hại, tìm kiếm chuỗi định tệp cụ thể Để sử dụng strings Linux, mở cửa sổ dòng lệnh chạy lệnh: - - Thay test_file đường dẫn đến tệp nhị phân mà bạn muốn trích xuất chuỗi strings hiển thị chuỗi tìm thấy tệp Cơng cụ giúp bạn nhanh chóng kiểm tra nội dung tệp nhị phân phát thông tin quan trọng mà chúng chứa - Đặc điểm: + Ưu điểm: Dễ sử dụng: strings cơng cụ dịng lệnh đơn giản dễ sử dụng Người dùng cần lệnh đơn giản để trích xuất chuỗi từ tệp nhị phân Nhanh chóng kiểm tra tệp: Cơng cụ cho phép người dùng nhanh chóng kiểm tra nội dung tệp nhị phân mà không cần biết cấu trúc định dạng cụ thể chúng + Nhược điểm: Khơng thể trích xuất chuỗi mã hóa nén: Nếu chuỗi tệp nhị phân mã hóa nén, "strings" khơng thể trích xuất chúng Giao diện dịng lệnh gây trở ngại với người dùng thiếu kinh nghiệm FLOSS The FLARE Obfuscated String Solver (FLOSS) trước gọi Bộ giải chuỗi bị xáo trộn FireEye Labs, công cụ mạnh mẽ sử dụng lĩnh vực an ninh mạng Nó sử dụng kỹ thuật phân tích tĩnh nâng cao để tự động trích xuất giải mã chuỗi khỏi tệp nhị phân phần mềm độc hại Hãy coi phiên nâng cao strings.exe, thiết kế đặc biệt để phân tích tệp nhị phân chưa xác định - Mục đích: FLOSS giúp nhà phân tích bảo mật khám phá chuỗi ẩn mẫu phần mềm độc hại Các chuỗi thường bị tác giả phần mềm độc hại làm xáo trộn để tránh bị phát theo kinh nghiệm - - Các loại chuỗi trích xuất: Chuỗi tĩnh: Đây chuỗi ASCII UTF-16LE “thông thường” Chuỗi ngăn xếp: Các chuỗi xây dựng ngăn xếp chạy 10