1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Môn học phân tích mã độc đề tài phân tích ransomware sử dụng phương pháp phân tích kết hợp

53 5 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Phân Tích Ransomware Sử Dụng Phương Pháp Phân Tích Kết Hợp
Tác giả Nguyễn Thành Danh, Nguyễn Thị Trang, Đỗ Thị Lâm Oanh, Phạm Văn Huy, Nguyễn Cảnh Hiếu
Người hướng dẫn Đỗ Xuân Chợ
Trường học Học viện công nghệ bưu chính viễn thông
Thể loại đề tài
Năm xuất bản 2023
Thành phố Hà Nội
Định dạng
Số trang 53
Dung lượng 6,52 MB

Cấu trúc

  • 1. Giới thiệu về ransomware (3)
  • 2. Nguồn gốc của Ransomware (3)
  • 3. Cơ chế của một cuộc tấn công ransomware (4)
  • 4. Cerber Ransomware (5)
  • 5. Phòng ngừa mã độc mã hóa dữ liệu – Ransomware (6)
  • II. Giới thiệu các công cụ phân tích..................................................................................................................... 1. Virutotal (7)
    • 2. PE Studio (8)
    • 3. PeiD (8)
    • 4. String (9)
    • 5. FLOSS (10)
    • 6. Cuckoo Sanbox (11)
    • 7. Process Monitor (11)
    • 8. Process Explorer (12)
    • 9. Wireshark (13)
  • III. Phương pháp phân tích (13)
    • 1. Phân tích tĩnh (15)
    • 2. Phân tích động (30)
  • IV. Kết luận (52)

Nội dung

Từ đó sẽ xem được các thông tin của mã độc.- Đặc điểm:+ Ưu điểm. Là trang web hoàn toàn miễn phí, khơng cần cài đặt, an tồn, nhanh chóngvà dễ sử dụng. Đa nguồn quét: VirusTotal được tí

Giới thiệu về ransomware

Ransomware là phần mềm độc hại chuyên mã hóa dữ liệu, khóa quyền truy cập thiết bị của người dùng Để được trả lại quyền truy cập dữ liệu hoặc thiết bị, người dùng cần trả cho hacker một khoản tiền nhất định gọi là tiền chuộc.

Ransomware còn được biết tới với cái tên là mã độc tống tiền hoặc phần mềm tống tiền

Mức tiền chuộc thông thường rơi vào khoảng $250 – $500 cho một máy tính cá nhân.Đối với các doanh nghiệp hay tổ chức thì có thể lên đến hàng ngàn đô la Hacker chủ yếu sẽ yêu cầu nạn nhân trả tiền chuộc bằng bitcoin và chuyển khoản Trong một vài năm gần đây, những người phát tán Ransomware ưa chuộng việc giao dịch tiền chuộc bằng bitcoin vì nó tính bảo mật cao và rất khó để truy lùng dấu vết.

Nguồn gốc của Ransomware

- Giai đoạn hình thành: Ransomware được phát hiện đầu tiên ở Nga vào năm

2005 – 2006 Ở những giai đoạn đầu tiên, Ransomware có dạng là biến thể TROJanCRYZIP.A Những nhà phân tích dữ liệu phát hiện ra khi biến thể dạng Trojan này xâm nhập được vào máy, các dữ liệu sẽ ngay lập tức bị mã hóa Nếu muốn truy cập vào lại thì cần phải có mật khẩu Để nhận lại được mật khẩu, người dùng sẽ được yêu cầu phải trả $300

- Giai đoạn phát triển: Theo thời gian, Ransomware ngày càng mở rộng phạm vi của mình Nó ăn vào cả những tệp văn bản, bảng tính có định dạng đuôi như *.xl,

*.doc, *.exe,… Vào năm 2011, truyền thông thế giới ghi nhận sự xuất hiện của một loại Ransomware khác có tên là SMS Ransomware Ngoài các đặc tính thông thường, SMS Ransomware còn gửi các thông báo yêu cầu người dùng liên lạc với hacker qua số điện thoại đã được cung cấp cho đến khi chuyển tiền đúng theo yêu cầu Ngoài ra, có một phiên bản khác của Ransomware làm mưa làm gió khi tấn công MBR của hệ điều hành máy chủ Nói theo cách khác, nó khiến cho hệ điều hành không có khả năng hoạt động được - Giai đoạn lan rộng: Ransomware xuất hiện đầu tiên ở Nga nhưng chỉ trong một khoảng thời gian ngắn, loại virus này đã lan rộng khắp châu Âu.Đỉnh điểm là vào năm 2012, một lượng lớn vụ tấn công bởi Ransomware được ghi nhận ở châu Âu và cả Canada, Mỹ Đến bây giờ, Ransomware vẫn có thể xuất hiện ở bất cứ nơi đâu trên thế giới.

Cơ chế của một cuộc tấn công ransomware

Ransomware thường lây lan qua thư rác hoặc email lừa đảo, và cũng có thể thông qua các trang web hoặc tải xuống theo ổ đĩa, để lây nhiễm vào thiết bị điểm cuối và xâm nhập vào mạng Khi đã xâm nhập, ransomware sau đó khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh Cuối cùng, phần mềm độc hại yêu cầu tiền chuộc (thường phải trả bằng Bitcoin) để giải mã các tệp và khôi phục toàn bộ hoạt động cho các hệ thống CNTT bị ảnh hưởng Trong một số trường hợp, phần mềm ransomware được cài đặt cùng với trojan để có quyền kiểm soát nhiều hơn trên thiết bị nạn nhân.

Cerber Ransomware

Cerber là một loại ransomware, đôi khi được gọi là "Cerber Ransomware," được phát hiện lần đầu vào năm 2016 và đã trở thành một trong những mối đe dọa nghiêm trọng trong lĩnh vực an ninh mạng Nó đã gây ra nhiều vụ tấn công trên toàn thế giới và là một ví dụ điển hình về các loại ransomware tiêu biểu

Cerber thống trị thị trường ransomware không chỉ bởi vì nó liên tục được cập nhật và thêm các tính năng mới, chẳng hạn như khả năng tránh được sự phát hiện của các công cụ bảo vệ, mà nó còn được rao bán như một dịch vụ dành cho những hacker trình độ thấp muốn thực hiện các cuộc tấn công nhanh chóng cùng với tác giả của ransomware để được chia phần khi đòi được tiền chuộc

Một số đặc tính của Cerber

• Các file dữ liệu bị mã hóa và đổi tên file thành các kí tự ngẫu nhiên đuôi cerber • Virus chủ yếu lây nhiễm theo phương thức đính kèm trong mail spam, chèn link độc hại trên web, trong các ứng dụng chat, Skype

• Kaspersky sẽ phát hiện và ngăn chặn tuy nhiên khi người dùng click vào link mã độc, quá trình mã hóa xảy ra rất nhanh,các biến thể virus và đường dẫn thay đổi liên tục nên chương trình chưa kịp xử lý thì sẽ bị mã hóa dữ liệu

• Những ổ mạng chia sẻ map vào máy có quyền Write đều có thể bị mã hóa file từ máy trạm bị nhiễm virus

• Cho đến hiện tại khi tôi viết bài này thì không có cách nào giải mã được các file bị mã hóa

Phòng ngừa mã độc mã hóa dữ liệu – Ransomware

• Không mở các file đính kèm từ những email chưa rõ danh tính

• Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng và phần mềm diệt virus được cập nhật thường xuyên và không tắt chương trình diệt virus trong mọi thời điểm

• Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc

• Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng

• Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa.

Giới thiệu các công cụ phân tích 1 Virutotal

PE Studio

PEStudio, là một công cụ phân tích tĩnh được thiết kế để kiểm tra các tập tin thực thiWindows (PE files), bao gồm cả các tập tin DLL, các tập tin thực thi (EXE files), các tập tin có chứa mã động (dynamic-link libraries), và các tập tin driver (driver files).Công cụ này giúp các chuyên gia an ninh mạng, lập trình viên, và các chuyên gia phân tích động (dynamic analysis) xem xét sự cấu trúc, các tính năng, và các yếu tố liên quan của các tập tin thực thi Windows.

PeiD

- Công cụ PEiD (Pack, Exeinfo, Detect) là một công cụ phân tích tĩnh cho các tệp thực thi Windows (như các tệp exe hoặc dll) Chức năng chính của PEiD là phát hiện xem một tệp thực thi có bị "packed" (được nén hoặc gói gọn) hay không.

- PEiD là một chương trình miễn phí, dùng để phát hiện ra các packer được sử dụng trên một chương trình và có thể đưa ra phiên bản trình biên dịch được sử dụng PEiD sử dụng tập hợp các chữ ký của rất nhiều (phiên bản sạch có khoảng trên 600 chữ ký của các trình biên dịch và packer khác nhau; trong khi đó, với sự hỗ trợ của các nhà phân tích, có những bản có trên 10000 chữ ký!).

1 Dễ sử dụng: PEiD có giao diện đơn giản và dễ sử dụng, giúp người dùng mới làm quen nhanh chóng.

2 Phát hiện bảo vệ cơ bản: PEiD có khả năng phát hiện các bảo vệ cơ bản và mã hóa trong tệp thực thi, như packer và crypter phổ biến.

3 Hiển thị thông tin chi tiết: Nó cho phép xem thông tin chi tiết về packer hoặc crypter cụ thể, bao gồm phiên bản và tác giả.

4 Hữu ích cho phân tích an ninh: PEiD có thể giúp các chuyên gia an ninh xác định các tệp có thể bị tấn công hoặc bất thường.

1 Khả năng phát hiện bị giới hạn: PEiD có thể không nhận diện được các packer hoặc crypter mới, tùy chỉnh hoặc đặc biệt phức tạp.

2 Không cung cấp giải pháp giải mã: PEiD chỉ giúp bạn xác định sự hiện diện của bảo vệ, nhưng nó không cung cấp khả năng giải mã hoặc loại bỏ bảo vệ.

3 Dừng phát triển: Phiên bản cuối cùng của PEiD (phiên bản 0.95) đã được phát hành vào năm 2011, và không còn những cập nhật chính thức kể từ đó Điều này có nghĩa rằng PEiD có thể không tương thích với các tệp thực thi mới hoặc các packer/crypter mới.

4 Giới hạn cho hệ thống Windows: PEiD chủ yếu là một công cụ cho hệ thốngWindows và không hỗ trợ các tệp thực thi khác, chẳng hạn như tệp ELF trênLinux.

String

- Strings là một tiện ích dòng lệnh được tích hợp sẵn trong Linux sử dụng để trích xuất các chuỗi văn bản từ các tệp nhị phân Công cụ này giúp người dùng tìm thấy và hiển thị các chuỗi có trong tệp nhị phân, bao gồm các chuỗi văn bản thông thường, chuỗi mật khẩu, tên tệp, địa chỉ URL, và các thông tin khác mà có thể ẩn trong các tệp thực thi, thư viện, hoặc tệp nhị phân khác.

- Strings thực hiện kiểm tra các tệp thực thi để tìm thông tin cốt lõi, phân tích mã độc hại, hoặc tìm kiếm các chuỗi nhất định trong các tệp cụ thể Để sử dụng strings trong Linux, mở một cửa sổ dòng lệnh và chạy lệnh:

- Thay test_file bằng đường dẫn đến tệp nhị phân mà bạn muốn trích xuất chuỗi. strings sẽ hiển thị các chuỗi tìm thấy trong tệp đó Công cụ này có thể giúp bạn nhanh chóng kiểm tra nội dung của các tệp nhị phân và phát hiện các thông tin quan trọng mà chúng chứa.

 Dễ sử dụng: strings là một công cụ dòng lệnh đơn giản và dễ sử dụng Người dùng chỉ cần một lệnh đơn giản để trích xuất chuỗi từ các tệp nhị phân.

 Nhanh chóng kiểm tra tệp: Công cụ này cho phép người dùng nhanh chóng kiểm tra nội dung của các tệp nhị phân mà không cần biết cấu trúc hoặc định dạng cụ thể của chúng.

 Không thể trích xuất chuỗi được mã hóa hoặc nén: Nếu các chuỗi trong tệp nhị phân đã được mã hóa hoặc nén, "strings" không thể trích xuất chúng.

 Giao diện dòng lệnh gây trở ngại với người dùng thiếu kinh nghiệm.

FLOSS

- The FLARE Obfuscated String Solver (FLOSS) trước đây gọi là Bộ giải chuỗi bị xáo trộn của FireEye Labs, là một công cụ mạnh mẽ được sử dụng trong lĩnh vực an ninh mạng Nó sử dụng các kỹ thuật phân tích tĩnh nâng cao để tự động trích xuất và giải mã các chuỗi khỏi các tệp nhị phân của phần mềm độc hại Hãy coi nó như một phiên bản nâng cao của strings.exe, được thiết kế đặc biệt để phân tích các tệp nhị phân chưa xác định.

- Mục đích: FLOSS giúp các nhà phân tích bảo mật khám phá các chuỗi ẩn trong các mẫu phần mềm độc hại Các chuỗi này thường bị tác giả phần mềm độc hại làm xáo trộn để tránh bị phát hiện theo kinh nghiệm.

- Các loại chuỗi được trích xuất:

 Chuỗi tĩnh: Đây là các chuỗi ASCII và UTF-16LE “thông thường”.

 Chuỗi ngăn xếp: Các chuỗi được xây dựng trên ngăn xếp khi chạy.

 Chuỗi chặt: Một dạng chuỗi ngăn xếp đặc biệt, được giải mã trên ngăn xếp.

 Chuỗi được giải mã: Các chuỗi được giải mã trong một hàm.

 Chuỗi dành riêng cho ngôn ngữ: FLOSS có thể xác định và trích xuất các chuỗi từ các chương trình được biên dịch bằng các ngôn ngữ cụ thể, bao gồm Go vàRust Những chuỗi dành riêng cho ngôn ngữ này dễ dàng hơn cho việc kiểm tra của con người.

Cuckoo Sanbox

- Cuckoo là một sandbox phân tích malware[3], Cho phép thực thi malware trong một môi trường máy ảo, ngoài ra nó còn cho phép phân tích trên môi trường máy thật. Kiến trúc của cuckoo theo mô hình của một máy ảo thật sự bao gồm host và guest + Máy host là máy được cài chương trình ảo hóa như virtualbox hayvmware

+ Máy guest là một máy tính được cài hệ điều hành dành cho việc thực thi malware Có thể là máy ảo hoặc máy vật lý

- Nó được sử dụng để tự động chạy và phân tích các tệp cũng như thu thập các kết quả phân tích toàn diện để phác thảo những gì phần mềm độc hại thực hiện khi chạy bên trong một hệ điều hành bị cô lập Ngoài ra Cuckoo còn có thể trích xuất được các thông tin về mã độc vô cùng hữu ích như:

+ Các tệp được phần mềm độc hại tạo ra, cài đặt hay tải xuống trong quá trình thực thi

+ Bộ nhớ mà các phần mềm độc hại sử dụng

+ Theo dõi lưu lượng mạng ở định dạng Pcap

+ Thông tin chi tiết quá trình thực thi phần mềm

- Cuckoo được thiết kế để sử dụng chạy ứng dụng trong một môi trường độc lập cũng như có thể tích hợp vào các framework lớn hơn nhờ vào thiết kế module linh hoạt của nó.

Process Monitor

Process Monitor (ProcessMon) là công cụ giám sát và theo dõi giành cho hệ điều hànhWindows bằng cách ghi lại các hành động liên quan tới file hệ thống, registry,process/thread trong thời gian thực Đây là công cụ rất hữu ích hỗ trợ quá trình phát hiện Malware, phần mềm độc hại hoặc muốn theo dõi hành vi của bất kỳ một chương trình nào đang tác động tới hệ thống ProcessMon cung cấp các cơ chế lọc cho phép tập trung vào việc theo dõi các đối tượng cụ thể theo nhiều tiêu chí khác nhau: Tên chương trình, Process ID … ProcessMon có tính năng giám sát và khả năng lọc rất mạnh mẽ:

• Khả năng bắt thông tin qua các tham số vào/ra

• Quá trình lọc (filter) không làm mất dữ liệu

• Bắt các thông tin của stack trong các luồng cho từng hành động, do đó dễ dàng phát hiện ra gốc của hành động

• Đưa ra các thông tin tin cậy về chi tiết sản phẩm: đường dẫn, command line, người dùng, session ID

• Khả năng cấu hình các cột linh hoạt

• Khả năng filter được thiết lập tới tất cả các trường dữ liệu

• Khả năng ghi log và capture dữ liệu rất lớn: khoảng 10 triệu sự kiện được capture với khoảng 10 triệu GB dữ liệu

• Process Tree chỉ ra mối quan hệ giữa các tiến trình liên quan trong cùng một nhánh

• Dễ dàng xem thông tin về process thông qua tool tip

• Ghi log các thao tác, hành động thời gian boot

Process Explorer

Process Explorer được sử dụng để theo dõi và quản lý các tiến trình đang hoạt động trên máy tính của bạn, đồng thời kịp thời phát hiện và gỡ lỗi cho những vấn đề phát sinh, chẳng hạn như spyware, adware và virus độc hại Với Process Explorer bạn có thể xem thông tin chi tiết về mỗi chương trình, kể cả những ứng dụng chạy ngầm, để bạn có những giải pháp xử lý phù hợp nhất

Các tính năng chính của Process Explorer:

-Kiếm soát và theo dõi các tiến trình đang hoạt động trên hệ thống

-Xem chi tiết các thông tin về các chương trình

-Phát hiện phần mềm gián điệp

-Thiết lập mức độ ưu tiên của từng tiến trình

-Tạm dừng hoặc tiếp tục một hoạt động

-Khởi chạy các tiến trình với quyền hạn chế, nâng cao.

Wireshark

Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: mất gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi

Tính năng nổi bật của wireshark:

• Wireshark có sẵn cho hệ điều hành UNIX và Windows

• Ứng dụng này giúp người dùng có thể chụp dữ liệu gói trực tiếp từ giao diện mạng

• Thực hiện mở các tệp có chứa dữ liệu gói bằng tcpdump/ WinDump, Wireshark cũng như một số chương trình packet capture khác

• Nhập các gói từ các tệp văn bản có chứa các hex dumps của packet data

• Hiển thị các gói thông tin một cách vô cùng chi tiết

• Tiến hành việc lưu trữ tất cả các dữ liệu gói đã bị bắt

• Xuất một số hoặc tất cả các gói thông qua định dạng capture file

• Dựa vào các tiêu chí khác nhau để lọc các gói tin

• Dựa trên nhiều tiêu chí để tìm kiếm các gói

• Colorize là gói hiển thị dựa trên bộ lọc

• Wireshark còn giúp tạo các số liệu thống kê khác nhau.

Phương pháp phân tích

Phân tích tĩnh

a Phân tích mã độc sử dụng Virustotal https://www.virustotal.com/gui/file/ e67834d1e8b38ec5864cfa101b140aeaba8f1900a6e269e6a94c90fcbfe56678/details

=> Có đến 65/72 nhà cung cấp cảnh báo độc hại.

 Popular threat label (Nhãn đe dọa phổ biến) kết luận: Đây là con mã độc trojan.cerber/zerber.

 Threat categories (Danh mục mối đe dọa): trojan và ransomware.

 Family labels (Nhãn gia đình): cerber, zerber, hpcerbar.

 Những thông tin cơ bản:

 Mã hash: MD5, SHA-1, SHA-256, Vhash, Authentihash, Imphash…

 File type: Win32.exe -> file chạy trên hệ điều hành Windows 32 bit.

 TriD: chỉ ra loại tệp tin và tỷ lệ xác suất.

 Lịch sử file tồn tại trong hệ thống

 Relations: Xem các mối quan hệ giữa tệp tin, địa chỉ web liên quan đến mã độc.

 Địa chỉ IP đã liên hệ.

 Các hành vi của mã độc.

 Phân tích hành vi của mã độc.

 Hành vi C2AE: Chỉ các hoạt động và kỹ thuật mà mã độc sử dụng để tránh phát hiện và truy cập vào hệ thống C2 (Command and Control) o Mã độc triển khai các biện pháp C2AE nhằm che giấu hoạt động, duy trì sự tồn tại và tránh bị phát hiện bởi các giải pháp an ninh mạng o Các kỹ thuật C2AE có thể bao gồm việc sử dụng mã hóa dữ liệu hoặc giao thức để che giấu hoạt động C2, sử dụng kỹ thuật đa máy chủ để phân tán và che giấu điểm cuối C2, …

 Hành vi cuộc gọi - wmi: Đề cập đến việc sử dụng WindowsManagement Instrumentation (WMI) để thực hiện các cuộc gọi và tương tác với hệ thống hoặc môi trường mục tiêu Mã độc có thể sử dụng WMI để thực hiện các hành vi độc hại hoặc phục vụ mục đích tấn công Thông qua cuộc gọi WMI, mã độc có thể thực hiện: o Đăng ký sự kiện WMI để theo dõi hoạt động trên hệ thống. o Thực thi mã WMI để thực hiện hành vi độc hại trên hệ thống. o Truy vấn thông tin hệ thống: bằng cách gọi WMI thu thập thông tin của hệ thống. o Tự động chạy mã độc: sử dụng WMI để tự động chạy lại mình sau khi hệ thống khởi động lại hoặc lập lịch thực thi các hành động độc hại trong tương lai.

 Hành vi nghi ngờ UDP trực tiếp: là hành vi mã độc có thể thực hiện gửi hoặc nhận thông tin giao thức User Datagram Protocol (UDP).

 Hành vi kiểm tra người dùng đầu vào: Mã độc thực hiện thu thập, xác định và xử lý các thông tin đầu vào từ người dùng hoặc hệ thống mục tiêu để đảm bảo rằng mã độc có thể hoạt động chính xác và hiệu quả cũng như tận dụng các điểm yếu hoặc lỗ hổng trong người dùng hoặc hệ thống để tiến hành tấn công.

 Hành vi phát hiện và gỡ lỗi môi trường: Mã độc thực hành xác định và đối phó với các biện pháp bảo mật và môi trường không thuận lợi mà nó gặp phải trong quá trình tấn công để làm tăng khả năng thành công và đảm bảo nó có thể hoạt động một cách hiệu quả.

Hành vi truy cập đồng hồ CPU trực tiếp: Mã độc cố gắng tương tác với đồng hồ của trình xử lý trung tâm CPU trực tiếp để thực hiện các hoạt động như phát hiện môi trường ảo, tránh phân tích malware hoặc tối ưu hóa hiệu suất của mã độc.

Hành vi giấc ngủ: Mã độc thực hiện hành vi trì hoãn hoặc ẩn núp mình trong hệ thống một thời gian sau khi nó đã xâm nhập thành công Nó không thực hiện các hoạt động tấn công hay mã hóa dữ liệu để tránh sự phát hiện và cho phép nó tiếp tục hoạt động sau khi đã trải qua các biện pháp bảo vệ ban đầu của hệ thống.

Hành vi kiên trì: Mã độc có khả năng duy trì hoạt động và tiếp tục tấn công một cách ổn định và liên tục trong hệ thống mục tiêu Tự sao chép và lan truyền, mã hóa mạnh mẽ, thay đổi và tự cập nhật thích ứng với các biện pháp bảo vệ.

Hành vi mô-đun thời gian chạy: Mã độc có khả năng thực hiện các hoạt động tấn công và mã hóa dữ liệu chỉ trong thời gian cụ thể đã xác định.

Hành vi nghi ngờ DNS: Mã độc có khả năng thay đổi hoặc tấn công hệ thống DNS để kiểm soát hoặc che giấu hoạt động tấn công của nó Đổi hướng DNS điều hướng sang DNS giả mạo, cắt kết nối với DNS, che giấu địa chỉ IP thực. b) Phân tích thành phần PE

- File Header chứa các thông tin cơ bản

- Các thư viện liên kết (Dynamic Link Libraries):

KERNEL32.dll: xem xét các hàm được gọi từ KERNEL32.dll có thể cực kỳ quan trọng để hiểu cách mà chương trình tương tác với hệ thống Các hàm quan trọng như CreateProcess, ReadFile, WriteFile, GetModuleFileName, GetSystemTime, và nhiều hàm khác nằm trong thư viện KERNEL32.dll.

USER32.dll: Thư viện USER32.dll chứa các hàm cần thiết cho giao diện người dùng Windows Các hàm trong thư viện này cho phép các ứng dụng tương tác với người dùng và hệ thống GUI (Graphical User Interface) Điều này bao gồm việc vẽ cửa sổ, xử lý sự kiện từ bàn phím và chuột, vẽ và quản lý các thành phần giao diện người dùng như nút, hộp văn bản, menu, và các chức năng khác liên quan đến giao diện người dùng.

Các hàm quan trọng trong USER32.dll bao gồm CreateWindow, ShowWindow, SendMessage, GetMessage, SetWindowText, và nhiều hàm khác được sử dụng để tạo ra và quản lý các cửa sổ ứng dụng, xử lý sự kiện từ bàn phím và chuột, và tương tác với người dùng.

GDI32.dll (Graphical Device Interface): Thư viện này cung cấp các hàm để vẽ đồ họa và thực hiện các chức năng liên quan đến đồ họa trên màn hình của máy tính.

ADVAPI32.dll (Advanced Windows 32 Base API): Thư viện này cung cấp các hàm API để thực hiện các chức năng bảo mật, quản lý tài khoản người dùng, và tương tác với các dịch vụ hệ thống.

SHELL32.dll: chịu trách nhiệm với các chức năng liên quan đến giao diện người dùng, quản lý tệp tin và thư mục, và tương tác với Windows Shell (giao diện đồ họa của hệ thống Windows)

Phân tích động

a) Phân tích động cơ bản sử dụng Cuckoo Sandbox

Mã độc phân tích : Cerber.exe

Ta có được luồng chạy của chương trình như sau:

Các đặc trưng của mã độc: Đặc trưng 1: 1 hoặc nhiều bộ đệm đã được trích xuất có chứa mã độc hay file cấu hình Đặc trưng 2: Kết nối tới nhiệu địa chỉ IP các port , có dấu hiệu của việc sử dụng giao thức

P2P hoặc giao thức điều khiển không tiêu chuẩn nào đó

Check IP đều là các địa chỉ có vị trí địa lý rất xa nhưng đều cùng 1 đơn vị cung cấp Đặc trưng 3:Tự cấp các quyền đọc, viết, thực thi bộ nhớ Đặc trưng 4: Có tiến trình tự động dừng để kéo dài thời gian phân tích và phát hiện Đặc trưng 5: Truy vấn kích thước ổ đĩa để xác định liệu máy ảo đó sử dụng bộ nhớ nhỏ được cố định hay bộ nhớ động Đặc trưng 6: Các ngôn ngữ được sử dụng trong mã độc, phát hiện mã độc này có sử dụng ngôn ngữ Trung Quốc Đặc trưng 7: Tạo các tiến trình khả nghi

Dòng thứ 2 là lệnh trong cmd để thực thi file READ_THIS_KNRSY_.hta

File hta này chứa thông tin mà kẻ tấn công cung cấp cho nạn nhân cách để khôi phục file bị mã hoá Đặc trưng 8: Thực hiện truy vấn sử dụng WMI, một công nghệ của Windows cho phép quản lý dữ liệu và thông tin của hệ thống

Câu truy vấn 2 kiểm tra về đường dẫn, id tiến trình, id phiên, luồng, thời gian thực thi từ tiến trình Win32_Process và chỉ lấy các file “Cerber.exe” để theo dõi Đặc trưng 9: Bật Firewall lên ở mọi user

Cerber bật Firewall lên ở mọi user với 3 lý do sau:

+ Ngăn chặn người dùng truy cập vào các tệp tài nguyên: Ceber có thể sử dụng firewall để ngăn người dùng truy cập vào các tệp và tài nguyên mà nó cần để hoạt động Giúp virus tránh bị xoá hoặc vô hiệu hoá

+ Bảo vệ chính virus không bị phát hiện: Ngăn chặn các công cụ bảo mật phát hiện nó

+ Ngăn chặn người dùng cài phần mềm bảo mật: firewall có thể ngăn người dùng cài phần mềm bảo mật mới hòng xoá virus Giúp virus tránh bị phát hiện và vô hiệu hoá Đặc trưng 10: Thay đổi tham số của NtProtectVirtualMemory để chuyển đổi việc bảo vệ quyền truy cập bộ nhớ từ Read-Write thành Read-Execute

(Tránh việc virus bị phát hiện khi set tất cả quyền là Read-Write-Execute cùng mọi lúc cho mọi file) Đặc trưng 11: Check địa chỉ IP của máy tính Đặc trưng 12: Dừng hoặc tiêu huỷ một số tiến trình khác Đặc trưng 13:Chứa một số URL có khả năng độc hại ( thường thì những url này đã không còn khả dụng nữa) Đặc trưng 14: Giao tiếp với nhiều tên miền mà không có truy vấn DNS

-> Virus đã biết được địa chỉ Ip của tên mình từ trước nên k cần ánh xạ từ DNS nữa Đặc trưng 15: Nhận diện được Sanbox đang phân tích chính virus bằng 2 file agent.py và analyzer.py Đặc trưng 16:Vô hiệu hoá Proxy để chặn lưu lượng

Bằng cách thay đổi giá trị registry RegSetValueExW từ 1 -> 0 Đặc trưng 17: Set hoặc chỉnh sửa tệp cấu hình proxxy WPAD để chặn lưu lượng Đặc trưng 18: Tìm thấy các URL liên quan đến trình duyệt web TOR và đường dẫn trong TOR( gồm cách tải, cách kết nối TOR và đường dẫn trong TOR mà kẻ tấn công cung cấp cho nạn nhân ) Đặc trưng 19: Tạo hàng loạt các file txt với lời nhắn File đã bị mã hoá

* Các hành vi của mã độc

-Registry : chỉnh sửa và thay đổi registry liên tục để thực hiện mã hoá file và chạy tiến trình

- File: Tìm đường dẫn, tạo file mới và mã hoá các file của nạn nhân + Tạo file:

+ Các File bị mã hoá và thêm vào:

Các file sau khi bị mã hoá sẽ tên có đuôi là ***a (*** là các số tự nhiên)

Các file được thêm vào sẽ là READ_THIS.txt ( file thông báo với nạn nhân các file đã bị mã hoá ) và file hta( cung cấp địa chỉ để nạn nhân phải trả tiền để lấy lại file)

Tuy nhiên cũng có một số file không mã hoá được ( do không thuộc các loại tệp có trong thuật toán của virus ), và 1 số file được thực thi để xác định có thuôc máy ảo hay không

-Network : đều kết nối với địa chỉ IP định trước với giao thức UDP

+ Theo đó là 1 số tên miền đã được cấp sẵn địa chỉ IP mà ko cần truy cứu DNS

1 số DNS là của microsoft, còn lại là các web về quy đổi bitcoin để phục vụ cho việc tống tiền nạn nhân của virus

- Processor : Cung cấp bộ nhớ ảo cho các tiến trình hoạt động liên tục của viurs

Gồm taskill, Cerber.exe, netsh.exe và ping.exe b) Phân tích động nâng cao trên windows

•Tạo một máy ảo với hệ điều hành cần thiết

•Cài đặt tất cả các công cụ cần thiết

•Tạo một bản snapshot của máy ảo

- Chạy mã độc cerber.exe

Mở ProcessExplore xem tiến trình cerber.exe

Mã độc bắt đầu tiến trình và tạo ra các luồng

Quan sát theo dõi hành vi của mã độc - Hoạt động Hệ thống tệp tin (File System Activity):

Mã độc thực hiện các thao tác mở tệp tin, đóng tệp tin, liệt kê thư mục, ghi tệp tin, truy vấn kích thước tệp tin, thời điểm dấu thời gian của tệp tin hoặc thư mục

Ví dụ: tạo ra file mới

Mã hóa và khóa file không cho người dùng đọc được

-Hoạt động Registry (Registry Activity): cerber.exe sẽ thay đổi và cấu hình registry liên tục Ở đây chú ý đến hành động REGSETVALUE: cho phép thiết lập giá trị và cấu hình cho khóa tròg Registry

Ví dụ ở tiến trình đầu tiên mã độc đã thiết lập đổi background desktop cho window sau khi thực thi

Tìm đến mục C:\Users\Duck\AppData\Local\Temp\tmpE9EE.bmp

Chính là ảnh background hiện lên màn hình sau khi mã độc thực thi

-Hoạt động Tiến trình và Luồng (Process and Thread Activity): Bao gồm các sự kiện như việc tạo, khởi động hoặc hủy bỏ một tiến trình, việc tạo hoặc hủy bỏ một luồng, một chương trình tải một DLL, các hình ảnh thực thi và tệp tin dữ liệu được tải vào không gian địa chỉ của một tiến trình

• Hoạt động Mạng (network Activity)

Mã độc sẽ kết nối với các địa chỉ IP được cấp sẵn theo hình thức UDP

Sử dụng Wireshark theo dõi phân tích hoạt động mạng

Phát hiện một số tên miền DNS trong đó 1 số của Microsoft, còn lại là các trang web liên quan đến bitcoin như là: bitaps.com hay chain.so

Theo dõi qua TCP stream

Ngày đăng: 26/02/2024, 09:04

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w