Loại mã độc này thường được phát tan qua các cuộc tấn công sử dụng kỹ thuật xã hội lừa người dùng tải về một Trojan có vỏ bọc phân mêm an toàn... Ransomware thường được lây lan qua thư r
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔ
KHOA CÔNG NGHỆ THÔNG TIN I
_ —Ï—==—
ĐỎ ÁN TÓT NGHIỆP
DE TÀI: NGHIÊN CỨU TONG QUAN VE
QUY TRINH XU LY SU CO KHI HE THONG
NHIEM MA DOC VA QUY TRINH PHAN TICH
MA DOC.
Giang vién huéng dan
Sinh viên thực hiện
: 2017 — 2022
: ĐẠI HỌC CHÍNH QUY
Trang 2Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔ
KHOA CÔNG NGHỆ THÔNG TIN I
mm Se
ĐỎ ÁN TÓT NGHIỆP
ĐÈ TÀI: NGHIÊN CỨU TONG QUAN VE
QUY TRINH XỬ LÝ SỰ CÓ KHI HE THONG
NHIEM MA DOC VÀ QUY TRÌNH PHAN TÍCH
MÃ ĐỘC.
Giảng viên hướng dẫn : TS ĐẶNG MINH TUẦN
Sinh viên thực hiện : CHU TRƯỜNG GIANG
Mã sinh viên : BI7DCAT058
Trang 3Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
LỜI CẢM ƠN
Đề đạt được thành quả tốt đẹp như ngày hôm nay, trước tiên em xin gửi lời cảm
ơn chân thành nhất đến TS Đặng Minh Tuan — đã tận tình chi bảo và hướng dẫn emhoàn thành tốt đồ án tốt nghiệp của mình trong thời gian qua
Em xin gửi lời cảm ơn chân thành đến các thầy cô giáo trong khoa Công nghệ
thông tin I, các thầy cô giáo trong Học viện Công nghệ Bưu chính Viễn thông đã dạy
dỗ, động viên em trong suốt quá trình học tập hơn 4 năm qua tại học viện
Cuôi cùng em rat biệt on gia đình và bạn bẻ luôn tạo điêu kiện, quan tâm, giúp đỡ
để em vượt qua những khó khăn trong quá trình học tập và cuộc sống
Em xin chân thành cảm ơn!
Hà Nội, ngày 28 tháng 10 năm 2021
Chu Truong Giang
Chu Trường Giang — D17CQAT02B 3
Trang 4Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
NHAN XÉT, ĐÁNH GIA, CHO DIEM
(Của người hướng dẫn)
Điểm: (bằng chit: - 6 )
Đồng ý/Không đồng ý cho sinh viên bao vệ trước hội đồng cham đồ án tốt nghiệp?
CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN
(ký, họ tên)
Chu Trường Giang — D17CQAT02B 4
Trang 5Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
NHAN XÉT, ĐÁNH GIA, CHO DIEM
(Của người phải biện)
CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN
(ký, họ tên)
Chu Trường Giang — D17CQAT02B 5
Trang 6Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
MỤC LỤC
LOT CẢM ƠN 55:22 tt re 3NHẠN XÉT, ĐÁNH GIÁ, CHO ĐIỂM 2-2-5 2+E2EEeEEerErrrkrrkerxeee 4
NHẠN XÉT, ĐÁNH GIÁ, CHO ĐIỂM 2-2-5222 2EEeEEeEErrrrrrkerxeee 5
18/08 15 00.3 6
DANH MỤC BANG BIỂU 2-5: 2©SS‡SE‡EE2EE2E127121211221221 212112 cty 9
DANH MỤC ANH VÀ HÌNH VE 2- 22-22 2 2 E2 1E 10 DANH MỤC CÁC THUẬT NGỮ VIET TẮTT -2- -2©2+s+£z++£xz+csez 12
1.3.1 Dinh dang dit liệu và vật chủ của mã AGC .c<<<<<+<sss+ 29 1.3.2 Các hành vi của MEA đÏỘC - -c 5 << E3 ven vve 30
1.3.3 Cách phòng tránh MG đẪỘC 5kg ng ng 31
1.4 KẾT CHƠI 5-5 SE SE EEEEEEEEEEE1112 2111112112101 1111k 31CHƯƠNG II PHƯƠNG PHAP PHAN TÍCH MÃ ĐỘC 32
2.1 Phương pháp xử lý sự cố khi máy tính nhiễm mã độc 32
2.1.1 Quy trình xử lý sự cố với I công ty, tổ chức lỚn: -s-c<cs¿ 32
2.1.2 Xử lý sự có nhiễm mã độc với các cá nhân . . -s-cs-s+ 342.2 Tong quan về phân tích mã độc - 2-2 s2 z+E+EezEeExerxersrrs 35
Chu Trường Giang — D17CQAT02B 6
Trang 7Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
2.2.1 Ai là người phân tích MG (ẪỘC ? - 5 ship 35
2.2.2 Tại sao cân phải phân tích mã độc Ð -¿- + e+ce+tecererereresxee 35
2.2.3 Mục dich của phân tích mã AOC - c5 cSScSSsssesserssersereeeres 36
2.3 Những lưu ý khi phân tích mã độc - 5555 cS<s+scsssseres 36
2.3.1 Hậu quả của việc phân tích mã độc không cẩn ETON 36
2.3.2 Môi trường tải về và phân tích mã độc -++©5+ + cs+c+z+se+ 37
2.3.3 Nguyên tắc chung khi phân tích mã đỘC: -5c©5z©cs+csccssccees 38
2.4 Cài đặt môi trường phân tích mã độc 5 55+ 5s s+s++ 38
2.4.1 Tạo máy Go phân tích MA đÏỘC -c- Sc SE ESSeEEeeekeseeereereeee 38 2.4.2 Sứ dụng máy GO phân tích MG đỘC 5c s+skseeseseeeeee 39 2.5 Quy trình phân tích mã độc - - - - 5 St + ng He, 40
2.5.1 Nhận diện hệ thong bị nhiễm mã độc - -. -©-2-c5z©5scccscs2 40
2.5.2 Ph&in tich SO 2nn OA 41
2.5.3 PhGin tich AGG an n6 nốốốố- 48
2.5.4 PRG tich tinh 8n nố ốốốỐốẮ 50
2.6 Kết chương - 2-52 2s E2 EE127171121121121111121121111 11.11211110.53CHƯƠNG 3: PHAN TÍCH MA ĐỘC TONG TIEN DARKSIDE 54
BoD MU GiCH oo 54
3.2 Các phương tiện cần chuẩn Dio cece cece essesessesesseseeseeseeseesees 54
3.3 Các công cụ sử dung trong bài - 5S c + ssseereerresrrerres 54 3.4 Kich ban thir mghiém 0 54
3.4.1 Kịch ban phân tích so lược và phân tích động với máy ao windows 6.1
Trang 8Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
KET LUẬN - 2-5522 2E1221271211271211 1121121121111 211 11011 erre 70
DANH MỤC TÀI LIEU THAM KHAO -. -2-©¿+22++22£z+£xz+csez 71
Chu Trường Giang — D17CQAT02B 8
Trang 9Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
DANH MỤC BANG BIEU
Bảng 1 Dinh dang ditt liệu và vật chủ của mã độc .- -c+s-<c+sc++xs+ 30 Bang 2 Các hành vi của ma đỘC 6 + 3 3 919119 HH HH ng ng 3l
Bảng 3 Các kiểu tập tin nhị phân 22-5: ©2+2S++£x2E+tEE+eEx++rxrrrxerxeerxee 44Bảng 4 Các thư viện liên kết động thông dụng ¿ 2¿©c+©s+ecxzecxe2 47
Bảng 5 So sánh môi trường phân tích mã độc - 5+ +£+£+s++eesseess 49 Bang 6 Bang so sánh các kỹ thuật phân tích - 5 << *+ksssesseese 53
Bang 7 Bản ghi nhận thay đổi của hệ thống sau khi chạy mã độc 64
Chu Trường Giang — D17CQAT02B 9
Trang 10Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
DANH MỤC ANH VÀ HÌNH VE
Ảnh 1.1 Minh họa mã độc - 22+ 2++tttEEtrtEEEkrttttirrtrirrrriirrriree 15
Ảnh 1.2 Minh họa virus máy tính + s¿©+++++x++z++£x++rx++rxerxxerxesrxee 16Ảnh 1.3 Minh họa WOrm c¿¿-©55+t222+t22E 2E tttrttrrrtttrtrrrirrrrirrrrrrree 17Ảnh 1.4 Minh họa Trojan ¿22 2 SE+2E2E2EE£EE£EEEEEEEEEEEEEEEEEEEEkrrkrrkerree 17Ảnh 1.5 Minh họa AdWare s22 tre 18Ảnh 1.6 Minh họa RootKit sssscssssssssssecssnsecssnecessneecssnecssnsecesnnecesnneeesnneessnees 19Ảnh 1.7 Thiệt hại của ransomware ¿6 St t+E+EEEE+E+EEEEEESEEEEEEeEeEerkrkrrrrree 20Ảnh 1.8 Lịch sử của ransOMmwate 6 St +E‡EvEESE+EEEEEEEEEEEkrkererkrkrrrrrree 21
Ảnh 1.9 Minh họa KeylOg€T - - 2-2 2 £E£+E£+E£EE#EE+EEEEEEEEEEEEEEEEerkerkrrkrree 29
Ảnh 2.1.Sơ đồ quy trình phân tích mã độc - ¿2+ z++++z++zz+rxz+zxez 33
Ảnh 2.2 Hậu quả của việc không can thận khi phân tích mã độc - 37
Ảnh 2.3.Môi trường phân tích mã độc 2-2 +¿+++£+++£x++zx+zx+zrxzsrxez 38Ảnh 2.4 Sơ đồ quy trình phân tích mã độc - 2-2 2 2 £+E+zx+£x+zx+zszx+z 40Ảnh 2.5 Mục đích của phân tích sơ lược - + 2 2 s+£+££+Eezxerxerxsrsxee 42Ảnh 2.6 Quy trình phân tích sơ lược - + - + + + £+££+E+E+zxerxerxerssxez 43
Ảnh 2.7 Sơ đồ mạng với môi trường phân tích mã độc - 5 s2 s2 49 Ảnh 2.8 Minh họa mã nhị phân 2-2 2 2E E+EE+EE+EE£E£+E££Ee£Eerxerxrrxrree 50
Ảnh 2.9 Công cụ OllyDbg -¿-2¿22¿©S222E22EE22EE22EE221221211271 22121121 crxe 51
Ảnh 2.10 Công cụ WinDbg 2 25- 252 2S 22x 222212221211 211271 21121 1c 51
Ảnh 2.11 Quy trình phân tích tĩnh ¿- s¿©+©£+x++£++£x++tx++zxzxeerxesrxez 52Ảnh 3.1 Máy ảo Windows 8 26c 5c 2x22 2 2211221211211 211 11c1crke 55Ảnh 3.2 Máy a0 Linux RemnuX - 2-2-5 £+E‡EE£EE+EE£EEEEE2EEEEeEEerkerkerkrree 56Ảnh 3.3 Kết quả của các lệnh file, signsrch, yara-rules s2 57Ảnh 3.4 Kết quả của lệnh peframe ¿2 2 ++5£+E£+E£+E£+Ee£Eerkerxrrsxee 58Anh 3.5 Kết quả của lệnh peframe 2 o ccccccscsssessessessssssessessecssessessesseessessessecsecses 58
Ảnh 3.6 Kết quả của lệnh pecheck c.sccsssesssesssesssessesssesssessssssecssecssssssssessseeseeeses 59Ảnh 3.7 Kết quả của lệnh strings l -2-2- 2 +¿2+£x£+£x+zxezxeerxesrxee 59Ảnh 3.8 Kết quả của lệnh strings 2 ¿- 2:2 5£+x++£++£E++Ex++zxerxeerxeerxee 60Ảnh 3.9 Kết quả của lệnh xorsearch, brxor, bbcracK ‹«-s««+ss«++s+ 60
Ảnh 3.10 Kết quả của lệnh bbcrack -:- ¿+ 5++x++z++£x++£x++zxezxserxesrxez 61Ảnh 3.11 Kết quả của lệnh flOss - 2-2 2 2 £+E£EE+EE+EE£EE£EE2EE£EeEEerkerxrrsree 61Ảnh 3.12 Kết quả sau khi chạy mã độc -¿ ¿+ ++x++x++z++zxerxersez 62Anh 3.13 Kết quả phân tích WireShark 2-22 +¿22££x££x+zxezxxerxesrxee 64Ảnh 3.14 Kết quả phân tích Whois -2¿- 2: ©22©5£+2x+2EEt£EESEESrkerreerkeerxee 65Ảnh 3.15 Tao môi trường phân tích trên any.run l -zs s22 65
Chu Trường Giang - D17CQAT02B 10
Trang 11Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Anh 3.16 Tạo môi trường phân tích trên any.run 2 . ¿ z+2:sz+-s+2 66Ảnh 3.17 Giao diện máy ảo Win7 32-bit trên any.run - -: s+¿ 66Ảnh 3.18 Hành vi của mã độc I :-22+222+t2EEtttEEtttErrtrrrrrrrrrrrrree 67Ảnh 3.19 Hành vi của mã độc 2 -c:-22ct2 tri 67Ảnh 3.20 Hành vi của mã độc 3 c:- 55c tre 68Ảnh 3.21 Các kỹ thuật mà mã độc sử dụng s5 + Sc s2 ssvsseerseeeree 69
Chu Trường Giang — D17CQAT02B Il
Trang 12Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuan
DANH MUC CAC THUAT NGU VIET TAT
Ký hiệu Tên tiếng Anh Ý nghĩa Tiếng Việt
API Application Programming | Giao diện lập trình ứng dụng
Interface
USB Universal Serial Bus Công kết nỗi cáp tiêu chuân
loT Internet of Things Internet van vat
RSA Ron Rivest, Adi Shamir và | Là một hệ mật mã hóa bat đôi xứng
Leonard Adleman MDS Message-Diest Algorithm Là một ham băm mã hóa
SHAI Secure Hash Algorithm 1 Là một ham băm mã hóa
CPU Central Processing Unit Bộ vi xử ly trung tam
PE32 Portable Executable 32-bit Chuong trinh thuc thi 32-bit
Trang 13Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Nó không những gây ra các nguy cơ đe dọa nghiêm trọng đến các lĩnh vực kinh tế, mà
còn gây ra các môi đe dọa trong lĩnh vực an ninh quôc phòng.
Theo trung tâm an ninh mạng Viettel (VCS), trong nửa đầu năm 2021 đã ghi nhận
và phân tích rất nhiều các cuộc tan công lớn của các nhóm APT Ví dụ như: các chiếndịch tấn công của nhóm APT nhắm tới các nhà nghiên cứu bảo mật, nhắm tới ngườidùng lợi dụng một số bản cập nhật từ Noxplayer, mã độc KerrDown, các cuộc tấn côngnhắm vào các tô chức chính phủ, quân đội tại Việt Nam, các cuộc tấn công lợi dụng cácvăn bản liên quan đến chính trị tại Việt Nam Cũng theo báo cáo này, trong nửa đầu
năm 2021 ghi nhận các vụ lộ lọt thông tin lớn từ các doanh nghiệm lớn của Việt Nam
(ngân hàng, tài chính, bán lẻ).
Theo Trung tâm Giám sát an toàn Không gian mạng Quốc gia (NCSC), trong 8tháng đầu năm 2021, Cục An toàn thông tin đã ghi nhận 5082 cuộc tấn công mạng gây
sự cố vào các hệ thống thông tin tại Việt Nam (1212 cuộc Phishing, 970 cuộc Deface,
2900 cuộc tan công mã độc), tăng 25.82% so với cùng kì 8 tháng đầu năm 2020
Trong số 5082 cuộc tan công thì có tới 2900 cuộc tan công bằng mã độc chiếm sắp
xi 57% (theo NCSC) Nhận thay được sự tinh vi va mức độ nguy hiểm của tấn côngbằng mã độc nên mục đích của đồ án là nhằm tạo ra 1 tài liệu nhằm mục tiêu phân loại
các loại mã độc, hành vi hoạt động và cách phòng tránh cho người dùng thông thường.
Ngoài ra còn để tạo nên 1 tài liệu tham khảo cho các sinh viên, học sinh muốn tìm hiểu
về biện pháp xử lý khi nhiễm mã độc hoặc phương pháp dé phân tích 1 mã độc
Với mục tiêu đó, bố cục dé án sẽ bao gồm ba chương theo cấu trúc như sau:
Chương 1: Tổng quan về mã độc
Giới thiệu vê mã độc, phân loại mã độc, nguyên lí hoạt động của mã độc và cách phòng tránh.
Chương 2: Phương pháp phân tích mã độc
Trinh bày các bước trong phân tích mã độc và quá trình xử lý sự cố khi máy tinh
bị nhiêm mã độc.
Chu Trường Giang - D17CQAT02B 13
Trang 14Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Chương 3: Phân tích mã độc tống tiền DarkSideKết luận
Chu Trường Giang — D17CQAT02B 14
Trang 15Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
CHƯƠNG 1 TONG QUAN VE MÃ ĐỘC
Chương I trình bày khái niệm về mã độc và các thông tin liên quan như phân loại
mã độc, các hành vi của mã độc, nguyên lí hoạt động của mã độc Ngoài ra, chương cũng nêu ra các biện pháp đê phòng tránh các cuộc tân công mã độc.
1.1 Mã độc là gì?
Mã độc (malware — malicious software) là một chương trình, phần mềm được tạo
ra với mục đích gây hại cho các thiết bị có thể lập trình như máy tính, điện thoại thôngminh, thiết bị loT, mang và các thiết bị có thé lập trình khác Thiệt hại ở đây có thé là
chiếm quyền điều khiến thiết bị, khóa các tệp cần thiết, đánh cắp thông tin người dùng,làm giảm hiệu suất của thiết bị, v.v Ngày nay, mã độc ngày càng biến đổi một cách tinh
vi và khó lường từ cách thức lây nhiễm, cách thức ân mình trong hệ thống cho tới cáchthức thực hiện hành vi Mã được chia thành rất nhiều loại khác nhau như là viruses,
ransomware, spyware, V.V.
Phần mềm độc hai đã thực sự là mối de dọa đối với các cá nhân và tổ chức ké từđầu những năm 1970 khi virus Creeper lần đầu xuất hiện Ké từ đó, thế giới đã bị tấncông từ hàng trăm nghìn biến thé phần mềm độc hại khác nhau Cần phải chú ý thêmrằng mã độc khác với chương trình lỗi Mã độc là chương trình được tạo ra với chủ đíchxau còn những chương trình lỗi — thường là do lỗi lập trình, mặc dù những lỗi này cũng
có thé bị các kẻ xấu lợi dụng dé thực hiện các hành vi xấu như chiếm quyền điều khiển,đánh cắp thông tin v.v
Trang 16Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
trên máy tính đều là virus Chúng ta cần phải hiểu rõ ràng về virus, thông thường nó thường được ân trong các chương trình máy tinh Gidng như virus cảm cúm, virus máy tính cũng có khả năng nhân rộng băng cách tự sửa đôi mã của các chương trình khác sau
khi nó thâm nhập được vào hệ thống.
Trong một thế giới công nghệ internet kết nối liên tục như ngày nay, virus có thélây lan theo rất nhiều cách Virus máy tính có thé lây lan qua email, các loại tệp đínhkèm, các tỆp tải xuống từ internet, các liên kết lừa đảo trên mạng xã hội hoặc qua các
thiết bị lưu trữ như USB Virus có thé ấn mình dưới vỏ bọc là các tệp đính kèm có nội
dung vui nhộn, thiệp chúc mừng hoặc những hình ảnh và video nhạy cảm kích thích người xem.
1.2.2 Worm
Worm hay còn được gọi là sâu máy tính — chúng là một đoạn mã độc sống ký sinhtrong các chương trình máy tính, nhằm phá hoại và lây lan Nó có khả năng tự nhân bản
trên chính bản thân nó mà không cần sao chép và nhúng vào một file nào khác Chúng
có thé tự lây lan thông qua internet, do đó chúng thường gây thiệt hại nghiêm trọng chomột mạng lưới về tổng thé, trong khi virus thường chỉ nhắm vào các tập tin trên máytính bị nhiễm Worm lây lan chủ yếu là do các lỗ hồng bảo mật của hệ thống
Chu Trường Giang — D17CQAT02B 16
Trang 17Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Ảnh 1.3 Minh họa Worm
1.2.3 Trojan horse
Trojan horse trong thần thoại Hy Lap là một con ngựa gỗ to lớn ma quân Hy Lap
sử dung dé đánh lừa quân đội thành Trojan, bên trong nó có day binh lính của quân HyLạp Chính vì đặc điểm nay ma người ta đã dùng nó dé đặt cho một loại mã độc có cochế hoạt động tương tự
Mã độc Trojan horse hay còn gọi là Trojan, chúng có vỏ bọc là một phần mềm
thông thường nhưng bên trong lại chứa những đoạn mã nguy hiểm Loại mã độc nàyđược hacker sử dụng dé phá hủy, lam gián đoạn, ăn cắp dữ liệu hoặc mạng của bạn
Khác với Virus hay Worm, Trojan không có khả năng tự nhân bản Loại mã độc này
thường được phát tan qua các cuộc tấn công sử dụng kỹ thuật xã hội (lừa người dùng tải
về một Trojan có vỏ bọc phân mêm an toàn).
Chu Trường Giang — DI7COA T02B 17
Trang 18Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
1.2.4 Adware
Adware được hiểu là phần mềm quảng cáo, nhưng chúng hoạt động không được
sự cho phép của người dùng Chúng liên tục hién thị các quảng cáo gây phiên hà, và cóthé thu thập thông tin cá nhân của người dùng dé phục vụ mục dich cá nhân hóa quảng
cáo.
Ảnh 1.5 Minh họa Adware
1.2.5 Rootkits
Rootkits cho phép tin tặc truy cập trái phép vào thiết bị của bạn mà không dé lại
dấu vết Rootkits rất khó phát hiện và có thé che giấu sự hiện diện của chúng trong các
hệ thống một cách tinh vi Tin tặc sử dung rootkits truy cập vào máy tính nạn nhân dé
danh cap dữ liệu hoặc thực hiện những mục dich xấu
Chu Trường Giang — DI7COA T02B 18
Trang 19Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
trên mạng.
Các trường hợp tấn công đầu đầu tiên sử dụng mã hóa được ghi nhận vào năm
1989 Phần mềm ransomware AIDS/PC Cyborg nhắm mục tiêu chủ yếu vào các máy
tính từ các công ty trong lĩnh vực y tế Chúng được cấy vào 6 đĩa 5,25 inch mạo danh
một cuộc khảo sát về nguy cơ nhiễm HIV/AIDS Tin nhắn tiền chuộc được in trên máy
1n được kết nôi với máy tính nạn nhân.
Ransomware thường được lây lan qua thư rác hoặc email lừa đảo, và cũng có théthông qua các trang web hoặc tải xuống theo ô đĩa (gọi chung là sử dụng các kỹ thuật
xã hội để lừa đảo nạn nhân cài đặt về thiết bị), để lây nhiễm vào thiết bị điểm cuối và
thâm nhập vào mạng Internet.
Các cuộc tan công bằng Ransomware thường gây thiệt hại lớn và trên diện rộng vìkhả năng lây lan kinh khủng của loại mã độc này Trong báo cáo hoạt động về mã độctống tiền do VirusTotal và Google phối hợp thực hiện mới đây với hơn 80 triệu mẫunghỉ ngờ cho thấy, mã độc tống tiền tăng gần 200% so với thời điểm ban đầu tại ViệtNam Báo cáo ghi nhận từ 140 quốc gia cũng cho biết, từ năm 2020 đến tháng 7/2021
Chu Trường Giang — D17CQAT02B 19
Trang 20Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
đã có hơn 130 ho mã độc tống tiền được kích hoạt, trong đó GandCrab là loại
ransomware tung hoành mạnh nhất
o Locker ransomware: Locker ransomware là loại mã độc tong tién hoat động
theo cơ chế khóa máy tính hoặc thiết bị của nạn nhân và tống tiền
o Crypto ransomware: so với Locker ransomware thì Crypto ransomware phố
biến va rộng rãi hơn Nó mã hóa tat cả các file trong máy tính và tống tiềnnạn nhân dé đổi lay khóa giải mã Một số biến thé Crypto ransomware có khảnăng lây nhiễm sang các 6 đĩa được chia sẻ, mạng và đám mây
o Double extortion ransomware: mã hóa file và xuất dữ liệu đó nhằm mục
đích tống tiền nạn nhân Với mã độc tống tiền này, kẻ tắn công sẽ hăm dọađăng những thông tin dữ liệu bị đánh cắp Nó có nghĩa là, cho ding nạn nhân
có thé lay lại dữ liệu thông qua backup, thì kẻ tắn công vẫn có khả năng tốngtiền nạn nhân Tuy nhiên, việc trả tiền chuộc cũng không đảm bảo việc dữliệu được bảo vệ, vì những kẻ tan công có quyên truy cập vào dit liệu bị đánhcắp
o_RaaS: liên quan đến việc kẻ tan công thuê quyền truy cập vào một chủng
ransomware từ tác giả của ransomware, người cung cấp nó như một dịch vụ
cho thuê Tác giả của RaaS giao ransomware của họ trên các trang darkweb
và cho phép tội phạm mua nó dưới hình thức đăng kí.
Chu Trường Giang - D17CQAT02B 20
Trang 21Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
1.2.0.3 Lịch sử của mã độc
Bây giờ bạn đã biệt vê định nghĩa và phân loại mã độc tông tiên, tiép theo can
tìm hiệu về một sô ví dụ mã độc tông tiên nôi tiêng đê xác định môi nguy hiém và rút
kinh nghiệm sau những cuộc tân công mã độc tông tiên đó.
JANUARY APRIL Wanna
MARCH GandCrab REvil z
etya JUNE
SamSam yuk Met Goldeneye
pat RobbinHood NotPetya
AND BACKGEOUMO:EA0TA /GETTY IMAGES «ana Trcrrasarr.ALL more sesexveo TechTarget
Anh 1.8 Lịch sử của ransomware
o Tháng 12/2004: GPCode
Sau 15 năm tạm lắng xuống, GPCode đã đánh dấu bắt đầu kỷ nguyên củaransomware đối với Internet Loại mã độc tống tiền này lây lan qua email, mãhóa các tập tin của nạn nhân và đổi tên thành Vnimanie (nghĩa là gây chú ý
Chu Trường Giang — DI7COA T02B 21
Trang 22Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
trong tiếng Nga) Không giống như nhiều cuộc tan công ransomware hiện nay,các tác giả của GPCode tập trung vào các tô chức hơn là các cá nhân, gửi mộtlượng lớn email độc hại và yêu cầu 20$ - 70$ tiền chuộc
o Tháng 5/2006: Archievus
Là ransomware đầu tiên sử dụng mã hóa Rivest-Shamir-Adleman (RSA)
1024 bit Mục tiêu của nó nhắm vào các hệ thống Windows và phát tán qua cácURL độc hại và email rác Nó nhắm vào thư mục có tên “My Documents” Mộtkhi thư mục bị mã hóa, nạn nhân sẽ được chuyển hướng tới 1 cửa hàng trực
tuyến Chỉ sau khi nạn nhân mua hàng, họ mới có được mật khẩu dé mở khóa
tỆp.
o Tháng 9/2011: WinLock
WinLock — “kẻ định nghĩa ra họ Lock ransomware” Là mà độc tống tiềnLock ransomware đầu tiên xuất hiện trên các trang báo Nạn nhân bị nhiễm mãđộc tống tiền nay qua một trang web độc hại Sau khi mã độc xâm nhập thành
công, nó sẽ bắt nạn nhân phải trả 10$ dé nhận được một đoạn mã Sau khi nhập
mã vào thiết bị, mã độc sẽ yêu cầu nạn nhân gọi đến 1 số điện thoại miễn phí
Nhưng cuộc gọi đó thực ra là đã được chuyển hướng và nạn nhân sẽ mất thêm
chi phí cho cuộc goi.
o Tháng 8/2012: Reveton
Reveton là một dạng mã độc tài chính, nó được lây lan thông qua các cuộc
tan công drive-by-download Sau khi bi lây nhiễm, một cảnh bảo tự hiện lên
với nội dung thông báo từ một cơ quan pháp luật và cáo buộc nạn nhân là kẻ
phạm tội (Ví dụ như tải xuống phần mềm vi phạm bản quyền) và đe dọa bỏ tùnếu không nộp tiền phạt theo yêu cầu Các biến thể sau đó đã sử dụng webcam
cả nạn nhân, yêu cầu thanh toán bằng bitcoin, và lây lan phần mềm độc hạiđánh cắp mật khẩu và hệ điều hành di động và Mac bị nhiễm
o Tháng 9/2013: CryptoLocker
CryptoLocker là một trong những vi dụ đầu tiên về mã độc tống tiền tinh
vi Mã độc này khóa người dùng với hệ thống của họ, và sau đó nó sử dụng cặpkhóa RSA2048 bit dé mã hóa hệ thống vã mọi 6 đĩa được kết nỗi cũng như làdịch vụ đám mây Điều này làm tăng cơ hội nạn nhân thanh toán khoản tiềnchuộc vì ngay cả khi nạn nhân đã gỡ được khóa, quyền truy cập sẽ không được
khôi phụ do hệ thống đã được mã hóa CryptoLocker lây lan qua các tệp đính
kèm độc hại trong thư rác FedEx và thông báo theo dõi của UPS, cũng như các
trang web bị nhiễm Kẻ tan công yêu cầu 300$ tiền chuộc dé mở khóa | thiết
Chu Trường Giang — D17CQAT02B 22
Trang 23Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
bị Theo báo cáo thì mã độc tống tiền này đã thu được 27 triệu đô tiền chuộcsau 2 tháng đầu tiên
o Tháng 4/2014: CryptoWall
CryptoWall là một loại mã độc cực kì khó chịu, nó không chỉ mã hóa các
tệp của bạn và tống tiền dé có khóa giải mã: nó còn cố gắng ấn bên trong hệđiều hành và tự thêm vào thư mục Startup Tệ hơn nữa, mã độc tống tiền nàygây khó khăn (hoặc trong một số trường hợp là không thé) khôi phục dữ liệucủa bạn Trong vòng 6 tháng đầu tiên, nó đã lây nhiễm cho 635000 hệ thống vàkiếm được hơn 1.1 triệu đô tiền chuộc CryptoWall lây lan qua các email lừađảo, quảng cáo độc hại trên các website Trong nhiều trường hợp, nạn nhân cóthể tránh được cuộc tan công nếu như họ chỉ cần cập nhật phần mềm và sao lưu
máy chủ của mình.
o Tháng 5/2014: CTB-Locker
Curve-Tor-Bitcoin Locker sử dung đường cong elliptic dé mã hóa tập tin
của nạn nhân và sử dung trình duyệt Tor dé xáo trộn hoạt động liên lạc của nó.Sau khi lây nhiễm qua các email và các nội dung tai về độc hại, nạn nhân bị
tống tiền chuộc bằng bitcoin CTB-Locker là một trong những chủ ransomwaređầu tiên sử dung thông báo đa ngôn ngữ dé thông báo cho nạn nhân bị lây nhiễm
Nó cũng đánh dau cho sự khởi đầu của việc sự dụng tiền điện tử để thanh toántiền chuộc
o Tháng 6/2014: SimpleLocker
SimpleLocker, còn được gọi với cái tên khác là Simplocker, là mã độc
tống tiền đầu tiên nhắm mục tiêu vào các thiết bị Android Nó quét thẻ SD vàsau đó mã hóa hình ảnh, tệp và video Các phiên bản sau có thể truy cập vàocamera của nạn nhân Ngoài ra nó còn có khả năng thu thập thiết bị, số kiểumáy và nhà sản xuất Giống như CTB-Locker, SimpleLocker sử dụng trìnhtuyệt Tor dé tránh việc bị truy vết Kẻ tấn ông yêu cầu một khoản tiền chuộc déđối lấy mật khẩu và quyên truy cập thiết bị
Trang 24Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
LockerPin là mã độc tống tiền di động khóa mã PIN đầu tiên nhắm vàocác thiết bị hệ điều hành Android Nó đã lây nhiễm vào thiết bị của người dùngsau khi được tải xuống từ các cửa hàng ứng dụng của bên thứ ba Không giốngnhư người tiền nhiệm SimpleLocker, LockerPin có thé ghi đè các đặc quyềnquản trị, dừng các chương trình chống virus đang chạy trên thiết bị và thay đổi
mã PIN của nạn nhân Tuy nhiên, ngay cả khi khoản tiền chuộc 500$ được tra,những kẻ tấn công không thể mở khóa thiết bị của nạn nhân vì mã PIN đượctạo ngẫu nhiên và những kẻ tan công cũng không thê xác định được
o Tháng 11/2015: Chimera
Mã độc tống tiền Chimera là một trong những chủng loại đầu tiên de dọalàm rò ri dữ liệu của nạn nhân nếu khoản tiền chuộc 2.5 bitcoin không được trả.Chimera được phát tán thông qua các email có chứa liên kết Dropbox độc hại
Vào tháng 7/2016, Petya đã tung ra 3500 khóa giải mã Chimera Các bộ giải
mã Chimera khác cũng có sẵn
o Tháng 11/2015: Linux.Encoder.1
Linux.Encoder.1 là mã độc tống tiền đầu tiên nhắm vào các máy tính hệ
điều hành Linux Sau khi khai thác một lỗ hồng trong nền tảng Magento thươngmại điện tử, Troan đã mã hóa MySQL, Apache va các thư mục sốc và home.Những kẻ tan công yêu cầu một bitcoin dé đồi lay khóa giải mã Các hệ thống
vá 16 hong Magento đã ngăn người dùng trở thành nạn nhân
o Tháng 1/2016: Ransom32
Ransom32 là loại mã độc tống tiền sử dụng JavaScript đầu tiên Điều nàylàm cho nó trở thành một nền tảng đa nên tảng, mã độc tống tiền “viết một lần,lây nhiễm tất cả”, nó có thê lây nhiễm vào Windows, Linux và Mac
o Tháng 2/2016: Locky
Locky đã sử dụng mạng botnet Necurs dé gửi email lừa đảo với tệp đínhkèm Word hoặc Excel có chứa macro độc hại Nó mã hóa tệp trên hệ điều hànhWindows Locky xuất hiện trở lại vào tháng 9/2017 trong một cuộc tấn công
mà 27 triệu tin nhắn được gửi đi trong vòng 24h
o Tháng 3/2016: Petya
Petya là mã độc tống tiền có khả năng ghi đè lên các bản ghi khởi động (MBR)
va mã hóa tệp chính (MFT), ghi lại các dữ liệu và vi trí thực và tất cả đường
dẫn thư mục của tất cả các file trên thiết bị Ba bước này đã khóa nạn nhân khỏi
hệ thống của ho Petya đã lây nhiễm các hệ thong Windows thông qua các email
lừa đảo.
o Tháng 3/2016: SamSam
Chu Trường Giang — D17CQAT02B 24
Trang 25Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
SamSam đáng chú ý với các thao tác thủ công Sau khi xác định được nạn nhân,
kẻ tan công sử dụng brute-force và các công cụ hợp pháp của Windows đề lâynhiễm lên các thiết bị cụ thé Sauk hi chạy được mã độc, tiền chuộc sẽ là 1bitcoin Các bản cập nhập sau nay đã kết hợp các kỹ thuật phức tap, mã hóa va
kỹ thuật xáo trộn Mục tiêu bao gồm các hệ thống y tế, giáo dục và các cơ sở
hạ tầng thông tin quan trọng Một báo cáo năm 2018 đã chỉ ra răng SamSam đã
thu được 6 triệu USD kề từ khi nó được tạo ra
o Tháng 4/2016: Jigsaw
Các nạn nhân của mã độc Jigsaw sẽ duoc đối mặt với một bức ảnh ghêrợn và một đồng hồ đếm ngược Nếu 150$ tiền chuộc không được thanh toántrong vòng 1 giờ thì một trong số các tệp của nạn nhân sẽ bị xóa Mỗi giờ trôiqua, số lượng các tệp bị xóa ngày càng tăng lên Nếu nạn nhân cô gắng khởiđọng lại thiết bị của họ, 1000 tệp sẽ bị xóa ngay lập tức
o Tháng 6/2016: Zcryptor
ZCrypto là một trong những loại sâu mã hóa đầu tiên, nó là sự kết hợp
giữa sâu máy tinh mà ransomware Nó tự nhân bản dé sao chép chính nó vàocác thiết bị và mạng được kết nối bên ngoài Zcrypto mã hóa file của nạn nhân
và yêu cau tiền chuộc là 1.2 bitcoin Sau 4 ngày nếu như chưa thanh toán thitiền chuộc sẽ tăng lên 5 bitcoin
o Tháng 9/2016: Mamba
Mamba, còn được gọi với cái tên khác là HDDCrypto, nó là một mã độc
tống tiền mã hóa 6 cứng và phát tán thông qua một công cụ mã hóa hợp pháp
là DiskCrypto Các báo cáo cho thấy Mamba đã khai thác một chương trìnhmáy chủ Oracle chưa được vá lỗi; một bản cập nhật hệ thống đơn giản có thểngăn chặn cuộc tấn công
o Tháng 1/2017: Spora
Spora được đặt tên theo một từ tiếng Nga, nó có khả năng hoạt động ngoạituyến và có hệ thống thanh toán phức tạp Nó được phát tán thông qua emailphishing kèm theo tệp đính kèm độc hại Sau khi được tải về, nó mã hóa file sửdụng thuật toán AES và RSA Vào tháng 8/2017 một bản nâng cấp của Spora
đã được tung ra, nó có thêm tinh năng lay cắp thông tin từ trình duyệt web vàghi lại các lần gõ phím
o Tháng 5/2017: Jaff
Jaff được phát hiện một ngày trước cuộc tan công két tiếng WannaCry.Mặc dù nó bắt chước Locky nhưng nó kém tỉnh vi hơn nhiều Jaff đã sử dụngmạng botnet Necurs đề phát tán khoảng 5 triệu email độc hại mỗi giờ Những
Chu Trường Giang - D17CQAT02B 25
Trang 26Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
kẻ tan công yêu cầu $ 3,300 đồi sang bitcoin - một khoản tiền chuộc cao hơnnhiều so với các biến thể khác
o Tháng 5/2017: WannaCry/WannaCrypt
WannaCry đã được sử dung trong cuộc tan công mạng toàn cau vào tháng5/2017 với quy mô trên 150 quốc gia Cho đến tháng 5/2019, nó được báo cáorang đã lây lan đến gần 5 triệu thiết bị WannaCry đã ảnh hưởng đến các tổ
chức nỗi tiếng như Dich vụ Y tế của Vương quốc Anh, FedEx, Honda và Boeing
Còn được gọi là WannaCrypt, WannaCryptor và Wanna Decryptor, nó lây lan
qua khai thác EternalBlue bị rò ri của Cơ quan An ninh Quốc gia, một lỗ hồng
trong các phiên bản cũ của Server Message Block Microsoft đã phát hành một bản vá vào tháng 3 năm 2017, nhưng nó không được cập nhật rộng rãi Là một
con sâu máy tính, nó tự sao chép đề lây nhiễm
o Tháng 6/2017: Goldeneye
Goldeneye, một biến thể của Petya, thường được gọi là anh chị em của
WannaCry Nó lây lan qua phương pháp lừa đảo và mã hóa dữ liệu cá nhân của
nạn nhân, mã hóa MBR và MFT Nó cũng được truyền qua lỗ hồng EternalBlue
o Tháng 6/2017: NotPetya
Biến thể Petya có tên NotPetya được coi là ransomware, nhưng với vai trò làmột công cụ xóa số, nó tập trung vào việc phá hủy các tập tin hơn là thu tiền.Giống như Petya, nó mã hóa MBR và MFT Không giống như Petya, sau khi
mã hóa, nó sẽ phá hủy nội dung của thiết bị Ngay cả khi nạn nhân trả tiềnchuộc, họ sẽ không bao giờ lấy lại được hồ sơ của mình NotPetya sử dụngnhiều vectơ tấn công, bao gồm cả các công cụ phần mềm hợp pháp
o Tháng 10/2017: Bad Rabbit
Bad Rabbit, một biến thé của NotPetya, sử dụng quảng cáo giả mạo trìnhcài đặt Adobe Flash để nhằm mục tiêu nạn nhân Giống như Petya, Bad Rabbitkhai thác EternalBlue và mã hóa MBR Khi một thiết bị bị nhiễm, một thôngbáo sẽ xuất hiện yêu cầu 0,05 bitcoin Nếu nạn nhân không trả tiền trong vòng
40 giờ, số tiền chuộc sẽ tăng lên
o Tháng 1/2018: GandCrab
GandCrab là biến thé RaaS đầu tiên yêu cầu thanh toán bằng tiền điện tử
Dash Nó đã sử dụng miền cấp cao nhất bit, miền không bị Công ty Internetcho Tên và Số được chỉ định, dé đảm bảo bí mật GandCrab lây lan qua email,
bộ dụng cụ khai thác và các chiến dịch phần mềm độc hại khác Nó chịu tráchnhiệm cho hơn 50% lượng tan công ransomware vào tháng 8 năm 2018 Vào
Chu Trường Giang - D17CQAT02B 26
Trang 27Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
năm 2019, tổ chức ransomware đằng sau GandCrab đã nghỉ hưu và phát hành
một công cụ giải mã.
o Tháng 8/2018: Ryuk
Ryuk, được đặt theo tên một nhân vật manga, là một trong những biến théđầu tiên mã hóa ô đĩa mạng, xóa các bản sao bóng và vô hiệu hóa Khôi phục
hệ thống Windows, khiến nạn nhân không thé khôi phục nếu không có sao lưu
bên ngoài hoặc công nghệ khôi phục Ryuk bị phát tán bởi các email lừa đảo chứa các tài liệu Microsoft Office độc hại Nó đã được sử dụng trong một cuộc
tấn công chống lại Công ty xuất bản Tribune vào tháng 12 năm 2018 Vào năm
2019 và 2020, nó đã được sử dụng trong một số cuộc tấn công chống lại các tôchức chăm sóc sức khỏe Các mục tiêu và nạn nhân cũng bao gồm các chínhphủ, hệ thống trường học, và các công ty khu vực công và tư nhân khác
o Tháng 4/2019: REvil
REvil, còn được gọi là Sodin và Sodinokibi, có thể liên quan đến
GandCrab của năm 2018 Hai chủng này có những điểm tương đồng nổi bật và
đã được triển khai cùng nhau trên hệ thống của nạn nhân trong các cuộc tấncông ban đầu, trước khi GandCrab nghỉ hưu Các cuộc tấn công ban đầu đã khai
thác lỗ hồng Oracle WebLogic và lỗ hồng zero-day của Windows Sau đó, khaithác các hệ thống bị xâm nhập thông qua lừa đảo, lỗ hông Giao thức Máy tính
Từ xa (RDP), tan công VPN và tan công chuỗi cung ứng REvil đã được sửdụng trong các cuộc tấn công đáng chú ý chống lại Acer, JBS USA và Kaseya.Nhóm ransomware đã ngừng hoạt động vào tháng 7 năm 2021 nhưng xuất hiệntrở lại vào tháng 9 năm 2021 Một bộ giải mã phổ quát đã được phát hành vàotháng 9 năm 2021 cho các nạn nhân của các cuộc tắn công trước ngày 13 tháng
7 năm 2021.
o Tháng 5/2019: Maze
Maze, một biến thé của ChaCha, lây lan qua email rác, các cuộc tan côngRDP và bộ dụng cụ khai thác Đây là một trong những ví dụ đầu tiên về mã độctống tiền kép Vào thang 6 năm 2019, Maze thông báo thành lập một nhóm tô
chức tội phạm mạng Maze đóng cửa hoạt động vào tháng 11 năm 2020.
o Tháng 5/2019: RobbinHood
RobbinHood xâm nhập vào mạng của nạn nhân thông qua các âm mưu lừa
dao, tan công RDP hoặc các Trojan khác, đôi khi lợi dụng lỗ hổng
CVE-2018-19320, một lỗ hồng trình điều khiển nhân Gigabyte Nó vô hiệu hóa các dịch
vụ va chương trình bảo vệ, ngắt kêt nôi mạng chia sẻ, xóa các bản sao bóng,
Chu Trường Giang — D17CQAT02B 27
Trang 28Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
xóa nhiều sự kiện và vô hiệu hóa tính năng sửa chữa tự động của Windows.Yêu cầu tiền chuộc của RobbinHood dao động từ 3 đến 13 bitcoin
o Tháng 11/2019: Tycoon
Tycoon nhắm mục tiêu đến môi trường Windows va Linux tại các tổ chứcgiáo dục và công ty phần mềm Các nhà nghiên cứu của BlackBerry cho biếtđây là dòng ransomware đầu tiên sử dụng định dạng hình ảnh Java, hoặc
JIMAGE, để tạo và cung cấp bản dựng một JRE tùy chỉnh Khi vào trong mạng,
Tycoon sẽ vô hiệu hóa các chương trình antimalware và có thể ân mình trongnhiều tháng trước khi mã hóa tệp máy chủ và yêu cầu tiền chuộc Một khóa giải
mã đã được đăng trực tuyến, nó giải mã một số, nhưng không phải tất cả hệthống bị ảnh hưởng
Vào tháng 5 năm 2021, tổ chức đứng sau ransomware này thông báo các hoạt
động của nó sẽ tạm ngừng sau áp lực từ chính phủ Hoa Kỳ BlackMatter, một
nhóm ransomware noi lên vào tháng 7 năm 2021, đã ghi nhận những điểmtương đồng với các băng nhóm DarkSide và REvil
o Tháng 9/2020: Egregor
Egregor, một biến thé của ransomware Sekhmet, là một RaaS mà nhiềungười cho rằng là các chi nhánh cũ của Maze Egregor là một loại mã độc tốngtiền kép và công khai làm xấu mặt các nạn nhân của nó Sau khi trả tiền chuộc,những kẻ tấn công sẽ giải mã hệ thống của nạn nhân và đưa ra lời khuyên chonạn nhân về các công ty có thể bảo vệ mạng của mình tốt hơn và tránh các cuộctan công trong tương lai Một số chi nhánh không được tiết lộ của Egregor đã
bị bắt vào tháng 2 năm 2021 Cùng lúc đó, tổ chức này đã giải tán
1.2.7 Keylogers
Keylogers là phần mềm ghi lại hoạt động bàn phím hoặc chụp ảnh màn hình tạimáy nạn nhân một cách trái phép và gửi về cho attacker Attacker có thé thu được tinnhắn cá nhân, nội dung email, số thẻ tín dụng và đĩ nhiên là bao gồm mọi loại mật khâu
ma người dùng sử dung.
Chu Trường Giang - D17CQAT02B 28
Trang 29Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
1.3 Nguyên lí hoạt động của mã độc.
1.3.1 Định dạng đữ liệu và vật chủ của mã độc
Phần này sẽ giới thiệu về định dạng giữ liệu và vật chủ của các loại mã độc Mỗiloại mã độc chỉ lây vào một số định dạng dữ liệu nhất định Phân tích các định dạng dữliệu mà mã độc hay sử dụng làm môi trường lây lan, cư trú dé phát tán và thực thi trên
môi trường của nạn nhân thì có kêt luận như bảng sau:
STT | Vậtchủ Loại Virus Định dạng Kiểu
Tép tin 16 bat
1 Tp tin van | File virus, Worm, | Tép tin script bbs
ea Tce Tệp tin registry reg
Tép tin siêu văn ban | htt, hta
2 Tép tin} File virus, Worm, | Tệp tin lệnh com
chương trinh | Trojan Tép tin thực thi exe, SCT
Tép tin thư viện dll, cpl, sys Tệp tin dữ liệu doc, docx, dot
3 Tép tin MS | Macro Virus Tệp tin bang tính xls, xlsx, xlt
Office Tép tin trinh dién ppt, pptx, pot
Chu Trường Giang — D17CQAT02B 29
Trang 30Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Mẫu tin khởi động hệ | #N/A
4 Mẫu tin khởi | Boot virus điều hành đĩa mêm
động Mẫu tin khởi động hệ | #N/A
Dé hiéu rõ hơn về các hành vi của mã độc, ta sẽ theo dõi sơ đô khái quát dưới đây:
Tạo module chính Tạo khởi động cùng với hệ
(download, creation) điều hành (registry,
startup, service, schedule, tasks, )
Vô hiệu hóa các chức năng
Trang 31Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Bang 2 Các hành vi của mã độc
1.3.3 Cách phòng tránh mã độc.
Theo khuyến cáo người dùng của ông lớn Google thì người dùng nên tuân thủ 7điều sau dé bảo vệ bản thân trước những mối de doa nguy hiểm đến từ mã độc:
+ Thường xuyên cập nhập máy tính và phan mềm
+ Không sử dụng tài khoản có quyền administrator khi không thực sự cần thiết
+ Hãy chú ý cân thận trước khi click vào bất cứ đường link hay tải về máy tínhbat cứ thứ gì
+ Tuyệt đối không tin vào các cửa số windows tự động nhảy ra và yêu cầu bạnphải tải các phần mềm
+ Hạn chế chia sẻ tệp tin của bạn+ Sử dụng các phần mềm duyệt virus
1.4 Kết chương
Chương I trình bày khái niệm về mã độc và các thông tin liên quan như phân loại
mã độc, các hành vi của mã độc, nguyên lí hoạt động của mã độc Ngoài ra, chương cũng nêu ra các biện pháp đê phòng tránh các cuộc tân công mã độc.
Chu Trường Giang - D17CQAT02B 31
Trang 32Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
CHƯƠNG II PHƯƠNG PHAP PHAN TÍCH MA DOC
Chương II sẽ đưa ra cái nhìn tổng quan về phân tích mã độc, các định nghĩa, các
bước thực hiện cua các ky thuật phân tích mã độc khác nhau Sau đó tông hợp và tạo bang so sánh uu nhược điêm giữa các kỹ thuật phân tích mã độc nêu trên Ngoài ra,
trong chương này, sẽ giới thiệu thêm về phương pháp xử lý sự cô khi máy tính bị nhiêm
mã độc cho các cá nhân hoặc cơ quan tô chức.
2.1 Phương pháp xử lý sự cố khi máy tính nhiễm mã độc
Với sự phát triển nhanh chóng của cuộc cách mạng công nghệ lần thứ 4, sự giatăng các thiết bị IoT, số lượng mã độc mới, mã độc tấn công vào các cá nhân, cơ quan,
tổ chức ngày càng tăng về số lượng và mức độ tinh vi Việc phát hiện, xử lý, khắc phục,
loại bỏ mã độc ra khỏi hệ thống mạng luôn gặp nhiều khó khăn luôn cần phải tuân theo
quy trình ứng cứu, xử lý sự cô.
2.1.1 Quy trình xử lý sự cố với 1 cong ty, tổ chức lớn:
Quy trình xử lí sự cố mã độc thường nằm trong quy trình xử lí sự cỗ an toàn thôngtin, chúng cần được thực hiện khoa học, hiệu quả theo mô hình sau đây:
Chu Trường Giang - D17CQAT02B 32
Trang 33Dé án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Phản hỏi, kết thúc Triển khai cac bước ưu tiên ứng cứu ban đầu
Điều phối, chi đạo công tác ứng cứu sự cỗ
Ung cứu ngăn chặn sự cỗ
Chi đạo điều phối
Ảnh 2.1.Sơ đồ quy trình phân tích mã độc
Chu Trường Giang — DI7CQA T02B 33
Trang 34Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
le)
Phát hiện, tiếp nhận thông tin sự có: Việc phát hiện, tiếp nhận thông tin sự cố mãđộc trong hệ thống mạng được thực hiện bởi các cá nhân, tổ chức hoặc là các hệthống giám sát
Triển khai các bước ưu tiên ứng cứu ban đầu: Cần xác định mức độ ưu tiên xử lý,dựa vào ban chất và dấu hiệu của sự cố dé xử lý
Lựa chọn phương án ứng cứu: lựa chọn phương án ứng cứu phù hợp với từng sự
cố và hệ thong mang cu thé
Báo cáo sự có: Báo cáo thông tin về sự cố, dé xuất phương án ứng cứu dé lãnh
đạo phê duyệt, chỉ đạo xử lý.
Chi đạo xử lý sự có: Thực hiện thành lập đội ứng cứu tham giả xử lý sự cố; Phối
hợp với các đơn vị chuyên trách ứng cứu sự cô, các doanh nghiệp viễn thông Ngăn chặn sự cố: Thực hiện thu thập dữ liệu điện tử, phân tích xác định phạm vi,đối tượng bị ảnh hưởng, phân tích nguồn gốc tấn công, triển khai các biện phápngăn chặn và giảm thiêu rủi ro đối với hệ thống thông tin
Xử lý, gỡ bỏ: Thực hiện loại bỏ mã độc ra khỏi hệ thông, triển khai các biện pháp
đảm bảo an ninh, an toàn thông tin b6 sung như rà quét, đánh giá, loại bỏ, khắcphục các điểm yếu, lỗ hồng bảo mật trong hệ thống
Khôi phục: Thực hiện việc khôi phục dit liệu, kết nối, cấu hình, bé sung thiết bi,
phần mềm cho hệ thống
Kiểm tra phân tích hệ thống: Thực hiện đánh giá hệ thống thong tin sau khi khắc
phục hệ thống Nếu hệ thống chưa hoạt động én cần tiếp tục điều tra, phân tích,
xử lý triệt để, khôi phục
Tổng kết, đánh giá: Tổng hợp các thông tin, viết báo cáo
2.1.2 Xử lý sự cô nhiêm mã độc với các cá nhân.
© Ngắt kết nói Internet: Khi phát hiện máy tính có giấu hiệu bat thường nghỉ nghiễm
mã độc, việc đầu tiên cần làm là ngắt kết nối Internet Mã độc có thể gửi, nhận
dữ liệu hoặc tự lây lan thông qua môi trường Internet, việc ngắt kết nối dé làm
giảm thiệu sự lây lan và thiệt hại do mã độc gây ra.
Sao lưu đữ liệu cá nhân: Sao lưu các đữ liệu quan trọng sang một nơi an toàn.
Chú ý: mã độc có khả năng lây lan sang các tập tin khác nên việc sao lưu cần hếtsức cân trọng
Khởi động máy tính ở chế độ Safe Mode hoặc dùng ô đĩa cứu hộ: Nếu mã độc
được cài đặt dé chạy tự động, việc chạy ở Safe Mode giúp ngăn ngừa mã độc tự
khởi chạy cùng với hệ điều hành Đề bật Safe Mode:
1 Khởi động lại máy tính của bạn.
2 Khi máy tính đang khởi động lại, nhấn và giữ phím F8
3 Khi này hệ điều hành sẽ hiển thị các tùy chọn khởi động, chọn Safe Mode
Chú ý: Tránh đăng nhập vào tài khoản trong quá trình xóa bỏ mã độc
Sử dụng một thiết bị an toàn có kết nối Internet dé tìm kiếm thông tin trên Internet
về các giấu hiệu máy tính nhiễm mã độc đang gặp phải với hy vọng sẽ tìm kiếm
được thông tin về mã độc đó đề có phương pháp xử lý
Chu Trường Giang - D17CQAT02B 34
Trang 35Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
o Theo dõi Task Manager dé kiểm tra các tiến trình có các hoạt động bat thường
(tiêu hao nhiều tài nguyên CPU, Disk, Internet ) Nếu phát hiện bất thườngdừng ngay các tiến trình đó
o Sử dụng các phần mềm diệt mã độc, quét hệ thống.
Chú ý: không thé sử dụng nhiều chương trình chống virus cùng một lúc, vì có thé
gây xung đột.
o Sửa trình duyệt web: mã độc có thé sửa đổi trang chủ của trình duyệt web đề lây
nhiễm lại PC Kiểm tra trang chủ và cài đặt kết nối
o_ Nếu thực hiện các bước trên mà mã độc vẫn chưa được gỡ bỏ, tiến hành cài lại
hệ điều hành Trước khi làm việc này thì nên back up dit liệu quan trọng
Chon nút Start -> Settings -> Type Recovery Options -> Reset this PC -> Get started -> Remove everything.
2.2 Téng quan về phân tích mã độc
Phân tích mã độc là nghiên cứu hoặc quy trình xác định chức năng, nguồn gốc và
tác động tiềm ân của một mẫu mã độc nhất định và trích xuất thông tin ra từ đó Phantích mã độc là một bước quan trọng dé có thé ngăn chặn và tiêu diệt hoàn toàn mã độc
ra khỏi máy tính và hệ thống mạng: khôi phục lại hiện trang của mạng ban dau; truy tim
nguồn gốc kẻ tan công Ngoài ra những thông tin từ báo cáo phân tích mã độc sẽ giúp
ích cho việc bảo vệ hệ thong chống lại các cuộc tấn công mã độc tương tự trong tương
lai.
Dé hiểu rõ hơn về phân tích mã độc, cần phải làm rõ được các câu hỏi như: Ai là
người phân tích mã độc? Tại sao lại phải phân tích mã độc? Mục đích của phân tích mã
độc là gì? Cụ thê:
2.2.1 Ai là người phân tích mã độc?
Phân tích mã độc là một công việc rất khó, đòi hỏi sự hiểu biết sâu về công nghệ
thông tin nói chung và an toàn thông tin nói riêng Việc phân tích mã độc thường được
thực hiện bởi các don vi và tô chức sau: Don vi ứng cứu khan cap
Hãng phần mềm anti-virusĐơn vị phát triển công cụ bảo mậtDon vi cũng cap dich vu bao mat
Các co quan Nhà nước, Chính phủ
Kẻ tan công
© ©O ©O 0 0
2.2.2 Tại sao can phải phân tích mã độc?
Việc phân tích mã độc có ý nghĩa rất lớn với đảm bảo an ninh thông tin, nó sẽ đem
lại những thông tin chính xác vê mã độc khi mà ta không thê tin tưởng hoàn toàn vào các nguôn thông tin công cộng.
Việc phân tích mã độc cũng hỗ trợ các hoạt động đảm bảo an toàn thông tin như:
o Truy tìm dấu vết, bằng chứng (phục vụ công tác điều tra số)
© _ Xác định dâu hiệu nhận biệt của mã độc (đê phòng chong)
Chu Trường Giang — D17CQAT02B 35