Nghiên cứu tổng quan về quy trình xử lý sự cố khi hệ thống nhiễm mã độc và quy trình phân tích mã độc

Loại mã độc này thường được phát tan qua các cuộc tấn công sử dụng kỹ thuật xã hội lừa người dùng tải về một Trojan có vỏ bọc phân mêm an toàn... Ransomware thường được lây lan qua thư r

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔ

KHOA CÔNG NGHỆ THÔNG TIN I

_ —Ï—==—

ĐỎ ÁN TÓT NGHIỆP

DE TÀI: NGHIÊN CỨU TONG QUAN VE

QUY TRINH XU LY SU CO KHI HE THONG

NHIEM MA DOC VA QUY TRINH PHAN TICH

MA DOC.

Giang vién huéng dan

Sinh viên thực hiện

: 2017 — 2022

: ĐẠI HỌC CHÍNH QUY

Trang 2

Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔ

KHOA CÔNG NGHỆ THÔNG TIN I

mm Se

ĐỎ ÁN TÓT NGHIỆP

ĐÈ TÀI: NGHIÊN CỨU TONG QUAN VE

QUY TRINH XỬ LÝ SỰ CÓ KHI HE THONG

NHIEM MA DOC VÀ QUY TRÌNH PHAN TÍCH

MÃ ĐỘC.

Giảng viên hướng dẫn : TS ĐẶNG MINH TUẦN

Sinh viên thực hiện : CHU TRƯỜNG GIANG

Mã sinh viên : BI7DCAT058

Trang 3

LỜI CẢM ƠN

Đề đạt được thành quả tốt đẹp như ngày hôm nay, trước tiên em xin gửi lời cảm

ơn chân thành nhất đến TS Đặng Minh Tuan — đã tận tình chi bảo và hướng dẫn emhoàn thành tốt đồ án tốt nghiệp của mình trong thời gian qua

Em xin gửi lời cảm ơn chân thành đến các thầy cô giáo trong khoa Công nghệ

thông tin I, các thầy cô giáo trong Học viện Công nghệ Bưu chính Viễn thông đã dạy

dỗ, động viên em trong suốt quá trình học tập hơn 4 năm qua tại học viện

Cuôi cùng em rat biệt on gia đình và bạn bẻ luôn tạo điêu kiện, quan tâm, giúp đỡ

để em vượt qua những khó khăn trong quá trình học tập và cuộc sống

Em xin chân thành cảm ơn!

Hà Nội, ngày 28 tháng 10 năm 2021

Chu Truong Giang

Chu Trường Giang — D17CQAT02B 3

Trang 4

NHAN XÉT, ĐÁNH GIA, CHO DIEM

(Của người hướng dẫn)

Điểm: (bằng chit: - 6 )

Đồng ý/Không đồng ý cho sinh viên bao vệ trước hội đồng cham đồ án tốt nghiệp?

CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN

(ký, họ tên)

Trang 5

NHAN XÉT, ĐÁNH GIA, CHO DIEM

(Của người phải biện)

CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN

(ký, họ tên)

Trang 6

MỤC LỤC

LOT CẢM ƠN 55:22 tt re 3NHẠN XÉT, ĐÁNH GIÁ, CHO ĐIỂM 2-2-5 2+E2EEeEEerErrrkrrkerxeee 4

NHẠN XÉT, ĐÁNH GIÁ, CHO ĐIỂM 2-2-5222 2EEeEEeEErrrrrrkerxeee 5

18/08 15 00.3 6

DANH MỤC BANG BIỂU 2-5: 2©SS‡SE‡EE2EE2E127121211221221 212112 cty 9

DANH MỤC ANH VÀ HÌNH VE 2- 22-22 2 2 E2 1E 10 DANH MỤC CÁC THUẬT NGỮ VIET TẮTT -2- -2©2+s+£z++£xz+csez 12

1.3.1 Dinh dang dit liệu và vật chủ của mã AGC .c<<<<<+<sss+ 29 1.3.2 Các hành vi của MEA đÏỘC - -c 5 << E3 ven vve 30

1.3.3 Cách phòng tránh MG đẪỘC 5kg ng ng 31

1.4 KẾT CHƠI 5-5 SE SE EEEEEEEEEEE1112 2111112112101 1111k 31CHƯƠNG II PHƯƠNG PHAP PHAN TÍCH MÃ ĐỘC 32

2.1 Phương pháp xử lý sự cố khi máy tính nhiễm mã độc 32

2.1.1 Quy trình xử lý sự cố với I công ty, tổ chức lỚn: -s-c<cs¿ 32

2.1.2 Xử lý sự có nhiễm mã độc với các cá nhân . . -s-cs-s+ 342.2 Tong quan về phân tích mã độc - 2-2 s2 z+E+EezEeExerxersrrs 35

Trang 7

2.2.1 Ai là người phân tích MG (ẪỘC ? - 5 ship 35

2.2.2 Tại sao cân phải phân tích mã độc Ð -¿- + e+ce+tecererereresxee 35

2.2.3 Mục dich của phân tích mã AOC - c5 cSScSSsssesserssersereeeres 36

2.3 Những lưu ý khi phân tích mã độc - 5555 cS<s+scsssseres 36

2.3.1 Hậu quả của việc phân tích mã độc không cẩn ETON 36

2.3.2 Môi trường tải về và phân tích mã độc -++©5+ + cs+c+z+se+ 37

2.3.3 Nguyên tắc chung khi phân tích mã đỘC: -5c©5z©cs+csccssccees 38

2.4 Cài đặt môi trường phân tích mã độc 5 55+ 5s s+s++ 38

2.4.1 Tạo máy Go phân tích MA đÏỘC -c- Sc SE ESSeEEeeekeseeereereeee 38 2.4.2 Sứ dụng máy GO phân tích MG đỘC 5c s+skseeseseeeeee 39 2.5 Quy trình phân tích mã độc - - - - 5 St + ng He, 40

2.5.1 Nhận diện hệ thong bị nhiễm mã độc - -. -©-2-c5z©5scccscs2 40

2.5.2 Ph&in tich SO 2nn OA 41

2.5.3 PhGin tich AGG an n6 nốốốố- 48

2.5.4 PRG tich tinh 8n nố ốốốỐốẮ 50

2.6 Kết chương - 2-52 2s E2 EE127171121121121111121121111 11.11211110.53CHƯƠNG 3: PHAN TÍCH MA ĐỘC TONG TIEN DARKSIDE 54

BoD MU GiCH oo 54

3.2 Các phương tiện cần chuẩn Dio cece cece essesessesesseseeseeseeseesees 54

3.3 Các công cụ sử dung trong bài - 5S c + ssseereerresrrerres 54 3.4 Kich ban thir mghiém 0 54

3.4.1 Kịch ban phân tích so lược và phân tích động với máy ao windows 6.1

Trang 8

KET LUẬN - 2-5522 2E1221271211271211 1121121121111 211 11011 erre 70

DANH MỤC TÀI LIEU THAM KHAO -. -2-©¿+22++22£z+£xz+csez 71

Trang 9

DANH MỤC BANG BIEU

Bảng 1 Dinh dang ditt liệu và vật chủ của mã độc .- -c+s-<c+sc++xs+ 30 Bang 2 Các hành vi của ma đỘC 6 + 3 3 919119 HH HH ng ng 3l

Bảng 3 Các kiểu tập tin nhị phân 22-5: ©2+2S++£x2E+tEE+eEx++rxrrrxerxeerxee 44Bảng 4 Các thư viện liên kết động thông dụng ¿ 2¿©c+©s+ecxzecxe2 47

Bảng 5 So sánh môi trường phân tích mã độc - 5+ +£+£+s++eesseess 49 Bang 6 Bang so sánh các kỹ thuật phân tích - 5 << *+ksssesseese 53

Bang 7 Bản ghi nhận thay đổi của hệ thống sau khi chạy mã độc 64

Trang 10

DANH MỤC ANH VÀ HÌNH VE

Ảnh 1.1 Minh họa mã độc - 22+ 2++tttEEtrtEEEkrttttirrtrirrrriirrriree 15

Ảnh 1.2 Minh họa virus máy tính + s¿©+++++x++z++£x++rx++rxerxxerxesrxee 16Ảnh 1.3 Minh họa WOrm c¿¿-©55+t222+t22E 2E tttrttrrrtttrtrrrirrrrirrrrrrree 17Ảnh 1.4 Minh họa Trojan ¿22 2 SE+2E2E2EE£EE£EEEEEEEEEEEEEEEEEEEEkrrkrrkerree 17Ảnh 1.5 Minh họa AdWare s22 tre 18Ảnh 1.6 Minh họa RootKit sssscssssssssssecssnsecssnecessneecssnecssnsecesnnecesnneeesnneessnees 19Ảnh 1.7 Thiệt hại của ransomware ¿6 St t+E+EEEE+E+EEEEEESEEEEEEeEeEerkrkrrrrree 20Ảnh 1.8 Lịch sử của ransOMmwate 6 St +E‡EvEESE+EEEEEEEEEEEkrkererkrkrrrrrree 21

Ảnh 1.9 Minh họa KeylOg€T - - 2-2 2 £E£+E£+E£EE#EE+EEEEEEEEEEEEEEEEerkerkrrkrree 29

Ảnh 2.1.Sơ đồ quy trình phân tích mã độc - ¿2+ z++++z++zz+rxz+zxez 33

Ảnh 2.2 Hậu quả của việc không can thận khi phân tích mã độc - 37

Ảnh 2.3.Môi trường phân tích mã độc 2-2 +¿+++£+++£x++zx+zx+zrxzsrxez 38Ảnh 2.4 Sơ đồ quy trình phân tích mã độc - 2-2 2 2 £+E+zx+£x+zx+zszx+z 40Ảnh 2.5 Mục đích của phân tích sơ lược - + 2 2 s+£+££+Eezxerxerxsrsxee 42Ảnh 2.6 Quy trình phân tích sơ lược - + - + + + £+££+E+E+zxerxerxerssxez 43

Ảnh 2.7 Sơ đồ mạng với môi trường phân tích mã độc - 5 s2 s2 49 Ảnh 2.8 Minh họa mã nhị phân 2-2 2 2E E+EE+EE+EE£E£+E££Ee£Eerxerxrrxrree 50

Ảnh 2.9 Công cụ OllyDbg -¿-2¿22¿©S222E22EE22EE22EE221221211271 22121121 crxe 51

Ảnh 2.10 Công cụ WinDbg 2 25- 252 2S 22x 222212221211 211271 21121 1c 51

Ảnh 2.11 Quy trình phân tích tĩnh ¿- s¿©+©£+x++£++£x++tx++zxzxeerxesrxez 52Ảnh 3.1 Máy ảo Windows 8 26c 5c 2x22 2 2211221211211 211 11c1crke 55Ảnh 3.2 Máy a0 Linux RemnuX - 2-2-5 £+E‡EE£EE+EE£EEEEE2EEEEeEEerkerkerkrree 56Ảnh 3.3 Kết quả của các lệnh file, signsrch, yara-rules s2 57Ảnh 3.4 Kết quả của lệnh peframe ¿2 2 ++5£+E£+E£+E£+Ee£Eerkerxrrsxee 58Anh 3.5 Kết quả của lệnh peframe 2 o ccccccscsssessessessssssessessecssessessesseessessessecsecses 58

Ảnh 3.6 Kết quả của lệnh pecheck c.sccsssesssesssesssessesssesssessssssecssecssssssssessseeseeeses 59Ảnh 3.7 Kết quả của lệnh strings l -2-2- 2 +¿2+£x£+£x+zxezxeerxesrxee 59Ảnh 3.8 Kết quả của lệnh strings 2 ¿- 2:2 5£+x++£++£E++Ex++zxerxeerxeerxee 60Ảnh 3.9 Kết quả của lệnh xorsearch, brxor, bbcracK ‹«-s««+ss«++s+ 60

Ảnh 3.10 Kết quả của lệnh bbcrack -:- ¿+ 5++x++z++£x++£x++zxezxserxesrxez 61Ảnh 3.11 Kết quả của lệnh flOss - 2-2 2 2 £+E£EE+EE+EE£EE£EE2EE£EeEEerkerxrrsree 61Ảnh 3.12 Kết quả sau khi chạy mã độc -¿ ¿+ ++x++x++z++zxerxersez 62Anh 3.13 Kết quả phân tích WireShark 2-22 +¿22££x££x+zxezxxerxesrxee 64Ảnh 3.14 Kết quả phân tích Whois -2¿- 2: ©22©5£+2x+2EEt£EESEESrkerreerkeerxee 65Ảnh 3.15 Tao môi trường phân tích trên any.run l -zs s22 65

Chu Trường Giang - D17CQAT02B 10

Trang 11

Anh 3.16 Tạo môi trường phân tích trên any.run 2 . ¿ z+2:sz+-s+2 66Ảnh 3.17 Giao diện máy ảo Win7 32-bit trên any.run - -: s+¿ 66Ảnh 3.18 Hành vi của mã độc I :-22+222+t2EEtttEEtttErrtrrrrrrrrrrrrree 67Ảnh 3.19 Hành vi của mã độc 2 -c:-22ct2 tri 67Ảnh 3.20 Hành vi của mã độc 3 c:- 55c tre 68Ảnh 3.21 Các kỹ thuật mà mã độc sử dụng s5 + Sc s2 ssvsseerseeeree 69

Chu Trường Giang — D17CQAT02B Il

Trang 12

Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuan

DANH MUC CAC THUAT NGU VIET TAT

Ký hiệu Tên tiếng Anh Ý nghĩa Tiếng Việt

API Application Programming | Giao diện lập trình ứng dụng

Interface

USB Universal Serial Bus Công kết nỗi cáp tiêu chuân

loT Internet of Things Internet van vat

RSA Ron Rivest, Adi Shamir và | Là một hệ mật mã hóa bat đôi xứng

Leonard Adleman MDS Message-Diest Algorithm Là một ham băm mã hóa

SHAI Secure Hash Algorithm 1 Là một ham băm mã hóa

CPU Central Processing Unit Bộ vi xử ly trung tam

PE32 Portable Executable 32-bit Chuong trinh thuc thi 32-bit

Trang 13

Nó không những gây ra các nguy cơ đe dọa nghiêm trọng đến các lĩnh vực kinh tế, mà

còn gây ra các môi đe dọa trong lĩnh vực an ninh quôc phòng.

Theo trung tâm an ninh mạng Viettel (VCS), trong nửa đầu năm 2021 đã ghi nhận

và phân tích rất nhiều các cuộc tan công lớn của các nhóm APT Ví dụ như: các chiếndịch tấn công của nhóm APT nhắm tới các nhà nghiên cứu bảo mật, nhắm tới ngườidùng lợi dụng một số bản cập nhật từ Noxplayer, mã độc KerrDown, các cuộc tấn côngnhắm vào các tô chức chính phủ, quân đội tại Việt Nam, các cuộc tấn công lợi dụng cácvăn bản liên quan đến chính trị tại Việt Nam Cũng theo báo cáo này, trong nửa đầu

năm 2021 ghi nhận các vụ lộ lọt thông tin lớn từ các doanh nghiệm lớn của Việt Nam

(ngân hàng, tài chính, bán lẻ).

Theo Trung tâm Giám sát an toàn Không gian mạng Quốc gia (NCSC), trong 8tháng đầu năm 2021, Cục An toàn thông tin đã ghi nhận 5082 cuộc tấn công mạng gây

sự cố vào các hệ thống thông tin tại Việt Nam (1212 cuộc Phishing, 970 cuộc Deface,

2900 cuộc tan công mã độc), tăng 25.82% so với cùng kì 8 tháng đầu năm 2020

Trong số 5082 cuộc tan công thì có tới 2900 cuộc tan công bằng mã độc chiếm sắp

xi 57% (theo NCSC) Nhận thay được sự tinh vi va mức độ nguy hiểm của tấn côngbằng mã độc nên mục đích của đồ án là nhằm tạo ra 1 tài liệu nhằm mục tiêu phân loại

các loại mã độc, hành vi hoạt động và cách phòng tránh cho người dùng thông thường.

Ngoài ra còn để tạo nên 1 tài liệu tham khảo cho các sinh viên, học sinh muốn tìm hiểu

về biện pháp xử lý khi nhiễm mã độc hoặc phương pháp dé phân tích 1 mã độc

Với mục tiêu đó, bố cục dé án sẽ bao gồm ba chương theo cấu trúc như sau:

Chương 1: Tổng quan về mã độc

Giới thiệu vê mã độc, phân loại mã độc, nguyên lí hoạt động của mã độc và cách phòng tránh.

Chương 2: Phương pháp phân tích mã độc

Trinh bày các bước trong phân tích mã độc và quá trình xử lý sự cố khi máy tinh

bị nhiêm mã độc.

Trang 14

Chương 3: Phân tích mã độc tống tiền DarkSideKết luận

Trang 15

CHƯƠNG 1 TONG QUAN VE MÃ ĐỘC

Chương I trình bày khái niệm về mã độc và các thông tin liên quan như phân loại

mã độc, các hành vi của mã độc, nguyên lí hoạt động của mã độc Ngoài ra, chương cũng nêu ra các biện pháp đê phòng tránh các cuộc tân công mã độc.

1.1 Mã độc là gì?

Mã độc (malware — malicious software) là một chương trình, phần mềm được tạo

ra với mục đích gây hại cho các thiết bị có thể lập trình như máy tính, điện thoại thôngminh, thiết bị loT, mang và các thiết bị có thé lập trình khác Thiệt hại ở đây có thé là

chiếm quyền điều khiến thiết bị, khóa các tệp cần thiết, đánh cắp thông tin người dùng,làm giảm hiệu suất của thiết bị, v.v Ngày nay, mã độc ngày càng biến đổi một cách tinh

vi và khó lường từ cách thức lây nhiễm, cách thức ân mình trong hệ thống cho tới cáchthức thực hiện hành vi Mã được chia thành rất nhiều loại khác nhau như là viruses,

ransomware, spyware, V.V.

Phần mềm độc hai đã thực sự là mối de dọa đối với các cá nhân và tổ chức ké từđầu những năm 1970 khi virus Creeper lần đầu xuất hiện Ké từ đó, thế giới đã bị tấncông từ hàng trăm nghìn biến thé phần mềm độc hại khác nhau Cần phải chú ý thêmrằng mã độc khác với chương trình lỗi Mã độc là chương trình được tạo ra với chủ đíchxau còn những chương trình lỗi — thường là do lỗi lập trình, mặc dù những lỗi này cũng

có thé bị các kẻ xấu lợi dụng dé thực hiện các hành vi xấu như chiếm quyền điều khiển,đánh cắp thông tin v.v

Trang 16

trên máy tính đều là virus Chúng ta cần phải hiểu rõ ràng về virus, thông thường nó thường được ân trong các chương trình máy tinh Gidng như virus cảm cúm, virus máy tính cũng có khả năng nhân rộng băng cách tự sửa đôi mã của các chương trình khác sau

khi nó thâm nhập được vào hệ thống.

Trong một thế giới công nghệ internet kết nối liên tục như ngày nay, virus có thélây lan theo rất nhiều cách Virus máy tính có thé lây lan qua email, các loại tệp đínhkèm, các tỆp tải xuống từ internet, các liên kết lừa đảo trên mạng xã hội hoặc qua các

thiết bị lưu trữ như USB Virus có thé ấn mình dưới vỏ bọc là các tệp đính kèm có nội

dung vui nhộn, thiệp chúc mừng hoặc những hình ảnh và video nhạy cảm kích thích người xem.

1.2.2 Worm

Worm hay còn được gọi là sâu máy tính — chúng là một đoạn mã độc sống ký sinhtrong các chương trình máy tính, nhằm phá hoại và lây lan Nó có khả năng tự nhân bản

trên chính bản thân nó mà không cần sao chép và nhúng vào một file nào khác Chúng

có thé tự lây lan thông qua internet, do đó chúng thường gây thiệt hại nghiêm trọng chomột mạng lưới về tổng thé, trong khi virus thường chỉ nhắm vào các tập tin trên máytính bị nhiễm Worm lây lan chủ yếu là do các lỗ hồng bảo mật của hệ thống

Trang 17

Ảnh 1.3 Minh họa Worm

1.2.3 Trojan horse

Trojan horse trong thần thoại Hy Lap là một con ngựa gỗ to lớn ma quân Hy Lap

sử dung dé đánh lừa quân đội thành Trojan, bên trong nó có day binh lính của quân HyLạp Chính vì đặc điểm nay ma người ta đã dùng nó dé đặt cho một loại mã độc có cochế hoạt động tương tự

Mã độc Trojan horse hay còn gọi là Trojan, chúng có vỏ bọc là một phần mềm

thông thường nhưng bên trong lại chứa những đoạn mã nguy hiểm Loại mã độc nàyđược hacker sử dụng dé phá hủy, lam gián đoạn, ăn cắp dữ liệu hoặc mạng của bạn

Khác với Virus hay Worm, Trojan không có khả năng tự nhân bản Loại mã độc này

thường được phát tan qua các cuộc tấn công sử dụng kỹ thuật xã hội (lừa người dùng tải

về một Trojan có vỏ bọc phân mêm an toàn).

Chu Trường Giang — DI7COA T02B 17

Trang 18

1.2.4 Adware

Adware được hiểu là phần mềm quảng cáo, nhưng chúng hoạt động không được

sự cho phép của người dùng Chúng liên tục hién thị các quảng cáo gây phiên hà, và cóthé thu thập thông tin cá nhân của người dùng dé phục vụ mục dich cá nhân hóa quảng

cáo.

Ảnh 1.5 Minh họa Adware

1.2.5 Rootkits

Rootkits cho phép tin tặc truy cập trái phép vào thiết bị của bạn mà không dé lại

dấu vết Rootkits rất khó phát hiện và có thé che giấu sự hiện diện của chúng trong các

hệ thống một cách tinh vi Tin tặc sử dung rootkits truy cập vào máy tính nạn nhân dé

danh cap dữ liệu hoặc thực hiện những mục dich xấu

Trang 19

trên mạng.

Các trường hợp tấn công đầu đầu tiên sử dụng mã hóa được ghi nhận vào năm

1989 Phần mềm ransomware AIDS/PC Cyborg nhắm mục tiêu chủ yếu vào các máy

tính từ các công ty trong lĩnh vực y tế Chúng được cấy vào 6 đĩa 5,25 inch mạo danh

một cuộc khảo sát về nguy cơ nhiễm HIV/AIDS Tin nhắn tiền chuộc được in trên máy

1n được kết nôi với máy tính nạn nhân.

Ransomware thường được lây lan qua thư rác hoặc email lừa đảo, và cũng có théthông qua các trang web hoặc tải xuống theo ô đĩa (gọi chung là sử dụng các kỹ thuật

xã hội để lừa đảo nạn nhân cài đặt về thiết bị), để lây nhiễm vào thiết bị điểm cuối và

thâm nhập vào mạng Internet.

Các cuộc tan công bằng Ransomware thường gây thiệt hại lớn và trên diện rộng vìkhả năng lây lan kinh khủng của loại mã độc này Trong báo cáo hoạt động về mã độctống tiền do VirusTotal và Google phối hợp thực hiện mới đây với hơn 80 triệu mẫunghỉ ngờ cho thấy, mã độc tống tiền tăng gần 200% so với thời điểm ban đầu tại ViệtNam Báo cáo ghi nhận từ 140 quốc gia cũng cho biết, từ năm 2020 đến tháng 7/2021

Trang 20

đã có hơn 130 ho mã độc tống tiền được kích hoạt, trong đó GandCrab là loại

ransomware tung hoành mạnh nhất

o Locker ransomware: Locker ransomware là loại mã độc tong tién hoat động

theo cơ chế khóa máy tính hoặc thiết bị của nạn nhân và tống tiền

o Crypto ransomware: so với Locker ransomware thì Crypto ransomware phố

biến va rộng rãi hơn Nó mã hóa tat cả các file trong máy tính và tống tiềnnạn nhân dé đổi lay khóa giải mã Một số biến thé Crypto ransomware có khảnăng lây nhiễm sang các 6 đĩa được chia sẻ, mạng và đám mây

o Double extortion ransomware: mã hóa file và xuất dữ liệu đó nhằm mục

đích tống tiền nạn nhân Với mã độc tống tiền này, kẻ tắn công sẽ hăm dọađăng những thông tin dữ liệu bị đánh cắp Nó có nghĩa là, cho ding nạn nhân

có thé lay lại dữ liệu thông qua backup, thì kẻ tắn công vẫn có khả năng tốngtiền nạn nhân Tuy nhiên, việc trả tiền chuộc cũng không đảm bảo việc dữliệu được bảo vệ, vì những kẻ tan công có quyên truy cập vào dit liệu bị đánhcắp

o_RaaS: liên quan đến việc kẻ tan công thuê quyền truy cập vào một chủng

ransomware từ tác giả của ransomware, người cung cấp nó như một dịch vụ

cho thuê Tác giả của RaaS giao ransomware của họ trên các trang darkweb

và cho phép tội phạm mua nó dưới hình thức đăng kí.

Trang 21

1.2.0.3 Lịch sử của mã độc

Bây giờ bạn đã biệt vê định nghĩa và phân loại mã độc tông tiên, tiép theo can

tìm hiệu về một sô ví dụ mã độc tông tiên nôi tiêng đê xác định môi nguy hiém và rút

kinh nghiệm sau những cuộc tân công mã độc tông tiên đó.

JANUARY APRIL Wanna

MARCH GandCrab REvil z

etya JUNE

SamSam yuk Met Goldeneye

pat RobbinHood NotPetya

AND BACKGEOUMO:EA0TA /GETTY IMAGES «ana Trcrrasarr.ALL more sesexveo TechTarget

Anh 1.8 Lịch sử của ransomware

o Tháng 12/2004: GPCode

Sau 15 năm tạm lắng xuống, GPCode đã đánh dấu bắt đầu kỷ nguyên củaransomware đối với Internet Loại mã độc tống tiền này lây lan qua email, mãhóa các tập tin của nạn nhân và đổi tên thành Vnimanie (nghĩa là gây chú ý

Trang 22

trong tiếng Nga) Không giống như nhiều cuộc tan công ransomware hiện nay,các tác giả của GPCode tập trung vào các tô chức hơn là các cá nhân, gửi mộtlượng lớn email độc hại và yêu cầu 20$ - 70$ tiền chuộc

o Tháng 5/2006: Archievus

Là ransomware đầu tiên sử dụng mã hóa Rivest-Shamir-Adleman (RSA)

1024 bit Mục tiêu của nó nhắm vào các hệ thống Windows và phát tán qua cácURL độc hại và email rác Nó nhắm vào thư mục có tên “My Documents” Mộtkhi thư mục bị mã hóa, nạn nhân sẽ được chuyển hướng tới 1 cửa hàng trực

tuyến Chỉ sau khi nạn nhân mua hàng, họ mới có được mật khẩu dé mở khóa

tỆp.

o Tháng 9/2011: WinLock

WinLock — “kẻ định nghĩa ra họ Lock ransomware” Là mà độc tống tiềnLock ransomware đầu tiên xuất hiện trên các trang báo Nạn nhân bị nhiễm mãđộc tống tiền nay qua một trang web độc hại Sau khi mã độc xâm nhập thành

công, nó sẽ bắt nạn nhân phải trả 10$ dé nhận được một đoạn mã Sau khi nhập

mã vào thiết bị, mã độc sẽ yêu cầu nạn nhân gọi đến 1 số điện thoại miễn phí

Nhưng cuộc gọi đó thực ra là đã được chuyển hướng và nạn nhân sẽ mất thêm

chi phí cho cuộc goi.

o Tháng 8/2012: Reveton

Reveton là một dạng mã độc tài chính, nó được lây lan thông qua các cuộc

tan công drive-by-download Sau khi bi lây nhiễm, một cảnh bảo tự hiện lên

với nội dung thông báo từ một cơ quan pháp luật và cáo buộc nạn nhân là kẻ

phạm tội (Ví dụ như tải xuống phần mềm vi phạm bản quyền) và đe dọa bỏ tùnếu không nộp tiền phạt theo yêu cầu Các biến thể sau đó đã sử dụng webcam

cả nạn nhân, yêu cầu thanh toán bằng bitcoin, và lây lan phần mềm độc hạiđánh cắp mật khẩu và hệ điều hành di động và Mac bị nhiễm

o Tháng 9/2013: CryptoLocker

CryptoLocker là một trong những vi dụ đầu tiên về mã độc tống tiền tinh

vi Mã độc này khóa người dùng với hệ thống của họ, và sau đó nó sử dụng cặpkhóa RSA2048 bit dé mã hóa hệ thống vã mọi 6 đĩa được kết nỗi cũng như làdịch vụ đám mây Điều này làm tăng cơ hội nạn nhân thanh toán khoản tiềnchuộc vì ngay cả khi nạn nhân đã gỡ được khóa, quyền truy cập sẽ không được

khôi phụ do hệ thống đã được mã hóa CryptoLocker lây lan qua các tệp đính

kèm độc hại trong thư rác FedEx và thông báo theo dõi của UPS, cũng như các

trang web bị nhiễm Kẻ tan công yêu cầu 300$ tiền chuộc dé mở khóa | thiết

Trang 23

bị Theo báo cáo thì mã độc tống tiền này đã thu được 27 triệu đô tiền chuộcsau 2 tháng đầu tiên

o Tháng 4/2014: CryptoWall

CryptoWall là một loại mã độc cực kì khó chịu, nó không chỉ mã hóa các

tệp của bạn và tống tiền dé có khóa giải mã: nó còn cố gắng ấn bên trong hệđiều hành và tự thêm vào thư mục Startup Tệ hơn nữa, mã độc tống tiền nàygây khó khăn (hoặc trong một số trường hợp là không thé) khôi phục dữ liệucủa bạn Trong vòng 6 tháng đầu tiên, nó đã lây nhiễm cho 635000 hệ thống vàkiếm được hơn 1.1 triệu đô tiền chuộc CryptoWall lây lan qua các email lừađảo, quảng cáo độc hại trên các website Trong nhiều trường hợp, nạn nhân cóthể tránh được cuộc tan công nếu như họ chỉ cần cập nhật phần mềm và sao lưu

máy chủ của mình.

o Tháng 5/2014: CTB-Locker

Curve-Tor-Bitcoin Locker sử dung đường cong elliptic dé mã hóa tập tin

của nạn nhân và sử dung trình duyệt Tor dé xáo trộn hoạt động liên lạc của nó.Sau khi lây nhiễm qua các email và các nội dung tai về độc hại, nạn nhân bị

tống tiền chuộc bằng bitcoin CTB-Locker là một trong những chủ ransomwaređầu tiên sử dung thông báo đa ngôn ngữ dé thông báo cho nạn nhân bị lây nhiễm

Nó cũng đánh dau cho sự khởi đầu của việc sự dụng tiền điện tử để thanh toántiền chuộc

o Tháng 6/2014: SimpleLocker

SimpleLocker, còn được gọi với cái tên khác là Simplocker, là mã độc

tống tiền đầu tiên nhắm mục tiêu vào các thiết bị Android Nó quét thẻ SD vàsau đó mã hóa hình ảnh, tệp và video Các phiên bản sau có thể truy cập vàocamera của nạn nhân Ngoài ra nó còn có khả năng thu thập thiết bị, số kiểumáy và nhà sản xuất Giống như CTB-Locker, SimpleLocker sử dụng trìnhtuyệt Tor dé tránh việc bị truy vết Kẻ tấn ông yêu cầu một khoản tiền chuộc déđối lấy mật khẩu và quyên truy cập thiết bị

Trang 24

LockerPin là mã độc tống tiền di động khóa mã PIN đầu tiên nhắm vàocác thiết bị hệ điều hành Android Nó đã lây nhiễm vào thiết bị của người dùngsau khi được tải xuống từ các cửa hàng ứng dụng của bên thứ ba Không giốngnhư người tiền nhiệm SimpleLocker, LockerPin có thé ghi đè các đặc quyềnquản trị, dừng các chương trình chống virus đang chạy trên thiết bị và thay đổi

mã PIN của nạn nhân Tuy nhiên, ngay cả khi khoản tiền chuộc 500$ được tra,những kẻ tấn công không thể mở khóa thiết bị của nạn nhân vì mã PIN đượctạo ngẫu nhiên và những kẻ tan công cũng không thê xác định được

o Tháng 11/2015: Chimera

Mã độc tống tiền Chimera là một trong những chủng loại đầu tiên de dọalàm rò ri dữ liệu của nạn nhân nếu khoản tiền chuộc 2.5 bitcoin không được trả.Chimera được phát tán thông qua các email có chứa liên kết Dropbox độc hại

Vào tháng 7/2016, Petya đã tung ra 3500 khóa giải mã Chimera Các bộ giải

mã Chimera khác cũng có sẵn

o Tháng 11/2015: Linux.Encoder.1

Linux.Encoder.1 là mã độc tống tiền đầu tiên nhắm vào các máy tính hệ

điều hành Linux Sau khi khai thác một lỗ hồng trong nền tảng Magento thươngmại điện tử, Troan đã mã hóa MySQL, Apache va các thư mục sốc và home.Những kẻ tan công yêu cầu một bitcoin dé đồi lay khóa giải mã Các hệ thống

vá 16 hong Magento đã ngăn người dùng trở thành nạn nhân

o Tháng 1/2016: Ransom32

Ransom32 là loại mã độc tống tiền sử dụng JavaScript đầu tiên Điều nàylàm cho nó trở thành một nền tảng đa nên tảng, mã độc tống tiền “viết một lần,lây nhiễm tất cả”, nó có thê lây nhiễm vào Windows, Linux và Mac

o Tháng 2/2016: Locky

Locky đã sử dụng mạng botnet Necurs dé gửi email lừa đảo với tệp đínhkèm Word hoặc Excel có chứa macro độc hại Nó mã hóa tệp trên hệ điều hànhWindows Locky xuất hiện trở lại vào tháng 9/2017 trong một cuộc tấn công

mà 27 triệu tin nhắn được gửi đi trong vòng 24h

o Tháng 3/2016: Petya

Petya là mã độc tống tiền có khả năng ghi đè lên các bản ghi khởi động (MBR)

va mã hóa tệp chính (MFT), ghi lại các dữ liệu và vi trí thực và tất cả đường

dẫn thư mục của tất cả các file trên thiết bị Ba bước này đã khóa nạn nhân khỏi

hệ thống của ho Petya đã lây nhiễm các hệ thong Windows thông qua các email

lừa đảo.

o Tháng 3/2016: SamSam

Trang 25

SamSam đáng chú ý với các thao tác thủ công Sau khi xác định được nạn nhân,

kẻ tan công sử dụng brute-force và các công cụ hợp pháp của Windows đề lâynhiễm lên các thiết bị cụ thé Sauk hi chạy được mã độc, tiền chuộc sẽ là 1bitcoin Các bản cập nhập sau nay đã kết hợp các kỹ thuật phức tap, mã hóa va

kỹ thuật xáo trộn Mục tiêu bao gồm các hệ thống y tế, giáo dục và các cơ sở

hạ tầng thông tin quan trọng Một báo cáo năm 2018 đã chỉ ra răng SamSam đã

thu được 6 triệu USD kề từ khi nó được tạo ra

o Tháng 4/2016: Jigsaw

Các nạn nhân của mã độc Jigsaw sẽ duoc đối mặt với một bức ảnh ghêrợn và một đồng hồ đếm ngược Nếu 150$ tiền chuộc không được thanh toántrong vòng 1 giờ thì một trong số các tệp của nạn nhân sẽ bị xóa Mỗi giờ trôiqua, số lượng các tệp bị xóa ngày càng tăng lên Nếu nạn nhân cô gắng khởiđọng lại thiết bị của họ, 1000 tệp sẽ bị xóa ngay lập tức

o Tháng 6/2016: Zcryptor

ZCrypto là một trong những loại sâu mã hóa đầu tiên, nó là sự kết hợp

giữa sâu máy tinh mà ransomware Nó tự nhân bản dé sao chép chính nó vàocác thiết bị và mạng được kết nối bên ngoài Zcrypto mã hóa file của nạn nhân

và yêu cau tiền chuộc là 1.2 bitcoin Sau 4 ngày nếu như chưa thanh toán thitiền chuộc sẽ tăng lên 5 bitcoin

o Tháng 9/2016: Mamba

Mamba, còn được gọi với cái tên khác là HDDCrypto, nó là một mã độc

tống tiền mã hóa 6 cứng và phát tán thông qua một công cụ mã hóa hợp pháp

là DiskCrypto Các báo cáo cho thấy Mamba đã khai thác một chương trìnhmáy chủ Oracle chưa được vá lỗi; một bản cập nhật hệ thống đơn giản có thểngăn chặn cuộc tấn công

o Tháng 1/2017: Spora

Spora được đặt tên theo một từ tiếng Nga, nó có khả năng hoạt động ngoạituyến và có hệ thống thanh toán phức tạp Nó được phát tán thông qua emailphishing kèm theo tệp đính kèm độc hại Sau khi được tải về, nó mã hóa file sửdụng thuật toán AES và RSA Vào tháng 8/2017 một bản nâng cấp của Spora

đã được tung ra, nó có thêm tinh năng lay cắp thông tin từ trình duyệt web vàghi lại các lần gõ phím

o Tháng 5/2017: Jaff

Jaff được phát hiện một ngày trước cuộc tan công két tiếng WannaCry.Mặc dù nó bắt chước Locky nhưng nó kém tỉnh vi hơn nhiều Jaff đã sử dụngmạng botnet Necurs đề phát tán khoảng 5 triệu email độc hại mỗi giờ Những

Trang 26

kẻ tan công yêu cầu $ 3,300 đồi sang bitcoin - một khoản tiền chuộc cao hơnnhiều so với các biến thể khác

o Tháng 5/2017: WannaCry/WannaCrypt

WannaCry đã được sử dung trong cuộc tan công mạng toàn cau vào tháng5/2017 với quy mô trên 150 quốc gia Cho đến tháng 5/2019, nó được báo cáorang đã lây lan đến gần 5 triệu thiết bị WannaCry đã ảnh hưởng đến các tổ

chức nỗi tiếng như Dich vụ Y tế của Vương quốc Anh, FedEx, Honda và Boeing

Còn được gọi là WannaCrypt, WannaCryptor và Wanna Decryptor, nó lây lan

qua khai thác EternalBlue bị rò ri của Cơ quan An ninh Quốc gia, một lỗ hồng

trong các phiên bản cũ của Server Message Block Microsoft đã phát hành một bản vá vào tháng 3 năm 2017, nhưng nó không được cập nhật rộng rãi Là một

con sâu máy tính, nó tự sao chép đề lây nhiễm

o Tháng 6/2017: Goldeneye

Goldeneye, một biến thể của Petya, thường được gọi là anh chị em của

WannaCry Nó lây lan qua phương pháp lừa đảo và mã hóa dữ liệu cá nhân của

nạn nhân, mã hóa MBR và MFT Nó cũng được truyền qua lỗ hồng EternalBlue

o Tháng 6/2017: NotPetya

Biến thể Petya có tên NotPetya được coi là ransomware, nhưng với vai trò làmột công cụ xóa số, nó tập trung vào việc phá hủy các tập tin hơn là thu tiền.Giống như Petya, nó mã hóa MBR và MFT Không giống như Petya, sau khi

mã hóa, nó sẽ phá hủy nội dung của thiết bị Ngay cả khi nạn nhân trả tiềnchuộc, họ sẽ không bao giờ lấy lại được hồ sơ của mình NotPetya sử dụngnhiều vectơ tấn công, bao gồm cả các công cụ phần mềm hợp pháp

o Tháng 10/2017: Bad Rabbit

Bad Rabbit, một biến thé của NotPetya, sử dụng quảng cáo giả mạo trìnhcài đặt Adobe Flash để nhằm mục tiêu nạn nhân Giống như Petya, Bad Rabbitkhai thác EternalBlue và mã hóa MBR Khi một thiết bị bị nhiễm, một thôngbáo sẽ xuất hiện yêu cầu 0,05 bitcoin Nếu nạn nhân không trả tiền trong vòng

40 giờ, số tiền chuộc sẽ tăng lên

o Tháng 1/2018: GandCrab

GandCrab là biến thé RaaS đầu tiên yêu cầu thanh toán bằng tiền điện tử

Dash Nó đã sử dụng miền cấp cao nhất bit, miền không bị Công ty Internetcho Tên và Số được chỉ định, dé đảm bảo bí mật GandCrab lây lan qua email,

bộ dụng cụ khai thác và các chiến dịch phần mềm độc hại khác Nó chịu tráchnhiệm cho hơn 50% lượng tan công ransomware vào tháng 8 năm 2018 Vào

Trang 27

năm 2019, tổ chức ransomware đằng sau GandCrab đã nghỉ hưu và phát hành

một công cụ giải mã.

o Tháng 8/2018: Ryuk

Ryuk, được đặt theo tên một nhân vật manga, là một trong những biến théđầu tiên mã hóa ô đĩa mạng, xóa các bản sao bóng và vô hiệu hóa Khôi phục

hệ thống Windows, khiến nạn nhân không thé khôi phục nếu không có sao lưu

bên ngoài hoặc công nghệ khôi phục Ryuk bị phát tán bởi các email lừa đảo chứa các tài liệu Microsoft Office độc hại Nó đã được sử dụng trong một cuộc

tấn công chống lại Công ty xuất bản Tribune vào tháng 12 năm 2018 Vào năm

2019 và 2020, nó đã được sử dụng trong một số cuộc tấn công chống lại các tôchức chăm sóc sức khỏe Các mục tiêu và nạn nhân cũng bao gồm các chínhphủ, hệ thống trường học, và các công ty khu vực công và tư nhân khác

o Tháng 4/2019: REvil

REvil, còn được gọi là Sodin và Sodinokibi, có thể liên quan đến

GandCrab của năm 2018 Hai chủng này có những điểm tương đồng nổi bật và

đã được triển khai cùng nhau trên hệ thống của nạn nhân trong các cuộc tấncông ban đầu, trước khi GandCrab nghỉ hưu Các cuộc tấn công ban đầu đã khai

thác lỗ hồng Oracle WebLogic và lỗ hồng zero-day của Windows Sau đó, khaithác các hệ thống bị xâm nhập thông qua lừa đảo, lỗ hông Giao thức Máy tính

Từ xa (RDP), tan công VPN và tan công chuỗi cung ứng REvil đã được sửdụng trong các cuộc tấn công đáng chú ý chống lại Acer, JBS USA và Kaseya.Nhóm ransomware đã ngừng hoạt động vào tháng 7 năm 2021 nhưng xuất hiệntrở lại vào tháng 9 năm 2021 Một bộ giải mã phổ quát đã được phát hành vàotháng 9 năm 2021 cho các nạn nhân của các cuộc tắn công trước ngày 13 tháng

7 năm 2021.

o Tháng 5/2019: Maze

Maze, một biến thé của ChaCha, lây lan qua email rác, các cuộc tan côngRDP và bộ dụng cụ khai thác Đây là một trong những ví dụ đầu tiên về mã độctống tiền kép Vào thang 6 năm 2019, Maze thông báo thành lập một nhóm tô

chức tội phạm mạng Maze đóng cửa hoạt động vào tháng 11 năm 2020.

o Tháng 5/2019: RobbinHood

RobbinHood xâm nhập vào mạng của nạn nhân thông qua các âm mưu lừa

dao, tan công RDP hoặc các Trojan khác, đôi khi lợi dụng lỗ hổng

CVE-2018-19320, một lỗ hồng trình điều khiển nhân Gigabyte Nó vô hiệu hóa các dịch

vụ va chương trình bảo vệ, ngắt kêt nôi mạng chia sẻ, xóa các bản sao bóng,

Trang 28

xóa nhiều sự kiện và vô hiệu hóa tính năng sửa chữa tự động của Windows.Yêu cầu tiền chuộc của RobbinHood dao động từ 3 đến 13 bitcoin

o Tháng 11/2019: Tycoon

Tycoon nhắm mục tiêu đến môi trường Windows va Linux tại các tổ chứcgiáo dục và công ty phần mềm Các nhà nghiên cứu của BlackBerry cho biếtđây là dòng ransomware đầu tiên sử dụng định dạng hình ảnh Java, hoặc

JIMAGE, để tạo và cung cấp bản dựng một JRE tùy chỉnh Khi vào trong mạng,

Tycoon sẽ vô hiệu hóa các chương trình antimalware và có thể ân mình trongnhiều tháng trước khi mã hóa tệp máy chủ và yêu cầu tiền chuộc Một khóa giải

mã đã được đăng trực tuyến, nó giải mã một số, nhưng không phải tất cả hệthống bị ảnh hưởng

Vào tháng 5 năm 2021, tổ chức đứng sau ransomware này thông báo các hoạt

động của nó sẽ tạm ngừng sau áp lực từ chính phủ Hoa Kỳ BlackMatter, một

nhóm ransomware noi lên vào tháng 7 năm 2021, đã ghi nhận những điểmtương đồng với các băng nhóm DarkSide và REvil

o Tháng 9/2020: Egregor

Egregor, một biến thé của ransomware Sekhmet, là một RaaS mà nhiềungười cho rằng là các chi nhánh cũ của Maze Egregor là một loại mã độc tốngtiền kép và công khai làm xấu mặt các nạn nhân của nó Sau khi trả tiền chuộc,những kẻ tấn công sẽ giải mã hệ thống của nạn nhân và đưa ra lời khuyên chonạn nhân về các công ty có thể bảo vệ mạng của mình tốt hơn và tránh các cuộctan công trong tương lai Một số chi nhánh không được tiết lộ của Egregor đã

bị bắt vào tháng 2 năm 2021 Cùng lúc đó, tổ chức này đã giải tán

1.2.7 Keylogers

Keylogers là phần mềm ghi lại hoạt động bàn phím hoặc chụp ảnh màn hình tạimáy nạn nhân một cách trái phép và gửi về cho attacker Attacker có thé thu được tinnhắn cá nhân, nội dung email, số thẻ tín dụng và đĩ nhiên là bao gồm mọi loại mật khâu

ma người dùng sử dung.

Trang 29

1.3 Nguyên lí hoạt động của mã độc.

1.3.1 Định dạng đữ liệu và vật chủ của mã độc

Phần này sẽ giới thiệu về định dạng giữ liệu và vật chủ của các loại mã độc Mỗiloại mã độc chỉ lây vào một số định dạng dữ liệu nhất định Phân tích các định dạng dữliệu mà mã độc hay sử dụng làm môi trường lây lan, cư trú dé phát tán và thực thi trên

môi trường của nạn nhân thì có kêt luận như bảng sau:

STT | Vậtchủ Loại Virus Định dạng Kiểu

Tép tin 16 bat

1 Tp tin van | File virus, Worm, | Tép tin script bbs

ea Tce Tệp tin registry reg

Tép tin siêu văn ban | htt, hta

2 Tép tin} File virus, Worm, | Tệp tin lệnh com

chương trinh | Trojan Tép tin thực thi exe, SCT

Tép tin thư viện dll, cpl, sys Tệp tin dữ liệu doc, docx, dot

3 Tép tin MS | Macro Virus Tệp tin bang tính xls, xlsx, xlt

Office Tép tin trinh dién ppt, pptx, pot

Trang 30

Mẫu tin khởi động hệ | #N/A

4 Mẫu tin khởi | Boot virus điều hành đĩa mêm

động Mẫu tin khởi động hệ | #N/A

Dé hiéu rõ hơn về các hành vi của mã độc, ta sẽ theo dõi sơ đô khái quát dưới đây:

Tạo module chính Tạo khởi động cùng với hệ

(download, creation) điều hành (registry,

startup, service, schedule, tasks, )

Vô hiệu hóa các chức năng

Trang 31

Bang 2 Các hành vi của mã độc

1.3.3 Cách phòng tránh mã độc.

Theo khuyến cáo người dùng của ông lớn Google thì người dùng nên tuân thủ 7điều sau dé bảo vệ bản thân trước những mối de doa nguy hiểm đến từ mã độc:

+ Thường xuyên cập nhập máy tính và phan mềm

+ Không sử dụng tài khoản có quyền administrator khi không thực sự cần thiết

+ Hãy chú ý cân thận trước khi click vào bất cứ đường link hay tải về máy tínhbat cứ thứ gì

+ Tuyệt đối không tin vào các cửa số windows tự động nhảy ra và yêu cầu bạnphải tải các phần mềm

+ Hạn chế chia sẻ tệp tin của bạn+ Sử dụng các phần mềm duyệt virus

1.4 Kết chương

Chương I trình bày khái niệm về mã độc và các thông tin liên quan như phân loại

mã độc, các hành vi của mã độc, nguyên lí hoạt động của mã độc Ngoài ra, chương cũng nêu ra các biện pháp đê phòng tránh các cuộc tân công mã độc.

Trang 32

CHƯƠNG II PHƯƠNG PHAP PHAN TÍCH MA DOC

Chương II sẽ đưa ra cái nhìn tổng quan về phân tích mã độc, các định nghĩa, các

bước thực hiện cua các ky thuật phân tích mã độc khác nhau Sau đó tông hợp và tạo bang so sánh uu nhược điêm giữa các kỹ thuật phân tích mã độc nêu trên Ngoài ra,

trong chương này, sẽ giới thiệu thêm về phương pháp xử lý sự cô khi máy tính bị nhiêm

mã độc cho các cá nhân hoặc cơ quan tô chức.

2.1 Phương pháp xử lý sự cố khi máy tính nhiễm mã độc

Với sự phát triển nhanh chóng của cuộc cách mạng công nghệ lần thứ 4, sự giatăng các thiết bị IoT, số lượng mã độc mới, mã độc tấn công vào các cá nhân, cơ quan,

tổ chức ngày càng tăng về số lượng và mức độ tinh vi Việc phát hiện, xử lý, khắc phục,

loại bỏ mã độc ra khỏi hệ thống mạng luôn gặp nhiều khó khăn luôn cần phải tuân theo

quy trình ứng cứu, xử lý sự cô.

2.1.1 Quy trình xử lý sự cố với 1 cong ty, tổ chức lớn:

Quy trình xử lí sự cố mã độc thường nằm trong quy trình xử lí sự cỗ an toàn thôngtin, chúng cần được thực hiện khoa học, hiệu quả theo mô hình sau đây:

Trang 33

Dé án tốt nghiệp GVHD: TS Đặng Minh Tuấn

Phản hỏi, kết thúc Triển khai cac bước ưu tiên ứng cứu ban đầu

Điều phối, chi đạo công tác ứng cứu sự cỗ

Ung cứu ngăn chặn sự cỗ

Chi đạo điều phối

Ảnh 2.1.Sơ đồ quy trình phân tích mã độc

Chu Trường Giang — DI7CQA T02B 33

Trang 34

le)

Phát hiện, tiếp nhận thông tin sự có: Việc phát hiện, tiếp nhận thông tin sự cố mãđộc trong hệ thống mạng được thực hiện bởi các cá nhân, tổ chức hoặc là các hệthống giám sát

Triển khai các bước ưu tiên ứng cứu ban đầu: Cần xác định mức độ ưu tiên xử lý,dựa vào ban chất và dấu hiệu của sự cố dé xử lý

Lựa chọn phương án ứng cứu: lựa chọn phương án ứng cứu phù hợp với từng sự

cố và hệ thong mang cu thé

Báo cáo sự có: Báo cáo thông tin về sự cố, dé xuất phương án ứng cứu dé lãnh

đạo phê duyệt, chỉ đạo xử lý.

Chi đạo xử lý sự có: Thực hiện thành lập đội ứng cứu tham giả xử lý sự cố; Phối

hợp với các đơn vị chuyên trách ứng cứu sự cô, các doanh nghiệp viễn thông Ngăn chặn sự cố: Thực hiện thu thập dữ liệu điện tử, phân tích xác định phạm vi,đối tượng bị ảnh hưởng, phân tích nguồn gốc tấn công, triển khai các biện phápngăn chặn và giảm thiêu rủi ro đối với hệ thống thông tin

Xử lý, gỡ bỏ: Thực hiện loại bỏ mã độc ra khỏi hệ thông, triển khai các biện pháp

đảm bảo an ninh, an toàn thông tin b6 sung như rà quét, đánh giá, loại bỏ, khắcphục các điểm yếu, lỗ hồng bảo mật trong hệ thống

Khôi phục: Thực hiện việc khôi phục dit liệu, kết nối, cấu hình, bé sung thiết bi,

phần mềm cho hệ thống

Kiểm tra phân tích hệ thống: Thực hiện đánh giá hệ thống thong tin sau khi khắc

phục hệ thống Nếu hệ thống chưa hoạt động én cần tiếp tục điều tra, phân tích,

xử lý triệt để, khôi phục

Tổng kết, đánh giá: Tổng hợp các thông tin, viết báo cáo

2.1.2 Xử lý sự cô nhiêm mã độc với các cá nhân.

mã độc, việc đầu tiên cần làm là ngắt kết nối Internet Mã độc có thể gửi, nhận

dữ liệu hoặc tự lây lan thông qua môi trường Internet, việc ngắt kết nối dé làm

giảm thiệu sự lây lan và thiệt hại do mã độc gây ra.

Sao lưu đữ liệu cá nhân: Sao lưu các đữ liệu quan trọng sang một nơi an toàn.

Chú ý: mã độc có khả năng lây lan sang các tập tin khác nên việc sao lưu cần hếtsức cân trọng

Khởi động máy tính ở chế độ Safe Mode hoặc dùng ô đĩa cứu hộ: Nếu mã độc

được cài đặt dé chạy tự động, việc chạy ở Safe Mode giúp ngăn ngừa mã độc tự

khởi chạy cùng với hệ điều hành Đề bật Safe Mode:

1 Khởi động lại máy tính của bạn.

2 Khi máy tính đang khởi động lại, nhấn và giữ phím F8

3 Khi này hệ điều hành sẽ hiển thị các tùy chọn khởi động, chọn Safe Mode

Chú ý: Tránh đăng nhập vào tài khoản trong quá trình xóa bỏ mã độc

Sử dụng một thiết bị an toàn có kết nối Internet dé tìm kiếm thông tin trên Internet

về các giấu hiệu máy tính nhiễm mã độc đang gặp phải với hy vọng sẽ tìm kiếm

được thông tin về mã độc đó đề có phương pháp xử lý

Trang 35

o Theo dõi Task Manager dé kiểm tra các tiến trình có các hoạt động bat thường

(tiêu hao nhiều tài nguyên CPU, Disk, Internet ) Nếu phát hiện bất thườngdừng ngay các tiến trình đó

o Sử dụng các phần mềm diệt mã độc, quét hệ thống.

Chú ý: không thé sử dụng nhiều chương trình chống virus cùng một lúc, vì có thé

gây xung đột.

o Sửa trình duyệt web: mã độc có thé sửa đổi trang chủ của trình duyệt web đề lây

nhiễm lại PC Kiểm tra trang chủ và cài đặt kết nối

o_ Nếu thực hiện các bước trên mà mã độc vẫn chưa được gỡ bỏ, tiến hành cài lại

hệ điều hành Trước khi làm việc này thì nên back up dit liệu quan trọng

Chon nút Start -> Settings -> Type Recovery Options -> Reset this PC -> Get started -> Remove everything.

2.2 Téng quan về phân tích mã độc

Phân tích mã độc là nghiên cứu hoặc quy trình xác định chức năng, nguồn gốc và

tác động tiềm ân của một mẫu mã độc nhất định và trích xuất thông tin ra từ đó Phantích mã độc là một bước quan trọng dé có thé ngăn chặn và tiêu diệt hoàn toàn mã độc

ra khỏi máy tính và hệ thống mạng: khôi phục lại hiện trang của mạng ban dau; truy tim

nguồn gốc kẻ tan công Ngoài ra những thông tin từ báo cáo phân tích mã độc sẽ giúp

ích cho việc bảo vệ hệ thong chống lại các cuộc tấn công mã độc tương tự trong tương

lai.

Dé hiểu rõ hơn về phân tích mã độc, cần phải làm rõ được các câu hỏi như: Ai là

người phân tích mã độc? Tại sao lại phải phân tích mã độc? Mục đích của phân tích mã

độc là gì? Cụ thê:

2.2.1 Ai là người phân tích mã độc?

Phân tích mã độc là một công việc rất khó, đòi hỏi sự hiểu biết sâu về công nghệ

thông tin nói chung và an toàn thông tin nói riêng Việc phân tích mã độc thường được

thực hiện bởi các don vi và tô chức sau: Don vi ứng cứu khan cap

Hãng phần mềm anti-virusĐơn vị phát triển công cụ bảo mậtDon vi cũng cap dich vu bao mat

Các co quan Nhà nước, Chính phủ

Kẻ tan công

2.2.2 Tại sao can phải phân tích mã độc?

Việc phân tích mã độc có ý nghĩa rất lớn với đảm bảo an ninh thông tin, nó sẽ đem

lại những thông tin chính xác vê mã độc khi mà ta không thê tin tưởng hoàn toàn vào các nguôn thông tin công cộng.

Việc phân tích mã độc cũng hỗ trợ các hoạt động đảm bảo an toàn thông tin như:

o Truy tìm dấu vết, bằng chứng (phục vụ công tác điều tra số)

Tiêu đề	Nghiên Cứu Tổng Quan Về Quy Trình Xử Lý Sự Cố Khi Hệ Thống Nhiễm Mã Độc Và Quy Trình Phân Tích Mã Độc
Tác giả	Chu Trường Giang
Người hướng dẫn	TS. Đặng Minh Tuấn
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	Công nghệ thông tin
Thể loại	Đồ án tốt nghiệp
Năm xuất bản	2021
Thành phố	Hà Nội

Định dạng
Số trang	71
Dung lượng	16,03 MB