Đang tải... (xem toàn văn)
Mã độc (Malware hay Malicious software) là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống, lấy cắp thông tin, làm gián đoạn hoặc tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống hay các máy tính cá nhân. Nó có thể có dạng một tập tin thực thi, script, mã nguồn hoặc bất kỳ phần mềm nào khác. Kẻ tấn công sử dụng mã độc để đánh cắp thông tin nhạy cảm, giám sát hệ thống bị nhiễm và chiếm quyền kiểm soát hệ thống. Thông thường, mã độc xâm nhập trái phép vào hệ thống của nạn nhân và có thể lây lan qua các kênh truyền thông khác nhau như email, web hoặc ổ đĩa USB. 1. Mã độc được phân tích trong bài báo cáo a. Trojan “win33.exe” Trojan là một nhóm các chương trình độc hại được phân biệt bởi khả năng giả mạo như phần mềm lành tính. Tùy thuộc vào loại của chúng, trojan sở hữu nhiều khả năng khác nhau, từ việc duy trì kiểm soát từ xa hoàn toàn đối với máy của nạn nhân đến đánh cắp dữ liệu và tệp, cũng như thả phần mềm độc hại khác. Đồng thời, chức năng chính của mỗi họ trojan có thể khác nhau đáng kể tùy thuộc vào loại của nó. Mã độc win33.exe là một Trojan thuộc họ Dexter được đánh giá với mức độ nguy hiểm cao khi nó có thể giả mạo các phần mềm an toàn và đánh cắp mật khẩu và thông tin người dùng. Win33.exe giả mạo chương trình iexplore.exe để đánh lừa người dùng rằng nó là một chương trình vô hại. Iexplore.exe là một thành phần của Windows Internet Explorer – trình duyệt web được phát triển bởi Mincrosoft, kẻ tấn công cố tình đặt cho các quy trình của họ cùng tên tệp để tránh bị phát hiện. Có thể kể đến các virus có cùng tên file iexplore.exe như TrojanSpy.Win32.WinSpy.acj hoặc Backdoor.Win32.Cbot.bg (được phát hiện bởi Kaspersky) và Spyware.PCAcme hoặc WS.Reputation.1 (được phát hiện bởi Symantec).
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA AN TOÀN THÔNG TIN -o0o BÁO CÁO BÀI TẬP LỚN MÔN HỌC: PHÂN TÍCH MÃ ĐỘC Đề tài: Phát hiện mã độc sử dụng phân tích động MỤC LỤC A TỔNG QUAN LÝ THUYẾT .3 I Mã độc là gì? 3 1 Mã độc được phân tích trong bài báo cáo 3 II Phân tích động .5 1 Khái niệm, ưu nhược điểm 5 2 Vai trò và tầm quan trọng của phân tích động 6 3 Quy trình phân tích động 6 III Các công cụ sử dụng trong quá trình phân tích động 8 1 Process Hacker 8 2 Process Monitor 8 3 Process Explorer 9 4 Regshot 10 5 Fakenet-NG .11 6 Wireshark 12 B DEMO – PHÂN TÍCH CÁC MẪU THỬ 13 I Mẫu Trojan “Win33.exe” 13 II Mẫu “SnakeKeylogger.exe” 24 2 A TỔNG QUAN LÝ THUYẾT I Mã độc là gì? Mã độc (Malware hay Malicious software) là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống, lấy cắp thông tin, làm gián đoạn hoặc tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống hay các máy tính cá nhân Nó có thể có dạng một tập tin thực thi, script, mã nguồn hoặc bất kỳ phần mềm nào khác Kẻ tấn công sử dụng mã độc để đánh cắp thông tin nhạy cảm, giám sát hệ thống bị nhiễm và chiếm quyền kiểm soát hệ thống Thông thường, mã độc xâm nhập trái phép vào hệ thống của nạn nhân và có thể lây lan qua các kênh truyền thông khác nhau như email, web hoặc ổ đĩa USB 1 Mã độc được phân tích trong bài báo cáo a Trojan “win33.exe” Trojan là một nhóm các chương trình độc hại được phân biệt bởi khả năng giả mạo như phần mềm lành tính Tùy thuộc vào loại của chúng, trojan sở hữu nhiều khả năng khác nhau, từ việc duy trì kiểm soát từ xa hoàn toàn đối với máy của nạn nhân đến đánh cắp dữ liệu và tệp, cũng như thả phần mềm độc hại khác Đồng thời, chức năng chính của mỗi họ trojan có thể khác nhau đáng kể tùy thuộc vào loại của nó Mã độc win33.exe là một Trojan thuộc họ Dexter được đánh giá với mức độ nguy hiểm cao khi nó có thể giả mạo các phần mềm an toàn và đánh cắp mật khẩu và thông tin người dùng Win33.exe giả mạo chương trình iexplore.exe để đánh lừa người dùng rằng nó là một chương trình vô hại Iexplore.exe là một thành phần của Windows Internet Explorer – trình duyệt web được phát triển bởi Mincrosoft, kẻ tấn công cố tình đặt cho các quy trình của họ cùng tên tệp để tránh bị phát hiện Có thể kể đến các virus có cùng tên file iexplore.exe như Trojan-Spy.Win32.WinSpy.acj hoặc Backdoor.Win32.Cbot.bg (được phát hiện bởi Kaspersky) và Spyware.PCAcme hoặc WS.Reputation.1 (được phát hiện bởi Symantec) Sau đây là các thông tin về mã độc win33.exe: Tên file Win33.exe Mức độ đánh Nguy hiểm giá Microsoft Windows Hệ điều hành Trojan Loại application/x-dosexec MIME 3 MD5 140D24AF0C2B3A18529DF12DFBC5F6DE SHA1 E8DB5AD2B7FFEDE3E41B9C3ADB24F3232D764931 SHA256 4EABB1ADC035F035E010C0D0D259C683E18193F509946652ED8AA7C5D92B6A92 b Mẫu “SnakeKeylogger.exe” Snake Keylogger là phần mềm độc hại đánh cắp thông tin được viết bằng ngôn ngữ lập trình NET Nó được phát hiện vào tháng 11 năm 2020 và còn được gọi là 404 Keylogger, 404KeyLogger và Snake Snake Keylogger đánh cắp nhiều thông tin khác nhau từ nạn nhân, chẳng hạn như thông tin đăng nhập đã lưu, dữ liệu clipboard, tổ hợp phím và ảnh chụp màn hình màn hình của nạn nhân Phần mềm độc hại này cũng kiểm tra và thu thập thông tin hệ thống, bao gồm tên máy chủ, tên người dùng, địa chỉ IP, vị trí địa lý, ngày giờ của hệ thống, v.v Sau đó, nó lọc thông tin được thu thập thông qua các giao thức như FTP, SMTP và Telegram Thông tin về mẫu SnakeKeylogger.exe: Tên File SnakeKeylogger.exe Ngày phát Ngày 15 tháng 8 năm 2019 hiện Ngày 29 tháng 3 năm 2022 Lần cuối Nguy hiểm nhìn thấy Windows 10 411019bcb582ef6e3dab080d99925b4b Mức độ f381e338212079c3a03fbbb532cdec44b1d27db03e8cc4c47408ef038885d934 đánh giá Hệ điều hành MD5 SHA256 4 II Phân tích động 1 Khái niệm, ưu nhược điểm Phân tích động trong phân tích mã độc là việc theo dõi và nghiên cứu cách mã độc hoạt động trong môi trường thực thi Nó giúp phát hiện và hiểu rõ hành vi của mã độc, xác định các hoạt động đáng ngờ, thu thập thông tin quý báu về mục tiêu và chức năng của mã độc, giúp tạo chữ ký phát hiện và biện pháp phòng chống Ưu điểm: Tính tổng quan: Phân tích động cho phép bạn quan sát cách mã độc hoạt động trong môi trường thực tế Điều này có nghĩa rằng bạn có thể hiểu rõ hơn về tác động thực tế của mã độc và cách nó tương tác với hệ thống và dữ liệu Phát hiện mã độc ẩn: Nếu mã độc tự giải mã hoặc tự triển khai trong quá trình chạy, phân tích tĩnh có thể bỏ lỡ nó Phân tích động có thể tiết lộ các hành vi độc hại mà phân tích tĩnh không thể nhận diện được Khả năng xác minh và theo dõi: Phân tích động cho phép bạn xác minh cách mã độc tương tác với hệ thống và dữ liệu, và theo dõi các hoạt động độc hại qua thời gian Điều này có thể giúp bạn phát hiện và ngăn chặn các tấn công trong quá trình diễn ra Khả năng thí nghiệm và đánh giá tấn công: Bằng cách sử dụng phân tích động, bạn có thể thực hiện các thử nghiệm và đánh giá các tình huống tấn công một cách an toàn mà không cần làm hỏng hệ thống hoặc dữ liệu thật Nhược điểm Đòi hỏi môi trường thực tế: Phân tích động đòi hỏi một môi trường thực tế để thử nghiệm mã độc, điều này có thể gây ra rủi ro nếu không thực hiện cẩn thận Mã độc có thể gây hại cho hệ thống và dữ liệu trong quá trình phân tích Khả năng phát hiện thấp: Mã độc có thể phát hiện sự hiện diện của môi trường phân tích động và thay đổi hành vi của nó để tránh bị phát hiện Thời gian và tài nguyên: Phân tích động thường đòi hỏi nhiều thời gian và tài nguyên hơn so với phân tích tĩnh Việc theo dõi và ghi lại các hoạt động của mã độc có thể tốn thời gian và cần nguồn tài nguyên máy tính mạnh mẽ Khả năng hiện thực: Phân tích động có thể không hiệu quả khi bạn không thể tạo môi trường thực tế tương tự cho mã độc, ví dụ khi mã độc phụ thuộc vào các điều kiện môi trường cụ thể 5 2 Vai trò và tầm quan trọng của phân tích động Phân tích động (dynamic analysis) là một phần quan trọng trong quá trình phân tích mã độc Nó đóng một vai trò quan trọng trong việc hiểu cách mã độc hoạt động, xác định tác vụ của nó và tìm ra các tác động không mong muốn hoặc có hại Hiểu cách hoạt động: Phân tích động cho phép nghiên cứu và theo dõi hoạt động của mã độc trong môi trường chạy thực tế Điều này giúp xác định cách mã độc tương tác với hệ thống và dữ liệu của nó, bao gồm cách nó truy cập, sử dụng và thay đổi tài nguyên hệ thống Xác định tác vụ: Bằng cách quan sát hành vi của mã độc trong môi trường thực tế, phân tích động có thể giúp xác định mục tiêu và tác vụ của mã độc Điều này rất quan trọng để hiểu mục đích cuối cùng của mã độc và cách nó tác động vào hệ thống Phát hiện tác động không mong muốn: Phân tích động cũng giúp phát hiện các tác động không mong muốn hoặc có hại đối với hệ thống, chẳng hạn như việc lấy cắp thông tin cá nhân, thực hiện các hoạt động độc hại, hoặc gây hại cho hệ thống Điều này giúp nhà nghiên cứu bảo mật tìm cách ngăn chặn hoặc loại bỏ mã độc này khỏi hệ thống Phân tích các kỹ thuật phòng ngừa: Phân tích động giúp hiểu cách mã độc tránh các công cụ bảo mật và các biện pháp phòng ngừa Điều này có thể giúp cải thiện các biện pháp bảo mật hiện có và phát triển các giải pháp mới để ngăn chặn mã độc Cung cấp thông tin cho việc phân tích tĩnh: Kết quả từ phân tích động có thể cung cấp thông tin quan trọng cho phân tích tĩnh, giúp tạo ra một cái nhìn toàn diện về mã độc Phân tích động và tĩnh thường đi đôi và bổ sung lẫn nhau để tạo ra một hình ảnh rõ ràng về mã độc 3 Quy trình phân tích động Quy trình thực hiện phân tích động gồm 4 Phase như sơ đồ sau: 6 Phase 1: Baseline + Tạo một máy ảo với hệ điều hành cần thiết + Cài đặt tất cả các công cụ cần thiết + Tạo một bản snapshot của máy ảo Phase 2: Pre-Execution + Thực hiện bất kỳ cấu hình cụ thể nào nếu cần thiết + Chuyển mẫu Malware vào máy ảo + Khởi động các công cụ cần thiết (ví dụ: giám sát, theo dõi, gỡ lỗi, v.v.) Phase 3: Post-Execution + Thực thi Malware + Bắt đầu theo dõi và giám sát hành vi và hoạt động của nó + Theo dõi cuộc gọi hệ thống + Truy cập vào các tệp tin + Ghi lưu lưu lượng mạng + Ghi lại/Chụp ảnh màn hình, bộ nhớ, tệp cấu hình, tệp đăng ký, các tệp tin được giải nén, v.v Phase 4: Analyze and Document + Phân tích và ghi chú về mọi thứ đã xảy ra + Quan sát hành vi hiển thị + Ghi lại sự kiện và hành động 7 III Các công cụ sử dụng trong quá trình phân tích động 1 Process Hacker Process Hacker là một công cụ cho hệ điều hành Windows, được sử dụng để quản lý quá trình và thực hiện phân tích động các tiến trình và quá trình trên hệ thống Dưới đây là một số thông tin về công cụ Process Hacker, đánh giá và ưu nhược điểm của nó trong việc sử dụng để phân tích mã độc: Ưu điểm: Giao diện dễ sử dụng: Process Hacker có một giao diện đồ họa dễ sử dụng, giúp người dùng dễ dàng quản lý và theo dõi các tiến trình trên hệ thống Xem chi tiết quá trình: Nó cho phép bạn xem thông tin chi tiết về mỗi tiến trình, bao gồm các tệp tin và thư mục mà tiến trình đang truy cập và thông tin về mạng Dễ dàng tìm kiếm và lọc: Process Hacker cung cấp các tính năng tìm kiếm và lọc mạnh mẽ để giúp bạn tìm kiếm các tiến trình cụ thể hoặc theo dõi hoạt động đáng ngờ Hỗ trợ đa nhiệm vụ: Ngoài việc quản lý quá trình, Process Hacker cũng hỗ trợ quản lý các tác vụ và dịch vụ trên hệ thống Nhược điểm: Phần mềm bảo mật có thể phát hiện: Một số phần mềm bảo mật có thể nhận diện Process Hacker như một phần mềm độc hại, vì nó có khả năng thay đổi tiến trình và quá trình chạy của hệ thống Khả năng gây hỏng hệ thống: Sử dụng không cẩn thận hoặc không hiểu rõ có thể dẫn đến tình trạng không mong muốn, ví dụ như tắt tiến trình quan trọng hoặc thay đổi cài đặt hệ thống Cần kiến thức về hệ thống: Để sử dụng hiệu quả Process Hacker cho việc phân tích mã độc, bạn cần có kiến thức về hệ thống và quá trình làm việc của các tiến trình Không phải công cụ chuyên biệt: Process Hacker chủ yếu là một công cụ quản lý tiến trình và quá trình trên hệ thống, không phải là một công cụ phân tích mã độc chuyên biệt Điều này có nghĩa là nó có giới hạn trong việc phân tích mã độc so với các công cụ chuyên biệt khác như IDA Pro hoặc OllyDbg 2 Process Monitor Công cụ Process Monitor là một ứng dụng mạnh mẽ được phát triển bởi Microsoft, được sử dụng để theo dõi và ghi lại các hoạt động hệ thống trên máy tính chạy hệ điều hành Windows Nó cung cấp thông tin chi tiết về các sự kiện liên quan 8 đến hệ thống, bao gồm tệp tin, Registry, quá trình (process), mạng và các tài nguyên hệ thống khác Process Monitor thường được sử dụng để các mục đích sau: Ưu điểm: Theo dõi hoạt động hệ thống chi tiết: Process Monitor cung cấp một cái nhìn chi tiết về tất cả các hoạt động hệ thống, cho phép bạn xem các tệp tin được mở, Registry được thay đổi, quá trình nào được tạo ra hoặc kết thúc, và các kết nối mạng nào được thiết lập Sử dụng cùng với công cụ phân tích mã độc khác: Nó có thể kết hợp tốt với các công cụ phân tích mã độc khác như debuggers hoặc disassemblers để cung cấp thông tin về hoạt động của mã độc trong môi trường thực tế Lọc và tìm kiếm dễ dàng: Process Monitor cho phép bạn áp dụng các bộ lọc và tìm kiếm để tập trung vào các hoạt động quan trọng hoặc loại bỏ sự kiện không cần thiết Xem thời gian thực: Bạn có thể xem các sự kiện theo thời gian thực, giúp theo dõi và phân tích các hoạt động một cách nhanh chóng Nhược điểm: Dễ gây rối: Process Monitor có thể tạo ra lượng dữ liệu lớn, và việc hiểu và lọc thông tin có thể đòi hỏi kỹ năng và kiến thức kỹ thuật Cần kiến thức kỹ thuật: Để sử dụng Process Monitor một cách hiệu quả để phân tích mã độc, bạn cần phải có kiến thức về hệ thống và quy trình làm việc của các tiến trình Không phải công cụ chuyên biệt: Process Monitor là công cụ tổng quan cho việc theo dõi hoạt động hệ thống và không phải là một công cụ phân tích mã độc chuyên biệt 3 Process Explorer Công cụ Process Explorer là một tiện ích quản lý tiến trình cho hệ điều hành Windows, được phát triển bởi Sysinternals, một công ty con của Microsoft Process Explorer cho phép người dùng xem và quản lý các tiến trình đang chạy trên máy tính Dưới đây là một số thông tin về công cụ Process Explorer, đánh giá và ưu nhược điểm của nó trong việc sử dụng để phân tích mã độc: Ưu điểm: Xem chi tiết quá trình: Process Explorer cung cấp thông tin chi tiết về mỗi tiến trình, bao gồm thông tin về tệp tin, Registry, tài nguyên mạng và các thông số kỹ thuật 9 Truy cập nhanh đến thông tin hệ thống: Nó cho phép bạn xem thông tin về các thư mục hệ thống, tài nguyên mạng, và các kết nối mạng hiện đang mở Tìm kiếm và lọc: Process Explorer có tính năng tìm kiếm và lọc mạnh mẽ để tìm kiếm và xác định tiến trình cụ thể hoặc tập trung vào các hoạt động đáng ngờ Thể hiện các quan hệ giữa tiến trình: Nó cho phép bạn thấy các tiến trình con và tiến trình cha, giúp hiểu rõ quan hệ giữa chúng Dễ sử dụng: Process Explorer có giao diện người dùng dễ sử dụng và cung cấp nhiều tính năng mạnh mẽ Nhược điểm: Không phải công cụ chuyên biệt cho phân tích mã độc: Process Explorer chủ yếu là một công cụ quản lý tiến trình và quá trình trên hệ thống, không phải là một công cụ phân tích mã độc chuyên biệt Điều này có nghĩa là nó có giới hạn trong việc phân tích mã độc so với các công cụ chuyên biệt khác Khả năng gây hiểu nhầm: Sử dụng không cẩn thận có thể dẫn đến hiểu nhầm hoặc tắt nhầm các tiến trình quan trọng trên hệ thống Cần kiến thức về hệ thống: Để sử dụng hiệu quả Process Explorer cho việc phân tích mã độc, bạn cần phải có kiến thức về hệ thống và quá trình làm việc của các tiến trình 4 Regshot Công cụ Regshot là một tiện ích quản lý tiến trình cho hệ điều hành Windows, được phát triển bởi Sysinternals, một công ty con của Microsoft Regshot được sử dụng để thực hiện phân tích sự thay đổi trong Registry của hệ thống sau một quá trình hoặc sự kiện cụ thể Dưới đây là một số thông tin về công cụ Regshot, đánh giá và ưu nhược điểm của nó trong việc sử dụng để phân tích mã độc: Ưu điểm: Sự đơn giản: Regshot là một công cụ đơn giản và dễ sử dụng, giúp người dùng dễ dàng thực hiện phân tích thay đổi Registry sau một quá trình hoặc sự kiện cụ thể Theo dõi thay đổi Registry: Regshot cho phép bạn so sánh hai lần chụp Registry để xác định những thay đổi đã xảy ra Điều này có thể hữu ích để theo dõi tác động của mã độc đối với hệ thống Tạo báo cáo dễ đọc: Regshot có khả năng tạo ra báo cáo thay đổi dễ đọc, giúp bạn hiểu rõ những thay đổi cụ thể đã xảy ra trong Registry Nhược điểm: 10 Theo dõi File: Theo như kết quả ở phần theo dõi tiến trình, ta thấy rằng mẫu mã độc đã thực hiện tạo mới file iexplore.exe trong thư mục C:/ProgramFiles(x86)/Internet Explorer 17 File iexplore.exe được đặt tên trùng với một thành phần chính thức của Internet Explorer nhằn đánh lừa người dùng rằng nó là một chương trình an toàn Tuy nhiên ta có thể thấy nó được tạo ra với tiến trình win33.exe Ngoài ra, tiến trình của mã độc còn tạo thư mục Java Sercurity Plugin và một file javaplugin.exe: Theo dõi Registry Key: Mở phần ghi log về Registry Key trong Process Monitor, ta thấy tiến trình iexplore.exe của mã độc đã thực hiện mở và thay đổi cài đặt vùng của người dùng 18 Ở phần theo dõi File, ta thấy một file thực thi javaplugin.exe đã được tạo ra, phần mềm độc hại sau đó sẽ tự sao chép vào tệp thực thi "javaplugin.exe" mới được tạo ra trong "…\AppData \ Roaming"này và sau đó khoá đăng ký liên quan đến việc khởi động chương trình trên máy được thay đổi trong: "SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Tìm thấy khóa được thay đổi trong Regedit: 19 Thông qua khóa đăng ký này, phần mềm độc hại chắc chắn sẽ khởi động cùng lúc với máy bị nhiễm Kỹ thuật này dựa trên tính hợp pháp của một chương trình giả mạo như một plugin bảo mật Java Loại tên này được sử dụng để ngăn cản người dùng không nghi ngờ và xóa chương trình này khỏi danh sách tự khởi động Phần mềm độc hại cũng sẽ xóa tệp thực thi mà nó được khởi chạy trong phần này của mã Theo dõi mạng: Phát hiện thấy có kết nối đến địa chỉ IP 151.248.115.107 của tiến trình iexplore.exe 20