Luận văn thạc sĩ Công nghệ thông tin: Nghiên cứu phương pháp chống lại kỹ thuật né tránh máy ảo của mã độc trong phân tích động

Phần mềm độc hại kiểm tra những khác biệt này và thay đổi hành vi của nó khiphát hiện nó đang thực thi trong máy ảo, bằng cách trốn tránh không thực thi, thựcthi sai bản chất để đánh lừa

@)

PHAM RI NEP

NGHIÊN CỨU PHƯƠNG PHAP CHONG LAI KỸ THUAT NE

TRANH MAY AO CUA MA DOC TRONG PHAN TÍCH

Trước tiên, em xin gửi lời cảm ơn và biết ơn đến thầy TS Nguyễn Tan Cầm, người

đã chỉ bảo tận tình, hướng dẫn giúp đỡ em trong quá trình học tập và làm khóa luận.

Thầy cũng là người đã cho em thêm nhiều ý tưởng, và luôn có sự phản hồi chỉ tiết vàgiải thích rõ ràng và nhanh nhất Sức khỏe là lời chúc em gửi đến thầy Cám ơn thay

Những lời cám ơn em xin gửi đến tất cả thầy cô trường đại học Công Nghệ ThôngTin TP Hồ Chí Minh đã truyền dạy, én thức là hành trang đầu tiên tạo điều kiện

cho em trên con đường học tập và tìm hiểu tại trường Con đường nghiên cứu còn

khá dài nhưng đó kiến thức vững vàng sẽ đi cùng em từng bước trong tương lai

Cuối cùng, gia đình và bạn bé là những người luôn giúp đỡ em, động viên những lúc

em khó khăn, nhờ sự cỗ vũ lớn lao mà em có thể vượt qua hạn mức bản thân dé cóthé hoàn thành khóa luận Sức khỏe là thứ em mong muốn gửi gắm đến thay cô

Luận văn có sự giới hạn về thời gian, sự sai sót là điều khó tránh khỏi Em rất mongnhận được sự góp ý của thầy cô dé luận văn có thé phát triển thêm một bước tiền xa

hơn cho các nghiên cứu sau này.

Tôi xin cam đoan đề tài nghiên cứu phương pháp chóng lại kỹ thuật né tránh may

ảo của mã độc trong phân tích động được thực hiện độc lập dưới sự hướng dẫn của

TS.Nguyễn Tan Cầm Các kết quả va số liệu trong báo cáo là trung thực Vì vậy, tôixin toàn bộ trách nhiệm về các dé tài nghiên cứu của mình

TP HCM, ngày 26 tháng 03 năm 2023

Học viên thực hiện

Phạm Ri Nép

DANH MỤC CÁC CHỮ VIET TAT.

DANH MỤC CAC HÌNH ẢNH

DANH MỤC CAC BANG

TOM TAT LUẬN VAN 12Chương 1 GIỚI THIỆU 13

15 Phát Biểu Bài Toán 110023

Chương 2 CÁC NGHIÊN CỨU LIEN QUA .242.1 Sơ lược các nghiên cứu phân tích liên quan weed

2.2 Phương pháp chống phân tích máy ảo của mã độc trong debug 724

2.3 Phương pháp phân tích động mã độc trong Sandbox 28

2.4 Các phương pháp phân tích động mã độc khác 33

Chương 3 HE THONG ĐÈ XUẤT ò6

3.2 Mô dun VM Creator wT

3.3 Mô dun VM Customizer ST

3.3.1 Registry Customizer

37

4.1.1Thông tin cầu hình máy vật lý

4.1.2Xây dựng máy ảo đã được chỉnh sửa

4.2 Mẫu thử

4.3 Thử nghiệm với mẫu thử malware

4.3.1 Mẫu thử Agent Tesla

4.3.2 Mẫu thử Zloader

4.3.3 Mẫu thử Trickbot

4.4 Kết qua thử nghiệm với các mẫu malware

Chương 5 KET LUẬN VÀ HUONG PHAT TRIỂN

5.1 Kết qua đạt được

5.2 Một số thách thức khi thực hiện đề tài

5.3 Hướng phát triển tương lai

VM Virtual Machine

APT Advanced Persistent Threat

RAT Remote Access Trojan

cD - Compact Dise

DvD Digital Video Dise

HEX Hexadecimal

IDE Integrated Development Environment

WMI | Windows Management Instrumentation

PDF Portable Document Format

SEO Search Engine Optimization

ARC Audio Return Channel

DDoS Distributed Denial of Service

loT Internet of Things

DBI Decibel isotropic

TLS | Transport Layer Security

JIT Just in time

ACPI ‘Advanced Configuration and Power Interface

vO Input/Output

SSD Soid State Drive _ ¬

SMBIOS ‘System Management BIOS

BIOS Basic Input/Output System s `

UEFI Unified Extensible Firmware Interface

RDTSC | Time Stamp Counter bw

NET Network \ J

EAX Thanh ghi tích lũy

EBX Thanh ghi cơ sở a 1

ECX Thanh ghi đếm

EDX _ Thanh ghi dữ liệu

Hình 1: Mã nhị phân sử dụng công cụ Hex Editor Neo

Hình 2: Kiểm tra thông tin mạng sử dụng Wireshark

Hình 3: Giám sát tập tin và Registry sử dụng công cụ Process Monitor

Hình 4: Phân tích mã nhị phân sử dụng OllyDbg

Hình 5: 10 phần mềm độc hại hàng đầu tháng 3 năm 2022

Hình 6: Mô hình đề xuất các mô-đun

nti VM Communication Channel Customizer

Pafish- Chương trình mẫu thử chạy trên may ảo bình thường Pafish- Chương trình mẫu thử chạy trên máy ảo đã chỉnh sửa al-khaser - Chương trình mau thử chạy trên máy ảo bình thường.

al-khaser - Chương trình mẫu thử chạy trên máy ảo bình thường

al-khaser - Chương trình mẫu thử chạy trên máy ảo bình thường al-khaser - Chương trình mẫu thử chạy trên máy ảo đã chỉnh sửa

Hoạt động của mã độc Agent Tesla thu được bằng Process MonitorCác hoạt động của malware Agent Tesla thu được bang Wireshark

Dịch vụ msiserver được khởi động

Msiexec.exe chạy ngầm được phát hiện bởi Process Explorer

Các hoạt động thu được bởi Process Monitor Hoạt động của malware Agent Tesla ghi lại bởi Wireshark

Chỉ tiết hai tiến trình thu được bởi Process Monitor

Các hành vi trên hệ thống của tiến trình zloader

14 15 16

18

19

34 35

36

37

38

39 40

40

41

42 47 47 47

48

48 48

53

54

Bao cáo của mẫu thử Trickbot trên Virustotal

Hoạt động của malware Trickbot phát hiện bởi wireshark (phần 1)

Hoạt động của malware Trickbot phát hiện bởi wireshark (phan 2)

Tiến trình tmp039.exe chạy ngầm được phát hiệnCác hành vi của malware Trickbot

Tiến trình tmp039.exe được phát hiện bởi Process Explorer

Hành vi của malware Trickbot được thu thập bởi Process Monitor Hành vi của Trickbot được wireshark

55

56 56

57 57

57

58

58 58

59

Bảng 1: Thông tin cấu hình 44

Bảng 2: So sánh kết quả giữa máy ảo bình thường và máy ảo đã chỉnh 44Bang 3: Kết quả chỉ tiết thử nghiệm với mẫu thir malware thực tế 59

Phan mềm độc hai làm cơ sở cho nhiều hoạt động tội phạm, đặc biệt là các hoạt động.

tội phạm có động cơ tống tiền như mã độc cũng như các mối đe dọa nâng cao (APT).Trong thời gian gần đây, số lượng và mức độ tỉnh vi của các ứng dụng độc hại đanggia tăng đáng kể Để hiểu được hoạt động của phần mềm độc hại, các nhà phân tíchtìm tòi tiến hành kiểm tra thông qua phân tích động Dé phân tích kiểm tra phần mềmđộc hại hầu hết dua vào việc sử dụng các máy ảo để đảm bảo chức năng và sự antoàn Có sự khác biệt nhỏ trong hoạt động giữa máy ảo và máy vật lý Phần mềm độchại hiện nay kiểm tra những khác biệt này và thay đổi hành vi của nó khi nó phát hiện

thấy sự hiện diện của máy ảo, hành vi trốn tránh mã độc chủ yếu quan tâm đến phát

hiện máy ảo và trốn tránh không thực thi Các kỹ thuật chống máy ảo này của phan

mềm độc hại cản trở việc phân tích Trong luận văn này, chúng tôi chống lại các kỹ

thuật phát hiện máy ảo, bằng cách phân tích mã độc thông qua 6 mô đun, tùy biến cácmáy ảo dé chúng giống như máy thật Ngoài ra chúng tôi tạo bộ dữ liệu thử nghiệm

gồm 205 mẫu thử Kết quả của luận văn có thê được sử dụng cho việc phân tích độnghiệu quả hơn.

Chương 1

GIỚI THIỆU

Theo thong kê từ cục an toàn thông tin, công nghệ ngày nay đang phát triển

vượt bậc, thì càng có nhiều cuộc tấn công, các tấn công ảnh hưởng đến toàn

bộ người sử dụng thiết bị công nghệ, ngoài ra với mức độ tinh vi của mã độc

sẽ khám phá ra nhiều lỗ hồng bảo mật, lợi dụng các kẽ hở cho phép tin tặc khai thác hệ thống, đánh cấp dữ liệu, hơn cả thé, tin tặc còn tong tiền bằng việc mã hóa dữ liệu Việc tan công này khiến cho hàng tỷ người dùng trên quốc tế phải lo sợ, đặt biệt là những phần mém từ các quốc gia có lượng người sử dụng nhiều về internet Việt Nam được coi là mục tiêu cho các tội phạm mạng tắn công người dùng Có nhiều dang mã độc, tùy thuộc vào từng loại sẽ có mức độ và cách thức lây nhiễm khác nhau, vì vậy việc phân loại mã độc là cân thiết trong việc phân tích.

1.1 Sự cố thông tin liên quan đến mã độc

Theo thống kê từ cục an toàn thông tin[ 1], đầu năm 2022 bắt từ ngày 29/1 — 05/02

hệ thống giám sát và hệ thống cảnh báo đã phát hiện hơn 240 cuộc tắn công liên quanđến mã độc tại Việt Nam, sau đó đã có các phương án hướng dẫn và khắc phục cho

các cơ quan và tô chức Trong tổng số hơn 240 cuộc tấn công liên quan đến mã độc

tại Việt Nam, thuộc loại tấn công lừa dao chiếm 74% Có tổng hơn 60 cuộc cài cắm

mã độc vào hệ thống và chỉ có duy nhất 1 cuộc tan công nhầm vào biến đồi giao diện.Ngoài ra, cục an toàn thông tin ghi nhận thêm thông tin là có hơn tổng 500 số lượtphản ánh qua tin nhắn lừa đảo, dạng tin rác, sau đó đã có văn bản cho nhà cung cấpdịch vụ chặn 9.679.600 tin nhắn lừa đảo, tin rác

Trung tâm NCSC[2] thuộc cục an toàn thông tin, đã ghi nhận rằng trong tháng 9

hệ thống giám sát và hệ thống cảnh báo có 988 vụ tan công vào hệ thống tại quốc giaViệt Nam Sau cuộc tấn công đã có các phương án hướng dẫn khắc phục cho các tôchức, doanh nghiệp Các cuộc tan công liên quan mã độc trong tháng 9 năm 2022 đãtăng lên đến 8,9% so sánh cùng với thang 8 năm 2022, tăng khá cao so với tháng 9năm 2021 đến 19,9% Theo thống kê từ NCSC cho biết rằng quý 3 năm 2022 vừa

qua, hệ thống cảnh báo đã đưa ra kết quả có hon 2.878 cuộc tan liên quan mã độc va

đã được khắc phục tại Việt Nam, so với sự cố xảy ra vào quý 3 năm 2021 tăng lênđến 15,5% Tính từ tháng 1-2022 đến hết tháng 9-2022 hệ thống đã cảnh báo và có

hướng xử lý cho 9519 sự có tấn công vào các người dùng internet, cơ quan, tổ chức

tại Việt Nam Thống kê rằng 9 tháng của năm 2022 trung bình có tổng gần 1.060 sự

cố tấn công vào các cơ quan, tô chức tại Việt Nam được tính trung bình cho một

tháng Quan trọng hơn là, mặc dù phát hiện ra nhiều lỗ hông bảo mật đó nguyên nhâncác mã độc được cài cắm và tắn công vào tổ chức, doanh nghiệp những hau hết người

dùng không quan tâm về việc vá lỗi, cập nhật bảo mật về các lỗ hồng có ảnh hưởngcao và gây hậu quả nghiêm trọng.

Trung tâm giám sát an toàn Không Gian Mạng quốc gia[3] đã ghi nhận rằng tháng10-2022 hệ thông giám sát và hệ thống cảnh báo giảm xuống 13,3% so với tháng 9-

2022 Tuy nhiên, các sự có trong tháng này so với tháng 10-2021 vẫn tăng cao 8,1%.Tinh từ tháng 1-2022 đến tháng 10-2022 tổng các cuộc tắn công mạng liên quan đến

mã độc đã phát hiện và xử lý 10376 sự có tại Việt Nam Trung bình có 1037 cuộc tancông trong tháng 10-2022 Hệ thống giám sát và hệ thống cảnh báo trong quý 3 năm

2022 đã hướng dẫn và khắc phục 2878 cuộc tấn công, tăng đến 15,5% so với quý 3

năm 2021 Theo bộ truyền thông thông tin, các cơ quan tô chức, doanh nghiệp, người

dùng cần thực hiện đúng về bảo mật thông tin, cập nhật lỗ hồng kịp thời và luyện tậpcác hoạt động ứng cứu thường xuyên tránh gây hậu quả nghiêm trọng.

Thống kê từ hãng bảo mật Kaspersky [4], có 37,6% người dùng internet tại ViệtNam bị lây lan mã độc tan công trong quý 3 năm 2022 thông qua các phần mềm độchại từ thiết bị di động như USB, CD, DVD và các hình thức ngoại tuyến khác Hệ

thống giám sát và hệ thống cảnh báo từ Kaspersky đã hướng dẫn và xử lý hơn 30,1

triệu cuộc tấn công qua phương thức ngoại tuyến tại Việt Nam Đối với các phươngthức trực tuyến, Kaspersky cũng đưa ra rằng Việt Nam có nhiều mối nguy hiểm vềphương thức này và được xếp thứ 74 trên thé giới về các nguy cơ tan công

1.2 Các kỹ thuật và phương pháp phân tích mã độc

Để giảm thiểu sự tan công, lây lan mã độc, các nhà phân tích, nhà nguyên cứu cần

phân tích mã độc trên máy chủ Điều này đã giúp phần làm giảm thiểu rủi ro trongcác hệ thông người sử dụng đáng kể Và việc phân tích mã độc trên máy chủ đã giảm

nhiều thời gian và có kết quả đáng mong đợi nhờ vào việc phân tích các kỹ thuật vàphương pháp của mã độc Có 3 phương pháp phân tích các kỹ thuật và phương pháp

của mã độc là phân tích tĩnh, phân tích động và phân tích kết hợp

không phải thực thi mã độc trong một môi trường tách biệt Phương pháp này sẽ mởtrực tiếp tập tin và xem nội dung bên trong của mã độc, trong tập tin này sẽ chứa

những hoạt động của mã độc làm gì, gây hại cho hệ thống Ngoài ra để sử dụng

phương pháp này cần hiểu rõ các lời gọi hàm, các chương trình hợp ngữ Ưu điểm

phương pháp phân tích tĩnh là tìm ra được kết quả nhanh chóng, tuy nhiên sẽ gặp một

số trường hợp mã độc được mã hóa, ngụy trang sẽ làm cho các nhà phân tích khó phát

thuật mà sẽ có các thông tin cho các mục tiêu hoặc sử dụng cho nghiên cứu Hash là

một phương pháp mà nhiều nhà phân tích sử dụng dé phân tích và xác định mã độc,

vì tat cả các tập tin được tạo ra đều có những ký tự riêng, những ký tự riêng này đượcxem là chữ ký của tập tin Vì vậy các nhà phân tích dựa vào điều này để nhận diện

mã độc Ví dụ trên hình 1 các nhà phân tích sử dụng công cụ Hex Editor Neo để mở

tập tin xem mã hash và nhận dạng chúng có phải mã độc hay không, các tập tin sẽ

hiển thị dang ma ASCII hoặc Unicode Dựa vào thông tin trên tập tin sẽ đưa ra kết

quả cho nhà phân tích biết nó đang định dạng thuộc loại tập tin nào Hầu hết tất cả

các định dang tập tin dang hex 4D 5A đều là tập tin thực thi, và các tập tin nén sẽ thể

hiện dạng hex 50 4B Việc phân tích sâu như vậy giúp cho các nhà phân tích càngkhang định hơn các kết quả vi sẽ có những tập tin mã độc lưu dưới dang tập tin nénnhưng lại là mã độc ví dụ như netcat.

1.2.2 Kỹ thuật phân tích động

Phân tích động là một kỹ thuật phân tích mã độc dựa vào một môi trường biệt lập

để thực thi mã độc, theo dõi các hành độc của mã độc, từ đó đưa ra kết quả cụ thé

Ưu điểm của phương pháp này là phân tích trong thời gian ngắn, nhưng có nhiềunguy hiểm từ mã độc do phải thực thi trực tiếp, vậy nên đây là lý do tại sao cần phân

tích mã độc trong môi trường biệt lập Một vài công cụ được sử dụng trong phân tích động như:

Ai - ao x File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help

A8Z@ UBAB ere = QaQaak

ồ Tne Source Destination Protocol Length Info ˆ

87 1.460546 192.168.4137 192.168.4178 ROPUDP 1279

88 1.400620 «192 168.44.137 192.168.41.78 ROPUDP 1279

891.460735 —- 192.168.44.137 192.168.41.78 R0PUDP 74

361.408300 — 192.168.41.78 192.168.44.137 ROPUDP 269 CORRELATIONID, AOA

911.422203 192.168.44.137 192.168.41.78 ROPUDP 56 [Malformed Packet)

92 1.445085 192.168.41.78 192.168.44.137 Tcp 60 53151 ~ 3389 [ACK] Se |v

< >

> Frame 1: 53 bytes on wire (424 bits), 53 bytes ca dã c8 80 a8 13 c5 38 7a 0e dé 15 0a 08 00 45

> Ethernet II, Sre: IntelCor_d6:15:0a (38: 99 27 c6 fd 00 00 80 11 00 00 cô a8 2c 89 cô

Internet Protocol Version 4, Src: 192.168.44.137, || 9929 29 4e 9d 3d e4 a3 JĐEE d7 ác 9f 41 co do 43

> User Datagram Protocol, Src Port: 3389, Dst Port: THIỆN tsa

UOP Remote Desktop Protocol

< < >

@ 27 weeshsk W-ERMGEVLpcapog Packets: 132 - Displayed: 132 (100.0%) || Profie: Default

Hình 2: Kiểm tra thông tin mang sử dung Wireshark

trong việc phân tích hệ thống mang mà nó còn dùng dé phân tích các tập tin mã độcđang thực tin kết nối ra bên ngoài Tuy nhiên ứng dụng này sẽ không thé phát hiện

cụ thể được các tập tin hay chương trình nao đang có kết nối ra bên ngoài đây là ly

do tại sao các nhà phân tích cần sử dụng thêm các công cụ kết hợp như ProcessMonitor.

Tre Process Name PID Operation Path Resut Detad

Tes EiugEgee Ib RaoiAemse CMmmmSaeBooseee SUCESS Xayeevoley.E22B0Ph Wee

1256 FMsMpEngexe 11084 Be QueyAlfoma C\Windows\System32 svchost exe BUFFER OVERFL Creation Time: 10/31/2022 6.15.07 PM, LastAcoessTine: 1 1256 MsMpEngexe 11084 #@Queyrfomao.CAWindowQden32Aevcho#ee SUCCESS \VolumeCreaton Tine: 10/4/2022 5:28.03 PM, VoluneSeal

1256 MsMpEngexe 11084 Be QveyAlifoma,.C\Windows\System32.svchost exe BUFFER OVERFL CreatonTim: 10/31/2022 6.1507 PM, LatAcoessTine: 1 1256 MsMpEngexe 11084 Be FleSjtemCortclC:\Windows\System32\svchost exe SUCCESS Corto: FSCTL_READ_FILE_USN_DATA

1256 MsMpEngexe 11084 B¥ Queyinfomat C:\Windows\System32isvchostexe SUCCESS

1258 WeMelpEngeae 11084 BeCoseFle CAWndomQden32Aevcho#ee SUCCESS

1256 Fsvchostexe 2968 BeReadFie —- CAWindows\9den32A3eRegodoy SUCCESS (Offset: 690.688, Length: 15872, 10 Rags: Non cached, P 1256 Fevchosiexe 2869 BeReadFie ——_C\Windows\System32\S.ateRepostory SUCCESS (Offset: 678.400, Length: 12288, /O Fags: Noncached,P 1256 Wleassexe 104 Be QueryNanetrio :\Users Viet Phan\Downioads\Proce SUCCESS ‘Name: \Users\Wex Pham \Dowrloads\ProcessMontor Pro 1256 leassere 104 ʧQueyNenebfo CAUsen Wx Pham \Dowrloads\Proce SUCCESS Name: \Uses\ex Pham Dowrioads\ProcessMonder\Po, 1256 Fevchosiexe 2968 BeReadhle — CAWndomsSjden3A9seRepodoy SUCCESS (fie: 635,904, Length: 16.384, 10 Rags: Noncached,P 1256 Weebodene 2968 #4feadfe —- CAWindoas\9jden3AWedows State SUCCESS OWee 5471212, Lengh: 16.384, V0 Rags: Norcached,

1258 WĐgverEXE 9024 BeReadhie — CAlndomi9den3Aghhupidl SUCCESS (Offset: 31283, Length: 3,728, VO Rags: Non cached, Pa

1288 SUCCESS Exclusive: False, Ose: 123, Length: 1, Fal inmedately: Tr.

1256 SUCCESS locaionSue: 4,194,304, EndOFie: 4.194.304, NơibeOí

1256 MsMpEngexe 11084 #WLockfie — CAPngamDsaVMcosoflWrdowsDe.SUCCESS Exclusive: False, Ofee: 124, Length: 1 ai lnmedately Tr 1256 Bavchostexe 2368 Be QueyStandardl.C:\ProgramData\Mirosc\Windows\A SUCCESS ocaienSue: 4 194,304, EndOfFie: 4,194,304, NơnbeOí 1256 FMsMpEngexe 11084 [By UniockFleSngle C:\ ProgramData Mirosef\Windows De SUCCESS (Offe: 124, Length: 1

1256 5: 2968 fe UlockFieSnge C:\ProgamData\Mcrosct\Windows\A SUCCESS Offset: 123, Length: 1

1256: RegAueyKey- HKCUSdiưzelCasses SUCCESS Query: Name

125 RegueyKey- HCUSchươe Classes SUCCESS Query: HandeTags, Hand Tags: 0:0

ReglueyKey - HKCUSeRuxelCasses SUCCESS (Query: HandeTags, Hand Togs: 0

RegOpentey HKCUSoftware\Classes Mopkcatons\ NAME NOT FOUND Desred Access: Read

ReoOpeKer HKCR\Appleatons\Procmon6sexe NAME NOT FOUND Desred Access: Read

RegQueyKey HKCU Software asses SUCCESS Query: Name

Rezaeyey HAC Scwarn Clases SUCCESS OwyrHAndeTw HandeTags 0

RegQueyKey — HKCUSoftware\Casses SUCCESS Query: Name

RegQpenkey HKCU\Schtware\Casses pplcations\ NAME NOT FOUND Desied Access: Read

RegOpenkey HKCRVipplcatos\Procmonés.exe NAME NOT FOUND Desied Access: Read

11084 FeCreateFle —C\Windows\System3Z.evchostexe SUCCESS Dested Access: Read Atibutes, Smchrorize, Dispstion:

9024 WeCreaeFie —C:\Users\Wex Pham\Downloads\Proce SUCCESS ested Access: Read Atrbtes, Deposton: Open, Option.

9024 Quer/Basichfor C:\Users\Nex Phan Downloads Proce SUCCESS CreationTime: 10/26/2022 6 50:52 PM, LastAccessTine: 1

(QueyHfomato CAWipdows\9/4en32rchosexe— SUOCESS \VolumeCreatonTine: 10/4/2022 528 03PM VoloneSerai

ŒoseFie _C.\Usere\Wex Pham Downloads \Proce SUCCESS

|QueryAllforna C:\Windows \Sytem32 svchost exe BUFFER OVERFL Creatinine: 10/31/2022 6:15:07 PM, LatAcoessTine: 1

|Queryrfomnai C:\Windows \Sytem32\svchostexe SUCCESS \olumeCreaton Tine: 10/4/2022 5:28.03 PM VokuneSeial

|QueryAliforna c:\Windows \Sytem32 svchost exe BUFFER OVERFL Creation ime: 10/31/2022 6 15:07 PM, LatAcoessTine: 1

Showing 140240 of 196075 eens 015) - Backed by virtual memory

Hình 3: Giám sát tập tin va Registry sử dung công cu Process Monitor

Process Monitor [6] là một trong những công cụ phân tích các tập tin va registry trên'Windows, nó hiện thị các tiến trình và các hoạt động của registry theo thời gian thực

của hệ thống Dựa vào phân tích tập tin và phân tích registry nó phân tích mạnh mẽtheo dạng chuỗi vì vậy nó được sử dụng hiệu quả trong việc phân tích động mã độc,

do đó nó còn được kết hợp với Wireshark đề nâng cao kết quả chính xác hơn

1.2.3 Kỹ thuật phân tích kết hợp

Đây là một dạng kỹ thuật kết hợp cả 2 phương pháp trên là phân tích tĩnh và phân

tích động giống như debug là một chương trình hoặc cũng có thẻ là thiết bị phần

cứng cho phép kiểm tra và thực thi một chương trình khác Khi phát triển phần mềm,

ta có thể nhập dữ liệu đầu vào cho chương trình và quan sát kết quả đầu ra, nhưng

không thé theo doi cách mà chương trình chạy tính toán cho kết qua trong lúc nó đang

chạy Các debugger được thiết kế dé các nhà phát triển có thé theo dõi và điều khiểntrạng thái thực thi của chương trình Các debugger có thé cung cấp các thông tin mà

ta rất khó hoặc không thé lấy được từ các trình dich ngược Debugger cho phép taquan sát giá trị của các thanh ghi khi chúng có sự thay đổi khi đang thực thi chương

trình.

Da số các nhà phát trién đều sử dụng quen thuộc các debugger mức mã nguồn cho

phép debug trong lúc lập trình Loại debugger này thường được chứa sẵn trong các

IDE, chúng cho phép đặt các điểm (breakpoint) đề theo doi trạng thái các biến và thực

thi chương trình từng dòng mã một Các debugger mức hợp ngữ, hay debugger mứcthấp, hoạt động trên mã hợp ngữ thay vì mã nguồn của chương trình Ta cũng có thể

thực thi chương trình từng dòng code một, đặt các breakpoint để đừng lại tại mộtdòng code cụ thể và theo dõi các vùng nhớ

Debug mức nhân khó khăn hơn debug mức người dùng vì ta thường phải sử dụng

hai hệ thống khác nhau khi thực hiện debug mức nhân Trong chế độ người dùng,

debugger chạy được trên cùng một hệ thống với mã được debug Khi thực hiện debugmức người dùng, ta debug trên một trình thực thi đơn được phân tách rõ ràng với các

trình thực thi khác.

Debug mức nhân chỉ duy nhất được thực hiện trong khi sử dụng hai hệ thống riêngbiệt vì chỉ có một kernel trên mỗi hệ thống Nếu kernel được đặt breakpoint, khôngmột ứng dụng nào trong hệ thống có thé tiếp tục được thực thi, ngay cả debugger Taphải sử dụng debugger trên một hệ thống và hệ thống còn lại sẽ thực thi chương trìnhcần debug Ngoài ra, hệ điều hành cũng phải được cấu hình cho phép debug mức nhân

và ta phải kết nối được hai hệ thống với nhau

Có hai cách để debug một chương trình Cách thứ nhất là khởi chạy chương trình

với một debugger Khi chương trình được chạy vào bộ nhớ, nó sẽ dừng lại ngay trước

Cách thứ hai là gan một debugger vào một chương trình đang thực thi Cac thread

sẽ được tạm dừng và ta có thé debug chúng Đây là một cách tốt dé debug một chương

trình khi nó đang được thực thi hoặc khi ta muốn thực hiện debug một tiến trình liên

quan đến mã độc

Các breakpoint được dùng dé làm điểm dừng thực thi và cho phép ta quan sát

trạng thái của nó Khi một chương trình dừng tại breakpoint, nó được sẽ ở trạng thái

broken Ta can các breakpoint vì không thé truy cập các thanh ghi hoặc địa chi ô nhớkhi chương trình đang chạy và các giá trị này sẽ liên tục thay đồi

Debugger thường được dùng dé sửa đổi các chương trình đang thực thi Ta có thé

sửa đổi các cờ điều khiển, con trỏ lệnh hoặc sửa các đoạn code để thay đổi cách

chương trình thực thi.

Š& OllyDbg - OLLYDBG.EXE - o xX

File View Debug Plugins Options Window Help

1.3 Các loại mã độc phổ biến

Tháng 3 năm 2022, 10 mã độc [7] được liệt kê vào hạng mã độc nguy hiểm Trong

đó có cả Gh0st và Jupyter 10 phần mềm độc hại này chiếm 76% tổng số hoạt động

của phần mềm độc hại vào tháng 3 năm 2022, tăng 4% so với tháng 2 năm 2022 10phần mềm độc hai hàng đầu được xếp hang theo thứ tự mức độ phỏ biến Các chỉ số

tương ứng về sự xâm phạm (IOC) được cung cấp dé hỗ trợ phát hiện và hướng dẫn

ngăn chặn sự lây nhiễm từ 10 biến thể phần mềm độc hại này

ZeuS là một loại Trojan Zeus thường hay sử dụng lấy thông tin như chỉ tiết tài

khoản hay các mật khẩu người dùng Ngoài ra, nó còn có thể ngăn chặn các thông tinđăng nhập thời gian thực thông qua máy tính bi lây nhiễm dé thực hiện giao dịch tạithời điểm đó Zeus là một trong những mã độc thường xuyên vô hiệu hóa hoặc quamặt các chương trình chồng virus

Agent Tesla là một loại mã độc dùng để lấy thông tin như ví điện tử, sau đó tảicác tập tin của nó về trên thiết bị của nạn nhân Da số các kẻ tan công sử dụng emaillàm phương thức dé phát tán chương trình độc hại Các nha nghiên cứu từ Bitdefender

Antispam Lab đưa ra rằng loại mã độc này đã được lây nhiễm trên diện rộng thông

qua khai thác lỗ hồng của Microsoft Office (CVE-2017-11882) từ đó nó đính kèm

theo chương trình độc hai dé lấy thông tin từ người sử dụng

NanoCone Trojan này cho phép kiểm soát tắt và khởi động lại máy tính Windows

từ xa, duyệt các tệp tin từ xa và kiểm soát trình quản lý tác vụ của hệ thống, thậm chí

chúng có khả năng kiểm soát cả con trỏ chuột của các máy tính bị lây nhiễm Tệ hơn,

các kẻ tấn công thường có thé sử dung RAT để mở các trang web, tắt đèn LED thôngbáo hoạt động của webcam, qua đó cho phép chúng theo đối theo thời gian thực quawebcam mà người sử dụng không biết Ngoài ra, chúng còn có khả năng ăn cắp mật

khẩu người dùng thông qua các ứng dụng keylogger Thông tin từ Microsoft cũng

đã đưa ra rằng kẻ tấn công lợi dụng thông qua lỗ hồng được thiết kế để điều khiểnphần cứng(driver) xâm nhập và lấy quyền kiểm soát của hệ thống từ biến thể trojan

(RAT).

CoinMiner một công cụ đảo tiền kỹ thuật số sử dung lỗ hỏng của NSA EternalBlue

để lây nhiễm nên nạn nhân và WMI toolkit (Windows Management Instrumentation)

làm phương thức chạy lệnh trên hệ thống bị nhiễm Ngoài ra, CoinMiner còn chạy

trên bộ nhớ, sử dung nhiều lớp lệnh và máy chủ kiểm soát đề triển khai các kịch bản

cần thiết dé lây nhiễm lên nạn nhân CoinMiner là một trong số ít các những công cụđào tiền ảo không có chương trình (fileless)

Delf là một họ phần mềm độc hại vì có nhiều biến thể được viết bằng ngôn ngữlập trình Delphi, trong đó phan lớn là do người dùng tải xuống Các chiến dich, mục

tiêu, hướng lây nhiễm khác nhau tùy theo biến thể Delf có nhiều hướng lây nhiễm

ban đầu, chẳng hạn như tự tải xuống từ một trang web độc hại Một số chức năng cácbiến thé của Delf là mở cửa hậu hoặc proxy, lay cắp thông tin, tắt các ứng dụng chống

vi rút và gửi thư hàng loạt.

Gh0st là một RAT Virus, nó là loại phần mềm độc hại tạo ra cửa hậu ảo trên máytính của người sử dụng Cửa hậu ảo này sẽ mở các công kết nối và cho kẻ tin côngchiếm lấy hệ thống từ xa RAT được sử dụng để thu thập, dành quyền điều khiển máy

của nạn nhân, mục đích là phá hoại máy tính nạn nhân.

Jupyter, hay còn gọi là SolarMarker, một mã độc cấp thông tin người dùng Môđun quan trọng nhất trong phần mềm độc hại này là NET assembly có nhiệm vụ nhận

lệnh của máy chủ C2 và thực hiện các hành động độc hại khác như triên khai công cụ

đánh cắp thông tin Jupyter và Uran Jupyter có khả năng đánh cắp dữ liệu người ding,

thông tin đăng nhập và giá trị được gửi từ biểu mẫu trong trình duyệt Firefox vàGoogle Chrome của nạn nhân, Uran hoạt động như một keylogger dé ghi lại các thao

tac gõ phím của người dùng Microsoft Security Intelligence [8] cho biệt: "Những kẻ

điều hành phần mềm độc hại như Solar Marker, Jupyter, và các phần mềm khác đang

cố gắng lây lan phần mềm độc hai thông qua một kỹ thuật tắn công SEO Poisoning

cũ kỹ Chúng sử dụng hàng nghìn tài liệu PDF được tối ưu hóa bằng các từ khóa đặt

chúng trong một trang web Khi người dùng truy cập trang web này sẽ là một chuỗi

chuyển hướng dẫn đến các trang web chứa phần mềm độc hại"

Arechclient2 nó còn được gọi là SectopRAT, là một NET RAT với nhiều chức năng

bao gồm nhiều chức năng an Arechclient2 có thé tìm va lap hé so hệ thống nạn nhân,

lấy cắp thông tin trong dữ liệu trình duyệt và ví tiền điện tử, đồng thời khởi chạy mộtmàn hình phụ an dé kiểm soát các phiên trình duyệt Ngoài ra, nó có một số khả năngchống máy ảo và chống giả lập

Mirai là một mã độc chuyên lây nhiễm trên các thiết bị có bộ xử lý ARC, đặc biệt

là các thiết bị thông minh Mã độc này sẽ biến các thiết bị thành một mạng lưới với

nhau Mạng lưới này còn được gọi là botnet hoặc zombie Mục đích hay được dùng

dé tan công các mạng khác, còn được gọi là DDoS Mã độc này hay dò quét internetnếu nó phát hiện ra thiết bị dùng bộ xử lý ARC thì sẽ lây nhiễm Thường bộ xử lýnày chạy Linux, nó là phiên bản rút gọn, nếu người dùng không đổi mật khẩu mặcđịnh thì mã độc sẽ xâm nhập va lay nhiễm

1.4 Mục Tiêu

Hầu hết các chương trình độc hại hiện đại, và ngay cả những chương trình độchại khác gây ra các cuộc tan công tương đối đơn giản đang có gắng trốn tránh cácmáy ảo bằng cách sử dụng các phương pháp và kỹ thuật phát hiện máy ảo

Khi một chương trình độc hại phát hiện ra môi trường máy ảo, nó có thé điều

chỉnh hành vi không hoạt động hoặc thực hiện các hoạt động không độc hại, do đó

tạo ấn tượng sai về bản chất của nó Điều này sẽ dễ dẫn đến các hậu quả nghiêm trọng

Trong luận văn này chúng tôi tiến hành phân tích các kỹ thuật trồn tránh máy ảo

của mã độc đề xuất cho phương thức phân tích động

Sau đó tạo ra máy ảo tự động đã được chỉnh sửa giống như máy thật

Ngoài ra thu thập và tạo bộ dữ liệu thử nghiệm dé kiểm tra máy ảo đã chỉnh sửagiống máy thật.

1.5 Phát Biểu Bài Toán

Phần mềm độc hại làm cơ sở cho nhiều hoạt động tội phạm, đặc biệt là các hoạt

động tội phạm có động cơ tống tiền như mã độc Dé hiêu được hoạt động của phần

mềm độc hại, các nhà phân tích tiến hành kiểm tra và ngăn chặn mã độc tránh gây

thiệt hại.

Có hai phương thức kiểm mã mã độc là phân tích động và phân tích tĩnh Phântích tĩnh sẽ mở trực tiếp tập tin và xem nội dung bên trong của mã độc, trong tập tin

này sẽ chứa những hoạt động của mã độc làm gì, gây hại cho hệ thống Phương thức

nay yêu cầu người phân tích am hiểu sâu về lời gọi hàm, hợp ngữ và gặp khó khăn

khi mã độc được mã hóa, ngụy trang làm khó phát hiện Vì vậy bài toán chọn phân

tích động, mã độc sẽ được thực thi trên môi trường biệt lập Điều này giúp cho quá

trình phân tích diễn ra nhanh hơn, dé dàng hơn, giúp cho nhà phân tích tĩnh xác định

kết quả chính sát hơn, phân tích mã độc được mã hóa

Để phân tích kiêm tra phần mềm độc hại hầu hết dựa vào việc sử dụng các máy

ảo để đảm bảo chức năng và sự an toàn Dễ đàng sao lưu và phục hồi hệ thống

Máy ảo là máy tính chạy giả lập trên máy thật Nó có chức năng như một hệ

thống máy tính thật có CPU, bộ nhớ, cổng mạng, và é cứng, được tạo trên một hệthống phần cứng vật lý Nó có một phần mềm được gọi là trình ảo hóa sẽ lấy tàinguyên của phần cứng vat lý chia sẻ một cách thích hợp dé máy ảo sử dụng

Máy thật là một máy tính thông thường, nó sử dụng hệ điều hành riêng, chạy trên

vi xử lý cao, hiệu suất cao Tuy nhiên có sự khác biệt giữa máy ảo và máy vật lý

Phần mềm độc hại kiểm tra những khác biệt này và thay đổi hành vi của nó khiphát hiện nó đang thực thi trong máy ảo, bằng cách trốn tránh không thực thi, thựcthi sai bản chất để đánh lừa các nhà phân tích, hoặc trì hoãn quá trình thực thi Các

kỹ thuật chống máy ảo này của phần mềm độc hại cản trở việc phân tích

Chương 2

CÁC NGHIÊN CỨU LIÊN QUAN

Đề nghiên cứu phần mêm độc hại và hành vi của mã độc, phương pháp

phổ biến là thực thi chương trình độc hai trong môi trường riêng biệt như

máy ảo Tuy nhiên các tác giả của chương trình mã độc đã bắt đâu thiết kế

lại cập nhật bản vá, và trang bị các kỹ thuật chống máy ảo, xem mã độc hiện

có dang ở trong máy áo hay không và các kỹ thuật né tránh máy ảo bằng các

loại phân tích mã độc khác nhau.

2.1 Sơ lược các nghiên cứu phân tích liên quan

Hầu hết các chương trình độc hại hiện đại, và ngay cả những chương trình độc hại

khác gây ra các cuộc tấn công tương đối đơn giản đang cố gắng trén tránh các máy

ảo bằng cách sử dụng các phương pháp và kỹ thuật phát hiện máy ảo Khi một chươngtrình độc hại phát hiện ra môi trường máy ảo, phần mềm độc hại có thể điều chỉnhhành vi của mình và chỉ thực hiện các hoạt động không độc hại, do đó tạo ấn tượngsai về bản chất của nó và che giấu những gì nó thực sự làm khi tiếp cận hệ thống của

người ding Điều này sẽ dé dẫn đến các hậu quả nghiêm trọng không thể liên quan

đến bảo mật Dé tạo có thé thuận lợi cho việc quản lý và giao tiếp với máy chủ,thống máy ảo đã tạo ra các tập tin, và tiễn trình riêng hỗ trợ các nhà phân tích dé sử

dụng hơn, tuy nhiên điều này cũng giúp cho các tác giả của chương trình độc hại có

cơ hội né tránh.

2.2 Phương pháp chống phân tích máy ảo của mã độc trong debug

Lee và đồng sự [9] phân tích hầu hết chương trình độc hại đều có tính lây nhiễm,các kỹ thuật chống phân tích và đóng gói được được áp dung dé cản trở việc phântích Khi phân tích phát hiện và chặn chương trình độc hại vậy cần phân tích trong

một môi trường ảo đề ngăn ngừa lây nhiễm Về mặt đóng gói, cần phải phân tích bằng

cách dùng các thiết bị đo nhị phân động (DBI), một công cụ phân tích động, thuậnlợi cho việc giải nén vì DBI chèn mã tại thời điểm chạy và phân tích động Tuy nhiên,chương trình độc hại sẽ tự kết thúc khi phát hiện ra môi trường ảo hoặc DBI do các

kỹ thuật chống phân tích Do đó, cũng cần phải bỏ qua các kỹ thuật chống VM vàchống DBI dé phân tích thành công phần mềm độc hai trong môi trường ảo sử dung

DBI Rất khó dé các nhà phân tích bỏ qua các kỹ thuật chống VM và chống DBI được

sử dụng trong các bộ bảo vệ thương mại bởi vì các nhà phân tích thường có ít thôngtin về những phương pháp được sử dụng hoặc thậm chí làm thế nào để vượt qua các

kỹ thuật này Tác giả đề xuất các hướng dẫn dé hỗ trợ phân tích phần mềm độc hạiđược bảo vệ bởi các kỹ thuật chống VM và chống DBI Tác giả đã phân tích các kỹ

thuật được sử dụng bởi năm trong số các bộ bảo vệ thương mại phổ biến nhất và trình

bày cách vượt qua các kỹ thuật chống VM và chống DBI được các bộ bảo vệ thươngmại hỗ trợ thông qua phân tích thuật toán chỉ tiết Tác giả đã thực hiện thử nghiệm

vượt qua sau khi áp dụng từng trình bảo vệ thương mại cho 1573 tệp thực thi có chứa

các lỗ héng do viện tiêu chuẩn và công nghệ quốc gia (NIST) cung cấp

Tác giả đã phân tích rõ ràng và chỉ tiết và các thuật toán vượt qua các kỹ thuậtchống VM và chống DBI cho các bộ bảo vệ thương mại, nó là nghiên cứu đầu tiên

đề xuất các thuật toán bỏ qua chỉ tiết về khả năng này Kết quả nghiên cứu của tác giả

có thé dùng làm hướng dẫn dé dé dàng phân tích chương trình độc hại được bảo vệbởi phần mềm chống VM hoặc chóng DBI được hỗ trợ bởi các bộ bảo vệ thương mai

Ngoài ra, các nghiên cứu khác đã tập trung vào việc giải nén các công cụ DBI và tác

giả tin rằng thuật toán vượt qua của tác giả sẽ giúp cho các luận văn sau này thànhcông hơn trong nghiên cứu trong tương lai Tuy nhiên, bài báo của tác giả chỉ đề cậpđến các giải pháp cho kỹ thuật hiện tại trong trình bảo vệ thương mại và chương trình

độc hại sử dụng trình bảo vệ tùy chỉnh cùng với các phiên bản mới của trình bảo vệthương mai sử dung kỹ thuật chống phân tích đang xuất hiện liên tục Xem xét những

phát triển này, các kỹ thuật chống phân tích phải được nghiên cứu thêm, điều này sẽtạo tiền đề cho các nghiên cứu trong tương lai

Theodoros Apostolopoulos [10] và đồng sự phân tích chương trình độc hại độngliên quan đến việc debug các tệp nhị phân và các thay đổi trong môi trường máy ảo.Điều này cho phép người điều tra thao tác trên đường dẫn và môi trường thực thi mã

để biết về hoạt động sâu bên trong của chương trình độc hại, mục đích và phươngthức hoạt động Tuy nhiên, phần mềm độc hại hiện đại nhất có thẻ kết hợp chống môitrường ảo (VM) và các biện pháp đối phó chống debug (tức là để xác định xem

chương trình độc hại đang được thực thi trong máy ảo hay sử dụng trình debug trướckhi thực thi tải trọng) Tác giả cho rằng để chương trình độc hại hoạt động hiệu quả,

nó sẽ cần hỗ trợ một loạt các cơ chế chống phát hiện và trốn tránh Về bản chất, từ

quan điểm của phần mềm độc hại, nó cần phải áp dụng mô hình "bảo vệ theo chiềusâu" để đạt được chức năng logic kinh doanh cơ bản của nó Ngoài các mục đích sử

dụng độc hại, các nhà cung cấp phần mềm dé bảo vệ quyền sở hữu trí tuệ của sản

phẩm của họ thường sử dụng các phương pháp tương tự để ngăn chặn đối thủ cạnh

tranh về thu thập thông tin từ hệ nhị phân hoặc ngăn chặn người dùng sử dụng sản

phẩm của họ bằng phần cứng trái phép

Tác giả minh họa cách kiến trúc Windows cản trở công việc của trình debug khi họphân tích bằng các mã nhị phân được bảo vệ Trình debug và phần mềm độc hại cócùng đặc quyền, vì vậy kẻ tấn công có thé thao túng không gian địa chỉ mà trình

debug hoạt động, ví dụ: Phát hiện vượt qua Tác giả mô tả bằng cách giới thiệu một

khuôn khổ mới (ANTI), tự động hóa quy trình tích hợp tính năng chống debug vàchống máy ảo trong hệ nhị phân Cụ thẻ, ANTI giới thiệu một phương pháp chốngnối nhắm mục tiêu đến các tệp nhị phân của Windows, trong đó các móc được áp

dụng bởi trình debug hiện đại sẽ bị loại bỏ và đưa mã của nó vào các quy trình khác.Điều này làm tăng thách thức của phân tích nhị phân một cách đáng kể Đánh giá sâu

rộng của tác giả cũng chứng minh rằng ANTI đã vượt qua thành công việc phát hiệnkhỏi các phương pháp phát hiện hiện đại Do đó, ANTI minh họa rằng các công cụhiện tại dé phân tích động có những lỗ hồng triển khai nghiêm trọng cho phép các mãnhị phân bỏ qua chúng Đáng báo động hơn, ANTI cho thấy rằng có thể dùng các

phương pháp nồi tiếng để phục hồi các cuộc tấn công đã cũ

Để giải quyết các khó khăn và rủi ro nêu trên, nhà phân tích chương trình độc hại

sẽ thiết lập sự tồn tại của các kỹ thuật chống phát hiện Điều này biết được bằng cáchthiết kế ngược quy trình đóng gói và bọc giáp bằng cách xác định các chỉ số thỏa hiệp(IoC) phù hợp Trong bối cảnh của van dé này, chúng rất có thé ở dạng các mẫu, ví

dụ như các quy tắc YARA Một công việc khác trong tương lai về việc né tránh phântích phần mềm độc hại là đánh giá mức độ của các kỹ thuật hooking với các lớpobfuscator, khả năng làm mờ, lập trình định hướng trả về và mức độ phức tạp và chỉphí phát sinh do các hoạt động bồ sung này gây ra Các phương pháp tiếp cận nói trên

có thể làm cho các công cụ phân tích tĩnh hiện có không hiệu quả Do đó, bằng cách

kết hợp các phương pháp trên và dựa trên kết quả của việc sử dụng ANTI, tác giả cho

rằng cần thay đổi cơ bản cách thực hiện ảo hóa, debug và hooking dé phân tích chương

trình độc hại, vì nhiều phương pháp phát hiện chương trình độc hại hiện có của tác

giả không đạt mục tiêu Đặc biệt với trường hợp trình debug, vấn dé chính được làmnổi bật trong công việc của tác giả là dựa vào các hooking chế độ người dùng được

biết là có thé dé dàng uốn nắn bởi bat kỳ tệp thực thi nao Lý do chính là chúng chia

sẻ cùng một không gian địa chỉ mà chúng được phép giả mạo, tạo ra một điều kiện

chạy đua xem ai sẽ quản lý để thực hiện điều đó trước Hơn nữa, người ta cần cânnhắc rằng trong khi một nhà phân tích chương trình độc hại sẽ có gắng điều tra cáclệnh gọi lại TLS, thì đây không phải là trường hợp của hầu hết các công cụ phân tíchđộng Các công cụ phân tích động phụ thuộc nhiều vào điểm vào, bỏ qua việc kiểmtra các lựa chọn thay thế khác Do đó, chương trình độc hại có thể trốn tránh nhiềulần sau kiểm tra bảo mật Cuối cùng, cần phải nỗ lực trong việc ảo hóa hệ điều hành

để cản trở nhiệm vụ phân biệt chúng với các máy chủ thực tế Tác giả tin rằng nhữngđiều trên là đáng báo động vì chúng ngụ ý rằng các phương pháp được coi là đễ dàngtruy tim bằng các công cụ hiện đại không được giải quyết thích hợp và có thé cho

phép các mã nhị phân đi qua bên dưới các radar của các công cụ tự động hiện đại.

Chúng ta cần hiểu rằng việc có cơ chế bảo mật ở cùng cấp độ thực thi mà chươngtrình độc hại được thực thi sẽ dẫn đến một trò chơi bat tận dé phân tích Tác giả củachương trình độc hại chi đơn giản là vô hiệu hóa các co chế sau khi tệp nhị phân củachúng được thực thi vì chúng có cùng quyền sửa đổi không gian địa chỉ Tất nhiên,

các cơ chế bảo mật phải được tích hợp sâu hơn Do đó, bắt chấp các biện pháp bảo

mật của nhân Windows, chúng ta nên xem xét lại trường hợp có các công cụ có thểcung cấp một môi trường miễn nhiễm với việc giả mạo không gian địa chỉ ở cấp độngười dùng Khuôn khổ (ANTI) và đánh giá cho thay rằng các lập luận nói trên cógiá trị nhiều hơn Tuy nhiên, mục tiêu của ANTI không được sử dụng với mục đíchxấu Quy tắc YARA dựa trên một mẫu và các đoạn chuỗi được ANTI sử dụng để tìm

và tải các hàm API cụ thể trong bộ nhớ được sử dụng để tải ntdll từ đĩa Mac dù ANTI

là một bằng chứng về khái niệm, nhưng nó quản lý để bỏ qua phân tích động một

cách hiệu quả thông qua các môi trường máy ảo (vi dụ: Cuckoo, thực thi trong may

ảo, v.v.) và trình debug Tuy nhiên, một phân tích tĩnh đơn giản, như với quy tắc

YARA ở trên, minh họa những hạn chế của nó Về vấn đề này, ANTI thiếu một công

cụ toàn diện đề vượt qua các kiểm tra tĩnh Điều này được giải quyết bằng cách tách

phần được nôi thành các phần khác, thêm trình đóng gói, khai thác lưu mã, v.v Cuối

cùng, vì ANTI được tạo ra như một bằng chứng khái niệm đê giới thiệu các lỗi của

các phương thức hiện tại thông qua việc dùng các phương thức cũ nhưng tốt Các kỹthuật đã biết, các nhà phát triển có thể mở rộng thêm kiến thức của mình bằng cách

thêm các phương pháp chống debug và chống máy ảo gần đây hơn hoặc bằng cáchhủy đăng ký các thư viện khác ngoài ntdll.

2.3 Phương pháp phân tích động mã độc trong Sandbox

Amir Afianian [11] và đồng sự trình bay phần mềm độc hại ngày càng phát trién,

nó có thể xâm nhập vào các cơ chế phòng thủ mà người dùng không hề hay biết, và

lén lút lay cắp đữ liệu nhạy cảm Dé hiểu được hoạt động bên trong của chương trìnhđộc hại cần cung cấp cơ chế dé chống lại chúng Theo đó, các tác giả chương trình

độc hại đã nghĩ ra các kỹ thuật trốn tránh tiên tiến dé cản trở hoặc né tránh các phân

tích này Tác giả đưa ra một cuộc khảo sát về các kỹ thuật né tránh phân tích độngchương trình độc hại Ngoài ra, tác giả đề xuất phân loại chỉ tiết các kỹ thuật này vàchứng minh thêm hiệu quả của chúng đối với các loại phương pháp tiếp cận phát hiện

và phân tích khác nhau Các quan sát của tác giả chứng minh rằng hành vi trốn tránh

chủ yếu quan tâm đến việc phát hiện và trốn tránh các Sandbox Hơn nữa, tác giả cho

rằng các chiến lược phòng thủ hiện tại bắt đầu bằng các phương pháp phản ứng để

cho các hệ thống phân tích minh bạch hơn, sẽ dé bị phá vỡ bởi các kỹ thuật zero-day

fingerprinting hoặc các chiến thuật trốn tránh khác như trì hoãn Do đó, tác giả khuyênbạn nên theo dudi các chiến lược phòng thủ chung hơn với trọng tâm là các kỹ thuậtthăm dò đường đi có khả năng cản trở tất cả các chiến thuật lần tránh

Tác giả đưa ra một cuộc khảo sát về chủ đề của các kỹ thuật né tránh phân tíchchương trình độc hại và các phân loại được đề xuất cho cả hai chế độ phân tích thủcông và tự động Đối với phân tích động tự động, tác giả đã xác định hai loại trốntránh chính Phát hiện phụ thuộc và phát hiện không phụ thuộc Về mặt phòng ngự,

các phương pháp tiếp cận phản ứng, hệ thống phân tích minh bạch hơn, và một số nỗ

lực hướng tới các phương pháp tiếp cận chung hơn, cụ thé là thăm dò đường dẫn Ba

chiến lược phòng thủ đầu tiên hiệu quả khi chống lại các chiến thuật trốn tránh phụ

thuộc vào khả năng phát hiện và làm mắt khả năng sinh tồn của chúng trước các chiến

thuật không phụ thuộc vào phát hiện Đối với chiến thuật độc lập phát hiện, chúng ta

cần các phương pháp tiếp cận chung hơn như phương pháp thăm dò đường đi Một

câu hỏi khác mà tác giả đề xuất là phân tích khả năng của việc sử dụng các chiếnthuật trốn tránh phần mềm độc hại chống lại chính nó Đối với trường hợp chiến thuật

phụ thuộc vào khả năng phát hiện, chương trình độc hại có gắng không ngừng dé phát

hiện Sandbox và không thực hiện Cách tiếp cận như vậy nâng cao tầm quan trọng

cho việc đề ra các phương pháp trốn tránh mã độc của máy ảo trong tương lai

Chenglin Xie [12] và đồng sự đã đưa ra rằng Sandbox là một công cụ phân tích

động chương trình độc hại Tuy nhiên, các kỹ thuật phát hiện Sandbox ngày càng

được áp dụng dé phát triển phần mềm độc hai, vốn là mối đe doa đáng kẻ đối vớiphân tích Sandbox Các phần mềm độc hại này có thé phát hiện ra môi trường dangchạy và hiển thị các hành vi khác nhau trong các môi trường tương ứng Cho đến nay,

đã có một số nghiên cứu về các biện pháp đói phó, nhưng hầu hết chúng đều tập trungvào hệ điều hành Windows Các tính năng môi trường trong máy ảo Linux vẫn chưađược phát triển Bên cạnh đó, các máy ảo phô biến hiện có khó có thé chống lại các

kỹ thuật phát hiện Sandbox Theo bài báo, tác giả tập trung vào máy ảo Linux Tác

giả đề xuất các tính năng môi trường Linux từ sáu khía cạnh và triển khai một công

cụ hiệu quả dé thu thập các tính năng từ môi trường đang chạy dé cho biết sự khác

biệt giữa máy vật lý và máy ảo Quan trọng hơn, tác giả giới thiệu Env Faker, một

phương pháp hiệu quả dé củng có máy ảo Linux chống lại phần mềm độc hại nhạy

cảm với môi trường Phương pháp này sử dụng trình đánh dấu dé theo dõi quy trình

con và quy trình được đưa vào, bộ lọc để đánh chặn các hành vi phát hiện máy ảo vàtrình mô phỏng dé ngụy trang sự hao mòn và môi trường mạng Kết quả thử nghiệmchứng minh thêm rằng phương pháp của tác giả có hiệu quả chống lại các kỹ thuật

phát hiện cho máy ảo Linux.

Tác giả trình bày Env Faker, một phương pháp hiệu quả để củng cố Sandboxchống lại chương trình độc hại nhạy cảm với môi trường Không giống như công việctruyền thống, phương pháp của tác giả tập trung vào máy ảo Linux Dựa trên côngviệc trước đây và các đặc điểm của hệ điều hành Linux, tác giả phân tích hàng nghìnmẫu ELF của Linux Tác giả lọc ra các tính năng không phù hợp và trích xuất tính

năng mới của Linux và tóm tắt các tính năng này từ sáu khía cạnh để phát hiện máy

ảo Linux Với những điều này, tác giả sử dụng các tính năng này để triển khai một

phương pháp ngăn chương trình độc hại phát hiện các đặc điểm môi trường bằng trình

đánh đấu mục tiêu, bộ lọc tính năng và trình mô phỏng tính năng Để chứng minh

hiệu quả của các tính năng, tác giả triển khai một công cụ để hiền thị sự khác biệt của

máy vật lý mới và được sử dụng và sự khác biệt giữa máy vật lý và Sandbox Tác giả

sử dụng công cu dé phát hiện các tính năng trong máy Sandbox và sau khi chỉnh sửa.Thử nghiệm cho thay rằng phương pháp của tác giả có thể củng cố hiệu quả các máy

ảo Linux hiện có.

Alexander Chailytko [13] và đồng sự trình bày các môi trường ảo chuyên biệtđược sử dụng để tự động phân tích hoạt động của chương trình độc hại và ngăn nó

lây lan và làm hỏng dữ liệu cá nhân người dùng, các tài sản quan trọng của công ty,

v.v Hầu hết các chương trình độc hại hiện đại, ngay cả những phần mềm gây ra cáccuộc tấn công tương đối đơn giản, cố gắng trồn tránh các Sandbox bằng cách sử dung

các kỹ thuật phát hiện Sandbox khác nhau Tác giả tập trung vào phương pháp và kỹ

thuật được chương trình độc hai sử dụng dé phát hiện môi trường ảo và cung cấp các

mô tả kỹ thuật chỉ tiết về những gì có thể làm đề đánh bại chúng Tác giả giới thiệu

về máy ảo Cuckoo, nó là một chương trình hỗ trợ phân tích chương trình độc hại tựđộng Máy ảo Cuckoo dễ dàng triển khai và sử dụng hệ thống phân tích chương trình

độc hại kết nối nhiều tính năng, chẳng hạn như thu thập thông tin hành vi, thu thập

lưu lượng mạng, xử lý báo cáo và hơn thế nữa Gần như các công ty lớn trên thị

trường, chẳng hạn như VirusTotal và Malware, cũng như các dự án nội bộ liên quan

đến chống chương trình độc hại, đều sử dụng sản phẩm máy ảo Cuckoo làm chương,trình phụ trợ để thực hiện phân tích hành vi tự động Các lỗi cụ thể của máy ảo

Cuckoo, cho phép chương trình độc hại phát hiện môi trường máy ảo, được mô ta

trong bài báo của tác giả, cũng như các giải pháp khả thi cho những vấn đề này Khimôi trường máy ảo được phát hiện, một chương trình độc hại có thé dễ dàng che gidu

ý định độc hại của nó bằng cách giả mạo là một ứng dụng hợp pháp, trình bày thôngtin sai cho công cụ phân tích Vì nhiều nhà cung cấp và công ty gần như mù quángdựa vào kết quả được tạo ra trong môi trường ảo (đặc biệt là những môi trường sửdung máy ảo Cuckoo), thông tin sai lệch do chương trình độc hại đưa ra có thể rất

nghiêm trọng Trong khi nghiên cứu khác tồn tại, công việc của tác giả bao gồm nhiều

kỹ thuật khác nhau được chương trình độc hại được dùng để phát hiện môi trường ảo,cũng như các cách đề đánh bại chúng Điều này vô cùng quan trọng vì lĩnh vực tiền

ảo không ngừng phát triển Tác giả cũng quan tâm đến các lỗi máy ảo Cuckoo có thé

cho phép chương trình độc hại phát hiện ra môi trường ảo Biết cách đánh bại các kỹthuật trén tránh này sẽ giúp tác giả đạt được tỷ lệ giả lập thành công tăng đáng kể

trong môi trường ảo và cung cắp thông tin quan trong cho nhà phân tích

Nhiều phần mềm độc hai sử dụng các phương pháp và kỹ thuật khác nhau dé phathiện môi trường ảo Tuy nhiên, các kỹ thuật khác tiên tiến hơn và đòi hỏi nhiều nỗlực hơn Tùy thuộc vào kỹ thuật phát hiện, chương trình độc hại có thể hoạt độnghoàn toàn khác trong môi trường ảo với cách nó hoạt động trong hệ thống thực Một

số kỹ thuật được mô tả đã được biết đến nhiều, nhưng vẫn chưa được có định trong

một số lượng lớn các môi trường ảo Một số kỹ thuật có thể đã được phần mềm độchại cụ thể sử dụng gần đây (ví dụ: Locky, Qbot, Ramdo, Cridex, Matsnu, v.v.), đặcbiệt là đối với máy ảo Cuckoo Vấn đề tôi tệ nhất là một số họ phần mềm độc hạikhông chỉ trốn tránh quá trình mô phỏng mà còn tạo ra thông tin giả mao (ví dụ như

trong Locky và Ramdo) Vẫn còn rất nhiều chỗ dé cải thiện trong máy ảo, ngay cả

khi tỷ lệ mô phỏng Tác giả hy vọng rằng nghiên cứu của tác giả sẽ là động lực đề cảithiện sản phẩm máy ảo Cuckoo và các môi trường ảo khác Đồng thời, tác giả kỳvọng rằng nó sẽ dẫn đến các dự án liên quan đến phần mềm độc hại nội bộ tốt hơn.Minho Kim [14] và đồng sự trình bày xác định phân tích động các hoạt động độc

hại của hàng triệu chương trình độc hại Windows, các nhà cung cấp chương trình

chống lại mã độc đã sử dụng phương pháp phân tích dựa trên Sandbox Tuy nhiên,phân tích dựa trên Sandbox có một hạn chế quan trọng là các kỹ thuật chống phântích (tức là kỹ thuật Anti-Sandbox và Anti-VM) có thé dé dàng phát hiện máy phântích và trốn tránh việc phân tích Trong công việc nay, tác giả nghiên cứu về các kỹ

thuật chống phân tích được sử dụng trong chương trình độc hại thực tế Trước hết, để

đo lường bao nhiêu phần mềm độc hại của Windows thé hiện các kỹ thuật chống phântích, tác giả thu thập các kỹ thuật chống phân tích được sử dụng trong chương trìnhđộc hại Sau đó, tác giả thiết kế và triển khai một hệ thống tự động, có tên làEvDetector, phát hiện chương trình độc hại sử dụng các kỹ thuật chống phân tích

EvDetector tìm xem phần mềm độc hại có sử dụng kỹ thuật chống phân tích hay

không và theo dõi xem phần mềm độc hại có thay đổi đường dẫn thực thi hay không.

dựa trên kết quả của kỹ thuật chống phân tích Bằng cách sử dụng IDetector, tác giả

đã phân tích 763.985 chương trình độc hại trong thực tế xuất hiện từ năm 2017 đếnnăm 2020 Kết quả của tác giả cho thấy trung bình 16,21% chương trình độc hại sử

dụng kỹ thuật chống phân tích Ngoài ra, tác giả kiểm tra tính hiệu quả của kết quả

phân tích bằng cách so sánh EvDetector va phân tích tĩnh EvDetector phân tích tới

49.88% phần mềm độc hại được phát hiện bằng phân tích tĩnh không sử dụng các kỹthuật phân tích Ngoài ra, tác giả phân tích rằng chỉ có tới 3,75% chương trình độchại được đóng gói sử dụng các kỹ thuật chồng phân tích Cuối cùng, tác giả phân tích

xu hướng trốn tránh chương trình độc hại thông qua phân tích hành vi Công việc củatác giả ngụ ý rằng cộng đồng nghiên cứu cần phải nỗ lực nhiều hơn dé đánh bại các

kỹ thuật chống phân tích như vậy để tự động phân tích chương trình độc hại mới xuất

hiện và phản hồi với chúng

Trong công việc này, tác giả đã điều tra các kỹ thuật chống phân tích của chương

trình độc hại có hiệu quả trốn tránh phân tích của nhà cung cấp chương trình chống

vi rút và mức độ chương trình độc hại Windows phát hiện ra môi trường phân tích.

Để đạt được mục tiêu này, tác giả thiết kế và triển khai hệ thống phân tích,EvDetector, dé tìm xem chương trình độc hại có dùng các kỹ thuật chống phân tíchhay không và theo đõi xem chương trình độc hại có thay đổi đường dẫn thực thi của

nó thông qua kết quả chống phân tích hay không Bằng cách sử dụng EvDetector, tác

giả đã phân tích 763.385 phần mềm độc hại tự nhiên từ năm 2017 đến năm 2020

Theo những gì tác giả biết, đây là nghiên cứu phân tích động lớn nhất liên quan đếncác kỹ thuật chống phân tích Kết quả đánh giá của tác giả cho thay ít nhất 8% đến21% chương trình độc hại có thể phát hiện phân tích dựa trên Sandbox mỗi năm Đểkiểm tra tính hiệu quả của kết quả phân tích, tác giả so sánh kết quả phân tích tĩnh vàkết quả của EvDetector Phân tích thông qua EvDetector, hầu hết các mẫu được pháthiện bởi phân tích tĩnh đều không sử dụng kỹ thuật chống phân tích Tác giả cũngphân tích các mẫu sử dụng chất bảo vệ thương mại, cung cấp nhiều kỹ thuật chốngphân tích Kết quả đánh giá của tác giả chứng minh rằng hau hết phần mềm độc haiđược đóng gói không phát hiện ra Sandbox Cuối cùng, tác giả đã phân tích xu hướng

phần mềm độc hại sử dụng các kỹ thuật chống phân tích thông qua phân tích gia đình

và phân tích hành vi Phân tích của tác giả ngụ ý rằng cộng đồng nghiên cứu cần phải

nỗ lực nhiều hơn để đánh bại các kỹ thuật chống phân tích như vậy đề tự động phân

tích phần mềm độc hại mới nồi và phản ứng với chúng

dễ dàng bị xáo trộn, tác giả cũng trình bày các hành vi chữ ký được trích xuất động,

có được bằng cách chạy chương trình độc hại trong một môi trường riêng biệt được

gọi là máy ảo Tuy nhiên, một số chương trình độc hại có thé dùng tính năng pháthiện máy ảo dé phát hiện rằng chúng chạy trong môi trường như vậy và do đó tránh

thê hiện hành vi độc hại của chúng Để chồng lại việc phát hiện máy ảo, tác giả trình

bày việc thực thi đồng thời có thể khám phá một số đường dẫn của một tệp nhị phân.Tác giả kết luận bằng cách chỉ ra cách các chữ ký không rõ ràng va JIT có thé được

sử dụng để cản trở việc thực thi concolic

Bài báo này trình bày các kỹ thuật khác nhau dé thực hiện phát hiện phần mềmđộc hại dựa trên các loại chữ ký khác nhau: Chữ ký cú pháp bằng phân tích tĩnh, vàcác hành vi chữ ký bằng cách phân tích động và đồng thời Mỗi kỹ thuật được trìnhbày với một ví dụ đơn giản và một ví dụ về cách chồng lại nó dựa trên những hạn chếcủa nó Các kỹ thuật được trình bày theo thứ tự phức tạp tăng dan, bởi thực tế là mỗi

kỹ thuật đều có khả năng chống lại các kỹ thuật cản trở kỹ thuật trước đó

So khớp mẫu cú pháp bị cản trở bởi việc đóng gói và làm xáo trộn.

Chương trình độc hại được đóng gói và xáo trộn có thé được phân tích bằng cách

thực thi động trong máy ảo.

Việc phát hiện máy ảo có thể được chống lại bằng cách thực thi đồng thời

Việc thực thi theo concolic có thể được ngăn chặn khỏi việc liên kết các nhánh

thực thi bằng các chữ ký không rõ ràng và biên dịch JIT

Trên thực tế, ngay cả những kỹ thuật đơn giản như phát hiện tĩnh dựa trên chuỗi

cũng không nên bị loại bỏ YARA được các nhà nghiên cứu bảo mật dùng rộng rãi

và trên thực tế, người ta thường bổ sung các báo cáo về phần mềm độc hại mới với

các quy tắc YARA có thể phát hiện chương trình độc hại đó, vì YARA là một công

cụ phù hợp và được tối ưu hóa dé đối sánh mẫu mà chỉ phí thấp so với chỉ phí xây

dựng máy ảo hoặc công cụ thực thi nhị phân đồng thời Do đó, tất cả các công cụ và

kỹ thuật được trình bày điều hữu ích cho các nhà phân tích bảo mật trong các tìnhhuống khác nhau Vi dụ, các tệp nhị phân được phát hiện là đáng ngờ nhưng không

độc hại bằng cách phân tích tĩnh vì chúng sử dụng kỹ thuật đóng gói và các kỹ thuật

làm xáo trộn khác, có thể được phân tích trong máy ảo để mô tả hành vi của chúng.Nếu phần mềm độc hại trên máy ảo bị lỗi do trồn tránh máy ảo, nhà phân tích có thé

sử dụng phân tích đồng thời, v.v Chương trình độc hại nâng cao có thể yêu cầu nhiềucông cụ và thời gian phân tích đáng kể bởi một chuyên gia trước khi nó được phântích và hiểu kỹ lưỡng, điều này có thé dẫn đến việc tạo ra các quy tắc cú pháp và hành

vi dé tự động phát hiện các mẫu chương trình độc hại mới trong tương lai mà khongcần phải lặp lại phân tích

Chih-Hung Lin [16] và đồng sự trình bày việc phát hiện hiệu quả các cuộc tấncông lén lút của chương trình độc hại trong các tệp đáng ngờ là rất khó khăn vì quá

trình phân tích phần mềm độc hại động tốn nhiều thời gian Tác giả đưa ra phương

pháp dựa trên cơ học kiểm soát thời gian ảo để vượt qua thử thách Phương pháp được

đề xuất sử dụng một siêu giám sát Xen đã được sửa đồi, trong đó một nguồn đồng hồ

ảo được tạo ra theo một tỷ lệ tốc độ được xác định trước, sao cho các hệ thốngSandbox chạy trên siêu giám sát đã sửa đổi có thé được tăng tốc Do đó, nó không

sửa đôi hạt nhân hệ điều hành cũng như không chặn các lệnh gọi chức năng của hệ

thống, và do đó tương thích với các hệ điều hành khác nhau Hơn nữa, nó sử dụng

một biện pháp dựa trên entropy đề điều chỉnh thời gian thực thi của nó theo các đầuvào phần mềm độc hại khác nhau như một tiêu chí cham dứt sớm Kết quả của cácthử nghiệm được sử dụng dé xác minh rõ ràng tính hiệu quả của phương pháp được

đề xuất cho thấy rằng nó tăng tốc bộ đếm thời gian hệ thống và tăng đáng ké kíchthước bản ghi đã ghi lên đến 42% hoặc có được cùng kích thước bản ghi trong mộtkhoảng thời gian ngắn hơn so với các hộp cát thông thường Do đó, phương pháp dựatrên cơ học điều khién thời gian ảo được dé xuất phát hiện một cách hiệu quả các mãbat thường không đáng kê có thé bị bỏ qua bởi các kỹ thuật Sandbox thông thường

Trong bài báo này, tác giả đã dé xuất một phương pháp dựa trên Sandbox, đặc

biệt là sử dụng cơ chế kiểm soát thời gian ảo và đo lường thông tin trong lớp siêu

giám sát, dé kiểm tra hiệu quả các hành vi động của phần mềm mục tiêu trong môitrường ảo dé phát hiện chương trình độc hại Bằng cách sử dụng hộp cát tăng tốc, các

nha nghiên cứu an ninh mạng có thé dé dàng giải quyết tận gốc các vấn đề bảo mật

tiềm ẩn trong thời gian phân tích tối thiêu Phương pháp tăng tốc được đề xuất có ưu

điểm là triển khai dé dang trong các môi trường khác nhau mà không cần nỗ lực thựchiện lại dé sửa đổi nhân hệ điều hành Với phương pháp được đề xuất sử dụng giámsát bảo mật hypervisor được trang bị cơ chế VTC phụ thuộc vào chương trình độc hại

va đo lường thông tin phụ thuộc vào chương trình độc hại, có thé dé dàng bắt đượcnhiều chương trình độc hại tỉnh vi, khó phát hiện Điều này làm cho VTC Sandboxtrở thành một công cụ phát hiện và pháp y mạnh mẽ chống lại các cuộc tấn côngchương trình độc hại tiên tiền thuộc nhiều loại Nghiên cứu của tác giả cho thấy rằng

VTC Sandbox tăng các bản ghi đã ghi dé phân tích lên đến 42% hoặc có được cùng

kích thước bản ghi trong thời gian ngắn hon so với hộp cát thông thường Nghiên cứu

này góp phần làm giảm độ trễ của phân tích động, về phần mềm độc hại chống lại

các công nghệ trồn tránh dựa trên thời gian tinh vi, có thé được kết hợp với các kỹthuật hiện có để nghiên cứu thêm Hệ thống được đề xuất của tác giả cũng cung cấp

một phương pháp hiệu quả dé kiểm tra phần mềm Đối với các công nghệ hiện dai,

nó có thé dé dang được áp dụng trong môi trường đám mây dé cung cấp các Sandbox

đám mây với các dịch vụ kiểm tra đám mây hiệu quả

Qua các bài báo của các tác giả đều có ưu điểm hay trong phân tích chống lại

kỹ thuật né tránh máy ảo của mã độc Tuy nhiên vẫn còn một chút khuyết điểm khôngthể né tránh hết kỹ thuật né tránh máy ảo của mã độc, mất nhiều thời gian thiết lập vàchỉnh sửa máy ảo thủ công cho giống máy thật, dễ bỏ sót hành vi mã độc thông quaphân tích tĩnh Luận văn này chúng tôi đề xuất một phương pháp chống lại kỹ thuật

né tránh máy ảo của mã độc bằng phân tích động Cụ thể, chúng tôi phân tích môitrường máy ảo thông qua 6 mô đun, tạo ra bộ dữ liệu kiểm tra máy ảo Từ máy ảochúng tôi sẽ chỉnh sửa tự động máy ảo cho giống máy thật qua 6 mô đun Bên cạnh

đó sẽ xuất ra báo cáo sau khi tiến hành phân tích

Chương 3

HỆ THÓNG ĐÈ XUẤT

Sử dụng các mô hình đánh giá so sánh kết quả dé phân tích khả năng doc

ghi dữ liệu và xử lý ghỉ lại các hành động chuyển đổi của mã độc, dé phân

tích hành vi của mã độc Dong thời đưa ra phương pháp chóng lại kỹ thuật

né tránh máy ảo của mã độc Hệ thống dé xuất gầm có các mô dun: Mô đun

VM Creator, Mô đun VM Customizer, Checker.

3.1 Kiến trúc hệ thống đề xuất

Hầu hết các chương trình độc hại hiện nay, và ngay cả những chương

trình độc hại khác gây ra các cuộc tan công tương đối đơn giản, đang cé gắng

trén tránh các máy ảo bằng cách sử dụng các kỹ thuật phát hiện máy ảo Khi

một phần mềm độc hại phát hiện ra môi trường máy ảo, chương trình độc hại

có thể điều chỉnh hành vi của mình và chỉ thực hiện các hành vi không độc

hại, do đó tạo hiểu lầm sai về ban chất của nó và che giấu những gì nó thực

sự làm khi tiếp cận hệ thống của người dùng Điều này dẫn đến các rắc rối

nghiêm trọng liên quan đến bảo mật

Hệ thống đề xuất như mô hình

VM Creator

File and Timin; Hardware

Process Gee or Fingerprinting

3.2 Mô đun VM Creator

Sử dụng VM Creator đê tạo máy ảo tự động với hệ điều hành khách Chương trình

đề xuất gồm VMCloak [17] Nó đã được thiết kế riêng dé tạo máy ảo có thé sử dungtrực tiếp từ bên trong máy ảo Cuckoo [18], ngoài ra nó cũng được sử dụng cho cácnhu cầu khác vì có thé bỏ qua các thành phan của Cuckoo trong cầu hình

3.3 Mô đun VM Customizer

Mô hình đề xuất có 6 mô dun Registry Customizer, File and Process Customizer,

Hardware Fingerprinting Customizer, Memory Customizer, Timing Customizer, Communication Channel Customizer.

3.3.1 Registry Customizer

Registry là nơi lưu trữ các giá trị, các thông số của máy tính và người sử dung đã

thiết lập Bên cạnh đó thông số phần cứng và phần mềm được cài đặt cũng được lưu

trữ tại Registry Khi cài đặt một chương trình hay có một sự thay đổi từ phần mềmhay phần cứng, ngay lập tức nó sẽ cập nhật ngay vào cơ sở dữ liệu của Registry

REG SZ (value not set) REG_DWORD 0400000000 (0)

REG_DWORD 000000066 (102)

B\clasGUD — W6 (4d36€967-€325-11ce-bft-08002be10318}

| 28\CompatiblelDs REGMULT|SZ SCSNDsk SCSNRAW

onfgflags — REGDWORD 069ÚMU)()

REG SZ (05ef8M-3T6e1ie-badI-8W6efosf8f3) REG SZ

REGSZ k REG SZ VMware Virtual NVMe Disk REG.MULTLSZ | SCSNDIskNVMe WMuar Virtual NVMe Disk 1.0SCSNDisKNVMe_.

REGSZ BusNumber0, Teget a0, LOND REG SZ @uiskin%genmanufacturer (Standard dik dives)

REG SZ dự REG_DWORD 0000000 (224)

Hinh 7: Anti VM Registry

Trong mỗi giá trị khóa registry, có nhiều giá trị khóa có thé được coi là môi

trường ảo Có nhiều tính năng khác nhau có thê được giả định là môi trường ảo

Tuy nhiên, các tính năng khi dùng máy ảo được sử dụng theo cách khác nhau Ví

dụ khi thực thi một chương trình mã độc có kỹ thuật chống máy ảo trong môi trường

VMware, nó đọc giá trị FriendlyName VMware Virtual NVMe Disk trong các giá trị được lưu trữ trong registry và thực hiện phát hiện môi trường ảo thông qua khớp.chuỗi Mã độc sẽ so sánh kết quả và nhận diện môi trường máy ảo.

RegkeyValueExists = [vmware, VBOX, ];

For (int i=0, i<n, i++)

If (RegKeyValueExists (HKEY_LOCAL_MACHINE) 0)

Print results “this is virtual machine’,1 ;

else print_results “this isn’t virtual machine, 0”;

Code 1: Mẫu thử được sử dung đề kiểm tra Registry trong VMName ype Data

28) (Default) REG _SZ (value not set)

TẺÌAddress REG_DWORD (x80e8fff (2162753535)

“ĐỀCapabiiies REG_DWORD (50000006) 224)

28)Cass6UD REG SZ (4d36e867-e325-11ce-bfcI-08002beT0318)

3È)CompaibleDs REGMULTLSZ $CSNDIkSCSNRAW

3) ConfigFlags REG_DWORD 00000000 (0)

28) Container REG SZ (00000000-0000-0000ffi-ffffffff

8) DeviceDese REGSZ @diskinf Sedisk_ devdesc%Disk dive

Driver REG.SZ 57-£325-11ce-bfc1-08002be10318) 0001

2) FriendlyName REG SZ 'NVMe INTEL SSDPEKNW5I268H

28) Hardware REG.MULTLSZ | SCSNDiskNVMe _INTEL_SSDPEKNWSTHPSI SCS.

28Locationinformation REG SZ BUSNUMBET Trợ

2ÌMg REG SZ @diskinf, egenmanufacturer%(Standard disk di.

absence REG SZ disk

Hinh 8: Anti VM Registry Customizer

CreateVM(VM) ¿

Modi £yVM (Run) z

8Virtual% setextradata "VM" "HKEY_CLASSES_ROOT"

$Virtual$ setextradata "VM" "HKEY CURRENT_USER"

§Virtual% setextradata "VM" "HKEY_LOCAL_MACHINE"

Code 2: Code được sử dụng dé chỉnh stra Registry may ảo

Dé thực hiện kỹ thuật chống máy áo ta cần sửa đồi giá trị trong registry cho

giống máy thật Thay đồi giá trị này sẽ chống lại tính năng Anti VM của mã độc

3.3.2 File and Process Customizer

Môi trường hệ điều hành sẽ có tập tin (ñle) hệ thống, nó dựa vào cấu trúc để

phân bố phù hợp nhầm giám sát các tập tin và phân vùng cụ thể Nó còn được gọi

là tập tin hệ thống, là một thành phần không thể thiếu trong hệ điều hành Mỗi hệ

điều hành sẽ có các bố trí và quản lý tập tin riêng Và có những tập tin không thểthiếu cho hệ thống chạy

Process (tiến trình) là một chương trình đang thực thi chạy trong hệ thống.

Giống như tập tin hệ thống, hệ điều hành luôn có những tiến trình bắt buộc phải

chạy Các tiến trình có thể chạy ngầm Một chương trình có thé có nhiều tiến trìnhchạy hoặc một tiến trình chạy độc lập

Một máy ảo được ảo hóa thường chứa một số tệp nhất định và có một số process

dịch vụ nhất định mà không có trên các máy vật lý

Đề máy ảo được hoạt hoạt động thuận lợi hơn, nhiều môi trường ảo hóa sẽ có một sốquy trình nhất định đang chạy thường không được tìm thấy trên các máy vật lý Ngoài

ra các môi trường ảo hóa thường sẽ có một số dịch vụ nhất định mà không có trên cácmáy vật lý Điều này có thé kiểm tra thông qua lệnh “sc query” hoặc “wmic service

list”.

Hinh 9: Anti VM File and Process

p.exe, vmtoolsd.exe, VBoxService.exe, ];

'e.sys, vmmemctl.sys, VBoxMouse.sys, VBoxVideo sys};

For (int

If (process == 0 || File ==0))

print_results “th else print_results “this isn

Code 3: Mẫu thử được sử dụng để kiểm tra File and Process trong VM

CreateVM(VM) ;

Modi fyVM (Run) ¢

®Virtual’ setextradata "VM" lesystem"

ual’ setextradata "VM" "Process"

§Virtualš Modify "VM" " Filesystem "

8Virtualt Modify "VM" " Process "

Code 4: Code được sử dung đề chỉnh sửa File and Process trong VMMôi trường Windows được ảo hóa cũng sẽ thường chứa một số tệp nhất định, sựhiện diện của chúng có thé là dau hiệu của một máy ảo

Dé vượt qua kỹ thuật này cần gỡ hết những công cụ liên quan Ngoài ra thay đồi

đường dẫn của các tập tin sửa cho giống máy thật, nhằm giúp né tránh kỹ thuật

chống máy ảo của mã độc

3.3.3 Hardware Fingerprinting Customizer

Phan cứng chứa nhiều thông tin khác nhau như kiểu máy tên và số sê-ri Vì hệ

điều hành khách sử dụng phần cứng ảo, các tính năng khác với môi trường hệ điều

hành chủ sẽ xuất hiện Mã độc sẽ thực hiện và phát hiện bằng cách sử dụng thông

tin tên kiểu 6 đĩa Mô hình 6 đĩa tên của máy ảo sử dụng để phát hiện các môi

Hình 10: VM Hardware Fingerprinting

Một giá trị trong máy ảo được chương trình mã độc phát hiện và kiểm tra môitrường ảo bằng 6 đĩa tên mô hình, giá trị này, khớp chuỗi với VMware từ tên kiểu

ô đĩa

szAdapterName = _T("VMNare", “VBox”, )

for (int i=0; i<n; itt)

if (szAdapterName == 0)

print_results “this is virtual machine”;

else print_results “this isn’t virtual machine”;

Code 5: Mẫu thử được sử dụng đề kiểm tra Hardware Fingerprinting

Có thể bỏ qua kỹ thuật chống máy ảo bằng cách sửa đổi dữ bộ nhớ tronggiá trị đó hoặc bằng cách sửa đồi lệnh thành một giá trị khác

Hình 11: VM Hardware Fingerprinting Customizer 3.3.4 Memory Customizer

Memory là một bộ nhớ (firmware), nó chứa các thông tin của nhà san xuất, khi

hệ thống khởi động lên, hệ thống sẽ truy cập vào bộ nhớ để xác định thông tin của

nhà sản xuất thiết bị Ngoài ra bên trong bộ nhớ này còn chứa phần mềm nó được sửdụng để kiểm soát các thiết bị Mỗi loại thiết bị thường sẽ chứa một bộ nhớ khácnhau, đối với máy tinh sẽ gọi là BIOS hoặc UEFI Các nhà sản xuất có thé cập nhật

bộ nhớ dé thiết bị hoạt động hiệu qua hơn Ngoài ra còn các thông tin khác trên máy

tính chứa thông tin như firmware trong chuột và bàn phím Trong firmware thường

chứa các thông tin của nha sản xuất, và thông tin phiên bản và số seri của thiết bi.Kiểm tra các chuỗi và vùng nhớ cụ thê là các cấu trúc firmware như SMBIOS và

ACPI sau đó tìm và đọc thông tin Kỹ thuật mã độc phát hiện môi trường máy ảo

thông qua memory, nó sẽ kiểm tra và so sánh một chuỗi phù hợp với quy trình từthông tin bản phần Firmware được sử dụng API GetSystemFirmwareTable