Khóa luận tốt nghiệp An toàn thông tin: Nghiên cứu phương pháp phát hiện và ngăn chặn mã độc mã hóa tống tiền bằng phương pháp chọn lọc và chiến thuật giăng bẫy

Một hệ thống phát hiện ransomware mạnh mẽ có thể giảm thiểu những rủi ro này bằng cách ngăn chặn các cuộc tấn công trước khi chúng gây ra tác hại đáng kể... Dù có sự chuyển đổi về kỹ thu

ĐẠI HỌC QUỐC GIA HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THONG TIN

KHOA MẠNG MAY TÍNH VÀ TRUYEN THONG

TRƯƠNG DINH TRONG THANH - 20520766

TRAN THUY ANH - 20521085

GIANG BAY

A STUDY ON RANSOMWARE DETECTION AND

PREVENTION USING SELECTIVE METHOD AND CYBER

DECEPTION STRATEGY

CU NHAN NGANH AN TOAN THONG TIN

GIẢNG VIÊN HƯỚNG DAN:

ThS Nguyễn Duy ThS Nguyễn Công Danh

TP.Hồ Chí Minh - 2024

LỜI CẢM ƠN

Lời đầu tiên, nhóm xin gửi lời cảm ơn chân thành đến các quý thầy cô trường Đại học Công nghệ Thông tin - DHQG TP.HCM, đặc biệt là các thầy cô khoa

Mạng máy tính và Truyền thông, các thầy cô thuộc bộ môn An toàn Thông tin

đã tạo điều kiện học tập và nghiên cứu giúp chúng tôi trau dồi kiến thức chuyên môn và kỹ năng mềm là hành trang sau này của mình.

Trong quá trình nghiên cứu và hoàn thành khóa luận, nhóm đã nhận được sự

định hướng, giúp đỡ, các ý kiến đóng góp quý báu và những lời động viên của

các giáo viên hướng dẫn và giáo viên bộ môn Nhóm xin bày tỏ lời cảm ơn tới

thầy Nguyễn Duy, thầy Nguyễn Công Danh đã tận tình trực tiếp hướng dẫn,

giúp đỡ trong quá trình nghiên cứu.

Mặc dù đã cố gắng và nỗ lực hết mình, nhưng nhóm nhận thức được nghiên cứu còn thiếu sót do trình độ và kiến thức còn hạn chế, nhưng chúng tôi rất

mong nhận được những góp ý từ quý Thầy /Cô để bài nghiên cứu này hoàn thiện

hơn.

Nhóm xin gửi lời cảm ơn đến gia đình và bạn bè đã động viên, đóng góp ý

kiến trong quá trình làm khóa luận.

Cuối cùng, nhóm kính chúc quý Thầy/Cô có thật nhiều sức khỏe, hạnh phúc

bên gia đình và sự nghiệp ngày càng phát triển

Xin chân thành cảm ơn.

Trương Đình Trọng Thanh Trần Thúy Anh

CHƯƠNG 1 TONG QUAN 3

11 Giới thiéu van dé 2 v2 3

1.2 Tính ứng dụng Ặ QC 000000000000 000 5

1.4 Giới thiệu những nghiên cứu liên quan 7

1.4.1 Trình phát hiện mã độc 7 1.4.2 Honeypot co 11

1.5 Mục tiêu, đối tượng, và phạm vi nghiên cứu 13

1.5.1 Mục tiêu nghiên cứu 0000 13

15.2 Đối tượng nghién cứu 13

15.3 Phạm vi nghiên đỨU co 14

1.6 Cấu trúc khóa luận tốt nghiệp 14

CHƯƠNG 2 CƠ SỞ LÝ THUYET 15

2.1 Mã độc tống tiền co 15

2.1.2 Một số loại phần mềm ransomware 19 2.1.3 Mục tiêu tấn cong 0 200220008 24

2.1.4 Cách thức hoạt động claransomware 26

215 Giai đoạn thựcthi 0 000004

2.2 Phương pháp phát hiện mã độc

2.21 Phương pháp phân tích tĩính

2.2.2 Phương pháp phân tích động

2.2.3 Phương pháp kết hợp

2.3 Mô hình Honeypot 00.0000 2.3.1 Phanloai 2.2 0.000000 Q Q Q ee 2.3.2 Cách thức hoat động 0

CHƯƠNG 3 MO HÌNH PHÁT HIEN MA DOC VA PHONG THU 3.1 Tổng quan mô hình đề xuất

3.2 Mô hình phát hiện So 3.2.1 Viruslotal c Q Q 0 00002 ee 3.2.2 Kaspersky LH và kg va 3.2.3 Kết hợp giữa VirusTotal va Kaspersky

3.3 Mô hình HoneypotE sa 3.3.1 Tranh chấp tài nguyên

3.3.2 Phong thủ mục tiêu di chuyển

-3.3.3 Honeyfile 2.222000 000004 3.3.4 Các giai đoạn tràn ngập dữ liệu chống lai ransomware .

3.3.5 Các chiến lược tràn ngập dữ liệu

-CHƯƠNG 4 THÍ NGHIỆM VÀ ĐÁNH GIÁ 4.1 Thiết lập thinghiém

41.1 Tập dữ lệu ee en 4.1.2 Trinh phát hiện mã độc

413 HoneypofE cu eee 4.1.4 Thực nghệm hệ thống tổng quát

4.2 Kết quả thí nghiệm QC

Al

41 43

43 45

46 49 49 50

53

60

CHƯƠNG 5 KET LUẬN 80

5.1 Kétluan ee 80

5.3 Hướng phat trien 2 ee 81

TAI LIEU THAM KHAO 83

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

SSL Secure Sockets Layer

HTTP Hypertext Transfer Protocol

IDS Intrusion Detection System RDP Remote Desktop Protocol C2 Command and Control

IP Internet Protocol

MTD Moving-target Defence CPU Central Processing Unit API Application programming interface

HTTPS Hypertext Transfer Protocol Secure

JSON JavaScript Object Notation EDR Endpoint Detection and Response

XDR Extended detection and response

ML Machine learning

DFaR Data flooding against Ransomware

CLI Command line interface

MD5 Message-Digest Algorithm SHA Secure Hashing Algorithm

CRC Cyclic Redundancy Check Algorithm

DANH MỤC CÁC HÌNH VE

Hình 2.1 Minh hoa đơn giản về Ransomware 15

Hình 2.2 Minh hoa về loại Locker Ransomware 20

Hình 2.3 Minh hoa WannaCry gửi yêu cầu chuộc tiền 21

Hình 2.5 Minh họa về Chimera 23

Hình 2.6 Minh họa về cách Honeypot vận hành 38

Hình 3.1 Mo hình tổng quát 41

Hình 32 Logo Viruslotal co 43 Hình 3.3 Cách sử dụng API VirusTotal 44

Hình 34 Logo Kaspersky so 45 Hình 35 Cách sử dung APIKaspersky - 46

Hình 3.6 Mô hình tổng quan của Lớp phát hiện 47

Hình 3.7 Ví dụ về Honeyfile được tạo từ Shadow 52

Hình 3.8 Ví dụ về Honeyfile được tạo từ Ramdom 52

Hình 3.9 Luôồng hoạt động giữa các giai đoạn Phát hiện, Giảm thiểu, Phụchồi Q Q Q Q Q Q Q Q ee 53 Hình 3.10 Minh họa giai đoạn giảm thiểu tác động của ransomware 57

Hình 3.11 Random Flooding 60

Hình 3.12 On the Fly Snapshooting 61

Hình 3.13 On the Fly Flooding 0-.0 62 Hình 3.14 Shadow Snapshooting 63

Hình 3.15 Shadow Flooding 64

Hình 4.1 Mô hình thực nghiệm 66

Hình 4.2 Tệp cấu hình Ranflood 69

Hình 43 Báo cáo Kaspersky HQ ho 73

Hình 4.4

Hình 4.5

Hình 4.6

Hình 4.7

Hình 4.8

vil

Báo cáo VirusTotal 2 2 ee 74

Kết quả của GC/Ruyk/Vipasana 75

Kết quả của Lockbit 76

Kết quả của Phobos 76

Kết quả của WannaCry 77

DANH MUC CAC BANG BIEU

Bang 4.1 Danh sách Ransomware thử nghiệm

Bảng 4.2 Bang kết quả trung bình thời gian phát hiện ma độc

TÓM TẮT KHÓA LUẬN

Tính cắp thiết của đề tài nghiên cứu:

Các cuộc tấn công ransomware đã trở thành một trong những mối đe dọa an

ninh mạng nghiêm trọng nhất mà các cá nhân và tổ chức trên toàn cầu phải đối

mặt Các cuộc tấn công này mã hóa dữ liệu có giá trị và yêu cầu thanh toán tiền

chuộc cho các khóa giải mã, dẫn đến ton thất tài chính và hoạt động đáng kể Sự

phát triển nhanh chóng của các kỹ thuật ransomware, cùng với sự tỉnh vi ngàycàng tăng của chúng, đòi hỏi các biện pháp đối phó khẩn cấp và sáng tạo Tần

suất và tác động của các cuộc tấn công ransomware đang gia tăng Các sự cố

nghiêm trọng, chang hạn như các cuộc tấn công vào Colonial Pipeline [10], JBS Foods! và các tổ chức chăm sóc sức khỏe khác nhau, nêu bật hậu quả tàn khốc

của ransomware Những sự cố này không chỉ gây thiệt hại về tài chính mà còn

làm gián đoạn các dịch vụ quan trọng, gây rủi ro cho an toàn công cộng và an

ninh quốc gia Phần mềm tống tiền hiện đại đang trở nên tỉnh vi hơn, sử dụng

các phương pháp mã hóa tiên tiến, kỹ thuật xáo trộn và tận dụng các lỗ hồngzero-day Các biện pháp an ninh truyền thống thường không đủ để phát hiện vàgiảm thiểu các mối đe dọa này một cách hiệu quả Diều này đòi hỏi phải pháttriển các hệ thống phát hiện chuyên biệt có khả năng xác định sớm và chính xác

các hoạt động của ransomware Các cuộc tấn công ransomware gây ra thiệt hại

kinh tế đáng kể Các tổ chức phải đối mặt với chi phí liên quan đến thời gian

chết, khôi phục dữ liệu, thanh toán tiền chuộc và thiệt hại danh tiếng Đối với

các doanh nghiệp vừa và nhỏ, gánh nặng tài chính có thể đặc biệt tê liệt, có khả

năng dẫn đến việc đóng cửa doanh nghiệp Một hệ thống phát hiện ransomware

mạnh mẽ có thể giảm thiểu những rủi ro này bằng cách ngăn chặn các cuộc tấn

công trước khi chúng gây ra tác hại đáng kể

1https: //claroty.com/blog/jbs-attack-puts-food-and-beverage-cybersecurity-to-the-test

Trong những năm gần đây, các nhà nghiên cứu về bảo mật thông tin, cụ thể

là mã độc tống tiền đã không ngừng cải tiến hệ thống phát hiện mã độc và Honeypot Trong đó Honeypot là một cơ chế phòng thủ chủ động được thiết

kế để thu hút những kẻ tấn công và nghiên cứu hành vi của chúng mà khôngảnh hưởng đến tài sản như dữ liệu quan trọng Bang cách triển khai Honeypot,các nhà nghiên cứu an ninh mạng có thể thu thập thông tin tình báo có giá trị

về các chiến thuật, kỹ thuật và quy trình ransomware Thông tin này rất quan

trọng để phát triển các chiến lược phát hiện và phòng ngừa hiệu quả hơn, cóthể tạo ra các hệ thống năng động và thích ứng có thể phát hiện các biến thểransomware chưa biết trước đây Sau này kết hợp Honeypot với học máy có thểcải thiện khả năng của hệ thống để dự đoán và ứng phó với các mối đe dọa đangphát triển

Sự phát triển của một hệ thống phát hiện ransomware và Honeypot là một

nỗ lực nghiên cứu quan trong và cấp bách No giải quyết mối đe dọa ransomware

ngày càng tăng bằng cách cung cấp một phương tiện để phát hiện, phân tích

và giảm thiểu các cuộc tấn công hiệu quả hơn Nghiên cứu này không chỉ tăngcường các cơ chế phòng thủ an ninh mạng mà còn góp phần vào sự hiểu biết

rộng hơn về các hành vi ransomware, cuối cùng giúp bảo vệ đữ liệu có giá trị và

duy trì hoạt động liên tục khi đối mặt với mối đe dọa phổ biến và đang phát

.2

triền.

CHƯƠNG 1 TONG QUAN

Chương này giới thiệu về van đề va các nghiên cứu liên quan Đồng thời,

trong chương này chúng tôi cũng trình bày phạm vi và cau trúc của Khóa luận.

1.1 Giới thiệu vẫn đề

Hiện nay, công nghệ số đang được ứng dụng rộng rãi vào cuộc sống, mang lại

vô số tiện ích và hiệu quả vượt trội Không chỉ cải thiện chất lượng cuộc sống,

công nghệ số còn thay đổi thói quen làm việc và tạo ra nhiều giá trị mới Đóng

góp to lớn của công nghệ số giúp nâng cao hiệu quả trong các hoạt động san

xuất và kinh doanh, mở ra nhiều cơ hội phát triển và tăng trưởng kinh tế Qua

đó, nó không chỉ nâng tầm cuộc sống con người mà còn thúc đẩy sự tiến bộ của

toàn xã hội.

Tuy nhiên, công nghệ số cũng mang đến nhiều hệ quả tiêu cực đặc biệt là về

tính toàn vẹn và khả năng truy cập thông tin trong các van đề kinh doanh và

cá nhân Một trong những hậu quả nghiêm trọng là khi thông tin bị xâm phạm

hoặc không thể truy cập, chúng ta không thể sống, làm việc và sử dụng các dịch

vụ thiết yếu như y tế, điện, nước Hiện nay, chúng ta đang chứng kiến sự gia

tăng không ngừng của tội phạm mạng trên toàn thế giới với ransomware là hình

thức tấn công hàng đầu.

Ransomware là một loại tấn công có khả năng khóa và mã hóa dữ liệu của

nạn nhân, sau đó đưa ra yêu cầu đòi tiền chuộc để mở khóa hoặc giải mã dữ

liệu Phần lớn các yêu cầu đòi tiền chuộc được thực hiện dưới dạng tiền ảo,

chang hạn như Bitcoin!, Ethereum? , vì việc theo dõi giao dịch tiền điện tử

thttps: //bitcoin.org/en/choose-your-wallet

?https://ethereum.org/vi/

trở nên khó khăn Tiền điện tử mang lại sự ẩn danh và bảo mật cao, giúp kẻ tấn

công che giấu danh tính và nguồn gốc giao dịch Điều này làm cho việc truy vết

và bắt giữ tội phạm mạng trở nên phức tạp hơn nhiều, đồng thời cũng làm gia tăng sự hấp dẫn của tiền điện tử trong các hoạt động phi pháp như tấn công ransomware Nếu nạn nhân không trả tiền, họ sẽ đối mặt với nguy cơ mất toàn

bộ dữ liệu Với sự phụ thuộc ngày càng lớn vào công nghệ số, dữ liệu trở nên

quan trọng hơn bao giờ hết, đồng thời cũng tạo ra một môi trường kinh doanh

béo bở cho tội phạm ransomware Kể từ cuộc tấn công ransomware đầu tiên

xuất hiện vào năm 1989 khi một Trojan có tên là AIDS [30] được phát tán, loại

tội phạm này đã không ngừng phát triển và ngày càng tỉnh vi hơn, gây ra nhữngthách thức lớn cho cá nhân và tổ chức trên toàn thế giới

Crypto ransomware, một hình thức tấn công phổ biến hơn so với Locker

ransomware, đang ngày càng phát triển mạnh mẽ trong khi Locker ransomware

dần suy thoái [14] Dù có nhiều báo cáo nổi bật về các cuộc tấn công ransomware,

loại tấn công này vẫn tiếp tục tiến hóa, trở nên hiệu quả và tỉnh vi hơn Thay vì thực hiện các cuộc tấn công quy mô lớn và tự động, kẻ tấn công ngày nay nhắm

đến các mục tiêu cụ thể chẳng hạn như các công ty thương mại, viễn thông, tổ

chức tài chính/chăm sóc sức khỏe, cơ quan chính phủ và tiến hành các cuộc tấn công chính xác và kiên trì [28] Những mục tiêu này hấp dẫn vì họ xử lý dữ liệu

nhạy cảm hoặc quan trọng đối với cơ sở hạ tầng Mục đích của các cuộc tấn

công ransomware như vậy là muốn gây ra nhiều mối đe dọa nguy hiểm hơn vàthu được số tiền chuộc khổng 16 Một khi cơ sở hạ tầng này bị tấn công, toàn

bộ chuỗi công nghiệp có thể ngừng hoạt động hoặc bị tê liệt, gây ra hậu quả

nghiêm trọng Mặc dù không phải tất cả các doanh nghiệp bị ảnh hưởng bởi ransomware đều trả tiền chuộc nhưng thiệt hại do mất dữ liệu và số giờ cần thiết

để sửa chữa nhiễm ransomware có thể là đáng kể Những hậu quả này không chỉ

làm gián đoạn hoạt động kinh doanh mà còn ảnh hưởng đến uy tín và lòng tin

của khách hàng, tạo ra tổn thất tài chính và phi tài chính khó lường

Trong các cuộc tấn công có mục tiêu, kẻ tấn công sử dụng nhiều kỹ thuật khác

nhau để mã hóa dữ liệu của nan nhân Dù có sự chuyển đổi về kỹ thuật và chiếnthuật, Crypto ransomware vẫn mang một đặc điểm khác biệt giúp phân biệt nó

với các loại phần mềm độc hại khác: khả năng và mục tiêu mã hóa dữ liệu của

nạn nhân, chỉ cho phép kẻ tấn công có thể giải mã khi nhận được tiền chuộc.

Điều này làm tăng mức độ nguy hiểm và phức tạp của Crypto ransomware, tạo

ra thách thức lớn cho các cá nhân và tổ chức trong việc bảo vệ dữ liệu và đảm

bảo an ninh mạng.

Nhận dạng các cuộc tấn công ransomware ở giai đoạn đầu là rất quan trọng

trong việc bảo vệ các tài sản kỹ thuật số Thật không may, người dùng bình

thường không thể phát hiện được các ứng dụng đáng ngờ và đến lúc họ nhận ra

rằng mình bị tấn công thì đã quá muộn Trong khóa luận này, các đề xuất về

phát hiện mã hóa và phòng thủ trước sự tấn công mã hóa đã được xem xét để

nhấn mạnh tầm quan trọng của chúng trong việc chống lại phần mềm tống tiền

và khả năng trở thành giải phap tối ưu để loại bỏ mối de dọa Việc phát hiện và

chống lại Crypto ransomware từ lâu đã là tâm điểm của nghiên cứu học thuật.

1.2 Tính ứng dụng

Đề tài này đưa ra hệ thống phát hiện mã độc tống tiền kết hợp Honeypot sử

dụng honeyfile, áp dụng vào ngữ cảnh thực tế hơn Các thí nghiệm sẽ trải qua hai lớp tính năng trên Vì vậy kết quả sau khi thực nghiệm sẽ nêu lên tính ứng dụng của hệ thống, khác với các mô hình trước, chỉ dừng lại ở việc tạo honeyfile

nhằm đối phó các cuộc tấn công của ransomware, điều này khiến nghiên cứu

trên có giá trị thực tế đáng kể ngoài những đóng góp lý thuyết của nó

Triển khai hệ thống này trong môi trường kinh doanh, co quan chính phủ và

tổ chức tài chính có thể mang lại lợi ích đáng kể, bao gồm bảo vệ dữ liệu quantrọng và duy trì sự ổn định hoạt động Một trong những ứng dụng thực tế chínhcủa hệ thống này là trong các tổ chức tài chính và chăm sóc sức khỏe Các lĩnh

vực này thường xử lý khối lượng lớn dữ liệu nhạy cảm và là mục tiêu chính

cho các cuộc tấn công ransomware Bằng cách sử dụng các tệp giả mạo để phát

hiện và đánh lừa ransomware, hệ thống có thể nhanh chóng xác định và ngăn

chặn các cuộc tấn công trước khi chúng có thể gây ra thiệt hại thực sự Điều

này không chỉ bảo vệ dữ liệu khách hàng mà còn đảm bảo hệ thống hoạt động

liên tục, từ đó tránh được những tổn thất về tài chính và uy tín Hơn nữa, hệthống này có thể được áp dụng trong các cơ quan chính phủ, nơi dữ liệu nhạy

cảm liên quan đến an ninh quốc gia và các thông tin quan trọng khác phải được

bảo vệ tuyệt đối Với sự tiến bộ không ngừng của công nghệ và sự tỉnh vi ngày

càng tăng của các cuộc tấn công mạng, việc triển khai một hệ thống phát hiện

và ngăn chặn ransomware hiệu quả là rất quan trọng Hệ thống này không chỉ

giúp ngăn chặn các cuộc tấn công mà còn cung cấp những hiểu biết có giá trị

về hành vi ransomware, có thể cải thiện các biện pháp bảo mật trong tương lai

Các doanh nghiệp thương mại và công ty viễn thông cũng có thể hưởng lợi từ

hệ thống này để bảo vệ dữ liệu khách hàng và duy trì hoạt động kinh doanh liên

tục Ransomware không chỉ gây tổn thất tài chính mà còn ảnh hưởng nghiêmtrọng đến uy tín của công ty và niềm tin của khách hàng Triển khai hệ thốngphát hiện mã độc hiệu quả giúp doanh nghiệp giảm thiểu rủi ro và đảm bảo

niềm tin của khách hàng.

1.3 Những thách thức

Mặc dù có nhiều ưu điểm của hệ thống phát hiện ransomware kết hợp eypot với các tệp giả mạo, nhưng có một số thách thức liên quan đến việc triển

Hon-khai và bảo trì nó Thứ nhất, thách thức lớn nhất mà chúng tôi gặp phải là tạo

ra các tệp giả mạo đủ tỉnh vi để đánh lừa ransomware mà không ảnh hưởng đếnhiệu suất hệ thống Các honeyfile này phải được thiết kế để thu hút ransomware

trong khi không làm chậm hoặc làm gián đoạn hoạt động bình thường của hệ thống Bên cạnh đó, các honeyfile được tạo từ Honeypot chưa chắc sẽ đánh lạc

hướng thành công mục tiêu mã hóa dữ liệu dẫn đến khó khắn trong việc phục

hồi dữ liệu, điều này nhóm chúng tôi chưa thé dam bao rằng tài sản của ngườidùng có thực sự an toàn Điều này đòi hỏi sự cân bằng can thận giữa bảo vệ

và duy trì hiệu suất Thứ hai, việc cập nhật và bảo trì liên tục hệ thống này

đòi hỏi nỗ lực đáng kể Ransomware không ngừng phát triển và trở nên tỉnh vihơn Do đó, hệ thống phát hiện phải được cập nhật thường xuyên để đối phóvới các biến thể ransomware mới Điều này không chỉ đòi hỏi sự đầu tư về thời

gian, công nghệ mà còn phải có sự phối hợp chặt chẽ giữa các chuyên gia bảo

mật và các nhà phát triển hệ thống Thứ ba, nhận thức và kỹ năng của ngườidùng đặt ra một thách thức khác Mặc dù hệ thống có thể phát hiện và ngănchặn ransomware, người dùng cũng cần được đào tạo để nhận biết và tránh cáchành vi có thể dẫn đến nhiễm ransomware Nang cao nhận thức và kỹ năng củangười dùng là một phần quan trọng trong chiến lược bảo mật tổng thể, giúp

giảm thiểu nguy cơ bị tấn công Cuối cùng, chỉ phí triển khai và bảo trì hệ thống

là một yếu tố đáng kể Đối với các doanh nghiệp vừa và nhỏ, đầu tư vào một

hệ thống phát hiện ransomware phức tạp có thể là một gánh nặng tài chính Do

đó, các giải pháp linh hoạt, phù hợp với quy mô của từng doanh nghiệp là cần

thiết để đảm bảo tính khả thi và hiệu quả

Tóm lại, trong khi có nhiều thách thức trong việc triển khai hệ thống phát

hiện ransomware, khả năng ứng dụng thực tế cao của nó trong việc bảo vệ dit

liệu và duy trì sự ổn định hoạt động cho các tổ chức và doanh nghiệp là khôngthể phủ nhận Vượt qua những thách thức này đòi hỏi những nỗ lực phối hợp

và hợp tác chặt chẽ giữa các chuyên gia bảo mật, nhà phát triển hệ thống vàngười dùng cuối để tạo ra một môi trường kỹ thuật số an toàn và đáng tin cậy

1.4 Giới thiệu những nghiên cứu liên quan

1.4.1 Trinh phát hién ma độc

Các nhà nghiên cứu đã đề xuất nhiều giải pháp phát hiện khác nhau để

phát hiện các cuộc tan công ransomware đang diễn ra Khi các chương trình

ransomware đã được phát hiện, chúng có thể bị dừng và xóa Một số bài báo đã

sử dụng thông tin hệ thống, chang hạn như nhật ký tệp hoặc các thay đổi đối

với Windows Register, làm phương pháp phát hiện phần mềm tống tiền.

Monika và cộng sự [65] lưu ý rằng các mẫu ransomware có xu hướng thêm

và sửa đổi nhiều giá trị Windows registry Họ gợi ý rằng việc giám sát liên tụccác giá trị Windows registry, cùng với hoạt động của hệ thống tệp, có thể được

sử dụng để phát hiện các cuộc tấn công bằng ransomware Chen và Bridges [9]phân tích hệ thống nhật ký tệp để phát hiện hoạt động của ransomware Diều

này được thực hiện bằng cách trích xuất các tính năng khác nhau từ nhật ký

tệp có liên quan đến hoạt động của phần mềm độc hại Cuối cùng, họ phát hiện

ra rằng phần mềm độc hại (bao gồm cả ransomware) có thể được phát hiện một

cách hiệu quả bằng cách sử dụng phương pháp của họ, ngay cả khi nhật ký chứa hầu hết các sự kiện lành tính và giải pháp của họ có khả năng phục hồi đa hình.

Ransomware thường hiển thị thông báo tiền chuộc trên máy tính của ngườidùng để nhận khoản thanh toán Một số nhà nghiên cứu đã sử dụng phân tíchtĩnh và/hoặc động để phát hiện sự hiện diện của ghi chú đó nhằm xác định xem

liệu một cuộc tấn công ransomware có đang diễn ra hay không Groenewegen

và cộng sự [29] đã thực hiện phân tích hành vi tinh và động để xác định cácđặc điểm của chủng ransomware NEFILIM nhắm vào các máy Windows Họ tìm

thay rằng nếu mau NEFILIM được thực thi với đặc quyền quan trị, thông báo đòi tiền chuộc đi kèm sẽ được ghi vào thư mục gốc của máy (C:/); nếu không, nó

sẽ được ghi vào thư mục ”AppData” của người dùng và tệp ghi chú ransomware

luôn được đặt tên là “NEFILIM-DECRYPT.txt” Alzahrani và cộng sự (2018)[3] đề xuất RanDroid, một khuôn khổ để phát hiện phần mềm ransomware được

nhúng trong các ứng dụng Android độc hại bằng cách tìm kiếm các ghi chú

tiền chuộc được hiển thị trong quá trình thực thi ứng dụng RanDroid đo lường

mức độ tương tự về cấu trúc giữa một tập hợp hình ảnh được thu thập từ ứng

dụng được kiểm tra và một tập hợp các hình ảnh đe dọa được thu thập từ các

biến thể ransomware đã biết Kharaz và cộng sự (2016) [37] đã thiết kế một hệ

thống có tên UNVEIL để phát hiện ransomware UNVEIL giám sát màn hình

của máy nạn nhân và chụp ảnh màn hình của màn hình trước và sau khi mẫu được thực thi Sau đó, loạt ảnh chụp màn hình này được phân tích và so sánh

với các phương pháp phân tích hình ảnh để xác định xem phần lớn màn hình

có thay đổi đáng kể giữa các lần chụp hay không

Scife và cộng sự (2016) [57] đã tính toán entropy của tệp bằng công thức của

Shannon và sử dụng nó làm một tính năng để phát hiện ransomware Mehnaz

và cộng sự (2018) [46] cũng sử dung entropy của Shannon làm thước đo để phát hiện ransomware Lee và cộng sự (2019) [9] đã áp dụng học máy để phân loại

các tệp bị nhiễm dựa trên phân tích entropy của tệp Điều này đo lường tính

"ngẫu nhiên" của một tập tin Các tệp được mã hóa và nén có entropy cao so

với các tệp văn bản gốc Do đó, việc tính toán entropy của tệp và so sánh giá trị

với các tính toán trước đó cho cùng một tệp có thể được sử dụng để xác định

xem tệp có bị nhiễm ransomware hay không.

Ransomware thường thay đổi phần mở rộng của bất kỳ tệp nào mà nó mã hóa.Ngoài entropy, cả Scife và cộng su.(2016)(57| và Mehnaz và cộng sự (2018) [46]

đã sử dụng các thay đổi về loại tệp làm tính năng để xác định sự hiện diện của

ransomware Hệ thống phát hiện được thiết kế bởi Ramesh và Menen (2020) [55]

giám sát các thay đổi, chang hạn như số lượng lớn tệp được tạo với cùng một

tiện ích mở rộng hoặc bất kỳ tệp nào có nhiều tiện ích mở rộng.

So với những thay đổi vô hại đối với tệp, chẳng hạn như sửa đổi các phần của

tệp hoặc thêm văn ban mới, nội dung của tệp được mã hóa bằng ransomware phải hoàn toàn khác với nội dung văn bản gốc Do đó, việc đo lường mức độ

giống nhau của hai phiên bản của cùng một tệp có thể được sử dụng để phát

hiện xem có tồn tại ransomware hay không Scife và cộng sự (2016)[57] đã do

mức độ tương tự giữa hai tệp bằng hàm băm sdhash, cho ra điểm tương tự từ 0

đến 100 mô tả độ tin cậy về độ giống nhau giữa hai tệp So sánh giữa các phiên

bản trước của tệp và phiên bản được mã hóa của tệp sẽ mang lại điểm gần bằng

0, vì văn bản mã hóa không thể phân biệt được với dữ liệu ngẫu nhiên Mehnaz

và cộng sự.(2018)[46] cũng sử dụng sdhash để thực hiện kiểm tra tính tương tự

giữa các phiên bản tệp nhằm xác định xem tệp có bị mã hóa bởi ransomware

hay không.

Ransomware thường thực hiện các thao tác đọc để đọc tệp người dùng màkhông có sự cho phép của người dùng No thực hiện các thao tác ghi để tạo bản

sao được mã hóa của tệp đích hoặc ghi đè lên tệp gốc Trong trường hợp tùy

chọn cũ, ransomware thực hiện các thao tác bổ sung để xóa các tệp gốc Baek

và cộng sự (2018) [8] đã phát triển một hệ thống phát hiện ransomware trong

SSD Hệ thống này tìm hiểu các đặc điểm hành vi của ransomware bằng cách

quan sát tiêu đề yêu cầu của hoạt động I/O mà nó thực hiện trên các khối dữ

liệu Natanzon và cộng sự (2018) [52] đã phát triển một hệ thống tạo ra xác suất

ransomware bằng cách so sánh hoạt động I/O gần đây với hoạt động I/O lịch sử; nếu xác suất ransomware vượt quá giá trị ngưỡng được chỉ định, hệ thống

sẽ thực hiện các hành động để giảm thiểu tác động của ransomware trong máy

chủ Hệ thống phát hiện được đề xuất bởi Kharaz và cộng sự (2016) [37] trích

xuất các tính năng từ các yêu cầu I/O trong quá trình thực thi mẫu, chang hạn

như loại yêu cầu (ví dụ: mở, đọc, ghi) Sau đó, những sự kiện này được so khớp

với một tập hợp các chữ ký mẫu truy cập I/O để làm bằng chứng cho thấy mẫu

đó thực chất là phần mềm tống tiền.

Ramesh và Menen (2020) [55] đã đề xuất một máy trạng thái hữu hạn (FSM)

với tổng số tám trạng thái Những thay đổi được thể hiện trong FSM bao gồm:những thay đổi về entropy của tệp, trạng thái lưu giữ, chuyển động bên (phần

mở rộng tệp được nhân đôi ví dụ: pdf.exe), tài nguyên hệ thống, Nếu FSM

chuyển sang một trong bốn trạng thái cuối cùng thì hệ thống được coi là đang

bị tấn công bằng ransomware Hạn chế chính của phương pháp này là không

có khả năng phát hiện phần mềm ransomware loại khóa và không có khả năng

phát hiện các mẫu phần mềm ransomware sử dụng các kỹ thuật giải nén gia

tăng và mã hóa phức tạp, chang hạn như NotPetya

1.4.2 Honeypot

Honeypot (hay còn được gọi là trình giăng bay) là một phương pháp bảo mật

dưới dạng phòng thủ [4] Đặc trưng của phương pháp này là một chiến lược an

ninh mạng được thiết kế để thu hút và bay các tác nhân độc hại No liên quan

đến việc thiết lập một hệ thống hoặc mạng bắt chước một mục tiêu hợp pháp,

dụ dỗ những kẻ tấn công tương tác với nó Hệ thống Honeypot này thu thập thông tin có giá trị về các phương pháp, công cụ và chiến thuật của kẻ tấn công,

cho phép các chuyên gia an ninh mạng phân tích và hiểu các mối đe dọa tiềm

an

Các công trình trước đây đã phan tích việc sử dung Honeypot để phát hiệnransomware (Al-rimy, Maarof, Shaid, 2018 [1] Kok, Abdullah, Jhanjhi, Supra-

maniam, 2019, Moore, 2016 [39]) Sự suy giảm đơn giản nhất của phương pháp

này nằm ở việc triển khai một hoặc nhiều nút Honeypot chứa các cấu hình dữ

liệu tương tự như các nút bị ransomware tấn công Sau đó, màn hình trên các

nút Honeypot có thể phát hiện bất kỳ thay đổi nào đối với các tệp tĩnh, bị cô

lập này và cảnh báo quản trị viên về sự hiện diện của phần mềm độc hại trong

mạng.

Các kỹ thuật tiên tiến hơn dựa vào việc sử dụng Honeypot trực tiếp trên

các nút thực tế Cốt lõi của các giải pháp này là tạo các thư mục Honeypot và

theo dõi chúng để thay đổi Mặc dù ý tưởng này có vẻ đầy hứa hẹn - về cơ bản,làm cho bất kỳ nút nào của mạng trở thành màn hình Honeypot có thể cho

ransomware - phân tích được thực hiện bởi Moore (2016) [47] về các kỹ thuật hiện có cho thấy một hạn chế mạnh mẽ đối với cách tiếp cận Vấn đề, ở đây,

là các giải pháp này dựa vào các tệp tĩnh luôn hiện diện trên ổ cứng của người

dùng Vì các tệp Honeypot có thể trộn lẫn với các tệp thực tế của người dùng,

một giải pháp thực hiện kỹ thuật này phải cân bằng giữa bề mặt bẫy có sẵn của

nó và trở ngại mà nó gây ra cho người dùng.

Về bản chất, nếu người ta muốn giám sát toàn bộ toàn bộ máy, cần có ít nhất

đó sẽ là một hạn chế mạnh mẽ về phạm vi của trình phát hiện, vì hầu hết các ransomware tấn công các vị trí đó chứa nội dung nhạy cẩm với người dùng.

Ý tưởng honeyfile là các tệp mồi nhử được thiết lập để ransomware tấn công.

Khi các tệp này bị tấn công, cuộc tấn công sẽ được phát hiện và dừng lại.

Honeyfile rất dễ thiết lập và yêu cầu bảo trì ít Tuy nhiên, không có gì đảm bảo rằng kẻ tấn công sẽ nhắm mục tiêu vào những honeyfile này, vì vậy kẻ tấn công

có thể mã hóa các tệp khác trong khi vẫn giữ nguyên các tệp honeyfile Moore

(2016) [47] Gomez-Hernandez và cộng sự (2018) [27] đã đề xuất R-Locker, một công cụ dành cho nền tảng Unix chứa “lớp bẫy” với một loạt tệp Honeypot Bất

kỳ quá trình hoặc ứng dụng nào truy cập vào lớp bãy đều bị phát hiện và dừng

lại Thật không may, R-Loeker chỉ bảo vệ một phần của hệ thống tệp hoàn chỉnh

và công cụ này có thể bị đánh bại bằng cách xóa tệp bẫy trung tâm Tương tự,Kharaz và cộng sự (2016) [37] đã thiết kế UNVEIL để hạn chế thiệt hại mà kẻtấn công có thể gây ra trước khi chúng bị phát hiện bằng honeyfiles UNVEIL

tạo ra một môi trường ảo nhằm thu hút những kẻ tấn công Sau đó, nó giám sát I/O hệ thống tệp của mình và phát hiện bất kỳ sự hiện diện nào của ransomware khóa màn hình.Shaukat và Ribeiro (2018) [59] đã đề xuất RansomWall, một hệ

thống phòng thủ nhiều lớp kết hợp các honeyfile để bảo vệ khỏi phần mềm

tống tiền tiền điện tử Khi Honeypot nghi ngờ một quy trình là độc hại, mọi

tệp đã sửa đổi sẽ được sao lưu cho đến khi nó được các lớp khác phân loại là

ransomware hoặc lành tính Khi thử nghiệm, RansomWall có tỷ lệ chính xác

98,25% và không tạo ra kết quả dương tính giả nào Một thách thức là một số mẫu ransomware có hoạt động hệ thống tệp hạn chế.

Do đó, các giải pháp Honeypot sử dung các vi trí và thư mục hiếm khi được

duyệt (và bị tấn công), do đó hạn chế bề mặt bay của chúng và hạn chế mạnh

mẽ khả năng phát hiện của chúng: theo lời của Moore (2016) [47] không có cách

nào để tác động đến phần mềm độc hại truy cập vào khu vực chứa các tệp được

giám sat’.

Dựa vào những kết quả nghiên cứu, ý tưởng Data Flooding chống lại

Ran-soware [12] được xây dựng với hệ thống Ranflood [13] và có thể được coi là một

cách giải thích mới về honeypot nhằm khắc phục những hạn chế của các phương

pháp tiếp cận hiện có Thay vì sử dụng các tệp tĩnh và phát sinh các hạn chế

bề mặt bãy liên quan, theo quan điểm của chúng tôi là áp dụng một cách tiếp

cận chủ động, nơi lớp phát hiện hoạt động bằng cách giám sát hoạt động của

các quy trình và bằng cách tạo ra ‘flooding’ các tệp honeyfile của Honeypot Từ những Honeyfile chúng tôi mong rằng những tệp đó sẽ hỗ trợ trong công tác

đẩy lùi sự tấn công của mã độc, từ đó kéo dài thời gian tương tác và kịp thời

áp dụng các biện pháp xử lý tấn công.

1.5 Mục tiêu, đối tượng, và phạm vi nghiên cứu

1.5.1 Mục tiêu nghiên cứu

Kêt hợp trình phát hiện mã độc tống tiền bằng VirusTotal với Kaspersky kết

hợp Honeypot mang tên Ranflood [13] tạo tệp giả nhằm tương tác với mã độc,

có thể chạy được trên môi trường thực tế

1.5.2 Đối tượng nghiên cứu

Đối tượng nghiên cứu:

e Mã độc tống tiền

e Trình phát hiện mã độc dựa vào VirusTotal và kaspersky

e Honeypot dựa vào honeyfile

e Các phương pháp đánh giá kết quả.

1.5.3 Pham vi nghién cứu

Ap dung VirusTotal với Kaspersky vào công cuộc truy quét mã độc xâm nhập

vào người dùng, đồng thời sử dụng chương trình giăng gẫy Ranflood cung cấp các tài nguyên honeyfile dé truy cập, một khi được truy cập, sẽ phơi bày kẻ tấn

công và có thể làm chậm nó Qua đó đánh giá mức độ phát hiện và khôi phục

hậu tấn công, và được khởi chạy qua môi trường máy ảo.

1.6 Cau trúc khóa luận tốt nghiệp

Chúng tôi xin trình bày nội dung của Luận án theo cấu trúc như sau:

e Chương 1: Giới thiệu tổng quan về đề tài của Khóa luận và những nghiên

cứu liên quan.

e Chương 2: Trình bay cơ sở lý thuyết và kiến thức nền tang liên quan đến

đề tài.

e Chương 3: Trinh bày mô hình phát hiện và Honeypot tao honeyfile.

e Chương 4: Trình bày thực nghiệm và đánh giá.

e Chương 5: Kết luận và hướng phát triển của đề tài

CHƯƠNG 2 CƠ SỞ LÝ THUYẾT

Chương này trình bày cơ sở lý thuyết của nghiên cứu: Bao gồm mã độc tống tiền, các kỹ thuật phân tích mã độc, mô hình phát hiện mã độc, và mô hình

một thông báo yêu cầu thanh toán để khôi phục quyền truy cập vào hệ thống bị

khóa hoặc mã hóa Ransomware hiệu quả biến máy tính thành con tin, giữ dit

liệu của nạn nhân trong tình trạng không thể truy cập cho đến khi tiền chuộc

được trả Nói cách khác, đây là một dạng tống tiền số hóa.

2.1.1 Lịch sử phát triển

Cen và cộng sự (2024) [15] cho rằng cuộc tấn công ransomware đầu tiên được

biết đến được phát động vào năm 1989 bởi Joseph L.Popp - một nhà khoa học

tiên tiến Kể từ đó, ransomware đã trải qua ba giai đoạn tiến hóa riêng biệt:ban đầu, phát triển và bùng nổ

e Thời kỳ ban đầu (1989-2009): Giai đoạn từ 1989 đến 2009 là thời kỳ

nay mầm của các cuộc tấn công ransomware Trong thời kỳ này, các cuộc tấn công bằng ransomware vẫn còn ở giai đoạn sơ khai, số lượng các cuộc

tấn công bằng ransomware tăng chậm và các cuộc tấn công còn nhỏ, ít gây

hại Năm 2006 hoặc hơn, Gpcode - một loại ransomware sử dụng thuật toán

mã hóa bất đối xứng RSA với khóa dài hơn, được giới thiệu AK được tạo

ra dựa trên việc này khiến việc bẻ khóa ransomware trở nên khó khăn đáng

kể Ngoài ra, các biến thé locker ransomware đầu tiên xuất hiện vào năm

2007 Theo các nhà nghiên cứu tại Đại học Kennesaw State [25], các phiên

ban Locker ransomware đầu tiên này nhắm mục tiêu vào người dùng Nga bằng cách “khóa” máy trạm của nạn nhân và cấm họ thực hiện các hoạt

động cơ bản của máy tính như bàn phím và chuột máy tính.

e Thời kỳ phát triển (2010-2016): Kể từ năm 2010, các cuộc tấn công

ransomware ngày càng trở nên sôi động với các phiên bản mới xuất hiện hầu như là hàng năm Phạm vi tấn công đã mở rộng và phương pháp của chúng liên tục được cải tiến Vào tháng 9 năm 2013, phần mềm Cryptolocker xuất

hiện, sử dụng nhiều phương pháp lây nhiễm khác nhau như đính kèm tệp

Email, các trang web chứa lỗ hồng Vào năm 2014, nó đã sử dụng cơ sở

hạ tang botnet GameOver Zeus để lan truyền Sử dụng tiêu chuẩn mã hóa

nâng cao (AES - 256), các tệp được mã hóa bằng Cryptolocker, sử dụng

cặp khóa RSA 2048 bit để mã hóa và giải mã nên khiến việc giải mã trở

nên cực kỳ khó khăn Sự thành công của Cryptolocker đã dẫn đến sự xuất

hiện của phiên bản nâng cao của nó, CryptoWall, phiên bản này chủ yếu lây lan qua spam email Đến tháng 3 năm 2014, CrytoWall đã trở thành mối

đe dọa ransomware nối bật Đồng thời sự gia tăng của Bitcoin càng thúc

đẩy những kẻ tấn công ransomware theo đuổi mục tiêu an danh nâng cao,

dẫn đến nhu cầu thanh toán tiền chuộc Bitcoin ngày càng tăng Nam 2014 cũng chứng kiến sự xuất hiện lần đầu tiên của phần mềm độc hại nhắm mục tiêu vào thiết bị di động bằng các cuộc tấn công bằng mật mã, với

“Spyeng” nhấm mục tiêu vào các hệ thống Android và gửi tin nhắn đến mọi

người trong danh sách liên hệ của nạn nhân kèm theo liên kết tải phần mềm ransomware gây ra làn sóng tấn công ransomware nhắm mục tiêu Internet

di động và các thiết bị thông minh - một xu hướng vẫn tiếp tục cho đến ngày nay Ransomware vào hệ thống MAC cũng xuất hiện trong giai đoạn

này, chang hạn KeRanger (2016), “Patcher” hay còn gọi là “filezip” (2017)

Ngoài ra, một mô hình kinh doanh mới có tên Ransomware-as-a-Service

(RaaS) [60] đã xuất hiện vào năm 2015 cho phép các chi nhánh thực hiện các cuộc tấn công ransomware bằng cách sử dụng các công cụ ransomware

được phát triển trước RaaS đã góp phần đáng kể vào sự gia tăng các cuộc

tấn công bằng ransomware RaaS cho phép các tác nhân đe dọa có trình độ

kỹ thuật kém hơn truy cập vào các công cụ và cơ sở hạ tầng ransomware

được phát triển bởi các tác nhân tinh vi hơn No hoạt động theo mô hình chia

sẻ lợi nhuận, trong đó các nhà phát triển nhận một phần trăm khoản thanh

toán tiền chuộc RaaS hạ thấp rào cản gia nhập đối với tội phạm mạng, cho phép phân phối và thực hiện rộng rãi các cuộc tấn công ransomware Một

số ví dụ điển hình về RaaS bao gồm DarkSide, REvil, Dharma, LockBit

e Giai đoạn bùng nổ (2017 - nay): Sau năm 2017, các cuộc tấn công

ransomware bước vào thời kỳ xuất hiện nhiều hơn Trong giai đoạn này, các

cuộc tấn công ransomware đã phát triển thành bối cảnh công nghiệp hóavới các vai trò riêng biệt như nhà phát triển ransomware, kẻ tống tiền, nhà

cung cấp kênh phân phối và tác nhân giải mã cộng tác để thực hiện các

cuộc tấn công ransomware toàn diện Phương thức phân phối ransomware

đã chuyển từ khai thác lỗi của con người, chang hạn như tải xuống ngẫu

nhiên và Email lừa đảo sang tận dụng các lỗ hồng hệ thống Một trường

hợp minh họa là vụ tấn công WannaCry [45] vào năm 2017, khai thác lỗ

hổng ứng dụng SMBVI của Microsoft có tên EternalBlue, dẫn đến một đợt

bùng phát toàn cầu ảnh hưởng đến 230.000 máy tính trên 150 quốc gia, gây thiệt hại hơn 8 tỷ USD Ngoài ra những kẻ tấn công ransomware cũng đã

chuyển sang xâm phạm bộ điều khiển miền và phát tán payload của chúng

trên mạng, đây là một phương pháp cực kỳ nguy hiểm Một số kết quả thử nghiệm thâm nhập mạng đã chỉ ra rằng các thực thể bị định cấu hình sai

trong Active Directory có thể dé bị tấn công leo thang đặc quyền hoặc tấncông chiếm toàn bộ miền Cơ sở hạ tang ESXi và Hyper-V cũng dễ bị tổn

thương trước sự tấn công dit dội của ransomware.

Trong khoảng thời gian này, một loạt phần mềm ransomware đáng kể vàcác nhóm liên quan của chúng đã xuất hiện, làm nổi bật những diễn biến

đáng chú ý trong các lĩnh vực Chúng bao gồm LeatherLocker vào năm

2017, GandCrab vào năm 2018, LockerGoga, PureLocker va Zeppelin vào năm 2019 Năm 2020 chứng kiến sự ra đời của Phobos, Fonix, Conti, Cer-

ber, Egregor, WastedLocker và Maze trong khi LockBit 3.0 xuất hiện vào năm 2022 Không giống như ransomware truyền thống, ransomware di động LeakerLocker xuất hiện vào năm 2017, đã thực hiện một cách tiếp cận đặc

biệt khi nhắm mục tiêu vào các thiết bị Android Thay vì mã hóa các tập tin, LeakerLock hoạt động bằng cách nhúng chính nó vào các ứng dụng độc

hại trên Play Strore Nó hiển thị dữ liệu mẫu của người dùng và đưa ra lời

đe dọa chia sẻ toàn bộ nội dung của điện thoại với danh bạ của người dùng

nếu không trả tiền chuộc Phương pháp ép buộc độc đáo này đánh dấu sự

khác biệt so với các chiến thuật mã hóa tệp tiêu chuẩn được sử dụng bởi

phần mềm ransomware truyền thống.

Sự xuất hiện của GandCrab vào tháng 1 năm 2018 đã đánh dấu một bước ngoặc quan trọng trong miền ransomware Mặc dù lần lặp đầu tiên của nó thiếu các thuộc tính đột phá nhưng việc giới thiệu các lần lặp ngày càng phức tạp sau đó và sự kết hợp của nó với phần mềm độc hại “Vidar” đã cấp

cho “GandCrab” khả năng thực hiện cả mã hóa tệp và lọc dữ liệu Đáng chú ý, “GandCrab” duy trì sự hiện diện rất tích cực dưới dạng RaaS từ năm

2018 đến năm 2019 Nhóm Maze đã đưa ra khái niệm “tiền chuộc kép”, yêu

cầu hai khoản thanh toán - một để giải mã dit liệu và một để xóa thông tin

bị đánh cắp khỏi máy chủ của họ.

Hơn nữa, những kẻ tấn công ransomware đã chuyển trọng tâm sang một

chiến lược được gọi là “Big Game Hunting” (BGH) BGH ưu tiên các mục

tiêu có giá trị cao, chăng hạn như cơ sở hạ tầng quan trọng, các tổ chức vàcông ty quốc tế, nhằm mục đích tăng đáng kể số tiền hoàn trả Cách tiếp

cận này bao gồm các cuộc tấn công mạng chính xác, phức tạp, khối lượng thấp, lợi nhuận cao được thực hiện thông qua ransomware Những kẻ tan

công xâm nhập vào mạng, khám phá các chuyển động bên, lọc các tệp vàsau đó triển khai phần mềm ransomware Các ransomware đáng chú ý áp

dụng chiến lược BGH bao gồm BitPaymer và SamSam.

2.1.2 Một sô loạt phan mém ransomware

Dựa trên nghiên cứu Razaulla và cộng sự (2023) [56], ransomware được chia

thành các loại sau:

3TO HE BYPYC, 4 PeKNaMHbI MOAyNb, KOTOpbI Hbin ycTaHOBNeH Bann

Np TIICELIEHI4 Cavta Ansa B3pocnbix Cpok Aevctena Mogyna 30 Ane

Taputthhi: http:/ /www.dompornoyideo info/ support

Ecnv Bbi XOTHTe ¥AanhTb MOAYNb HeMeANeHHO, OTNpasbTe CMC C TeEKCTOM 38962939 Ha HOMep 5581 NonyyenHbin B

OTBETHOM CHC KOA BBE AMTe B nONe HE

Hinh 2.2: Vi du vé loại Locker Ransomware®

2.1.2.1 Locker Ransomware

Locker Ransomware là một loại ransomware sử dung các thủ tục đơn giản

hoặc phức tạp để khóa máy tính của người dùng, ngăn cẩn người dùng truy cập

vào hệ thống cho đến khi tiền chuộc được trả cho kẻ tấn công [9] Khi thiết bị

bị khóa, thông báo yêu cầu tiền chuộc sẽ hiển thị trên màn hình, chỉ sau khi

người dùng trả tiền chuộc, quyền truy cập vào thiết bị mới được khôi phục Một

ví dụ điển hình của loại này là WinLock Day là một trong những ransomware

khởi xướng cho phương pháp tấn công này WinLock như Hình 2.2 như trên

yêu cầu thanh toán tiền chuộc qua SMS với chi phí 10 USD để nhận mã bỏ

chặn, nhằm khôi phục quyền truy cập vào thiết bị Mặc dù số tiền chuộc tương đối nhỏ, nhưng WinLock đã mở ra một kỷ nguyên mới cho các cuộc tấn công

ransomware, tạo tiền đề cho sự phát triển của các loại ransomware phức tạp hơn

sau này.

?https://www.pemag.com/news/the-scariest-ransomware-from-child-porn-to-doj-warnings.

2.1.2.2 Crypto Ransomware

Ooops, your files have been encrypted!

What Happened to My Computer?

Your important files are encrypted.

Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted Maybe you are busy looking for a way to recover your files, but do not waste your time Nobody can recover your files without our decryption service.

Can I Recover My Files? I

12/15/2023 09:07:40 Sure We guarantee that you can recover all your files safely and easily But you have

not so enough time.

Time Left You can decrypt some of your files for free Try now by clicking <Decrypt>.

But if you want to decrypt all your files, you need to pay.

You only have 3 days to submit the payment After that the price will be doubled.

Also, if you don't pay in 7 days, you won't be able to recover your files forever.

We will have free events for users who are so poor that they couldn't pay in 6 months.

How Do I Pay?

Payment is accepted in Bitcoin only For more information, click <About bitcoin>.

Please check the current price of Bitcoin and buy some bitcoins For more information, click <How to buy bitcoins>.

And send the correct amount to the address specified in this window.

After your payment, click <Check Payment> Best time to check: 9:00am - 11:00am

12/19/2023 09:07:40

Time Left

io GIÁ

Hình 2.3: Minh họa WannaCry gửi yêu cầu chuộc tiền

Crypto Ransomware, hay còn gọi là ransomware mã hóa, là một dạng phần

mềm tống tiền được thiết kế để tìm kiếm và mã hóa dữ liệu người dùng mộtcách kín đáo [51] Sau khi mã hóa đữ liệu, nó yêu cầu tiền chuộc để cung cấp

khóa giải mã, nhằm khôi phục quyền truy cập vào các tệp bị khóa như Hình

2.3 là ví dụ cho mã độc WannaCry Thay vì mã hóa toàn bộ ổ cứng, Crypto

ransomware tìm kiếm và mã hóa các tệp có phần mở rộng cụ thể như pdf, doc,

và các loại tệp khác thường chứa thông tin cá nhân và có giá trị đối với người

dùng, bao gồm bản trình bày, hình ảnh, và văn bản Điều này nhắm vào các dit

liệu có tác động lớn nhất đến người dùng nếu chúng bị mất Crypto ransomware thường sử dụng mã hóa đối xứng vì tính hiệu quả của nó Tuy nhiên, một số loại cũng áp dụng các phương pháp mã hóa bất đối xứng hoặc kết hợp cả hai Ví dụ,

ransomware có thể sử dụng khóa đối xứng để mã hóa các tệp và sau đó sử dụng

khóa công khai để mã hóa khóa đối xứng đó Phương pháp này làm cho việc

giải mã trở nên phức tạp hơn nếu không có khóa riêng do kẻ tấn công nắm giữ.

Ransomware sử dụng nhiều kỹ thuật lừa đảo xã hội khác nhau để thuyết phục

nạn nhân trả tiền chuộc Kẻ tấn công mạo danh các quan chức thực thi pháp luật, tuyên bố rằng họ đã phát hiện hoạt động bất hợp pháp trên máy tính của

nạn nhân và yêu cầu trả tiền chuộc để tránh hình phạt Nếu người dùng không

thanh toán tiền chuộc, ransomware sẽ đe dọa sẽ công khai ảnh cá nhân và dữ

liệu nhạy cảm khác của nạn nhân lên Internet nếu không nhận được tiền chuộc.

2.1.2.8 Scareware

1B www.systemversion.com/?s 1=ï ptest1a8dsid=63640-2040ˆ 5250 _us

h

ZY WARNING!

YOUR COMPUTER MAY BE INFECTED:

System Detected (2) Potentially Malicious Viruses: Rootkit Sirefef Spy and

Trojan.FakeAV-Download Your Personal & Financial Information MAY NOT BE SAFE.

To Remove Viruses, Call Tech Support Online Now:

1(866) 627-4049

(High Priority Virus Removal Call Line)

‘Your IP Address: 216.37.72.238 | Generated on 03-11-2014 | Priority: Urgent

Hành 2.4: Minh hoa Scareware dẫn dụ người dùng cai đặi phần mém khác?

Scareware [41] là một loại phần mềm độc hai được thiết kế để lừa người dùng

máy tính nghĩ rằng họ có vấn đề bảo mật nghiêm trọng trên máy tính của mình, nhằm dụ họ mua hoặc cài đặt phần mềm giả mạo hoặc không cần thiết Không

giống như Crypto ransomware và Locker ransomware, đe dọa tiết lộ dữ liệu bí

#https:/ /sectigostore.com/blog/what-is-scareware-and-scareware-examples/

mật và cá nhân (như thông tin tài khoản khách hàng, hồ sơ sức khỏe, bí mật

thương mại và quyền riêng tư cá nhân) cho công chúng thay vì từ chối nạn nhân

truy cập vào nó Scareware có thể sử dụng quảng cáo bật lên để thao túng người

dùng tin rằng một số phần mềm nhất định phải được tải xuống như Hình 2.4,

do đó sử dụng các kỹ thuật cưỡng chế để tải xuống phần mềm độc hại, cách nàythường nhắm vào những người dùng ít kinh nghiệm hoặc không hiểu biết nhiều

về công nghệ và bảo mật, lợi dụng sự thiếu hiểu biết của họ để đạt được mục

tiêu Trong một cuộc tấn công scareware, kẻ tấn công đánh cắp dữ liệu nhạy cảm hoặc đặc quyền và đe dọa sẽ tiết lộ nó trừ khi trả tiền chuộc.

2.1.2.4 Leakware

You are victim of the Chimera® malware.

Maybe some programs no longer function properly!

Please transfer Bitcoins to the the following address to get

your unique key file.

Address:

Amount:

If you don't pay your private data, which include pictures and

videos will be published on the internet in relation on your

name.

Hình 2.5: Minh họa vé Chimerat

Con được gọi là Doxware, là một dang ransomware mới và mạnh mẽ có nguy

cơ công khai dữ liệu của người dùng trừ khi trả tiền chuộc|49] Thiệt hai gây

ra là không thể khắc phục được vì bất kỳ ai cũng có thể truy cập dữ liệu sau

khi nó được công khai Các ngân hàng và tổ chức xử lý thông tin bí mật hoặc

nhạy cảm đặc biệt có nguy cơ trở thành mục tiêu của kiểu tấn công này Mối

de dọa trên ban đầu xuất hiện vào cuối năm 2015 với Chimera ransomware [38].

*https://www.hornetsecurity.com

/en/security-informationen-en/leakware-ransomware-hybrid-attacks/

Day là một loại phần mềm độc hại mã hóa các tệp trên máy tính của nạn nhân,

khiến chúng không thể truy cập được cho đến khi trả tiền chuộc Nó thường lây

lan qua các email lừa đảo có chứa các tệp đính kèm hoặc liên kết độc hại có

vẻ là thông tin liên lạc hợp pháp từ các nguồn đáng tin cậy Sau khi cài đặt,

Chimera mã hóa các tệp bằng các thuật toán mã hóa mạnh, khiến chúng không

thể sử dụng được nếu không có khóa giải mã như Hình 2.5, mà những kẻ tấn

công tuyên bố cung cấp khi thanh toán tiền chuộc, thường được yêu cầu bằng

tiền điện tử như Bitcoin Điểm độc đáo của Chimera là mối đe dọa bổ sung của

nó để tiết lộ dữ liệu nhạy cảm trực tuyến nếu tiền chuộc không được trả, gây

thêm áp lực cho nạn nhân Chimera nhắm mục tiêu đến cả cá nhân và doanh

nghiệp, gây ra sự gián đoạn dang kể, đặc biệt là đối với các tổ chức phụ thuộc

nhiều vào dữ liệu của họ.

2.1.3 Mục tiêu tan công

2.1.9.1 Người dùng cá nhân

Người dùng cá nhân là một trong những mục tiêu phổ biến của các cuộc tấn

công ransomware [15] Những kẻ tấn công thường sử dụng các kỹ thuật xã hội

để đánh lừa người dùng cá nhân và truyền bá ransomware Điều này bao gồm

lừa đảo qua email, trong đó các tệp đính kèm hoặc liên kết độc hại được gửi qua

email để lôi kéo người dùng tải xuống phần mềm độc hại N6 cũng bao gồm các

kỹ thuật lừa đảo qua SMS (Smishing) và lừa đảo bằng giọng nói (Vishing), sử

dụng tin nhắn văn bản và cuộc gọi điện thoại để thu hút người dùng nhấp vào

các liên kết độc hại hoặc cung cấp thông tin cá nhân Hơn nữa, kẻ tấn công chủ

động tìm kiếm và khai thác các lỗ hổng trong phần mềm hoặc hệ điều hành,bao gồm lỗ hồng trình duyệt, lỗ hồng trong phần mềm văn phòng (như Word

và Excel) và lỗ hồng ở cấp hệ điều hành Các chiến thuật lừa đảo như ngụy

trang thành các bản cập nhật phần mềm hợp pháp hoặc gói các gói phần mềm

Trojanized cũng được sử dụng để lừa người dùng tải xuống

nghiệp, ép buộc tổ chức bằng cách đe dọa xóa hoặc tiết lộ dit liệu nhạy cảm

trừ khi trả tiền chuộc Ngoài ra, ransomware thường được sử dung để mã hóa

các tài liệu quan trọng được lưu trữ trên máy chủ tệp doanh nghiệp hoặc trong

kho dữ liệu dựa trên đám mây, khiến tổ chức không thể truy cập được Các

doanh nghiệp cũng phải lưu tâm đến mối đe dọa gây ra bởi các cuộc tấn công

kỹ thuật xã hội nhắm vào nhân viên của họ Điều này bao gồm các chiến dich

lừa đảo nhắm vào các cá nhân cụ thể (Spear Phishing), các cuộc tấn công tỉnh

vi nhắm vào các giám đốc điều hành cấp cao (Whaling) và triển khai chiến lược

các phương tiện truyền thông vật lý hoặc các đề nghị hấp dẫn làm môi nhử

(Baiting).

2.1.3.3 Cơ sở hạ tang quan trọng

Các cuộc tấn công ransomware có thể gây ra những nguy hiểm sâu sắc cho

cơ sở hạ tầng quan trọng, bao gồm phạm vi của lưới điện, hệ thống giao thông,

cơ sở hạ tầng chăm sóc sức khỏe và mạng lưới truyền thông [15] Các cuộc tấn công như vậy về bản chất có khả năng làm tê liệt các thành phần cơ sở hạ tầng

quan trọng, đỉnh điểm là sự gián đoạn đáng kể đối với các hoạt động xã hội

Các trường hợp bao gồm mã hóa dữ liệu thiết bị y tế, do đó cản trở việc chăm

sóc bệnh nhân hoặc lật đồ lưới điện, gây mất điện trên diện rộng

2.1.3.4 Nền tảng va dịch vu trực tuyến

Các nền tảng và dịch vụ trực tuyến đang ngày càng nổi lên như là mục tiêu

hấp dan cho những kẻ tấn công ransomware [15] Chúng bao gồm các nền tang

truyền thông xã hội, dịch vụ đám mây và các tổ chức tài chính — bao gồm ngânhàng, nền tảng giao dịch trực tuyến và trao đổi tiền điện tử — trong số nhữngnền tảng khác Các tác nhân ransomware có thể cố gắng tống tiền bằng cách

đe dọa xóa dữ liệu người dùng được lưu trữ trên các nền tảng truyền thông xã

hội hoặc vô hiệu hóa các dịch vụ dim mây, do đó can trở các doanh nghiệp truy cập dữ liệu quan trọng của họ được lưu trữ trên đấm mây.

2.1.4 Cách thức hoạt động của ransomware

Chương trình ransomware hoạt động bằng cách giành quyền truy cập vào máy tính hoặc thiết bị và sau khi giành được quyền truy cập thành công, nó sẽ khóa va mã hóa dữ liệu quan trọng được lưu trữ trên thiết bị No thường xảy ra

khi nạn nhân không biết bản thân đã tải xuống phần mềm độc hại thông qua

một số tệp đính kèm email lừa đảo hoặc URL từ bất kỳ nguồn không xác định

nào thường được phát triển bởi các tin tặc phi đạo đức cho mục đích bất chính

Có rất nhiều cách sử dụng để ransomware có thể truy cập vào máy tính Mộttrong những phương pháp phổ biến nhất là sử dụng thư lừa đảo, bao gồm tệp

đính kèm được gửi đến mục tiêu bằng một email có vẻ là tệp hợp pháp Sau

khi tải xuống và thực thi, kể tạo phần mềm độc hại có quyền truy cập vào máy tính của nạn nhân, đặc biệt nếu chúng có các kỹ năng kỹ thuật xã hội tích hợp

nhằm lừa các cá nhân cho phép sử dụng quyền quản trị viên truy cập Một số

phần mềm ransomware thù địch hơn là NotPetya khai thác các lỗ hổng bảo mật

đã biết trước đó để xâm nhập vào máy tính mà không cần phải đánh lừa ngườidùng Phần quan trọng nhất ở đây là các tệp không thể được giải mã cho đến

khi và trừ khi khóa giải mã là khóa thuật toán chỉ người tạo phần mềm độc hại

mới biết được sử dụng để giải mã các tệp Nạn nhân được cảnh báo rằng dữ liệucủa họ sẽ không thể truy cập được nữa và họ sẽ không thể giải mã dữ liệu đó

cho đến khi được trả được tiền chuộc, thường ở dạng bitcoin.

2.1.5 Giai đoạn thực thi

Hiểu được từng giai đoạn của cuộc tấn công ransomware có thể giúp xácđịnh những gì cần tìm và giảm thiểu tác động của cuộc tấn công Từ thời điểm

ransomware được đặt trên máy tính của nạn nhân cho đến xuất hiện cảnh báo

trên màn hình, một cuộc tấn công bằng ransomware sẽ tiến hành qua sáu giai đoạn Malik và cộng sự (2023) [45] đã mô tả mỗi giai đoạn của cuộc tấn công

ransomware:

2.1.5.1 Giai đoạn 1: Tim kiếm va lựa chọn mục tiêu

Xác định các mục tiêu tiềm năng: Các tác nhân đe dọa tham gia trinh sát

để xác định các tổ chức có nhiều khả năng mang lại lợi nhuận cao cho các hoạtđộng tống tiền của họ Họ đánh giá can thận các yếu tố như ngành, quy mô, sự

ổn định tài chính và giá trị dữ liệu mà các mục tiêu tiềm năng nắm giữ Các tổ

chức phụ thuộc nhiều vào cơ sở hạ tầng kỹ thuật số của họ có nhiều khả năng

trả tiền chuộc để lay lại quyền truy cập vào các hệ thống và dữ liệu quan trọng

2.1.5.2 Giai đoạn 2: Khai thác va lâu nhiễm

Để kẻ tấn công thực hiện thành công cuộc tấn công ransomware, một tệp có

chương trình ransomware độc hại phải được thực thi trên máy tính nạn nhân.

Kẻ tấn công có thể tạo ra các Email thuyết phục được thiết kế tỉ mỉ về hình

ảnh lẫn danh tiếng để đánh lừa người nhận nhấp vào liên kết độc hại hoặc mở

tệp đính kèm bị nhiễm.

2.1.5.8 Giai đoạn 3: Lâu lan va thực thi

Sau khi quá trình khai thác giai đoạn một hoàn tất, thường mất vài giây

phần mềm ransomware thực sự sẽ được chương trình chuyển tới thiết bị của nạn

nhân Tùy thuộc vào băng thông của mạng, quá trình này thường mất vài giây.

Hầu hết các tệp thực thi được gửi qua phương tiện mã hóa, thay vì SSL - một

lớp mã hóa tùy chính được thêm vào kết nối HTTP thông thường Chúng sẽ đi

qua mạng và giành quyền kiểm soát nhiều máy, máy chủ chủ hoặc thiết bị làm

tăng khả năng tìm kiếm và mã hóa thông tin có giá trị trong khi gây khó khăn cho ứng dụng phòng thủ trong việc ngăn chặn các cuộc tấn công

Vì ransomware sử dụng các phương pháp mã hóa mạnh nên việc khôi phục

tệp thực thi trở nên khó khăn hơn Hầu hết phần mềm độc hại Cryto đều có cơ chế tồn tại lâu dài Cơ chế duy trì ở đây có nghĩa là nếu máy nạn nhân được

khỏi động lại khi ransomware đang ở giữa quá trình mã hóa, ransomware sẽ tự động khởi động từ nơi nó dừng lại lần cuối và quá trình này tiếp tục cho đến khi toàn bộ hệ thống được mã hóa hoàn toàn.

2.1.5.4 Giai đoạn 4: Phá huy ban sao lưu

Ransomware nhắm mục tiêu các thư mục sao lưu của hệ thống và xóa chúng

sau khi ransomware được thực thi khiến nạn nhân không thể khôi phục dữ liệu

về dạng ban đầu với sự trợ giúp của các tệp sau lưu Đây là một đặc điểm chỉ

thấy ở dòng ransomware Mục đích đằng sau việc này là buộc nạn nhân phải

trả tiền chuộc để lấy lại dữ liệu đã mã hóa đó

2.1.5.5 Giai đoạn 5: Mã hóa tập tin

Khi ransomware xóa thành công các tệp sao lưu, tiếp theo nó sẽ trao đổi khóa

bảo mật với máy chủ Command and Control (C2), máy chủ này sẽ đặt các khóa

mã hóa sẽ được sử dụng trên máy cục bộ Phần mềm độc hại thường gắn thẻ

máy bị nhiễm một mã nhận dạng duy nhất được gửi tới người cùng cùng với hướng dẫn Cách tiếp cận này được sủ dụng bởi dịch vụ Command và Control

để xác định các khóa mã hóa khác nhau đợc nạn nhân bị nhiễm sử dụng

Ví dụ ransomware được thiết kế hiện đại sử dụng mã hóa mạnh AES 256,

khiến nạn nhân không thể tự giải mã dữ liệu của mình Tất cả ransomware đều

không yêu cầu giao tiếp với máy chủ C2 để trao đổi khóa Các phần mềm tống

tiền như SamSam thực hiện tất cả mã hóa cục bộ, hoàn toàn tránh kết nối

Internet Liên hệ với máy chủ C2 là một dấu hiệu về sự xâm phạm cần được

theo đõi nhưng nếu không có dấu hiệu này thì không loại trừ sự hiện diện của

Tansomware.

2.1.5.6 Giai đoạn 6: Thông báo người ding va don dep

Bước tiếp theo mà ransomware thực hiện là thông báo cho người dùng các

hướng dẫn về nhu cầu và thanh toán Nói chung, nạn nhân có vài ngày để trả số

tiền được yêu cầu khi kẻ tấn công tăng số tiền Hướng dẫn về nhu cầu và thanh

toán thường xuyên được lưu trên ổ cứng Cuối cùng, ransomware tự loại bỏ khỏimáy tính nạn nhân, không để lại bằng chúng phấp y quan trong nào có thể gópphần phát triển khả năng phòng chống phần mềm độc hại mãnh mẽ hơn

2.2 Phương pháp phát hiện mã độc

Mục đích của phát hiện mã độc là đưa ra những cảnh báo sớm để có cơ chế ngăn chặn kịp thời trước khi các tập tin mã độc thực thi và gây ra các tổn hại

tới hệ thống Vì thế, vai trò của phát hiện mã độc là rất quan trọng trong việc

giảm thiểu thiệt hại hoặc ngăn chặn các tập tin này kịp thời

2.2.1 Phương phap phân tích tĩnh

Subedi và cộng sự [62] đã đề xuất một phương pháp sử dụng một framework

mà trước tiên sẽ dịch ngược tệp PE bằng ngôn ngữ hợp ngữ, sau đó áp dụng Thư viện liên kết động (DLL) và trích xuất lệnh gọi hàm trên tệp PE Framework

được phát triển như một công cụ có tên CRSTATIC Họ đã phân tích 43 mẫu

ransomware bằng CRSTATIC bằng các thông số khác nhau Việc này giúp phân

biệt giữa ransomware và chương trình bình thường thông qua biểu đồ tương tự

Cosine dựa trên hướng dẫn assembly Mặc dù tương đối mới nhưng CRSTATIC

không thé phát hiện các dòng ransomware mới nhất triển khai các kỹ thuật trốn

signature Bất chấp những hạn chế của nó, CRSTATIC đã sử dụng tính năng

phân tích cú pháp trước, một trình phân tích cú pháp nhẹ có thể phát hiện các

tệp PE độc hại liên quan đến các tham số khác nhau như chuyển vị trí và hoạtđộng doc byte CRSTATIC không thể phát hiện các ho Locker Ransomware

Zheng và cộng su [66] đã phát minh ra một công cụ có tên GreatEatlon để

phát hiện Android Ransomware Công cụ này được tạo ra bằng cách kết hợp các tính năng có trong Heldroid [6], APKTool và các công cụ phân tích mã nguồn

mở khác GreatEatlon đã sử dụng bốn giai đoạn để xác định sự hiện diện của

Ransomware trên Thiết bị Android Giai đoạn đầu tiên là theo dõi các luồng

mã của một tệp thực thi bị nghi ngờ là Ransomware Hành động đầu tiên của bất kỳ Ransomware nào cũng là tìm các tệp mà nó muốn mã hóa GreatEatlon

có thể dễ dàng xác định đường đi của Ransomware bằng cách sử dụng phần

mở rộng tệp của FlowDroid [7], một kỹ thuật tiên tiến được sử dụng để phân

tích các luồng mã của ứng dụng Android GreatEatlon sau đó đã vượt qua bước

thực thi qua giai đoạn thứ hai, trong đó API DeviceAdmin được kiểm tra khi

tệp thực thi được phép chạy Nếu các API bị tệp thực thi sử dung sai mục đích

để nâng cao đặc quyền của nó thì API đó sẽ bị gắn cờ là độc hại Hai giai đoạncuối đã triển khai các kỹ thuật phân tích tĩnh và thủ công để cuối cùng xác định

hành vi của tệp thực thi bị nghĩ ngờ.

Hsiao và cộng sự [31] đã tiến hành các thí nghiệm kỹ thuật dịch ngược trên

phần mềm tống tiền WannaCry khét tiếng để hiểu cách thức hoạt động của mã

nhị phân độc hại Phương thức phân tích được tác giả sử dụng là phân tích

tĩnh IDA Pro [21] được sử dụng cho kỹ thuật dịch ngược để hiểu hoạt động bên

trong của Ransomware Tệp PE ban đầu được sử dụng cho giai đoạn đầu tiên

của hoạt động Ransomware đã tự chuyển đổi thành các định dạng khác nhau

trong các giai đoạn tiếp theo Dầu tiên, tệp PE được phân phối thông qua khai

thác Eternal Blue, sau đó sử dung API Windows để tự nhúng Trong giai đoạntiếp theo, hai dịch vụ mssecsvc.exe và taskche.exe chịu trách nhiệm phổ biếnthêm bằng cách thay đổi cài đặt môi trường Giai đoạn thứ ba chịu trách nhiệm

mã hóa tổng thể dữ liệu của nạn nhân trong đó taskche.exe tải tệp dll mã hóa

vào bộ nhớ của thiết bị Giai đoạn cuối cùng được duy trì bởi các máy chủ C2C

để theo dõi các khoản thanh toán và quá trình lây nhiễm

2.2.2 Phương phap phân tích động

Sgandurra và cộng sự [58] đã thử nghiệm 542 mẫu Ransomware khác nhau

thông qua EldeRan, một phương pháp kết hợp bao gồm các kỹ thuật học máy và

phân tích mã động EldeRan đã thử nghiệm các mẫu ứng dụng dựa trên một tập

hợp các tham số có thể xác định xem mẫu đó có phải là ransomware trong giai

đoạn lây nhiễm hay không EldeRan đã phân tích thành công các lệnh gọi API

của Windows, các hoạt động của registry key, các hoạt động của tệp và thư mục,

các tệp bị bỏ và các chuỗi nhúng Thành phần tiếp theo của EldeRan liên quan

đến phương pháp Machine Learning bao gồm lựa chọn tính năng có thể phân

biệt Ransomware với phần mềm thông thường thông qua tiêu chí Thông tin lẫn nhau [18] và phân loại sử dung hồi quy logistic chính quy Nhìn chung, EldeRan

đã đạt được tỷ lệ thành công cao trong việc phát hiện các dòng Ransomware

trường lâm sàng tích hợp (ICE) có thể phát hiện sự hiện diện của ransomwaretrước khi nó có thể bắt đầu lan truyền Kỹ thuật của họ có thể phát hiện nhữngthay đổi trong lưu lượng mạng khi ransomware đang chạy Sau đó, các mẫu nàyđược đưa đến bộ phân loại ransomware được giám sát theo xác suất để cuối

cùng trích xuất các tính năng phức tạp của mẫu đang chạy Giải pháp được đề xuất có bốn thành phần chính Mô-đun đầu tiên giám sát các mẫu lưu lượng

https: / /research.checkpoint.com/2017/eternalblue-everything-know /