Đang tải... (xem toàn văn)
NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN NGỌC QUÂN NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 BÁO CÁO LUẬN VĂN THẠC SĨ HÀ NỘI – 2015 LỜI CẢM ƠN Trước hết tôi xin cảm ơn sâu sắc tới TS. Nguyễn Trung Kiên, đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp. Tôi xin cảm ơn các cán bộ Viện Công nghệ thông tin và truyền thông CDIT; các thầy cô trong khoa Công nghệ thông tin, khoa Quốc tế và Đào tạo sau Đại học - Học viện Công nghệ Bưu chính Viễn thông đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian học tập nghiên cứu tại trường. Tôi xin cảm ơn các cấp Lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia sẻ, giúp đỡ, tạo điều kiện cho tôi hoàn thành khóa luận này. Hà Nội, tháng năm 2015 Nguyễn Ngọc Quân 3 LỜI CAM ĐOAN Tôi xin cam đoan Luận văn này là công trình nghiên cứu khoa học nghiêm túc của cá nhân, được thực hiện dưới sự hướng dẫn khoa học của TS. Nguyễn Trung Kiên. Các số liệu, kết quả nghiên cứu và kết luận được trình bày trong Luận văn là trung thực và chưa được công bố dưới bất kỳ hình thức nào. Tôi xin chịu trách nhiệm về công trình nghiên cứu của mình. TÁC GIẢ LUẬN VĂN Nguyễn Ngọc Quân 4 MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt AV-TEST Tổ chức kiểm định và đánh giá độc lập về các phần mềm diệt Virus cho Windows và Android BKAV Công ty an ninh mạng BKAV CPU Central Processing Unit Bộ xử lý trung tâm của máy tính IPS Intrusion prevention system Hệ thống phát hiện xâm nhập IDS Intrusion detection system Hệ thống ngăn ngừa xâm nhập IIS Internet Information Services MD5 Message Digest Algorithm 5 Thuật toán băm mã hóa dữ liệu MD5 NIST National Institute of Standards and Technology Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ P2P Peer to peer Mạng ngang hàng PC Personal computer Máy tính cá nhân PE File Portable Executable File SHA-1 Secure Hash Algorithm 1 Thuật toán băm mã hóa dữ liệu SHA-1 VNCERT Vietnam Computer Emergency Response Team Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNPT Vietnam Posts and Telecommunication Group Tập đoàn Bưu chính Viễn thông Việt Nam 6 DANH MỤC HÌNH VẼ 6 7 MỞ ĐẦU Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn. Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone. Với tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông minh hay máy tính cá nhân, vì vậy môi trường hoạt động dành cho mã độc ngày càng rộng lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi. Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Luận văn đã tìm hiểu và nghiên cứu về “Phương pháp phân tích động mã độc”. Mục tiêu của Luận văn gồm các nội dung chính: • Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt động, các hành vi của mã độc và phương thức lây nhiễm của chúng • Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. Các phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh đó nghiên cứu về các môi trường và công cụ phân tích mã độc • Đề xuất quy trình và ứng dụng phân tích động mã độc trong thực tế. Phạm vi ứng dụng của nghiên cứu Nghiên cứu các kỹ thuật phân tích nhận diện mã độc chính cùng với hành vi của nó và áp dụng các kỹ thuật này để thử nghiệm phân tích mã độc. 7 8 CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC Chương 1 tập trung nghiên cứu những khái niệm cơ bản về mã độc, các loại mã độc hiện nay cũng như cách thức hoạt động và phương thức lây nhiễm mã độc phổ biến. 1.1. Tổng quan về mã độc 1.1.1. Khái niệm về mã độc Theo quan điểm của Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National Institute of Standart and Technology) về định nghĩa và phân loại trong lĩnh vực “Virus máy tính”, mã độc (Malware) được định nghĩa là một chương trình được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. Theo định nghĩa này mã độc bao hàm rất nhiều thể loại mà ở Việt Nam vẫn quen gọi chung là Virus máy tính như Worm, Trojan, Spy-ware, … thậm chí là Virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như Backdoor, Rootkit, Key- logger. 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến năm 2013, theo viện nghiên cứu độc lập về an toàn thông tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được phát tán. Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng trên toàn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho toàn bộ những người sử dụng Internet trên toàn cầu. 8 9 Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST Chủng loại mã độc cũng đa dạng và phong phú hơn về cả hành vi và mục đích phát tán. Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tôn giáo và nhiều lĩnh vực quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame và Duqu, những Virus đánh cắp thông tin mật của các hệ thống điện toán khu vực Trung Đông. Tại Việt Nam, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia và đã xuất hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận được email đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Microsoft Office (bao gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu. 9 10 Dưới đây là hình 2 mô tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2012, Việt Nam nằm trong danh sách 15 nước có tỉ lệ phát tán mã độc nhiều nhất thế giới, Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn công của mã độc cũng có nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chương trình diệt Virus, sử dụng các hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống, Tuy nhiên các biện pháp này chỉ phần nào ngăn chặn được các loại Virus đã được biết đến rộng rãi, còn các biến thể mã độc hoặc các mã độc mới được sinh ra ngày càng nhiều thì hầu như vô hình trước các biện pháp bảo vệ trên. Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV 10 [...]... hoạt động của mã độc, các hướng lây nhiễm của mã độc và đưa ra các biện pháp phát hiện mã độc trên máy tính, các biện pháp ngăn ngừa mã độc 22 23 Trong chương tiếp theo, luận văn sẽ nghiên cứu đến các kỹ thuật và phương pháp phân tích mã độc chủ yếu hiện nay CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC Nội dung của chương sẽ trình bày các kỹ thuật phân tích mã độc, đi sâu vào 2 phương. .. trình phân tích mã độc Sau khi thu thập dấu hiệu nhận dạng, mục tiêu cuối cùng đó là tìm hiểu chính xác mã độc hoạt động như thế nào, tức là làm rõ mục đích và khả năng của chương trình mã độc Để phân tích mã độc thông thường chúng ta có hai hướng: phân tích sử dụng các hệ thống tự động và phân tích thủ công gồm phân tích hoạt động và phân tích bằng cách đọc mã thực thi của mã độc 2.1.2 Các kỹ thuật phân. .. phương pháp phân tích mã độc chính, đưa ra môi trường có thể thực hiện được việc phân tích mã độc và các công cụ hỗ trợ phân tích mã độc hiện nay 2.1 Nghiên cứu các kỹ thuật phân tích mã độc 23 24 2.1.1 Mục đích kỹ thuật phân tích mã độc Khi việc sử dụng các biện pháp bảo vệ máy tính như trình diệt Virus hay các hệ thống tường lửa chưa phát huy hết hiệu quả trong việc nhận dạng và ngăn chặn mã độc mới... 2.1.2 Các kỹ thuật phân tích mã độc - Các kỹ thuật phân tích mã độc: Phân tích tĩnh (Code static analysis), Phân tích động (Behavioral dynamic analysis), Gỡ rối (Debug), Điều tra hành vi của mã độc (Malware forensics) - Trong đó 2 kỹ thuật chủ yếu là: phân tích tĩnh và phân tích động và mỗi phương pháp • • • • đều có điểm mạnh và điểm yếu riêng: 24 25 • • • • • - Cả 2 phương pháp này cùng có mục đích... được chạy như thế nào Tuy nhiên phương pháp này khó hơn basic analysis rất nhiều và đòi hỏi phải có kiến thức về mảng disassembly, lập trình, và các khái niệm về hệ điều hành 2.3 Nghiên cứu phương pháp phân tích động Đặc điểm của phương pháp phân tích động này là sẽ kiểm tra, phân tích Malware bằng việc thực thi mã độc: - Basic dynamic analysis: là phương pháp thực thi mã độc và giám sát các hành vi của... công một số mã độc đặc biệt hay phân tích lại các biến thể mới,… Hình 22: Môi trường phân tích mã độc Để phân tích mã độc người phân tích cần tại ra những môi trường ảo để phân tích, đảm bảo mã độc không thể lây nhiễm ra ngoài hay làm hại đến máy tính của chính mình Môi trường tải mã độc - Môi trường tách biệt khỏi mạng làm việc - Môi trường không dùng trình duyệt truy cập vào link tải mã độc và trình... hệ phần mềm độc hại do cần tham số để thực thi 25 26 thống 2.2 Nghiên cứu phương pháp phân tích tĩnh Đặc điểm của phương pháp phân tích tĩnh này là sẽ kiểm tra, phân tích Malware mà không thực thi mã độc Cơ bản của việc phân tích tĩnh bao gồm các bước kiểm tra các file thức thi mà không cần các hướng dẫn thực tế Qua bước phân tích tĩnh sẽ xác nhận cho chúng ta liệu file đó có phải là mã độc hay không,... tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để có thể truy ra nguồn phát tán mã độc và cập nhật nhanh nhất các dấu hiệu về mã độc cho các hệ thống bảo vệ, thông thường các chuyên viên phải tiến hành phân tích hành vi mã độc bằng phương pháp thủ công Nhưng với số lượng mã độc ngày càng nhiều thì việc chỉ dùng phương pháp phân tích thủ công sẽ không theo kịp tiến độ, do vậy đề tài này nghiên cứu xây... thì cần thực hiện việc phân tích mã độc Mục đích phân tích mã độc chủ yếu để cung cấp các thông tin cần thiết để xây dựng hệ thống bảo vệ và ngăn ngừa các nguy cơ do mã độc gây ra, bao gồm xác định chính xác những gì xảy ra khi thực thi mã độc, như các tập tin nào được mã độc sinh ra, các kết nối ra mạng bên ngoài được mã độc thực hiện, những thay đổi về registry liên quan đến mã độc, các thư viện và... phần nào, hoạt động ra sao Ví dụ: Phương pháp tĩnh, với những loại Virus phức tạp, thì để đọc hiểu được hết mã thực thi của nó là một việc rất khó; tuy nhiên phương pháp này cung cấp cho người phân tích cái nhìn hết sức chính xác về những gì mà nó làm Phương pháp phân tích động, có ưu điểm là quá trình phân tích diễn ra nhanh hơn, dễ dàng hơn; tuy nhiên, không phải hành vi nào cũng phân tích được, đơn . độc. Các phương pháp phân tích tĩnh, phương pháp phân tích động Bên cạnh đó nghiên cứu về các môi trường và công cụ phân tích mã độc • Đề xuất quy trình và ứng dụng phân tích động mã độc trong. Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt động, các hành vi của mã độc và phương thức lây nhiễm của chúng • Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. . về hoạt động hành vi của mã độc cũng như tác hại của việc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Luận văn đã tìm hiểu và nghiên cứu về Phương pháp phân tích động mã độc . Mục