Đang tải... (xem toàn văn)
Ngày nay, phát tán mã độc dã thực sự trở thành một ngành “công nghiệp” trong các hoạt động gián điệp và phá hoạt hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tổn hại ở những phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các hacker tấn công. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ tới các cơ quan tài chính như ngân hàng, viện nghên cứu, trường đại học,… Các phần mềm, ứng dụng chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn. Không dừng lại ở đó, mã độc hiện nay đã lây lan đa nền tảng và hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone. Với tốc độ phát triển của nên kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thist bị thông minh (smartphone) vì vậy môi trường hoạt động dnahf cho mã độc ngày càng được lan rộng cà thiệt hại chúng gây ra cho chúng ta vô cùng lớn. Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi. Nhằm góp phần để hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của viêc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Đề tài đã tìm hiểu về “Triển khai hệ thống phân tích mã độc trền nền hệ điều hành android”.
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT - HÀN KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP TÊN ĐỀ TÀI TRIỂN KHAI HỆ THỐNG PHÂN TÍCH MÃ ĐỘC TRỀN NỀN HỆ ĐIỀU HÀNH ANDROID Người hường dẫn : Th.s Trần Phương Nam Sinh viên thực : Trần Thị Hà Giang Lớp : CCMM07A Đơn vị thực tập : Trung tâm ứng cứu khẩn cấp máy tính Việt Nam chi nhánh Đà Nẵng Đà Nẵng, tháng năm 2016 Triển khai hệ thống phân tích mã độc trền hệ điều hành android MỤC LỤC MỤC LỤC DANH MỤC HÌNH VẼ LỜI CẢM ƠN .5 LỜI NÓI ĐẦU CHƯƠNG I GIỚI THIỆU VỀ TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM 1.1 GIỚI THIỆU VỀ TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM(VNCERT) 1.1.1 Quá trình hình thành phát triển VNCERT 1.1.2 Cơ cấu tổ chức Hình 1.1 Mô hình tổ chức Trung tâm VNCERT .8 1.1.3 Nhiệm vụ quyền hạn 1.1.4 Giới Thiệu Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Chi Nhánh Đà Nẵng 10 1.2 GIỚI THIỆU ĐỀ TÀI 10 1.2.1 Bối cảnh thực đề tài 10 1.2.2 Mục đích thực đề tài .11 CHƯƠNG II TRIỂN KHAI HỆ THỐNG PHÂN TÍCH MÃ ĐỘC TRỀN NỀN HỆ ĐIỀU HÀNH ANDROID 12 2.1 GIỚI THIỆU HĐH ANDROID – PYTHON - VIRTUALBOX 12 2.1.1 Giới thiệu hệ điều hành Android 12 2.1.2 Giới thiệu Python 12 2.1.3 Giới thiệu máy ảo Oracle VM VirtualBox .13 2.2 GIỚI THIỆU VỀ QUÁ TRÌNH PHÂN TÍCH MÃ ĐỘC 14 2.2.1 Quy trình phân tích bề mặt 16 Hình 2.1 Giao diện phân tích bề mặt 16 2.2.2 Quy trình phân tích động 17 Hình 2.2 Quy trình phân tích động 17 2.3 GIỚI THIỆU VỀ MOBSF 18 2.4 QUY TRÌNH TRIỂN KHAI HỆ THỐNG MOBSF 18 2.4.1 Các yêu cầu 18 2.4.2 Cài đặt MobSF Python 18 Hình 2.3 Chọn tập tin MobSF_VM_X.X.ova tiến hành cài đặt .19 Hình 2.4 Cấu hình card mạng Adapter .20 Hình 2.5 Cấu hình card mạng Adapter .20 Hình 2.7 Khởi động máy ảo MobSF VM 21 Hình 2.8 Giao diện máy ảo MobSF 21 Hình 2.9 Giao diện cấu hình wifi MobSF VM .22 Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android Hình 2.10 Lưu chụp MobSF VM 23 Hình 2.11 Tiến hành mở sau chụp Show in Explorer 23 CHƯƠNG III KẾT QUẢ VÀ KIẾN NGHỊ 24 3.1 KẾT QUẢ CHẠY THỬ HỆ THỐNG 24 3.1.1 Kết chạy phân tích bề mặt .24 Hình 3.1 Hình ảnh thông tin mã độc 24 Hình 3.2 Những quyền hạn file mã độc 25 Hình 3.3 Những quyền hạn file mã độc (tiếp) 25 Hình 3.3 Biểu kết phân tích .28 Hình 3.4 Hình ảnh phân tích mã 30 Hình 3.5 Hình ảnh thăm dò hoạt động mã độc .32 Hình 3.6 Hình ảnh chuỗi tự động kích hoạt 33 3.1.2 Kết sau phân tích động 33 Hình 3.7 Giao diện trình phân tích động 33 Hình 3.8 Thông tin file phân tích 34 Hình 3.9 Hiển thị gọi mạng gọi liên kết .34 Hình 3.10 Nội dung Cryto 35 Hình 3.11 Hiển thị thông tin thiết bị - Base - Content 35 Hình 3.12 Hiển thị thông tin liệu .36 Hình 3.13 Hiển thị thông tin Reflection 37 Hình 3.14 Quá trình Activity Tester tải 37 Hình 3.15 Quá trình screenshots hình 38 Hình 3.16 Hiển thị HTTP(s) Traffic – URLs – Emails 38 Hình 3.17 Hiển thị sở liệu SQLite – XML files 38 Hình 3.18 Hiển thị số Other files .39 3.3 KIẾN LUẬN VÀ KIẾN NGHỊ 39 3.3.1 Kết luận 39 3.3.2 Kiến nghị 40 TÀI LIỆU THAM KHẢO 41 Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android DANH MỤC HÌNH VẼ Hình 1.1 Mô hình tổ chức Trung tâm VNCERT .8 Hình 2.1 Giao diện phân tích bề mặt 16 Hình 2.2 Quy trình phân tích động 17 Hình 2.3 Chọn tập tin MobSF_VM_X.X.ova tiến hành cài đặt .19 Hình 2.4 Cấu hình card mạng Adapter .20 Hình 2.5 Cấu hình card mạng Adapter .20 Hình 2.7 Khởi động máy ảo MobSF VM 21 Hình 2.8 Giao diện máy ảo MobSF 21 Hình 2.9 Giao diện cấu hình wifi MobSF VM .22 Hình 2.10 Lưu chụp MobSF VM 23 Hình 2.11 Tiến hành mở sau chụp Show in Explorer 23 Hình 3.1 Hình ảnh thông tin mã độc 24 Hình 3.2 Những quyền hạn file mã độc 25 Hình 3.3 Những quyền hạn file mã độc (tiếp) 25 Hình 3.3 Biểu kết phân tích .28 Hình 3.4 Hình ảnh phân tích mã 30 Hình 3.5 Hình ảnh thăm dò hoạt động mã độc .32 Hình 3.6 Hình ảnh chuỗi tự động kích hoạt 33 Hình 3.7 Giao diện trình phân tích động 33 Hình 3.8 Thông tin file phân tích 34 Hình 3.9 Hiển thị gọi mạng gọi liên kết .34 Hình 3.10 Nội dung Cryto 35 Hình 3.11 Hiển thị thông tin thiết bị - Base - Content 35 Hình 3.12 Hiển thị thông tin liệu .36 Hình 3.13 Hiển thị thông tin Reflection 37 Hình 3.14 Quá trình Activity Tester tải 37 Hình 3.15 Quá trình screenshots hình 38 Hình 3.16 Hiển thị HTTP(s) Traffic – URLs – Emails 38 Hình 3.17 Hiển thị sở liệu SQLite – XML files 38 Hình 3.18 Hiển thị số Other files .39 Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android LỜI CẢM ƠN Kỳ thực tâp tốt nghiệp khoảng thời gian sinh viên bắt đầu làm quen với tác phong làm việc môi trường thực tế Đối với sinh viên, giai đoạn chuyển giao kiến thức đào tạo nhà trường thực tế doanh nghiệp, để áp dụng học tìm kiếm cho công việc phù hợp với lực Còn doanh nghiệp, xem giai đoạn mà doanh nghiệp có nhu cầu tuyển chọn nhân cho công ty tương lai xem xét, đánh giá, tuyển chọn sinh viên phù hợp với nhu cầu phát triển công ty Qua trình tìm hiểu với giới thiệu nhà trường Trường Cao Đẳng Công nghệ Thông Tin hữu nghị Việt – Hàn, em nhận vào thực tập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam chi nhánh Đà Nẵng khoảng thời gian từ ngày 21/03/2016 đến ngày 22/04/2016, với đề tài: “Triển khai hệ thống phân tích mã độc trền hệ điều hành android” Trong khoảng thời gian thực tập trung tâm, em có hội tiếp xúc với môi trường làm việc thực tế, bổ sung thêm kiến thức học trường, gặp gỡ học hỏi kinh nghiệm làm việc cán quản lý, nhân viên trung tâm, phần giúp em có kinh nghiệm làm việc cho thân sau Em xin chân thành cảm ơn anh chị Trung tâm ứng cứu khẩn cấp máy tính Việt Nam chi nhánh Đà Nẵng tận tình giúp đỡ, dẫn em suốt trình thực tập trung tâm, đồng thời em xin gửi lời cảm ơn đến anh Th.S Trần Phương Nam – Người hướng dẫn thực tập Trung Tâm giúp đỡ để em hoàn thành việc nghiên cứu đợt thực tập Cùng Thầy Th.S Lê Tự Thanh – Giảng viên hướng dẫn thực tập quan tâm, hướng dẫn giúp em hoàn thành tốt đợt thực tập Em xin chân thành cảm ơn Đà Nẵng, ngày 22/04/2016 Sinh viên thực Trần Bình Dương Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android LỜI NÓI ĐẦU Ngày nay, phát tán mã độc dã thực trở thành ngành “công nghiệp” hoạt động gián điệp phá hoạt hệ thống, phần mềm Theo thống kê từ quan, tổ chức, doanh nghiệp chuyên An ninh, an toàn thông tin, hoạt động phát tán mã độc không tổn hại phát triển mà nước phát triển Việt Nam trở thành mảnh đất màu mỡ cho hacker công Mã độc phát tán hầu hết quan quan trọng từ quan Chính phủ tới quan tài ngân hàng, viện nghên cứu, trường đại học,… Các phần mềm, ứng dụng chứa mã độc tồn nhiều hình thức có khả lây lan vô lớn Không dừng lại đó, mã độc lây lan đa tảng không giới hạn máy tính cá nhân mà lây lan sang thiết bị thông minh smartphone Với tốc độ phát triển nên kinh tế, hầu hết cá nhân sở hữu thist bị thông minh (smartphone) môi trường hoạt động dnahf cho mã độc ngày lan rộng cà thiệt hại chúng gây cho vô lớn Theo thống kê Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cố công mã độc có chiều hướng gia tăng với thủ đoạn ngày tinh vi Nhằm góp phần để hiểu rõ hoạt động hành vi mã độc tác hại viêc phát tán mã độc hệ thống, thiết bị thông minh,… Đề tài tìm hiểu “Triển khai hệ thống phân tích mã độc trền hệ điều hành android” Mục tiêu đề tài gồm nội dung : o Tìm hiểu tổng quan mã độc, cách thức hoạt động , hành vi mã độc o Nghiên cứu kỹ thuật phương pháp phân tích mã độc Các phương pháp phân tích bề mặt, phương pháp phân tích động… Bên cạnh nghiên cứu môi trường công cụ phân tích mã độc Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android CHƯƠNG I GIỚI THIỆU VỀ TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM 1.1 GIỚI THIỆU VỀ TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM(VNCERT) 1.1.1 Quá trình hình thành phát triển VNCERT Được thành lập theo Quyết định 339/2005 ngày 20 tháng 12 năm 2005 Thủ tướng Chính phủ, Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam (Vietnam Computer Emergency Response Team – VNCERT) Là đơn vị trực thuộc Bộ Thông Tin – Truyền Thông thực chức điều phối tổ chức hoạt động phản ứng nhanh cố máy tính cho mạng Internet Việt Nam Trung tâm VNCERT đơn vị nghiệp công lập, có tư cách pháp nhân, có dấu tài khoản riêng để giao dịch theo quy định pháp luật Có trụ sở đặt thành phố Hà Nội chi nhánh thành phố Hồ Chí Minh thành phố Đà Nẵng - Email: vncert@mic.gov.vn / office@vncert.vn - Website: http://www.vncert.gov.vn 1.1.2 Cơ cấu tổ chức Ngoài trụ sở đặt Hà Nội, trung tâm có chi nhánh Miền Trung Miền Nam, nhằm tạo điều kiện cho công tác ứng cứu kịp thời, đảm bảo tính nhanh nhạy, góp phần tham gia công tác quản lý vùng miền Chi nhánh Miền Trung (Đà Nẵng) : - Địa chỉ: Phòng 5.10 tầng số 76-78 đường Bạch Đằng, quận Hải Châu, TP Đà Nẵng - Điện thoại: 0511.3843228 Chính nhánh Miền Nam (Tp.Hồ Chí Minh) : - Địa chỉ: 27 Nguyễn Bỉnh Khiêm, phường Đa Kao, Quận 1, TP Hồ Chí Minh - Điện thoại: 08 39104925 Cùng phòng ban chức năng, nhiệm vụ cụ thể gồm phòng: Phòng Hành Chính – Tổng hợp, Phòng Kế hoạch – Tài chính, Phòng Điều phối Ứng cứu an toàn Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android mạng, Phòng Kỹ thuật hệ thống, Phòng Tư vấn – Đào tạo Phòng Nghiên cứu – Phát triển Các chi nhánh, phòng ban nhiệm vụ cụ thể hỗ thợ hoàn thành nhiệm vụ trung tâm Hình 1.1 Mô hình tổ chức Trung tâm VNCERT 1.1.3 Nhiệm vụ quyền hạn Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) tổ chức trực thuộc Bộ Thông tin Truyền thông, thực chức điều phối hoạt động ứng cứu cố máy tính toàn quốc; cảnh báo kịp thời vấn đề an toàn mạng máy tính; phối hợp xây dựng, phối hợp xây dựng tiêu chuẩn, quy chuẩn kỹ thuật an toàn mạng máy tính; thúc đẩy hình thành hệ thống CERT quan, tổ chức, doanh nghiệp; đầu mối việc hợp tác với tổ chức ứng cứu máy tính (CERT) nước Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam có nhiệm vụ quyền hạn sau: - Điều phối hoạt động ứng cứu mạng Internet quốc gia để phòng, chống cố mạng tham gia phòng chống tội phạm, chống khủng bố mạng Internet phạm vi quốc gia khuôn khổ hợp tác quốc tế - Điều phối hướng dẫn tổ chức, doanh nghiệp cung cấp dịch vụ Internet việc xử lý cố, việc thực nghĩa vụ xử lý lưu trữ số liệu gốc để cung cấp thông tin cho mục đích đảm bảo an toàn mạng Internet quốc gia - Điều phối tổ chức, doanh nghiệp cung cấp dịch vụ an toàn mạng nước theo quy định để xử lý cố lớn mạng Internet quốc gia Phối hợp quốc tế điều phối xử lý cố từ nước từ nước - Tổ chức thu thập thông tin an toàn mạng Internet Thống kê, tổng hợp, phân tích số liệu an toàn mạng Internet quốc gia để giúp cho hoạt động quản lý Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android nhà nước an toàn bảo mật hoạt động công nghệ thông tin truyền thông Theo dõi phát nguy cố an toàn mạng máy tính để cảnh báo sớm cho quan hữu quan cho cộng đồng; tham gia công tác quản lý an toàn bảo mật hoạt động công nghệ thông tin truyền thông - Hoạt động thúc đẩy lực ứng cứu khẩn cấp máy tính hình thành hệ thống CERT quan, tổ chức, doanh nghiệp Tuyên truyền nâng cao nhận thức cộng đồng an toàn thông tin máy tính; phát hành ấn phẩm an toàn mạng máy tính theo quy định pháp luật; - Tham gia hợp tác với tổ chức CERT giới Là đầu mối trao đổi thông tin với trung tâm an toàn mạng quốc tế Tham gia diễn đàn, hoạt động đào tạo hội thảo quốc tế lĩnh vực liên quan - Được phối hợp, hợp tác với tổ chức quốc tế để khai thác thông tin, kĩ thuật tri thức phòng chống cố tội phạm mạng, quảng bá an toàn mạng máy tính Viêt Nam tranh thủ giúp đỡ quốc tế nân cao lực đảm bảo an toàn mạng Việt Nam - Tham gia công tác quản lý nhà nước hoạt động cá hiệp hội tổ chức phi phủ lĩnh vực an toàn thông tin mạng máy tính Được quyền yêu cầu tổ chức, cá nhân hoạt động mạng Internet quốc gia cung cấp thông tin số liệu thống kê liên quan đến vấn đề an toàn mạng - Cung cấp dịch vụ đánh giá kĩ thuật an toàn mạng cho hệ thống thông tin cho sản phẩm, công nghệ đảm bảo an toàn thông tin dùng mạng máy tính Kiểm tra đánh giá, công nhận đạt tiêu chuẩn cho tổ chức làm dịch vụ ứng cứu máy tính an toàn mạng máy tính - Tổ chức dịch vụ đào tạo, bồi dưỡng kĩ thuật xây dựng mạng an toàn mạng máy tính, kiểm tra sát hạch cấp chứng trình độ quản trị mạng đảm bảo an toàn mạng máy tính theo quy định hành Nhà nước phân cấp Bộ thông tin truyền thông - Cung cấp dịch vụ khác lĩnh vực tư vấn, nghiên cứu, triển khai, sản xuất, lưu trữ, cung cấp thông tin phục vụ an toàn mạng máy tính, tạo thêm nguồn thu nhằm mở rộng phạm vi quy mô hoạt động phù hợp với chức năng, nhiệm vụ quyền hạn Trung tâm theo quy định Pháp luật, bảo toàn phát triển nguồn lực giao - Được thu, quản lý sử dụng phí lệ phí theo quy định Pháp luật - Quản lý tổ chức công chức, viên chức tài sản trung tâm theo quy định pháp luật phân cấp Bộ trưởng Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 10 - Thực nhiệm vụ khác Bộ trưởng giao 1.1.4 Giới Thiệu Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Chi Nhánh Đà Nẵng 1.1.4.1 Chức nhiệm vụ - Điều phối hoạt động ứng cứu cố máy tính, cảnh báo kịp thời vấn đề an toàn mạng máy tính khu vực miền Trung – Tây Nguyên phục vụ nhiệm vụ Trung tâm - Là đầu mối Trung tâm quan hệ với quan đơn vị cá nhân ngành thuộc khu vực miền Trung – Tây Nguyên để tiếp nhận, giải vấn đề thuộc chức nhiệm vụ Trung tâm theo đạo Giám đốc Trung tâm - Chủ động đề xuất, tham gia kế hoạch chương trình công tác hàng năm, tổ chức triển khai thực nhiệm vụ Giám đốc giao - Thực nhiệm vụ đột xuất Giám đốc giao 1.2 GIỚI THIỆU ĐỀ TÀI 1.2.1 Bối cảnh thực đề tài Hiện số lượng điện thoại di động thông minh (smartphone) ngày sử dụng nhiều, với gia tăng công mã độc di động Kẻ phát triển mã độc tạo ứng dụng để tiêm nội dung độc hại vào điện thoại thông minh tạo lỗ hổng tiềm ẩn Các công cụ phát phần mềm độc hại (malware detectors) phương thức chủ yếu để chống lại mã độc Tuy nhiên, hiệu công cụ phát mã độc lại phụ thuộc vào kỹ thuật phát sử dụng Smartphone trở thành thiết bị tinh vi, phổ biến tiện dụng sống Chính trở thành mục tiêu hấp dẫn kẻ công Ngày nay, smartphone giới hạn hội thoại trao đổi cá nhân mà mở rộng đến giao dịch tài chính, ngân hàng lưu trữ liệu cá nhân quan trọng Điều làm cho smartphone dễ bị công mục tiêu để tìm kiếm đánh cắp thông tin Các nhà nghiên cứu phòng thí nghiệm Kaspersky lần đầu phát mã độc Cabire điện thoại di động chạy hệ điều hành Symbian vào năm 2004 Sau đó, số lượng mã độc tăng lên nhanh chóng với phổ biến smartphone Smartphone sử dụng để truyền thông, ngân hàng trực tuyến, mua sắm trực tuyến, lưu giữ hình ảnh, tài liệu quan trọng, trò chơi chí kiểm soát bảo mật thiết bị gia đình Điều dẫn đến người sử dụng thông thường cung cấp lưu trữ nhiều thông tin điện thoại họ hầu hết Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android CHẤP NHẬN android.permission.ACCESS_ WIFI_STATE TRẠNG THÁI 27 INFO (Thông tin) MIÊU TẢ bình xem trạng thái Cho phép ứng dụng xem thường Wi-Fi thông tin tình trạng Wi-Fi android.permission.RECEIVE nguy hiểm nhận tin Cho phép ứng dụng nhận _SMS nhắn SMS xử lý tin nhắn SMS ứng dụng độc hại theo dõi tin nhắn xóa chúng mà không hiển thị chúng cho người sử dụng biết android.permission.WAKE_L OCK nguy hiểm ngăn chặn Cho phép ứng dụng ngăn điện thoại từ điện thoại để chế độ ngủ ngủ android.permission.ACCESS_ NETWORK_STATE bình tình trạng xem Cho phép ứng dụng xem thường mạng trạng thái tất mạng android.permission.INTERNE nguy hiểm Truy cập T Internet đầy đủ Cho phép ứng dụng tạo cổng mạng com.android.vending.CHECK nguy hiểm không xác không xác định cho _LICENSE định cho phép từ tham chiếu phép từ tham android chiếu android android.permission.WRITE_E nguy hiểm đọc / sửa đổi / Cho phép ứng dụng ghi XTERNAL_STORAGE xóa nội dung vào thẻ SD thẻ SD Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android TRẠNG THÁI CHẤP NHẬN android.permission.GET_AC COUNTS android.permission.READ_S MS 28 INFO (Thông tin) MIÊU TẢ bình khám phá Cho phép ứng dụng truy thường tài khoản cập vào danh sách tài biết đến khoản điện thoại nguy hiểm đọc tin nhắn SMS MMS Cho phép ứng dụng đọc tin nhắn SMS lưu trữ điện thoại SIM card ứng dụng độc hại đọc tin nhắn bí mật người sử dụng Security Analysis Manifest Analysis Hình 3.3 Biểu kết phân tích Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android VẤN ĐỀ SEVERITY (Mức độ nghiêm trọng) Application Data can be Backed up Trung bình [android:allowBackup] flag is missing (Dữ liệu ứng dụng lưu) Activity (com.speedsoftware.rootexplorer TestActivityGetContent) is not Protected An intent-filter exists [android:allowBackup] flag is missing thiết lập để sai Theo mặc định thiết lập để thực cho phép lưu liệu ứng dụng người sử dụng thông qua adb Nó cho phép người dùng kích hoạt USB debugging để chép liệu ứng dụng thiết bị Mỗi lần tìm thấy chia sẻ với ứng dụng khác thiết bị dễ tiếp cận với ứng dụng khác thiết bị Sự diện ý định lọc Hoạt động xuất cách rõ ràng Cao Mỗi lần tìm thấy chia sẻ với ứng dụng khác thiết bị dễ tiếp cận với ứng dụng khác thiết bị Sự diện ý định lọc Hoạt động xuất cách rõ ràng Cao Một nhà cung cấp nội dung(dịch vụ) tìm thấy chia sẻ với ứng dụng khác thiết bị dễ tiếp cận đến với ứng dụng khác thiết bị [ Hoạt động (com.dropbox.client2.android.A uthActivity) không bảo vệ Một ý định lọc tồn tại.] Content Provider (com.speedsoftware.rootexplorer GetContentProvider) is not Protected [android:exported=true] MIÊU TẢ Cao [ Hoạt động (com.speedsoftware.rootexplorer TestActivityGetContent) không bảo vệ Activity (com.dropbox.client2.android.A uthActivity) is not Protected.An intent-filter exists 29 Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android SEVERITY (Mức độ nghiêm trọng) VẤN ĐỀ Broadcast Receiver (hdc.sms.active.SmsReceiver) is not Protected [android:exported=true] High Intent Priority (999) [android:priority] Cao 30 MIÊU TẢ Một Broadcast Receiver tìm thấy để chia sẻ với ứng dụng khác thiết bị dễ tiếp cận với ứng dụng khác thiết bị Trung bình Bằng cách đặt ưu tiên với mục đích cao so với dự định khác, ứng dụng có hiệu ghi đè lên yêu cầu khác Code Analysis Hình 3.4 Hình ảnh phân tích mã VẤN ĐỀ Các ứng dụng sử dụng số ngẫu nhiên không an toàn SEVERITY Cao CÁC TẬP TIN t.java h.java BasicSerializerFactory.java Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android VẤN ĐỀ SEVERITY Thông tin ghi nhận Ứng dụng Thông tin nhạy cảm không ghi nhận Thông tin 31 CÁC TẬP TIN ar.java p.java BoxUser.java b.java BackgroundWorker.java bm.java bn.java bz.java cd.java dm.java dq.java dr.java dt.java dx.java dy.java er.java hf.java lk.java ll.java lv.java lw.java p.java q.java ViewDatabase.java d.java i.java k.java o.java XSplashScr.java AdFlexSDK.java AdFlexSDKUtils.java Ứng dụng sử dụng Cơ sở liệu SQLite thi hành câu truy vấn SQL query Dữ liệu người dùng đưa vào không đáng tin cậy câu truy vấn SQL query gây chèn mã SQL Cao bp.java Ứng dụng đọc / ghi để lưu trữ bên Bất kỳ ứng dụng đọc liệu văn để lưu trữ bên Cao at.java bh.java cd.java fz.java Preferences.java RootExplorer.java App tạo tập tin tạm thời Thông tin nhạy cảm không nên ghi vào tập tin tạm Cao fz.java RootExplorer.java App sử dụng Java Hash Code Đó hàm băm yếu không sử dụng Secure Crypto Cao b.java b.java e.java g.java bd.java bl.java t.java a.java p.java JsonLocation.java Ngoài thông tin nhạy cảm phải mã hóa ghi vào sở liệu SerializedString.java BytesToNameCanonicalizer.java Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android VẤN ĐỀ SEVERITY Implementation 32 CÁC TẬP TIN JavaType.javaBeanPropertyMap.java MemberKey.java NamedType.java ArrayNode.javaBigIntegerNode.java DecimalNode.java ObjectNode.java POJONode.javaTextNode.java JsonSerializerMap.java ArrayType.java ClassKey.javaCollectionLikeType.java MapLikeType.java Reconnaissance Hình 3.5 Hình ảnh thăm dò hoạt động mã độc - Địa URLs trang website mà file có chứa mã độc tự động kích hoạt đến trang website mà người sử dụng Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 33 Hình 3.6 Hình ảnh chuỗi tự động kích hoạt 3.1.2 Kết sau phân tích động - Chạy thử với tệp nhiễm mã độc file opera_mini.apk Và thu số thông tin file sau : Hình 3.7 Giao diện trình phân tích động Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 34 Hình 3.8 Thông tin file phân tích Tại Network Calls (cuộc gọi mạng) chưa có gọi xảy Ở Binder Calls phương pháp đước sử dụng register Receiver máy tự động thu register Các ARGUMENTS(lập luận) đưa kết mặc định False Và liệu trở lại Crypto dùng phương pháp doFinal liệu trở lại Hình 3.9 Hiển thị gọi mạng gọi liên kết Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 35 Hình 3.10 Nội dung Cryto Hình 3.11 Hiển thị thông tin thiết bị - Base - Content Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 36 Hình 3.12 Hiển thị thông tin liệu Tại Device Data Method sử dụng : get Arguments : [u’gsm.operator.iso-country’] Return Data : Không có liệu trả lại Method sử dụng : get Arguments : [u’debug.second-display.pkg’] Return Data : Không có liệu trả lại Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 37 Hình 3.13 Hiển thị thông tin Reflection Hình 3.14 Quá trình Activity Tester tải Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 38 Hình 3.15 Quá trình screenshots hình Hình 3.16 Hiển thị HTTP(s) Traffic – URLs – Emails Hình 3.17 Hiển thị sở liệu SQLite – XML files SQLite Databases data\data\blue.water.in20150616\app_webview\Cookies data\data\blue.water.in20150616\app_webview\Web Data XML files data\data\blue.water.in20150616\shared_prefs\blue.water.in20150616_preferences.xml Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 39 Hình 3.18 Hiển thị số Other files Ứng dụng MobSF (Mobile Security Framework) Một công cụ bảo mật miễn phí mã nguồn mở cho ứng dụng di động đánh giá bảo mật Nhà phát triển xây dựng ứng dụng di động xác định lỗ hổng tất giai đoạn phát triển (SDLC Integration) Web Pentesters - REST API Fuzzer có khả phát lỗ hổng SSRF, XXE, IDOR vv - Đối với giao diện chương trình người dùng đơn giản dễ sử dụng - Cải thiện Web Proxy, xử lý lỗi Dynamic Analyzer logic - In kết kiểm tra hoạt động ứng dụng có nhiễm mã độc 3.3 KIẾN LUẬN VÀ KIẾN NGHỊ 3.3.1 Kết luận Thông qua việc tìm hiểu “Triển khai hệ thống phân tích mã độc trền hệ điều hành android” Trung tâm VNCERT Giúp cho em tìm hiểu đề liên quan đến ứng dụng mã độc quan sát kiểm tra hành vi ứng dụng mã độc để từ hiểu tác hại gây phát tán mã độc hệ thống hay thiết bị thông minh, nhằm đảm bảo an toàn thông tin, liệu cá nhân Tìm hiểu thực hành triển khai hệ thống phân tích mã độc Android trung tâm Chương trình ứng dụng tốt trung tâm, không mang tính chất nghiên cứu học hỏi mà giúp em có nhìn xa phương pháp phân tích mã độc Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 40 3.3.2 Kiến nghị 3.3.2.1 Kiến nghị phát triển ứng dụng Chương trình ứng dụng Mobile Security Framework (MobSF) chương trình tiện ích, sử dụng để phân tích bảo mật hiệu nhanh chóng Android IOS hỗ trợ mã nhị phân (apk & IPA) mã nguồn nén Mặc dù MobSF chương trình phân tích ứng dụng di động tốt đoạn phát triển, cộng thêm hiệu vẫm chưa ổn định Cần áp dụng rộng rãi cộng đồng phát triển ứng dụng MobSF 3.3.2.2 Đối với nhà trường Thông qua tập sinh viên hội lớn để sinh viên đối chiếu, so sánh lý thuyết ghế nhà trường với thực tiễn tổ chức, doanh nghiệp, giúp sinh viên tích lũy nhiều kinh nghiệm thân, làm quen môi trường thực tế Kỳ thực tập thực giúp em nhiều, kinh nghiệm sống, làm việc thực tế vô quý, với khoảng thời gian thực tập tháng, em tự thấy ngắn để chúng em quen thực tốt tập Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 41 TÀI LIỆU THAM KHẢO Tham khảo số trang website : [1] https://github.com/ajinabraham/Mobile-Security-Framework-MobSF [2] http://opensecurity.in/ [3] http://www.vncert.gov.vn/ [4] http://securitydaily.net/tag/phan-tich-ma-doc/ [5] https://blog.duyetdev.com Khoa: Công nghệ thông tin_Lớp: CCMM07A Trần Bình Dương ... Bình Dương Triển khai hệ thống phân tích mã độc trền hệ điều hành android 12 CHƯƠNG II TRIỂN KHAI HỆ THỐNG PHÂN TÍCH MÃ ĐỘC TRỀN NỀN HỆ ĐIỀU HÀNH ANDROID 2.1 GIỚI THIỆU HĐH ANDROID – PYTHON - VIRTUALBOX... để hiểu rõ hoạt động hành vi mã độc tác hại viêc phát tán mã độc hệ thống, thiết bị thông minh,… Đề tài tìm hiểu Triển khai hệ thống phân tích mã độc trền hệ điều hành android Mục tiêu đề tài... CHƯƠNG II TRIỂN KHAI HỆ THỐNG PHÂN TÍCH MÃ ĐỘC TRỀN NỀN HỆ ĐIỀU HÀNH ANDROID 12 2.1 GIỚI THIỆU HĐH ANDROID – PYTHON - VIRTUALBOX 12 2.1.1 Giới thiệu hệ điều hành Android