Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)Nghiên cứu, xây dựng và thử nghiệm giải pháp phát hiện mã độc ransomware (tt)
1 MỞ ĐẦU Trong năm 2015 2016 mã độc mã hóa liệu (được gọi Ransomware) quay trở lại với nhiều biến thể nguy hiểm Mã độc loại trang bị thuật toán mã hóa mạnh mẽ, nhiều phương thức lây lan, nhiều biến thể khác nhau, dễ dàng tạo sử dụng, tốn ẩn danh Do vậy, tính chất nguy hiểm Ransomware cao nhiều cho với trojan virus thông thường Một bị nhiễm loại mã độc này, tất liệu gốc nạn nhân bị mã hóa, liệu gốc bị xóa hồn tồn khả khơi phục liệu gần khơng có Nạn nhân muốn lấy lại liệu cần phải trả tiền cho kẻ công để lấy key giải mã mà chúng nắm giữ Lợi nhuận lớn từ việc phát triển mã độc để kiếm lời thúc đẩy nguy hiểm, tinh vi mã độc lên tầm cao mới, đặt nhiều thách thức đới với biện pháp phòng vệ an ninh Phát xử lý ngăn chặn mã độc biện pháp phòng vệ an ninh điển hình, chun gia kỹ thuật cần phân tích, phát mã độc để có giải pháp phịng chống, bảo vệ an ninh cho thông tin hệ thống thông tin, ngăn chặn tránh bị mã độc xâm nhập Với tinh vi đa dạng Ransomware cách tiếp cận phần mềm diệt virut truyền thống dựa chữ ký khơng cịn theo kịp phát triển mã độc Bên cạnh việc phân tích tĩnh địi hỏi trình độ chun mơn sâu, chi phí thời gian, khơng kịp thời đáp ứng nhu cầu xử lý ngăn chặn, nhân lực tốn Với yêu cầu thực tiễn vậy, luận văn đặt vấn đề “Nghiên cứu xây dựng thử nghiệm giải pháp phát mã độc Ransomware” nhằm đưa giải pháp hiệu quả, thay phần kiến thức chuyên gia, dễ sử dụng, có khả làm chủ công nghệ việc phát mã độc Ransomware, từ đưa biện pháp xử lý, ngăn chặn mối đe dọa 2 Chương - KHÁI QUÁT MÃ ĐỘC RANSOMWARE VÀ CÁC PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 1.1 Tổng quan mã độc Ransomware 1.1.1 Khái niệm Ransomware loại malware (phần mềm máy tính độc hại) ngăn chặn giới hạn người dùng sử dụng thiết bị, hệ thống liệu Một số loại mã hóa tệp tin khiến nạn nhân mở tài liệu quan trọng, số khác dùng chế khóa máy để khơng cho nạn nhân tiếp tục sử dụng Để tiếp tục sử dụng hệ thống đọc liệu cá nhân nạn nhân cần phải trả khoản tiền cho kẻ công để nhận key giải mã liệu bị mã hóa 1.1.2 Lịch sử phát triển, biến thể Mã độc tống tiền Ransomware có lịch sử 20 năm hình thành phát triển Ransomware phát lần vào khoảng năm 2005 - 2006 Nga [2] Năm 2011, dạng khác Ransomware SMS Ransomware phát [4] Đến năm 2012, Ransomware Reventon sử dụng nhiều tài khoản, cách thức toán khác để nhận tiền nạn nhân, thông thường hệ thống UKash, PaySafeCard, MoneyPak [5] Năm 2014 phiên mã độc có tên gọi CryptoWall [6] Tháng 3/2015, xuất mã độc Ransomware TeslaCrypt, biến thể thường xuyên sử dụng cơng lớn Trong năm 2016, nói năm bùng nổ mã độc Ransomware, nhiều công lớn, kiện quan trọng liên quan đến Ransomware, mẫu xuất liên tục tinh vi nhiều Trong số kể đến biến thể như: Ransom32 and 7ev3n, Locky, SamSam, KeRanger, Petya, Maktub, Jigsaw, CryptXXX, ZCryptor, TeslaCrypt… Dưới hình vẽ mơ tả q trình phát triển Ransomware năm gần (số liệu thống kê đến cuối năm 2016): Hình 1.1: Quá trình phát triển Ransomware 1.1.3 Mức độ nguy hiểm, nguy cơ, hậu Mã độc sử dụng nhiều phương thức phát tán lây nhiễm đặc biệt hình thức gửi email giả mạo có chứa tài liệu văn có chứa mã độc Ransomware chương trình tự động tải phần mềm mã độc máy Các biến thể cập nhật liên tục để vượt qua lớp bảo mật an ninh Các công cụ khai thác lỗ hổng bảo mật tự động tích hợp để làm đường lây nhiễm mã độc vào máy nạn nhân Một nhiễm mã độc Ransomware liệu bị mã hóa tệp tin gốc bị xóa hồn tồn khả khơi phục liệu gần khơng có Để lấy lại liệu người dùng cần phải trả tiền chuộc lấy key bí mật để giải mã Theo thống kê hãng bảo mật Kaspersky [20] từ khách hàng sử dụng sản phẩm Kaspersky Việt Nam nước bị ảnh hưởng nhiều mã độc Ransomware 1.1.4 Nhu cầu phân tích phát mã độc Ransomware Sự thành công liên tục Ransomware tạo mối đe dọa an ninh mạng nghiêm trọng Việt Nam nhiều nạn nhân cơng mã hóa liệu địi tiền chuộc Cơng tác phân tích địi hỏi trình độ chun gia chun mơn sâu Bên cạnh phụ thuộc vào sản phẩm nước ngồi khiến cho ln lệ thuộc vào sản phầm nước ngồi Chính việc nghiên cứu quy trình phân tích, thông tin phương thức hoạt động, đặc biệt giải pháp phát mã độc giúp nhiều người dùng nâng cao nhận thức, hiểu biết mã độc để làm sở phát triển công cụ phát ngăn chặn mã độc này, làm chủ công nghệ trở nên cấp thiết 1.2 Các biện pháp phòng chống Để phòng chống mã độc Ransomware sử dụng số giải pháp tạm thời lưu trữ liệu hệ thống lưu trữ vật lý, cách an toàn chi phí xây dựng bảo trì vận hành cao Sử dụng giải pháp lưu trữ đám mây giải pháp không phù hợp với quan tổ chức yêu cầu tính bảo mật cao liệu bị lộ lọt đưa lên mơi trường bên ngồi Sử dụng phần mềm phịng chống mã độc phát loại biết, phát biến thể Các phương pháp có ưu nhược điểm riêng mặt lâu dài hiệu cao cần nâng cao nhận thức người sử dụng máy tính kết hợp với việc phát triển giải pháp nhằm phát sớm công dạng để chủ động phòng tránh loại bỏ mối đe dọa 1.3 Kết luận chương Chương luận văn trình bày thực trạng mã độc Ransomware bao gồm nội dung: lịch sử phát triển, mức độ nguy hiểm, thực trạng Việt Nam giới, cách nhận biết, số biện pháp phòng tránh tạm thời khuyến nghị, quy trình xử lý nhiễm mã độc Trong chương luận văn tập trung thử nghiệm phương pháp phân tích mã độc, mơi trường phân tích mã độc cơng cụ hỗ trợ để tiến hành phân tích mẫu mã độc Ransomware để tìm hành vi đặc trưng nhất, dấu hiệu nhận biết hành vi đặc trưng Chương - PHƯƠNG PHÁP PHÂN TÍCH, PHÁT HIỆN MÃ ĐỘC RANSOMEWARE 2.1 Một số phương pháp phát nhanh thực tiễn 2.1.1 Thông qua danh sách đen (blacklist) Phương pháp phát dựa dấu hiệu kết nối mạng đến danh sách địa IP, máy chủ điều khiển C&C thuộc danh sách đen biết Trong luận văn sử dụng sở liệu máy chủ điều khiển C&C, địa TOR thuộc danh sách đen để phát loại mã độc Danh sách cập nhật từ nguồn chia sẻ miễn phí trang web https://ransomwaretracker.abuse.ch/blocklist/ 2.1.2 Hashing, dấu vân tay malware Hashing phương pháp phổ biến sử dụng để định danh malware Đưa file malware qua chương trình hashing tạo giá trị hash Với đặc tính thuật tốn hash, cần liệu đầu vào sai khác bit, giá trị hash đầu có sai khác lớn khơng thể dự đốn nên giá trị hash định danh malware, khơng thể có file khác mà có giá trị hash giống Thuật toán Message Digest Algorithm (MD5) thường sử dụng nhiều nhất, tiếp sau Secure Hash Algorithm (SHA1) phổ biến Hiện chuyên trang virutotal.com sử dụng nhiều với hàng chục hãng Antivirus uy tín 2.1.3 Kỹ thuật Fuzzy hashing Vẫn nhận dạng mã độc thông qua mã hash nhiên bổ sung thêm phân tích tính tốn để từ mã hash mã độc, nhận dạng hash họ hàng của mã độc từ nâng cao khả phát mã độc Ưu điểm kỹ thuật cao cấp kỹ thuật checksum cải tiến kỹ thuật phát họ hàng mã độc Tuy nhiên nhược điểm nằm chỗ xây dựng thuật toán lựa chọn độ dài ký tự phù hợp khó khan dẫn đến có khả cảnh báo giả cảnh báo sai Hình 2.1: thuật toán Fuzzy Hashing Kỹ thuật Scan String Kỹ thuật sử dụng chuỗi trích ngang (chuỗi byte) đặc trưng tập tin mã độc không tồn tệp tin 2.1.4 6 để làm sở liệu mẫu dùng để nhận dạng mã độc Với ưu điểm nhận dạng xác, tốc độ nhận dạng nhanh so với kỹ thuật checksum, nhiên trình xây dựng cập nhật sơ liệu phức tạp, nhận dạng bị động không phát mã chương trình bị thay đổi 2.1.5 Kỹ thuật Code Emulation Là kỹ thuật phát mã độc dựa việc mô lại hệ thống CPU, hệ thống quản lý nhớ, mã máy cấp thấp Ưu điểm mã độc hoạt động độc lập không ảnh hưởng đến hệ thống máy thật Nhược điểm q trình mơ địi hỏi kỹ thuật cao khó khăn 2.2 Thiết lập mơi trường hỗ trợ phân tích, phát mã độc Mơi trường cần phải đầy đủ phần mềm, công cụ cần thiết nhằm đảm bảo mã độc hoạt động thể hết hành vi, hàm chức thiết kế Có hai cách xây dựng mơi trường phân tích xây dựng trực tiếp phần cứng xây dựng hệ thống phân tích phần mềm Khi xây dựng mơi trường phân tích phần cứng (mơi trường thực) khả phân tích hiệu quả, lượng thơng tin thu dược xác đầy đủ, nhiên việc xây dựng môi trường thật cần cẩn thận yêu cầu phải kiểm soát hệ thống không làm ảnh hưởng đến hệ thống dịch vụ khác mạng Bên cạnh để vận hành hệ thống thật cần có trình độ chun mơn cao kết hợp với quy trình kỹ thuật để tránh xảy thả họa lây nhiễm tồn mạng Hiện cơng nghệ phân tích mơi trường ảo hóa ưa chuộng hệ thống Sandbox mạnh mẽ tích hợp nhiều công nghệ cao giới sử dụng phổ biến như: VxStream Sandbox, Norman SandBox, GFI Sandbox, Joe Sandbox, Cuckoo Sandbox 2.3 Phân tích đánh giá phương pháp 2.3.1 Phương pháp phân tích tĩnh Được chia thành hai cấp độ nâng cao Phân tích tĩnh xác định tập tin độc hại, cung cấp thông tin chức tập tin độc hại đó, thơng tin cho phép người dùng tạo chữ ký mạng đơn giản Mức nâng cao phân tích tĩnh kỹ thuật dịch ngược (Reverse Engineering) nội dung bên mã độc cách dịch ngược hàm chức gọi thực thi Các thị thực thi CPU, phân tích tĩnh nâng cao cho biết tiến trình đáng ngờ Ưu điểm: Có thể hiểu biết xác kỹ thuật viết mã độc, hoạt động mã độc Nhược điểm: Phân tích tĩnh nâng cao địi hỏi nhiều kiến thức chun mơn lập trình, cấu trúc mã lệnh, khái niệm hệ điều hành thời gian phân tích lâu, tốn nhiều cơng sức Khơng phù hợp với thực tế cần phân tích nhanh số lượng lớn 2.3.2 Phương pháp phân tích động Phân tích động kiểm tra q trình chạy thực thi mã độc Phân tích động thường tiến hành sau phân tích tĩnh khơng khả phân tích mã độc, mà mã độc sử dụng kỹ thuật làm rối obfuscation, pack sử dụng hết kỹ thuật phân tích tĩnh sẵn có Phân tích động cịn liên quan đến việc giám sát kiểm tra hệ thống sau mã độc thực thi Không giống phân tích tĩnh, phân tích động cho phép quan sát chức mã độc Ví dụ mã độc keylogger, phân tích động cho phép bạn xác định tệp tin nhật ký hệ thống, tìm nơi gửi thơng tin đến Những thơng tin rõ ràng khó để thu sử dụng kỹ thuật phân tích tĩnh Ưu điểm: Q trình phân tích diễn nhanh hơn, dễ dàng Các hành vi ghi lại cách rõ ràng, người phân tích khơng q quan trọng kiến thực chuyên gia lĩnh vực dịch ngược Các cơng nghệ đại tích hợp giả lập CPU, kích hoạt thời gian chạy chống ngủ đông, tự động đáp ứng yêu cầu đầu vào Nhược điểm: Q trình phân tích động có khả bỏ sót số hành vi mã độc sử dụng kỹ thuật có yêu cầu đầu vào cụ thể mà môi trường phân tích khơng cung cấp tự động Mặt khác việc phân tích động địi hỏi sử dụng nhiều cơng cụ kết hợp quan trọng môi trường để thực phân tích Nếu mơi trường thực phân tích khơng đạt chuẩn dẫn đến sai lệch hành vi mã độc 8 2.4 Tiến hành phân tích thu thập hành vi đặc trưng 2.4.1 Ý tưởng Thu thập mẫu mã độc biết, phân loại mẫu mã độc theo phiên biến thể Sử dụng phương pháp phân tĩnh để tìm hiểu đặc tính mã độc Sử dụng phương pháp phân tích động cơng cụ giưới thiệu để xem xét hành vi trình thay đổi giá trị registry, thêm sửa xóa tệp tin, lời gọi hàm chức hệ thống Sử dụng kết phân tích Sandbox đối chiếu với q trình phân tích tay biến thể họ mã độc TeslaCrypt CryptoWall để tìm kiếm hành vi đặc trưng Phân loại hành vi đặc trưng theo giai đoạn lây nhiễm thực thi máy nạn nhân 2.4.2 Công cụ hỗ trợ Công cụ Process Hacker: Công cụ cho phép xem danh sách tiến trình dạng tiến trình dịch vụ chạy tiến trình Hoặc tiến trình sinh từ tiến trình gốc Ngồi cơng cụ Process Hacker thu kết tương tự để kiểm chứng Công cụ Process Moniter: cho phép theo dõi tiến trình sinh hoạt động có tác động với hệ thống Cơng cụ SysTracer: kiểm tra thay đổi giá trị Registry cách so sánh hai trạng thái trước sau chạy mã độc để kết giá trị registry bị thay đổi thay đổi chương trình yêu cầu Công cụ Moniter API: Để phát hàm thư viện mã độc gọi trình chạy chương trình thực thi hệ thống Cơng cụ WireShark: Wireshark công cụ kiểm tra, theo dõi phân tích thơng tin mạng WireShark hỗ trợ nhiều giao thức, từ loại phổ biến TCP, IP đến loại đặc biệt AppleTalk Bit Torren Ngồi luận văn cịn sử dụng cơng cụ phân tích tổng hợp hãng Microsoft cung cấp có tên “Sysinternal Suite” nhiều phần mềm hỗ trợ khác q trình phân tích mã độc 2.4.3 Thực phân tích mẫu Ransomware a Tạo môi trường ảo Sử dụng phiên HĐH Windows XP SP3 Windows hệ điều hành phổ biến tất loại mã độc (trừ mã độc dành cho mobile) hoạt động Thứ hai, hệ điều hành gọn nhẹ đơn giản, cần 512MB RAM đủ cho việc phân tích mẫu malware nhỏ đến vừa Các dịch vụ XP đơn giản, khơng rắc rối nhiều phiên sau họ Windows Và SP3 phiên ổn định hệ điều hành So với SP2, SP3 phép cài đặt nhiều gói phần mềm từ Microsoft Tắt dịch vụ ảnh hưởng đến mạng Windows Windows Update, Firewall… để tránh cản trở mã độc gói tin bị lẫn vào liệu mạng giám sát Cài thêm gói phần mềm bổ trợ: Net Framework (tất từ 2.0 đến nhất) Java Runtime Environment cũ 32 bit tính tương thích với hệ điều hành, Adobe Flash Player, Office 2003, python 2.7 số phần mềm khác b Thu thập mẫu phân tích Sử dung cơng cụ Process Explorer thu thập tệp tin mà mã độc lây nhiễm tạo thêm vào hệ thống Sử dụng công cụ Process Moniter cho phép theo dõi tiến trình sinh hoạt động có tác động với hệ thống Đây cơng cụ mạnh với lọc động giúp chuyên viên phân tích dễ dàng xem xét việc thêm sửa xóa tệp tin hệ thống Sử dụng công cụ SysTracer để thực kiểm tra thay đổi giá trị registry máy nạn nhân Đầu tiên ta sử dụng lưu trạng thái registry (trước chạy tệp tin mã độc) Tiếp theo tiến hành thực chạy mã độc thực chụp trạng thái sau chạy mã độc So sánh hai trạng thái thu thập giá trị registry bị thêm sửa xóa để kiểm tra hành vi mã độc Sử dụng công cụ Moniter API để phát hàm thư viện mà mã độc gọi q trình chạy Qua q phân tích chia trình hoạt động mã độc thành hai giai đoạn lây nhiễm mã hóa tương ứng với hành vi mô tả cụ thể mơ hình: 10 Hình 2.8: Mơ hình hành vi 11 Kết luận chương Mơi trường phân tích yếu tố quan trọng, ảnh hưởng trực tiếp đến kết phân tích cần lựa chọn thiết lập môi trường ổn định phù hợp với mục tiêu phân tích Ngồi việc lựa chọn kỹ thuật phân tích cơng cụ cần phân tích kỹ để thấy điểm mạnh điểm yếu công cụ Việc lựa chọn công cụ đơn giản dễ sử dụng ưu tiên để giải nhu cầu cần phân tích nhanh mà thu thập hành vi, lệnh gọi hàm hệ thống Sau phân tích điểm mạnh yếu phương pháp phân tích luận văn thực nghiệm phân tích phương pháp phân tích động để lựa chọn số hành vi đặc trưng Chương luận văn tiến hành xây dựng chương trình có khả phát mã độc mã hóa liệu dựa hành vi thu thập 2.5 12 Chương - XÂY DỰNG VÀ THỬ NGHIỆM GIẢI PHÁP PHÁT HIỆN RANSOMWARE 3.1 Kiến trúc thành phần giải pháp 3.1.1 Ý tưởng đề xuất Qua việc phân tích số mẫu mã độc điển hình Chương luận văn cho thấy mã độc Ransomware thiết kế tinh vi có nhiều kỹ thuật nhằm vượt qua phần mềm phát phịng chống mã độc Điển kỹ thuật làm rối mã, kỹ thuật chống phân tích, kỹ thuật khai thác lỗ hổng hệ điều hành… Trong giải pháp phát có điểm yêu định Kỹ thuật heuristic giúp phát hàm thư viện có khả sử dụng mã độc Tuy nhiên điểm bât cập trường hợp khác việc gọi hàm có mục đích khác nhau, khơng phải tất mục đích phá hoại Kỹ thuật phát dựa hành vi có phần xác nhiên khơng phải hành vi mã độc thể rõ ràng hoạt động Kỹ thuật sử dụng chữ ký không phát biến thể chúng nên sử dụng để phát sớm công sau làm giàu thông tin sở liệu Với ưu nhược điểm kỹ thuật phát mã độc với kỹ thuật che dấu sẵn có dẫn đến việc phát xác mã độc khơng bị cảnh báo sai nhu cầu cần thiết Xuất phát từ trình nghiên cứu tìm hiểu luận văn đề xuất xây dựng giải pháp kết hợp kỹ thuật phát nêu nhằm mục đích phát sớm mã độc mã hóa liệu Ransomware 3.1.2 Kiến trúc thành phần chương trình Chương trình gồm module, module module Module có chức tải (upload) mã độc vào môi trường giả lập để tiến hành phân tích lấy liệu hành vi mã độc, sau gọi module chuyển đổi tập liệu mẫu (Module tiền xử lý) Module 2: ngồi chức phân tích hành vi sử dụng CSDL hành vi mẫu để phát mã độc, module cịn tích hợp chức tính điểm đánh giá mức độ nguy hiểm thống kê Sơ đồ kiến trúc tổng thể chương trình sau: 13 Hình 3.1: Kiến trúc chương trình Kiến trúc chương trình chia làm hai thành phần là: Thành phần xử lý liệu thành phần phát mã độc 3.1.3 Các Module chương trình a Xây dựng module xử lý liệu Module chuyển đổi tập liệu (tiền xử lý) có chức thực thu thập hành vi mã độc sau chạy phân tích động Đầu module bảng CSDL hành vi mẫu biến thể 14 Hình 3.2: Xử lý liệu b Xây dựng module phát mã độc Module phát mã độc với khả phát mã độc cịn có chức cập nhật hành vi vào database, tính điểm để đưa kết luận thống kê số liệu cần Cơng thức tính điểm mơ tả sau: 15 Hình 3.3: Module phát mã độc Tính điểm đánh giá mức độ nguy hiểm Chương trình tham khảo cách tính điểm theo nghiên cứu Robert J Bagnall Geoffrey French: “The Malware Rating System (MRS)TM” [15] theo nội dung sau - Tiêu chí đánh giá phần mềm độc hại - Các ngưỡng xếp hạng Payload - Xếp hạng cho phần mềm độc hại Các để tính điểm đánh giá gồm: - Căn vào hành vi mã độc đánh giá nguy hiểm theo mức độ ảnh hưởng vào hệ thống - Căn vào kỹ thuật sử dụng để xác định mức độ ưu tiên hành vi (priority) Table 1: Tiêu chí đánh giá phần mềm độc hại Bảng 3: Tiêu chí đánh giá phần mềm độc hại Tiêu chí Mơ tả Tải trọng tiềm Tải trọng tiềm ẩn module làm suy giảm ẩn làm hỏng mục tiêu 16 Tiềm phát triển Mức độ nguy hại Sự nhanh chóng dễ dàng để mã chạy hệ thống Mục tiêu ẩn chứa payload Table 2: Các ngưỡng xếp loại Payload Bảng 4: Đề nghị ngưỡng xác định xếp loại Payload Rating Mô tả 10 Đa hình, chưa xác định trước Xóa tập tin cần thiết, lây nhiễm mạng; sụp đổ mạng làm tràn băng thơng Xóa, sửa đổi ghi đè lên tệp tin thiết yếu lây nhiễm mạng Sửa đổi ghi đè lên tập tin không cần thiết, lây nhiễm mạng; Tràn dung lượng băng thơng Xóa tập tin khơng cần thiết, lây nhiễm mạng Xóa tệp tin không cần thiết Làm tràn bang thông mạng Lây nhiễm tệp tin cần thiết Lây nhiễm tệp tin khơng cần thiết Khơng có ảnh hưởng lâu dài Table 3: Phân loại mức độ nguy hiểm theo điểm Bảng 5: Phân loại điểm theo mức độ nguy hiểm Điểm Phân loại Mô tả mức độ nguy hiểm 0-20 Tối thiểu 21-40 Thấp 41-60 Nguy hiểm 61-80 Rất nguy hiểm 81-100 Thảm họa Tính mức ưu tiên (Priority) đánh giá hành vi Luận văn đưa cách xếp hành vi theo mức độ ưu tiên cách tính điểm đánh sau Bảng có hành vi đặc trưng mã độc Ransomware có tổng điểm ưu tiên 36 điểm 17 Table 4: Tính mức ưu tiên (Priority) đánh giá hành vi Bảng 6: Mức độ ưu tiên theo hành vi điểm ưu tiên Số TT Hành Vi priority score Behavior Create new process 1/36 Behavior Modifie Regedit 2/36 Behavior Creates mutants 4/36 Behavior Delete Shadow 5/36 Behavior Anti Environment 3/36 Behavior Call API Crypt 7/36 Behavior Alert 8/36 Behavior Connect TOR or BL Network 6/36 Cơng thức tính điểm đánh giá hành vi Điểm tính trung bình điểm hành vi tương ứng với mức độ ảnh hưởng cụ thể hóa điểm ưu tiên (priority) Số lượng hành vi tổng giá trị ưu tiên (priority) tính làm trung bình cho điểm với mẫu mã độc sau (1) Với (2) Trong đó: 18 : Mức độ ưu tiên tính theo bảng priority : Điểm trung bình tính theo tổng số hành vi Ví dụ cách tính điểm: Giả sử mẫu mã độc “A” có hành vi 1, 3, tương ứng với Create new process (Score = 1/36), Creates mutants (Score = 4/36), Call API Crypt (Score = 7/36) Alert (Score = 8/36) Vậy tổng điểm hành vi mã độc “A” 20/36 tương ứng với số điểm thực tế 55.5 điểm 3.2 Thử nghiệm giải pháp 3.2.1 Kịch thử nghiệm Thực phân tích mẫu mã độc họ TestlaCrypt biết Pha 1: Thực chạy mẫu máy ảo để xem q trình mã hóa file máy ảo quan sát kết Máy ảo cài đặt hệ điều hành Vmware phiên 12.0, máy ảo cài đặt số phần mềm bổ trợ cần thiết gồm: phần mềm adobe, firefox ver39.x, python2.7 library, office 2003, netframework 2.x… Hình 3.4: Chạy mã độc TeslaCrypt Pha 2: Thực phân tích hành vi mẫu mã độc thông qua sandbox, liệu đầu module phát mã độc tiến hành phân tích hành vi đưa điểm số tương ứng với hành vi thu thập sở để kết luận tệp tin thực thi mã độc Ransomware 19 Hình 3.5: Chương trình phát mã độc Hình 3.6: Liệt kê hành vi nguy hiểm 3.2.2 Kịch thử nghiệm Thực kiểm tra tệp tin cài đặt có mở rộng exe tải từ trang chủ https://ninite.com/ có tên là: “Ninite KLite Codecs Installer.exe” Pha 1: Thực chạy mẫu “Ninite KLite Codecs Installer.exe” chuyên trang phân tích virustotal cho kết đánh giá 0/60 Ý nghĩa giá trị 0/60 thể tập tin quét 60 phần mềm phát mã độc thể đánh giá tệp tin thực thi khơng có phần mềm kết luận tệp tin có chứa mã độc 20 Hình 3.7: Thử nghiệm quét tệp tin virustotal Pha 2: Chạy tệp tin thực thi “Ninite KLite Codecs Installer.exe” [21] môi trướng Sandbox chạy qua giải pháp phát mã độc mã hóa liệu Ransomware Sau đánh giá hành vi mà phần mềm tác động lên hệ thống với phương pháp tính điểm chương trình phát mã độc Ransomware Số điểm đánh giá phần mềm 36.11 Hình 3.8: Kết chạy chương trình thử nghiệm 21 Hình 3.9: Hành vi phần mềm thực thi Giải thích điểm số đánh giá phần mềm Phần mềm có hành vi gọi hàm mã hóa giải mã file thực thi mã hóa trước tải từ trang web https://ninite.com Tệp tin cần phải giải mã để cài đặt vào máy người dùng sử dụng thư viện giải mã CryptUnprotectData Sau phát hành vi hệ thống tính điểm theo hành vi số bảng tính điểm cho hành vi 7/36 Phần mềm “Ninite KLite Codecs Installer.exe” tiếp tục gửi lênh GET đến trang web http://www.majorgeeks.com/ để tải tệp tin “k_lite_codec_pack_full” cài đặt vào máy tính người dùng hành vi GET POST liệu từ bên ngồi tương ứng với hành vi số bảng nhận điểm số 6/36 Như tổng điểm số đánh giá tệp tin “Ninite KLite Codecs Installer.exe” tính theo cơng thức (1) có số điểm 36,11 Với số điểm hệ thống đánh giá mối nguy hại từ phần mềm mức thấp Sau phân tích kết luận tệp tin thực thi 3.2.3 Đánh giá thử nghiệm kết luận Quá trình thử nghiệm thực phân tích mẫu, mã độc mẫu mã độc, kết chương trình phát xác tệp tin độc hại đạt yêu cầu toán đặt Giải pháp đề xuất đánh giá tóm tắt bảng sau 22 Đạt mục tiêu thiết kế Hệ thống có khả xử lý xác liệu cần lấy theo tiêu chí đặt Hệ thống có khả phát hành vi nguy hiểm dựa vào liệu báo cáo phân tích từ hệ thống Sandbox Có khả giảm thiểu phát sai thơng qua chế tính điểm theo mức độ nguy hiểm hành vi Chưa đạt mục tiêu Thời gian xử lý chậm, chưa có chức báo cáo cho quản trị viên Chưa thu thập nhiều họ mã độc để thực phân loại mã độc so sánh hành vi để tạo liệu mẫu đủ lớn, đủ đa dạng, giảm thiểu phát sai áp dụng học máy để tăng xác khả phân tích số lượng lớn mã độc 23 KẾT LUẬN Kết đạt Qua trình nghiên cứu, luận văn đạt kết nghiên cứu sau: - Đã nghiên cứu mã độc Ransomware, biện pháp nhận biết phòng chống mã độc, số phương pháp phát nhanh mã độc - Đã nghiên cứu, phân tích, đánh giá hai phương pháp phân tích mã độc điển hình là: phân tích tĩnh phân tích động - Phân tích, lựa chọn cơng cụ, phương pháp phân tích hành vi mã độc Ransomware Nghiên cứu thiết lập mơi trường phân tích mã độc Đề xuất mơ hình cụ thể cho phân tích hành vi mã độc - Thu thập mẫu mã độc, nghiên cứu hành vi, hoạt động số loại mã độc Đưa mức ưu tiên tiêu chí, cách tính điểm tiêu chí đánh giá mức độ nguy hiểm mã độc - Xây dựng giải pháp phát mã độc Ransomware, cụ thể phần mềm phân tích dựa hành vi phân tích heuristic gồm mơ đun: xử lý liệu mẫu mã độc thu thập được, lưu giữ mẫu, đánh giá mức nguy hiểm phát mã độc - Thử nghiệm giải pháp Kết thực đề tài nghiên cứu có ý nghĩa mặt khoa học thực tiễn Về mặt khoa học, luận văn có nghiên cứu sở lý thuyết phân tích mã độc, so sánh đánh giá hai phương pháp phân tích động tĩnh; đề xuất mơ hình cụ thể chương trình phân tích hành vi mã độc, phát mã độc theo mức ưu tiên đánh giá mức nguy hiểm Về mặt thực tiễn, kết nghiên cứu đưa giải pháp phân tích, phát mã độc Ransomware hiệu quả, thay phần kiến thức chuyên gia, dễ sử dụng, có khả làm chủ công nghệ, áp dụng vào thực tiễn Hạn chế - Hạn chế số lượng mẫu mã độc, chưa đa dạng chủng loại, điều có khả gây ảnh hưởng đến kết - Luận văn tập trung phân tích hai mẫu Ransomware phổ biến Việt Nam chưa thực số mẫu Ransomware khác 24 Hướng phát triển - Thu thập nhiều mẫu biến thể nhằm xây dựng hành vi đặc trưng hoàn chỉnh Khi có liệu đủ lớn có khả áp dụng học máy để tăng hiệu xuất phát Ransomware - Nghiên cứu cơng nghệ phân tích tĩnh tự động để nâng cao hiệu xuất chất lượng tập hành vi mẫu, làm sở phát triển giải pháp ngăn chặn Ransomware ... tiến hành xây dựng chương trình có khả phát mã độc mã hóa liệu dựa hành vi thu thập 2.5 12 Chương - XÂY DỰNG VÀ THỬ NGHIỆM GIẢI PHÁP PHÁT HIỆN RANSOMWARE 3.1 Kiến trúc thành phần giải pháp 3.1.1... đạt Qua trình nghiên cứu, luận văn đạt kết nghiên cứu sau: - Đã nghiên cứu mã độc Ransomware, biện pháp nhận biết phòng chống mã độc, số phương pháp phát nhanh mã độc - Đã nghiên cứu, phân tích,... vi mã độc - Thu thập mẫu mã độc, nghiên cứu hành vi, hoạt động số loại mã độc Đưa mức ưu tiên tiêu chí, cách tính điểm tiêu chí đánh giá mức độ nguy hiểm mã độc - Xây dựng giải pháp phát mã độc