Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn.Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone. Với tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông minh hay máy tính cá nhân, vì vậy môi trường hoạt động dành cho mã độc ngày càng rộng lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi.Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Báo cáo đã tìm hiểu và nghiên cứu về “Phát hiện mã độc dựa trên phân tích động sử dụng mã nguồn mở Cuckoo Sandbox”. Mục tiêu của Báo cáo gồm các nội dung chính:Chương 1. Tổng quan về mã độc: chương này giới thiệu những vấn đề cơ bản nhất về mã độc và vai trò của việc phân tích mã độc.Chương 2. Cơ chế hoạt động của mã độc: chương này mô tả khái quát về cấu trúc file PE của Windows; các hình thức tấn công, hành vi của mã độc và xu hướng phát triển của mã độc.Chương 3. Phương pháp phân tích động trong phát hiện mã độc trên môi trường Sandbox: chương này mô tả các bước trong quá trình phân tích mã độc và tìm hiểu về Sandbox.Chương 4. Thực nghiệm: Giới thiệu hệ thống phân tích mã độc tự động Cuckoo Sandbox. Áp dụng lý thuyết đưa ra trong Chương 3 để phân tích mã độc.Phần Kết luận: trình bày tổng hợp các kết quả báo cáo.Bài báo cáo đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuât phân tích mã độc dựa trên phân tích động, đưa ra được quy trình phân tích. Tuy nhiên, báo cáo không thể tránh khỏi những thiếu sót, vì vậy nhóm rất mong nhận được những ý kiến đóng góp, nhận xét của thầy cô giáo để kết quả bài báo cáo được hoàn thiện hơn.
Trang 1BAN CƠ YẾU CHÍNH PHỦ
Chuyên ngành: An toàn thông tin
Sinh viên thực hiện:
Phạm Ngọc Vân – Lớp L04
Đỗ Thị Vân – Lớp L01
Giảng viên hướng dẫn:
Thầy Phạm Văn Hưởng
Khoa Công nghệ thông tin – Học viện Kỹ thuật Mật mã
Trang 2MỤC LỤC
DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT
API Aplication Programming Interface Giao diện lập trình ứng dụngAV-TEST
Tổ chức kiểm định và đánh giá độc lập về các phần mềm diệt Virus cho Windows và AndroidIPS Intrusion prevention system Hệ thống phát hiện xâm nhậpIIS Internet Information Services
Các dịch vụ dành cho máy chủ chạy trên nền hệ điều hành Window
IDS Intrusion detection system Hệ thống ngăn ngừa xâm nhậpNIST National Institute of Standards and Technology Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ
PE File
Format Portable Executable File Format Định dạng file thực thi cơ bảnVNCERT Vietnam Computer Emergency Response Team Trung tâm ứng cứu khẩn cấp máy tính Việt NamHTML HyperText Markup Language Ngôn ngữ đánh dấu siêu văn bản
Trang 3DANH MỤC HÌNH
Trang 4LỜI CẢM ƠN
Trước hết tôi xin cảm ơn sâu sắc tới Thầy Phạm Văn Hưởng, đã định hướngcho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướngdẫn nhóm tôi trong quá trình làm thực tập cơ sở chuyên ngành
Xin cảm ơn tất cả mọi người đã tạo những điều kiện tốt nhất để nhóm tôi hoànthành thực tập cơ sở chuyên ngành
Hà Nội, tháng 10 năm 2018
Nhóm sinh viên
Phạm Ngọc Vân
Đỗ Thị Vân
Trang 5Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại khôngchỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh nhưsmartphone Với tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều
sở hữu một thiết bị thông minh hay máy tính cá nhân, vì vậy môi trường hoạt độngdành cho mã độc ngày càng rộng lớn và thiệt hại chúng gây ra cho chúng ta là vôcùng lớn Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam(VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngàycàng tinh vi
Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại củaviệc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Báo cáo đã tìm hiểu và
nghiên cứu về “Phát hiện mã độc dựa trên phân tích động sử dụng mã nguồn mở
Cuckoo Sandbox” Mục tiêu của Báo cáo gồm các nội dung chính:
Chương 1 Tổng quan về mã độc: chương này giới thiệu những vấn đề cơ bản
nhất về mã độc và vai trò của việc phân tích mã độc
Chương 2 Cơ chế hoạt động của mã độc: chương này mô tả khái quát về cấu
trúc file PE của Windows; các hình thức tấn công, hành vi của mã độc và xu hướngphát triển của mã độc
Chương 3 Phương pháp phân tích động trong phát hiện mã độc trên môi trường Sandbox: chương này mô tả các bước trong quá trình phân tích mã độc và
tìm hiểu về Sandbox
Trang 6Phần Kết luận: trình bày tổng hợp các kết quả báo cáo.
Bài báo cáo đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹthuât phân tích mã độc dựa trên phân tích động, đưa ra được quy trình phân tích Tuynhiên, báo cáo không thể tránh khỏi những thiếu sót, vì vậy nhóm rất mong nhận đượcnhững ý kiến đóng góp, nhận xét của thầy cô giáo để kết quả bài báo cáo được hoànthiện hơn
Trang 7CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 Tổng quan về mã độc
1.1.1 Khái niệm về mã độc
Theo quan điểm của Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ National Institute of Standard and Technology) về định nghĩa và phân loại trong lĩnhvực “Virus máy tính”, mã độc (Malware) hay còn gọi là malicious code đề cập đếnmột chương trình được chèn vào hệ thống một cách bí mật, với mục đích làm tổn hại,làm gián đoạn tính bí mật, tính toàn vẹn hoặc tính khả dụng của dữ liệu, ứng dụng
(NIST-hoặc hệ điều hành (OS) của nạn nhân [2].
Malware là thuật ngữ đại diện cho tất cả các phần mềm có mục đích là gây độchại tự nhiên Có nhiều loại Malware khác nhau Một số loại phổ biến là virus, worms,trojans, backdoors, rootkits, bots và spyware
1.1.2 Tình hình mã độc tại Việt Nam và trên thế giới
Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến nay, theo viện nghiên cứu độc lập về an toàn thông tin AV-TEST (www.av-test.org), đã có khoảng hơn 150 triệu mã độc được phát tán Đặc biệt, trong vòng 5 năm gần đây, số lượng mã độc pháttriển nhanh chóng trên toàn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho toàn bộ những người sử dụng Internet trên toàn cầu
Trang 8Hình 1.1 Số lượng mã độc trên toàn thế giới trong vòng 5 năm gần đây (Nguồn: AV-TEST)
Chủng loại mã độc cũng đa dạng và phong phú hơn về cả hành vi và mục đích phát tán Các lĩnh vực mà mã độc nhằm đến bao gồm kinh tế, chính trị, tôn giáo và nhiều lĩnh vực quan trọng khác Trong năm 2017, thế giới bị rúng động bởi sự hoành hành của mã độc tống tiền WannaCry gây lây nhiễm trên 250.000 máy tính ở 150 quốc gia trên thế giới
Trang 9và đã xuất hiện tại Việt Nam Bên cạnh các loại mã độc phổ biến thì cũng xuất hiệncác dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản Hầu hết ngườinhận được email đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗhổng của phần mềm Microsoft Office (bao gồm cả Word, Excel và PowerPoint) Khixâm nhập vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân,
mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa Chúngcũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím,chụp màn hình, lấy cắp tài liệu
Trong vòng 8 tháng đầu năm 2018, Việt Nam nằm trong số 20 quốc gia bị lây nhiễm mã độc nhiều nhất thế giới, đồng thời dẫn đầu Đông Nam Á với hơn 86 triệu email có nội dung đe dọa tấn công được phát hiện, theo hãng bảo mật Trend Micro
Hình 1.3 Số liệu thống kê virus phát tán qua email tính đến quý 2 năm 2018 trên trang
statista.com
Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn công của mã độc cũng
có nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chươngtrình diệt Virus, sử dụng các hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống, Tuynhiên các biện pháp này chỉ phần nào ngăn chặn được các loại Virus đã được biết đếnrộng rãi, còn các biến thể mã độc hoặc các mã độc mới được sinh ra ngày càng nhiều
Trang 10Số liệu cho thấy, trong 5 tháng đầu năm 2018, có tới 735.000 máy tính tại ViệtNam bị nhiễm virus đào tiền ảo Các virus này không xóa dữ liệu nhưng chiếm quyềnđiều khiển và biến máy tính thành máy đào Với phần mềm gián điệp, khi máy tính bịlây nhiễm, nó sẽ ăn cắp dữ liệu cá nhân, cookie, tài khoản email và tài khoản ngânhàng Các dữ liệu cá nhân bị đánh cắp sẽ được sử dụng với mục đích xấu hoặc báncho các công ty quảng cáo.
Không kém phần nguy hiểm là mã độc tấn công có chủ đích APT (thuật ngữdùng để mô tổ một chiến dịch tấn công, thường do một nhóm các kẻ tấn công, sửdụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trênmạng Internet nhằm khai thác dữ liệu có độ nhạy cảm cao) Đây là hình thức tấn côngbằng email chứa file văn bản Kẻ xấu giả làm người quen và gửi email kèm file vănbản Khi người dùng mở file đính kèm, máy tính sẽ vô tình bị nhiễm mã độc
Virus có thể được chia thành 2 loại sau:
- Compiled Virus: Là virus mà mã thực thi của nó đã được dịch hoàn chỉnh
bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành Cácloại virus được biên dịch bao gồm file infector virus, chúng tự gắn vào cácchương trình thực thi; boot sector virus, lây nhiễm vào bản ghi khởi độngchính của ổ đĩa cứng hoặc các chương trình khởi động của thiết bị lưu trữ diđộng và multipartite virus, kết hợp các đặc tính của file infector và bootsector virus
- Interpreted Virus: Là virus được thực thi bởi một ứng dụng Macro virus,
Trang 11và scripting virus như sau: macro virus là tập lệnh thực thi bởi một ứng dụng
cụ thể, còn scripting virus là tập lệnh chạy bằng một service của hệ điềuhành
1.2.2 Worm
Là một phần mềm có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuynhiên nó có khả năng “tự đóng gói”, thường tự thực thi mà không cần sự can thiệp củangười dùng Worm có thể chia làm 2 loại sau:
- Network Service Worm: Lan truyền bằng cách lợi dụng các lỗ hổng bảo
mật trong một dịch vụ mạng để tự lan truyền và lây nhiễm sang các máy chủkhác
- Mass Mailing Worm: Là một dạng tấn công qua dịch vụ mail, tuy nhiên nó
tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email.Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ
và tự gửi bản thân nó đến các địa chỉ thu nhặt được Việc gửi đồng thời chotoàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail
1.2.3 Trojan horse
Trojan là một chương trình độc lập, không tự nhân bản Nó lây vào hệ thốngvới biểu hiện ban đầu là lành tính nhưng thực chất bên trong có ẩn chứa các đoạn mãvới mục đích gây hại Thuật ngữ này bắt nguồn từ câu chuyện Hy Lạp cổ đại “ Ngựathành Troy” Trojan có thể lựa chọn một trong 3 phương thức để gây hại như sau:
- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, bên cạnh đóthực thi các hoạt động gây hại một cách riêng biệt
- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, nhưng sửa đổimột số chức năng để gây tổn hoặc che giấu các hành động phá hoại khác
- Thực thi luôn một phần mềm gây hại bằng cách núp dưới danh một phần mềmkhông có hại
1.2.4 Rootkits
Rootkit là thuật ngữ được dùng để chỉ tập hợp các chương trình hay mã lệnh cókhả năng kiểm soát hệ thống nhưng không bị phát hiện theo cách bình thường Nóicách khác rootkit là những mã lệnh hay chương trình có khả năng kiểm soát ở cấp độquản trị phổ thông một hệ thống máy tính mà người dùng không bao giờ hoặc khó có
Trang 131.2.6 Adware
Adware là phần mềm quảng cáo thường hay có ở trong các chương trình cài đặttải từ trên mạng Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thôngtin lên màn hình, cưỡng chế người dùng
1.2.7 Fileless Malware
Fileless malware là một phần mềm độc hại không sao chép bất cứ tệp tin và thưmục nào vào ổ đĩa cứng khi thực thi, Thay vào đó, dữ liệu độc hại được đưa trực tiếpvào bộ nhớ của tiến trình đang chạy và mã độc thực thi ngay trên RAM Việc điều tra
số và lần vết mã độc trở nên khó khăn do bộ nhớ sẽ được giải phóng khi máy tínhkhởi động lại
1.2.8 Ransomware
Là mã độc tống tiền bao gồm nhiều lớp phần mềm với chức năng hạn chế truycập đến hệ thống máy tính mà đã lây nhiễm, và đòi hỏi một khoản tiền cho người đãtạo ra mã độc đó nhằm mục đích xoá bỏ việc hạn chế truy cập mà nó đã tạo ra trước
đó Một vài dạng của ramsomware mã hoá tệp tin, dữ liệu trên ổ đĩa cứng (nhằm tốngtiền), trong khi một vài dạng khác thì đơn giản hơn, chúng khoá hệ thống lại và hiểnthị một thông báo để thuyết phục người bị hại trả tiền
Trang 141.3 Vai trò của việc phân tích mã độc
Với sự phát triển mạnh mẽ của Internet, vấn đề an ninh, bảo đảm an toàn chocác hệ thống thông tin ngày càng trở nên cấp thiết khi các hệ thống thông tin được kếtnối với nhau và kết nối với mạng Internet, chúng ta phải đối diện với nhiều nguy cơ bịtấn công lấy cắp thông tin hoặc phá hoại hệ thống Trong số các phương thức tấn côngphá hoại hệ thống thông tin và mạng, các phần mềm độc hại là một trong các dạnggây nhiều thiệt hại nhất do khả năng lan truyền nhanh chóng
Câu hỏi đặt ra là liệu có cần phân tích mã độc không khi càng ngày những phầnmềm đảm bảo an ninh máy tính càng phát triển Câu trả lời luôn là có, vì các phầnmềm độc hại được phát triển ngày càng tinh vi và rất khó phát hiện Phần mềm đảmbảo an ninh mạnh nhất và được cập nhật cũng không thể loại bỏ được hết mã độc Kếtquả của quá trình phân tích mã độc sẽ phát hiện được những phương thức lây lan, pháhoại, đánh cắp dữ liệu mới; đồng thời hạn chế sự lây lan, giảm thiểu thiệt hại do mãđộc gây ra bằng cách đưa các cảnh báo tới cộng đồng; là nguồn thông tin quan trọng
để cập nhật mẫu cũng như chức năng cho phần mềm đảm bảo an ninh máy tính
1.4 Kết luận chương 1
Trong chương này báo cáo đã nghiên cứu các kiến thức cơ bản về mã độc, tổngquan về tình hình mã độc hiện nay tại Việt Nam và trên thế giới Nội dung báo cáo đãtrình bày được các loại mã độc hiện nay và vai trò của việc phân tích mã độc
Trong chương tiếp theo, báo cáo sẽ nghiên cứu đến cơ chế hoạt động, hành vicủa mã độc và xu hướng phát triển của mã độc hiện nay
Trang 15CHƯƠNG 2: CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC 2.1 Tìm hiểu về cấu trúc PE file
Một bước rất quan trọng khi tìm hiểu về mã độc là tìm hiểu về file PE vì gầnnhư mọi mã thực thi được nạp bởi Windows đều có định dạng PE Đây là dạng phổbiến bậc nhất của mã độc và cũng là định dạng hay bị lây nhiễm mã độc nhất
Định dạng file PE được dùng cho những file thực thi, mã đối tượng và các DLLcủa Windows Định dạng này là một cấu trúc dữ liệu bao gồm thông tin cần thiết đểWindows OS Loader quản lý được mã thực thi trong nó
Để có thể thực thi trên máy tính, nội dung file PE được chia thành các thànhphần và có mối liên hệ mật thiết với nhau Nắm rõ cấu trúc PE sẽ giúp chúng ta hiểuđược cơ chế thực thi của một phần mềm, từ việc tổ chức tới việc nạp lên bộ nhớ, cáctài nguyên sử dụng…
Hơn nữa, khi chúng ta muốn sửa đổi một file, ví dụ như thêm vào một số đoạn
mã, chỉnh sửa một số thành phần nhưng vẫn muốn phần mềm thực thi bình thường, ví
dụ trong trường hợp cần chỉnh sửa các công cụ phân tích để tránh bị phát hiện bởi mãđộc thì chúng ta cần phải nắm rõ cấu trúc PE file cũng như mối liên hệ giữa các thànhphần trong file để có thể nhanh chóng thay đổi file và thoả mãn yêu cầu đề ra màkhông ảnh hưởng tới chức năng cũng như hoạt động của file
Mặt khác, đối với các mã sử dụng kỹ thuật tiêm mã vào các tiền trình đang có
để che giấu sự tồn tại trên hệ thống, nếu chúng ta không hiểu rõ cấu trúc của file PE
sẽ rất khó tìm ra tiến trình bị tiêm mã độc
Trang 16Hình 2.1 Cấu trúc cơ bản của PE
Cấu trúc PE có thể gồm nhiều section, trong đó tối thiểu cần 2 section: data và
code Một số section thông dụng hay được gặp ở các phần mềm [3]:
1 Executable Code Section, có tên là text (Microsoft)
2 Data Sections, có tên là data, rdata, bss (Microsoft) hay DATA (Borland)
3 Resources Section, có tên là rsrc
4 Export Data Section, có tên là edata
5 Import Data Section có tên là idata
6 Debug Information Section, có tên là debug
Cấu trúc các section trên bộ nhớ và trên ổ đĩa là như nhau, tuy nhiên khi đượcnạp lên bộ nhớ, các Windows loader sẽ quyết định thứ tự và vị trí nạp các phần, do đó
vị trí các phần trên ổ đĩa và trên bộ nhớ sẽ có sự khác biệt
Trang 172.2 Các hình thức tấn công của mã độc [3][5]
Hiện nay có rất nhiều hình thức phát tán mã độc hại, có thể thông qua email,thông qua các phần mềm và gắn mã độc vào bên trong, thông qua các đường linktrang web, thông qua việc chia sẻ file USB…
2.2.1 Qua thiết bị lưu trữ
Cách phát tán phổ biến nhất của mã độc trước đây là qua các thiết bị lưu trữ diđộng, dù là thời sử dụng đĩa mềm ngày xưa hay thẻ nhớ USB ngày nay Hiện tại, thẻnhớ trong các thiết bị di động thông minh, hay thiết bị ghi âm, ghi hình kỹ thuật sốcũng là một vật trung gian hiệu quả cho việc lan truyền mã độc Các thiết bị di độngthông minh thì hay phải nạp pin và phương thức nạp pin qua cổng USB lại rất tiệndụng, điều này tiềm ẩn nguy cơ rất lớn cho việc lây truyền mã độc
Một số dạng phát tán điển hình qua USB:
- Lợi dụng chức năng Autorun:
Khi thiết bị lưu trữ có sử dụng giao tiếp USB được cắm vào máy tính đã nhiễm
mã độc, mã độc sẽ phát hiện ra thiết bị có thể lây nhiễm được, sau đó tự sao chép bảnthân mình vào một vị trí bí mật trên thiết bị đó Tiếp theo, nó ghi một file autorun.inf
có nội dung cơ bản như sau:
[Autorun]
OPEN = Đường dẫn virus trong đĩa USB
Từ Windows Vista trở về trước, Windows sẽ mặc nhiên kiểm tra tập tin autorun.inftrong các thiết bị USB và thực thi các câu lệnh có trong đó
- Đánh lừa người dùng:
Trong nhiều trường hợp, các lây nhiễm sử dụng tập tin Autorun không hiệu quả,
ví dụ như từ hệ điều hành Windows 7 trở về sau, chức năng này không còn hoạt độngnữa Mã độc chuyển sang sử dụng cách đánh lừa người dùng để thực thi file mã độc
đã lây nhiễm trên thẻ nhớ USB Có thể kể đến như:
• Ẩn thư mục trên USB và thay vào đó là các tập tin mã độc có hình thư mụcvới tên tương tự các thư mục tồn tại ban đầu Với cách này, mã độc dễ dàng lừa đượcngười dùng khởi chạy nó nếu trên hệ thống đang tắt chức năng hiển thị file ẩn và phần
mở rộng file
Trang 18• Chuyển các file doc, docx của người dùng vào vị trí bí mật trên thẻ nhớ USBthay thế vào đó là các file mã độc có tên và hình đại diện (icon) là file doc, docx.Đồng thời sử dụng các khoảng trắng để kéo dài tên file tối đa, làm người dùng có đểhiện tên file thì cũng có khả năng cao bị đánh lừa.
mã độc còn khôi phục lại thẻ nhớ USB như chưa hề bị nhiễm để tránh sự phát hiện
Hình 2.2: Mã độc phát tán qua USB
Trang 192.2.2 Qua mạng Internet
2.2.2.1 Phát tán qua các phần mềm
Các phần mềm được viết ra có chứa sẵn mã độc, hoặc các phần mềm chínhthống bị sửa đổi để thêm mã độc vào được phát tán tràn lan trên mạng Internet Cácphần mềm Crack (bẻ khóa) có tỉ lệ chứa mã độc trong đó rất cao Nhiều khi vì chủquan hay vì muốn dùng phần mềm mà không phải trả tiền, người dùng sẵn sàng bấtchấp mọi nguy cơ bị lây nhiễm mã độc để dùng những phần mềm này
Hình 2.3: Phần mềm Keygen bẻ khoá có nguy cơ lây nhiễm mã độc
2.2.2.2 Phát tán qua các trang web
Khi truy cập các trang web, hệ thống có thể bị nhiễm mã độc bất kỳ lúc nào,nhất là khi truy cập vào các trang không đáng tin cậy Điều này có thể xảy ra ngày cảkhi chúng ta chỉ mở trang web, vì các trình duyệt, đặc biệt là các thành phần của trìnhduyệt được phát triển bởi hãng thứ 3 (plugin) ẩn chứa rất nhiều nguy cơ mất an toàn
Mã độc có thể lợi dụng những lỗ hổng này để phát tán và lây nhiễm vào hệ thống
Trang 20Hình 2.4: Phát tán mã độc trên các trang web độc hại 2.2.2.3 Phát tán qua thư điện tử
Khi mà thư được sử dụng ngày càng rộng rãi thì đây là một nguồn lây nhiễm rấthiệu quả Khi đã lây nhiễm vào máy nạn nhân, mã độc có thể tự tìm ra danh sách các địa chỉ thư điện tử trong máy tính và nó tự gửi đi hàng loạt những thư đánh lừa được đính kèm bản thân nó hoặc các liên kết chứa mã độc Khi người nhận không phát hiện
ra thư bị nhiễm mã độc thì khả năng cao sẽ bị nhiễm mã độc vào máy và từ máy này
mã độc lại tiếp tục lây nhiễm Chính vì vậy, số lượng phát tán mã độc có thể theo cấp
số nhân khiến trong thời gian ngắn hàng triệu máy tính có thể bị lây nhiễm
Ngày nay, khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt mã độc
có thể khắc phục được hành động tự nhân bản hàng loạt để phát tán qua các địa chỉ thư điện tử trong danh bạ máy tính thì chủ nhân mã độc có thể chuyển qua hình thức
tự gửi thư phát tán mã độc bằng các nguồn địa chỉ sưu tập được, các địa chỉ này cũng
có thể là của chính mã độc đó gửi về
Phương thức phát tán qua thư điện tử bao gồm:
- Phát tán vào các file đính kèm: Với cách này, người dùng sẽ không bị nhiễm
Trang 21Hình 2.5: Nội dung email giả mạo Thủ tướng được gởi đến người dùng Việt Nam năm 2015
(Nguồn: nld.com.vn)
- Phát tán do mở một liên kết trong thư điện tử: Liên kết trong thư điện tử có
thể dẫn tới một trang web được cài sẵn mã độc, các này thường khai thác lỗhổng của trình duyệt hoặc các plugin (thành phần cài đặt thêm) của trình duyệt,
ví dụ như trình FlashPlayer
Trang 22Hình 2.6: Thư điện tử kèm liên kết độc hại
- Phát tán ngay khi mở để xem thư điện tử: Trường hợp này vô cùng nguy
hiểm bởi chưa cần kích hoạt các file hay mở liên kết gì hệ thống đã bị nhiễm
mã độc Cách này thường là do mã độc khai thác lỗ hổng của hệ điều hành.Mặc dù vây, cách khai thác này cũng khó thực hiện hơn, do lỗ hổng trên hệ điềuhành chưa bị phát hiện (zero day) sẽ ít hơn rất nhiều lỗ hổng trên trình duyệt vàcác plugin của nó
2.2.2.4 Phát tán qua mạng nội bộ
Mã độc sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạn nhân)xem có thư mục nào chia sẻ (Share) và cho phép sửa chữa chúng hay không Sau đóchúng sẽ tự sao chép và chờ đợi một ai đó vô ý chạy chúng
2.2.2.5 Phát tán qua các dịch vụ IM
Nhắn tin nhanh (Instant Messaging), là dịch vụ cho phép hai người trở lên nóichuyện trực tuyến với nhau qua một mạng máy tính Tương tự như lây nhiễm qua thưđiện tử, mã độc lây nhiễm qua IM cũng có những phương thức tương tự như gửi filehay gửi link chứa mã độc Mã độc này có thể lây nhiễm với nhiều nền tảng IM từ
Trang 23Với lượng người dùng khổng lồ của mình, không ngạc nhiên khi Facebookđược xem là điểm bị lây nhiễm và phát tán đầu tiên Mã độc nguy hiểm được pháthiện lây lan bằng cách gửi đi một tập tin được đặt tên là “Video_xxx.zip” (trong đóxxx là các số ngẫu nhiên) Khi người dùng tải về và giải nén sẽ được tập tin có phần
mở rộng mp4.exe Nếu tiếp tục bấm vào file này, người dùng sẽ bị nhiễm mã độc vàtrở thành nguồn lây lan
Hình 2.7: Mã độc trên Facebook Messenger được phát tán vào tháng 12/2017 (Nguồn:
Vietnamnet.vn)
Trang 242.4 Hành vi của mã độc
Khi lây nhiễm vào một máy tính, mã độc thường thực hiện một số hành vinhằm che dấu sự hoạt động của chúng trước người dùng, đồng thời tạo ra các môitrường để có thể tự khởi động cùng hệ thống cũng như tải về các mã độc khác Sauđây là một số hành vi tiêu biểu nhất mà người phân tích mã độc cần tìm hiểu:
- Sự thay đổi về hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung hay xóacác tập tin trên hệ thống
- Sự thay đổi trong hệ thống Registry: Bao gồm việc tạo ra hoặc sửa đổi các giátrị trong khóa registry
- Tiêm nhiễm vào các tiến trình khác đang chạy trên hệ thống
- Tạo ra các Mutex nhằm tránh việc xung đột khi sử dụng tài nguyên trên máytính
- Tạo ra các hoạt động mạng đáng ngờ: Kết nối đến các trang web lạ để tải về mãđộc khác, kết nối đến các máy chủ IRC, thực hiện việc quét các hệ thống bênngoài,…
- Khởi chạy hoặc cho dừng các dịch vụ trên Windows: ví dụ dịch vụ của trìnhdiệt Virus
2.5 Xu hướng phát triển của mã độc
Có thể nhận thấy từ trước đến nay mã độc có xu hướng phát triển tăng dần cả
về độ phức tạp cũng như mục tiêu mà chúng nhắm đến Hiện nay, đa phần mã độcđược thiết kế nhắm đến các mục tiêu được xác định từ trước, đó có thể là một cá nhânhoặc một tổ chức Xuất phát từ mục đích đó, mã độc hiện nay được thiết kế sao cho
có khả năng che dấu càng lâu càng tốt, sau đó chúng mới thực hiện các mục đích pháhoại ăn cắp thông tin hay gián điệp
Một đặc tính nguy hiểm của mã độc hiện nay đó là được thiết kế với mục đíchlây nhiễm dài hạn trên mục tiêu, điều đó có nghĩa là khi lây nhiễm vào máy mục tiêu,thay vì ngay lập tức có những hành vi phá hoại hay ăn cắp dữ liệu dễ bị phát hiện,chúng sẽ thực hiện một loạt sự chuẩn bị để tồn tại trong hệ thống lâu dài Sau đó, mớithực thi các cuộc tấn công vào hệ thống lớn hơn, hay tấn công ra ngoài hệ thống đã bịlây nhiễm với sự đảm bảo rằng nếu cuộc tấn công thất bại, kẻ tấn công có thể sử dụng
Trang 25Trong những mã độc đã được phân tích, người ta còn nhận thấy xu hướng cảitiến phức tạp trong việc đánh cắp dữ liệu – một trong những mục đích quan trọng của
mã độc Cách thức mà mã độc sử dụng phải đảm bảo dữ liệu đánh cắp được không bịchặn hay bị phát hiện nhưng hành vi đánh cắp vẫn đảm bảo tính bí mật, điều này đòihỏi kẻ tấn công phải sử dụng những kênh giao thức phổ biến cũng như mã hoá dữ liệukhi truyền đi
Mục tiêu của những loại mã độc nguy hiểm thời gian gần đây có thể bao gồmquân sự, chính trị hay thu nhập các thông tin tình báo kinh tế, làm gián đoạn các hoạtđộng hoặc phá huỷ các thiế bị công nghiệp Mã độc Stuxnet cho phép kẻ tấn công phá
vỡ các hệ thống kiểm soát công nghiệp trong quá trình làm giàu Uranium của một cơ
sở công nghiệp cụ thể là một điển hình cho xu hướng phát triển của mã độc trongtương lai
Social engineering - một kỹ thuật cho phép kẻ tấn công lợi dụng yếu tố conngười để đánh bại hệ thống an ninh cũng được sử dụng nhiều hiện nay (yếu tố conngười luôn là điểm yếu nhất trong mọi phương án phòng vệ) Nhờ kỹ thuật này, kẻ tấncông có thể xâm nhập sâu vào hệ thống an ninh của đối tượng Dựa vào các thông tinthu thập thông qua mạng xã hội hay các trang web thông tin truyền thông, kẻ tấn công
có thể tập hợp thông tin về mục tiêu cũng như một mạng lưới thông tin xung quanhmục tiêu, từ đó các cuộc tấn công trở nên đáng tin cậy và có sức thuyết phục để dễdàng vượt qua hệ thống an ninh
Ghi nhận đầu tiên về mã độc vào năm 1981 và phát triển nhanh chóng theo xuhướng phát triển của công nghệ máy tính Càng ngày, mã độc càng trải qua nhữngthay đổi đáng kể về đặc điểm, phân loại cũng như mục đích sử dụng Cùng với sựbùng nổ của mạng máy tính, thiết bị di động thông minh, mã độc cũng tăng trưởngvới tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứng với cáccông nghệ và nền tảng mới
Trang 26Nếu như ban đầu mục tiêu của những đoạn mã độc chỉ nhằm đến những máytính đơn lẻ, cơ chế lây lan hầu như không có và tác hại mang tính trêu chọc thì ngàynay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ chế lây lanphức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ Nghiêm trọnghơn, mã độc có thể được phát triển phức tạp và thiết kế tinh vi với mục đích gián điệp,phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới Từ đó dẫn tới nguy cơ
về một cuộc chiến tranh mạng Cyberwar lan rộng
Dựa vào thực tế sự phát triển mã độc hiện nay, một số dự đoán xu hướng pháttriển của mã độc trong tương lai:
- Các loại mã độc với các kỹ thuật chống phân tích được cải tiến
- Mã độc trong các thiết bị di động bùng phát do xu hướng di động đã và sẽphát triển mạnh trong tương lai
- Mã độc với những kỹ thuật được cải tiến đảm bảo sao cho chúng có thể lâynhiễm trên diện rộng đồng thời trên nhiều nền tảng khác nhau
- Mã độc được sử dụng như là một công cụ quan trọng trong chiến tranh mạnggiữa các tổ chức hay các quốc gia
Cùng với sự bùng nổ của mạng máy tính, thiết bị di động cũng như sự pháttriển không ngừng của công nghệ thông tin, mã độc cũng liên tục phát triển và biếnđổi để phù hợp
Chúng không ngừng cải tiến để chống lại sự phát hiện từ phía người sử dụng,biến đổi để thích nghi với môi trường, nền tảng mới với mục tiêu lây nhiễm trên diệnrộng cho cùng một mục đích của người viết mã độc Mã độc có thể coi là loại vũ khísắc bén của chiến tranh mạng trong tương lai
2.6 Kết luận chương 2
Chương 2 của bài báo cáo đã trình bày mô tả khái quát về cấu trúc file PE củaWindows, hình thức tấn công và hành vi phát tán của mã độc Nội dung cũng trìnhbày xu hướng phát triển của mã độc hiện nay
Tiếp theo chương 3 sẽ trình bày phương pháp phân tích động trong phát hiện
mã độc với Sandbox