ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN HỒ VIẾT QUANG THẠCH XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN MALWARE LUẬN VĂN THẠC SĨ NGÀNH: KHOA HỌC MÁY TÍNH MÃ SỐ: 60.48.01.01 NGƯỜI HƯỚNG DẪN KHOA HỌC TS NGUYỄN ANH TUẤN TP.HỒ CHÍ MINH – Năm 2015 Luận văn tốt nghiệp LỜI CAM ĐOAN Tôi xin cam đoan: a Những nội dung luận văn thực hướng dẫn thầy TS Nguyễn Anh Tuấn b Mọi tham khảo dùng luận văn trích dẫn rõ ràng trung thực tên tác giả, tên cơng trình, thời gian, địa điểm cơng bố c Mọi chép không hợp lệ, vi phạm quy chế đào tạo tơi xin hồn tồn chịu trách nhiệm NGƯỜI CAM ĐOAN Trang Luận văn tốt nghiệp MỤC LỤC Lời cam đoan Chương 1: Giới thiệu tổng quan đề tài 1.1 Đặt vấn đề 1.2 Mục đích nghiên cứu 1.3 Khảo sát loại phần mềm phòng chống mã độc IDS 1.4 Đối tượng phạm vi nghiên cứu 1.5 Phương pháp nghiên cứu 1.6 Ý nghĩa khoa học thực tiễn Chương 2: Cơ sở lý thuyết 2.1 Malware gì? 2.2 Các loại malware thường thấy Android 2.3 Kỹ thuật phát malware 13 2.4 Phương pháp phát dựa hành vi 14 2.5 Giới thiệu Snort 15 Chương 3: Phương pháp nghiên cứu xây dựng thực nghiệm 28 3.1 Mơ hình nghiên cứu 31 3.2 Môi trường thực nghiệm 32 3.3 Các bước thực 33 Chương 4: Kết thực nghiệm đánh giá 40 4.1 Tổng hợp kết thực nghiệm 40 4.2 Đánh giá hệ thống phát malwae 41 Chương 5: Kết luận hướng phát triển 43 5.1 Kết luận 43 5.2 Hướng phát triển 45 Tài liệu tham khảo 46 Trang Luận văn tốt nghiệp CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI 1.1 Đặt vấn đề Trong thời đại ngày nay, số lượng người sử dụng Internet ngày phát triển Tháng 01/2014, trang WeAreSocial đưa báo cáo “Bối cảnh liệu toàn cầu” với số phát triển đáng quan tâm Cụ thể số liệu thống kê WeAreSocial cho thấy: • Số lượng đăng kí sử dụng di động hoạt động vào khoảng 93% dân số giới • Tỉ lệ người kết nối Internet toàn cầu đạt 35%, tương đương 2,5 tỉ người • Các kênh Mạng xã hộ tiếp tục phát triển mạnh mẽ 12 tháng qua, đạt tỉ lệ thâm nhập người dùng 26% Trong đó, khu vực Đông Nam Á, lượng người sử dụng mạng xã hội di động số cao trung bình xấp xỉ chiếm 9-10% tổng số người dùng toàn cầu Tại Việt Nam, Chỉ số Internet di động Việt Nam năm 2014 (Nguồn: Theo thống kê Cục Thương mại điện tử công nghệ thông tin (VECITA) – Bộ Cơng thương): • Tỉ lệ truy cập Internet qua thiết bị di đơng: 36% tổng số dân • Tỉ lệ truy cập Internet có tham gia mua sắm online 57% • người Việt Nam truy cập Internet 5,6 giờ/ngày, 6,4 ngày/tuần - Tổng số thời gian 36 giờ/tuần Với thống kê cho thấy việc truy cập Internet người dân tăng cao, nhu cầu giao dịch mạng ngày phát triển, môi trường tốt để hacker khai thác thông tin phá hoại thông tin quan trọng người dùng toàn hệ thống mạng Trang Luận văn tốt nghiệp Với nguy vậy, công ty phát triển phần mềm đưa nhiều cách thức cảnh báo, triển khai nhiều biện pháp an ninh nhằm đảm bảo sản phẩm cơng nghệ thơng tin họ an tồn, tăng tính cạnh tranh thị trường Tuy nhiên, nguy an toàn hệ thống mạng sản phẩm công nghệ thông tin không giảm đi, hacker lại tìm nhiều biện pháp tinh vi hơn, phức tạp để xâm nhập hệ thống Khi phần mềm an ninh ngày phát triển, hệ thống phòng chống mã độc triển khai từ cổng vào (gateway) hệ thống mạng, hacker lại thay đổi hình thức triển khai mã độc giải pháp tích hợp vào phần mềm hợp lệ để ẩn hệ thống thiết bị người dùng đầu cuối, để người dùng truy cập ứng dụng, chương trình mã độc kích hoạt thu thập thông tin người dùng, gửi cho chủ sở hữu Với việc loại Malware thường xuyên gây nguy hại, làm an tồn an ninh thơng tin hệ thống, cần phải có hệ thống dùng để giám sát loại Malware để cảnh báo cho người dùng Ý tưởng việc xây dựng hệ thống giám sát từ bên mạng nội thông qua cảm biến (sensor) mã độc, giúp phát loại mã độc ẩn Trong đề tài luận văn em, em xin đề xuất đề tài Xây dựng triển khai hệ thống phát Malware có dấu hiệu xuất Malware hệ thống mạng nội 1.2 Mục đích nghiên cứu Trong đề tài này, em tìm hiểu dạng cơng khác hệ thống Malware, dựa vào dạng công này, em xây dựng hệ thống cảm nhận loại Malware thông báo cho người quản trị hệ thống biết để định hướng ngăn chặn Malware Trang Luận văn tốt nghiệp 1.3 Khảo sát loại phần mềm phòng chống mã độc IDS 1.3.1 Khảo sát loại phần mềm phòng chống mã độc Khi đưa nghiên cứu mã độc giải pháp để gửi cảnh báo phận quản trị, tác giả nghiên cứu tìm hiểu nhiều phần mềm có khả phát ngăn chặn mã độc Nguyên lý phần mềm phòng chống virus sau: - Kiểm tra tập tin để phát virus biết sở liệu nhận dạng virus phần mềm diệt virus cập nhật - Phát hành động phần mềm giống hành động virus phần mềm độc hại Với cách thức so sánh với mẫu virus biết trước, phát đoạn mã virus tập tin bị lây nhiễm virus phần mềm thực biện pháp loại bỏ virus khỏi tập tin bị lây nhiễm Kỹ thuật so sánh mẫu virus khiến cho phần mềm liên tục phải cập nhật sở liệu để có khả nhận biết loại virus biến thể Có hai dạng cập nhật sở liệu: - Cập nhật hình thức tải file từ Internet: Hình thức tải lần file cập nhật để cập nhật cho nhiều máy khác nhau, nhiên kích thước file tải lớn - Cập nhật trực tiếp tính tự động cập nhật phần mềm diệt virus: hần mềm tải sở liệu loại virus nên lần cập nhật cần tải xuống dung lượng thấp Với cách thức phát hành động phần mềm giống hành động virus phần mềm độc hại, việc phát mã độc cách thức hình thức nâng cao, chương trình phòng chống mã độc theo dõi thường xuyên phần mềm cài đặt hệ thống máy tính, thường xuyên theo dõi hành vi phần mềm này, cách thức hoạt động phần mềm tương tự loại virus biết, phần mềm phòng chống virus gửi cảnh báo đến người dùng Trang Luận văn tốt nghiệp Hiện nay, có nhiều phần mềm phòng chống virus khác như: - Kaspersky Antivirus - AVG Antivirus - Avast! Antivirus - Avira Antivirus - … 1.3.2 IDS – Intrusion Detection System Bên cạnh đó, trình nghiên cứu, tác giả khảo sát loại phần mềm phát xâm nhập (IDS – Intrusion Detection System) như: - Snort: sản phẩm hỗ trợ lớn từ cộng đồng mạng, ban đầu sản phẩm phát triển không nhằm mục tiêu trở thành IDS, trình phát triển, sản phẩm trở thành chuẩn mực cho hệ thống IDS, IPS sau Đây sản phẩm thử nghiệm kiểm tra nhiều - Suricata: phiên IDS, cải tiến nhiều, cho phép vận dụng sử dụng nhiều lõi CPU đồng thời để khai thác mạnh CPU việc xử lý thông tin, cho phép kiểm tra tập tin tải xem có bị đính kèm mã độc hay khơng - Bro: hay gọi Bro-IDS, công cụ đánh giá mạnh, có kiến trúc mở rộng, dần hình thành cộng đồng trao đổi lớn ngày phát triển hơn, với Bro-IDS có ngôn ngữ làm việc riêng giúp tăng cường sức mạnh linh hoạt cho Bro-IDS (ngôn ngữ BroScript) Với cơng cụ này, tự động hóa công việc Tuy nhiên, việc triển khai Bro phức tạp, khó việc xây dựng hệ thống IDS hoàn chỉnh Với kho liệu Malware Dataset Yajin Zhou thu thập, tác giả phân tích hoạt động loại malware này, sau rút trích đặc trưng mô tả vào luật phần mềm Trang Luận văn tốt nghiệp Sau khảo sát, tác giả lựa chọn phần mềm Snort cách thức mô tả luật phần mềm Snort giúp phát loại malware (tạo sở liệu mô tả trước giúp phát loại malware kho liệu Malware Dataset) 1.4 Đối tượng phạm vi nghiên cứu 1.4.1 Đối tượng nghiên cứu: Nghiên cứu, tìm hiểu dạng cơng mới, tìm hiểu dạng Malware cách thức để phát Malware Tìm hiểu chi tiết hệ thống Snort, nguyên tắc thiết lập luật để lọc gói tin Snort Dựa tìm hiểu dạng Malware mới, tạo tập luật mô tả vào Snort Xây dựng hệ thống loại cảm biến mã độc tích hợp vào hệ thống AP (Access Point) sử dụng phần mềm Snort, thiết bị di động sử dụng hệ điều hành Android kết nối đến hệ thống AP, thiết bị bị nhiễm mã độc, hệ thống cảnh báo cho người quản trị biết 1.4.2 Phạm vi nghiên cứu: Cơng trình nghiên cứu cách thức nhận dạng gói tin bị nhiễm Malware thơng qua dấu hiệu nhận biết, sử dụng cách thức phân loại gói tin thơng qua Rule Based System, để đưa định gói tin có thực nhiễm Malware hay không? 1.5 Phương pháp nghiên cứu: Phương pháp lý thuyết: tìm hiểu nguyên lý hoạt động loại Malware, cách thức Malware lây nhiễm vào hệ thống liệu, thiết bị Dựa nguyên lý hoạt động, đưa phương pháp để phát ngăn chặn xâm nhập Phương pháp thực nghiệm: cài đặt ứng dụng nhiễm Malware vào thiết bị di động, sử dụng chương trình bắt gói tin để đọc phân tích gói tin gửi từ ứng dụng, từ xác định dấu hiệu nhận dạng Malware Trang Luận văn tốt nghiệp Hướng tiếp cận giải quyết: sử dụng phần mềm Snort, khai thác tính mơ tả luật bổ sung vào phần mềm giúp kiểm soát gói tin, thơng qua tính IDS phần mềm để cảnh báo cho người quản trị 1.6 Ý nghĩa khoa học thực tiễn: Về mặt khoa học, luận văn giúp tổng hợp phân loại dạng Malware khác nhau, phương pháp khác Malware sử dụng để khai thác thông tin người sử dụng thiết bị di động Về mặt thực tiễn, luận văn giúp định hướng phát triển xây dựng hệ thống phát Malware hệ thống mạng thông qua cảm biến lắp đặt hệ thống mạng, giúp phát Malware ngụy trang qua hệ thống tường lửa hệ thống mạng, sau hoạt động hệ thống mạng nội Trang Luận văn tốt nghiệp CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Malware gì? Malware (Malicious Software) hiểu phần mềm mã độc Các loại virus, worm, trojan hay phần mềm gián điệp, phần mềm quảng cáo,… hiểu malware Khi hacker sử dụng malware để khai thác thông tin người dùng mạng, hầu hết trường hợp, hacker sử dụng malware mà công cụ để kiếm tiền bất hợp pháp Khi hệ thống bị nhiễm malware, có nhiều nguy xảy ra, cụ như: • Các thơng tin cá nhân lưu máy tính bị malware đánh cắp gửi cho hacker • Máy tính bị nhiễm malware chạy chậm máy tính bình thường khác • Thơng qua máy tính bị nhiễm, malware mở rộng vùng khai thác, gửi thơng tin cho máy tính khác mạng nhằm lây lan vùng ảnh hưởng 2.2 Các loại malware thường thấy Android 2.2.1 Phần mềm trừ tiền tài khoản điện thoại Trong năm 2011, người dùng thiệt bị Android bị tiền tài khoản điện thoại cách âm thầm họ sử dụng số phần mềm cung cấp miễn phí kho liệu Android Các phần mềm chủ yếu xuất phát từ Việt Nam Khi người sử dụng cài đặt phần mềm, mặc định coi người dùng đăng ký sử dụng dịch vụ phần mềm cung cấp, định kỳ, phần mềm tự động gửi tin nhắn đến tổng đài cung cấp sẵn, tin nhắn thế, họ bị tự động trừ tiền tài khoản với số tiền gấp nhiều lần số tiền phải trả cho tin nhắn Ngồi ra, phần mềm miễn phí thu thập thông tin danh bạ điện thoại người dùng, tự động gửi cho chủ nhân phần mềm Những ngày sau đó, người sử dụng (và người danh bạ) bị nhận nhiều tin nhắn quảng cáo danh Trang Luận văn tốt nghiệp Internet Mobile Phone: HTC OS: Android 4.0.3 OS: Ubuntu 14.02 Cơng cụ bắt gói tin: Wireshark Cơng cụ giám sát hệ thống: Snort Hình 3.2 Hình minh họa mơ hình thực nghiệm Sau cài đặt hồn chỉnh mơi trường, cài đặt phần mềm cung cấp Android Malware Dataset thao tác phần mềm Trong q trình thao tác, theo dõi gói tin gửi nhận thơng qua phần mềm bắt gói tin Wireshark 3.3 Các bước thực 3.3.1 Chuẩn bị môi trường: Để tiến hành thử nghiệm triển khai hệ thống giám sát mã độc, phải chuẩn bị môi trường thực Trong phần thử nghiệm này, cài đặt hệ điều hành Ubuntu hệ thống máy tính Hệ điều hành Ubuntu phân phối (distro) Linux phổ biến Mark Shuttleworth sáng lập công ty Canonical ông tài trợ Ubuntu hệ điều hành mã nguồn mở, hoàn toàn miễn phí Hệ điều hành sử dụng phổ biến ưa chuộng tính bảo mật cao, nhanh, nhẹ, có giao diện đẹp, thân thiện, dễ sử dụng, kho phần mềm ứng dụng phong phú đáp ứng hầu hết yêu cầu người dùng Trang 33 Luận văn tốt nghiệp Để cài đặt hệ điều hành này, vào website http://www.ubuntu.com để tải hệ điều hành phù hợp với mình, mơi trường thử nghiệm này, tải Ubuntu Desktop Hình 3.3 Giao diện cài đặt Ubuntu Sau chuẩn bị xong môi trường hệ điều hành, lắp đặt thêm thiết bị mạng không dây để triển khai hệ thống máy tính thành thiết bị AP (Access Point) để cung cấp sóng khơng dây cho người dùng mạng sử dụng Thiết bị AP có đường kết nối LAN để truy cập Internet [11] 3.3.2 Cài đặt phần mềm Wireshark [12] Trên hệ điều hành Ubuntu, để cài đặt phần mềm, vào mục Ubuntu Software Center, mục tìm kiếm, nhập vào tên phần mềm cần cài đặt, hệ thống tìm kiếm liệt kê danh mục bên dưới, chọn vào phần mềm tiến hành cài đặt Sau cài đặt xong, giao diện phần mềm Wireshark sau: Trang 34 Luận văn tốt nghiệp Hình 3.4 Giao diện phần mềm Wireshark 3.3.3 Cài đặt phần mềm Snort [13] Để tiến hành cài đặt phần mềm Snort, vào website https://www.snort.org/downloads tải phiên phần mềm Snort tương ứng hệ thống, sau tiến hành cài đặt theo hướng dẫn Snort Sau cài đặt, hệ thống tâp tin Snort sau: Hình 3.5 Cấu trúc thư mục phần mềm Snort Trang 35 Luận văn tốt nghiệp 3.3.6 Cài đặt phần mềm vào thiết bị di động Để cài đặt phần mềm vào thiết bị di động, phải chép phần mềm vào thiết bị di động kích hoạt, cài đặt từ Google Play Store Google cung cấp Trong phần thử nghiệm này, chép ứng dụng malware vào thiết bị di động, kích hoạt tính hệ điều hành Android phép cài đặt ứng dụng bên vào thiết bị Để truy cập ứng dụng từ hệ điều hành Android, sử dụng phần mềm File Manager Sau xác định phần mềm cần cài đặt, tiến hành chọn cài đặt vào thiết bị Hình 3.6 Giao diện chương trình cài đặt vào thiết bị di động 3.3.4 Sử dụng Wireshark bắt gói tin: [14] Khi cần bắt gói tin trao đổi mạng Internet thông qua hạ tầng mạng không dây thiết lập, khởi động chương trình Wireshark hệ thống Ubuntu, sau Trang 36 Luận văn tốt nghiệp lựa chọn card mạng cần bắt gói tin (trong trường này, chọn card mạng khơng dây wlan1) Hình 3.7 Giao diện bắt gói tin phần mềm Wireshark 3.3.8 Cách thức kiểm tra tính hợp lệ gói tin Để kiểm tra gói tin nhận được, theo dõi gói tin mà chương trình Wireshark bắt thành cơng Hình 3.8 Giao diện phân tích gói tin phần mềm Wireshark Trang 37 Luận văn tốt nghiệp Nếu nghi ngờ tính hợp lệ gói tin, truy vấn địa IP gói tin gửi Trong trường hợp địa 162.105.131.1, sử dung website dnsquery.org để truy vấn xem IP 162.105.131.1 quốc gia quản lý Hình 3.9 Giao diện website truy vấn thơng tin IP/Domain Sau truy vấn thành công, hệ thống báo địa IP kiểm tra cấp Beijing, China 3.3.9 Mô tả luật phù hợp vào phần mềm Snort Để kiểm sốt gói tin bị nhiễm mã độc cảnh báo cho người quản trị, mô tả thông tin vào phần mềm Snort Thông qua phần mềm Snort, thông tin mô tả gửi cảnh báo hình có gói tin qua hệ thống có dấu hiệu nhiễm mã độc Để thực hiện, tạo tập tin sử dụng để mô tả luật, chỉnh sửa thơng tin tập tin cấu hình Snort Trang 38 Luận văn tốt nghiệp Chúng ta tạo tập tin malwarelog.rules malwarealert.rules vào đường dẫn /etc/snort/rules, thêm thông tin vào tập tin malwarealert.rules sau: alert ip any any -> any any (content:"Sm57xB"; msg:"Co Virus !!!"; sid:1000005;) Sau mô tả luật vào tập tin, chỉnh sửa tập tin cấu hình Snort sau: # Rule nguoi dung tu tao include $RULE_PATH/malwarelog.rules include $RULE_PATH/malwarealert.rules Trang 39 Luận văn tốt nghiệp CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM VÀ ĐÁNH GIÁ 4.1 Tổng hợp kết thực nghiệm: Sau nghiên cứu thử nghiệm loại malware khác từ tập hợp malware Dataset, tác giả tổng hợp lại thông tin sau: - Trong số 1260 mẫu malware (thuộc 49 họ malware) Malware Dataset, tác đã phân tích 850 mẫu khác nhau, tìm rút trích 30 đặc trưng khác từ mẫu cập nhật vào phần mềm Snort - Trong q trình phân tích thơng tin thơng qua phần mềm Wireshark, khoảng 70% gói tin gửi thơng qua phương thức HTTP-POST HTTP-GET, tác giả ghi nhận dấu hiệu Malware gửi ra, thông qua dấu hiệu để xây dựng rút trích đặc trưng malware - Trên 90% thông tin trao đổi thiết bị bị nhiễm malware với hệ thống máy chủ Hacker thơng thường bị mã hóa thơng tin, khả đọc phân tích gói liệu gửi nhận khó khăn - Việc sử dụng phần mềm wireshark để bắt phân tích gói tin nhiều hạn chế, xử lý thông tin tầng mơ hình OSI, gói tin trao đổi liệu tầng (tầng ứng dụng mô hình OSI) rào cản lớn việc rút trích đặc trưng phù hợp nhằm lọc loại malware 4.2 Đánh giá hệ thống phát malware: Sau rút trích đặc trưng nhóm malware kho Malware Dataset, tác giả cho triển khai thử nghiệm môi trường thực tế Tác giả thực nghiệm trường hợp sau: • Cài đặt ứng dụng từ kho Malware Dataset, sau kích hoạt ứng dụng khởi động theo dõi hoạt động hệ thống cảm biến malware xây dựng • Cài đặt ứng dụng từ kho ứng dụng Google Play, sau kích hoạt ứng dụng theo dõi hoạt động hệ thống cảm biến malware xây dựng Trang 40 Luận văn tốt nghiệp Đối với trường hợp cài đặt malware từ kho liệu Malware Dataset, 850/1260 mẫu thử từ kho liệu Malware Dataset, hệ thống kiểm soát 100% mẫu malware từ kho liệu Đối với trường hợp cài đặt ứng dụng từ kho ứng dụng Google Play ứng dụng sẵn có thiết bị, cụ thể ứng dụng như: - Hay Day - Here Maps - 2048 - Tuổi Trẻ - Ai Trạng Nguyên - Lịch Vạn Niên - Candy Crush Saga - Messenger - Plants vs Zombies - Tango - Viber - Gmail - Youtube - GrabTaxi - Facebook - Nghe Radio - Evernote - File Manager - Dịch - Dropbox - Nhaccuatui - Weather - Bản đồ - TuneIn Radio Hệ thống không phát dấu hiệu bất thường hầu hết ứng dụng, nhiên sử dụng chương trình “Ai Trạng Nguyên”, hệ thống phát malware gói tin gửi từ ứng dụng Khi tác giả sử dụng 10 thiết bị di động Android cài đặt ứng dụng từ kho Malware Dataset, hệ thống bỏ lỡ vài ứng dụng Malware khơng thể kiểm sốt (chiếm 15% tổng số ứng dụng thử nghiệm) Trang 41 Luận văn tốt nghiệp Với kết thực nghiệm này, tác giả có nhận xét sau: • Khi số lượng thiết bị kết nối đến hệ thống cảm biến nhiều, thiết bị bị nhiễm malware, gói tin gửi đến thiết bị cảm biến liên tục Do hệ thống xử lý chậm, khả không phát malware dễ dàng xảy • Khi sử dụng ứng dụng từ kho ứng dụng Google Play, ứng dụng sẵn có hệ thống, khả bị phát nhầm malware có khả xảy ra, điều việc rút trích đặc trưng nhiều hạn chế, dễ dẫn tới sai sót • Qua q trình khảo sát thực nghiệm, tác giả rút trích nhiều đặc trưng, nhiên đặc trưng hạn chế, mang ý kiến chủ quan, khả phát nhầm loại ứng dụng hợp lệ có dấu hiệu tương đồng với đặc trưng rút trích Bên cạnh đó, hệ thống chưa xây dựng hệ thống tự động rút trích đặc trưng có phát phần mềm có dấu hiệu tương tự loại malware có, thao tác rút trích đặc trưng thủ công, sản phẩm nghiên cứu không thực tế khơng có đội ngũ đủ lớn để thường xun theo dõi phát phần mềm bị nhiễm mã độc để rút trích đặc trưng, cập nhật vào sở liệu Trang 42 Luận văn tốt nghiệp CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 5.1 Kết luận Việc nghiên cứu phần mềm độc hại Android cho thấy rõ ràng mối đe dọa nghiêm trọng mà phải đối mặt ngày Trong đó, phần mềm phòng chống mã độc thương mại hóa tụt hậu so với phát triển mã độc Do đòi hỏi phải có giải pháp khác nhằm đảm bảo an tồn thơng tin hệ thống mạng, ngăn chặn phát tán phần mềm mã độc Theo nghiên cứu thấy phần mềm độc hại Android (khoảng 86%) đóng gói ứng dụng hợp pháp, để ngăn chặn, phải kiểm soát Android Market nhằm phát ứng dụng bị đóng gọi lại có đính kèm malware Tuy nhiên, thách thức lớn ứng dụng Android tạo lớn ngày, khả phát ứng dụng bị nhiễm mã độc tương đối khó khăn Do cần phải phải có nỗ lực chung cộng đồng việc phát phần mềm bị nhiễm malware kho ứng dụng Android Thêm vào đó, theo nghiên cứu chúng tơi thấy khoảng 36.7% phần mềm bị nhiễm mã độc leo thang đặc quyền, chiếm quyền kiểm soát thiết bị Trong đó, tảng Android tiếng với nhiều lỗ hổng dễ bị chiếm quyền kiểm soát trước có vá lỗi đời Đối với phiên Android 4.0 trở trước, chưa thực tích hợp công nghệ bảo mật hệ điều hành Bên cạnh đó, mã native code Davik code hacker khai thác triệt để nhằm công thiết bị sử dụng hệ điều hành Android Do cần nhu cầu phát triển giải pháp hiệu nhằm ngăn chặn chúng khỏi bị khai thác Hacker sử dụng malware Hơn nữa, thấy phần mềm độc hại (khoảng 45.3%) có xu hướng đăng ký dịch vụ cao cấp với tảng dịch vụ tin nhắn SMS Với việc đăng ký vậy, phần mềm độc hại ngăn chặn tin nhắn Điều kiểm sốt thơng qua hàm API (như sendTextMessage) Trang 43 Luận văn tốt nghiệp Việc nghiên cứu đặc trưng phần mềm có tích hợp mã độc kho liệu Malware Dataset giúp cho có đặc trưng chủng loại mã độc, phân tích tìm đặc điểm nhận dạng loại malware cập nhật vào luật phần mềm Snort, gia tăng tính hiệu cảm biến triển khai hệ thống mạng Nhờ đó, thiết bị di động kết nối đến cảm biến xây dựng, thiết bị có nhiễm mã độc, thiết bị cảm biến nhận dạng chuyển cảnh báo đến phận quản trị hệ thống mạng LAN Bên cạnh đó, tìm hiểu kỹ cách thức mơ tả luật hệ thống Snort, giúp cho người quản trị tự bổ sung lọc vào hệ thống cảm biến, giúp gia tăng khả lọc malware thiết bị cảm biến Trong trình khảo sát, nhận thấy loại malware hệ điều hành Android sử dụng phương thức HTTP-GET, HTTP-POST để nhận truyền tải thông tin từ máy chủ không hợp pháp Internet Thông qua hệ thống máy chủ này, hacker thu thập thông tin từ thiết bị di động người dùng, biến thiết bị di động người dùng trở thành trạm trung gian để tiếp tục khai thác thông tin thiết bị khác hệ thống mạng nội Trong triển khai thực nghiệm, số ứng dụng có tích hợp malware cũ, q trình ứng dụng malware truy vấn đến hệ thống máy chủ bất hợp pháp, địa IP máy chủ khơng phù hợp, nên ứng dụng khơng thể gửi thông tin từ thiết bị di động đến cho hacker Nếu bắt gói tin, thấy thông tin trả phân giải tên miền tích hợp sẵn ứng dụng Bên cạnh thành công đạt nghiên cứu nhiều hạn chế, sử dụng kho liệu mức độ nhỏ, chưa có nhận dạng chung chủng loại Malware, để phát cách triệt để ứng dụng nhiễm mã độc mới, mức độ xác việc phát hạn chế Do đó, để gia tăng tính cho hệ thống cảm biến, đòi hỏi phải thường xuyên giám sát hệ thống cảm biến, ghi nhận tất gói tin vào hệ thống mạng, Trang 44 Luận văn tốt nghiệp phân tích liệu dấu hiệu bất thường (thông qua kỹ thuật mô tả phần trên) Sau phát dấu hiệu nhận dạng xác, người quản trị sử dụng cách thức mô tả luật Snort (đã trình bày phần trên) cập nhật vào hệ thống cảm biến triển khai 5.2 Hướng phát triển Việc triển khai hệ thống cảm biến mạng nội giải pháp mới, mang tính thực tế cao Nhưng để vận dụng hiệu quả, mang lại lợi ích cho cộng đồng, nên phát triển hệ thống cảm biến trở thành thiết bị phần cứng túy Khi luật cảm biến (thơng qua phần mềm Snort) cập nhật định kỳ thông qua đội ngũ cán kỹ thuật Các cán kỹ thuật thường xuyên rà soát, kiểm tra tất ứng dụng Android cài đặt thiết bị, giám sát tất gói tin hệ thống, đánh giá tính an tồn gói tin, phát gói tin có dấu hiệu malware, ghi nhận cập nhật vào luật hệ thống cảm biến Bên cạnh đó, để giúp phát huy khả phát Malware, cần xây dựng hệ thống tổng thể, có khả lọc gói HTTP-POST, HTTP-GET, phát ứng dụng cài đặt thiết bị lấy cắp thông tin gửi đến (hoặc nhiều) máy chủ bên ngồi, từ tăng khả phát mã độc Hiện nay, thị trường thiết bị chạy hệ điều hành Android, mà có thiết bị sử dụng hệ điều hành khác (như iOS, RIM, Windows Phone, Ubuntu,…), cần mở rộng giám sát mức độ an toàn phần mềm cài đặt lên hệ điều hành khác nhau, gia tăng tính khả thi thiết bị cảm biến, tránh nguy lây lan mã độc hệ thống mạng nội không thiết bị sử dụng hệ điều hành Android hệ điều hành khác Trang 45 Luận văn tốt nghiệp TÀI LIỆU THAM KHẢO [1] S.-S C.-Z S.-C.Tseng, "Security Analysis of Android Applications Detecting Risks of Backdoor Threats," 2011 [Online] Available: http://www.cse.yzu.edu.tw/project/100035.pdf [Accessed 12 06 2013] [2] J Y Y Y N.F.Huang, "The design and implementation of NIDS rule automatic generating system for HTTP-like bot net detection," TAIS International Conference, 2011 [3] Wireshark, "http://www.wireshark.org," 2013 [Online] [4] P C.-C S.-C.Lin, "A novel method of mining network flow to detect P2P botnets," Vols Peer-to-Peer Network Appl.7, pp 645-654, 2014 [5] W H.-S.Chiang, "Mobile malware behavioral analysis and preventive strategy using ontology," vol IEEE Second International Conference on Social Computing, pp 1080-1085, 2010 [6] C J A.Amamra, "Smartphone malware detection: from a survey towards taxonomy," vol 7th International Conference on Malicious and Unwanted Software, pp 79-86, 2012 [7] A E M.M.A.Elfattah, "Handsets malware threats and facing techniques," vol Int J Adv Comput.Sci.Appl.2, pp 42-48, 2011 [8] L.-C D L B Y A.Shabtai, "Mobile malware detection through analysis of deviations in application network behavior," vol Comput Secur.43, pp 1-18, 2014 [9] R.Sangeetha, "Detection of malicious code in user mode," vol International Conference on Information Communication and Embedded Systems (ICICES), pp 146-149, 2013 [10] C a i affiliates, "The Snort Project," 2014 [Online] Available: http://manual.snort.org [11] U Document, "Ubuntu Desktop Guide," [Online] Available: https://help.ubuntu.com/stable/ubuntu-help/net-wireless-adhoc.html [12] U Document, "Ask Ubuntu," [Online] Available: http://askubuntu.com/questions/307280/how-do-i-install-applications-in-ubuntu Trang 46 Luận văn tốt nghiệp [13] Snort, "Snort Document," [Online] Available: https://www.snort.org/documents [14] Wireshark, "Wireshark Document," [Online] Available: https://www.wireshark.org/docs/ [15] "Zimperlich sources," [Online] Available: http://c-skills.blogspot.com/2011/02/ [16] P S L S.-C & S C.-H Chen, "Simple and effective method for detecting abnormal internet behaviors of mobile devices," vol Information Sciences, pp 193204, 2015 [17] Y & J X Zhou, "Dissecting Android malware: Characterization and evolution," Proceedings - IEEE Symposium on Security and Privacy, 2012 Trang 47 ... biến (sensor) mã độc, giúp phát loại mã độc ẩn Trong đề tài luận văn em, em xin đề xuất đề tài Xây dựng triển khai hệ thống phát Malware có dấu hiệu xuất Malware hệ thống mạng nội 1.2 Mục đích... hiểu dạng công khác hệ thống Malware, dựa vào dạng công này, em xây dựng hệ thống cảm nhận loại Malware thông báo cho người quản trị hệ thống biết để định hướng ngăn chặn Malware Trang Luận văn... dựng hệ thống phát Malware hệ thống mạng thông qua cảm biến lắp đặt hệ thống mạng, giúp phát Malware ngụy trang qua hệ thống tường lửa hệ thống mạng, sau hoạt động hệ thống mạng nội Trang Luận