Đang tải... (xem toàn văn)
NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH GÓI TIN CHỨA MÃ ĐỘC Có demo. thu thập và phân tích thông tin an ninh mạng. Thường thì mã độc chọn môi trường lây nhiễm với victim từ các nguồn mà người sử dụng chủ quan hoặc chưa có sự đề phòng như: email, quảng cáo, file download ứng dụng,... Sau khi người sử dụng click vào hoặc tiến hành tải file thực thi về sẽ làm lây nhiễm mã độc vào hệ thống. Từ đó mã độc có thể tiến hành các hành độc thực thi tùy thuộc vào tác dụng của chúng, có thể là đánh cắp thông tin người sử dụng, tranh quyền kiểm soát hệ thống, làm gián đoạn hệ thống mạng, làm tắc nghẽn mạng,...
BAN CƠ YẾU CHÍNH PHỦ ỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH GĨI TIN CHỨA Mà ĐỘC Ngành: Cơng nghệ thơng tin Chun ngành: An tồn thơng tin Học phần: thu thập phân tích thơng tin an ninh mạng Sinh viên thực hiện: Đỗ Đức Thành Lê Thị Thanh Phương Nguyễn Văn Nghĩa Trần Đăng Mạnh Phạm Đình Thương Người hướng dẫn: Cô: Nguyễn Thị Hồng Hà Khoa ATTT – Học viện Kỹ thuật mật mã Hà Nội, 2018 MỤC LỤC DANH MỤC HÌNH VẼ NHẬN XÉT LỜI NÓI ĐẦU Trong tất lĩnh vực liên quan đến CNTT hẳn khái niệm mã độc khơng điều xa lạ với hầu hết người Các loại mã độc phong phú hình thức lây lan chúng ngày đa dạng tinh vi Việc phát loại bỏ mã độc đòi hỏi người sử dụng phải có kiến thức mã độc Thường mã độc chọn môi trường lây nhiễm với victim từ nguồn mà người sử dụng chủ quan chưa có đề phòng như: email, quảng cáo, file download ứng dụng, Sau người sử dụng click vào tiến hành tải file thực thi làm lây nhiễm mã độc vào hệ thống Từ mã độc tiến hành hành độc thực thi tùy thuộc vào tác dụng chúng, đánh cắp thơng tin người sử dụng, tranh quyền kiểm sốt hệ thống, làm gián đoạn hệ thống mạng, làm tắc nghẽn mạng, Việc phân tích hoạt động mã độc cho phép người dùng quan sát hoạt động mà mã độc thực thi hệ thống sau tiến hành lây nhiễm để từ hiểu rõ loại mã độc tìm giải pháp khắc phục, phòng tránh Trong báo cáo lần này, nhóm tiến hành việc tìm hiểu phân tích gói tin chứa mã độc – loại hình lây lan phổ biến mã độc đính kèm vào file ứng dụng file thực thi Việc phân tích giúp quan sát cách hoạt động mã độc mã độc thực thi, xem xét mã độc hoạt động sao, lây lan nào, kết nối đến đâu, cài đặt vào hệ thống, tạo dấu hiệu nhận dạng hiểu hoạt động mã độc Bài báo cáo nêu lên bước việc phân tích gói tin nói chung phân tích gói tin chứa mã độc nói riêng CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH GĨI TIN 1.1 Phân tích gói tin Khái niệm: phân tích nội dung gói tin thực tra, phân tích nội dung liệu bên hay nhiều gói tin Q trình phân tích thường tiến hành để xác định gói tin quan trọng, phát triển phân tích luồng liệu xây dựng lại nội dung Phân tích nội dung gói tin đề cập đến nghệ thuật phân tích tra giao thức tập gói tin Việc phân tích gói tin để xác định gói tin cần quan tâm, hiểu rõ cấu trúc mối quan hệ để thu thập chứng tạo điều kiện cho việc phân tích sâu giai đoạn sau Để xác định gói tin cần quan tâm người phân tích sử dụng nhiều nhiều kỹ thuật khác nhiên kỹ thuật chọn lọc kỹ thuật phổ biến vầ hiệu để phân lập gói tin cần quan tâm dựa trường gói tin hay giao thức bên gói tin Ngồi người phân tích tìm kiếm với chuỗi mẫu nội dung gói tin để xác định mục tiêu phân tích, giao thức sử dụng cho ý đồ kẻ lây nhiễm Việc hiểu rõ cấu trúc gói tin quan trọng việc tái tạo thơng tin, liệu tập tin dòng liệu trao đổi bên liên quan Việc chia nhỏ gói tin hay nhóm gói tin thường xuyên giúp cho xác định cơng cụ thích hợp để khai phá chứng khôi phục lại thông tin Nhằm thực phan tích gói tin, người phân tích sử dụng số phương pháp phân tích gói tin : - - Thanh tra thủ công: thực việc tìm kiếm văn tìm kiếm mẫu nhị phân, tra gói tin xác minh giao thức Phương pháp lọc: dựa thông tin địa MAC, địa ip, ngày/giờ mẫu tổng hợp việc lọc dựa thông tin lọc gói tin khoảng thời gian, lọc gói tin xuất phát từ địa IP cụ thể Phương pháp lọc sử dụng với hỗ trợ dựa biểu thức lọc phức tạp biểu thức quy Thống kê: thống kê dựa việc sử dụng băng thông, IP, ngày/giờ dựa giao thức (email, FTP, HTTP, ) 1.2 Phân tích giao thức Phân tích giao thức thực kiểm tra nhiều trường liệu giao thức, điều cần thiết cho việc phân tích gói tin việc tra gói tin cần thực cấu trúc truyền thơng để hiểu nội dung gói tin hay luồng liệu Phân tích thơng tin an ninh mạng ln phải chuẩn bị để phân tích nắm vững giao thức chưa công bố tin tặc phát triển giao thức tùy biến mở rộng giao thức trước nhằm giao tiếp đưa thêm số chức để thực ý đồ tin tặc Phân tích giao thức bao gồm số phương pháp bản: xác định giao thức, giải mã nội dung giao thức, trích xuất nội dung giao thức 1.2.1 Xác định giao thức Hiện người ta sử dụng số phương pháp để xác định giao thức: Dựa thơng tin nhận dạng đóng gói giao thức, kĩ thuật thực thơng qua tìm kiếm giá trị nhị phân/ thập lục phân/ ASCII phổ biến thường kèm giao thức cụ thể Xác định giao thức thông qua cổng TCP/UDP gắn liền với giao thức dịch vụ quy chuẩn Dựa phân tích thơng tin từ địa đích địa nguồn a) Dựa thơng tin nhận dạng đóng gói giao thức Hầu hết giao thức có chứa chuỗi bit thường xuất gói tin gắn liền với nhận dạng giao thức hay nói cách khác giao thức chứa thông tin kiểu giao thức đóng gói người phân tích lợi dụng đặc điểm để phân tích nhận dạng giao thức Thơng thường người phân tích tiến hành tìm kiếm giá trị nhị phân /thập lục phân/ASCII phổ biến thường kèm giao thức cụ thể Trong ví dụ người phân tích sử dụng công nghệ TCPdump để xác định giao thức sử dụng tập liệu gói tin thu nhận hình 1.1:Cơng nghệ TCPdump để xác định giao thức Sử dụng công cụ Wireshark để hiển thị rõ nội dung gói tin hình người phân tích xác định giao thức sử dụng tầng ứng dụng, byte thứ phần đầu gói tin IP theo định dạng giao thức đóng gói bên Trong trường hợp giá trị byte thứ 0x06 tương ứng với giao thức TCP Dựa thơng tin giao thức TCP sử dụng gói tin IP hình 1.2: Giao thức sử dụng gói tin TCP b) Xác định giao thức thông qua cổng TCP/UDP gắn liền với giao thức, dịch vụ quy chuẩn Thông thường dịch vụ hay giao thức tầng mạng mơ hình TCP/IP thường sử dụng giao thức tầng vận chuyển TCP hay UDP với cổng theo quy định Dựa theo tính chất cách đơn giản phổ biến để xác định giao thức cách kiểm tra số cổng TCP UDP sử dụng Theo cấu trúc định dạng TCP/UDP có tất 65535 cổng cho giao thức TCP UDP Tổ chức cấp phát số hiệu Internet IANA công bố cổng TCP/UDP tương ứng với giao thức, dịch vụ mạng Chúng ta xem danh sách trang chủ IANA Ngoài ra, hệ thống UNIX/LINUX lưu trữ danh sách thư mục /etc/ Tuy nhiên xác định giao thức dựa cổng giao thức TCP/UDP có nhược điểm khơng phải lúc đưa kết xác, phía máy chủ cấu hình để sử dụng cổng không quy chuẩn cho dịch vụ xác định hình 1.3: Giao thức sử dụng gói tin UDP c) Phân tích thơng tin từ địa nguồn, địa đích Thơng thường, tên máy chủ dịch vụ cung cấp xác định giao thức sử dụng, thông tin hữu ích liên quan Như ví dụ hình 1.3 chưa xác định giao thức sử dụng Wireshark xác định nhầm giao thức sử dụng SSL Chúng ta phân tích thơng tin từ địa IP giúp tìm giao thức thật bên Ở địa nguồn “64.12.24.50”, sử dụng WHOIS để khai thác thông tin địa IP hình 1.4: cơng cụ WHOIS khai thác địa IP - Thông tin WHOIS cung cấp cho thấy địa thuộc tổ chức America Online Inc giả thiết gói tin thuộc luồng liệu sử dụng giao thức hỗ trợ dịch vụ AOL ví dụ HTTP AIM 1.2.2 Giải mã nội dung giao thức Giải mã giao thức kỹ thuật thơng dịch liệu gói tin theo cấu trúc, cho phép người phân tích hiểu nội dung truyền giao thức Để giải mã lưu lượng mạng theo đặc tả giao thức cụ thể cần: Tận dụng giải mã tự động tích hợp sẵn cơng cụ Tham khảo tài liệu công bố công khai tự giải mã\ Viết giải mã cho riêng hình 1.5: Wireshark giải mã gói tin Hình 1.5 minh họa sử dụng Wireshark để giải mã gói tin, kết giải mã gói tin với giao thức AIM (AOL Instant Messenger) sử dụng để hiển thị hình 1.6 với thông tin chi tiết liên quan bao gồm Channel ID, Sequence Number, ICBM Cookie Những thông tin giao thức sử dụng giao thức AIM việc giải mã giao thức xác hình 6: Giải mã giao thức AIM 1.2.3 Trích xuất nội dung giao thức Bước sau xác định giao thức sử dụng phương pháp để giải mã trích xuất nội dung “ cần quan tâm” giao thức Người phân 10 thành phần gì, gửi từ đâu, đến đâu… Vì thế, cần kết hợp với cơng cụ khác Process Monitor OllyDBG hình 3.5: Cơng cụ OllyDBG OllyDBG hay gọi tắt Olly cơng cụ debug 32-bit phổ biến cho Microsoft Windows Nhấn mạnh vào phân tích mã nhị phân làm cho đặc biệt hữu ích trường hợp nguồn khơng có sẵn Bạn tải sử dụng miễn phí Nhờ giao diện trực quan dễ sử dụng nên Olly phù hợp với người dùng trình độ khác Nó hỗ trợ debug file thực thi file thư viện Thêm vào đó, script plug-in phong phú có cộng đồng sử dụng đơng đảo Một số plug-in quan trọng Olly Advanced, PhantOm,StrongOD Chúng cung cấp chế anti-anti debug, hook vào số hàm quan trọng, ẩn tiến trình-tên cửa số Ollydbg … nhằm làm cho chương trình bị debug khơng biết bị debug - Immunity Debugger Cũng giống OllyDbg, nhiên ngôn ngữ kịch mà Immunity Debugger hỗ trợ Python, ngôn ngữ mạnh, tự động debug giới bảo mật, phân tích thường dùng Nó giảm nhẹ debug nhanh để tránh bị fail trình phân tích mã độc phức tạp Immunity Debugger có giao diện đơn giản, dễ hiểu Windbg Windbg: công cụ debug mạnh mẽ phát hành Microsoft Nó có khả debug user-mode kernel-mode WinDbg cung cấp debug cho hạt nhân Windows, trình điều khiển chế độ hạt nhân, dịch vụ hệ thống, ứng dụng chế độ người dùng trình điều khiển WinDbg xem mã nguồn, thiết lập điểm ngắt, xem biến (bao gồm đối tượng C ++), ngăn xếp dấu vết, nhớ Cửa sổ Debugger Command cho phép người dùng thực nhiều lệnh Tuy nhiên để sử dụng WinDbg đòi hỏi có nhiều kinh nghiệm Reverse Engineering programming GDB GDB, trình gỡ lỗi Dự án GNU, cho phép bạn xem diễn bên chương trình khác thực – chương trình khác làm vào lúc rơi GDB thực thi bốn bước (cộng với thứ khác để hỗ trợ điều này) để giúp bạn bắt lỗi q trình phân tích mã độc Bắt đầu chương trình bạn, xác định điều ảnh hưởng đến hoạt động Hãy dừng chương trình bạn theo điều kiện quy định Kiểm tra xảy ra, chương trình bạn dừng lại Thay đổi thứ chương trình bạn, bạn thử nghiệm với việc điều chỉnh hiệu ứng lỗi tiếp tục tìm hiểu lỗi khác Chương trình debug viết Ada, C, C ++, ObjectiveC, Pascal (và nhiều ngôn ngữ khác) Những chương trình thực máy GDB máy khác (từ xa) GDB chạy phổ biến UNIX Microsoft Windows biến thể 3.4 Quá trình phân tích gói tin chứa mã độc Để tiến hành phân tích gói tin chứa mã độc, trước tiên cần tạo mơi trường an tồn để tránh mã độc lây lan sang máy tính hệ thống Đặc biệt với mã độc thực lây lan qua mạng khai thác lỗ hổng hệ điều hành, không đặt môi trường cô lập khả gây an ninh cho hệ thống thực lớn Có hai phương pháp để triển khai mơi trường phân tích mã độc: • Sử dụng hệ thống vật lý: Thiết lập máu tính thiết bị vật lý tạo thành mạng tiêng biệt để thực theo dõi, giám sát, phân tích mã độc Ưu điểm: Mã độc hoạt động trình lây nhiễm thực tế, khơng bị giới hạn mã độc có chế chống mơi trường ảo Nhược điểm: Chi phí lớn, tốc độ phân tích lâu thường xuyên phải xây dựng lại môi trường phân tích từ đầu • Sử dụng máy ảo: Thiết lập hệ thống máy ảo liên kết với với đầy đủ máy cần thiết cho hệ thống mạng Ưu điểm: Tiện lợi, hỗ trợ phân tích nhanh thời gian khôi phục hệ thống tốt, dễ triển khai công cụ giám sát, theo dõi Nhược điểm: Có thể khơng thực thi tồn chức mã độc chúng có module phát môi trường ảo Các bước để thiết lập máy ảo mơi trường phân tích: Bước 1: chọn máy ảo thiết lập hệ thống máy ảo Máy ảo phần mềm giả lập toàn hoạt động máy tính thơng thường Việc thiết lập cấu hính tốt giúp lập mã độc cần phân tích vùng mạng riêng độc lập không gây ảnh hưởng cho hệ thống thật Một số loại máy ảo phổ biến: VirtualBox, VMWare Workstation, Vmware vSphere Hypervisor, Microsoft Virtual Server, Bước 2: Thiết lập công cụ hỗ trợ cho q trình theo dõi mã độc như: • Công cụ theo dõi hệ thống registry: Process Monitor • Cơng cụ theo dõi tiến trình: Process Exporer, Process Hacker • Cơng cụ theo dõi mạng: Wireshark • Công cụ soạn thảo: Notepad ++ , Bước 3: cấu hình lập mơi trường Để đảm bảo an tồn cho mơi trường thực tế, cần thực số bước cấu hình để ngăn chặn tối đa khả mã độc xâm nhập hệ thống bên ngồi: • Cập nhật hệ điều hành máy vật lý thường xuyên • Cập nhật thướng xuyên VMWare, đặc biệt liên quan tới mạng • Bật Firewall máy vật lý, thiết lập chặn card ảo • Thiết lập mạng cho VMWare dạng host-only tắt mạng Hạn chế bật • mạng không cần thiết Ngắt kết nối tới thiết bị ngoại vi: CD-ROM, USB, 3.5 Demo phân tích gói tin chứa mã độc Dưới trình phân tích gói tin chứa mã độc tạo từ việc thiết lập cấu trình kali linux: 3.5.1 Kịch Bên phía Attacker: - A kẻ công, A gửi cho B email độc hại file mã độc “hocbong.docx.exe” nén với tên “hocbong.zip” Và đồng thời mở trình handler để lắng nghe cổng 4444 Bên phía victim: - B sinh viên, nhận email có tiêu đề danh sách học bổng HK1 file đính kèm “hocbong.zip” B tải về, giải nén nhận file “hocbong.docx” B mở file lên khơng có xảy Sau xem lại định dạng file thấy file exe nên nghi ngờ máy bị nhiễm mã độc khởi động lại hệ thống Sau khởi động lại hệ thống, bật wireshark lên để xem có xảy không? Và thấy nhiều kết nối TCP từ máy đến địa IP 192.168.255.128 qua cổng 4444 Mục đích cơng để bắt gói tin chứa mã độc sau dùng để phân tích, tìm hiểu xem cách hoạt động mã độc 3.5.2 Các công cụ dùng báo cáo Trên hệ điều hành Linux - máy Attacker: Metasploit: để tạo mã độc, lắng nghe thực thi lệnh lên máy nạn nhân Trên hệ điều hành Windows – máy Victim: Wireshark: bắt phân tích gói tin Autoruns: xem chương trình khởi động hệ thống Process monitor: giám sát tiến trình thực thi Chức mã độc: Xem thông tin hệ điều hành Download file/folder từ máy victim máy attacker Upload file/folder từ máy attacker đến máy victim Tạo thư mục máy attacker Theo dõi ghi lại thao tác thực bàn phím Chụp hình máy tính victim Xem tiến trình hoạt động Tắt tiến trình hoạt động Tắt, khởi động lại máy tính victim 10 Ghi âm vài giây từ microphone máy nạn nhân 11 Xóa file/thư mục 12 Sửa đổi file 13 Mở command prompt 14 Kết hợp với lỗ hổng có mức độ nghiêm trọng cao khác để leo thang đặc quyền 15 Khởi động hệ thống 16 Xóa event log Sơ đồ mạng sử dụng trình thực nghiệm hình 3.6: Sơ đồ mạng 3.5.3 Quá trình thực Tạo file mã độc hocbong.dox.exe Kali linux hình 3.7: Tạo file mã độc Kali Linux Tạo trình Handler để lắng nghe hình 3.8: Sử dụng payload multi Handler để lắng nghe File chứa mã độc tải lên gửi đến cho Victim dạng email hình 3.9: Email chứa mã độc gửi đến cho máy victim Phía bên hệ điều hành Window Tiến hành tải file hocbong.dox.exe chạy B mở file lên khơng có xảy Sau xem lại định dạng file thấy file exe nên nghi ngờ máy bị nhiễm mã độc khởi động lại hệ thống Sau khởi động lại, kiểm tra Wireshark thấy chưa bật ứng dụng lại có tượng kết nối TCP bị từ chối hình 3.10: Giao diện Wireshark sau mở gói tin chứa mã độc Phía kali linux sau có phiên làm việc tạo file RzvoLW.vbs để khởi động hệ thống thực lệnh reboot hình 3.11: Thực lệnh reboot hình Dùng Autoruns để theo dõi hệ thống Window phát số file khởi động hệ thống hình 3.12: Quan sát tiến trình khởi động hệ thống Autoruns Quá trình bắt tay ba bước TCP phát Wireshark máy Victim hình 3.13: Quá trình bắt tay ba bước Wireshark Ở máy Attacker, thực lệnh sysinfo cho biết tất thơng tin máy tính victim truy xuất đến victim hình 3.14: Thực lệnh Sysinfo Qua máy Victim, sử dụng wireshark lọc tất địa ip 192.168.255.128 ta thấy thời gian hình hình 3.15: Lọc địa ip qua sát q trình truyền tin Sau dùng Process Monitor để giám sát xem chương trình thực vào khoảng thời gian với gói tin gửi ta thu hình 3.16: Quan sát tiến trình thực trình gửi tin Thực lệnh attrack gửi đến máy victim hình 3.17: Attrack thực lệnh gửi đến cho Victim Các gói tin gửi nhận thực lệnh hình 3.18: Các gói tin nhận thực lệnh Sau phân tích, ta thấy: • • • • • • Attacker gửi gói tin chứa lệnh cần thực thi cho Victim Trong gói tin có chứa cờ (PSH, ACK), tức Attacker yêu cầu Victim gửi liệu trực tiếp cho Attacker mà không cần thông qua vùng đệm Victim gửi trả kết sau thực thi lệnh cho Attacker Dữ liệu gửi chia thành nhiều gói tin Sau nhận gói tin, Attacker gửi trả cho Victim gói tin chứa cờ ACK ý nhận Các gói tin sử dụng giao thức TCP Dữ liệu truyền máy Attacker Victim sử dụng giao thức TLSv1 nên liệu mã hóa, khơng thể đọc Tuy nhiên, để xem mà Attacker thao tác máy Victim, ta sử dụng chương trình Process Monitor để theo dõi mà mã độc thực thi Quan sát lệnh process máy victim thực thi hình 3.19: Quan sát lệnh thực thi victim KẾT LUẬN Thông qua đề tài: Nghiên cứu kỹ thuật phân tích gói tin chứa mã độc Nhóm đạt kết sau: - - Tìm chi tiết phân tích gói tin, bước thực điểm cần lưu ý phân tích gói tin Tìm hiểu phân tích mã độc, loại mã độc phân loại mã độc đặc tính cua loại Lập môi trường giả định, tạo kỉnh trường hợp bị lây nhiễm mã độc mở gói tin khơng nguồn gốc rõ ràng Thực quan sát phân tích gói tin chứa mã độc thực thi máy victim sau máy bị lây nhiễm Những điểm chưa đạt được: Bài báo cáo dừng lại việc phân tích demo đơn giản loại mã độc, chưa sâu vào trường hợp khó Vì thời gian có hạn nên nhiều vấn đề báo cáo chưa thực chi tiết - TÀI LIỆU THAM KHẢO [1] Kỹ thuật tạo mã độc (basic) – google.com [2] Ngun tắc phân tích gói tin – google.com [3] Giáo trình Thu thập phân tích thơng tin an ninh mạng ... động mã độc Bài báo cáo nêu lên bước việc phân tích gói tin nói chung phân tích gói tin chứa mã độc nói riêng CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH GĨI TIN 1.1 Phân tích gói tin Khái niệm: phân tích. .. độc toàn mạng, Phân tích gói tin chứa mã độc việc phân tích nội dung liệu bên gói tin cho chứa mã độc Nó phương pháp phân tích cách hoạt động mã độc mã độc thực thi, xem xét mã độc hoạt động sao,... dụng cơng cụ kỹ thuật phân tích Có hai kỹ thuật phân tích chính: phân tích tĩnh phân tích động Có hai kĩ thuật phân tích chính: + Phân tích tĩnh (Phân tích mà khơng cần mã độc chạy hệ thống) hình