Bài viết đề xuất mô hình gắn kèm mã thực thi vào dữ liệu thi hành trên môi trường windows, vượt qua cảnh báo của một số phần mềm anti-virus, dựa trên việc nghiên cứu kỹ thuật và mô hình lây nhiễm của virus. Mô hình và kỹ thuật cài đặt đề xuất làm giảm thiểu sự thay đổi đến cơ chế thi hành của dữ liệu gốc.
Nghiên cứu khoa học cơng nghệ ĐỀ XUẤT MƠ HÌNH GẮN KÈM MÃ THỰC THI VÀO DỮ LIỆU THI HÀNH Tống Minh Đức* ồTóm tắt: Bài báo đề xuất mơ hình gắn kèm mã thực thi vào liệu thi hành môi trường windows, vượt qua cảnh báo số phần mềm anti-virus, dựa việc nghiên cứu kỹ thuật mơ hình lây nhiễm virus Mơ hình kỹ thuật cài đặt đề xuất làm giảm thiểu thay đổi đến chế thi hành liệu gốc Mơ hình ứng dụng trường hợp cần cài đặt số chức cho hệ thống để kiểm sốt, điều tra, thu thập thơng tin từ hệ thống máy tính Với việc cập nhật mơ hình mới, giúp cho việc tăng cường khả kiểm soát liệu thi hành với loại biến thể virus Từ khóa: Bảo mật máy tính, Mã độc, Virus, Anti-virus, Mơ hình lây nhiễm virus ĐẶT VẤN ĐỀ Hiện nay, xu hướng công, phát tán phần mềm có mã độc vào quan, doanh nghiệp hình thái giới tội phạm mang tính chất quốc tế xuất Việt Nam Bên cạnh loại mã độc phổ biến, ngày xuất nhiều dạng mã độc Khi xâm nhập vào hệ thống máy tính, mã độc âm thầm kiểm sốt tồn máy tính nạn nhân, mở cổng hậu (backdoor), cho phép tin tặc điều khiển máy tính nạn nhân, lấy cắp liệu … Trong khoa học máy tính, mã độc (malware) định nghĩa chương trình chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống Thuật ngữ virus máy tính (thường người sử dụng gọi tắt virus) chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác (tập tin, ổ đĩa, máy tính, ) [3] Những virus biết thời gian gần đa phần hướng đến việc lấy cắp thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng, tài khoản, tài liệu mật…) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển thực hành động khác nhằm có lợi cho người phát tán virus Chiếm 90% số virus phát nhằm vào hệ thống sử dụng hệ điều hành họ Windows hệ điều hành sử dụng nhiều giới Do tính thơng dụng Windows nên tin tặc thường tập trung hướng vào chúng nhiều hệ điều hành khác Một hình thức cơng đặc biệt nguy hiểm ngày phần mềm mã độc xâm nhập vào hệ thống thông qua nhiều hình thức khác nhau, nằm ẩn hệ thống, chờ hội tay thực ý đồ Để phát loại mã độc phần mềm anti-virus việc phát hiện, việc cập nhật mã độc biết, phần mềm antivirus phải phân tích, nhận diện loại mã độc để cập nhật vào hệ thống Với mã độc mới, tùy vào khả phát phần mềm anti-virus mà phần mềm cảnh báo cho người sử dụng cho phép cách ly, cho phép người sử dụng lựa chọn thi hành Đã có nhiều nghiên cứu liên quan tới toán phát nhận dạng mã độc [2, 4, 5, 6] Thường toán phân tích chia làm loại: Phân tích tĩnh dựa đoạn mã đặc trưng, phân tích động dựa nhận diện hành vi Trường hợp phân tích tĩnh tỏ hiệu mã độc biết trước, phần mềm anti-virus dựa đoạn mã đặc trưng nhận diện mã độc, ngăn chặn cách ly hiệu Tuy nhiên, vấn đề gặp khó khăn phải đối mặt với mã độc nằm ẩn máy tính, chờ hội, thời gian hợp lý Tạp chí Nghiên cứu KH&CN quân sự, Số 50, 08 - 2017 171 Công nghệ thơng tin & Cơ sở tốn học cho tin học tay phá hoại Các mã độc loại khó diệt nguy hiểm người sử dụng, ẩn hệ thống lâu dài mà người dùng không hay biết Đối với kỹ thuật phân tích động, dựa hành vi mã độc để phân tích tỏ hiệu với loại mã độc biến thể nó, dựa vào hành vi như: mở liệu, ghi kèm vào liệu, tìm liệu, mở cổng để truy cập nối mạng, gửi tài liệu ngồi, tìm liệu ổ đĩa Tuy nhiên, kỹ thuật phụ thuộc lớn vào việc mã độc phải thi hành Một số mã độc sử dụng kỹ thuật Bypass ASLR (Address space layout randomization) vượt qua chế bảo mật hệ điều hành windows Để chương trình chiếm quyền hệ thống, toàn quyền sử dụng API mà hệ thống cung cấp, phương pháp phổ biến nhiều loại mã độc sử dụng khai thác lỗ hổng days, leo thang đặc quyền [7] Trong thực tế, có trường hợp cần điều tra, giám sát, thu thập thông tin từ hệ thống máy tính quản lý, cần cài đặt số chức cho hệ thống để kiểm soát hệ thống liệu, phục vụ công tác giám sát, tăng cường khả kiểm soát với loại mã độc phát triển theo mơ hình mới, chẳng hạn trường hợp cài đặt kiểm soát trong: liệu thực thi, cài đặt thêm đoạn mã để trước chạy chương trình, đoạn mã thi hành trước để phát thay đổi liệu chủ Thường đoạn mã cài đặt theo mơ hình truyền thống mã độc dễ bị hệ thống antivirus phát hiện, cảnh báo Trong báo, tác giả tập trung nghiên cứu, phân tích kỹ thuật đặc trưng virus mơ hình virus gắn kèm vào liệu thực thi Sau phân tích yếu tố dễ làm thay đổi chế liệu thi hành, tác giả đề xuất mơ hình gắn kèm mã thực thi vào liệu với thay đổi chế thi hành liệu chủ nhất, sử dụng mã hóa mã lệnh để che giấu đoạn mã thực thi, nhằm trách kiểm soát hệ thống anti-virus Qua nghiên cứu giúp làm chủ hệ thống với mơ hình virus, kết nghiên cứu ứng dụng phục vụ công tác quản lý, giám sát, thu thập thông tin điều hành MƠ HÌNH ĐÍNH KÈM MÃ LỆNH VÀO DỮ LIỆU THI HÀNH Trong mơ hình đính kèm mã lệnh vào liệu thi hành yếu tố bắt buộc đoạn mã đính kèm phải thi hành trước liệu chủ, trường hợp liệu chủ thi hành trước, mã độc khó kiểm sốt chương trình chủ trao quyền điều khiển cho mã độc Chính vậy, mã độc chiếm quyền kiểm soát trước, sau thi hành xong chức mình, mã độc trao lại quyền điều khiển cho liệu chủ thi hành Để thực kỹ thuật này, virus phải điều hướng lệnh thi hành xuống đoạn chương trình virus thông qua số kỹ thuật như: thay đổi đầu vào OEP (Original Entry Point) chương trình xuống vị trí chứa đoạn mã virus sử dụng đoạn lệnh nhảy (jump) từ lệnh chương trình xuống virus Trong phần sâu phân tích mơ hình lây nhiễm virus ưu nhược điểm 2.1 Mơ hình lây nhiễm virus Virus liệu tiến hành lây nhiễm phải tuân theo nguyên tắc: quyền điều khiển phải thuộc virus trước virus trả lại quyền điều khiển cho liệu bị lây nhiễm Tất liệu liệu phải bảo toàn sau quyền điều khiển thuộc liệu Dưới trình bày số mơ hình lây nhiễm virus lây vào liệu dựa vị trí virus: mơ hình ghi đè, mơ hình chèn vào đầu, mơ hình đính kèm vào cuối 2.1.1 Mơ hình ghi đè Mơ hình đơn giản virus lây nhiễm vào liệu chủ virus việc ghi đè mã lệnh lên liệu chủ, đảm bảo đầu vào chương trình chủ đầu vào virus Do đó, chương trình chủ chạy virus chiếm quyền điều khiển thi hành mã lệnh virus 172 Tống Minh Đức, “Đề xuất mơ hình gắn kèm mã thực thi vào liệu thi hành.” Nghiên cứu khoa học cơng nghệ Có thể dễ dàng nhận thấy liệu chủ khơng hoạt động nên virus dễ bị phát ngăn chặn Mặt khác, với virus hoạt động theo phương thức ghi đè, khơng có khả “tháo gỡ” virus để trả lại liệu chủ ban đầu theo cách hiểu truyền thống Một virus thiết kế ghi đè theo mơ hình hoạt động hiệu Virus LOVELETTER Mơ hình có ưu điểm đơn giản virus không cần định vị lại vùng nhớ Khi virus chạy không lưu giữ lại phần liệu chương trình chủ nên sau virus lây nhiễm, liệu chủ khơng hoạt động Nhược điểm mơ hình ghi đè mang tính chất phá hoại nhiều khả lây lan virus sử dụng mơ hình hạn chế Do liệu chủ bị hỏng nên mơ hình khó phát tán virus 2.1.2 Mơ hình ghi chèn vào đầu Virus chèn đoạn mã vào đầu liệu bị lây nhiễm đưa toàn nội dung liệu xuống phía sau chương trình virus Nhược điểm mơ hình đầu vào liệu bị rời đoạn độ dài virus gán vào liệu nên giữ nguyên liệu khơng thi hành bị sai lệch địa tuyệt đối Do đó, trước virus trả quyền điều khiển cho liệu thi hành virus cần phải tải lại liệu hành ảnh ban đầu liệu chưa bị lây nhiễm, việc thi hành liệu chậm gây ảnh hưởng đến nhớ Vì vậy, mơ hình thực tế sử dụng 2.1.3 Mơ hình chèn vào cuối liệu Mơ hình lây nhiễm chèn mã virus vào cuối liệu mơ hình sử dụng hầu hết loại liệu, tính chất lây nhiễm khơng làm ảnh hưởng nhiều tới vị trí tải liệu gốc vào nhớ thi hành liệu gốc, giảm nhiều thời gian tải lại liệu vào vị trí mơ hình lây nhiễm vào đầu liệu, giảm thời gian chuyển quyền điều khiển cho liệu, vậy, mơ hình sử dụng nhiều so với mơ hình khác Mơ hình mã virus gắn vào cuối liệu chủ sau lây nhiễm Do mã virus khơng nằm đầu vào chương trình OEP (Original Entry Point) nên virus định vị lại liệu bị lây nhiễm cách thay đổi liệu liệu cho quyền điều khiển trỏ vào mã lệnh virus, sử dụng kỹ thuật định vị chương trình để tính tốn địa đoạn mã lệnh virus sử dụng Hình Mơ hình ghi vào cuối liệu Mơ hình lây nhiễm ghi mã virus vào cuối liệu có ưu điểm lây nhiễm liệu thi hành Mặt khác, thay đổi liệu liệu bị lây nhiễm không đáng kể việc chiếm quyền điều khiển virus khơng khó khăn nên mơ hình áp dụng nhiều Nhược điểm mơ hình ghi mã virus vào cuối liệu dễ dàng cho người diệt virus việc khơi phục liệu việc phát có mã đính kèm Tạp chí Nghiên cứu KH&CN quân sự, Số 50, 08 - 2017 173 Công nghệ thông tin & Cơ sở toán học cho tin học Với kỹ thuật phân tích tĩnh, dựa vào dấu hiệu virus lây nhiễm chuyển đoạn mã thi hành xuống section cuối, số phần mềm anti-virus lợi dụng vào đặc điểm để phát hiện, đưa cảnh báo có xuất mã liệu thi hành Phần sau đề xuất mơ hình gắn kèm mã thực thi vào liệu thi hành, mơ hình cải tiến tránh việc chuyển đoạn mã thực thi xuống section cuối liệu cách lây nhiễm truyền thống virus, đề xuất kỹ thuật che giấu mã thi hành kỹ thuật mã hóa liệu, qua mặt số phần mềm cảnh báo anti-virus PHÁT TRIỂN MƠ HÌNH GẮN KÈM MÃ VÀO DỮ LIỆU THI HÀNH 3.1 Mơ hình đề xuất Với phân tích trên, chúng tơi đề xuất mơ hình gắn kèm mã thi hành vào liệu thi hành được, yêu cầu mơ hình đề xuất nhằm đảm bảo yếu tố: - Đoạn mã thi hành liệu phải nằm section (Code –payload) - Tạo thêm 01 section cuối liệu, phần đoạn mã mã hóa (data) gắn vào section cuối tạo Ở mơ hình này, chương trình virus sinh đoạn payload “chèn” vào phần trống section đầu tiên, chuyển trỏ OEP vào đoạn code thêm vào, đồng thời mở thêm section chứa liệu data liệu virus mã hóa Đoạn payload thực giải mã data, nạp lên vùng nhớ thực thi Việc thực thi đoạn mã cách gián tiếp thông qua liệu PE khác, lại thực thi trực tiếp qua việc nạp thẳng đoạn chương trình lên vùng nhớ thực thi Khi liệu thi hành đoạn mã Code-payload có nhiệm vụ: - Giải mã đoạn liệu ghi section cuối; - Tạo liệu mới, copy đoạn liệu section cuối vào liệu tạo; - Thực thi liệu vừa tạo; - Trả lại điều khiển cho liệu chủ Dữ liệu vừa tạo có nhiệm vụ: - Lây nhiễm vào liệu khác theo mơ hình đề xuất; - Thực hoạt động khác (theo mục đích người viết) Mơ hình cải tiến: Hình Mơ hình cải tiến ghi vào cuối liệu 3.2 Sơ đồ thuật toán Thuật toán sau mô tả thao tác đoạn mã data sau giải mã đưa lên vùng nhớ: 174 Tống Minh Đức, “Đề xuất mơ hình gắn kèm mã thực thi vào liệu thi hành.” Nghiên cứu khoa học cơng nghệ Hình Sơ đồ thuật tốn thi hành liệu tải lên vùng nhớ 3.3 Kết thử nghiệm Chương trình gắn kèm đoạn mã vào liệu thi hành viết theo mơ hình cải tiến, viết ngơn ngữ C++, trình biên dịch VC++ 2012, Platform 64bit Kết thử nghiệm hệ điều hành windows 64 bit Tác giả thử nghiệm với hệ thống cài đặt số phần mềm anti-virus như: Kapersky Antivirus 2016 Bitdefender antivirus 2016 Ngoài ra, tác giả cho thử nghiệm upload liệu sau đính kèm mã viết theo mơ hình đề xuất lên trang kiểm tra mã độc online www.virustotal.com cho kiểm tra Các phần mềm anti-virus hệ thống virustotal không phát dấu hiệu nghi nghờ khơng có cảnh báo KẾT LUẬN Trong hệ thống anti-virus nay, việc phân tích loại mã độc hành vi mã độc để phát loại bỏ loại mã độc biết trước, việc phân tích chế, dự đoán mã độc nằm ẩn máy tính từ lâu, chờ hội thuật lợi để tay vấn đề cần thiết Đối phó với loại mã độc thách thức lớn lĩnh vực bảo đảm an tồn thơng tin Việc nghiên cứu kỹ thuật mơ hình lây nhiễm virus liệu thi hành giúp làm chủ hệ thống trường hợp có virus cơng hệ thống Hơn nữa, việc nghiên cứu mơ hình lây nhiễm giúp cho cài đặt vào hệ thống phần mềm hữu ích, giúp giám sát thay đổi liệu, giám sát Tạp chí Nghiên cứu KH&CN quân sự, Số 50, 08 - 2017 175 Công nghệ thông tin & Cơ sở tốn học cho tin học hệ thống Việc phân tích tìm hiểu mơ hình thay đổi chế thi hành liệu hướng để nhà phân tích virus quan tâm Trong báo đề cập tới mơ hình lây nhiễm thuật toán cài đặt mã thi hành lên liệu đảm bảo liệu thi hành hoạt động có thay đổi chế thi hành liệu Tác giả hướng tới việc đoạn mã nằm ẩn liệu để trách số cảnh báo phần mềm anti-virus trường hợp kiểm tra liệu tĩnh thi hành nhớ mà hệ thống cho phép thi hành liệu Tuy nhiên, để thi hành đoạn mã qua mặt hệ thống hạn chế quyền truy cập cần đòi hỏi phải sử dụng số kỹ thuật Bypass ASLR , loại bỏ tiến trình hệ thống phải cài đặt với quyền NTAUTHORIZE/SYSTEM Vấn đề để thi hành mức hệ thống, trường hợp hạn chế quyền truy cập có nghiên cứu phân tích TÀI LIỆU THAM KHẢO [1] Aman Hardikar M, “Malware 101 – viruses”, SANS Institute, 2008 [2] Dennis Distler, “Perfoming Behavioral Analysis of Malware”, SANS Training, 2011 [3] Karen Kent, Murugiah Souppaya, “Guide to Malware Incident Prevention and Handling for Desktops and Laptops -Special Publication 800-83”, NIST(National Institute of Standards and Technology) (2013), tr 2-6 [4] Konrad Rieck, Philipp Trinius, Carsten Willems and Thorsten Holz, “Automatic Analysis of Malware Behavior using Machine Learning”, Journal of Computer Security, Volume 13, Number 4/2011, tr 639-668 [5] Nicolas Falliere, "Windows Anti-Debug Reference", (2012) [6] Michael Sikorski, Andrew Honig, "Practical Malware Analysis" San Francisco, 2012 [7] Morton Christiansen, “Bypassing Malware Defenses”, SANS Institute Reading Room (2010), tr 17-34 [8] Philipp Trinius, Thorsten Holz, Konrad Rieck and Carsten Willems, “A malware Instruction Set for Behavior-Based Analysis”, Sicherheit Berlin, Germany, 2010, tr 205 [9] Peter Szor, "The Art of Computer Virus Research and Defense", 2005 [10] http://www.bkav.com.vn/hoi-dap/-/chi_tiet/399683/vu-tan-cong-vietnam-airlineshacker-da-su-dung-virus, 2016 ABSTRACT AN INSERTED CODE INTO EXECUTED DATA MODEL The paper proposes a model that an executable data is inserted using some codes into the windows environment This modified data can bypass specific alerts of the anti-virus software Depending on the virus techniques and models that are empoyed, our work proposes new techniques and model that can minimize the changes to the executed mechanism of the original data Our model is applied for the purposes of implementing some system functions in order to control, investigate,and collect system information In addition, the model has the capacity to minimise new viruses in the field of execution Keywords: Computer Security, Malware, Virus, Anti-virus, Virus infection model Nhận ngày 26 tháng 12 năm 2016 Hoàn thiện ngày 06 tháng 02 năm 2017 Chấp nhận đăng ngày 18 tháng năm 2017 Địa chỉ: * 176 Học viện Kỹ thuật quân Email: ductm75@gmail.com Tống Minh Đức, “Đề xuất mơ hình gắn kèm mã thực thi vào liệu thi hành.” ... điều hành MƠ HÌNH ĐÍNH KÈM MÃ LỆNH VÀO DỮ LIỆU THI HÀNH Trong mơ hình đính kèm mã lệnh vào liệu thi hành yếu tố bắt buộc đoạn mã đính kèm phải thi hành trước liệu chủ, trường hợp liệu chủ thi hành. .. mã hóa liệu, qua mặt số phần mềm cảnh báo anti-virus PHÁT TRIỂN MƠ HÌNH GẮN KÈM MÃ VÀO DỮ LIỆU THI HÀNH 3.1 Mơ hình đề xuất Với phân tích trên, chúng tơi đề xuất mơ hình gắn kèm mã thi hành vào. .. kèm vào liệu thực thi Sau phân tích yếu tố dễ làm thay đổi chế liệu thi hành, tác giả đề xuất mơ hình gắn kèm mã thực thi vào liệu với thay đổi chế thi hành liệu chủ nhất, sử dụng mã hóa mã lệnh