1. Trang chủ
  2. » Luận Văn - Báo Cáo

Luận văn thạc sĩ hệ thống thông tin: Nghiên cứu phương pháp phân tích động mã độc

93 115 2

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 93
Dung lượng 5,83 MB

Nội dung

• Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt động, các hành vi của mã độc và phương thức lây nhiễm của chúng • Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. Các phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh đó nghiên cứu về các môi trường và công cụ phân tích mã độc • Đề xuất quy trình và ứng dụng phân tích động mã độc trong thực tế.

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN NGỌC QUÂN NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 BÁO CÁO LUẬN VĂN THẠC SĨ HÀ NỘI – 2015 LỜI CẢM ƠN Trước hết xin cảm ơn sâu sắc tới TS Nguyễn Trung Kiên, định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn suốt q trình nghiên cứu hồn thành luận văn tốt nghiệp Tôi xin cảm ơn cán Viện Công nghệ thông tin truyền thông CDIT; thầy cô khoa Công nghệ thông tin, khoa Quốc tế Đào tạo sau Đại học - Học viện Công nghệ Bưu Viễn thơng giúp đỡ truyền đạt kiến thức cho suốt thời gian học tập nghiên cứu trường Tôi xin cảm ơn cấp Lãnh đạo tồn thể đồng nghiệp, gia đình, bạn bè chia sẻ, giúp đỡ, tạo điều kiện cho tơi hồn thành khóa luận Hà Nội, tháng năm 2015 Nguyễn Ngọc Quân ii LỜI CAM ĐOAN Tôi xin cam đoan Luận văn cơng trình nghiên cứu khoa học nghiêm túc cá nhân, thực hướng dẫn khoa học TS Nguyễn Trung Kiên Các số liệu, kết nghiên cứu kết luận trình bày Luận văn trung thực chưa cơng bố hình thức Tơi xin chịu trách nhiệm cơng trình nghiên cứu TÁC GIẢ LUẬN VĂN Nguyễn Ngọc Quân iii MỤC LỤC LỜI CẢM ƠN ii LỜI CAM ĐOAN ii MỤC LỤC ii DANH MỤC CÁC TỪ VIẾT TẮT .ii DANH MỤC HÌNH VẼ ii MỞ ĐẦU ii CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 Tổng quan mã độc .2 1.1.1 Khái niệm mã độc 1.1.2 Tình hình mã độc Việt Nam giới 1.2 Phân loại mã độc 1.2.1 Virus máy tính 1.2.2 Sâu máy tính 1.2.3 Trojan hourse 1.2.4 Phần mềm gián điệp (Spyware) .2 1.2.5 Phần mềm tống tiền (Scareware) .2 1.2.6 Phần mềm quảng cáo .2 1.2.7 Downloader 1.2.8 Backdoor 1.2.9 Botnet .2 1.2.10 Launcher 1.2.11 Rootkit 1.2.12 Keylogger 1.3 Cách thức hoạt động hành vi loại mã độc 1.3.1 Mục đích mã độc 1.3.2 Hướng lây nhiễm mã độc 1.3.3 Hành vi mã độc 1.3.4 Biện pháp để phát mã độc máy tính hệ thống mạng iv 1.3.5 Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy hệ thống mạng 1.4 Phương thức lây nghiễm mã độc 1.4.1 Phương thức lây nhiễm Virus 1.4.2 Phương thức lây nhiễm Worm (Sâu máy tính) 1.4.3 Phương thức lây nhiễm Trojan 1.5 Kết luận Chương CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 2.1 Nghiên cứu kỹ thuật phân tích mã độc 2.1.1 Mục đích kỹ thuật phân tích mã độc 2.1.2 Các kỹ thuật phân tích mã độc 2.2 Nghiên cứu phương pháp phân tích tĩnh .2 2.2.1 Basic static analysis 2.2.2 Advanced static analysis 2.3 Nghiên cứu phương pháp phân tích động 2.4 Môi trường thực việc phân tích mã độc .2 2.4.1 Môi trường tải mã độc 2.4.2 Mơi trường phân tích mã độc 2.4.3 Mô hình mơi trường phân tích mã độc 2.5 Quy trình thu thập phân tích mã độc 2.5.1 Thu thập mã độc 2.5.2 Quy trình phân tích mã độc .2 2.6 Nghiên cứu cơng cụ hỗ trợ phân tích mã độc 2.6.1 Công cụ hỗ trợ phân tích tĩnh 2.6.2 Công cụ hỗ trợ phân tích động 2.7 Kết luận Chương CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC 3.1 Kiến trúc hệ thống 3.2 Mơ hình logic hệ thống Malware analytics 3.3 Mơ hình vật lý hệ thống 3.4 Giới thiệu hệ thống sử dụng cho việc phân tích hành vi mã độc v 3.1.1 Quy trình phân tích tập tin .2 3.1.2 Quy trình phân tích địa URL độc hại 3.2 Kết luận chương KẾT LUẬN TÀI LIỆU THAM KHẢO .2 PHỤ LỤC DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt AV-TEST Tổ chức kiểm định đánh giá độc lập phần mềm diệt Virus cho Windows Android BKAV Công ty an ninh mạng BKAV CPU Central Processing Unit Bộ xử lý trung tâm máy tính IPS Intrusion prevention system Hệ thống phát xâm nhập IDS Intrusion detection system Hệ thống ngăn ngừa xâm nhập IIS Internet Information Services MD5 Message Digest Algorithm Thuật tốn băm mã hóa liệu MD5 NIST National Institute of Standards and Technology Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ P2P Peer to peer Mạng ngang hàng PC Personal computer Máy tính cá nhân PE File Portable Executable File SHA-1 Secure Hash Algorithm Thuật toán băm mã hóa liệu SHA-1 VNCERT Vietnam Computer Emergency Response Team Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNPT Vietnam Posts and Telecommunication Group Tập đoàn Bưu Viễn thơng Việt Nam vii DANH MỤC HÌNH VẼ Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST .2 Hình 2: Danh sách 15 nước phát tán mã độc nhiều giới Hình 3: Tình hình mã độc tháng 5/2013 theo BKAV Hình 4: Virus đính kèm tập tin thực thi Hình 5: Mơ tả mức độ lây lan sâu mật mã đỏ năm 2001 Hình 6: Trojan ẩn phần mềm miễn phí Hình 7: Hoạt động người dùng Spyware ghi lại .2 Hình 8: Scareware mạo danh FBI tống tiền người dùng .2 Hình 9: Cơng dụng mạng Botnet .2 Hình 10: Hash Netcat Hình 11: String tách từ mẫu Malware Hình 12: String tách từ mẫu Malware Hình 13: Chuỗi ASCII Hình 14: Chuỗi Unicode .2 Hình 15: File Malware nc giả dạng file nén Hình 16: Byte định dạng file thực thi Hình 17: Byte định dạng file zip Hình 18: Chương trình Malware biên dịch Visual C++ .2 Hình 19: Hệ thống chạy chưa thực thi Malware Hình 20: Hệ thống xuất tiến trình lạ thực thi Malware Hình 21: Malware tác động đến file hệ thống Hình 22: Mơi trường phân tích mã độc Hình 23: Mơ hình thực phân tích Malware Hình 24: Thành phần mơi trường phân tích mã độc Hình 25: Quy trình phân tích mã độc chưa có hệ thống phân tích tự động .2 Hình 26: Quy trình phân tích mã độc có hệ thống phân tích tự động Hình 27: Màn hình sử dụng PEiD Hình 28: Rdg Packer Detector Hình 29: ExeInfo Hình 30: Giao diện đồ họa IDA Pro Hình 31: BinDiff Hình 32: Giao diện sử dụng Process Monitor Hình 33: Cửa sổ Filter Process Monitor Hình 34: Mơ hình logic hệ thống Malware analytics Hình 35: Mơ hình vật lý hệ thống vii viii Hình 36: Giao diện trang phân tích hành vi mã độc Hình 37: Quy trình phân tích mã độc hệ thống .2 Hình 38: Giao diện mục nhập mã độc Hình 39: Trang thị thơng tin mã độc phân tích Hình 40: Thơng tin sơ lược mã độc Hình 41: Các thơng tin chi tiết hành vi mã độc (1) Hình 42: Các thơng tin chi tiết hành vi mã độc (2) Hình 43: Các thơng tin chi tiết hành vi mã độc (3) Hình 44: Giao diện nhập địa URL để phân tích .2 Hình 45: Trang hiển thị thơng tin địa URL phân tích .2 Hình 46: Các thơng tin chi tiết hành vi website chứa mã độc Hình 47: Tiến hành cài đặt Winpcap .2 Hình 48: Tiến hành cài đặt Wireshark Hình 49: Giải nén BSA Hình 50: Giao diện sandboxie sau cài đặt xong Hình 51: Chỉnh sửa cấu hình Sandbox Hình 52: File cấu hình Sandbox trước chỉnh sửa Hình 53: File cấu hình chỉnh sửa .2 Hình 54: Chạy thử process monitor mơi trường sandbox Hình 55: Hoạt động Buster Sandbox Analyzer .2 Hình 56: Thực thi netcat môi trường sandbox .2 Hình 57: Netcat load file thư viện, tạo tiến trình .2 Hình 58: Thơng tin file report Hình 59: Phân tích hành vi Hình 60: Malware query DNS teredo.ipv6.microsoft.com Hình 61: Malware query DNS teredo.ipv6.microsoft.com Hình 62: Malware nhận trả lời từ việc query tên miền Hình 63: Malware nhận trả lời từ việc query tên miền Hình 64: Malware nhận trả lời từ việc query tên miền Hình 65: Kiểm tra Malware với Virus total Hình 66: Kết kiểm tra qua phần mềm anti Malware tiếng Hình 67: Conficker thay đổi thuộc tính Chrome .2 Hình 68: Web server hoạt động .2 Hình 69: Conficker lấy thơng tin từ web server Hình 70: Conficker truy vấn tên miền .2 Hình 71: Wireshark bắt tin conficker truy vấn tên miền Hình 72: Conficker download file từ website Hình 73: Giao diện cơng cụ Armitage viii ix Hình 74: Sử dụng Trojan lưu dạng file exe Hình 75: Upload Trojan lên webserver Hình 76: Khởi động dịch vụ apache Hình 77: Chọn launch để khởi động dịch vụ Hình 78: Người dùng vơ tình cài Trojan lên máy tính họ .2 Hình 79: Kết nối mở để hacker điều khiến máy tính người dùng Hình 80: Thực command cmd máy tính người dùng .2 Hình 81: Report hành vi Trojan Hình 82: Wireshark capture tin Trojan gửi ix 68 Hình 60: Malware query DNS teredo.ipv6.microsoft.com Hình 61: Malware query DNS teredo.ipv6.microsoft.com 68 69 Hình 62: Malware nhận trả lời từ việc query tên miền 1.2 Thực phân tích Malware Conficker sử dụng sandbox: Việc thử nghiệm Malware tiềm ẩn nhiều nguy hiểm Do việc thử nghiệm cần phải cẩn thận Sâu conficker loại Malware nguy hiểm thực tế có nhiều biến thể loại Malware Chúng đặt tên như: conficker A, B, C, D, E Conficker có biến thể khác đặt tên như: Downup, Downadup, Kido Những biến thể ngắm đến mục tiêu hệ điều hành Windows Microsoft Biến thể Malware lây lan qua Internet, khai thác lỗ hổng Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 Một vài triệu chứng máy tính xảy bị nhiễm Malware conficker:  Một số dịch vụ Microsoft Windows Windows Update, Windows Defender bị tắt  Nghẽn mạng nội  Các website liên quan đến phần mềm diệt Virus hay dịch vụ cập nhật Windows update không truy cập  Các Malware conficker thường khai thác lỗ hổng MS08-067 hệ điều hành windows Microsoft 69 70 Việc tìm kiếm Malware conficker gây khó khăn Tìm kiếm báo cáo Malware tương đối dễ dàng việc download loại Malware khơng dễ chút Loại Malware khó download trang thống trang chuyên thu thập mã độc Do dó, tìm loại Malware ta chưa xác định biến thể số nhiều biến thể Malware conficker Trong có số file thực thi có dạng exe, file chạy Windows thực thi chạy file thơng báo lỗi: Hình 63: Malware nhận trả lời từ việc query tên miền Và để xác định xác thứ mà thân download biến thể Malware conficker Tơi định thử máy tính thật bảo vệ phần mềm anti Virus windows Microsoft Essential kết thu được: Hình 64: Malware nhận trả lời từ việc query tên miền 70 71 Từ kết nhận được, thứ tìm mẫu Malware, mức độ nguy hại Malware hệ thống nghiêm trọng Đồng thời qua tơi xác định gói phần mềm chưa đồng thời loại Malware Conficker.C, Malware Conficker.B.inf, Conficker.A Một lưu ý sử dụng phần mềm thực tế việc thử nghiệm Malware Các phần mềm anti Virus phát Malware nhúng file, tệp tin chúng lưu kèm file khác dạng file nén có đặt mật Ngoài việc Malware xây dựng file exe, Malware đóng gói dạng file hệ thống dll Để xác định rõ loại Malware conficker có thêm chút thơng tin kiểm tra chúng qua số trang web https://www.Virustotal.com/vi/ Hình 65: Kiểm tra Malware với Virus total Hình 66: Kết kiểm tra qua phần mềm anti Malware tiếng 71 72 Các biến thể Malware conficker khai thác lỗ hổng dịch vụ Server máy tính chạy hệ điều hành Windows Trên máy tính bị lây nhiễm Malware Malware thực kết nối đến HTTP server để tải dạng file DLL, sau đính vào svchost.exe Conficker thực thi truy vấn DNS kết nối đến HTTP server Sâu Conficker có số chế để đẩy liệu download liệu thực thi qua mạng Những liệu sâu sử dụng để tự cập nhật biến thể nó, liệu giúp cài đặt thêm phần mềm độc hại Các biến thể conficker khởi tạo số dịch vụ Tiếp theo thử chạy Malware Conficker mơi trường sandbox tìm hiểu hành động chúng: Hình 67: Conficker thay đổi thuộc tính Chrome Qua hình thấy Conficker thay đổi số thuộc tính trình duyệt Chrome Và thực kết nối đến web server Tiếp theo kiểm tra liệu web server có hoạt động hay khơng ? , kiểm tra câu lệnh telnet 113.171.244.44 443 72 73 Hình 68: Web server hoạt động Sử dụng wireshark bắt gói tin kiểm tra Malware lấy thơng tin từ web server về: Hình 69: Conficker lấy thơng tin từ web server Conficker thực việc truy vấn DNS đến tên miền: 73 74 Hình 70: Conficker truy vấn tên miền Hình 71: Wireshark bắt tin conficker truy vấn tên miền Các Malware conficker kết nối đến Internet để download file cập nhật nâng cấp mã nguồn cho thân Conficker A tự cập nhật để update lên thành Conficker B, Conficker C 74 75 Hình 72: Conficker download file từ website 1.3 Thử nghiệm Trojan phân tích hành vi Trojan đơn giản Trojan giả vờ phần mềm vơ hại nhằm mục đích lừa người sử dụng cài lên máy tính Sau người dùng cài Trojan lên máy tính Trojan bắt đầu thực mục đích mà người viết hướng đến Có thể ăn cắp thông tin nhạy cảm người dùng Khi Trojan có tính chất giống spyware Hoặc đơn giản Trojan thực hành vi mở port thực kết nối đến server để hacker xâm nhập vào hệ thống chiếm quyền điều khiển hệ thống, có vai trị backdoor Nếu phần tơi nói Worm Conficker, loại Worm khai thác lỗ hổng MS08-067 công từ điển vào thư mục chia sẻ hệ thống Windows XP, Windows server 2003, vista… Nhưng lỗi vá Việc công khai thác lỗi thực Win Trong phần thực việc công vào Win coi người dùng thông thường vơ tình cài đặt Trojan lên máy tính họ qua việc cài đặt file web server Trong phần sử dụng máy ảo Back Track Windows để thực Tôi sử dụng công cụ Armitage Back Track 75 76 Hình 73: Giao diện cơng cụ Armitage Tiếp theo sử dụng Trojan, lưu dạng file exe để chạy Windows 76 77 Hình 74: Sử dụng Trojan lưu dạng file exe Tiếp theo up Trojan lên thư mục giả lập web server khởi động dịch vụ http Hình 75: Upload Trojan lên webserver 77 78 Hình 76: Khởi động dịch vụ apache Trên máy giả lập hacker sau upload Trojan lên web để lừa người dùng Khởi động dịch vụ để lắng nghe kết nối từ người dùng bị nhiễm Trojan gửi để thực chiếm quyền 78 79 Hình 77: Chọn launch để khởi động dịch vụ Giả sử người dùng vơ tình cài đặt Trojan lên computer họ Hình 78: Người dùng vơ tình cài Trojan lên máy tính họ 79 80 Khi người dùng vơ tình cài đặt Trojan lên máy tính họ Trojan thực việc kết nối đến server để kẻ cơng chiếm quyền điều khiển máy tính người dùng Hình 79: Kết nối mở để hacker điều khiến máy tính người dùng Hình 80: Thực command cmd máy tính người dùng Tiếp theo tơi tìm hiểu hành vi Trojan qua mơi trường sandbox kiểm tra report: 80 81 Hình 81: Report hành vi Trojan Trong phần network server thấy thực kết nối máy có địa IP 192.168.157.133 port 4444 81 82 Hình 82: Wireshark capture tin Trojan gửi Khi thực bước tắt máy Back Track Thực việc bắt gói tin Wireshark cho thấy Trojan liên tục gửi gói tin ARP để tìm địa Mac máy Back Track Các gói tin ARP gửi dạng broadcast Nếu gửi liên tục thời gian dài dẫn đến tình trạng nghẽn mạng 82 ... tán mã độc hệ thống, thiết bị thông minh,… Luận văn tìm hiểu nghiên cứu ? ?Phương pháp phân tích động mã độc? ?? Mục tiêu Luận văn gồm nội dung chính:  Nghiên cứu tổng quan mã độc, phân loại mã độc, ... hoạt động, hành vi mã độc phương thức lây nhiễm chúng  Nghiên cứu sâu kỹ thuật phương pháp phân tích mã độc Các phương pháp phân tích tĩnh, phương pháp phân tích động? ?? Bên cạnh nghiên cứu mơi... PHÂN TÍCH MÃ ĐỘC Nội dung chương trình bày kỹ thuật phân tích mã độc, sâu vào phương pháp phân tích mã độc chính, đưa mơi trường thực việc phân tích mã độc cơng cụ hỗ trợ phân tích mã độc 2.1 Nghiên

Ngày đăng: 03/08/2020, 20:46

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w