NGUYỄN HUY TRUNG BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN HUY TRUNG KỸ THUẬT MÁY TÍNH MƠ HÌNH PHÁT HIỆN MÃ ĐỘC TRÊN FIRMWARE CỦA MỘT SỐ THIẾT BỊ ĐỊNH TUYẾN LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH CH2015B Hà Nội – Năm 2017 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN HUY TRUNG MÔ HÌNH PHÁT HIỆN MÃ ĐỘC TRÊN FIRMWARE CỦA MỘT SỐ THIẾT BỊ ĐỊNH TUYẾN Chuyên ngành : Kỹ thuật máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Linh Giang Hà Nội – Năm 2017 MỤC LỤC MỤC LỤC LỜI CAM ĐOAN DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ LỜI CẢM ƠN MỞ ĐẦU Lý chọn đề tài Lịch sử nghiên cứu Mục đích nghiên cứu luận văn, đối tượng, phạm vi nghiên cứu 10 Tóm tắt đọng luận điểm đóng góp tác giả .11 Phương pháp nghiên cứu 12 CHƯƠNG – TỔNG QUAN VỀ MÃ ĐỘC VÀ THIẾT BỊ NHÚNG .13 1.1 Khái niệm mã độc .13 1.2 Phân loại mã độc 13 1.3 Đối tượng lây nhiễm mã độc 18 1.4 Các phương pháp phát mã độc .21 1.4.1 Định nghĩa máy phát mã độc 21 1.4.2 Phân tích tĩnh mã độc .22 1.4.3 Phân tích động mã độc 25 1.5 Hệ thống nhúng thiết bị nhúng 29 1.6 Thiết bị định tuyến 32 1.7 Mã độc nhúng firmware 35 CHƯƠNG CÁC PHƯƠNG PHÁP TRÍCH XUẤT VÀ PHÂN TÍCH FIRMWARE 38 2.1 Khái niệm firmware .38 2.2 Cấu trúc firmware 39 2.3 Phương pháp thu thập firmware thiết bị định tuyến 41 2.3.1 Thu thập firmware gián tiếp 41 2.3.2 Thu thập firmware trực tiếp 42 2.3.3 Công cụ gỡ rối JTAG .42 2.4 Phương pháp phân tích firmware 47 2.4.1 Mơ hình Avatar .48 2.4.2 Mơ hình FRAK .53 CHƯƠNG ĐỀ XUẤT MƠ HÌNH PHÁT HIỆN MÃ ĐỘC NHÚNG TRÊN FIRMWARE 55 3.1 Tổng quan mơ hình 55 3.2 Xây dựng mơ hình 57 3.2.1 Thu thập firmware thiết bị định tuyến 57 3.2.2 Giải nén trích chọn mã nguồn nhị phân .62 3.2.3 Dịch ngược firmware 63 3.2.4 Phân tích tập tin mã nguồn tường minh 65 3.3 Kết quả, đánh giá mơ hình .66 KẾT LUẬN VÀ KIẾN NGHỊ 73 TÀI LIỆU THAM KHẢO 75 LỜI CAM ĐOAN Tôi xin cam đoan số liệu kết nghiên cứu luận văn trung thực chưa sử dụng để bảo vệ học vị Mọi giúp đỡ cho việc thực luận văn cảm ơn thơng tin trích dẫn luận văn rõ nguồn gốc rõ ràng phép công bố Hà Nội, ngày tháng năm 201 Học viện thực Nguyễn Huy Trung DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT Tên viết tắt Tiếng Anh Tiếng Việt Application Program Interface Giao diện lập trình ứng dụng BIOS Basic Input/Output System Hệ thống nhập xuất CFG Control Flow Graph Đồ thị luồng điều khiển DFG Data Flow Graphs Đồ thị luồng liệu DLL Dynamic Link Library Thư viện liên kết động MBR Master Boot Record Bản ghi khởi động Microsoft Develop Network Bảng dịch vụ hệ thống IAT Import Address Table Bảng địa hàm nhập OEP Original Entry Point Điểm vào chương trình gốc RAT Remote Administration Tool Cơng cụ quản trị từ xa Small Office/Home Office Thiết bị dân dụng Local Domain Table Bảng miền cục API MSDN SOHO LDT DANH MỤC CÁC BẢNG Bảng Độ xác thống kê dựa Entropy Bảng Thống kê tập mẫu firmware hãng thiết bị định tuyến Bảng Kết mã định danh MD5 sở liệu VirusTotal ClamAV Bảng Cấu trúc sở liệu firmware an toàn DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình Các thành phần để đảm bảo an tồn cho thơng tin Hình Ví dụ Rootkit Hình Các mức bảo mật hệ thống Windows Hình Cấu tạo định tuyến Hình Nền tảng OS sử dụng phổ biến firmware Hình Bộ cơng cụ tìm kiếm Shodan.io Hình Một ví dụ tìm kiếm thơng tin với cơng cụ Shodan.io Hình Vị trí firmware kiến trúc bảo mật thơng tin Hình Các phương pháp thu thập firmware thiết bị định tuyến Hình 10 Thiết bị ExC500 có khả chép firmware từ flash Hình 11 Sơ đồ kết nối chuỗi Chíp Hình 12 Cấu trúc chíp tích hợp JTAG bên Hình 13 Mơ hình hoạt động TAP controller Hình 14 Dữ liệu truyền thơng qua TDI TDO Hình 15 Hệ thống tập tin Linux Hình 16 Kiến trúc hệ thống Cơng cụ Avatar Hình 17 Chế độ “full-separation mode” Hình 18 Kiến trúc cơng cụ FRAK Hình 19 Mơ hình tổng quan phân tích, phát mã độc Hình 20 Các trang tin tìm kiếm FTP Hình 21 Website hỗ trợ hãng thiết bị định tuyến Hình 22 Thiết bị TIAO USB Adapter (a) Giao diện PCB TUMPA (b) Hình 23 Pinout JTAG router Linksys WRT54G (a) Sơ đồ cáp JTAG (b) Hình 24 Các tập tin hệ thống firmware sau dịch ngược Hình 25 Quá trình rà qt mã độc cơng cụ Hình 26 Mơ hình triển khai hạ tầng phân tích, phát mã độc Hình 27 Khảo sát kiểu tập tin hệ thống thường dùng thiết bị định tuyến Hình 28 Quy trình lưu trữ firmware mơ hình LỜI CẢM ƠN Tơi muốn bày tỏ lịng biết ơn sâu sắc tới người giúp đỡ q trình làm luận văn Đặc biệt, tơi xin cảm ơn PGS.TS Nguyễn Linh Giang, với tâm huyết, tận tâm thầy bảo chi tiết, cho lời khuyên quý báu theo sát bước làm luận văn Đồng thời xin gửi lời cảm ơn tới thầy cô giáo giảng dạy môn Truyền thông mạng máy tính, Đại học Bách khoa Hà Nội truyền đạt kiến thức cho thời gian học tập, nghiên cứu trường Cuối cùng, xin chân thành cảm ơn đồng nghiệp nhóm nghiên cứu Khoa Công nghệ An ninh thông tin, Học viện An ninh nhân dân chia sẻ, giúp đỡ, động viên, tạo điều kiện thuận lợi để tơi hồn thành nhiệm vụ học tập hoàn thành luận văn MỞ ĐẦU Lý chọn đề tài Thực tiễn cho thấy phần lớn thiết bị mạng sử dụng nước thiết bị nhập từ hãng nước (Huawei, TP-link, Cisco, Tenda, Linksys….), lỗ hổng lớn công tác đảm bảo, quản lý giám sát an tồn an ninh thơng tin Bởi biết liệu thiết bị có lỗ hổng bảo mật hay có bị nhúng đoạn mã nguồn phục vụ cho chức mà người dùng khơng mong muốn Với môi trường công nghệ hoạt động Internet dầy đặc ngày việc trang bị cho tổ chức đồn thể phần mềm phịng chống mã độc gần điều kiện tiên Bên cạnh nhà nghiên cứu bảo mật người Đức phát lỗ hổng bảo mật thiết bị định tuyến công ty Huawei Trung Quốc sản xuất, sử dụng nhiều nhà cung cấp dịch vụ Internet, mà hacker lợi dụng để chiếm quyền điều khiển máy tính người dùng Tháng 11/2013, hai hãng viễn thông lớn Trung Quốc Huawei ZTE bị Quốc hội Mỹ điều tra cáo buộc thiết bị công ty sử dụng để phá vỡ theo dõi nội dung gọi điện thoại email Như nhiều thiết bị mạng Trung Quốc cài sẵn mã độc mà người sử dụng Với thị trường thiết bị mạng Việt Nam, sản phẩm Huawei ZTE chiếm tỉ lệ lớn, thiết bị mạng VNPT có 40% Viettel có 60% Huawei ZTE Đặc biệt, tháng 11/2014 modem router ADSL (TP-LINK 8804T nhà cung cấp dịch vụ FPT nhập trực tiếp từ Trung quốc gây vấn đề an ninh mạng lớn, khả router bị cài cắm mã độc backdoor để đánh cắp tài khoản thiết bị, chứng nhiều thiết bị đăng nhập vào trang quản trị bị thay đổi mật Hay tháng 1/2016, hãng máy tính Lenovo Trung quốc cài đặt phần mềm LSE (Lenovo Search Engine) [23] vào firmware BIOS trước xuất xưởng hoạt động trái phép máy tính người dùng Mọi quan, tổ chức cần phải nhận thức điều để có biện pháp phịng chống xử lý hệ thống máy trạm/máy chủ bị lây nhiễm mã độc Tuy Sau trình lưu kết thúc ta thu tập tin dạng BIN có khả firmware thiết bị: Ngồi giải pháp trên, khn khổ luận văn, tác giả sử dụng thiết bị ExC500 có khả chép trực tiếp firmware từ nhớ flash thiết bị định tuyến Ở đây, chíp nhớ flash lưu firmware mạch thiết bị định tuyến (vị trí A – Hình 10) tách khỏi mạch đưa vào khay (vị trí B – Hình 10) để tiến hành chép Tuy nhiên phải bóc tách chíp nhớ flash trực tiếp khỏi bảng mạch nên, giải pháp dừng lại thu thập firmware thiết bị định tuyến dân dụng (SOHO) 3.2.2 Giải nén trích chọn mã nguồn nhị phân Các firmware tải thường nén chuẩn zip, rar, tar, Mỗi firmware đầy đủ sau giải nén thường chứa nhiều tập tin phụ hướng dẫn sử dụng, tài liệu thích, … khơng riêng mã nguồn cần tìm Các nhà phân phối khơng sử dụng định dạng đồng mà mã nhị phân firmware lưu định dạng img, bin, iso, tfp, lod,… chí khơng định dạng Việc gây khó khăn định việc xác định tự động tập tin có phải firmware hay khơng Để giải vấn đề này, luận văn đưa việc duyệt đệ quy tất thư mục có giải nén firmware đầy đủ để không bỏ sót tập tin khơng thể xét riêng đến định dạng lưu mà sử dụng hàm magic.from_file có thư viện python-magic để xác định loại tập tin kết hợp công cụ Binwalk để xác định mã nguồn nhị phân tập tin sau giải nén Việc thực cụ thể cách kiểm tra thông tin meta-data tiêu đề (headers) tập tin tương ứng việc tương ứng với lệnh file Linux: 62 tập tin có kiểu “application/octet-stream” đồng thời công cụ Binwalk trả kiểu tập tin hệ thống khả tập tin nhị phân firmware cần tìm Các kiểu tập tin hệ thống thường dùng thiết bị định tuyến thử nghiệm trình bày phần sau luận văn Tuy nhiên Binwalk [6] cơng cụ dùng để phân tích, dịch ngược giải nén liệu chứa ảnh firmware Binwalk sử dụng phổ biến dễ dàng tương thích với cơng cụ phân tích mã độc khác viết chủ yếu python Theo kết thử nghiệm, nhóm nghiên cứu Costin Binwalk nhận dạng số tập tin mã nguồn nhị phân firmware dẫn đến tỷ lệ dương tính giả cao khơng thể tìm thấy dấu hiệu (signal) dấu hiệu bị thay đổi sử dụng đối sánh tập tin magic Nói cách khác, hạn chế Binwalk xác định loại firmware Intergrated Partial upadates 3.2.3 Dịch ngược firmware Sau trích chọn thành cơng tập tin mã nhị phân firmware, bước quan trọng mơ hình đề xuất dịch ngược từ mã nguồn nhị phân firmware thành mã nguồn tường minh Công cụ Firmware-mod-kit (fmk) sử dụng để dịch ngược mã nguồn nhị phân firmware thành mã nguồn tường minh mơ hình đề xuất FMK tập câu lệnh dạng kịch (script) cơng cụ tích hợp nhằm mục đích dịch ngược đóng gói firmware có tảng linux Các chức firmware-mod-kit gồm có: + Dịch ngược firmware thành mã nguồn + Cho phép chỉnh sửa tập tin mã nguồn firmware sau dịch ngược + Đóng gói firmware, chỉnh sửa lên lại thiết bị định tuyến Một số file thực chức Firmware Mod Kit - File extract_firmware.sh : file có chức giải nén firmware thành nhiều phần lưu lại thư mục fmk Ví dụ : #./extract_firmware.sh firmware.bin working_directory/ 63 - File building_firmware.sh : file dùng để tạo firmware sau thay đổi Ví dụ: #./building_firmware.sh output_directory/ working_directory/ Tuy nhiên cơng cụ cịn nhiều hạn chế khiến tỷ lệ dương tính giả cao FMK cịn chưa hỗ trợ nhiều kiểu tập tin hệ thống.Ví dụ FMK chứa tập phiên khác công cụ unsquashfs, sau dùng fmk để xác định offset phiên nén phần nhân chứa tập tin hệ thống, fmk thử phiên khác có cơng cụ unsquashfs để dịch ngược, vấn đề đáng ý việc dịch ngược công cụ unsquashfs định chưa phiên chuẩn dùng biên dịch SquashFS Việc dễ dàng xảy nhà sản xuất thực việc chỉnh sửa phần header tập tin Chính vậy, để nâng cao hiệu dịch ngược, bóc tách firmware (giảm tỷ lệ dương tính giả), tác giả lập trình đưa modun C500-Reverse có khả tích hợp tiện ích cho phép dịch ngược kiểu tập tin hệ thống phổ biến Squashfs, JFFS2, Cramfs, YAFFS, ROMFS thay tập trung vào SquashFS CramFS FMK Kết thực nghiệm tác giả giới thiệu chi tiết phần sau luận văn Dưới cấu trúc modun C500-Reverse: Sau dịch ngược, bóc tách thành cơng tập tin nhị phân firmware, thư mục chứa mã nguồn tường minh firmware thường lưu thư mục rootfs có thơng tin Hình 24 trình bày phía luận văn, đa phần 64 firmware dựa tảng hệ điều hành Linux sở, tiêu chí để đánh giá kết dịch ngược, bóc tách firmware có thành cơng khơng Hình 24 Các tập tin hệ thống firmware sau dịch ngược Mã nguồn tường minh với đầy đủ thành phần cần thiết giúp hoàn toàn thực q trình phân tích mã độc thơng qua phương pháp phân tích tĩnh hay phân tích động Tuy nhiên, mục tiêu mà tác giả nhắm tới xây dựng mơ hình khép kín với bước cần thiết cho q trình phân tích tự động Do tác giả lựa chọn cách sử dụng công cụ rà quét tập tin VirusTotal ClamAV để xác định liệu có hay không mã độc tập tin hệ thống firmware Bằng cách tính tốn giá trị hàm băm (hash) tất tập tin hệ thống firmware dịch ngược, bóc tách thành cơng đưa lên giá trị hàm băm đối sánh với tập sở liệu hàm băm VirusTotal, ClamAV 3.2.4 Phân tích tập tin mã nguồn tường minh Các công cụ sử dụng bước gồm VirusTotal ClamAV với tính cách sử dụng sau: + VirusTotal: dịch vụ trực tuyến (online) giúp phân tích tập tin, công cụ cho phép phát mã độc Phương thức quét VirusTotal thông qua mã định danh MD5 tập tin mã định danh cập nhật định kỳ từ 54 sản phẩm phòng chống mã độc khác giới Kaspersky, BKAV, Avast, Norton, 65 + ClamAV: công cụ nguồn mở cho phép quét ngoại tuyến (offline) tập tin mã nguồn tường minh firmware để phát mã độc Điểm mạnh ClamAV cho phép người dùng cập nhật sở liệu chữ ký (signature) ClamAV có 4,5 triệu chữ ký mã độc Từng tập tin định danh MD5 SHA1, mã định danh địa vật lý tập tin (trên máy) lưu vào bảng FileStore phục vụ cho việc đối sánh VirusTotal ClamAV Chi tiết trình đối chiếu rà quét mã độc biểu diễn thơng qua sơ đồ Hình 25 Hình 25 Quá trình rà quét mã độc cơng cụ Khi có tất tập tin cấu hình, tập tin hệ thống chạy firmware sử dụng Virustotal để kiểm tra mức độ an toàn tập tin tập tin nghi chứa mã độc bên Trong thực tế số lượng tập tin sau bóc tách (extract) lớn cần chuyển tập tin sang dạng mã MD5 sau đưa lên Virustotal kiểm tra để tiết kiệm thời gian 3.3 Kết quả, đánh giá mơ hình Để tiến hành thử nghiệm số bước mơ hình đề xuất với 13.674 firmware thu thập được, tác giả xây dựng hệ thống gồm 03 máy tính cấu hình Intel Xeon CPU E5-2620 2.4GHz, RAM 16GB Thời gian thực đầy đủ chu trình gồm: thu thập, giải nén dịch ngược cho 13.674 firmware xấp xỉ 90 ngày chạy 01 máy Chính vậy, tác giả triển khai thử nghiệm mơ hình với hệ thống nhằm thực song song đồng thời 03 máy, nhờ thời gian thực mơ hình giảm xuống cịn khoảng 40 ngày 66 Hình 26 Mơ hình triển khai hạ tầng phân tích, phát mã độc Sau q trình thu thập firmware ta 13.674 firmware, cụ thể số lượng firmware hãng thiết bị định tuyến sau: Index Vendor Dowload Binfile Extracted belkin 138 129 42 buffalo 134 160 centurylink 10 11 dlink 543 441 117 foscam 62 69 11 linksys 49 50 29 microtrain 0 mikrotick 27 26 20 netgear 125 73 10 openwireless 1 11 pfense 0 67 12 polycom 951 961 58 13 qnap 177 177 14 seiki 19 18 15 supermicro 91 77 16 tenda 17 tenvis 22 18 12 18 ti 10 19 Tp-link 740 618 360 20 ubiquiti 113 79 57 21 verizon 10 22 xerox 0 23 zyxel 269 378 51 24 openwrt 6531 6389 5228 25 synology 2309 37 26 trendnet 288 283 101 27 asus 1042 716 509 13674 10728 6623 Total Bảng Thống kê tập mẫu firmware hãng thiết bị định tuyển Các firmware thu thập nhiều định dạng nén khác nhau, nhiên tác giả thực giải nén firmware thu thập với 03 định dạng nén chuẩn: ZIP, RAR, TAR định dạng lại giữ nguyên Sau giải nén xong tác giả thực duyệt đệ quy tất tập tin nhằm trích chọn tập tin mã nguồn nhị phân firmware Với phương pháp kết hợp yếu tố: tập tin hệ thống định dạng “application/octetstream” trích chọn 10.728 tập tin nhị phân firmware (chiếm 78,4%) Bởi có khả 13.674 ảnh firmware có chứa số lượng không nhỏ cập nhật (Partial update firmware) Nhằm xác định kiểu tập tin hệ thống thường sử dụng thiết bị định tuyến từ đưa giải pháp nâng cao hiệu dịch ngược firmware so với công cụ 68 FMK, tác giả sử dụng Binwalk thu kiểu tập tin hệ thống phổ biến: SquashFS, CramFS, RomFS, JFFS2, YAFFS, UbiFS Hình 27 Khảo sát kiểu tập tin hệ thống thường dùng thiết bị định tuyến (trong 13.674 firmware) Sau thực trích chọn thành cơng tập tin mã nguồn nhị phân cần thực dịch ngược tập tin thành mã nguồn tường minh Cho đến nay, tỷ lệ dịch ngược thành công công cụ FMK, mô-đun chuyên biệt Firmadyne chưa cao cơng cụ cịn hạn chế hỗ trợ nhiều kiểu tập tin hệ thống Dưới kết thử nghiệm module C500-Reverse sử dụng để dịch ngược, bóc tách firmware mơ hình đề xuất luận văn: Phương pháp dịch ngược Tỷ lệ thành công Firmware Mod Kit 18% Firmadyne 35% C500-Reverse 48% Với việc bổ sung thêm kiểu tập tin hệ thống để tiến hành dịch ngược so với công cụ FMK mô-đun chuyên biệt Firmadyne giúp cho khả dịch ngược cải thiện so với FMK Firmadyne Hình 28 Quy trình lưu trữ firmware mơ hình 69 Về mặt vật lý, firmware thu thập lưu trữ Repo0 tiến hành lưu trữ Repo1 Repo2 sau bước giải nén trích chọn mã nguồn nhị phân firmware dịch ngược, bóc tách hình 28 Cuối cùng, dựa tập tin mã nguồn tường minh firmware dịch ngược thành công, tiến hành định danh mã MD5 SHA1 nhằm tiết kiệm thời gian số lượng tập tin mã nguồn tường minh thu lớn Các mã sử dụng việc rà quét, đối chiếu với sở liệu hàm băm VirusTotal sau rà quét trực tiếp mã nguồn tường minh tập tin công cụ ClamAV VirusTotal ClamAV Số tập tin đầu vào 79.846 79.846 Số tập tin quét 15.825 79.846 Số tập tin không quét 64.021 26 23 19,82% 100% Số lượng lỗi phát Tỷ lệ quét Bảng Kết mã định danh MD5 sở liệu VirusTotal ClamAV Mặc dù ClamAV cho phép quét 100% số lượng tập tin dịch ngược từ 13.674 firmware tỉ lệ lỗi phát lại thấp cơng cụ VirusTotal Điều giải thích việc VirusTotal công cụ trực tuyến cập nhật tập tin mã độc (signature) nhanh cơng cụ offline ClamAV Do đó, dù số lượng mã định danh quét xấp xỉ 20% VirusTotal lại phát nhiều lỗi tập tin hệ thống Các firmware khơng có tập tin bị phát chứa mã độc tự động cập nhật vào bảng SafeDB để làm giảm thời gian phân tích firmware cần xét duyệt sau Cấu trúc sở liệu lưu trữ thông tin firmware an tồn sau kết thúc mơ sau Table_Brands Tên cột Miêu tả: Bảng chứa ID thông tin hãng sản xuất Name thiết bị định tuyến Kiểu liệu Int(11) Varchar(45) 70 Table_Firmware Miêu tả: Bảng chứa thông tin firmware như: thời gian dịch ngược, hãng thiết bị định tuyến sử dụng, vị trí nằm đâu máy, kích thước file kiến trúc Table_MalwareDetection Miêu tả: Bảng định danh firmware có bị mã độc nhúng khơng Table_FileStore Miêu tả: Bảng lưu trữ thông tin tất tập tin sau dịch ngược thành mã nguồn nhị phân tường minh từ firmware Tên cột ID Version IDBrand Location ExtractedTime FileSize Arch Tên cột ID_FileStore ID_Firmware Is_Malware Malware_Info Tên cột ID FileName MD5 SHA1 FileLocation Note FileType FileSize TimeOrigin TimeCollect Kiểu liệu Int(11) Varchar(255) Int(11) Varchar(45) Varchar(45) Varchar(45) Varchar(45) Kiểu liệu Int(11) Int(11) Varchar(45) Varchar(255) Kiểu liệu Bigint(20) Varchar(100) Varchar(32) Varchar(40) Varchar(200) Varchar(100) Varchar(20) BigInt(20) DateTime DateTime Bảng Cấu trúc sở liệu firmware an toàn Điểm thứ hai mà tác giả muốn nhắc tới khả phát mã độc mơ hình dựa chủ yếu vào sở liệu định danh MD5 SHA1 mà VirusTotal ClamAV cung cấp Sau q trình qt thơng qua mã định danh có xấp xỉ 20% số lượng mã định danh đối chiếu với sở liệu VirusTotal, chiếm tỷ lệ thấp tổng số tập tin sinh trình dịch ngược Do đó, để cải tiến hiệu độ xác cho q trình phân tích phát mã độc, công việc định hướng phát triển cho tương lai tác giả tập trung vào nghiên cứu, cải tiến phương pháp phát mã độc bước thay sử dụng giá trị băm MD5, SHA-1 tập tin hệ thống có mã độc đoạn mã nhúng bên tập tin việc tính hàm băm tập tin làm sở đánh giá, phát mã độc nhiều hạn chế 71 Từ bảng kết ta thấy ClamAV cho phép quét 100% số lượng tập tin dịch ngược từ 13.674 firmware, tỷ lệ lỗi phát lại thấp công cụ VirusTotal Điều giải thích việc VirusTotal cơng cụ online cập nhật tập tin mã độc (signature) nhanh cơng cụ offline ClamAV Do đó, dù số lượng mã định danh quét xấp xỉ 20% VirusTotal lại phát nhiều lỗi tập tin hệ thống Các firmware khơng có tập tin bị phát chứa mã độc cập nhật tự động vào bảng SafeDB để làm giảm thời gian phân tích firmware cần xét duyệt sau Với kết đạt nêu trên, so sánh với mơ hình FRAK mơ hình Avatar thấy giải pháp mơ hình luận văn đề xuất khắc phục hạn chế mơ hình Avatar FRAK như: thu thập thơng tin firmware từ NVRAM; không bị mã độc phát mơi trường debug; xử lý với nhiều dịng thiết bị định tuyến không tập trung vào hãng Cisco; kết dịch ngược, bóc tách modun C500-Reverse đạt hiệu cao FMK kết dịch ngược, bóc tách luận văn cao so với mơ hình 72 KẾT LUẬN VÀ KIẾN NGHỊ Những kết luận Trong luận văn nghiên cứu này, tác giả giới thiệu mơ hình phân tích, phát mã độc Trong tiến hành thử nghiệm số bước mơ hình đem lại kết khả quan thực trích chọn tập tin nhị phân firmware dịch ngược, bóc tách firmware Từ tạo tiền đề cho việc áp dụng phân tích tĩnh, phân tích động vào phát mã độc nhúng lỗ hổng bảo mật firmware Nghiên cứu dừng firmware dựa Linux tảng sử dụng phổ biến với thiết bị định tuyến Tuy nhiên, với thiết bị nhúng cịn nhiều tảng khác VxWorks, QNX,… điều mở nhiều hướng nghiên cứu sau tác giả Những kết ban đầu thu minh chứng mô hình đề xuất hoạt động ổn định khả quan tồn vấn đề cần tiếp tục nghiên cứu cải tiến Vấn đề tồn mơ hình chủ yếu điểm trọng yếu khả dịch ngược, bóc tách firmware khả phát mã độc tập tin mã nguồn tường minh Do đó, việc luận văn đưa modun C500-Reverse cải thiện khả dịch ngược, bóc tách firmware đáng kể Đồng thời để cải tiến hiệu độ xác cho q trình phân tích phát mã độc, cơng việc định hướng phát triển cho tương lai tác giả tập trung vào nghiên cứu, cải tiến phương pháp phát mã độc bước thay sử dụng giá trị băm MD5, SHA-1 tập tin hệ thống Đóng góp kiến nghị tác giả sử dụng kết nghiên cứu luận văn Trong luận văn này, tác giả đưa mơ hình phân tích, phát mã độc bước cơng cụ khác có ý nghĩa ứng dụng thực tiễn cao Tác giả không đề xuất kỹ thuật hay thuật tốn mới, nhiên đưa mơ hình tiếp cận gồm nhiều bước để thực rà sốt, phân tích mã độc nhúng mã nguồn nhị phân firmware thiết bị định tuyến Nhưng luận văn không phụ thuộc 73 vào chất lượng cơng cụ sẵn có mà đưa giải pháp nhằm nâng cao hiệu khắc phục hạn chế cơng cụ việc phân tích, phát mã độc nhúng firmware thiết bị định tuyến Trong tương lai, tác giả tiếp tục nghiên cứu chuyên sâu lĩnh vực phát lỗ hổng bảo mật, mã độc nhúng firmware thiết bị định tuyến nói chung thiết bị mạng nói riêng thực hồn thiện bước mơ hình đề xuất Đặc biệt giải vấn đề mã độc nhúng chip vi xử lý dạng vi chương trình giải vấn đề firmware sau giải nén dạng tập tin có chứa Instruction code data Đặc biệt, Việt Nam nhiều tổ chức, quan nghiên cứu mã độc sử dụng công cụ VirusTotal điều khiến việc bị phụ thuộc cơng nghệ cần nghiên cứu để đưa công nghệ hay cơng cụ có tính tương tự để khơng bị phụ thuộc nhà cung cấp Tác giả hi vọng, kết nghiên cứu đề tài nguồn tài liệu tham khảo hữu ích cho cơng tác đào tạo, nghiên cứu, giảng dạy an ninh an toàn thông tin Học viện, trường đại học, đặc biệt trường trọng điểm quốc gia đào tạo an ninh thông tin theo Đề án 99 Chính phủ Cũng định hướng nghiên cứu lĩnh vực an ninh, an tồn thơng tin thiết bị nhúng nói chung thiết bị mạng nói riêng Nhưng trước mắt, tác giả triển khai kết nghiên cứu đơn vị cơng tác – Học viện An ninh nhân dân 74 TÀI LIỆU THAM KHẢO [1] Nguyễn Linh Giang, (2015), “ An tồn An ninh thơng tin mạng”, Đại học Bách khoa Hà Nội [2] Nguyễn Ngọc Bình, (2013), “Giáo trình Cơng nghệ phần mềm nhúng”, NXB Đại học quốc gia [3] Jphn Aycock, “Computer Virus and Malware”, University of Calgary, Canada [4] Cui.A and Stolfo S J, (2010), “A quantitative analysis of the insecurity of embedded network devices: Results of a wide-area scan”, the 26th Annual Computer Security Applications Conference,pp 97–106 [5] Jonas Zaddach, Andrei Costin, (2013), “Embedded Devices Security and Firmware Reverse Engineering”, EURECOM, Sophia-Antipolis, Biot, France [6] Andrei Costin, Jonas Zaddach, Aur´elien Francillon and Davide Balzarotti, (2014) “A Large-Scale Analysis of the Security of Embedded Firmwares”, EURECOM, Sophia-Antipolis, Biot, France [7] Andrei Costin, Apostolis Zarras A Francillon, (2016), “Automated Dynamic Firmware Analysis at Scale: A Case Study on Embedded Web Interfaces”, Blackhat USA [8] Jonas Zaddach, Luca Bruno, Aur´ elien Francillon and Davide Balzarotti, (2014), “Avatar: A Framework to Support Dynamic Security Analysis of Embedded Systems’ Firmwares” [9] H.Grant, O.Arias, D.Buentello, and Y.Jin, (2014), “Smart nestthermostat: A smart spy in your home”, Black Hat USA [10] Nikolai Hampton, Patryk Szewczyk, (2015), “A survey and method for analysing SoHo router firmware currency”, Australian Information Security Management [11] C.Kruegel and Y.Shoshitaishvili, (2015), “Using Static Binary Analysis To Find Vulnerabilities And Backdoors In Firmware”, Black Hat USA 75 [12] Yan Shoshitaishvili, Ruoyu Wang, Christophe Hauser, Christopher Kruegel, Giovanni Vigna, (2015), “Firmalice - Automatic Detection of Authentication Bypass Vulnerabilities in Binary Firmware”, NDSS Symposium [13] Ang Cui, Michael Constello and Salvatore J.Stolfo, (2013), “When Firmware Modifications Attack: A Case Study of Embedded Exploitation”, Columbia University, New York, US [14] A Cui, (2012), “Embedded Device Firmware Vulnerability Hunting Using FRAK,” in Black Hat USA, [15] Daming D.Chen, Manue Egele, Maverick Woo, (2016), “Towards Automated Dynamic Analysis for Linux-based Embedded Firmware”, Internet Society, ISBN 1-891562-41-X [16] D Davidson, B Moench, S Jha,and T Ristenpart, (2013), “FIE on Firmware, Finding vulnerabilities in embedded systems using symbolic execution”, in Proceedings of the 22nd USENIX Security Symposium USENIX [17] Robert Lyda, James Hamrock, (2007), “Using Entropy Analysis to Find Encrypted and Packed Malware”, IEEE Computer Society Publisher [18] Neil Jones, (2012), “Exploiting embedded devices”, SANS Institute [19] Imtithal A.Saeed, Ali Selamat, Ali MA Abuagoub (2013) , “A Survey on Malware and Malware Detection Systems”, International Journal of Computer Application [20] http://pethole.net/ [21] http://www.tiaowiki.com/ [22] http://www.tjtag.com/downloads-utils/ [23] https://www.us-cert.gov [24] Các trang tin tìm kiếm FTP firmware chuyên dụng http://www.mmnt.ru/ http://filemare.com/ http://www.filesearching.com/ https://github.com/firmadyne/scraper/tree/master/firmware/spiders 76 ... 1.4.1 Định nghĩa máy phát mã độc Một máy phát diệt mã độc chương trình thực số phương pháp phân tích, phát mã độc Chương trình phát mã độc khơng nằm hệ thống bảo vệ Định nghĩa máy phát mã độc thể... xác loại mã độc có firmware thiết bị mạng Do đó, khơng sâu vào việc phân loại mã độc firmware mà sâu tìm hiểu khả mà thiệt bị mạng bị nhiễm mã độc Thơng thường thiết bị mạng bị nhiễm mã độc có... firmware thiết bị định tuyến hạn chế, có nhiều khó khăn tính đặc thù tính riêng biệt cao cho dịng khác Vì lý nêu trên, việc nghiên cứu đề tài: “Mơ hình phát mã độc firmware số thiết bị định tuyến? ??