1 MỞ ĐẦU Tính cấp thiết đề tài Trong thời gian gần xuất hình thức cơng kẻ cơng Đó kỹ thuật công mạng mà không gây ảnh hưởng đến hệ thống công nghệ thông tin tổ chức doanh nghiệp Cách thức công kỹ thuật công đơn giản mang lại hiệu cao lợi nhận khổng lồ cho kẻ cơng Kỹ thuật cơng nhắc tới kỹ thuật phát tán mã độc tống tiền (Ransomware) kỹ thuật đặc biệt nguy hiểm với phiên WANNACRY Giống phiên khác mã độc Ransomware, mã độc WANNACRY sau lây nhiễm vào hệ thống máy tính liền tìm đến file liệu máy tính nạn nhân để mã hóa Sau mã hóa xong nạn nhân khơng tự bỏ tiền mua khóa bí mật từ kẻ cơng để giải mã tồn liệu sử dụng Từ lý học viên với hướng dẫn TS Đỗ Xuân Chợ lựa chọn đề tài: “Phân tích mã độc tống tiền WANNACRY” Kết nghiên cứu đề tài hình vi mã độc WANNACRY Các kết phần giúp nhà quản trị mạng hiểu rõ nguyên tắc làm việc mã độc WANNACRY cung cấp tài liệu ban đầu cho quan điều tra việc truy tìm nguồn gốc phát tán mã độc Tổng quan vấn đề cần nghiên cứu Để luận văn đạt kết trên, cần nghiên cứu làm rõ nội dung: - Nghiên cứu mã độc ransomware; - Nghiên cứu mã độc WANNACRY; - Nghiên cứu phương pháp phân tích mã độc; - Tìm hiểu số cơng cụ hỗ trợ phân tích mã độc Mục đích nghiên cứu - Tìm hiểu mã độc tống tiền Ransomware, biến thể WANNACRY biện pháp phòng chống - Tìm hiểu số kỹ thuật phân tích mã độc - Tìm hiểu số cơng cụ phân tích mã độc Đối tƣợng phạm vi nghiên cứu - Đối tượng nghiên cứu: mã độc WANNACRY - Phạm vi nghiên cứu: kỹ thuật, công cụ để phân tích mã độc WANNACRY Phƣơng pháp nghiên cứu Dựa sở lý thuyết mã độc ransomware biến thể WANNACRY; giải pháp cơng nghệ phịng chống mã độc ransomware 3 Chƣơng - TỔNG QUAN VỀ MÃ ĐỘC WANNACRY 1.1 Tổng quan mã độc 1.1.1 Khái niệm mã độc Mã độc chương trình cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính Mã độc chất phần mềm phần mềm khác máy tính sử dụng hàng ngày có đầy đủ đặc điểm, tính chất phần mềm bình thường khác có thêm tính độc hại Một số loại mã độc biết đến như: worm, trojan, spy-ware, chí virus cơng cụ để công hệ thống mà hacker thường sử dụng như: backdoor, rootkit, key-logger 1.1.2 Phân loại mã độc Tùy thuộc vào chế, hình thức lây nhiễm phương pháp phá hoại để đưa nhiều tiêu chí để phân loại mã độc, hai tiêu chí sử dụng nhiều phân loại theo hình thức lây nhiễm theo phân loại NIST (National Institute of Standart and Technology) - Phân loại theo hình thức lây nhiễm - Phân loại theo NIST 1.2 Giới thiệu mã độc ransomware 1.2.1 Khái niệm lịch sử phát triển Ransomware loại mã độc ngăn chặn giới hạn người dùng sử dụng thiết bị, hệ thống liệu Một số mã hóa tập tin khiến mở tài liệu máy, số khác dùng chế khóa máy để không cho nạn nhân tiếp tục sử dụng Hầu hết phần mềm ransomware chiếm quyền mã hóa tồn thơng tin nạn nhân mà tìm (thường gọi Cryptolocker), cịn số loại ransomware khác lại dùng TOR để giấu, ẩn gói liệu C&C máy tính (tên khác CTB Locker) Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng hệ thống 1.2.2 Phân loại a) Phân loại theo loại biến thể Mã độc tống tiền ransomware khơng cịn mẻ – có lịch sử gần 30 năm hình thành phát triển Ransomware có hai biến thể là: “blocker” khóa người dùng truy cập liệu „encryptor„ mã hóa liệu người dùng Trong giai đoạn 2014 – 2015 2015 – 2016 biến thể ransomware phát triển nhanh chóng Từ hai thống kê cho thấy thay đổi lớn khiến ransomware trở nên báo động phát triển mã độc tống tiền dạng mã hóa Reveton hay cịn có tên gọi khác police ransomware loại ransomware dạng xâm nhập vào máy tính nạn nhân, hiển thị thông báo đơn vị luật pháp thực thụ Các biến thể reventon sử dụng nhiều tài khoản, cách thức toán khác để nhận tiền nạn nhân, thông thường hệ thống UKash, PaySafeCard, MoneyPak Cryptolocker: Các công ransomware cryptolocker công mạng xảy từ 05 tháng 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào máy tính chạy hệ điều hành microsoft windows Phần mềm độc hại hiển thị thông báo đưa giải mã liệu tốn (thơng qua bitcoin chứng từ tốn trước) thực thời hạn đe dọa xóa khóa riêng vượt qua thời hạn Fusob biến thể ransomware di động 5 Wanacry (tạm dịch "Muốn khóc") cịn gọi wannadecryptor 2.0, phần mềm độc hại mã độc tống tiền tự lan truyền máy tính sử dụng microsoft windows Vào ngày 12 tháng năm 2017, wanacry bắt đầu gây ảnh hưởng đến máy tính tồn giới Đã có 45.000 công ghi nhận 99 quốc gia Khi lây nhiễm vào máy tính mới, Wanacry liên lạc với địa web từ xa bắt đầu mã hóa tập tin nhận địa web truy cập Nhưng kết nối được, Wanacry tự xóa thân – chức cài đặt người tạo "cơng tắc an tồn" trường hợp phần mềm trở nên khơng kiểm sốt Petrwrap: Mã độc biến thể Petya, có tên Petrwrap, gây tê liệt nhiều ngân hàng, sân bay, máy ATM số doanh nghiệp lớn châu Âu b) Phân bố theo địa lí mã độc ransomware Số lượng người dùng bị cơng phân loại theo địa lí thống kê khách hàng sử dụng sản phẩm bảo mật Kaspersky toàn cầu Ấn Độ, Brazil Đức dẫn đầu danh sách với số lượng người dùng bị công ngày tăng, số lượng người dùng Hoa Kỳ, Việt Nam, Algeria, Ukraine Kazakhstan giảm nhẹ 1.3 Giới thiệu mã độc tống tiền Wannacry 1.3.1 Mã độc Wannacry WannaCry với tên gọi khác: WannaCrypt, WannaCryp0r, WannaDecrypt0r, loại mã độc tống tiền với hành vi mã hóa liệu máy nạn nhân địi trả tiền chuộc Bitcoin Nó hỗ trợ 28 ngơn ngữ thực mã hóa 179 định dạng file khác Mã độc thực thi lây nhiễm máy tính chạy hệ điều hành Microsoft Windows, từ phiên Windows XP Windows 10, đa số nạn nhân Wannacry người dùng sử dụng Windows 1.3.2 Cách thức hoạt động mã độc Wannacry a) Phương pháp lây nhiễm Wannacry Hai phương pháp lây nhiềm chủ yếu mã độc Wannacry: - Gửi tập tin đính kèm thư điện tử, người dùng mở tập tin mã độc tự động lây nhiễm vào máy tính người dùng - Gửi thư điện tử tin nhắn điện tử có chứa đường dẫn đến phần mềm bị giả mạo Wannacry đánh lừa người dùng truy cập vào đường dẫn để yêu cầu người dùng tải cài đặt Ngồi máy tính cịn bị lây nhiễm thơng qua đường khác qua thiết bị lưu trữ USB, qua q trình cài đặt phần mềm khơng rõ nguồn gốc, chép liệu từ máy bị nhiễm mã độc b) Cách thức hoạt động WCry theo đường công mà thường thấy ransomware Wannacry kiểm tra beacon (dấu mốc), beacon có trả phản hồi ransomware khơng chạy Đây cách để hacker kiểm sốt ransomware Nếu beacon khơng có phản hồi ransomware bắt đầu cơng việc: khai thác lỗ hổng TERNALBLUE/MS17-010 lây lan sang máy tính khác Wannacry sau mã hóa file hệ thống cảnh báo cho người dùng họ bị nhiễm virus c) Một số biến thể mã độc Wannacry - DarkoderCrypt0r - Aron WanaCrypt0r 2.0 Generator v1 - Wanna Crypt v2.5 - WannaCrypt 4.0 1.4 Biện pháp phòng chống Một điều dễ nhận thấy mã độc Wannacry dù có nguy hiểm chúng không xâm nhập vào hệ thống thông tin máy tính người dùng khơng thể gây nguy hiểm tổn thất Chính vậy, vấn đề đặt làm để ngăn chăn không cho mã độc Wannacry xâm nhập vào hệ thống Mã độc Wannacry khơng thể phát tán chúng khơng có thơng tin  Khơng có thơng tin nạn nhân (tên tuổi, địa email, số điện thoại,…), mơ tả hệ thống nạn nhân, việc đưa kịch công bế tắc  Khơng có điểm yếu, lỗ hổng hệ thống (lỗi hệ điều hành, lỗi ứng dụng, lỗi phần mềm bên thứ ), kẻ cơng khơng có hội để lợi dụng lấn sâu, khai thác hệ thống Để phòng chống công Wannacry, luận văn đề xuất giải pháp dựa yếu tố: người, sách, cơng nghệ a) Phịng chống công Wannacry từ yếu tố người - Đào tạo nhân viên; - Đào tạo, bồi dưỡng, nhận thức an tồn thơng tin cho cá nhân tổ chức; - Huấn luyện nhân viên; b) Dựa yếu tố công nghệ - Thực lưu liệu thường xuyên; - Thường xuyên cập nhật hệ điều hành; - Không khởi chạy tập tin đáng ngờ c) Chính sách an tồn thơng tin - Đánh giá tài sản có giá trị; - Xác định lỗ hổng hay mối đe dọa - Đánh giá tình trạng bảo mật tổ chức 1.5 Kết luận chƣơng Như chương luận văn trình bày vấn đề sau: - Trình bày tổng quan mã độc bao gồm: định nghĩa, khái niện, phân loại, mức độ nguy hiểm, số biến thể xu hướng mã độc tương lai - Tìm hiểu số nguy an tồn thông tin hệ thống tin mã độc Kết nghiên cứu rằng: mã độc ngày nguy hiểm, tinh vi phức tạp đặc biệt biến thể chúng phát thời gian vừa qua - Tìm hiểu mã độc Ransomware biến thể Kết nghiên cứu cho thấy, mã độc Ransomware biến đổi ngày phức tạp kẻ công mạng xử dụng Chính vậy, việc phát phòng chống mã độc Ransomware việc làm cần thiết - Trình bày tổng quan mã độc Wannacry bao gồm: đặc điểm, cách thức công, ẩn mình, quy trình mã hóa, giải mã biến thể Wannacry Kết nghiên cứu cho thấy, mã độc wanacry biến đổi ngày phức tạp Chính cần phải thực điều tra phân tích mã độc Wannacry để có biện pháp phịng chống phù hợp - Trình bày số biện pháp phòng chống lây lan phát tán mã độc Wannacry Luận văn được, để phòng chống tác hại mã độc lên hệ thống thông tin cần phải áp dụng yếu tố: người, sách, cơng nghệ 9 Chƣơng - PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC WANNACRY 2.1 Kỹ thuật phân tích tĩnh Phân tích tĩnh phương pháp phân tích, kiểm tra mã độc mà không cần chạy chúng Trong kỹ thuật phân tích tĩnh thường chia thành loại phân tích tĩnh phân tích tĩnh nâng cao 2.1.1 Kỹ thuật phân tích tĩnh a) Sử dụng công cụ quét mã độc Ở bước này, tiến hành quét file nghi ngờ với nhiều chương trình antivirus Để thực nhiệm vụ thiết lập hệ thống máy ảo có cài đặt chương trình antivirus, đưa file nghi ngờ vào hệ thống để tiến hành quét, số antivirus thường sử dụng b) Sử dụng mã băm đặc trưng để tìm kiếm, phân loại mã độc Hashing phương pháp phổ biến sử dụng để định danh mã độc Đưa tập tin mã độc qua chương trình hashing tạo giá trị hash Thuật toán Message Digest Algorithm (MD5) thường sử dụng nhiều nhất, tiếp sau Secure Hash Algorithm (SHA-1) phổ biến c) Tìm kiếm chuỗi kí tự (string) Một chương trình thơng thường bao gồm nhiều chuỗi (string), sử dụng để thực in thông báo, cảnh báo, hiển thị thơng tin, địa IP tên miền máy chủ mà phần mềm kết nối tới, chứa địa email, thông tin đăng nhập, mật khẩu, tài khoản mặc định… Tìm kiếm chuỗi cách đơn giản để dự đốn hành vi chương trình: Chương trình kết nối tới máy chủ có địa nào, có thơng báo quan trọng, chương trình liên kết sử dụng ứng dụng tài nguyên khác hệ thống hay không 10 d) Kỹ thuật packing obfuscation Những người viết mã độc thường sử dụng packing obfuscation để tập tin họ trở nên khó phân tích Obfuscate hành động che dấu thực thi mã độc Pack tập Obfuscate, pack sử dụng kỹ thuật nén để chống lại việc phân tích Cả hai kỹ thuật khiến việc phân tích tĩnh trở nên vơ khó khăn e) Định dạng tập tin thực thi Portable Executable (PE File) Những kỹ thuật sử dụng trích xuất liệu mà khơng quan tâm đến định dạng tập tin Gần tất tập tin thực thi hệ điều hành windows tuân theo định dạng này, số mã độc có sử dụng định dạng cũ hơn, phổ biến Tập tin thực thi bắt đầu với tiêu đề (header) bao gồm thông tin mã lệnh, kiểu ứng dụng, hàm thư viện yêu cầu dung lượng nhớ cần thiết Đây thơng tin có giá trị q trình phân tích mã độc 2.1.2 Kỹ thuật phân tích tĩnh nâng cao a) Các hàm thư viện liên kết Trong tất kỹ thuật liên kết thư viện, liên kết động cách mà người phân tích mã độc khai thác nhiều thơng tin Những thư viện sử dụng hàm gọi phần quan trọng chương trình chúng cho phép dự đốn chương trình làm b) Dịch ngược: Các cơng cụ thường sử dụng q trình phân tích tĩnh kể đến chương trình dịch ngược :  Disassembler  Decompiler  Source Code Analyzer 11 Rất nhiều công cụ có khả dịch ngược từ mã máy sang mã assembly, IDA (Interactive Disassembler); BinDiff Zynamics 2.1.3 Đánh giá kỹ thuật phân tích tĩnh a) Ưu điểm - Có thể phát hoạt động chương trình điều kiện khơng tồn thực tế - Có khả nắm tồn hoạt động chương trình b) Nhược điểm - Phương pháp địi hỏi người phân tích phải am hiểu sâu hệ thống lập trình - Tốn thời gian phân tích - Kết thu thường khơng cao mã độc đại thường có khả mã hóa code gây khó khăn cho trình phân tích 2.2 Kĩ thuật phân tích động 2.2.1 Một số kỹ thuật công nghệ a) Sử dụng sandbox để phân tích mã độc Có tương đối nhiều phần mềm cho pháp phân tích động mức hầu hết sử dụng công nghệ sandbox Đây cơng nghệ cho phép chạy chương trình mơi trường thực thi an tồn, khơng sợ bị ảnh hưởng tới môi trường thực tế Sandbox hội tụ đầy đủ yếu tố, kể kết nối mạng để chương trình chạy mơi trường tương tự môi trường thực tế b) Chạy mã độc Phân tích tích khơng thể thực trừ biết cách chạy mã độc Ở tập chung vào cách chạy tập tin mã độc thường hay gặp tập tin exe dll Mặc dù thường dùng 12 cách đơn giản để chạy mã độc click đúp chạy tập tin từ command line, chạy tập tin dll Windows khơng biết cách để chạy cách tự động Phải tìm cách để thực thi tập tin dll để tiến hành phân tích động c) Giám sát tiến trình với Process Monitor Process Monitor hay procmon công cụ giám sát nâng cao cho windows cung cấp phương pháp để giám sát hoạt động định registry, hệ thống tập tin, mạng, tiến trình bước tiến trình d) Giám sát thay đổi hệ thống tập tin registry Gần tất dòng mã độc tác động nhiều lên hệ thống tập tin registry để tạo thêm sao, thiết lập khởi động hệ thống, che dấu, đánh lừa người dùng, cài cắm thêm mã độc khác, đánh cắp liệu, bắt cóc liệu,… Phần lớn mã độc tạo để tồn lâu dài hệ thống lần lây nhiễm vào máy tính Trong q trình phân tích dấu hiệu xếp vào mức nghi ngờ cao e) Giả lập mạng Các mã độc thường cần đến kết nối mạng Để cung cấp mơi trường có kết nối mạng có phương pháp chính: - Kết nối trực tiếp: Mã độc tham gia mạng thực tế, phương pháp có nguy cao gây ảnh hưởng cho hệ thống thực - Giả lập mạng: Giả lập mạng vừa cung cấp môi trường kết nối mạng, vừa giảm thiểu tác động tới hệ thống thật 2.2.2 Đánh giá phương pháp phân tích động a) Ưu điểm - Phân tích động nhanh thơng tin xác 13 - Phân tích động quan sát xem mã độc hại thực thi làm gì, chạy sao, làm máy tính qua cơng cụ theo dõi, cách có nhược điểm với dịng mã độc hại chạy theo lịch trình - Chạy mã độc hại ghi nhật kí, quan sát lâu kết xác b) Nhược điểm Phân tích động khơng thể dự đốn hành vi chương trình điều kiện khơng tồn thực tế Một số mã độc nhận diện chương trình ảo hóa để ngắt chương trình kết nối khiến cho trình phát khó khăn 2.3 Phƣơng pháp phân tích mã độc Wannacry 2.3.1 Phương pháp phân tích Wannacry - Đối với cơng cụ phân tích tĩnh:  Quét virus: Các phần mềm nhận diện mẫu ransomware hồn tồn làm ransomware khỏi máy tính  Kiểm tra toàn thao tác ghi đĩa  Kiểm tra thay đổi tập tin: thường mã hóa tập tin, thay đổi thuộc tính  Kiểm tra thay đổi, tác động lên hệ thống registry, tập tin hệ thống - Đối với công cụ phân tích động:  Chạy promon thiết lập filter theo tên mã độc;  Chạy process explorer Sử dụng Regshot để thu thập trạng thái  Thiết lập mạng ảo sử dụng INetSim ApateDNS 14  Cấu hình ApateDNS để forward tồn truy vấn sang máy ảo Linux cài INetSim  Cấu hình chặn phân tích gói tin sử dụng Wireshark 2.3.2 Quy trình phân tích a) Thiết lập mơi trường Có hai phương pháp để triển khai mơi trường phân tích mã độc: - Sử dụng hệ thống vật lí - Sử dụng máy ảo b) Lựa chọn công cụ: Sau cài đặt xong hệ điều hành, cần cài đặt công cụ hỗ trợ q trình phân tích 2.4 Kết luận chƣơng Những kết đạt chương sau:  Tìm hiểu kỹ thuật phân tích mã độc bao gồm: phân tích động tĩnh Kết nghiên cứu cho thấy, phương pháp có ưu điểm nhược điểm riêng Chính thực tế cần phải biết cách kết hợp phương pháp mang lại nhiều kết phân tích  Trình bày số cơng cụ áp dụng q trình phân tích tĩnh động  Trình bày quy trình phương pháp phân tích mã độc Wannacry Q trình nghiên cứu phương pháp phân tích mã độc Wannacry rằng: để phân tích mã độc Wannacry cần nhiều bước tiến hành lựa chọn công nghệ phù hợp từ việc cấu hình hệ thống đến việc giám sát tiến trình 15 Chƣơng - THỰC NGHIỆM VÀ ĐÁNH GIÁ 3.1 Công cụ hỗ trợ thực nghiệm a) Máy tính dùng để hỗ trợ thực nhiệm dùng hệ điều hành Windows b) Công cụ Olly DBG OllyDBG hay cịn gọi tắt Olly cơng cụ debug phổ biến Nhờ giao diện trực quan dễ sử dụng nên Olly phù hợp với người dùng trình độ khác c) Cơng cụ CFF Explorer CFF Explorer thiết kế nhằm trợ giúp người dùng biên tập PE (PE định dạng riêng Win32, hầu hết file thực thi Win32 thuộc dạng PE) mà không làm thay đổi cấu trúc bên tập tin thực thi khả chuyển d) Cơng cụ PEiD Cơng cụ PEiD có nhiệm vụ dị tìm trình đóng gói tập tin thực thi e) VMware Workstation 10 VMware phần mềm ảo hóa máy tính mạnh mẽ dành cho nhà phát triển, kiểm tra phần mềm chuyên gia IT cần chạy nhiều hệ điều hành lúc máy PC f) Công cụ Falcon sandbox Công cụ Falcon sandbox cơng cụ phân tích động, giúp thu thập hành vi mã độc 3.2 Thực thực nghiệm 3.2.1 Thực nghiệm phân tích tĩnh Với file malware nhận chun gia thường nhìn nhận cách tổng qt Dưới chi tiết bước phân tích file Wannacry 16 a) Các thơng số b) Bóc tách mã độc 3.2.2 Thực nghiệm phân tích động Để thu thập đầy đủ hành vi file malware, setup môi trường máy ảo khởi chạy Dùng cơng cụ procmon, Process Hacker, Wireshark, kết hợp với mode debug IDA để bắt kiện mà malware khởi chạy sinh a) Malware khởi chạy bình thường b) Malware khởi chạy với tham số "/i" Đối với trường hợp Wannacry tự tạo service với tên hiển thị tạo ngẫu nhiên từ đầu sau thực thi bước phân tích Ban đầu copy thân vào đường dẫn "C:\ProgramData\dklnlntiavqu577" đổi tên thành tasksche.exe Sau copy file vào thư mục tạo service với đường dẫn trỏ vào file tạo 3.3 Kết luận chƣơng Các kết đạt chương sau: - Nghiên cứu tìm hiểu số cơng cụ phục vụ cho q trình phân tích mã độc Wannacry bao gồm cơng cụ phân tích tĩnh động Q trình tìm hiểu cơng cụ cho thấy rằng, cơng cụ có ưu điểm nhược điểm riêng, để thu nhiều kết phân tích người phân tích cần phải biết kết hợp công cụ công nghệ để thành quy trình phân tích - Thực phân tích mã độc Wannacry cơng cụ phân tích tĩnh Các kết phân tích tĩnh cho thấy mã độc Wannacry mã độc thiết kế tinh vi nhằm vượt qua giám sát hệ thống phát xâm nhập mã độc 17 - Thực phân tích mã độc Wannacry cơng cụ phân tích động Các kết phân tích động chứng minh cho kết trình phân tích tĩnh xác Đồng thời bổ xung thêm số kết mã trình phân tích tĩnh khơng thể làm 18 KẾT LUẬN Trình bày tổng quan mã độc bao gồm đặc điểm, phân loại, nguồn phát tán mã độc Qúa trình tìm hiểu mã độc cho thấy nguy an tồn thơng tin từ mã độc ngày gia tăng đặc biệt cách thức phát tán mã độc áp dụng nhiều kỹ thuật lừa đảo xã hội Tìm hiểu mã độc ransomware biến thể Wannacry Những kết ban đầu cho thấy, công mã độc Wannacry lợi dụng điểm yêu người để phát tán tống tiền Trình bày tổng quan giải pháp cơng nghệ để phịng mã độc tống tiền Wannacry Để giảm thiểu tối đa nguy hiểm mức độ thiệt hại mã độc tống tiền Wannacry tổ chức cá nhân cần phải thực áp dụng phương diện: công nghệ, người sách Đặc biệt người mắt xích yếu hệ thống đảm bảo an tồn thơng tin Chính vậy, để tránh cơng mã độc Wannacry cần phải đào tạo nâng cao đạo đức an toàn thơng tin cho cá nhân tổ chức Tìm hiểu kỹ thuật phân tích mã độc bao gồm: phân tích động, phân tích tĩnh số cơng cụ áp dụng q trình phân tích Kết nghiên cứu cho thấy, phương pháp có ưu điểm nhược điểm riêng Chính thực tế cần phải biết cách kết hợp phương pháp mang lại nhiều kết phân tích Trình bày quy trình phương pháp phân tích mã độc Wannacry Q trình nghiên cứu phương pháp phân tích mã độc Wannacry rằng: để phân tích mã độc Wannacry cần nhiều bước tiến hành lựa chọn công nghệ phù hợp từ việc cấu hình hệ thống đến việc giám sát tiến trình 19 Thực phân tích mã độc Wannacry cơng cụ phân tích tĩnh Các kết phân tích tĩnh cho thấy mã độc Wannacry mã độc thiết kế tinh vi nhằm vượt qua giám sát hệ thống phát xâm nhập mã độc Thực phân tích mã độc Wannacry cơng cụ phân tích động Các kết phân tích động chứng minh cho kết q trình phân tích tĩnh xác Đồng thời bổ xung thêm số kết mã q trình phân tích tĩnh khơng thể làm Hƣớng phát triển luận văn Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: - Tiếp tục nghiên cứu biến thể mã độc Wannacry biện pháp, kỹ thuật phòng chống mã độc Wannacry - Nghiên cứu ứng dụng Bigdata cho việc phát mã độc Wannacry - Nghiên cứu áp dụng học máy việc phân tích mã độc Wannacry 20 ... Thực phân tích mã độc Wannacry cơng cụ phân tích tĩnh Các kết phân tích tĩnh cho thấy mã độc Wannacry mã độc thiết kế tinh vi nhằm vượt qua giám sát hệ thống phát xâm nhập mã độc Thực phân tích mã. .. trình phân tích - Thực phân tích mã độc Wannacry cơng cụ phân tích tĩnh Các kết phân tích tĩnh cho thấy mã độc Wannacry mã độc thiết kế tinh vi nhằm vượt qua giám sát hệ thống phát xâm nhập mã độc. .. thiệu mã độc tống tiền Wannacry 1.3.1 Mã độc Wannacry WannaCry với tên gọi khác: WannaCrypt, WannaCryp0r, WannaDecrypt0r, loại mã độc tống tiền với hành vi mã hóa liệu máy nạn nhân địi trả tiền