Đăng ký
  1. Trang chủ
  2. » Luận Văn - Báo Cáo

Phương pháp phân tích mã độc tấn công apt (tt)

25 90 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG TRẦN QUỐC PHƯƠNG PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CƠNG APT Chun ngành: Hệ thống thơng tin Mã số: 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - 2019 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ Phản biện 1: PGS.TS PHẠM VĂN CƯỜNG Phản biện 2: PGS.TS TRẦN NGUYÊN NGỌC Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại: Học viện Công nghệ Bưu Viễn thơng Vào lúc: 30 ngày 19 tháng năm 2019 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Tính cấp thiết đề tài Trong bối cảnh tình hình an ninh mạng Thế giới Việt Nam diễn biến phức tạp, với quy mơ tính chất ngày đặc biệt, có xu hướng trị hóa, qn hóa an ninh mạng tồn giới Các công APT (Advanced Persistent Threat – Mối đe dọa thường trực nâng cao) hay gọi Tấn cơng có chủ đích phát diễn nhiều nơi Thế Giới Việt Nam Mã độc sử dụng công APT thường loại mã độc nguy hiểm kẻ thiết kế viết loại mã độc thường có trình độ cao hiểu biết sâu rộng lĩnh vực an tồn thơng tin Đặc biệt công APT bị phát cơng bố nay, ngồi mức độ tinh vi loại mã độc APT cịn có kỹ thuật lây nhiễm che giấu phức tạp Để phát sớm công APT chuyên gia thường sử dụng kỹ thuật phân tích mã độc để thấy dấu hiệu hành vi loại mã độc Từ dấu hiệu đặc trưng hành vi mã độc, chuyên gia xây dựng thành tập luật để ứng dụng vào công cụ phát xâm nhập mạng Tuy nhiên, với việc kết hợp công nghệ liên tục thay đổi phương thức, thủ đoạn để tránh bị phát việc phân tích mã độc APT gặp nhiều khó khăn Mỗi loại mã độc APT sử dụng biện pháp kỹ thuật riêng nhằm che giấu ẩn trước cơng cụ phân tích chuyên dụng Những kỹ thuật khiến cho q trình phân tích để lấy hành vi dấu hiệu mã độc APT bị hạn chế kết Để thấy tinh vi cách thức ẩn mã độc APT, học viên hướng dẫn TS Đỗ Xuân Chợ lựa chọn để tài “Phương pháp phân tích mã độc công APT” Kết nghiên cứu đề tài cho thấy số kỹ thuật lây nhiễm che giấu mã độc cơng APT, từ đưa đặc điểm mã độc để nâng cao khả phát phòng chống mã độc hệ thống phịng thủ đảm bảo tính an tồn cho hệ thống thông tin Tổng quan vấn đề cần nghiên cứu Tấn cơng APT hình thức cơng nguy hiểm, cơng có chủ đích vào mục tiêu, thiết kế riêng cho mục tiêu, để xâm nhập vào đối tượng bị cơng có chứa liệu nhằm tìm kiếm thơng tin gửi bên ngồi APT loại cơng âm thầm, khơng phá hỏng file/máy tính, chúng có khả “ ẩn mình” khiến khó phát loại cơng Các vụ thất liệu xảy với RSA, CitiBank Global Payments,…Kẻ công phối hợp biện pháp với khoa học, tỉ mỉ thông minh Tấn cơng APT sử dụng loại công cụ từ malware đơn giản, phức tạp, mã độc hại tạo để khai thác lỗ hổng “zero- day” Khi đó, tổ chức mục tiêu APT tổ chức phải chịu thất bại nghiêm trọng hình thức công nhiều tháng nghiên cứu lập kế hoạch 2 Trong khuôn khổ nghiên cứu Học Viện Cơng Nghệ Bưu Chính Viễn Thơng có số đề tài nghiên cứu xoay quanh vấn đề công APT, như: đề tài “Tấn công APT lên hệ thống thơng tin biện pháp phịng chống” báo cáo năm 2014 Sinh viên Đoàn Xuân Quỳnh Đề tài thạc sỹ kỹ thuật năm 2015 Nguyễn Khánh Chi: “ Nghiên cứu phương pháp phịng chống cơng APT” Đề tài thạc sỹ kỹ thuật năm 2016 Trịnh Thị Vân: “ Nghiên cứu phương pháp truy tìm chứng số công APT” Tuy nhiên, chưa có báo cáo, nghiên cứu trình bày kỹ thuật phương pháp phân tích mã độc APT • • • • • • Mục đích nghiên cứu Nghiên cứu công nghệ công APT: kỹ thuật, giai đoạn, mục đích, phương pháp… Nghiên cứu giải pháp cơng nghệ để phịng chống cơng APT Nghiên cứu phương pháp phân tích mã độc APT Ứng dụng phương pháp phân tích mã độc vào việc phân tích mã độc cơng APT thực tế Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: mã độc APT; Phạm vi nghiên cứu: cơng cụ kỹ thuật phân tích mã độc Phương pháp nghiên cứu  Dựa sở lý thuyết công APT;  Dựa cơng nghệ phân tích mã độc II NỘI DUNG Dự kiến cấu trúc nội dung luận văn gồm chương sau: Chương 1: TỔNG QUAN VỀ TẤN CÔNG APT VÀ BIỆN PHÁP PHÒNG CHỐNG Chương 2: PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC APT Chương 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG APT VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG 1.1 Tổng quan công APT 1.1.1 Khái niệm APT Tấn công APT gọi cơng có chủ đích viết tắt Advanced Persistent Threat, sử dụng để miêu tả công dai dẳng nhằm vào hệ thống định APT thường công âm thầm nguy hiểm Trong báo cáo luận văn trình bày chi tiết thành phần khái niệm cơng APT 1.1.2 Các đặc điểm APT Tấn cơng APT có đặc điểm sau: - Targeted (mục tiêu): Kẻ công xác định cách xác mục tiêu cụ thể để cơng khai thác tới tổ chức, cá nhân, quốc gia cụ thể - Persistent (dai dẵng): Quá trình cơng APT chia thành nhiều giai đoạn khác thời gian dài Sử dụng nhiều kỹ thuật, phương pháp khác để công vào mục tiêu thành công - Evasive (ẩn mình): Tấn cơng APT thiết kế để qua mặt hầu hết giải pháp đảm bảo an tồn thơng tin (ATTT) truyền thống Firewall, IDS, Antivirus, Khi gửi liệu để tránh việc phát IDS kẻ cơng thực mã hóa liệu chèn vào giao thức mạng thông thường hay sử dụng - Complex (phức tạp): APT phối kết hợp nhiều kỹ thuật khác cách khoa học nhằm mục tiêu lỗ hổng bảo mật hệ thống Các công cụ cho công APT sử dụng nhiều loại khác 1.2 Kỹ thuật công APT Tấn công APT thường chia chi tiết thành giai đoạn (có thể 6, giai đoạn tùy vào cách phân tích), bao gồm đầy đủ giai đoạn công thông thường thêm bước đặc thù loại công 1.2.1 Giai đoạn 1: Reconnaissance (do thám thông tin) 1.2.2 Giai đoạn 2: Gaining Access/Exploitation (truy nhập/xâm nhập) 1.2.3 Giai đoạn 4: Internal Recon and Expand Access (thăm dò mạng nội mở rộng truy nhập) 1.2.4 Giai đoạn 6: Gathering and Extracting Data (thu thập đánh cắp liệu): 1.2.5 Giai đoạn 8: Command & Control and Erasing Tracks (duy trì kết nối tới máy chủ điều khiển bên ngồi xóa dấu vết) 1.3 Tấn công APT Việt Nam Thế giới Trong vài năm trở lại có nhiều công APT diễn giới Việt Nam Đặc biệt năm 2016-2017 diễn nhiều công APT lớn, hậu để lại công nặng nề, tổ chức bị công khả phát xử lý kịp thời công Một số công phổ biến như: Tấn công mã độc vào Ngân hàng Nga gây thiệt hại tỷ dolla; Tấn công APT vào hệ thống SWIFT Ngân hàng trung ương Bangladesh gây thiệt hại 80 triệu dolla; Tấn công vào Panama paper gây thất thoát 2.6 Terabyte liệu nhạy cảm; Tấn công APT vào hệ thống SWIFT Ngân hàng Tiên Phong Bank; Tấn công APT vào hệ thống mạng Vietnam Arilines chiếm quyền điều khiển bảng, hình thơng báo thơng tin chuyến bay 1.4 Tổng quan phương pháp phát phòng chống công APT Tấn công APT thường chuỗi công nhỏ lẻ kết hợp với thời gian dài, khơng có phương pháp cụ thể chun dụng cho việc phát hồn tồn cơng APT Để phát phịng chống cơng APT hiệu cần phải thiết kế hệ thống chuyên biệt cho việc giám sát phát hiện, hệ thống xây dựng dựa chế xoay quanh vấn hệ thống Trong thực tế, để phịng chống cơng APT dựa vào đặc điểm quy trình cơng Một nguyên tắc quan trọng công APT giai đoạn hoăc quy trình cơng APT thất bại tồn chiến dịch công thất bại theo Một số nghiên cứu lý thuyết cách thức phòng chống công APT là: 1.4.1 Giám sát giai đoạn Reconnaissance Đây giai đoạn khởi đầu công APT, kẻ cơng thực thăm dị hệ thống từ bên ngồi, để lại dấu hiệu hệ thống nên thường khó phát dấu hiệu thể rõ khởi đầu công APT Một số kỹ thuật ứng dụng cho việc phát Khu vực cần thiết lập giám sát; Các phương pháp giám sát/phát hiện; Các phương pháp phân tích 1.4.2 Giám sát giai đoạn Exploitation Ở giai đoạn kẻ công bắt đầu thực kỹ thuật để xâm nhập vào hệ thống, có dấu hiệu tác động lên thành phần hệ thống, việc giám sát có nhiều thơng tin thu thập so với giai đoạn đầu 1.4.3 Giám sát giai đoạn Internal Recon Đây giai đoạn có khả phát cơng cao, giai đoạn kẻ công dùng công cụ, kỹ thuật để dị tìm, khám phá hệ thống mạng để nhằm khai thác sâu hệ thống, để lại nhiều dấu hiệu bất thường - Khu vực cần thiết lập giám sát: Tất vùng mạng - Các phương pháp giám sát/phát hiện: Sử dụng hệ thống IDPS, Firewall, SIEM tổng hợp log từ nhiều nguồn - Các phương pháp phân tích: Phân tích phát bất thường, phân tích dựa mẫu có sẵn phân tích tính tương quan 1.4.4 Gıám sát giai đoạn Expand Access Giai đoạn giai đoạn có khả phát cơng cao nhất, kẻ cơng muốn đạt mục đích chiếm đoạt hệ thống đánh cắp thơng tin chắn phải tìm cách rà sốt cơng leo thang vào máy chủ, hệ thống quan trọng, tìm cách để chiếm đoạt tài khoản đặc quyền Chính để giám sát phát tốt công APT, cần tập trung giám sát chặt chẽ tài khoản đặc quyền máy chủ, hệ thống trọng yếu Từ kiện bất thường tài khoản đặc quyền máy chủ quan trọng (thông thường máy chủ AD) đầu mối để lần dấu hiệu khác công 1.4.5 Giám sát giai đoạn Gathering Data Đây giai đoạn có nhiều dấu hiệu hỗ trợ cho việc phát cơng, mục đích cuối kẻ công thường phá hoại hệ thống đánh cắp thông tin quan trọng, nhạy cảm, tiền Vì sau chiếm đoạt hệ thống quan trọng, tài khoản đặc quyền, kẻ công cố gắng rà tìm liệu quan trọng, hệ thống liên quan đến tài Chính điểm thiết lập giám sát đặc biệt cho liệu quan trọng, hệ thống liên quan đến tài chính, hỗ trợ phát kịp thời dấu hiệu bất thường, để từ đầu mối cho việc điều tra công - Khu vực cần thiết lập giám sát: Các vùng mạng máy chủ, thư mục, file chứa liệu quan trọng, nhạy cảm, hệ thống liên quan đến tài Các máy trạm có đặc quyền can thiệp sâu vào hệ thống - Các phương pháp giám sát/phát hiện: Sử dụng hệ thống IDPS, Firewall, xây dựng usecase giám sát tài khoản đặc quyền, thư mục, file chứa liệu quan trọng, nhạy cảm, sử dụng thêm công cụ chuyên dụng cho việc monitor sysmon, hệ thống SIEM - Các phương pháp phân tích: Phân tích phát bất thường, phân tích dựa mẫu có sẵn phân tích tính tương quan 1.4.6 Gıám sát giai đoạn Data Exflitration Giai đoạn công đánh cắp liệu thông thường dễ phát hiện, nhiên với cơng APT tương đối khó phát Để đưa liệu ngồi có nhiều cách thơng thường kẻ công hay sử dụng phương pháp tinh vi - Khu vực thiết lập giám sát: Tất vùng mạng hệ thống, máy chủ máy trạm quan trọng, đặc biệt phân vùng có kết nối trực tiếp ngồi - Các phương pháp giám sát/phát hiện: Sử dụng hệ thống DLP, IDS/IPS, Firewall, xây dựng usecase giám sát lưu lượng mạng, sử dụng hệ thống SIEM, hệ thống chặn bắt phân tích gói tin, hệ thống network gateway, hệ thống Proxy, đặc biệt giám sát chặt chẽ luồng liệu kết nối - Các phương pháp phân tích: Phân tích phát bất thường, phân tích dựa mẫu có sẵn phân tích tính tương quan 1.4.7 Giám sát giai đoạn Command & Control - Khu vực thiết lập giám sát: Tất phân vùng mạng, kẻ cơng kết nối ngồi từ khu vực, máy chủ, máy trạm 6 - Các phương pháp giám sát/phát hiện: Sử dụng hệ thống IDPS, Firewall, xây dựng usecase giám sát lưu lượng mạng, sử dụng hệ thống SIEM, hệ thống chặn bắt phân tích gói tin, hệ thống network gateway, hệ thống Proxy, đặc biệt thiết lập usecase giám sát kết nối địa nằm danh sách Blacklist (có thể thu thập mạng hoặc/và phí mua từ hãng bảo mật) - Các phương pháp phân tích: Phân tích phát bất thường, phân tích dựa mẫu có sẵn phân tích tính tương quan 1.4.8 Giám sát giai đoạn Erasing Tracks - Khu vực thiết lập giám sát: Các khu vực chứa máy chủ, máy trạm quan trọng mà có khả cao bị công chiếm quyền điều khiển - Các phương pháp giám sát/phát hiện: Sử dụng hệ thống IDPS, Firewall, xây dựng usecase giám sát tài khoản đặc quyền, giám sát hoạt động chỉnh sửa, xóa event log, sử dụng hệ thống SIEM, hệ thống Antivirus/malware - Các phương pháp phân tích: Phân tích phát bất thường, phân tích dựa mẫu có sẵn phân tích tính tương quan Như thấy rằng, khơng có giải pháp hay kỹ thuật tồn diện cho việc phát phịng chống cơng APT, để phát sớm hạn chế tối đa rủi ro xảy cần thực kỹ thuật, biện pháp giám sát theo giai đoạn công APT 1.5 Kết luận chương Trong chương 1, luận văn trình bày vấn đề sau: - Trình bày tổng quan công APT nguy hiểm công tổ chức phủ - Trình bày số giải pháp kỹ thuật nhằm phát cảnh báo công APT hệ thống Các giải pháp nhằm phát cảnh báo công APT thường dựa vào quy trình cơng giai đoạn cụ thể công - Liệt kê số chiến dịch công APT diễn thực tế CHƯƠNG 2: CÁC PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CƠNG APT 2.1 Phương pháp phân tích mã độc thủ cơng Mục tiêu việc phân tích mã độc để trả lời ba câu hỏi sau: - Tại máy tính hay hệ thống bị nhiễm mã độc? - Mã độc hại thực thi hoạt động hệ thống? - Phương án xử lý mã độc tối ưu khắc phục cố nào? Có nhiều phương pháp phân tích mã độc hại khác nhau, phân tích động, phân tích tĩnh Trong phân tích tĩnh phương pháp phân tích chi tiết hơn, rõ ràng hơn, kết đầy đủ 2.1.1 Giới thiệu phân tích tĩnh Phương pháp phân tích tĩnh cho phép thực dịch ngược mã độc mã Assembly để phân tích Các cơng việc cần thực sau: - Phân tích để xác định ngơn ngữ lập trình mã độc - Xác định Chương trình nén hay chế bảo vệ tránh dịch ngược mã độc - Thực giải nén đưa mã độc định dạng phù hợp cho việc phân tích - Dùng cơng cụ phù hợp để dịch ngược lại mã nguồn - Đọc phân tích mã Assembly để tìm hoạt động mã độc - Sử dụng công cụ gỡ lỗi (Debug) mã độc dịch ngược việc dịch ngược thiếu hiệu Ngồi ra, thực việc cần làm rõ đoạn mã Chạy lệnh nhỏ mã độc để xem hoạt động cụ thể - Mã độc hại thường có kỹ thuật chống dịch ngược, có kỹ thuật chống debug (anti debug) cần phải vượt qua việc để phân tích (anti anti-debug) 2.1.2 Yêu cầu hệ thống phân tích Sử dụng máy ảo Vmware, Sandbox, Vitural PC, Hyper-V để làm mơi trường phân tích Nếu mã độc có chế phát mơi trường ảo sử dụng môi trường thật cô lập (trong mạng LAN) để thử nghiệm Trên mơi trường phân tích cài đặt cơng cụ hỗ trợ phân tích tĩnh 2.1.3 Xậy dựng môi trường Các bước xây dựng môi trường phân tích tĩnh dựa phương pháp xây dựng mơi trường phân tích hành động Tuy nhiên cơng cụ phân tích sử dụng sau: Cơng cụ Peid; Dependency Walker; Công cụ PEView, Công cụ HexEditor; Công cụ IDA pro, Công cụ OllyDebug, Các công cụ hỗ trợ Unpack 2.1.4 Thực phương pháp Để thực phương pháp phân tích tĩnh bước công cụ hệ thống yêu cầu: Bước 1: Sử dụng PeiD để kiểm tra file mẫu có bị nén khơng, CFF Explorer lấy giá trị Hash sốt String? Bước 2: Nếu bị nén file giải nén file thủ cơng cơng cụ giải nén hỗ trợ Ví dụ mẫu bị nén UPX, giải nén file thủ công sử dụng OllyDebug, công cụ tự động UPX Unpacker Bước 3: Sử dụng công cụ dịch ngược mã nguồn để đọc mã nguồn IDA pro, VB decompiler Bước 4: Ghi lại báo cáo kết kết hợp với báo cáo kết từ Phương pháp phân tích hành động 2.2 Sử dụng hệ thống tự động phân tích hành vi mã độc APT Ngồi biện pháp phân tích thủ cơng phân tích động, phân tích tĩnh, cơng cụ, phương pháp phân tích tự động áp dụng nhiều để đáp ứng mặt thời gian mà số lượng mã độc xuất ngày nhiều Quá trình phân tích tự động thực hai bước phân tích thủ cơng phân tích sơ lược phân tích hoạt động phần phân tích cách đọc mã thực thi hệ thống liệt kê hàm API windows mà mã độc gọi thực thi Phân tích thủ cơng giúp thấy hành vi mã độc để tạo dấu hiệu nhận dạng mã độc nhằm sử dụng cho hệ thống bảo vệ mạng Tuy nhiên phân tích tự động khơng thể thay hồn tồn cho phân tích tĩnh bước phân tích cách đọc mã thực thi, phân tích tự động bỏ sót số tính quan trọng mã độc Để hoàn toàn hiểu biết mã độc, cần thực phân tích cách đọc mã thực thi, tốn thời gian đòi hỏi nhiều kiến thức nâng cao cho kết rõ ràng tồn tính mã độc 2.2.1 Cơng nghệ Sandbox Sandbox mơi trường ảo có chế hoạt động an toàn để phân tách Chương trình chạy, đồng thời kiểm sốt cách chặt chẽ, tránh ảnh hưởng tới môi trường hệ thống thật Sandbox áp dụng việc tự động phân tích hành vi mã độc gọi hệ thống phân tích mã độc tự động Hệ thống thực thi mã độc theo dõi ghi nhận lại hành vi Chương trình, ưu điểm phương pháp phát mã độc dạng Zero-day (các loại mã độc chưa phân tích có mẫu nhận dạng) Một số hệ thống phân tích tự động phổ biến nay: CuckooSanbox, CWSandbox, ThreatExpert Joebox 2.2.2 Các mục tiêu hệ thống phân tích tự động (Sandbox) Một Sandbox phân tích mã độc hại tốt phải đạt ba mục tiêu: Khả quan sát, khả chống lại phát khả mở rộng Thứ nhất, Sandbox phải quan sát nhiều hoạt động Chương trình tốt, khơng bỏ lỡ hoạt động có liên quan khơng thể đảm bảo việc có hành vi nguy hiểm hay khơng Thứ hai, Sandbox phải thực theo dõi theo cách thức khiến khó bị phát hiện, khơng phần mềm độc hại dễ dàng nhận môi trường sandbox, chúng thay đổi hành vi để tránh phát 9 Mục tiêu thứ ba, có khả chạy nhiều mẫu thực thi mà không ảnh hưởng tới nhau, phải có khả phân tích tự động nhiều mẫu khác 2.2.3 Những thông tin Sandbox thu thập - Giám sát việc thực thi mã độc chạy chế độ người dùng (là người dùng thông thường Administrator) Phần lớn mã độc hại chạy tiến trình người dùng thơng thường chí Rootkits thường sử dụng thành phần chế độ người dùng (user mode) để cài đặt trình điều khiển nhân hệ điều hành (kernel driver) sửa đổi mã hệ điều hành - Theo dõi system calls (và chức gọi Windows API) có ý nghĩa Tuy nhiên Sandbox giám sát lệnh gọi bên mà khơng biết chuyện xảy bên Tức là, Sandbox thấy chương trình độc hại đọc từ file, xác định phần mềm độc hại xử lý liệu mà đọc Có nhiều thơng tin có ích thu thập từ việc quan sát sâu tới việc thực thi Chương trình Như với kỹ thuật Sandbox cung cấp khả tự động phân tích phát hành vi mã độc dựa quan sát gọi tới hệ thống (system call Windows API), nhiên mã độc tiên tiến có chức phát mơi trường ảo, môi trường giả lập thực việc ẩn hệ thống Để Sandbox hoạt động hiệu cần phải quan sát tất dẫn mà Chương trình độc hại thực 2.3 Phương pháp phân tích hành vi mã độc thơng qua dòng liệu (network traffic analysis) Mỗi giai đoạn công APT phải thực giao tiếp qua mạng, từ việc rà quét hệ thống, kết nối tới máy chủ điều khiển để nhận lệnh, hay giai đoạn truyền liệu ngoài, tất để lại dấu hiệu gói tin truyền tải mạng (network traffic) Như để hỗ trợ tốt việc phát cơng có chủ đích APT, cần phải thực thu thập dịng liệu qua mạng để phân tích tìm dấu hiệu, hành vi bất thường, từ đưa giải pháp phản ứng kịp thời 2.3.1 Thu thập dịng liệu mạng Trong hệ thống mạng có nhiều luồng liệu kết nối phân vùng, thiết bị, hệ thống với nhau, cần phân tích để xác định điểm, dịng liệu cần giám sát, thu thập phân tích Tùy vào hệ thống mạng đơn giản hay phức tạp, nguyên tắc để giúp giám sát mạng đạt hiệu cao cần phải thực giám sát tất dòng liệu mạng phân vùng mạng khác ví dụ: Dịng liệu từ người dùng hệ thống Internet, từ người dùng vào phân vùng máy chủ, từ người dùng bên internet vào DMZ, từ DMZ vào phân vùng máy chủ, với dịng liệu thiết lập hệ thống NIDS để phân tích phát dấu 10 hiệu bất thường, thực chép toàn gói tin (full packet capture) để thực phân tích sâu Để thu thập liệu mạng có phương pháp triển khai: Sử dụng thiết bị Switch cấu hình SPAN (Switched Port Analyzer) để chép gói tin đẩy hệ thống lưu trữ phân tích Sử dụng thiết bị Network Tap để trích xuất gói tin trực tiếp đường truyền mạng 2.3.2 Phương pháp phân tích mã độc thơng qua phân tích dịng liệu mạng Có số phương pháp áp dụng cho việc phân tích mã độc dựa việc phân tích dịng liệu mạng để phát hành vi, dấu hiệu bất thường công APT Thiết lập tập luật: Phương pháp hiệu việc phát sớm dấu hiệu bất thường thiết lập luật dựa dấu hiệu biết trước (signature), thông thường sử dụng hệ thống phát xâm nhập IDS, tập luật thơng thường tích hợp sẵn nhiều nhà cung cấp giải pháp, đồng thời cho phép tự tạo luật với dấu hiệu riêng để tối ưu việc phát hiện, ví dụ thu thập xây dựng danh sách địa IP độc hại, sau tạo luật cảnh báo phát máy tính hệ thống có kết nối tới IP nằm danh sách (blacklist) - Phương pháp thống kê phân tích tương quan: Phương pháp thống kê phân tích tương quan dựa việc theo dõi giám sát lưu lượng mạng thời gian dài, hệ thống thống kê trạng xác định mức độ lưu lượng thơng thường mạng (baseline), có mã độc thực giai đoạn scan mạng gây tình trạng đột biến kết nối, giao tiếp thành phần lạ so với bình thường (hệ thống hoạt động bình thường khơng xuất kết nối này) - Tự động ngăn chặn dấu hiệu thất thoát liệu: Mục tiêu cuối công APT thông thường đánh cắp thơng tin, có nhiều phương pháp để kẻ cơng đánh cắp thơng tin, cách liệu phải truyền tải qua mạng, tạo luật chặn định dạng file liệu định không gửi ngồi 11 2.4 Kỹ thuật phân tích mã độc APT Nhận diện hệ thống bị nhiễm mã độc APT khoanh vùng xử lý Thu thập mẫu mã độc APT Viết báo cáo tổng kết hành vi mã độc Phân tích mã thực thi APT Phân tích sơ lược mã độc APT Phân tích hoạt động APT Hình 2.18 Quy trình phân tích mã độc APT 2.4.1 Nhận diện hệ thống bị nhiễm mã độc Phát cố hệ thống bị nhiễm mã độc bước quan trọng quy trình xử lý Có nhiều dấu hiệu cho biết hệ thống bị nhiễm mã độc, báo cáo luận văn liệt kê số dấu hiệu thường thấy: 2.4.2 Xác định nguồn lây nhiễm Sau nhận diện hệ thống bị nhiễm mã độc, người phân tích cần thực công việc sau: - Khoanh vùng xử lý hay cách ly máy có dấu hiệu nghi ngờ nhiễm mã độc - Ghi lại ngày phát mã độc hại thông tin liên quan - Để nguyên tình trạng phần cứng, phần mềm liên quan đến hệ thống bị nhiễm - Xác định hệ thống bị nhiễm mã độc hại: Từ xác định modules, tiến trình, dịch vụ, drivers, add-on trình duyệt, phiên hệ điều hành hệ thống có liên quan đến hoạt động mã độc Mục đích thu thập thơng tin để xác định nguồn gốc lây lan tìm ngun nhân máy tính lại bị lây nhiễm? Đồng thời thực rà soát lại xem hệ thống có bị lỗi bảo mật khơng ? 2.4.3 Thu thập mẫu mã độc Các mã độc công APT, thực thi thường tự động mở cổng máy nạn nhân, tham gia vào kênh chat IRC nghe lệnh từ kẻ công Từ dấu hiệu lưu lượng mạng tăng bất thường, người phân tích dùng số phần mềm kiểm tra tiến trình cố gắng xác định mã độc APT nằm đâu, sau lấy mẫu phân tích Người phân tích sử dụng chương trình Sicwin hãng Trenmicro để thực quét hệ thống đưa thông tin hệ thống, thông tin tệp thư viện dll nghi ngờ, bất thường mã 12 độc sinh ra, tệp thực thi exe khả nghi, sau nén tệp thành tệp zip thực phân tích 2.4.4 Phân tích thơng tin sơ lược Người phân tích ghi thông tin đặc điểm, phân loại mã độc hại, xem thuộc tính tệp, kích thước tệp thơng tin đơn giản khác để tiến hành phân loại sơ mã độc hại Việc xác định thông tin thực cách gửi mã độc hại lên trang virustotal.com quét chương trình Anti-Virus xem tệp mã độc nhận diện chưa ? Các bước phân tích sơ lược mơ tả hình 2.18: Bước 1: Phân tích đặc trưng kiểm tra đặc điểm tệp tin, giá trị băm, chuỗi ký tự Bước 2: Phân tích file nén, bước kiểm tra xem tệp tin có bị nén khơng ? Nếu có bị nén sử dụng cơng cụ giải nén sau quay trở lại bước 1, không giải nén sang bước Bước 3: Tương quan kết quả, thu nhận kết quả, người phân tích lấy giá trị băm tệp tin phân tích, gửi lên trang Virustotal để xem mẫu phân tích hay chưa ? Nếu có kết phân tích lưu lại làm tài liệu để so sánh kết phân tích sau Hình:2.18 Quy trình phân tích sơ lược 2.4.5 Phân tích hoạt động Phân tích hoạt động sử dụng phương pháp phân tích động, phương pháp xây dựng mơi trường phân tích cách ly với hệ thống thật Mơi trường xây dựng hệ 13 thống để mô dịch vụ Internet xây dựng môi trường phù hợp để mã độc chạy Cho phép người phân tích quan sát xem tệp mẫu nghi ngờ thực thi làm ?, chạy ?, thực hành động máy tính, tương tác với dịch vụ mạng thơng qua cơng cụ theo dõi 2.4.6 Phân tích tĩnh 2.4.7 Viết báo cáo tổng kết hành vi hoạt động mã độc Sau phân tích xong mẫu mã độc, người phân tích cần tổng hợp thành báo cáo hành vi hoạt động mã độc Việc tập hợp hành vi mã độc tham khảo cách viết báo cáo tổng hợp lại kết sau phân tích mẫu mã độc số hãng bảo mật 2.5 Kết luận chương Sau nghiên cứu phương pháp phân tích đặc điểm mã độc cơng APT, thấy rằng: - Hầu hết mã độc công APT lợi dụng lỗ hổng zero day để cơng chiếm quyền điều khiển máy tính bị lây nhiễm Một số mã độc có chế chống dịch ngược nên phương pháp phân tích tĩnh thường bị động cơng tác phịng chống cơng APT - Các kỹ thuật chống công APT truyền thống dựa nhận dạng dấu hiệu ngăn chặn mẫu mã độc biết Để hạn chế tối đa công APT phân tích nhanh chóng mẫu mã độc khả nghi cơng APT cần phương pháp phân tích khác thơng qua hệ thống sandbox, phân tích hành vi dựa lưu lượng mạng… - Trình bày quy trình phân tích mã độc cơng APT 14 CHƯƠNG THỰC NGHIỆM VÀ ĐÁNH GIÁ Giới thiệu công cụ hỗ trợ thực nghiệm VMware Workstation 10 Máy tính nạn nhân xử dụng hệ điều hành Window 10 Kali Linux Công cụ Olly DBG Công cụ CFF Explorer Công cụ PeiD Công cụ sandbox Mã độc APT Phân tích mã độc APT Để liệt kê chức quan trọng hành vi bất thường thường sử dụng công APT, tác giả sử dụng phương pháp phân tích phân tích phân tích tĩnh, phân tích động giám sát hành mạng 3.2.1 Thực nghiệm phân tích tĩnh 3.1 3.2 Để thực phân tích động, tác giả sử dụng cơng cụ Sanbox nhằm Qúa trình thực phân tích mã độc cơng cụ Sanbox không thu nhiều kết thực thu vòng đến phút Trong luận văn sử dụng sanbox mã độc chạy vòng 24h Một số kết thực nghiệm phát Sanbox liệt kê sau: - Thực thi Window API: Qua trình thực thực thi mã độc APT sanbox thấy mã độc vòng 24h lần lấy tên thiết bị Hình 3.2 Số lần mã độc thực thi lấy tên thiết bị - Kiểm tra nhớ thiết bị: Bộ nhớ gồm nhớ liệu tĩnh nhớ liệu động , lưu trữ liệu lâu dài tạm thời Các hành vi Malware tìm hiểu thơng qua phân tích nhớ Ram nhớ máy, thay đổi Hình 3.3 thể số lần thực thi/ unpack mã độc APT 15 Hình 3.3 Số lần thực thi/unpack mã độc Kiểm tra mạng: Tại cung cấp thông tin bao gồm IP thật máy Host, giao thức mạng sử dụng trình hoạt động malware DNS, TCP, UDP, HTTP(s), ICMP a) Host: Trong 24 kết nối đến nhiều host, phần nhiều IP – domain Địa máy host cung cấp http://46.226.136.5 b) TCP: Có đến 85 kết nối qua cổng 139 đến tường lửa hệ thống, bước tìm kiếm mở cổng SMB (139,445/TCP) c) UDP: Tại cung cấp UDP Requests máy ảo tới địa IP khác nhau, số dùng cổng 53 dùng để truy xuất tới dịch vụ DNS (dùng cổng 53) Có nhiều request (286 kết nối) với cổng không nằm danh sách well-know d) HTTPS: Cung cấp thơng tin q trình trao đổi liệu qua cổng HTTP trình chạy chạy mã độc Ở phát truy cập method GET tới địa msftncsi Microsoft Tuy nhiên địa khơng gây hại Trong trường HTTPS thấy kết nối đến khóa PKI Microsoft, chương trình gian lận trò chơi CSGO nên việc kết nối đến để kiểm tra bình thường Các HTTP request đến URL HTTP status code response lạ (không phải HTTP Status code chuẩn mà trả từ API) Nhưng chạy liên tục 24 bắt đầu xuất kết nối lạ: 12 lần lấy data từ URL lạ Từ kết thấy rằng, mã độc APT kết nối đếu địa khác vòng 24h Tuy nhiên, mã độc bị chuyên gia phát trước nên máy chủ C&C liên kết đến ngừng hoạt động Hình 3.10 thể kết nối thất bại hồn tồn Đây khó khăn việc phân tích đánh giá mã độc APT Thông thường kết nối liên kết từ máy chủ điều khiển tới máy nạn nhân bị đóng lại phát hành vi bất thường hệ thống Điều khiến cho trình phân tích mã độc APT phương pháp phân tích động gặp nhiều khó khăn e) ICMP: Tiếp theo, người phân tích tiến hành Ping đến IP (có thể C&C để kiểm tra C&C server cịn sống hay khơng)? Các API mà chương trình gọi số lần gọi 24 giờ: (Lấy từ trường API Stats file report sandbox) trình bày bảng 3.1 - 16 Bảng 3.1 Danh sách API mã độc thực thi Tên gọi CreateToolhelp32Snapshot NtDuplicateObject RegCloseKey GetComputerNameW RegQueryValueExA NtQueryValueKey RegQueryValueExW NtOpenDirectoryObject NtCreateThreadEx RegOpenKeyExW NtAllocateVirtualMemory RegOpenKeyExA NtFreeVirtualMemory NtQuerySystemInformation NtResumeThread NtOpenFile CreateThread SetUnhandledExceptionFilter GetSystemTimeAsFileTime GetComputerNameA Thread32Next GlobalMemoryStatusEx Thread32First NtCreateMutant NtProtectVirtualMemory LdrGetDllHandle NtGetContextThread GetTimeZoneInformation WriteConsoleA NtOpenKey LdrGetProcedureAddress NtOpenThread GetFileType LdrLoadDll NtSuspendThread NtQueryInformationFile NtClose Số lần 5 1 15 10 14 15 13 7 1997 12 40 154 13 54 544 26 35 13 82 3.2.2 Thực nghiệm phân tích tĩnh a) Kiểm tra IOC mã độc:Trước tiên kiểm tra IOC mã độc cách gửi mã độc lên virus total Kết trả thông tin mã độc mã độc từ virus total bảng 3.2 17 Bảng 3.2 Kết trả thông tin mã độc Size: 386.5KB Type: PE32+ executable (DLL) (GUI) x86-64, for MS Windows MD5: 45e6bff250181d493d89f7e1b44f85d9 SHA1: 717b2c6d572f4804e0d3f1de081f56ae9d8dc8d1 SHA256: fb9581e5432392c7fac47b5883a381659345c08d3c26764e689f3110d5d6be53 b) Phân tích thu thập dấu hiệu  SIGNATURES Hình 3.14 Kết phân tích hành vi mã độc - Tại phần Signature người phân tích phát dấu hiệu là: Command line console output was observed (44 events) Hình 3.15 Kết phân tích Command line console output Tại phần thấy buffer chương trình ghi ra, cuckoo đánh dấu màu xanh, tức phần có khả gây hại khơng chắn Trong phần tạm 18 thời chưa thấy có đáng nghi ngờ ngồi việc chương trình viết cửa sổ dịng lệnh kí tự - Tệp thực thi PDB (1 event) Hình 3.16 Tệp thực thi mã độc Tại phần cung cấp cho người phân tích thơng tin PDB path chương trình khởi chạy Malware khởi chạy tạo file G0Pr0+.pdb File pdb chương trình sinh chương trình chủ bật tính debugging complier file exe Trong file chứa thơng tin complier, chứa thông tin thư viện form tài nguyên mà chương trình sử dụng Trích xuất file giúp cho trình reverse engineer - Kết phát mã độc công cụ chống mã độc phát Hình 3.17 Các kết phần mềm chống mã độc phát Phần cung cấp cho engine nhận diện chương trình mã độc Có Engines từ sở liệu IRMA phát dây mã độc 37 Engines từ sở liệu Virustotal phát mã độc 19 c) Kết phân tích Yara Hình 3.18 Kết phân tích Yara Từ hình 3.18 thấy Yara đóng góp để phát chức malware chống debug, chạy keylogger, … (ví dụ tính anti debug - kỹ thuật sử dụng để vơ hiệu hóa Debugger, nhằm gây khó khăn việc dịch ngược, làm tốn thời gian phân tích mẫu.) nhận dạng qua string: IsDebuggerPresent địa 0x42e0cc Hình 3.19 thể kết phân tích hàm chống địch ngược d) Kết dùng công cụ OllyDBG IDA Pro 6.8 Dùng IDA Pro để xem cấu trúc chương trình Kết cấu trúc chương trình khởi động thể hình 3.20 Hình 3.20 Hàm khởi động mã độc Dùng OllyDBG để tiến hành chạy mã độc Kết thu mã độc thể hình 3.21 20 Hình 3.21 Danh sách String mà OllyDBG đọc Dùng IP 1.1.1.1 để kiểm tra xem máy nạn nhân có kết nối mạng hay khơng thu danh sách tiến trình Hình 3.22 luận văn thể danh sách tiến trình (process) máy nạn nhân Tiếp theo dùng chương trình Module32Next để lấy thông tin tiến trình Hình 3.23 Thơng tin chi tiết tiến trình Từ hình 3.23 thấy giống chương trình hack game Đây lý số chương trình nhận “gametool” Thực kiểm tra API đáng ngờ gọi Kết API ngờ gọi thể hình 3.24 21 Hình 3.24 Các API đáng ngờ gọi Dùng IDA Pro 6.8 để đối chiếu với OllyDBG Các string tìm thấy binary API thư viện windows Từ thấy rằng: Đa số tính phát tương đồng Phân tích động Phân tích tĩnh, từ kết luận cơng APT tạo botnet có tính tương đồng số tính năng: Anti Debug; Anti VM; Keylogger; Packed; Get system information (computer name/local time); Thay đổi registry Đối với APT: Kết nối nhiều lần đến IP cổng; Kết nối nhiều lần đến IP khác cổng; Kết nối đến nhiều địa IP; Request nhận response code lạ; Các cổng kết nối (Port nguồn – Port đích) khơng nằm danh sách biết đến (01023); Tính keylogger: Content-Length request response chênh lệch lớn (khơng có thống kê xác nhiên theo quan sát nằm khoảng Down/Up Up/Down = 0.01); FuzzingHash request response tương đồng (giống 70% trở lên) 3.2.3 Giám sát đường truyền a) Trích xuất thơng tin Dưới bảng thuộc tính trích xuất từ tệp tin pcap thực thi mã độc APT sanbox Các thuộc tính thống kê, tổng hợp từ pcap thống kê số cặp cổng ip nguồn đến cổng khác máy đích hay từ ip tới nhiều máy đích dấu hiệu cơng APT Hay cổng nguồn đích khơng với giao thức dấu hiệu công APT 22 Bảng 3.3 Danh sách thuộc tính Pcap Stt Tên thuộc tính Kiểu liệu continuous Src_packets continuous Dst_dackets continuous Src_bytes continuous Dst_bytes continuous Ssrc_diff_dst continuous Sdst_diff_src Land discrete discrete Ssip_diff_port discrete Port_match_protocol 10 discrete Hash_5_tuple Giải thích Số packets đến dst_ip thơng qua src_ip Số packets đến dst_ip thông qua protocol Số bytes đến dst_ip thông qua src_ip Số bytes đến dst_ip thông qua protocol Số cặp src_ip / src_port đến địa dst_ip / dst_port khác Số cặp src_ip / src_port đến địa dst_ip / dst_port Số cặp src_ip dst_ip giống Số packet đến đích ip khác cổng Kiểm cổng nguồn đích có khớp với giao thức không Mã hash src_ip, dst_ip, src_port, dst_port, protocol Từ thuộc tính Pcap sử dụng q trình phát cơng APT phương pháp học máy Những thuộc tính bất thường mang lại hiệu tốt cho trình phát hành vi bất thường mã độc công APT Tuy nhiên có đặc điểm quan trọng cơng APT người phân tích thu lưu lượng mạng bất thường cơng APT thực phân tích mã độc APT Sanbox mã độc chết khơng cịn khả liên kết với máy chủ điều khiển C&C Chính người phân tích khó thu Pcap hữu ích 3.3 Kết luận chương - Trình bày số cơng cụ hỗ trợ phương pháp phân tích mã độc cơng APT Đây công cụ phổ biến chun gia sử dụng q trình phân tích mã độc nói chung phân tích mã độc APT nói riêng - Trình bày số kết thực nghiệm phân tích tĩnh phân tích động mã độc cơng APT Kết phân tích cho thấy số hàm mã độc APT Tuy nhiên, kết cịn nhiều hạn chế kẻ công APT tiến hành công APT tinh vi trình thiết kế điều khiển loại mã độc - Trình bày số thuộc tính hành vi thu thập từ Pcap công APT Tuy nhiên, mã độc APT khơng thể thực kết nới với C&C khơng có hành vi bất thường thu thập từ Pcap cho thấy mã độc công đánh cắp liệu 23 KẾT LUẬN Những kết luận văn: Trình bày tổng quan công APT nguy hiểm công tổ chức phủ Bên cạnh đó, luận văn liệt kê số chiến dịch công APT diễn thực tế Trình bày số giải pháp kỹ thuật nhằm phát cảnh báo công APT hệ thống Các giải pháp nhằm phát cảnh báo công APT thường dựa vào quy trình cơng giai đoạn cụ thể cơng Trình bày quy trình phân tích mã độc APT dựa phương pháp phân tích tĩnh phân tích động Trình bày số cơng cụ hỗ trợ phương pháp phân tích mã độc công APT Đây công cụ phổ biến chun gia sử dụng q trình phân tích mã độc nói chung phân tích mã độc APT nói riêng Trình bày số kết thực nghiệm phân tích tĩnh phân tích động mã độc cơng APT Kết phân tích cho thấy số hàm mã độc APT Tuy nhiên, kết cịn nhiều hạn chế kẻ công APT tiến hành công APT tinh vi trình thiết kế điều khiển loại mã độc Trình bày số thuộc tính hành vi thu thập từ Pcap công APT Tuy nhiên, mã độc APT thực kết nới với C&C khơng có hành vi bất thường thu thập từ Pcap cho thấy mã độc công đánh cắp liệu Hướng phát triển luận văn Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: - Tiếp tục nghiên cứu biến thể mã độc APT biện pháp, kỹ thuật phòng chống mã độc APT Nghiên cứu ứng dụng cơng cụ Big data cho việc phân tích mã độc APT ... Nghiên cứu phương pháp phân tích mã độc APT Ứng dụng phương pháp phân tích mã độc vào việc phân tích mã độc công APT thực tế Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: mã độc APT; Phạm... phân tích mã độc APT Nhận diện hệ thống bị nhiễm mã độc APT khoanh vùng xử lý Thu thập mẫu mã độc APT Viết báo cáo tổng kết hành vi mã độc Phân tích mã thực thi APT Phân tích sơ lược mã độc APT. .. phương pháp phân tích tĩnh phân tích động Trình bày số cơng cụ hỗ trợ phương pháp phân tích mã độc cơng APT Đây công cụ phổ biến chuyên gia sử dụng q trình phân tích mã độc nói chung phân tích mã độc

Ngày đăng: 19/03/2021, 17:58

Xem thêm:

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w