Nghiên cứu phương pháp phân tích động mã độc (tt)

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN NGỌC QUÂN NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC CHUN NGÀNH: HỆ THỐNG THƠNG TIN MÃ SỐ: 60.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2016 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Nguyễn Trung Kiên Phản biện 1: …………………………………………………………………… ….……………………………………………………………………………… Phản biện 2: …………………………………………………………………… ………………………………………………….……………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ……………… …… ngày ……… tháng ………… năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông MỞ ĐẦU Phát tán mã độc (Malware) thực trở thành ngành “công nghiệp ” hoạt động gián điệp phá hoại hệ thống, phần mềm Theo thống kê từ quan, tổ chức, doanh nghiệp chuyên An ninh, an tồn thơng tin, hoạt động phát tán mã độc không tồn nước phát triển mà nước phát triển Việt Nam trở thành mảnh đất màu mỡ cho Hacker công Mã độc phát tán hầu hết quan quan trọng từ quan Chính phủ, Quốc hội tới quan tài ngân hàng, viện nghiên cứu, trường đại học,… Các phần mềm chứa mã độc tồn nhiều hình thức có khả lây lan vơ lớn Khơng dừng lại đó, mã độc lây lan đa tảng không giới hạn máy tính cá nhân mà cịn lây lan sang thiết bị thông minh smartphone Với tốc độ phát triển kinh tế, hầu hết cá nhân sở hữu thiết bị thơng minh hay máy tính cá nhân, môi trường hoạt động dành cho mã độc ngày rộng lớn thiệt hại chúng gây cho vô lớn Theo thống kê Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cố cơng mã độc có chiều hướng gia tăng với thủ đoạn ngày tinh vi Nhằm góp phần hiểu rõ hoạt động hành vi mã độc tác hại việc phát tán mã độc hệ thống, thiết bị thơng minh,… Luận văn tìm hiểu nghiên cứu “Phương pháp phân tích động mã độc” Mục tiêu Luận văn gồm nội dung chính:  Nghiên cứu tổng quan mã độc, phân loại mã độc, cách thức hoạt động, hành vi mã độc phương thức lây nhiễm chúng  Nghiên cứu sâu kỹ thuật phương pháp phân tích mã độc Các phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh nghiên cứu mơi trường cơng cụ phân tích mã độc  Đề xuất quy trình ứng dụng phân tích động mã độc thực tế Phạm vi ứng dụng nghiên cứu Nghiên cứu kỹ thuật phân tích nhận diện mã độc với hành vi áp dụng kỹ thuật để thử nghiệm phân tích mã độc CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 Tổng quan mã độc 1.1.1 Khái niệm mã độc Theo quan điểm Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National Institute of Standart and Technology) định nghĩa phân loại lĩnh vực “Virus máy tính”, mã độc (Malware) định nghĩa chương trình chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống Theo định nghĩa mã độc bao hàm nhiều thể loại mà Việt Nam quen gọi chung Virus máy tính Worm, Trojan, Spy-ware, … chí Virus công cụ để công hệ thống mà hacker thường sử dụng Backdoor, Rootkit, Keylogger 1.1.2 Tình hình mã độc Việt Nam giới Kể từ mã độc xuất vào năm 1984 đến năm 2013, theo viện nghiên cứu độc lập an tồn thơng tin AV-TEST, có khoảng 120.000.000 mã độc phát tán Đặc biệt, vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng tồn giới đặt nhiều vấn đề an ninh thông tin cho toàn người sử dụng Internet toàn cầu Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST Chủng loại mã độc đa dạng phong phú hành vi mục đích phát tán Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, trị, tơn giáo nhiều lĩnh vực quan trọng khác Trong năm 2012, giới bị rúng động hoành hành Flame Duqu, Virus đánh cắp thông tin mật hệ thống điện tốn khu vực Trung Đơng Tại Việt Nam, xu hướng công, phát tán phần mềm có mã độc vào quan, doanh nghiệp hình thái giới tội phạm mạng mang tính chất quốc gia xuất Việt Nam Bên cạnh loại mã độc phổ biến xuất dạng mã độc mới, mã độc đính kèm tập tin văn Hầu hết người nhận email mở tập tin văn đính kèm bị nhiễm mã độc khai thác lỗ hổng phần mềm Microsoft Office (bao gồm Word, Excel PowerPoint) Khi xâm nhập vào máy tính, mã độc âm thầm kiểm sốt tồn máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa Chúng nhận lệnh tin tặc tải mã độc khác máy tính để ghi lại thao tác bàn phím, chụp hình, lấy cắp tài liệu Dưới hình mô tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2014, Việt Nam nằm danh sách 15 nước có tỉ lệ phát tán mã độc nhiều giới, Hình 2: Danh sách 15 nước phát tán mã độc nhiều giới (2014) Trước gia tăng mạnh mẽ số lượng mục đích cơng mã độc có nhiều biện pháp nhằm ngăn chặn phòng ngừa mã độc sử dụng chương trình diệt Virus, sử dụng hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống, Tuy nhiên biện pháp phần ngăn chặn loại Virus biết đến rộng rãi, biến thể mã độc mã độc sinh ngày nhiều vơ hình trước biện pháp bảo vệ Hình 3: Tình hình mã độc tháng 5/2013 theo BKAV Tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để truy nguồn phát tán mã độc cập nhật nhanh dấu hiệu mã độc cho hệ thống bảo vệ, thông thường chuyên viên phải tiến hành phân tích hành vi mã độc phương pháp thủ cơng Nhưng với số lượng mã độc ngày nhiều việc dùng phương pháp phân tích thủ cơng không theo kịp tiến độ, đề tài nghiên cứu xây dựng hệ thống tự động phân tích hành vi mã độc nhằm hỗ trợ cơng tác chun mơn, nhanh chóng nhận diện phát hành vi loại mã độc xuất để có biện pháp ứng cứu cố theo chức VNCERT, đồng thời giúp rút ngắn thời gian phân tích mã độc lại phân tích nhiều mã độc trước Theo thống kê VNCERT hiệp hội an tồn thơng tin Việt Nam, năm 2012 có tới 2.203 website quan doanh nghiệp Việt Nam bị tin tặc công chiếm quyền điều khiển Sau kiểm soát thành công hệ thống mạng website, tin tặc thường sử dụng mã độc để trì điều khiển để dị tìm cơng qua hệ thống khác có liên quan đến mạng Bên cạnh mã độc cơng cụ để phá hoại liệu đánh cắp thông tin cá nhân người dùng, công cụ diệt Virus phần lớn thường không phát phát chậm loại Virus xuất 1.2 Phân loại mã độc Trong tài liệu NIST có số khác biệt theo định nghĩa cách hiểu thông thường Virus máy tính thơng dụng Ngay tên tài liệu nêu lên khác biệt, tác giả nói tới “Malware” khơng sử dụng thuật ngữ “Virus” Tại Việt Nam nay, thuật ngữ “Virus máy tính” dùng rộng rãi bao hàm tất dạng mã độc hại mạng, máy tính cá nhân Khi nói đến “Virus máy tính”, cách tự nhiên tất người nghĩ Virus bao gồm Worm, Trojan, Keylogger Trong theo định nghĩa NIST (và gần cộng đồng IT) Virus, Worm, Trojan horse, Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit, dạng mã độc hại Sự khác biệt dẫn tới số khó khăn, ví dụ trao đổi với tổ chức quốc tế an tồn thơng tin, trao đổi với hỗ trợ kỹ thuật từ Trung tâm phịng chống Virus nước ngồi khơng đồng định nghĩa Phía Việt nam thơng báo “bị Virus công”, đối tác gửi lại dẫn để quét tập tin bị nhiễm PC, thực chất cơng Worm phải phịng chống tồn mạng Do phần tập trung vào việc phân loại giới thiệu số loại mã độc với chức mục đích hoạt động khác Các loại mã độc: 1.3 Virus máy tính Sâu máy tính Trojan hourse Phần mềm gián điệp (Spyware) Phần mềm tống tiền (Scareware) Phần mềm quảng cáo Downloader Backdoor Botnet Launcher Rootkit Keylogger Cách thức hoạt động hành vi loại mã độc 1.3.1 Mục đích mã độc Mã độc ban đầu tạo nhằm mục đích thí nghiệm, phá hoại máy tính đơn lẻ đó, theo thời gian có biến thể mã độc sử dụng chủ yếu để ăn cắp thông tin nhạy cảm người dùng tài khoản mật khẩu, tin tức tài chí thơng tin quân quốc phòng để nhằm mang lại lợi ích cho tin tặc Đôi mã độc sử dụng cơng cụ trị chống lại trang web phủ, cơng ty cơng nghệ cao để thu thập thông tin bảo vệ làm gián đoạn hoạt động họ môi trường mạng 1.3.2 Hướng lây nhiễm mã độc Mã độc đến từ nhiều nguồn khác để lây nhiễm vào máy tính người dùng Trong lại ba hình thức sau: Hình thức cổ điển: mã độc lây nhiễm thông qua thiết bị lưu trữ di động, trước ổ đĩa mềm, ổ CD đến thiết bị lưu trữ USB, thẻ nhớ Lây nhiễm qua thư điện tử: Khi mà thư điện tử sử dụng rộng rãi giới mã độc chuyển hướng lây nhiễm sang thư điện tử thay cho hình thức lây nhiễm cổ điển Hình thức đặc biệt nguy hiểm số lượng máy tính bị lây nhiễm tăng theo cấp số nhân, máy bị nhiễm mã độc gửi đến tất địa email có máy bị nhiễm Hình thức lây nhiễm qua thư điện tử bao gồm: Lây nhiễm từ tập tin đính kèm thư điện tử, lây nhiễm click vào liên kết thư điện tử lây nhiễm mở để xem thư điện tử Hình thức lây nhiễm cuối Lây nhiễm thơng qua mạng Internet: bao gồm lây nhiễm tập tin tài liệu, phần mềm miễn phí hay bẻ khóa chia mạng mà người dùng tải chạy máy tính, lây nhiễm truy cập vào trang web có chứa mã độc (theo cách vơ ý cố ý), cuối lây nhiễm mã độc thông qua lỗi bảo mật hệ điều hành, ứng dụng có sẵn hệ điều hành phần mềm hãng thứ ba 1.3.3 Hành vi mã độc Khi lây nhiễm vào máy tính, mã độc thường thực số hành vi nhằm che dấu hoạt động chúng trước người dùng, đồng thời tạo mơi trường để tự khởi động hệ thống tải mã độc khác Sau số hành vi tiêu biểu mà người phân tích mã độc cần tìm hiểu: - Sự thay đổi hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung hay xóa tập tin hệ thống - Sự thay đổi hệ thống Registry: Bao gồm việc tạo sửa đổi giá trị khóa registry - Tiêm nhiễm vào tiến trình khác chạy hệ thống - Tạo Mutex nhằm tránh việc xung đột sử dụng tài nguyên máy tính - Tạo hoạt động mạng đáng ngờ: Kết nối đến trang web lạ để tải mã độc khác, kết nối đến máy chủ IRC, thực việc quét hệ thống bên ngoài,… - Khởi chạy cho dừng dịch vụ Windows ví dụ dịch vụ trình diệt Virus 1.3.4 Biện pháp để phát mã độc máy tính hệ thống mạng Ngày nay, mã độc ví dịch bệnh, lan truyền nhanh cách thức hoạt động hành vi mã độc thay đổi liên tục Những mã độc ban đầu thường thiết kế nhằm làm chậm máy tính đưa thông báo quảng cáo gây phiền nhiễu, nhiên phần mềm độc hại ngày kín đáo nhiễm vào máy người dùng Bất kỳ bị nhiễm mã độc lúc mà phát Thông thường cách để phát mã độc sử dụng trình qt Virus để qt tồn máy tính, việc thường tốn thời gian làm máy tính hoạt động chậm Thậm chí sau quét xong, chưa máy tính sạch, phần mềm diệt mã độc chưa phát mẫu mã độc Để phát mã độc chạy máy tính, cần sử dụng kết hợp nhiều công cụ hỗ trợ miễn phí khác để tìm mã độc Các cơng cụ bao gồm: Công cụ giám sát registry Regshot, Autoruns, Comodo Autoruns Cơng cụ theo dõi tiến trình tập tin thực thi máy Process XP, KillSwitch Công cụ theo dõi việc gửi, nhận lưu lượng mạng Wireshark, Tcpdump Công cụ phát Rootkit hệ thống Kaspersky TDSSKiller Và cuối để xác định tập tin có phải mã độc hay khơng, người dùng kiểm tra công cụ quét Virus khác việc sử dụng trang quét Virus trực tuyến http://Virustotal.com Với việc kết hợp công cụ lại với đem lại hiệu phát mã độc cao dựa vào dấu hiệu bất thường máy hay sử dụng trình quét Virus đơn lẻ Đối với hệ thống mạng, sử dụng công cụ phát ngăn ngừa xâm nhập IDS hay IPS tường lửa để phát mã độc Các công cụ bảo vệ dựa theo số dấu hiệu người dùng định nghĩa trước dấu hiệu bất thường để phát hành vi mã độc hệ thống 1.3.5 Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy hệ thống mạng Tránh chạy phần mềm từ nguồn không tin cậy Tải phần mềm từ nguồn an tồn khơng sử dụng phần mềm bẻ khóa Cảnh giác online mơi trường mạng Ln để máy tính cập nhật bảo mật 1.4 Phương thức lây nghiễm mã độc Phương thức lây nhiễm mã độc tùy thuộc biến thể (hay loại mã độc) phổ biến như: Virus, Worm, Trojan… 1.4.1 Phương thức lây nhiễm Virus Dựa hành vi, Virus chia thành loại: - Nonresident virues: loại Virus tìm kiếm máy chủ bị nhiễm lây nhiễm sang mục tiêu cuối chuyển điều khiển tới chương trình ứng dụng mà chúng lây nhiễm - Resident virues: loại Virus khơng tìm kiếm máy chủ mà thao vào chúng tải vào nhớ để thực thi kiểm sốt chương trình chủ Virus hoạt động chế độ lây nhiễm vào máy chủ tập tin truy cập chương trình hệ điều hành máy tính khác 1.4.2 Phương thức lây nhiễm Worm (Sâu máy tính) Yếu tố ban đầu Worm đoạn mã độc hại có vai trị cơng cụ xâm nhập lỗ hổng bảo mật nằm máu tính khai thác chúng Worm truyền thông qua lỗ hổng Một đoạn mã độc hãi lây nhiễm vào máy, Worm sử dụng cơng cụ thiết kế để dị tìm, phát máy tính khác kết nối vào mạng Từ đó, qt máy tính mạng để xác định vị trí lỗ hổng, sau Worm sử dụng công cụ xâm nhập để truy cập vào máy tính 1.4.3 Phương thức lây nhiễm Trojan Trojan thường gồm hai thành phần client server, máy tính người sử dụng bị lây nhiễm Trojan chúng biến thành server cổng bị mở ra, chúng dùng client để kết nối tới IP nạn nhân Server ẩn nhớ tạo nên thau đổi hệ thống Trojan tạo thêm đường khởi động vào registry file autoexec.bat, win.ini file hệ thống khác, mà server tự khởi động Windows làm việc phiên 12 Hình 4: Mơi trường phân tích mã độc Để phân tích mã độc người phân tích cần mơi trường ảo để phân tích, đảm bảo mã độc khơng thể lây nhiễm ngồi hay làm hại đến máy tính 2.4.1 Mơi trường tải mã độc - Môi trường tách biệt khỏi mạng làm việc - Mơi trường khơng dùng trình duyệt truy cập vào link tải mã độc trình duyệt dễ bị công Sử dụng công cụ riêng biệt để tải mã độc (Wget, Curl) - Nên sử dụng môi trường khác với môi trường thực thi mã độc (VD mơi trường Linux) - Sau tải đổi tên, tránh trường hợp vơ tình thực thi mã độc 2.4.2 Mơi trường phân tích mã độc - Để phân tích Malware, việc phải có mẫu Malware để thực phân tích Người dùng tải Malware từ website như: http://practicalMalwareanalysis.com/labs/ - Hệ điều hành mà thử nghiệm Malware: Windows, Linux, hay MacOS - Môi trường để thử nghiệm Malware, sử dụng máy ảo để thử nghiệm Xây dựng hệ thống lab ảo làm môi trường thử nghiệm Malware Ngồi ra, sử dụng phần mềm VMware để tạo PC ảo để thử nghiệm Hoặc sử dụng sandbox để tạo mơi trường thử nghiệm Malware giám sát hoạt động Malware Thực tế, 13 cần sử dụng máy thật để thử nghiệm Malware thực tế xuất số Malware rơi vào trạng thái bất hoạt detect chạy môi trường ảo - Chuẩn bị công cụ để thực việc giám sát thay đổi tiến trình hệ thống (thường sử dụng dynamic analysis Malware) Sandbox thường sử dụng để giám sát hành vi Malware cách thực thi Malware môi trường sandbox - Chuẩn bị công cụ phục vụ cho việc giải mã để phân tích mã nguồn Malware (thường sử dụng static analysis Malware) - Sử dụng tool để capture gói tin: để phân tích xem liệu Malware có thực kết nối liên lạc môi trường Internet hay không - Lab phục vụ cho kỹ thuật phân tích gì:  Static analysis -  Dynamic analysis Sau thực phân tích Malware cần phải xây dựng sở liệu Malware phục vụ cho việc xác định mẫu Malware sau Dựa vào dấu hiệu nhận biết Malware dấu vân tay Malware 2.4.3 Mô hình mơi trường phân tích mã độc Mơ hình tổng qt việc thực phân tích Malware: Hình 5: Mơ hình thực phân tích Malware 14 Q trình phân tích phát Malware: - Malware đưa qua phần mềm băm lấy mã băm (MD5/SHA) Chuỗi băm so sánh với chuỗi ký tự lưu sở liệu Nếu tồn sở liệu => Malware kết thúc trình phân tích Nếu khơng tịn sử liệu đẩy sang hệ thống phân tích( Mlalyzer Malware) Hệ thống phân tích sử dụng phương pháp phân tích tĩnh (Static) phân tích động (Dynamic) để phân tích Kết q trình phân tích đưa phát Virus mã băm lưu vào sở liệu kết thúc q trình Nếu khơng kết thúc q trình phân tích ln 2.4.4 Xây dựng hệ thống lab phân tích Malware Trong phần tơi tìm hiểu cách thức xây dựng hệ thống Malware: xây dựng lab mơi trường thật có nghĩa sử dụng thiết bị vật lý xây dựng môi trường ảo sử dụng phần mềm VMware Phần đề cập tới phương pháp tập trung nhấn mạnh vào việc xây dựng hệ thống phân tích Malware môi trường ảo: - Physical environment: xây dựng mơi trường vật lý tức chúng cần có máy tính thật chạy hệ điều hành Windows, Linux, MacOS Sau thử nghiệm Malware máy tính thật Để đảm bảo PC mà thử nghiệm không bị lỗi, hỏng hóc phần mềm hệ điều hành trình thử nghiệm Malware nên sử dụng phần mềm đóng băng ổ cứng Deep Freeze cách để backup hệ thống - Virtual environment: máy ảo chạy hệ điều hành Windows, Linux, MacOS sandbox Chúng ta thực thi Malware máy ảo Trước thực thi Malware nên tạo snapshot để lưu lại trạng thái máy ảo trước thực thi Nếu xảy lỗi cần quay lại trạng thái đặt snapshot - Trước bắt đầu với việc xây dựng môi trường lab phải nhớ việc xây dựng môi trường an toàn quan trọng Các lỗ hổng gây lỗi máy thật xây dựng môi trường lab Một số lưu ý xây dựng mơi trường lab an tồn:  Khơng chia sẻ tài nguyên máy thật máy ảo 15  Đảm bảo máy thật cập nhật phiên phần mềm anti-Virus  Chúng ta nên đặt card mạng máy ảo card Nat, sử dụng máy ảo kết nối Internet download Malware cần thiết, không nên sử dụng máy thật để download Malware  Ngăn chặn target truy nhập tới shared devices removable media nào, ví dụ USB drives cắm vào máy thật 2.5 Quy trình thu thập phân tích mã độc 2.5.1 Thu thập mã độc Sự cần thiết việc thu thập mã độc : Mục đích xây dựng triển khai hệ thống điều tra, phát cách thức công tin tặc phần giúp đơn vị nhận biết mức độ an tồn thơng tin cổng thông tin điện tử, nâng cao nhận thức an tồn thơng tin, mặt khác phối hợp với đơn vị quản lý điều tra nguyên nhân, động cơ, hành vi mà tin tặc công để chủ động lên kế hoạch giải quyết, đối phó Khi hệ thống triển khai thu thập cách thức công tin tặc vào cổng thông tin điện tử thu thập phần mềm độc hại (Malware) phục vụ cho việc phân tích phạm vi, nguồn gốc cơng 2.5.2 Quy trình phân tích mã độc Bước 1: Xác định nguồn gốc mã độc Bước 2: Liên hệ nơi phát tán mã độc để thu thập mẫu Bước 3: Tiến hành quy trình phân tích sơ lược thơng tin ban đầu mã độc Bước 4: Tiến hành quy trình phân tích hoạt động để xác nhận hành vi mã độc Bước 5: Tiến hành phân tích tĩnh để tìm hiểu sâu hành vi mã độc mà phân tích hoạt động chưa tìm Bước 6: Tiến hành tổng hợp xuất báo cáo cuối hành vi mã độc 16 Hình 6: Quy trình phân tích mã độc chưa có hệ thống phân tích tự động Việc thực quy trình sáu bước tương đối tốn thời gian bước phân tích sơ lược phân tích hoạt động, thời gian dành cho việc phân tích mã thực thi lại giảm xuống khó thực trường hợp cần có kết phân tích gấp Hình 7: Quy trình phân tích mã độc có hệ thống phân tích tự động Khi có hệ thống phân tích tự động, hai quy trình phân tích sơ lược phân tích hoạt động tinh giảm Bên cạnh q trình phân tích tự động tự động hồn tồn nên tiết kiệm nhiều thời gian để dành cho việc phân tích mã thực thi 2.6 Nghiên cứu cơng cụ hỗ trợ phân tích mã độc 2.6.1 Cơng cụ hỗ trợ phân tích tĩnh 17 Phân tích tĩnh có ưu điểm an tồn phân tích động mã thực thi không thực chạy môi trường, nên không cần lo lắng vấn đề như: mã độc format ổ cứng, xóa file, lây lan vào file hệ thống, lấy cắp liệu… Chỉ có mối nguy hiểm xảy ra, q trình phân tích, vơ tình thực thi mã độc (click đúp, chạy thư viện chứa mã độc) Cũng giảm thiểu, loại bỏ nguy cách phân tích tĩnh mã độc mơi trường mà khơng thực thi (ví dụ phân tích mã độc Windows hệ điều hành Linux)  Các kỹ thuật hỗ trợ việc phân tích tĩnh: - Kỹ thuật lấy thơng tin ban đầu file - Kỹ thuật Quét Virus - Ngồi ra, có số dịch vụ qt Virus trực tuyến - Phát trình packer:  Các cơng cụ hỗ trợ phân tích tĩnh: - PEiD chương trình miễn phí, dùng để phát packer sử dụng chương trình đưa phiên trình biên dịch sử dụng PEiD sử dụng tập hợp chữ ký nhiều (phiên có khoảng 600 chữ ký trình biên dịch packer khác nhau; đó, với hỗ trợ nhà phân tích, có có 10000 chữ ký) Để sử dụng chúng, có thể: - Sử dụng chuỗi tìm được:  Để hiểu chương trình thơng thường làm, thường tìm đọc tài liệu kèm, hướng dẫn sử dụng… Với mã độc tương tự, nhiên, “thường” khơng có tài liệu hay hướng dẫn Thay vào đó, thơng tin hữu ích file thực thi điều đáng lưu ý Ví dụ chương trình thường in hình trạng thái hoạt động, thơng báo lỗi Theo dấu vết chuỗi này, hiểu thấy phần cách hoạt động chúng  Các chuỗi file thực thi nói chung, lấy sử dụng số công cụ Strings Sysinternals, Bintext Foundstone hay HexWorkshop, 010Editor, IDA… Khi sử dụng công cụ này, cần ý nên chọn trích xuất định dạng ASCII UNICODE - Công cụ dịch ngược: 18  Sau có thơng tin mã độc bước trên, cơng việc hiểu cách hoạt động nó, cách xem mã thực thi dạng hiểu (dưới dạng ngôn ngữ assembly)  Rất nhiều công cụ có khả dịch ngược từ mã máy sang mã assembly, nhiên, nay, công cụ ưa thích, mạnh dễ sử dụng – IDA (Interactive Disassembler) Công cụ phát triển Hex-rays, Ilfak Guinifanov, chuyên gia phân tích lỗ hổng, mã độc Tác giả sử dụng kinh nghiệm làm việc mình, khắc phục khó khăn mà q trình phân tích gặp phải, để đưa cơng cụ hữu ích Nó tin dùng hầu hết nhà phân tích mã độc, cơng ty an ninh mạng, diệt Virus (Kaspersky, F-secure, Avira, Symantec…) - Các công cụ so sánh file: sử dụng để so sánh file trước sau hệ thống bị lây nhiễm mã độc Giả sử có file chưa lây nhiễm người khác gửi đến trung tâm phân tích file nhiễm mã độc, công cụ cần sử dụng Không đưa thông tin byte khác nhau, cơng cụ cịn có khả đưa mã assembly đoạn đó, giúp cho người phân tích dễ dàng thấy hoạt động mã độc CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC 3.1 Kiến trúc hệ thống Hệ thống sử dụng hệ điều hành mã nguồn mở - Ubuntu, cài đặt Cuckoo sandbox để phân tích mã độc virtual box để chạy máy ảo hỗ trợ việc phân tích hệ điều hành khác Các máy ảo liên kết tới Cuckoo sandbox, tạo snapshot khác mơi trường phân tích khác Để thuận tiện, hệ thống sử dụng thêm Mysql Apache Mysql để lưu tiến trình phân tích (task), tên máy ảo (machine), snapshot, platform… Apache giúp người dùng tương tác với hệ thống phân tích file thơng qua website, tăng tính thuận tiện đơn giản 3.2 Mơ hình logic hệ thống Malware analytics 19 Hình 8: Mơ hình logic hệ thống Malware analytics Khi có u cầu phân tích file từ người dùng, máy chủ Malware analytics (MA) tiến hành công việc chính:  Băm file (hash): để so sánh với kết băm trang Malware online  Kiểm tra file Virus total, so khớp kết  Chạy file: o o Ghi lại hình q trình chạy Kiểm tra kết nối ngồi, có kiểm tra tiếp xem thuộc quốc gia o DNS request o Các key registry mà file tác động đến o Ngồi cịn có file tạm sinh ra, thư viện gọi đến, PID Parent PID file gọi đến 3.3 Mơ hình vật lý hệ thống 20 Hình 9: Mơ hình vật lý hệ thống Khi người dùng gửi yêu cầu phân tích file mã độc tới máy chủ, máy chủ phân phối file máy ảo để chạy file thực phân tích Kết trả máy chủ để xuất báo cáo chi tiết tới người dùng Phân tích thiế t kế chức ̣ thố ng 3.4.1 Mục đích, đối tượng 3.4 - Mục đích: Xây dựng cơng cụ có chức kiểm tra, phân tić h hành vi của các tê ̣p tin nghi ngờ là mã đô ̣c, đồ ng thời so sánh với các virus, mã đô ̣c hiê ̣n hành - Đối tượng sử dụng:  Người quản trị: Quản lý module, thống kê liệu, quản lý người dùng  Người dùng hệ thống: Thực rà quét phân tích các file nghi ngờ chứa mã đô ̣c, thống kê chi tiết báo cáo 3.4.2 Phân tích thiết kế chức Các chức chính của ̣ thố ng sau: - Xem tra ̣ng thái các file đã phân tích, báo cáo lỗi, trì hoañ , đã hoàn thành, cha ̣y, ̣i, xử lý lỗi Trả về kế t quả phân tić h gầ n nhấ t Trả về thông tin tổ ng quan của tê ̣p tin nghi ngờ malware: chi tiế t file, mã MD5, SHA, … Trả về các thông tin thực thi tê ̣p tin máy ảo, hin ̀ h chu ̣p màn hin ̀ h Trả về các thông tin đo ̣c ghi các ghi So khớp với các chương trình diê ̣t virus Virustotal 21 3.5 - Kế t quả phân tić h hành vi của tê ̣p tin - Kế t quả phân tić h network, ma ̣ng của tê ̣p tin - Kế t quả các thư mu ̣c bi ̣hủy Hệ thống Website hỗ trợ báo cáo, thống kê hành vi mã độc phân tích Website hỗ trợ báo cáo thống kê bao gồm menu chính: Trang chủ, phân tích mã độc, Livemapattack; Trang chủ: Tổng hợp thống kê số thông tin mã độc Các tập tin url nhập vào hệ thống; Top 10 mã độc Trang phân tích mã độc: gồm có Drashbroad mơ tả tổng quan thơng tin phân tích; Những file phân tích gần đây; Nhưng file phân tích; tìm kiếm LiveMapAttack mơ tả tình hình diễn biến cơng giới (mục đích tham khảo) 3.5.1 Trang chủ 3.5.2 Trang phân tích mã độc - Submit: phục vụ việc upload file, Url trực tiếp - Tab tìm kiếm (Search): phục vụ chức tìm kiếm file phân tích - Tab Pending: mơ tả task thực - Tab Recent: mơ tả task phân tích gần đây: - Task Files: mơ tả file phân tích - Trong file: mô tả nội dung file phân tích: xem tổng quan, phân tích tĩnh, phân tích hành vi, phân tích mạng, file drop 3.6 Giới thiệu hệ thống sử dụng cho việc phân tích hành vi mã độc Hệ thống vận hành máy chủ nội bộ, thông tin hệ thống: - Địa chỉ: http://Malware.cdit.com.vn/ 22 Hình 10: Giao diện trang phân tích hành vi mã độc 3.1.1 Quy trình phân tích tập tin Khi tiến hành phân tích tập tin mã độc hệ thống thực bước mơ hình đây: Hình 11: Quy trình phân tích mã độc hệ thống Để tiến hành phân tích tập tin mã độc, cần chọn kiểu tập tin tương ứng với mã độc website Dưới số kiểu tập tin mà hệ thống hỗ trợ: - Các tập tin thực thi môi trường Windows: EXE - Tập tin thư viện liên kết động: DLL - Tập tin văn bản: PDF 23 - Các tài liệu Microsoft Office: (.DOC, XLS) - Các tập tin shell code nhị phân: BIN - Các tập tin dạng nén: ZIP - Và số tập tin khác: JS, HTML,… Để đẩy phân tích tập tin mã độc, sử dụng chức đẩy tập tin lên hệ thống thơng qua website sau: chọn vào “Phân tích” chọn “Tập tin” chọn “Phân tích tập tin mới” Từ thơng tin hình, mục Signatures, thấy mã độc tạo tập tin thực thi máy bị nhiễm, bên hình ảnh chụp lúc thực thi mã độc, phần Static Analysic ghi lại tất hàm mã mã độc yêu cầu hệ thống thực địa hàm Các thơng tin tập tin mã độc tạo thêm máy kết nối mạng mà mã độc thực hiện: Cuối thông tin chi tiết tập tin, giá trị registry tiến trình mà mã độc gọi suốt q trình thực thi Trong quan trọng phần hiển thị thông tin chi tiết thời gian, lời gọi hàm hệ thống, đối số truyền vào hệ thống kết lời gọi hàm hiển thị rõ ràng nhằm giúp người phân tích có nhìn sâu vào hành vi mã độc để thực bước phân tích mã thực thi tiếp theo: Hình 12: Các thông tin chi tiết hành vi mã độc (3) 24 Việc thử nghiệm phân tích với tất tập tin khác DOC, PDF, XLS, BIN, DLL,… hệ thống vận hành ổn định đưa kết tương đối rõ ràng để hỗ trợ cho cơng tác ứng cứu phân tích mã thực thi sau 3.1.2 Quy trình phân tích địa URL độc hại Để tiến hành phân tích URL nghi ngờ có mã độc, chọn mục “Địa URL” tiến hành phân tích địa trang web nghi ngờ có mã độc Hình 13: Giao diện nhập địa URL để phân tích Q trình phân tích diễn tương tự phân tích tập tin mã độc Hệ thống mở trang web trình duyệt Internet Explorer theo dõi hành vi trang web thông qua tập tin cuckoomon.dll đề cập Các kết phân tích hiển thị tương tự bên phần phân tích tập tin mã độc: Hình 14: Trang hiển thị thơng tin địa URL phân tích 25 3.7 Đánh giá hệ thống 3.7.1 Khả nhận biết mã độc - Khả nhận dạng dấu hiệu hành vi độc hại mã độc mức cao Tỉ lệ phát đạt 95% - Khả phát tập tin thực thi EXE mã độc tạo thơng qua tính signatures Các tập tin EXE tạo đa phần thành phần dự phịng mã độc - Thuận tiện q trình truy vết mã độc, điều tra số 3.7.2 Khả giám sát hành vi mã độc - Có khả phát 98% hành vi mã độc thực thi - Các tiến trình lời gọi hàm hệ thống mã độc ghi lại thơng qua tập tin cuckoomon.dll - Khả phân tích tĩnh giúp xác định lời gọi hàm hệ thống quan trọng với địa lời gọi hàm đó, việc hỗ trợ cho q trình phân tích mã thực thi sau - Các hoạt động mạng giám sát tổng hợp lại qua tập tin PCAP, người kiểm tra mở lại tập tin để xác nhận tìm thêm hành vi mạng mã độc 3.7.3 Tính ổn định hệ thống phân tích - Hệ thống lúc thực phân tích hai mã độc khác - Có khả chuyển đổi mơi trường ảo hóa khác để chạy mã độc - Chế độ snapshot giúp đảm bảo máy ảo ln trì tình trạng “sạch” mã độc trước phân tích 3.7.4 Một số điểm hạn chế hệ thống Hệ thống chưa phân tích tập tin, malware di động, mobile Đôi tập tin mã độc cần chạy phân tích nhiều lần nhiều môi trường khác thiết lập thời gian chờ phù hợp cho kết xác hành vi KẾT LUẬN Luận văn nghiên cứu kiến thức mã độc, tổng quan tình hình mã độc Việt Nam giới Nội dung luận văn trình bày loại mã độc nay, cách thức hoạt động mã độc, hướng lây nhiễm mã độc đưa biện pháp phát mã độc máy tính, biện pháp ngăn ngừa mã độc Dựa vào cách thức hoạt động phương thức lây nhiễm, luận văn trình bày sâu kỹ thuật phương pháp phân tích mã động Trong đó, sâu nghiên cứu phân tích hai 26 phương pháp phân tích động phân tích tĩnh Từ đưa mơi trường phù hợp dùng để phân tích mã độc Ứng với phương pháp thu phân tích mã độc, đưa công cụ hỗ trợ phân tích mã độc Tiếp theo đó, luận văn trình bày quy trình thu thập phân tích mã độc tổng quát áp dụng cho hệ thống Và cuối luận văn mô việc phân tích hành vi mã độc hệ thống thực tế Kết thu đưa kết luận tập tin hay địa URL xác định có thực thực hành vi hệ thống người dùng, từ dựa hiểu biết cán làm an tồn thơng tin, phân tích đánh giá để kết luận malware phân tích TÀI LIỆU THAM KHẢO [1] Wietse & Dan (2012), forensic discovery – 2012 [2] Manuel Egele ( Vienna University of Technology, Vienna, Austria), Theodoor Scholte ( SAP Research, Sophia Antipolis ), Engin Kirda ( Institute Eurecom, Sophia( Antipolis) , Christopher Kruegel (University of California, Santa Barbara) - A survey on automated dynamic Malware-analysis techniques and tools – 2012 [3] Manuel Egele , Christopher Kruegel , Engin Kirda , Heng Yin , Dawn Song, Dynamic spyware analysis - 2007 [4] Lee Allen, Advanced Penetration Testing For Highly-Secured Environments, 52012 [5] Kris Kendall, Chad McMillan, Practical Malware Analysis, 2013 [6] Trương Minh Nhật Quang, Hệ phịng chống virus máy tính hướng tiếp cận Máy học Hệ chuyên gia – 2013 [7] SAN Institute, “Building an Automated Behavioral Malware Analysis Environment using Open Source Software” 2010 [8] Konrad Rieck, Philipp Trinius, Carsten Willems, and Thorsten Holz “Automatic Analysis of Malware Behavior using Machine Learning” 20 ... Nghiên cứu tổng quan mã độc, phân loại mã độc, cách thức hoạt động, hành vi mã độc phương thức lây nhiễm chúng  Nghiên cứu sâu kỹ thuật phương pháp phân tích mã độc Các phương pháp phân tích tĩnh,... tĩnh, phương pháp phân tích động? ?? Bên cạnh nghiên cứu mơi trường cơng cụ phân tích mã độc  Đề xuất quy trình ứng dụng phân tích động mã độc thực tế Phạm vi ứng dụng nghiên cứu Nghiên cứu kỹ... trình mã độc Để phân tích mã độc thơng thường có hai hướng: phân tích sử dụng hệ thống tự động phân tích thủ cơng gồm phân tích hoạt động phân tích cách đọc mã thực thi mã độc 2.1.2 Các kỹ thuật phân