Phân tích động là phân tích các hành động của mã độc sau khi được thực thi. Là bước tiếp theo sau phân tích động trong quá trình phân tích mã độc. Bước này thường được thực hiện sau quá trình phân tích tĩnh. Sử dụng kĩ thuật này có thể bỏ qua các bước unpacked, unobfuscated %3Ch1%3Ephuc%3C/h1%3E
Dynamic (behavior) analysis Phân tích động phân tích hành động mã độc sau thực thi Là bước sau phân tích động trình phân tích mã độc Bước thường thực sau q trình phân tích tĩnh Sử dụng kĩ thuật bỏ qua bước unpacked, unobfuscated Phân tích tĩnh giúp làm rõ nghi ngờ q trình phân tích tĩnh, xác định xem hành vi mã độc có gây nguy hiểm hay không Tuy vậy, nên thực thi việc phân tích động sau có đầy đủ thơng tin từ q trình phân tích tĩnh, đồng thời cần thực phân tích động mơi trường thích hợp để đảm bảo khơng gây ảnh hưởng tiêu cực tới môi trường thực Hạn chế: - Phân tích động mơi trường điều kiện khơng hợp lí số chức mã độc không thực - Một số mã độc nhân chạy máy ảo nên khơng thực thi Vì cần kết hợp phân tích tĩnh với phân tích động, tạo mơi trường điều kiện hợp lí để phân tích đạt kết tốt Sử dụng Sanbox Có tương đối nhiều phần mềm cho pháp phân tích động mức hầu hết sử dụng công nghệ sandbox Đây cơng nghệ cho phép chạy chương trình mơi trường thực thi an tồn, khơng sợ bị ảnh hưởng tới môi trường thực tế Sandbox hội tụ đầy đủ yếu tố, kể kết nối mạng để chương trình chạy mơi trường tương tự môi trường thực tế Sử dụng sandbox để phân tích mã độc Có nhiều sanbox hỗ trợ phân tích mã độc: Cuckoo Sandbox, Norman SandBox, GFI Sandbox, Anubis, Joe Sandbox, ThreatExpert, BitLaze, Comodo Instant Malware Analysis Trong Cuckoo Sandbox, Norman SandBox GFI Sandbox công cụ phổ biến chuyên gia sử dụng Đặc điểm Sandbox kết đầu phân chia chi tiết theo nhóm thông tin dễ theo dõi Một số sandbox cịn tích hợp việc qt mã độc phần mềm antivirus nên tiện lợi cho người dùng Hầu hết sanbox hoạt động theo ngun lí chung, phân tích theo dõi thơng tin: • • • • • • Phân tích tổng quan: Liệt kê thơng tin phân tích tĩnh tổng quan kết phan tích động Hành vi file: Danh sách file mở, tạo mới, sửa hay bị xóa Các ngữ cảnh tạo ra: Danh sách ngữ cảnh mã độc tạo Hành vi lên registry: Danh sách thay đổi registry domã độc gây Hành vi liên quan tới mạng: Các hành vi mở cổng, truy vấn tên miền, truyền/tải liệu Kết quét từ VirusTotal: Danh sách kết quét mã độc từ VirusTotal Nhược điểm Sandbox Sử dụng sandbox phân tích mã độc có số nhược điểm: • • • • • • Sandbox chạy mã độc mức lời gọi thơng thường, bỏ qua tham số cần thiết cho việc thực thi chức mã độc Sandbox khơng thể ghi lại tất hành vi thời gian lâu Ví dụ mẫu mã độc phát môi trường sandbox thực vào đoạn mã cho phép chương trình “ngủ” khơng thực hành vi Một số mã độc yêu cầu số giá trị registry mà tồn môi trường thật Nếu mã độc dạng DLL, việc thực thi mã độc tự động sandbox gần Nhiều mã độc thiết kế cho môi trường xác định (Hệ điều hành, phiên bản…), khơng có mơi trường phù hợp, mã độc ngừng thực thi Sandbox cung cấp thông tin thường chưa đủ thông tin để kết luận hành vi thực mã độc Chạy mã độc Chạy mã độc bước quan trọng trình phân tích động Mã độc hệ điều hành Windows biên dịch sang 02 loại file (.dll, exe) Với mã độc loại exe, thực thi cách click trực tiếp chạy qua cửa sổ dòng lệnh (cmd) Với mã độc loại dll, để chạy mã độc sử dụng chương trình rundll32.exe thay đổi thông tin PE header để hệ điều hành gọi file dll file exe Cú pháp chạy: rundll32.exe DLLname, Export arguments Export arguments: tên hàm thứ tự hàm bảng export functions Lưu ý: Một số DLL để thực thi cần cài đặt dạng dịch vụ, cần ý q trình chạy DLL dạng để xử lí cho phù hợp Giám sát tiến trình sử dụng Process Monitor Process Monitor hay procmon công cụ giám sát cho hệ điều hành Windows, sử dụng để giám sát hành vi tương tác registry, file hệ thống, mạng, tiến trình, luồng Đây cơng cụ kết hợp nâng cao tính hai cơng cụ: FileMon RegMon Mặc dù vậy, promon không ghi lại tồn thơng tin, đặc biệt thơng tin vào/ra, hành vi tương tác lên mạng Lưu ý: • • • Promon theo dõi tất lời gọi hàm xảy sử dụng nhớ RAM để thực công việc này, cần cung cấp đủ RAM sử dụng Trong Promon có nhiều tùy chọn tính (các cột) để xem, nên chọn trường cần thiết để tránh thơng tin bị lỗng Có thể thực hành vi lọc (Filter) với nhiều tùy chọn để tìm thơng tin hữu ích nhanh Xem tiến trình sử dụng Process Explorer Process Explorer cho phép xem tiến trình thơng tin liên quan tiến trình chạy hệ thống: • • • • • Danh sách tiến trình Danh sách DLL load tiến trình Các thuộc tính liên quan tới tiến trình Danh sách tiến trình con, thơng tin tiến trình cha Tắt tiến trình, đăng xuất người dùng, chạy xác nhận tiến trình khác có phải tiến trình hợp lệ hay khơng Ngồi ra, sử dụng Process Explorer số trường hợp hỗ trợ việc phát mã độc: • • • So sánh chuỗi: So sánh chuỗi “String tab” Process Properties file ổ cứng file thực thi nhớ có khác biệt chứng tỏ tiến trình chạy tiến trình thay thế, mã độc Tìm kiếm thành phần liên quan: Từ Process Explorer thực thi thành phần liên quan tìm DLL sử dụng, qua hiểu rõ kiến trúc phần mềm đánh giá thành phần liên quan để định mức độ nguy hiểm phần mềm phân tích Phân tích mã độc file tài liệu: Chạy file theo dõi tiến trình thực thi file, có tiến trình tạo file ban đầu chứa mã độc So sánh thay đổi Registry với công cụ Regshot Regshot cho phép so sánh nội dung Registry qua ảnh ghi lại Các điểm khác biệt Registry giúp tìm thơng tin Registry bị thêm, sửa, xóa q trình thực thi mã độc Giả lập mạng Các mã độc phần mềm thông thường cần đến kết nối mạng Để cung cấp môi trường có kết nối mạng có phương pháp chính: • • Kết nối trực tiếp: Mã độc tham gia mạng thực tế, phương pháp có nguy cao gây ảnh hưởng cho hệ thống thực Giả lập mạng: Giả lập mạng vừa cung cấp môi trường kết nối mạng, vừa giảm thiểu tác động tới hệ thống thật Chặn xem gói tin sử dụng Wireshark Wireshark cơng cụ chặn phân tích gói tin hiệu Wireshark có khả phân tích gói tin với nhiều loại giao thức khác Chúng ta sử dụng Wireshark để xem tên miền truy vấn, xem thông tin liệu truyền qua mạng… Lưu ý: • • Wireshark cho phép theo dõi card mạng riêng biệt nên sử dụng cần ý chọn card mạng Wireshark thân có nhiều lỗ hổng cần cài đặt mơi trường an tồn để tránh bị ảnh hưởng tới hệ thống thật Sử dụng INetSIM INetSIM cơng cụ miễn phí chạy Linux, công cụ cung cấp giả lập cho dịch vụ mạng INetSIM cung cấp nhiều dịch vụ mạng Với cơng cụ trên, thực bước để tiến hành q trình phân tích động sau: • Chạy promon thiết lập filter theo tên mã độc • • • • Chạy process explorer Sử dụng Regshot để thu thập trạng thái Thiết lập mạng ảo sử dụng INetSim ApateDNS (Xem hình vẽ bên dưới) Cấu hình ApateDNS để forward toàn truy vấn sang máy ảo Linux cài INetSim Cấu hình chặn phân tích gói tin sử dụng Wireshark Sau thiết lập môi trường xong, ta tiến hành chạy mã độc máy ảo phân tích Sau khoảng thời gian dừng trình giám sát promon thực thu thập trạng thái Regshot Tiếp theo, thực theo dõi số thơng tin: • • • • • • Xem thông tin truy vấn DNS ApateDNS Xem kết từ procmon để biết file hệ thống có thay đổi So sánh hai trạng thái trước sau chạy mã độc Regshot Sử dụng Process Explorer để theo dõi tiến trình giám sát mutex tạo Xem thông tin log INetSim để biết truy vấn dịch vụ chương trình sử dụng Xem thơng tin Wireshark để xem q trình kết nối từ chương trình cần giám sát bên ngồi Chạy thử nghiệm mã độc máy ảo Link mã độc chạy thử nghiệm: https://www.dropbox.com/s/joyq1yl3wsit6mu/Malwares.7z?dl=0 MD5: a5f12bc0f61133c1a38ad3e83dcd0847 MD5: 306b8771fdfa2c0498e67ba28eeddc2d Md5: cd2cba9e6313e8df2c1273593e649682 Đăng ký tài khoản số sanbox https://www.hybrid-analysis.com/ https://valkyrie.comodo.com/ https://any.run/ https://analyze.intezer.com/ http:// index.php?pg=news&cat=alert(document.cookie) ... 306b8771fdfa2c0498e67ba28eeddc2d Md5: cd2cba9e6313e8df2c1273593e649682 Đăng ký tài khoản số sanbox https://www.hybrid -analysis. com/ https://valkyrie.comodo.com/ https://any.run/ https://analyze.intezer.com/ http://