Viện Đào Tạo Quốc Tế Mục Cứng Lục FPT- JETKING Học Viện Mạng Và Phần Lời Cảm Ơn Lời Mở Đầu Chương 1: Tổng quan mã độc 1.1 Mã độc mục đích mã độc 1.1.1 Khái niệm mã độc .6 1.1.2 Mục đích Malware 1.2 Phân loại mã độc chế hoạt động 1.2.1 Virus .7 1.2.2 Worm 1.2.3 Trojan .7 1.2.4 Rootkits Đồ Án ĐỀ TÀI:1.2.6 HỆAdware THỐNG PHÂN TÍCH MÃ ĐỘC TỰ ĐỘNG CUCKOO SANDBOX 1.2.7 Fileless Malware 1.2.5 Spyware 1.2.8 Ransomware 1.3 Tìm hiểu cấu trúc PE file Giảng Viên Hướng Dẫn Thầy Lê Anh Tú 1.4 Các hình thức công mã độc 10 1.4.1 Qua thiết bị lưu trữ .10 Nhóm sinh viên thực 1.4.2 Phát tán qua phần mềm 11 1.4.3 Phát tán qua trang Web 12 Nguyễn Văn Sỹ MSV: JH1907004 1.4.4 Phát tán qua thư điện tử .12 Mai Quốc Bảo MSV: JH18010005 1.4.5 Phát tán qua mạng nội 14 Nguyễn Hữu Chiến MSV: JH1903001 Bùi Khánh Dương MSV: JH18010001 1.4.6 Phát tán qua dịch vụ IM 14 1.5 Các hành vi mã độc .15 1.6 Xu hướng phát triển mã độc .15 Chương 2: Quy trình Phân tích mã độc .17 2.1 Mục đích việc phân tích mã độc 17 2.2 Quy trình phân tích xử lý mẫu mã độc hại 18 2.2.1 Nhận diện hệ thống bị nhiễm mã độc hại khoanh vùng xử lỷ .18 2.2.2 Thu thập mẫu mã độc hại 19 2.2.3 Các kỹ thuật phân tích mã độc 20 Hà Nội: 2021 2.2.4 Viết báo cáo tổng kết hành vi hoạt động mã độc 21 2.2.5 Xử lý mẫu mã độc 21 Chương 3: Giới thiệu Cuckoo Sandbox 21 3.1 Khái niệm Sandbox 21 3.2 Giới thiệu hệ thống Cuckoo Sanbox 22 3.3 Cài đặt Cuckoo Sandbox 23 3.4 Chạy Cuckoo Sanbox 24 3.4.1 Khởi động Virtualbox 24 3.4.2 Khởi động Cuckoo Sandbox .24 3.5 Kiến trúc Cuckoo .25 3.6 Các tính Cuckoo Sandbox 25 Chương 4: Ứng dụng Cuckoo Sandbox phân tích mã độc 26 4.1 Thực phân tích động mã độc Cuckoo Sandbox 26 4.1.1 Mã độc .26 4.1.2 Mã độc .31 KẾT LUẬN 34 TÀI LIỆU THAM KHẢO 34 Lời Cảm Ơn Qua thời gian nghiên cứu hoàn thành đồ án, chúng em hiểu thêm mã độc biết nhiều công cụ phân tích chúng Trong q trình thực đồ án, chúng em nhận giúp đỡ tận tình thầy Lê Anh Tú giúp chúng em hồn thành tốt đồ án học kỳ Vì thời gian làm đồ án hạn hẹp, kiến thức kinh nghiệm chưa nhiều nên khơng tránh khỏi sai sót, mong nhận góp ý thầy bạn Nhóm chúng em xin chân thành cảm ơn! Hà Nội, tháng năm 2021 Nhóm sinh viên Nguyễn Văn Sỹ Mai Quốc Bảo Nguyễn Hữu Chiến Bùi Khánh Dương Lời Mở Đầu Phát tán mã độc (Malware) thực trở thành ngành “công nghiệp ” hoạt động gián điệp phá hoại hệ thống, phần mềm Theo thống kê từ quan, tổ chức, doanh nghiệp chuyên An ninh, an tồn thơng tin, hoạt động phát tán mã độc không tồn nước phát triển mà nước phát triển Việt Nam trở thành mảnh đất màu mỡ cho Hacker công Mã độc phát tán hầu hết quan quan trọng từ quan Chính phủ, Quốc hội tới quan tài ngân hàng, viện nghiên cứu, trường đại học,… Các phần mềm chứa mã độc tồn nhiều hình thức có khả lây lan vơ lớn Khơng dừng lại đó, mã độc lây lan đa tảng không giới hạn máy tính cá nhân mà cịn lây lan sang thiết bị thông minh smartphone Với tốc độ phát triển kinh tế, hầu hết cá nhân sở hữu thiết bị thơng minh hay máy tính cá nhân, môi trường hoạt động dành cho mã độc ngày rộng lớn thiệt hại chúng gây cho vô lớn Theo thống kê Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cố cơng mã độc có chiều hướng gia tăng với thủ đoạn ngày tinh vi Nhằm góp phần hiểu rõ hoạt động hành vi mã độc tác hại việc phát tán mã độc hệ thống, thiết bị thơng minh,… Báo cáo tìm hiểu nghiên cứu “hệ thống phân tích mã độc tự động cuckoo sandbox” Mục tiêu Báo cáo gồm nội dung chính: Chương Tổng quan mã độc: chương giới thiệu vấn đề mã độc vai trị việc phân tích mã độc, mô tả khái quát cấu trúc file PE Windows; hình thức cơng, hành vi mã độc xu hướng phát triển mã độc Chương Quy trình Phân tích mã độc: chương mơ tả mục đích phân tích mã độc quy trình phân tích mã độc Chương Giới thiệu Cuckoo Sandbox: chương giới thiệu mô tả bước q trình phân tích mã độc tìm hiểu Sandbox Chương Ứng dụng Cuckoo Sandbox phân tích mã độc: Áp dụng lý thuyết đưa Chương để phân tích mã độc Phần Kết luận: trình bày tổng hợp kết báo cáo Bài báo cáo đạt số kết khả quan việc nghiên cứu kỹ thuât phân tích mã độc dựa phân tích động, đưa quy trình phân tích Tuy nhiên, báo cáo khơng thể tránh khỏi thiếu sót, nhóm mong nhận ý kiến đóng góp, nhận xét thầy cô giáo để kết báo cáo hoàn thiện Chương 1: Tổng quan mã độc 1.1 Mã độc mục đích mã độc 1.1.1 Khái niệm mã độc Malware, Tiếng Anh từ viết tắt “malicious software”, malware đề cập đến chương trình phần mềm thiết kế để gây hại làm hành động không mong muốn hệ thống máy tính Một định nghĩa ngắn gọn nói lên đầy đủ tính chất malware Malware chất phần mềm phần mềm khác máy tính mà v n sử dụng hàng ngày, có đầy đủ đặc điểm, tính chất phần mềm bình thường khác có thêm tính độc hại (malicious) 1.1.2 Mục đích Malware Malware tạo để khai thác tài ngun máy tính để tìm kiếm lợi nhuận Tài nguyên - Dữ liệu Đây mỏ vàng thực với tin tặc Dữ liệu máy tính cịn có giá trị lớn nhiều máy tính Từ liệu cá nhân - Thông tin đăng nhập, tài khoản: sử dụng để đánh cắp tiền, mạo danh - Ảnh, video: mã hóa để yêu cầu tiền chuộc - Tên, tuổi, địa email, số điện thoại, lịch sử duyệt web: bán cho bên làm quảng cáo - Tài liệu công việc - Tài sản trí tuệ mã nguồn chương trình, thiết kế, ý tưởng kinh doanh - Hoạt động người dùng Đặt quảng cáo chuyển hướng người dùng đến trang quảng cáo để thu phí quảng cáo - Khả tính tốn kết nối Máy tính cỗ máy điện tốn, có kết nối mạng chí cấu hình mạnh với kết nối băng thông rộng Khi chiếm quyền điều khiển tin tặc hồn tồn sử dụng để thực tác vụ địi hỏi khả tính tốn đào bitcoin, cơng DDoS Nếu máy server cung cấp dịch vụ khả khai thác cịn lớn nhiều 1.2 Phân loại mã độc chế hoạt động Việc phân loại thành dịng malware khác cho nhìn hành vi loại malware làm cho việc tìm hiểu malware trở nên dễ dàng Hiện chưa có tiêu chuẩn chung việc phân loại malware Những công ty phát triển phần mềm quét malware thường có cách phân loại riêng mình, có nhiều tài liệu phân loại theo cách khác Nhưng malware phân thành virus, worm trojan dựa hành vi chúng máy tính người dùng 1.2.1 Virus Đây thuật ngữ xuất malware hại máy tính Từ giai đoạn đầu phát triển malware năm 1980 Virus máy tính thuật ngữ lấy từ virus sinh học Cũng virus sinh học, virus máy tính không tồn thành thực thể độc lập, file độc lập mà bám vào thực thể, file Q trình lây nhiễm từ file sang file khác, file bị nhiễm virus chuyển từ máy bị nhiễm sang máy tiến trình lây nhiễm lại lặp lại Trong giai đoạn internet chưa phổ biến gần cách lây nhiễm Hiện có nhiều người, khơng người dùng bình thường mà cảnhững người làm cơng nghệ thơng tin thường sử dụng sai thuật ngữ virus để malware Thực tế virus loại malware 1.2.2 Worm Worm sâu mà sâu tự bị Worm dùng để malware tồn cách độc lập, file độc lập v n có khả tự tạo vào vị trí cần thiết để tiến hành lây nhiễm Đơn giản tạo vào thiết bị lưu trữ (như USB), thư mục chia sẻ LAN từ lây nhiễm sang máy 1.2.3 Trojan Trojan tồn độc lập, file độc lập, khơng có khả lây nhiễm Thông thường trojan lừa người dùng mở kỹ thuật social engineering đặt biểu tượng giống thư mục, file văn bản, file hình ảnh, đặt tên có liên quan đến người dùng “Baocaotaichinh.doc”, “Danhsachcanbo2015.xls” 1.2.4 Rootkits Rootkit thuật ngữ dùng để tập hợp chương trình hay mã lệnh có khả kiểm sốt hệ thống khơng bị phát theo cách bình thường Nói cách khác rootkit mã lệnh hay chương trình có khả kiểm soát cấp độ quản trị phổ thơng hệ thống máy tính mà người dùng khơng khó phát Tuy nhiên rootkit tự lan truyền hay nhân 1.2.5 Spyware Spyware phần mềm gián điệp chuyên thu thập thông tin từ máy chủ (thơng thường mục đích thương mại) qua mạng Internet mà khơng có nhận biết cho phép chủ máy Một cách điển hình, spyware cài đặt cách bí mật phận kèm theo phần mềm miễn phí (freeware) phần mềm chia sẻ (shareware) mà người ta tải từ Internet Một cài đặt, spyware điều phối hoạt động máy chủ Internet lặng lẽ chuyển liệu thông 1.2.6 Adware Adware phần mềm quảng cáo thường hay có chương trình cài đặt tải từ mạng Một số phần mềm vơ hại, số có khả hiển thị thơng tin lên hình, cưỡng chế người dùng 1.2.7 Fileless Malware Fileless malware phần mềm độc hại không chép tệp tin thư mục vào ổ đĩa cứng thực thi, Thay vào đó, liệu độc hại đưa trực tiếp vào nhớ tiến trình chạy mã độc thực thi RAM Việc điều tra số lần vết mã độc trở nên khó khăn nhớ giải phóng máy tính khởi động lại 1.2.8 Ransomware Là mã độc tống tiền bao gồm nhiều lớp phần mềm với chức hạn chế truy cập đến hệ thống máy tính mà lây nhiễm, đòi hỏi khoản tiền cho người tạo mã độc nhằm mục đích xố bỏ việc hạn chế truy cập mà tạo trước Một vài dạng ramsomware mã hoá tệp tin, liệu ổ đĩa cứng (nhằm tống tiền), vài dạng khác đơn giản hơn, chúng khoá hệ thống lại hiển thị thông báo để thuyết phục người bị hại trả tiền 1.3 Tìm hiểu cấu trúc PE file Một bước quan trọng tìm hiểu mã độc tìm hiểu file PE gần mã thực thi nạp Windows có định dạng PE Đây dạng phổ biến bậc mã độc định dạng hay bị lây nhiễm mã độc Định dạng file PE dùng cho file thực thi, mã đối tượng DLL Windows Định dạng cấu trúc liệu bao gồm thông tin cần thiết để Windows OS Loader quản lý mã thực thi Để thực thi máy tính, nội dung file PE chia thành thành phần có mối liên hệ mật thiết với Nắm rõ cấu trúc PE giúp hiểu chế thực thi phần mềm, từ việc tổ chức tới việc nạp lên nhớ, tài nguyên sử dụng… Hơn nữa, muốn sửa đổi file, ví dụ thêm vào số đoạn mã, chỉnh sửa số thành phần muốn phần mềm thực thi bình thường, ví dụ trường hợp cần chỉnh sửa cơng cụ phân tích để tránh bị phát mã độc cần phải nắm rõ cấu trúc PE file mối liên hệ thành phần file để nhanh chóng thay đổi file thoả mãn yêu cầu đề mà không ảnh hưởng tới chức hoạt động file Mặt khác, mã sử dụng kỹ thuật tiêm mã vào tiền trình có để che giấu tồn hệ thống, không hiểu rõ cấu trúc file PE khó tìm tiến trình bị tiêm mã độc Hình 2.1 Cấu trúc PE Cấu trúc PE gồm nhiều section, tối thiểu cần section: data code Một số section thông dụng hay gặp phần mềm : Executable Code Section, có tên text (Microsoft) Data Sections, có tên data, rdata, bss (Microsoft) hay DATA (Borland) Resources Section, có tên rsrc Export Data Section, có tên edata Import Data Section có tên idata Debug Information Section, có tên debug Cấu trúc section nhớ ổ đĩa nhau, nhiên nạp lên nhớ, Windows loader định thứ tự vị trí nạp phần, vị trí phần ổ đĩa nhớ có khác biệt 1.4 Các hình thức cơng mã độc Hiện có nhiều hình thức phát tán mã độc hại, thơng qua email, thông qua phần mềm gắn mã độc vào bên trong, thông qua đường link trang web, thông qua việc chia sẻ file USB… 1.4.1 Qua thiết bị lưu trữ Cách phát tán phổ biến mã độc trước qua thiết bị lưu trữ di động, dù thời sử dụng đĩa mềm hay thẻ nhớ USB ngày Hiện tại, thẻ nhớ thiết bị di động thông minh, hay thiết bị ghi âm, ghi hình kỹ thuật số vật trung gian hiệu cho việc lan truyền mã độc Các thiết bị di động thông minh hay phải nạp pin phương thức nạp pin qua cổng USB lại tiện dụng, điều tiềm ẩn nguy lớn cho việc lây truyền mã độc Một số dạng phát tán điển hình qua USB: - Lợi dụng chức Autorun: Khi thiết bị lưu trữ có sử dụng giao tiếp USB cắm vào máy tính nhiễm mã độc, mã độc phát thiết bị lây nhiễm được, sau tự chép thân vào vị trí bí mật thiết bị Tiếp theo, ghi file autorun.inf có nội dung sau: [Autorun] OPEN = Đường dẫn virus đĩa USB Từ Windows Vista trở trước, Windows kiểm tra tập tin autorun.inf thiết bị USB thực thi câu lệnh có - Đánh lừa người dùng: Trong nhiều trường hợp, lây nhiễm sử dụng tập tin Autorun khơng hiệu quả, ví dụ từ hệ điều hành Windows trở sau, chức khơng cịn hoạt động Mã độc chuyển sang sử dụng cách đánh lừa người dùng để thực thi file mã độc lây nhiễm thẻ nhớ USB Có thể kể đến như:  Ẩn thư mục USB thay vào tập tin mã độc có hình thư mục với tên tương tự thư mục tồn ban đầu Với cách này, mã độc dễ dàng lừa người dùng khởi chạy hệ thống tắt chức hiển thị file ẩn phần mở rộng file  Chuyển file doc, docx người dùng vào vị trí bí mật thẻ nhớ USB thay vào file mã độc có tên hình đại diện (icon) file doc, docx Đồng thời sử dụng khoảng trắng để kéo dài tên file tối đa, làm người dùng có để tên file có khả cao bị đánh lừa  Ví dụ: Tập tin doc gốc: Baocaothuctap.doc Tập tin mã độc: Baocaothuctap.doc.exe Vì tên tập tin dài nên Windows rút ngắn lại hiển thị để dấu “ ” cuối cùng, thể tên văn tiếp tục Nhưng người dùng dễ dàng bỏ qua thể nhìn lướt với tên hiển thị nên dễ dàng bị đánh lừa Cả cách người dùng thơng thường khó nhận lỡ khởi chạy nhầm phải mã độc, đạt mục đích lây nhiễm, mã độc mở thư mục tập tin bình thường cho người dùng Thậm chí, nhiều trường hợp, mã độc cịn khơi phục lại thẻ nhớ USB chưa bị nhiễm để tránh phát 1.4.2 Phát tán qua phần mềm Các phần mềm viết có chứa sẵn mã độc, phần mềm thống bị sửa đổi để thêm mã độc vào phát tán tràn lan mạng Internet Các phần mềm Crack (bẻ khóa) có tỉ lệ chứa mã độc cao Nhiều chủ quan hay muốn dùng phần mềm mà trả tiền, người dùng sẵn sàng bất chấp nguy bị lây nhiễm mã độc để dùng phần mềm 10 kỹ thuật phân tích động tiến hành hầu hết người mà không cần hiểu biết sâu lập trình, khơng hiệu với tất loại malware bỏ sót hành vi quan trọng 2.2.3.4 Phân tích động nâng cao Phân tích động nâng cao sử dụng chương trình debugger để kiểm tra trạng thái malware thực thi Phân tích động nâng cao cung cấp cách khác để trích xuất thơng tin chi tiết từ file thực thi Những kỹ thuật phân tích hữu dụng muốn thu nhận thông tin mà khó lấy kỹ thuật khác 2.2.4 Viết báo cáo tổng kết hành vi hoạt động mã độc Viết báo cáo cần trả lời câu hỏi sau Tên malware / họ ? Mã hash ? Dung lượng ? Malware nằm đâu máy ? Malware kết nối tới đâu ? Manlware làm ? 2.2.5 Xử lý mẫu mã độc Tìm signature mã độc hại phương pháp diệt mã độc hại Trong bước thực hiện: • Tìm đặc điểm nhận diện mã độc hại hệ thống sau phân tích (ví dụ offset chứa chuỗi string nào, giá trị MD5 file…) • Đề phương án khắc phục hệ thống bị nhiễm mã độc hại • Tìm phương án diệt nó, nắm hành tự viết script xóa mã độc hại hệ thống Chương 3: Giới thiệu Cuckoo Sandbox 3.1 Khái niệm Sandbox • Theo nghĩa đen : Sandbox khung, trung bình khoảng 1-2, chứa đầy cát (sand = cát; box = đóng khung) Theo lịch sử người Hy Lạp cổ dùng nháp, dùng que vạch chữ cát, tính tốn xong việc xóa làm 20 • Trong ngành IT (Công nghệ thông tin): Sandbox định nghĩa kỹ thuật quan trọng lĩnh vực bảo mật Nó có tác dụng làm lập ứng dụng, ngăn chặn phần mềm độc hại để chúng hội cơng vào phần mềm máy tính, cài cắm mã độc nhằm ăn cắp thơng tin cá nhân người khác ăn cắp thông tin quan trọng từ quan nhà nước tới quốc hội, phủ Hiện Sandbox thường cài vào máy chủ PC hay máy chủ tổ chức, doang nghiệp có nhu cầu sử dụng nhằm âm thầm bảo vệ thông tin khỏi nguy bị kẻ xấu công 3.2 Giới thiệu hệ thống Cuckoo Sanbox Cuckoo Sandbox phần mềm mã nguồn mở cho phép phân tích mã độc cách tự động Cuckoo Sandbox tập mã kịch viết ngôn ngữ 21 Python, cho phép gắn thêm thành phần để phân tích mã độc cách đưa chúng vào mơi trường ảo hố theo dõi hành vi Trong báo cáo triển khai Cuckoo Sandbox hệ điều hành Ubuntu 20.4 dùng máy ảo VirtualBox làm mơi trường phân tích 3.3 Cài đặt Cuckoo Sandbox Các bước cài đặt Cuckoo Sandbox môi trường Ubuntu kết hợp với máy ảo VirtualBox Cuckoo Sandbox phát triển Python dử dụng thành phần MongoDB, Yara, SSDEEP, Tcpdump,… a) Cài đặt Python libraries (Python 2.7) $ sudo apt-get install python python-pip python-dev libffi-dev libssl-dev $ sudo apt-get install python-virtualenv python-setuptools $ sudo apt-get install libjpeg-dev zlib1g-dev swig b) Cài đặt MongoDB, PostgreSQL $ sudo apt-get install mongodb $ sudo apt-get install postgresql libpq-dev c) Cài đặt VirtualBox 6.1 sudo apt-get install -y virtualbox d) Cài đặt Tcpdump (Chỉnh sửa quyền cho Tcpdump để Cuckoo thực với quyền khơng phải quyền quản trị) sudo apt-get install -y tcpdump libcap2-bin apparmor-utils sudo groupadd pcap sudo usermod -a -G pcap cuckoo sudo chgrp pcap /usr/sbin/tcpdump sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump getcap /usr/sbin/tcpdump sudo aa-disable /usr/sbin/tcpdump e) Cài đặt Volatility 2.6 pip install openpyxl pip install ujson pip install pycrypto pip install distorm3 pip install pytz git clone https://github.com/volatilityfoundation/volatility.git cd volatility python setup.py build python setup.py install f) Cài đặt Cuckoo Sandbox sudo useradd cuckoo ;tạo tài khoản 22 sudo usermod -a -G vboxusers cuckoo ;tài khoản chạy cuckoo tài khoản virtualbox phải đồng id cuckoo sudo pip install -U pip setuptools sudo pip install -U cuckoo ;kiểm tra tài khoản ;tải cài đặt cuckoo 3.4 Chạy Cuckoo Sanbox 3.4.1 Khởi động Virtualbox - Khởi động Virtualbox: $ virtualbox Máy ảo cuckoo1 tạo sử dụng hệ điều hành Window sau khởi động tạo snapshot đặt tên Snapshot1 dùng q trình phân tích để trở trạng thái ban đầu trước Cuckoo Sandbox thực q trình phân tích 3.4.2 Khởi động Cuckoo Sandbox - Thực việc khởi động Cuckoo Sandbox với câu lệnh: cuckoo - Khởi động hệ thống giao diện web phân tích Cuckoo Sandbox - Giao diện hệ thống web phân tích tự động mã độc Cuckoo Sandbox: - Để thực việc phân tích file chọn mục SUBMIT A FILE FOR ANALYSIS sau chọn file để thực phân tích hay phân tích URLs/Hashes điền đường dẫn trang web chứa file phân tích vào khung SUBMIT URLS/HASHES 23 3.5 Kiến trúc Cuckoo Cuckoo sandbox phân tích malware Cho phép thực thi malware môi trường máy ảo, ngồi cịn cho phép phân tích mơi trường máy thật Kiến trúc cuckoo theo mơ hình máy ảo thật bao gồm host guest - Máy host máy cài chương trình ảo hóa virtualbox hay vmware - Máy guest máy tính cài hệ điều hành dành cho việc thực thi malware Có thể máy ảo máy vật lý Máy chủ chạy thành phần cốt lõi hộp Sanbox quản lý tồn q trình phân tích, máy guest mơi trường biệt lập nơi mẫu phần mềm độc hại thực thi phân tích cách an tồn 3.6 Các tính Cuckoo Sandbox Cuckoo Sandbox thu thập liệu như: - Dấu vết hàm API gọi tất tiến trình mã độc sinh - Các tập tin tạo, xóa, sửa, tải xuống mã độc suốt trình thực thi chúng - Trích xuất tồn bộ nhớ (memory dump) tiến trình - Trích xuất toàn bộ nhớ hệ thống 24 - Theo vết việc truyền tải liệu theo định dạng PCAP - Phân tích liệu trích xuất - Phân tích một/nhiều URL Cuckoo Sandbox hỗ trợ giao diện dòng lệnh giao diện đồ họa web - Ghi dấu hàm API Windows gọi - Sao chép tập tin tạo tập tin bị xóa khỏi hệ thống - Lưu nhớ tiến trình mã độc nhớ tồn hệ thống để phân tích (kết hợp với cơng cụ Volatility) - Chụp ảnh hình suốt trình thực thi mã độc - Theo vết lưu kết nối mạng để phân tích Chương 4: Ứng dụng Cuckoo Sandbox phân tích mã độc 4.1 Thực phân tích động mã độc Cuckoo Sandbox 4.1.1 Mã độc - Thông tin về mã độc Locky Ransomware: Thông tin mã độc Locky Ransomware - Kết tổng quan mục phân tích tĩnh: 25 Tổng quan phân tích tĩnh Kết phân tích tĩnh Cuckoo Sandbox chứa thông tin đoạn mã, ký tự, thư viện, hàm API thực thi mã độc, cấu trúc PE file hay phần mềm pack mã độc hình Thơng tin phần mềm Pack số section PE file mã độc 26 Một số thư viện, hàm API mã độc - Kết tổng quan mục phân tích động: Tổng quan mục phân tích động 27 Ta thấy mục Process tree hình có đường dẫn tới thư mục chứa mã độc Locky Ransomware thực thi máy ảo cuckoo1: “C:/Users/demo/AppData/Local/Temp/Locky.exe” Ngồi cịn có mục: default, registry, file, network, process, services, synchroisation, iexplore, office, pdf - Các khoá Registry bị mã độc tác động: Hầu hết mẫu phân tích, cho thấy khóa Registry tạo chương trình Ransomware cài đặt Các biến thể Ransomware sửa đổi nhiều giá trị Registry (như hình): Các khố Registry bị tác động - Hệ thống mạng (network) bị mã độc tác động 28 Hệ thống mạng bị mã độc tác động Kết cho thấy mã độc kết nối với nhiều địa từ xa đây: • http://nfypyprry.fr • http://buvyhlubailn.pw • http://okvsrgnxujuymxw.nl • http://86.104.134.144 • http://qnhcuigk.eu • http://idwykoy.yt - Những thay đổi hoạt động hệ thống tệp tin (File System) Nhiều tệp tin đọc, sửa đổi, tạo xóa q trình thực thi Ransomware Tất họ Ransomware phân tích sửa đổi tệp PIPE\lsarpc Giao diện PIPE\lsarpc thường kết nối với hệ thống Local Security Authority (LSASS) 29 Tệp PIPE\lsarpc bị sửa đổi - URLs tìm thấy Process Memory mã độc URLs tìm thấy Process Memory mã độc 4.1.2 Mã độc - Thông tin về mã độc njRAT: 30 Thông tin mã độc njRAT - Kết tổng quan mục phân tích tĩnh: Tổng quan phân tích tĩnh Kết phân tích tĩnh Cuckoo Sandbox chứa thông tin đoạn mã, ký tự, thư viện, hàm API thực thi mã độc, cấu trúc PE file hay phần mềm pack mã độc hình Thơng tin phần mềm Pack số section PE file mã độc 31 Một số thư viện, hàm API mã độc - Kết tổng quan mục phân tích động: Ta thấy mục Process tree hình có đường dẫn tới thư mục chứa mã độc njRAT thực thi máy ảo cuckoo1: “C:/Users/admin/AppData/Local/Temp/Server.exe” Ngồi cịn có mục: default, registry, file, network, process, services, synchroisation, iexplore, office, pdf - Các khoá Registry bị mã độc tác động: 32 Hầu hết mẫu phân tích, cho thấy khóa Registry tạo chương trình njRAT cài đặt Các biến thể njRAT sửa đổi nhiều giá trị Registry: Các khoá Registry bị tác động - Hệ thống mạng (network) bị mã độc tác động Hệ thống mạng bị mã độc tác động Kết cho thấy mã độc kết nối với địa từ xa đây: 10.88.88.99 KẾT LUẬN  Kết đạt Nội dung báo cáo trình bày loại mã độc nay, hình thức cơng mã độc, giới thiệu Sandbox Dựa vào hình thức cơng hành vi mã độc, báo cáo trình bày phương pháp phân tích mã độc Trong đó, sâu nghiên cứu phân tích phương pháp phân tích động Từ đưa mơi trường phù hợp dùng để phân tích mã độc đưa cơng cụ hỗ trợ phân tích mã độc dựa phân tích động Và cuối báo cáo mơ việc phân tích hành vi mã độc hệ thống thực tế Kết thu đưa kết luận tập tin hay địa URL xác định có thực thực hành vi hệ thống người dùng, từ dựa hiểu biết cán làm an tồn thơng tin, phân tích đánh giá để kết luận mã độc phân tích  Hướng nghiên cứu Đối với việc nghiên cứu tương lai, nhóm nghiên cứu phương pháp để cải thiện tốc độ phân tích hệ thống đào sâu kết đạt được, đồng thời phát phân tích mã độc có chế ẩn sâu nhân hệ thống 33 TÀI LIỆU THAM KHẢO [1] Doc Cuckoo Sanbox v2.7, from https://cuckoo.sh/docs/ [2] Giáo trình phân tích mã độc hại, Thầy Nguyễn Minh Vương cung cấp [3] Ngô Quang Hưng (2014) “Nghiên cứu phương pháp phân tích phần mềm mã độc” [4] Cộng đồng C Việt (2015), “Sandbox gì? Giải thích khái niệm Sandbox?” from kenhsinhvien.vn [5] “Giáo trình mã độc”, from http://forum.actvn.edu.vn/posts/t51338-Giaotrinh-ma-doc 34