tài liệu nghiên cứu về malware và phương pháp phòng chống, Các hình thức tấn công mạng phổ biến, Giải pháp chống tấn công mạng cơ bản, Phân loại một số malware thông dụng.Công nghệ phân tích mã độc - Nhóm công cụ hỗ trợ phát hiện mã độc
- - CHỦ ĐỀ: NGHIÊN CỨU VỀ MALWARE VÀ PHƯƠNG PHÁP PHỊNG CHỐNG Họ tên: Hồng Thế Kỳ Email: kyht1@fsoft.com.vn SĐT: 0973.608.148 Hà Nội, ngày 03 tháng 09 năm 2019 Nội dung I: Cơ sở tổng quan lý thuyết 1.Tổng quan Tấn công mạng - Tấn cơng mạng ? - Các đối tượng bị công - Mục đích cơng mạng - Hacker Các hình thức cơng mạng phổ biến Giải pháp chống công mạng Tìm hiểu mã độc hại Malware Định nghĩa Phân loại số malware thông dụng Cách thức lây nhiễm malware 11 3: Tổng quan mã độc Malware 15 Phân tích mã độc malware 15 Các loại mã nhận diện chính: .15 Công nghệ phân tích mã độc 15 Một số quy tắc phân tích mã độc Malware 17 Cơng nghệ phân tích mã độc 18 Nhóm cơng cụ hỗ trợ phát mã độc 18 Công cụ quét Online sanboxes .18 Công cụ Deobfuscation .19 Công cụ gỡ rối (Debugging) dịch ngược (Reverse Engineering) .19 Điều tra nhớ 20 Phân tích gói tin 20 Phân tích website 20 5: Phương pháp phân tích mã độc 21 + Môi trường phân tích mã độc 21 6: Security Operation Center – SOC 24 Tài liệu tham khảo 25 I: Cơ sở tổng quan lý thuyết 1.Tổng quan Tấn công mạng - Tấn công mạng ? Tấn cơng mạng (hoặc cơng khơng gian mạng) Cyber attack (hoặc Cyberattack) Tấn công mạng tất hình thức xâm nhập trái phép vào hệ thống máy tính, website, sở liệu, hạ tầng mạng, thiết bị cá nhân tổ chức thơng qua mạng internet với mục đích bất hợp pháp Mục tiêu công mạng đa dạng, vi phạm liệu (đánh cắp, thay đổi, mã hóa, phá hủy), nhắm tới tồn vẹn hệ thống (gây gián đoạn, cản trở dịch vụ), lợi dụng tài nguyên nạn nhân (hiển thị quảng cáo, mã độc đào tiền ảo) Tấn công mạng khác với pentest (kiểm thử xâm nhập) Mặc dù việc xâm nhập vào hệ thống, nhiên công mạng xâm nhập trái phép gây hại cho nạn nhân, cịn pentest xâm nhập với mục đích tìm điểm yếu bảo mật hệ thống để khắc phục - Các đối tượng bị cơng Có thể cá nhân, doanh nghiệp, tổ chức phủ phi phủ, quan nhà nước, chí đối tượng quốc gia Tuy nhiên, đối tượng phổ biến cơng mạng doanh nghiệp Đơn giản mục tiêu kẻ cơng lợi nhuận - Mục đích cơng mạng Bên cạnh mục đích phổ biến trục lợi phi pháp, tống tiền doanh nghiệp, thị quảng cáo kiếm tiền, cịn tồn số mục đích khác phức tạp nguy hiểm hơn: cạnh tranh không lành mạnh doanh nghiệp, công an ninh kinh tế quốc gia, công đánh sập tổ chức tơn giáo, v.v Ngồi ra, số hacker công mạng để mua vui, thử sức, tò mò muốn khám phá vấn đề an ninh mạng - Hacker Những kẻ công mạng gọi Cyber-crime (tội phạm mạng) Các hacker người có kiến thức chuyên sâu an ninh mạng, khoa học máy tính, khoa học mật mã, sở liệu… kiến thức hacker đánh giá sâu rộng kỹ sư CNTT thông thường Hacker mũ đen Hacker mũ trắng Hacker thực công tổ chức với mục đích xấu, nên gọi Hacker mũ đen Hacker mũ trắng có mục đích tốt Khi họ xâm nhập thành công vào hệ thống tổ chức, họ thường cố gắng liên hệ với tổ chức để thơng báo khơng an tồn hệ thống Các hình thức cơng mạng phổ biến - Tấn công phần mềm độc hại (Malware attack) Tấn cơng malware hình thức phổ biến Malware bao gồm spyware (phần mềm gián điệp), ransomware (mã độc tống tiền), virus worm (phần mềm độc hại có khả lây lan nhanh) Thông thường, tin tặc công người dùng thông qua lỗ hổng bảo mật, dụ dỗ người dùng click vào đường link email (phishing) để phần mềm độc hại tự động cài đặt vào máy tính Một cài đặt thành công, malware gây ra: - Ngăn cản người dùng truy cập vào file folder quan trọng (ransomware) - Cài đặt thêm phần mềm độc hại khác - Lén lút theo dõi người dùng đánh cắp liệu (spyware) - Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống - Tấn công giả mạo (Phishing attack) Phishing hình thức giả mạo thành đơn vị/cá nhân uy tín để chiếm lịng tin người dùng, thơng thường qua email Mục đích cơng Phishing thường đánh cắp liệu nhạy cảm thông tin thẻ tín dụng, mật khẩu, đơi phishing hình thức để lừa người dùng cài đặt malware vào thiết bị (khi đó, phishing cơng đoạn công malware) - Tấn công trung gian (Man-in-the-middle attack) Tấn công trung gian (MitM), hay công nghe lén, xảy kẻ công xâm nhập vào giao dịch/sự giao tiếp đối tượng Khi chen vào thành cơng, chúng đánh cắp liệu giao dịch Loại hình xảy khi: Nạn nhân truy cập vào mạng Wifi cơng cộng khơng an tồn, kẻ cơng “chen vào giữa” thiết bị nạn nhân mạng Wifi Vơ tình, thơng tin nạn nhân gửi rơi vào tay kẻ công Khi phần mềm độc hại cài đặt thành công vào thiết bị, kẻ cơng dễ dàng xem điều chỉnh liệu nạn nhân - Tấn công từ chối dịch vụ (DoS DDoS) DoS (Denial of Service) hình thức cơng mà tin tặc “đánh sập tạm thời” hệ thống, máy chủ, mạng nội Để thực điều này, thường tạo lượng traffic/request khổng lồ thời điểm, khiến cho hệ thống bị tải, từ người dùng khơng thể truy cập vào dịch vụ khoảng thời gian mà công DoS diễn Một hình thức biến thể DoS DDoS (Distributed Denial of Service): tin tặc sử dụng mạng lưới máy tính (botnet) để cơng nạn nhân Điều nguy hiểm máy tính thuộc mạng lưới botnet thân bị lợi dụng để làm công cụ công - Tấn công sở liệu (SQL injection) Tin tặc “tiêm” đoạn code độc hại vào server sử dụng ngôn ngữ truy vấn có cấu trúc (SQL), mục đích khiến máy chủ trả thông tin quan trọng mà lẽ không tiết lộ Các công SQL injection xuất phát từ lỗ hổng website, đơi tin tặc cơng cách chèn đoạn mã độc vào công cụ “Tìm kiếm” cơng website - Khai thác lỗ hổng Zero-day (Zero day attack) Lỗ hổng Zero-day (0-day vulnerabilities) lỗ hổng bảo mật chưa công bố, nhà cung cấp phần mềm chưa biết tới, dĩ nhiên, chưa có vá thức Chính thế, việc khai thác lỗ hổng “mới lị” vơ nguy hiểm khó lường, gây hậu nặng nề lên người dùng cho nhà phát hành sản phẩm Giải pháp chống công mạng + Đối với cá nhân Bảo vệ mật cá nhân cách: đặt mật phức tạp, bật tính bảo mật lớp – xác nhận qua điện thoại… - Hạn chế truy cập vào điểm wifi công cộng - Khơng sử dụng phần mềm bẻ khóa (crack) - Luôn cập nhật phần mềm, hệ điều hành lên phiên - Cẩn trọng duyệt email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo - Tuyệt đối không tải file nhấp vào đường link không rõ nguồn gốc - Hạn chế sử dụng thiết bị ngoại vi (USB, ổ cứng) dùng chung - Sử dụng phần mềm diệt Virus uy tín + Đối với tổ chức, doanh nghiệp - Xây dựng sách bảo mật với điều khoản rõ ràng, minh bạch - Lựa chọn phần mềm, đối tác cách kỹ Ưu tiên bên có cam kết bảo mật cam kết cập nhật bảo mật thường xuyên - Tuyệt đối không sử dụng phần mềm crack - Luôn cập nhật phần mềm, firmware lên phiên - Sử dụng dịch vụ đám mây cho mục đích lưu trữ - Đánh giá bảo mật & Xây dựng chiến lược an ninh mạng tổng thể cho doanh nghiệp, bao gồm thành phần: bảo mật website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hành… - Tổ chức buổi đào tạo, training kiến thức sử dụng internet an toàn cho nhân viên Tìm hiểu mã độc hại Malware Định nghĩa - Mã độc hại (Malware) định nghĩa “một chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống” Định nghĩa bao hàm nhiều thể loại như: worm, trojan, spy-ware, chí virus cơng cụ để công hệ thống mà hacker thường sử dụng như: backdoor, rootkit, key-logger, kali linux, shell Phân loại số malware thông dụng Virus Virus loại mã độc hại (Maliciuos code) có khả tự nhân lây nhiễm vào file, chương trình máy tính Như virus ln ln bám vào vật chủ (đó file liệu file ứng dụng) để lây lan qua môi trường inetnet, thiết bị ngoại vi Các chương trình diệt virus dựa vào đặc tính để thực thi việc phịng chống diệt virus, để quét file thiết bị lưu, quét file trước lưu xuống ổ cứng, đơi phần mềm diệt virus PC đưa thông báo “phát virus khơng diệt được” thấy có dấu hiệu hoạt động virus PC, “vật mang virus” lại nằm máy khác nên thực thi việc xố đoạn mã độc hại Compiled Virus Compiled Virus virus mà mã thực thi dịch hồn chỉnh trình biên dịch để thực thi trực tiếp từ hệ điều hành Các loại boot virus (Michelangelo Stoned), file virus (như Jerusalem) phổ biến năm 80 virus thuộc nhóm này, compiled virus pha trộn boot virus va file virus phiên Interpreted Virus Interpreted Virus tổ hợp mã nguồn, mã thực thi hỗ trợ ứng dụng cụ thể dịch vụ cụ thể hệ thống virus tập lệnh, ứng dụng gọi thực thi Macro virus, scripting virus virus nằm dạng Macro virus phổ biến ứng dụng Microsoft Office tận dụng khả kiểm soát việc tạo mở file để thực thi lây nhiễm Sự khác macro virus scripting virus là: macro virus tập lệnh thực thi ứng dụng cụ thể, scripting virus tập lệnh chạy service hệ điều hành Worm Worm chương trình có khả tự nhân tự lây nhiễm hệ thống nhiên có khả “tự đóng gói”, có nghĩa worm khơng cần phải có “file chủ” để mang nhiễm vào hệ thống Như chương trình qt file khơng diệt worm hệ thống worm khơng “bám” vào file vùng đĩa cứng Mục tiêu worm làm lãng phí nguồn lực băng thơng mạng phá hoại hệ thống xoá file, tạo backdoor, thả keylogger Tấn cơng worm có đặc trưng lan rộng nhanh chóng khơng cần tác động người (như khởi động máy, copy file hay đóng/mở file) Worm chia làm loại: - Network Service Worm lan truyền cách lợi dụng lỗ hổng bảo mật mạng, hệ điều hành ứng dụng Sasser ví dụ cho loại sâu - Mass Mailing Worm dạng công qua dịch vụ mail, nhiên tự đóng gói để cơng lây nhiễm không bám vào vật chủ email Khi sâu lây nhiễm vào hệ thống, thường cố gắng tìm kiếm sổ địa tự gửi thân đến địa thu nhặt Việc gửi đồng thời cho toàn địa thường gây tải cho mạng cho máy chủ mail Netsky, Mydoom ví Trojan Horse Trojan Horse loại mã độc hại đặt theo tích “Ngựa thành Troa” Trojan horse khơng tự nhân nhiên lây vào hệ thống với biểu ơn hồ thực chất bên có ẩn chứa đoạn mã với mục đích gây hại Trojan lựa chọn phương thức để gây hại: - Tiếp tục thực thi chức chương trình mà bám vào, bên cạnh thực thi hoạt động gây hại cách riêng biệt (ví dụ gửi trò chơi dụ cho người dùng sử dụng, bên cạnh chương trình đánh cắp password) - Tiếp tục thực thi chức chương trình mà bám vào, sửa đổi số chức để gây tổn hại (ví dụ trojan giả lập cửa sổ login để lấy password) che dấu hành động phá hoại khác (ví dụ trojan che dấu cho tiến trình độc hại khác cách tắt hiển thị hệ thống) - Thực thi ln chương trình gây hại cách núp danh chương trình khơng có hại (ví dụ trojan giới thiệu chò chơi tool mạng, người dùng cần kích hoạt file liệu PC bị xoá hết) Attacker Tool Attacker Tool công cụ cơng sử dụng để đẩy phần mềm độc hại vào hệ thống Các công cụ có khả giúp cho kẻ cơng truy nhập bất hợp pháp vào hệ thống làm cho hệ thống bị lây nhiễm mã độc hại Khi tải vào hệ thống đoạn mã độc hai, attacker tool phần đoạn mã độc (ví dụ trojan) tải vào hệ thống sau nhiễm Phishing Phishing hình thức cơng thường xem kết hợp với mã độc hại Phishing phương thức dụ người dùng kết nối sử dụng hệ thống máy tính giả mạo nhằm làm cho người dùng tiết lộ thơng tin bí mật danh tính (ví dụ mật khẩu, số tài khoản, thông tin cá nhân ) Kẻ công phishing thường tạo trang web email có hình thức giống hệt trang web email mà nạn nhân thường hay sử dụng trang Ngân hàng, công ty phát hành thẻ tín dụng, Email trang web giả mạo đề nghị nạn nhân thay đổi cung cấp thơng tin bí mật tài khoản, mật khẩu, Các thông tin sử dụng để trộm tiền trực tiếp tài khoản sử dụng vào mục đích bất hợp pháp khác Virus Hoax Virus Hoax cảnh báo giả virus Các cảnh bảo giả thường núp dạng yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu cảnh báo virus giả cố gắng lôi kéo người gửi cảnh báo nhiều tốt qua email Bản thân cảnh báo giả không gây nguy hiểm trực tiếp thư gửi để cảnh báo chứa mã độc hại cảnh báo giả có chứa dẫn thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống Kiểu cảnh báo giả gây tốn thời gian quấy rối phận hỗ trợ kỹ thuật có nhiều người gọi đến yêu cầu dịch vụ Adware Adware loại phần mềm độc hại tải xuống hiển thị pop-up quảng cáo thiết bị người dùng Thông thường, Adware không lấy cắp liệu từ hệ thống, buộc người dùng phải xem quảng cáo mà họ không muốn hệ thống Một số hình thức quảng cáo gây khó chịu cho người dùng tạo pop-up trình duyệt mà khơng thể đóng lại Đơi người dùng tự lây nhiễm adware cài đặt mặc định tải ứng dụng khác mà không hay biết 10 Backdoor Backdoor chương trình bí mật truy cập thiết bị hay hệ thống mạng người dùng Thông thường, nhà sản xuất thiết bị hay phần mềm tạo backdoor sản phẩm họ cố ý để nhân viên công ty xâm nhập vào hệ thống thông qua việc thực hành mã hóa Backdoor cài đặt phần mềm độc hại khác virus rootkit 11 Browser hijacker Browser hijacker, hay gọi Hijackware làm thay đổi hành vi trình duyệt web, Các Attacker thường kiếm tiền từ loại phần mềm độc qua việc nhận phí quảng cáo Họ sử dụng trình duyệt bị cơng để chuyển hướng người dùng tới trang web tải phần mềm độc hại vào hệ thống 12 Keylogger Keylogger trình theo dõi thao tác bàn phím ghi lại tất phím mà người dùng nhấn vào, bao gồm email, tài liệu password nhập cho mục đích định Thơng thường, kẻ cơng thường dùng loại phần mềm độc để lấy mật đột nhập vào hệ thống mạng account người dùng Tuy nhiên, nhà tuyển dụng sử dụng keylogger để xác định xem nhân viên họ có hành vi phạm tội hệ thống công ty 13 Ransomware Đây cách gọi tên dạng mã độc có tính nguy hiểm cao độ nhân viên văn phịng, mã hóa tồn file word, excel tập tin khác máy tính bị nhiễm làm cho nạn nhân mở file 10 Các thành viên Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn phương pháp đáng tin cậy nhằm bảo vệ liệu nhạy cảm Tội phạm mạng lợi dụng công nghệ tạo chương trình độc hại để mã hóa liệu người dùng Một liệu bị mã hóa có chìa khóa đặc biệt bí mật giải mã Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật Nguy hiểm chỗ, chìa khóa bí mật giải mã phục hồi liệu 14 Rootkit Rootkit loại malware nguy hiểm chúng cho phép kẻ cơng có quyền truy cập cấp admin vào hệ thống mà người dùng không hay biết Khi kẻ công truy cập vào hệ thống, chúng làm điều với hệ thống, gồm hoạt động ghi âm, thay đổi cài đặt hệ thống, truy cập liệu công lên hệ thống khác Các công tiếng Stuxnet Flame hai ví dụ điển hình rootkit 15 Spyware Phần mềm gián điệp Spyware loại phần mềm thu thập thông tin người dùng mà họ không hay biết đồng ý Ví dụ, website bật cookies theo dõi trình duyệt web người dùng coi hình thức Spyware Các loại phần mềm Spyware khác ăn cắp thơng tin cá nhân doanh nghiệp Đơi khi, quan phủ lực lượng cảnh sát sử dụng phần mềm gián điệp để điều tra nghi phạm phủ nước Cách thức lây nhiễm malware Qua thiết bị lưu trữ di động USB, đĩa DVD, CD, thẻ nhớ, ổ cứng di động, điện thoại… thiết bị lưu trữ di động phổ biến Khi kết nối thiết bị số, thiết bị lưu trữ trực tiếp vào máy tính Virus có sẵn thiết bị lưu trữ tự động chép sang máy tính bạn theo chế sau: Virus thường tạo tệp autorun.inf thư mục gốc USB hay đĩa mềm bạn Khi phát có thiết bị lưu trữ cắm vào (USB, CD, Floppy Disk… ), Window mặc định kiểm tra tệp autorun.inf nằm đó, có tự động thực dòng lệnh theo cấu trúc xếp trước Tệp autorun.inf thơng thường có nội dung: 11 [autorun] Open=virus.exe Icon=diskicon.ico Câu lệnh tự động thực thi tệp có tên virus.exe (tệp virus) thiết lập icon ổ đĩa diskicon.ico Những tệp nằm thư mục gốc thiết bị lưu trữ Qua thư điện tử Khi mà thư điện tử (e-mail) sử dụng rộng rãi giới virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho cách lây nhiễm truyền thống Khi lây nhiễm vào máy nạn nhân, virus tự tìm danh sách địa thư điện tử sẵn có máy tự động gửi hàng loạt (mass mail) cho địa tìm thấy Nếu chủ nhân máy nhận thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến địa gửi Chính số lượng phát tán tăng theo cấp số nhân khiến cho thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, làm tê liệt nhiều quan toàn giới thời gian ngắn Khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt virus khắc phục hành động tự gửi nhân hàng loạt để phát tán đến địa khác danh bạ máy nạn nhân chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus nguồn địa sưu tập trước Phương thức lây nhiễm qua thư điển tử bao gồm: Lây nhiễm vào file đính kèmtheo thư điện tử (attached mail) Khi người dùng khơng bị nhiễm virus file đính kèm bị nhiễm virus kích hoạt (do đặc điểm virus thường “trá hình” tiêu đề hấp dẫn sex, thể thao hay quảng cáo bán phần mềm với giá vô rẻ) Lây nhiễm mở liên kết thư điện tử Các liên kết thư điện tử dẫn đến trang web cài sẵn virus, cách thường khai thác lỗ hổng trình duyệt hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi đoạn mã, máy tính bị bị lây nhiễm virus 12 Lây nhiễm mở để xem thư điện tử: Cách vô nguy hiểm chưa cần kích hoạt file mở liên kết, máy tính bị lây nhiễm virus Cách thường khai thác lỗi hệ điều hành Quá trình duyệt web Theo phát triển rộng rãi Internet giới mà hình thức lây nhiễm virus qua Internet trở thành phương thức virus ngày Có hình thức lây nhiễm virus phần mềm độc hại thông qua Internet sau: Lây nhiễm thông qua file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, thay hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB…) cách tải từ Internet, trao đổi, thông qua phần mềm… Lây nhiễm truy cập trang web cài đặt virus (theo cách vơ tình cố ý): Các trang web có chứa mã hiểm độc gây lây nhiễm virus phần mềm độc hại vào máy tính người sử dụng truy cập vào trang web Lây nhiễm virus chiếm quyền điều khiển máy tính thơng qua lỗi bảo mật hệ điều hành, ứng dụng sẵn có hệ điều hành phần mềm hãng thứ ba: Điều khó tin số người sử dụng, nhiên tin tặc lợi dụng lỗi bảo mật hệ điều hành, phần mềm sẵn có hệ điều hành (ví dụ Windows Media Player) lỗi bảo mật phần mềm hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus chiếm quyền kiểm sốt máy tính nạn nhân mở file liên kết với phần mềm Qua Email, Outlook Express Hacker lợi dụng Email để giả dạng Email với địa họ muốn, với nội dung thiệp, file attach hay đường link Đó file mailware nguy hiểm cho máy tính Vậy để nhận dạng, ngăn chặn chủ yếu dựa kinh nghiệm hiểu biết người dung Nên cảnh giác với Email có nội dung chung chung, Email có dạng kèm theo attach file hay đường link khơng nên tải về, nên quét virus cẩn thận trước chắn mở 13 Lây nhiễm vào tệp tin thực thi Khi tải phần mềm tiện ích, hay chương trình gốc sau chuyển dịch từ server sang server khác… bị đính kèm malware vào Người dùng mà bật ra, malware extra thực thi máy từ file cài đặt ứng dụng Giải pháp ngăn chặn : Hacker sau download ứng dụng nguyên từ mạng về, sử dụng phần mềm “exe joiner” để đính tệp exe vào với Rồi tiếp tục đem lên trang web khác phát tán ứng dụng đính virus Ngun lý việc đính exe hiểu đơn giản sau: Virus nén vào cuối file ứng dụng (hoặc nơi khơng làm ảnh hưởng tới tiến trình) Sau chạy ứng dụng, virus tự động extra thư mục temp (thư mục tạm window) tự động chạy tệp exe vừa extra Cách ngăn chặn việc khó, hacker có trăm phương nghìn kế để che mắt Ta “xem qua” tính an tồn ứng dụng Lây nhiễm từ smartphone sang máy tính Các chương trình độc hại thường viết để hoạt động hệ điều hành định, nhiên, loại phần mềm gián điệp (spyware) vừa phát công máy tính từ điện thoại di động Trước tiên, malware ẩn ứng dụng DroidCleaner hay SuperClean lây nhiễm vào smartphone chạy Android Sau thâm nhập vào điện thoại, tự động gửi xóa tin nhắn SMS, kích hoạt Wi-Fi, tập hợp thơng tin thiết bị, mở link tùy ý trình duyệt, đăng toàn nội dung thẻ SD, SMS, danh bạ, ảnh… lên máy chủ kẻ phát tán sâu Không thế, malware tiếp tục tải phần mã lệnh lây máy tính dạng file autorun file thực thi khác Chỉ chờ người sử dụng kết nối hai thiết bị với nhau, virus xâm nhập từ smartphone sang máy tính chạy Windows hệ thống bật chế độ autorun, người sử dụng kích hoạt file q trình mở thư mục Tại đây, malware nhắm vào phần mềm voice chat Skype, Yahoo Messenger để ghi lại đoạn hội thoại gửi cho hacker 14 3: Tổng quan mã độc Malware Phân tích mã độc malware Phân tích mã độc bước quan trọng để ngăn chặn tiêu diệt hồn tồn mã độc khỏi máy tính hệ thống mạng; khôi phục lại trạng mạng ban đầu; truy tìm nguồn gốc cơng Trước tiên cần xác định xác chuyện xảy với tồn hệ thống, tìm tồn thiết bị, tệp, ứng dụng bị lây nhiễm Khi quy trình phân tích mã độc, cần xác định xác mã độc thực hiện, cách thức phát mã độc hệ thống mạng, phương pháp đo lường thiệt hại gây Và quan trọng cần tìm qui luật đặc trưng (Mã nhận diện – signatures) để nhận diện mã độc, diệt mã độc khôi phục hệ thống Các loại mã nhận diện chính: + Host-based signatures: Là mã nhận diện sử dụng để phát mã độc máy tính + Network signatures: Là mã nhận diện sử dụng để phát mã độc giám sát hệ thống mạng Cơng nghệ phân tích mã độc Hầu hết mã độc dạng chương trình, dịch vụ (dạng binary) khơng thể đọc thơng thường Cách phân tích mã độc là: sử dụng công cụ kĩ thuật phân tích Có hai kĩ thuật phân tích chính: + Phân tích tĩnh: thực hỗ trợ công cụ debugger, disassembler, decompiler (như OllyDbg, IDA, WinDbg…) 15 [Cơ Bản]Phân tích tĩnh: Mục tiêu xác định tệp/ứng dụng có phải mã độc hay khơng, cung cấp thông tin hàm đặc trưng Có thể hỗ trợ viết mã nhận diện (Network signatures) mức [Nâng cao] Phân tích tĩnh: Thực việc dịch ngược mã độc công cụ Disassembler, xem nội dung cấu trúc mã nguồn để xác định xem mã độc làm Đặc trưng phương pháp yêu cầu kiến thức dịch ngược, hệ thống, tập lệnh + Phân tích động: dựa vào công cụ monitor hệ thống, mạng (như ProcessMon, network monitor, TcpView, Autoruns…) 16 [Cơ bản] Phân tích động: Mục tiêu chạy mã độc, theo dõi hành vi mã độc thực hệ thống từ có phương pháp loại bỏ mã độc tạo mã nhận diện Tuy nhiên trước phân tích cần thiết lập mơi trường phân tích riêng để tránh bị lây nhiễm vào hệ thống [Nâng cao] Phân tích động: Sử dụng trình debugger để nghiên cứu xem cách thức thực thi mã độc môi trường thật Từ trích xuất thơng tin chi tiết mã độc: nguồn gốc, cách thức lây nhiễm, đoạn mã, hàm quan trọng Để thực phương pháp cần trang bị kiến thức chuyên sâu kĩ thuật, thành thạo việc sử dụng cơng cụ nhiều kĩ để vượt qua kĩ thuật mã độc => Cả hai kĩ thuật yêu cầu mức phân tích phân tích nâng cao Một số quy tắc phân tích mã độc Malware Hầu hết mã độc có lượng mã nguồn lớn, phức tạp có chứa nhiều mã rác Do đó, nên tập trung vào tính để tránh nhiều thời gian chi tiết hóa thơng tin khơng cần thiết Mỗi cơng cụ hỗ trợ phân tích có chức riêng, cần vận dụng linh hoạt hiệu dựa điểm mạnh cơng cụ để q trình phân tích nhanh hơn, xác 17 Có nhiều chiến thuật phân tích khác nhau, cần thay đổi chiến thuật cách linh hoạt để hiệu phân tích tốt Việc phân tích mã độc (malware analysis) giống trò chơi đuổi bắt, người viết mã độc ln cố che giấu cịn người phân tích ln cố tìm thơng tin chi tiết Các kĩ thuật tạo ngày, cần ln ln cập nhật kĩ thuật phân tích cơng nghệ nhất, ngồi cần có sáng tạo để q trình phân tích nhanh, hiệu Cơng nghệ phân tích mã độc Nhóm cơng cụ hỗ trợ phát mã độc Bộ cơng cụ phát phân tích mã độc AnalyzePE: Bao gồm nhiều công cụ hỗ trợ cảnh báo file PE Windows chkrootkit , Rootkit Hunter : Phát rootkit Linux Loki : Công cụ quét dựa số nhận diện mã độc: chữ kí, hash MD5 Detect-It-Easy: Cơng cụ phát loại file totalhash.py: Script python tìm kiếm mã hash sở liệu trang: totalhash.cymru.com YARA : Cơng cụ qt, phân tích dựa pattern Công cụ quét Online sanboxes VirusTotal : Công cụ phân tích online (File URLs) NVISO ApkScan, APK Analyzer : Phân tích động file APKs AndroTotal: Phân tích online file APK AVCaesar: Cơng cụ qt phân tích mã độc online Crytam: Phân tích file office nghi ngờ Cuckoo Sandbox: Hệ thống phân tích tự động mã nguồn mở Malwr: Hệ thống phân tích online sử dụng Cuckoo Sandbox JoseSandbox: Phát phân tích hành vi đa tảng cho file, URLs 18 Firrmware.re: Công cụ giải nén (Unpack), quét phân tích firmware Jotti : Công cụ quét mã độc online Limon: Sandbox phân tích mã độc Linux PDF Examiner: Cơng cụ phân tích file PDF nghi ngờ Cơng cụ Deobfuscation Cơng cụ Deobfuscation Balbuzard: Cơng cụ phân tích hỗ trợ làm rõ mã nguồn bị xáo trộn de4dot: Công cụ hỗ trợ obfucate unpack FLOSS: Công cụ tự động deobfucate chuỗi từ tệp nhị phân PackerAttacker : Cơng cụ tìm mã ẩn mã độc (Windows) unpacker: Công cụ tự động unpack mã độc Windows JS Beautifier , JS Deobfuscator: unpack deobfucate mã nguồn Javascript Công cụ gỡ rối (Debugging) dịch ngược (Reverse Engineering) công cụ gỡ rối IDA Pro: Công cụ disassembler debugger OllyDbg: Công cụ debugger windows pestudio: Công cụ phân tích tĩnh cho Windows PPEE (puppy), PE Insider, CFF Explorer : Cơng cụ hỗ trợ xử lí PE file binnavi: IDE phân tích file nhị phân, hỗ trợ dịch ngược, phát triển Google Capstone : Disassembly framework phân tích dịch ngược file nhị phân GDB : GNU debugger GEF : Bản nâng cao tính GDB, hỗ trợ exploit reverse angr : Framework phân tích file nhị phân 19 BARF: Framework mã nguồn mở hỗ trợ phân tích dịch ngược loại file nhị phân dnSpy : Công cụ hỗ trợ debug, chỉnh sửa đóng gói lại file nhị phân tảng NET Fibratus: Công cụ hỗ trợ làm việc với Windows kernel ltrace , strace : Công cụ phân tích động Linux objdump: Cơng cụ phân tích tĩnh Linux Process Monitor : Công cụ giám sát ứng dụng Windows Process Explorer: Cơng cụ giám sát tiến trình Process Hacker: Công cụ giám sát tài nguyên hệ thống FileInsight, Hex Editor Neo, FlexHex, 010 Editor: Công cụ xem chỉnh sửa file nhị phân Điều tra nhớ Điều tra nhớ Volatility: Framework hỗ trợ điều tra chứng số evolve : Giao diện web cho Volatility WinDbg : Kernel debugger cho Windows Phân tích gói tin Phân tích gói tin Wireshark : Phân tích giao thức Network Miner : Cơng cụ phân tích điều tra mạng cho Windows NetworkTotal: Cơng cụ phân tích file pcap online để phát mã độc PacketTotal: Cơng cụ phân tích online file pcap hiển thị thông tin Phân tích website Whois: Cơng cụ hỗ trợ phân tích tên miền URLQuery : Cơng cụ qt URL 20 SenderBase : Tìm kiếm thông tin IP, tên miền, người sở hữu Sucuri SiteCheck : Kiểm tra mã độc quét an ninh cho website ZScalar Zulu: Phân tích địa URL 5: Phương pháp phân tích mã độc + Mơi trường phân tích mã độc Có hai phương pháp để triển khai mơi trường phân tích mã độc: Sử dụng hệ thống vật lí: Thiết lập máy tính thiết bị vật lí tạo thành mạng riêng biệt để thực theo dõi, giám sát, phân tích mã độc Ưu điểm: Mã độc hoạt động trình lây nhiễm thực tế, khơng bị giới hạn mã độc có chế chống môi trường ảo Nhược điểm: Chi phí lớn, tốc độ phân tích lâu thường xun phải gây dựng lại mơi trường phân tích từ đầu Sử dụng máy ảo: Thiết lập hệ thống máy ảo liên kết với với đầy đủ máy cần thiết cho hệ thống mạng 21 Ưu điểm: Tiện lợi, hỗ trợ phân tích nhanh thời gian khôi phục hệ thống tốt, dễ triển khai công cụ giám sát, theo dõi Nhược điểm: Có thể khơng thực thi toàn chức mã độc mã độc có module phát mơi trường ảo Máy ảo phần mềm giả lập toàn hoạt động máy tính thơng thường Trên thiết bị vật lí (PC, Laptop, Server…) triển khai nhiều máy ảo, máy ảo có khả liên kết với liên kết với máy vật lí vùng mạng cấu hình Thiết lập cấu hình giúp lập mã độc cần phân tích vùng mạng riêng độc lập không gây ảnh hưởng cho hệ thống thật Một số loại máy ảo phổ biến: VirtualBox, VMWare Workstation, VMware vSphere Hypervisor, Microsoft Virtual Server (Hyper) Sau cài đặt xong hệ điều hành, cần cài đặt cơng cụ hỗ trợ q trình phân tích: Cơng cụ theo dõi hệ thống registry: Process Monitor, ProcDOT Cơng cụ theo dõi tiến trình: Process Explorer, Process Hacker 22 Công cụ theo dõi mạng: Wireshark Công cụ phát thay đổi trạng thái hệ thống trước sau lây nhiễm: Regshot Công cụ disassembler debugger: OllyDBG, IDA Pro Công cụ dump nhớ: Scylla, OllyDumpEx Cơng cụ phân tích khác: PPEE (puppy), PE Insider, CFF Explorer, File Analyzer, pestudio Công cụ xem, chỉnh sửa file nhị phân: Hex Editor Neo Công cụ soạn thảo: notepad++ Một phần quan trọng cài đặt phần mềm làm mơi trường hỗ trợ trình phát mã độc: Process Monitor, Process Explorer, 7z, wireshark, foxit reader Phần mềm: notepad, CFF Explorer, cmd, caculator Các phần mềm bẫy đặt Desktop thư mục C:\Atraps nơi mà mã độc (Có khả lây nhiễm) tìm đến nhanh Cấu hình lập mơi trường Để đảm bảo an tồn cho mơi trường thực tế, thực số bước cấu hình để ngăn chặn tối đa khả mã độc xâm nhập hệ thống bên ngoài: Cập nhật hệ điều hành máy vật lí thường xuyên Cập nhật thường xuyên vá VMWare, đặc biệt vá liên quan tới mạng Bật firewall máy vật lí, thiết lập chặn card ảo Thiết lập mạng cho VMWare dạng host-only tắt mạng Hạn chế bật mạng không cần thiết Ngắt kết nối tới thiết bị ngoại vi: CD-ROM, USB, Memory Card… Tạo snapshots 23 Ngay sau cài đặt thiết lập chuẩn máy ảo, cần tạo snapshot để lưu lại trạng thái sẵn sàng hệ thống cho việc phân tích mã độc Tạo snapshot khái niệm độc đáo máy ảo Các snapshot máy ảo VMware cho phép lưu lại trạng thái hệ thống quay lại trạng thái lúc nào, giống restore point Windows 6: Security Operation Center – SOC Mơ hình hoạt động 24 CSOC Trung Tâm Điều Hành An Ninh nơi thu thập, phân tích phân phối liệu thu thập để hỗ trợ phân tích an ninh để phát hiện, phân tích, phản ứng, báo cáo, ngăn chặn cố an ninh mạng • Phát cơng dựa mạng • Phát cơng dựa máy chủ • Loại bỏ lỗ hổng bảo mật • Hỗ trợ người dùng ủy quyền • Cung cấp cơng cụ để giảm thiểu tổn thất rủi ro Tài liệu tham khảo 1: https://securitybox.vn/ 2: https://en.wikipedia.org/wiki/Security_operations_center 3: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1493840439.pdf 25 ... biến Giải pháp chống công mạng Tìm hiểu mã độc hại Malware Định nghĩa Phân loại số malware thông dụng Cách thức lây nhiễm malware ... dỗ người dùng click vào đường link email (phishing) để phần mềm độc hại tự động cài đặt vào máy tính Một cài đặt thành công, malware gây ra: - Ngăn cản người dùng truy cập vào file folder quan... cài đặt malware vào thiết bị (khi đó, phishing công đoạn công malware) - Tấn công trung gian (Man-in-the-middle attack) Tấn công trung gian (MitM), hay công nghe lén, xảy kẻ công xâm nhập vào giao