Bài giảng An toàn an ninh thông tin: Chương 11 Phần mềm mã độc cung cấp cho người học những kiến thức như: Giới thiệu về phần mềm mã độc; Virus; Trojan; Worm; Phát hiện và giảm thiểu nguy cơ tấn công bằng phần mềm độc hại. Mời các bạn cùng tham khảo!
BÀI 11 PHẦN MỀM MÃ ĐỘC Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 1 Nội dung • Giới thiệu phần mềm mã độc • Virus • Trojan • Worm • Phát giảm thiểu nguy công phần mềm độc hại 2 1 GIỚI THIỆU CHUNG 3 Khái niệm • Phần mềm độc hại(malicious software malware) chương trình máy tính mà thực thi gây tổn hại tới tài nguyên hệ thống chiếm đoạt phần/toàn quyền điều khiển hệ thống • Phân loại: Virus: tự lây nhiễm vào file Worm: tự lây nhiễm vào chương trình thực thi Trojan: chương trình ẩn giấu tệp tin vơ hại, khơng có khả tự lây nhiễm Sự phân biệt loại không rõ ràng Trong giảng sử dụng thuật ngữ quen thuộc “virus” 4 Các hành vi gây hại • Phá hủy liệu, phần cứng • Nghe trộm hoạt động người dùng thiết bị vào ra(Keylogging) • Đánh cắp thơng tin (spyware) • Mã hóa liệu (ransomware) • Đánh cắp tài ngun tính tốn (coinminer) • Tạo cửa hậu (backdoor) để kẻ công xâm nhập điều khiển • Che giấu hoạt động(rootkit) • Thực hành vi cơng Các hành vi thực đợi điều kiện (time bomb, logic bomb) 5 Các đường lây nhiễm • Email • Ứng dụng truyền thông điệp (Instant messaging) • Các thiết bị lưu trữ di động • Chương trình giả mạo • Tiện ích chia sẻ file mạng LAN • Phần mềm bẻ khóa quyền • Chương trình chia sẻ file • Lỗ hổng phần mềm •… 6 Một kịch phát tán lây nhiễm Nạn nhân click vào đường dẫn Gửi email cho nạn nhân Upoad malware lên Server Kết nối tới Malware Server Nạn nhân kích hoạt Malware Server Download 7 Kịch khác • Sử dụng công cụ khai thác lỗ hổng Web Server Truy cập website vô hại Website vô hại Chuyển hướng kết nối Khai thác lỗ hổng Phát lỗ hổng ATBM Do thám thu thập thông tin máy trạm nạn nhân 8 Cách thức hoạt động virus • Virus thơng thường có đoạn mã: Đoạn mã lây nhiễm: cho phép virus tự chép thân lây nhiễm từ chương trình sang chương trình khác Đoạn mã kích hoạt: Là kiện điều kiện xác định hoạt động kích hoạt Đoạn mã hoạt động: phần thực hành động phá hoại virus • Virus mô tả với đặc trưng: Cách thức lây nhiễm Các hành vi phá hoại 9 Cơ chế tiêm nhiễm Trước nhiễm Sau nhiễm • Nguyên tắc bản: Virus thay lệnh file bị nhiễm (.exe) lệnh JUMP tới đoạn mã thực thi virus Kết thúc đoạn mã thực thi virus lệnh JUMP khác để nhảy tới lệnh chương trình ban đầu 10 10 CÁC PHƯƠNG PHÁP PHÁT HIỆN Cuộc đua phát lẩn tránh 11 11 Phát virus • Phương pháp phổ biến: Phát dựa đặc trưng Thu thập mẫu virus xây dựng CSDL đặc trưng virus Thông thường đoạn mã lây nhiễm đầu file Phát hiện: So sánh byte file với mẫu virus có • Nếu tin tặc, bạn làm gì? 12 12 Cách thức lẩn tránh • Làm cho đặc trưng trở nên khó tìm kiếm Original program Virus Original program Nối thêm jmp Original program Bao quanh jmp Original program Chèn 13 13 Polymorphic virus – Virus đa hình • Thay đổi mã nguồn cách ngẫu nhiên Virus Original program Key Decrypter decrypt Encrypted virus code Key Decrypter jmp Virus code 14 14 Polymorphic virus – Lây nhiễm • Thay đổi khóa mã hóa lại mã nguồn Key Decrypter decrypt Encrypted virus code Encrypter Key Decrypter jmp Virus code Key2 Decrypter Change key and encrypt Encrypted virus code 15 15 Polymophic virus – Phát • Ý tưởng 1: Sử dụng đặc trưng “hẹp” để phát trình giải mã decrypter Số byte mã nguồn cần so sánh dễ phát nhầm Tin tặc nhanh chóng thay đổi trình giải mã • Ý tưởng 2: Thực thi để phát có mặt đặc trưng mã nguồn giải mã Vấn đề: Thực thi đến thời điểm so sánh đặc trưng? • Làm để lẩn tránh chương trình phát virus? 16 16 Metamorphic Virus T-1000 in Terminator 17 17 Metamorphic Virus • Virus siêu đa hình: sử dụng đoạn mã đặc biệt (metamorphic code) để tự thay đổi mã nguồn mặt ngữ nghĩa thực thi Không thay đổi ngữ nghĩa mức cao (vẫn giữ nguyên chức năng, tính năng) • Một số kỹ thuật thực hiện: Tạo đoạn mã dư thừa ngẫu nhiên Thay đổi ghi Thay đổi trình tự biểu thức điều kiện Thay đổi trình tự câu lệnh xử lý khơng có ràng buộc với Thay thuật toán 18 18 Win95/Regswap(1998) 19 19 Win32/Evol(2000) 20 20 10 Zperm.A(2000) 21 21 Phát virus siêu đa hình • Phát dựa hành vi (Behavior-based detection) Phân tích động • Thực thi mã độc môi trường Sandbox quan sát hoạt động mã độc • Ưu điểm: thời gian phân tích nhanh, xác định cách thức hoạt động virus • Nhược điểm: yêu cầu mơi trường an tồn để phân tích, khơng xác định hết tất hành vi Phân tích tĩnh • Sử dụng kỹ thuật dịch ngược để phân tích mã thực thi • Ưu điểm: khơng cần kích hoạt mã độc, xác định tất chế hoạt động, hành vi mã độc • Hạn chế: phức tạp, địi hỏi trình độ nhân lực cao hơn, nhiều thời gian 22 22 11 Quy trình phân tích Tạo mơi trường Sandbox để phân tích • Bước 1: Tạo máy ảo(Virtualbox, Hyper-V, …) môi trường ảo hóa khác cần(mạng, CSDL…) • Bước 2: Cài đặt hệ điều hành máy ảo • Bước 3: Tắt hạn chế hoạt động cạc mạng máy ảo để cách ly với môi trường thực • Bước 4: Tắt chức chia sẻ file, thư mục • Bước 5: Chuyển mã độc vào mơi trường phân tích Mơi trường phân tích phải cách ly hồn tồn với mơi trường làm việc giám sát đầy đủ 23 23 Quy trình phân tích Phân tích tĩnh • Bước 1: Dịch ngược mã nguồn • Bước 2: Thu thập thông tin: Giá trị xâu ký tự: sử dụng công cụ BinText Các kỹ thuật đóng gói, nén, mã hóa virus thực thao tác giải nén, giải mã cần thiết: sử dụng cơng cụ UPX Phân tích động • Bước 3: Thiết lập kết nối mạng(vật lý) cho môi trường phân tích Lưu ý, giám sát chặt chẽ không kết nối với mạng tác nghiệp tổ chức • Bước 4: Kích hoạt virus thu thập thơng tin tiến trình thực thi virus, thơng tin hệ thống virus hoạt động Sử dụng công cụ Process Monitor Process Explorer 24 24 12 Quy trình phân tích • Bước 5: Ghi nhận kết nối mạng(logic) mà virus tạo Bắt phân tích lưu lượng phát sinh kết nối Các công cụ sử dụng: Wireshark, tcpdump, NetResistent, TCPView • Bước 6: Xác định tệp tin mới, tiến trình tạo ra, thay đổi giá trị registry hệ thống (sử dụng RegShot) • Bước 7: Phân tích mã thực thi RAM, sử dụng cơng cụ OllyDbg, ProcDump 25 25 Lẩn tránh • Chống phân tích tĩnh: Tạo đoạn mã phức tạp để che giấu hoạt động thực • Chống phân tích động: Phát môi trường thực thi để thay đổi hành vi Tạo hành động khiến q trình thực thi kéo dài • Ứng phó phần mềm anti-virus: Tìm kiếm bỏ qua đoạn mã/hành vi vơ nghĩa Mơ hình hóa hành vi chung • Tiếp tục… Cuộc đua tin tặc phần mềm AV mà tin tặc thường bước trước(Tại sao?) 26 26 13 Rootkit/Stealth Virus • Có khả ẩn trước phần mềm phát virus • Cơ chế chung: sử dụng kỹ thuật hook để chặn kiện can thiệp vào q trình xử lý kiện • User-level rootkit: hook vào hàm thư viện Dễ bị phát • Kernel-level rootkit: hook vào hàm thực thi lời gọi hệ thống, hàm xử lý ngắt, driver điều khiển thiết bị, firmware thiết bị Khó bị phát • Virtualization-based rootkit: ẩn mơi trường ảo hóa gần bị phát 27 27 Phát phịng chống rootkit • Phát dựa hành vi Phát hành vi hook Sự biến đổi số lượng, tần suất thứ tự thực lời gọi hệ thống • Kiểm tra tồn vẹn tập tin hệ thống • Phát dựa sai khác với hệ thống tham chiếu 28 28 14 TROJAN 29 29 Thiệt hại tài Trojan The state of financial Trojans 2014, Symantec 30 30 15 Cách thức tạo phát tán • Bước 1: Viết mã nguồn Trojan • Bước 2: Tạo gói cài đặt chưa Trojan • Bước 3: Mã hóa che giấu để ẩn tránh chương trình AV • Bước 4: Bao gói Trojan phần mềm tiện ích Tất bước thực cơng cụ • Bước 5: Phát tán mạng • Bước 6: Nhiễm kích hoạt máy nạn nhân Office 2010 Toolkit TrojanDownloader :Win32/Agent Bao gói Office 2010 Toolkit.exe 31 31 Một số loại Trojan • Defacement Trojan: giao diện chương trình bao gói giống • • • • • với phần mềm quen thuộc Bonet Trojan: biến máy tính nạn nhân thành phần tử mạng lưới bị điều khiển tin tặc để công mạng Proxy Server Trojan: cho phép tin tặc sử dụng máy tính nạn nhân proxy để kết nối Internet FTP Trojan: lút cài đặt dịch vụ FTP máy nạn nhân, cho phép tin tặc đánh cắp file, thư mục Remote Access Trojan: cho phép tin tặc điều khiển máy tính nạn nhân từ xa ICMP Trojan: cho phép tin tặc đánh cắp liệu ngụy trang dạng thông điệp ICMP 32 32 16 Phịng chống giảm thiểu • Tránh mở file đính kèm từ email khơng rõ nguồn • • • • • • gốc Sử dụng firewall chặn tất cổng dịch vụ không cần thiết Tránh nhận file từ ứng dụng tin nhắn Gia cố hệ thống, tắt chức không cần thiết máy tính Kiểm sốt lưu lượng nội Không tải thực thi file ứng dụng từ nguồn lạ Cập nhật vá bảo mật 33 33 Phịng chống giảm thiểu • Qt, rà sốt virus thiết bị nhớ lưu động(USB • • • • drive, CD/DVD, thẻ nhớ, thiết bị di động,…) kết nối với máy tính Phân quyền người dùng Sử dụng phần mềm quyền Không dùng công cụ bẻ khóa, cung cấp mã quyền Cài đặt phần mềm diệt virus Xây dựng sách đào tạo người dùng 34 34 17 ... hệ thống • Kiểm tra toàn vẹn tập tin hệ thống • Phát dựa sai khác với hệ thống tham chiếu 28 28 14 TROJAN 29 29 Thiệt hại tài Trojan The state of financial Trojans 2014, Symantec 30 30 15 Cách... hình • Phát dựa hành vi (Behavior-based detection) Phân tích động • Thực thi mã độc môi trường Sandbox quan sát hoạt động mã độc • Ưu điểm: thời gian phân tích nhanh, xác định cách thức hoạt động... lệnh chương trình ban đầu 10 10 CÁC PHƯƠNG PHÁP PHÁT HIỆN Cuộc đua phát lẩn tránh 11 11 Phát virus • Phương pháp phổ biến: Phát dựa đặc trưng Thu thập mẫu virus xây dựng CSDL đặc trưng virus Thông