BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ - Nguyễn Thùy Linh PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRONG FIRMWARE CỦA CÁC THIẾT BỊ ĐỊNH TUYẾN VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ NGÀNH MÁY TÍNH Hà Nội – 2021 BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ - Nguyễn Thùy Linh PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRONG FIRMWARE CỦA CÁC THIẾT BỊ ĐỊNH TUYẾN VÀ ỨNG DỤNG Chuyên ngành: Hệ thống thông tin Mã số: 48 01 04 LUẬN VĂN THẠC SĨ NGÀNH MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC : Hướng dẫn 1:TS Nguyễn Trường Thắng Hướng dẫn 2:TS Phạm Mạnh Linh Hà Nội - 2021 I LỜI CAM ĐOAN Tôi xin cam đoan Luận văn cơng trình nghiên cứu khoa học nghiêm túc cá nhân tôi, thực hướng dẫn khoa học TS Nguyễn Trường Thắng TS Phạm Mạnh Linh Các số liệu, kết nêu luận văn trung thực, có nguồn gốc rõ ràng trích dẫn đầy đủ theo quy định Tác giả luận văn Nguyễn Thùy Linh II LỜI CẢM ƠN Tôi xin chân thành cảm ơn thầy cô, cán Học viện Khoa học Công nghệ - Viện Hàn lâm Khoa học Công nghệ Việt Nam giúp đỡ truyền đạt kiến thức cho suốt thời gian học tập, nghiên cứu trường Tôi xin gửi lời cảm ơn sâu sắc tới TS Nguyễn Trường Thắng TS Phạm Mạnh Linh định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá, trực tiếp hướng dẫn suốt q trình nghiên cứu hồn thành luận văn tốt nghiệp Tôi xin cảm ơn cấp Lãnh đạo tồn thể đồng nghiệp, gia đình, bạn bè chia sẻ, giúp đỡ, tạo điều kiện cho tơi hồn thành khóa luận Luận văn tài trợ Học viện khoa học Công nghệ Viện Công nghệ thông tin, Viện hàn lâm Khoa học công nghệ Việt Nam từ đề tài mã số GUST.STS.DDT2019-TT02 Hà Nội, ngày tháng Nguyễn Thùy Linh năm 2021 III DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT APT Advanced Persistent Threat – hay cịn gọi cơng chủ đích IDS Intrusion Detection Systems - Hệ thống phát xâm nhập IPS Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập NIST National Institute of Standart and Technology USB Universal Serial Bus Mơ hình OSI IP (Open System Interconnection Basic Reference) mơ hình mạng có lớp, phát triển International Standards Organization (ISO) Internet Protocol CPU Central Processing Unit ROM Read-Only Memory RAM Random Access Memory OS Operating System IoT Internet of Things IV DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1 Số lượng mã độc tồn giới vịng 10 năm gần (Nguồn AV-TEST) Hình 1.2 Ngày 12/5/2017, sau vài bùng phát, mã độc tống tiền WannaCry lây lan hàng chục quốc gia (ảnh chụp từ hệ thống giám sát hãng bảo mật Kaspersky) Hình 1.3 Cơng cụ mạng botnet Hình 1.4 Ví dụ phương pháp phân tích tĩnh android 12 Hình 2.1 OSI, mơ hình giao thức truyền thơng 16 Hình 2.2 Cấu tạo định tuyến 19 Hình 2.3 Một ví dụ kết tìm kiếm thơng tin với cơng cụ Shodan.io 22 Hình 2.4 Quy trình tổng quan firmadyne 27 Hình 2.5 Mơ hình tổng quan avatar 28 Hình 3.1 Tổng quan quy trình phát mã độc thiết bị định tuyến thông qua mô 31 Hình 4.1 Giám sát mã độc strace tcpdump 45 Hình 4.2 Kết giám sát cho thấy mã độc kết nối internet 46 V MỤC LỤC LỜI CAM ĐOAN I LỜI CẢM ƠN II DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT III DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ IV MỤC LỤC V MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN 1.1 TỔNG QUAN VỀ MÃ ĐỘC 1.1.1 Khái niệm mã độc 1.1.2 Tình hình mã độc Việt Nam giới 1.1.3 Phân loại mã độc 1.1.4 Vai trò việc phân tích mã độc 10 1.2 CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 10 1.2.1 Phương pháp phân tích tĩnh 11 1.2.2 Phương pháp phân tích động 12 1.2.3 Phương pháp phân tích lai 13 CHƯƠNG 2: TỔNG QUAN VỀ THIẾT BỊ ĐỊNH TUYẾN VÀ CẤU TRÚC CỦA FIRMWARE 16 2.1 GIỚI THIỆU VỀ MƠ HÌNH MẠNG OSI 16 2.2 THIẾT BỊ ĐỊNH TUYẾN 18 2.3 CẤU TRÚC CỦA FIRMWARE 22 2.4 MÃ ĐỘC TRONG FIRMWARE 24 2.5 PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN ………………………………………………………………………25 2.5.1 Phương pháp phân tích tĩnh mã độc thiết bị định tuyến 26 2.5.2 Phương pháp phân tích động mã độc thiết bị định tuyến 26 VI CHƯƠNG 3: QUY TRÌNH PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN 30 3.1 ĐỀ XUẤT QUY TRÌNH PHÁT HIỆN MÃ ĐỘC 30 3.2 BƯỚC 1, THU THẬP FIRMWARE TỪ CÁC NHÀ CUNG CẤP THIẾT BỊ ĐỊNH TUYẾN 31 3.3 BƯỚC 2, BÓC TÁCH FIRMWARE VÀ MÔ PHỎNG DỰA TRÊN MÁY ẢO QEMU 34 3.3.1 Bóc tách Firmware 34 3.3.2 Mô Firmware dựa máy ảo QEMU 35 3.3.3 Một số dấu hiệu phát chương trình giám sát mã độc………………………………………………………………………… 41 CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM 44 4.1 KẾT QUẢ KHI THỰC NGHIỆM QUY TRÌNH PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN THÔNG QUA MÔ PHỎNG 44 4.2 ĐỐI SÁNH VỚI HỆ THỐNG KIỂM TRA MÃ ĐỘC VIRUSTOTAL ……………………………………………………… ……………… 47 CHƯƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ 50 5.1 KẾT LUẬN 50 5.2 KIẾN NGHỊ 51 TÀI LIỆU THAM KHẢO 52 MỞ ĐẦU Ngày nay, giới chứng kiến thay đổi lớn phát triển nhanh chóng mặt, ngành công nghệ thông tin; phần mềm mã độc khơng nằm ngồi xu hướng Năm 2020, tình hình giới diễn biến khó lường Cuộc chạy đua cơng nghệ nhằm kiểm sốt, giành chủ động không gian mạng diễn gay gắt Dịch bệnh Covid-19 làm thay đổi chuỗi cung ứng toàn cầu, đẩy nhanh chuyển đổi số, ứng dụng công nghệ vào phát triển kinh tế xã hội, gia tăng thách thức trước nguy đến từ không gian mạng Hoạt động cơng mạng với mục đích trị, kinh tế nhằm vào quan phủ, tổ chức kinh tế, doanh nghiệp, hoạt động tội phạm mạng gia tăng tính chất quy mơ Kiểm sốt an ninh mạng phòng, chống tội phạm mạng nhiều quốc gia đặc biệt quan tâm; ưu tiên xử lý nguy cơ, hoạt động lợi dụng dịch bệnh Covid-19 để hoạt động tội phạm mạng Từ thời điểm lý thuyết tự nhân phần mềm máy tính John Von Neumann (1903-1957) đưa (năm 1941) đến xuất virus phải thập kỷ, với bùng nổ Internet mã độc theo bùng nổ theo Song song với việc ứng dụng công nghệ thông tin, mã độc len lỏi vào mặt đời sống, gây thiệt hại vô nghiêm trọng kinh tế lẫn an ninh, quốc phòng Phát tán mã độc (Malware) thực trở nên phổ biến hoạt động gián điệp phá hoại hệ thống, phần mềm Theo thống kê từ quan, tổ chức doanh nghiệp chuyên an ninh, an tồn thơng tin, hoạt động phát tán mã độc không tồn nước phát triển mà nước phát triển Việt Nam trở thành mảnh đất màu mỡ cho hacker hoạt động Mã độc phát tán hầu hết quan quan trọng từ quan Chính phủ, tới quan tài ngân hàng, doanh nghiệp, …Các phần mềm chứa mã độc tồn nhiều hình thức có khả lây lan vô lớn Mã độc lây lan đa tảng không giới hạn máy tính cá nhân mà cịn lây lan sang thiết bị thông minh Với tốc độ phát triển kinh tế khoa học kỹ thuật, hầu hết cá nhân sở hữu thiết bị thông minh, mơi trường hoạt động cho mã độc ngày rộng lớn thiệt hại chúng gây vô to lớn Theo thống kê trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cố cơng mã độc có chiều hướng gia tăng với thủ đoạn ngày tinh vi Song hành cách mạng công nghiệp lần thứ phát triển mạng lưới kết nối thiết bị IoT (Internet of Things) Để đảm bảo thơng suốt tồn q trình trao đổi thơng tin thiết bị IoT, thiết bị định tuyến đóng vai trị then chốt Do đó, thiết bị định tuyến trở thành mục tiêu công phổ biến tin tặc Điều dẫn tới nguy khơng an tồn thơng tin thiết bị IoT nói riêng mà cịn nguy gây an tồn, an ninh mạng nói chung Để phát mã độc có cài vào thiết bị định tuyến nhà sản xuất hay không, luận văn nghiên cứu đưa phương pháp để phát mã độc thiết bị định tuyến 38 - Sau máy ảo QEMU khởi chạy, dùng chương trình puty truy cập vào máy ảo: Mở chương trình putty nhập thơng tin hostname: localhost; port: 1810 hình sau: - Đăng nhập username/password root/root 39 - Để di chuyển tập tin liệu từ máy thật vào máy ảo QEMU ngược lại, sử dụng chương trình winscp Nhập thông tin đăng nhâp winscp tương tự putty: - Chuyển tập tin cài đặt chương trình tcpdump strace vào máy ảo winscp: - Cài đặt công cụ strace lệnh sau: $dpkg -I strace_4.5.20-2_mipsel.deb Kết cài đặt thành công sau: 40 - Cài đặt tcpdump lệnh sau: $dpkg -I libpcap0.8_1.1.1-2+squeeze1_mipsel.deb Kết cài đặt thành cơng sau: - Chuyển tồn tập tin bóc tách từ Firmware vào máy ảo chương trình winscp: Kết quả: thư mục cpi-root chứa tồn tập tin trích xuất từ Firmware Từ hình trên, thấy thư mục bóc tách từ Firmware bin, dev, etc, home… chuyển vào máy ảo QEMU - Để giám sát lưu lượng mạng ta dùng lệnh: tcpdump -w out.pcap - Cách sử dụng strace để giám sát chương trình: 41 Trong thử nghiệm này, tập tin bin/alphapd tập tin dịch vụ firmware, để giám sát chương trình alphapd ta dùng lệnh sau: strace chroot /bin/alphapd Lưu ý: Trong trình giám sát, tùy thuộc vào chương trình thực thi để giám sát đầy đủ cần bổ sung thêm thư viện, tập tin cho mơi trường máy ảo QEMU thiếu thư viện (lib) Từ hình cho thấy nhật ký hành vi chương trình ứng dụng alphapd ghi lại hiển thị hình Cụ thể, thấy chương trình alphapd thực thi mở tập tin thư mục “/var/run/alphad.pid” thực lệnh open, write… 3.3.3 Một số dấu hiệu phát chương trình giám sát mã độc Từ kết ghi lại cơng cụ giám sát strace tcpdump phát mã độc dựa vào dấu hiệu sau: (1) Phát mã độc dựa vào dấu hiệu hoạt động mạng: - Phát chương trình có kết nối đến tên miền, địa IP máy chủ điều khiển, dấu hiệu cho thấy mã độc kết nối đến máy chủ điều khiển để nhận lệnh điều khiển tin tặc - Phát chương trình gửi hàng loạt gói tin đến địa định, dấu hiệu cho thấy mã độc thực công từ chối dịch vụ (DDOS) theo lệnh điều khiển tin tặc 42 - Phát chương trình gửi hàng loạt gói tin giao thức SMTP, dấu hiệu cho thấy mã độc gửi hàng loạt thư rác theo lệnh điều khiển tin tặc - Phát chương trình lắng nghe kết nối từ mạng Internet cổng khác thường (không phải cổng thường dùng 80, 443), dấu hiệu cho thấy mã độc chờ đợi tin tặc kết nối đến để thực lệnh điều khiển (2) Phát mã độc dựa vào hành vi hệ thống - Phát mã độc có hành vi thay đổi cấu hình thiết bị định tuyến như: cho phép quản trị thiết bị từ mạng Internet… Dấu hiệu cho thấy mã độc mở kết nối quản trị, cho phép tin tặc quản trị thiết bị định tuyến từ mạng Internet - Phát mã độc chạy chương trình thu nhận liệu kết nối mạng, dấu hiệu cho thấy mã độc giám sát hoạt động người dùng theo lệnh điều khiển tin tặc Ngồi ra, để phát mã độc cần dựa kinh nghiệm kết nghiên cứu, phân tích mã độc hãng bảo mật giới 43 KẾT LUẬN CHƯƠNG Tại chương này, luận văn đưa quy trình phát mã độc thiết bị định tuyến Với quy trình giúp trả lời câu hỏi có hay khơng có mã độc tồn thiết bị định tuyến liệu firmware mà nhà phân phối cung cấp có thực an tồn? Phương pháp mà luận văn thực dựa tảng kỹ thuật phân tích động dựa vào hành vi Với phương pháp này, luận văn biết xác hành vi mã độc thời điểm mà thực thi thiết bị Điều cho phép thu liệu đầy đủ để phân tích, phát hành vi bất thường, phát mã độc Với quy trình này, luận văn mô firmware cách đầy đủ lấy thông tin mức hệ điều hành firmware - thông tin quan trọng việc phát mã độc Dựa vào quy trình này, việc phát mã độc số lượng lớn thiết bị, kiểm tra độ an toàn firmware nhà phân phối cung cấp trở nên khả thi 44 CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM Như trình bày Chương 3, luận văn nghiên cứu phân tích, phát mã độc thiết bị định tuyến thông qua mô Ở chương này, luận văn trình bày kết thực nghiệm đạt 4.1 KẾT QUẢ KHI THỰC NGHIỆM QUY TRÌNH PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN THÔNG QUA MÔ PHỎNG Luận văn trình bày kết thu thập firmware từ Internet Kết q trình bóc tách, dịch ngược firmware kết mô phỏng, theo dõi hành vi firmware Cụ thể phần này, luận văn trình bày cách thức để phân tích, phát mã độc Linux/Mirai thiết bị định tuyến thông qua mô - Xác định kiến trúc môi trường thực thi mã độc Mirai MIPS - Khởi chạy máy ảo QEMU có kiến trúc MIPS cài đặt chương trình giám sát - Chuyển tập tin mã độc Mirai vào máy ảo - Chạy tcpdump để giám sát kết nối mạng tcpdump -w out.pcap - Chạy strace để giám sát Mirai: cd botnet ls chmod +x mirai chmod +x mirai2 chmod +x mirai3 strace /mirai3 45 Kết quả: Hình 4.1 Giám sát mã độc strace Phân tích sơ ban đầu dùng Strace giám sát mã độc Linux/Mirai phát hành vi socket PF_INET cho giao thức TCP mở thông qua cổng đặc biệt để kết nối với máy chủ DNS Google (8.8.8.8): socket(PF_INET, SOCK_DGRAM, IPPROTO_IP) connect(3,{sa_family=AF_INET,sin_port=htons(53), sin_addr=inet_addr("8.8.8.8")}, 16) Ở giai đoạn này, thứ dường chưa có khác thường, nhiên, tiếp tục thấy mã độc mở cổng TCP ngẫu nhiên (36223) dựa socket PF_INET trước tới địa cụ thể 10.0.2.15: getsockname(3,{sa_family=AF_INET,sin_port=htons(36223), sin_addr=inet_addr("10.0.2.15")}, [16]) Tiếp theo, Linux/Mirai mở socket AF_INET khác cổng 46785 từ IP cục 127.0.0.1 để lắng nghe kết nối đến: bind(3,{sa_family=AF_INET,sin_port=htons(46785), sin_addr=inet_addr("127.0.0.1")}, 16) connect(3,{sa_family=AF_INET,sin_port=htons(36223), 46 sin_addr=inet_addr("0.0.0.0")}, 16) socket(PF_INET, SOCK_STREAM, IPPROTO_IP) setsockopt(3, SOL_SOCKET, SO_REUSEADDR, [1], 4) bind(3,{sa_family=AF_INET,sin_port=htons(46785), sin_addr=inet_addr("127.0.0.1")}, 16) listen(3, 1) write(1, "love you ~jun0\0", 15love you ~jun0) write(1, "\n", 1) Hình ta thấy mã độc xuất hình dịng chữ: “love you ~jun0\0", 15love you ~jun0” Dựa vào hành vi ghi nhận từ cơng cụ strace, thấy hành vi mở cổng TCP ngẫu nhiên để lắng nghe kết nối từ bên ngồi hành vi đáng ngờ chương trình bình thường khơng có hành vi - Để phân tích kết giám sát mạng công cụ tcpdump, tiến hành chuyển tập tin out.pcap (được xuất cơng cụ tcpdump) ngồi máy tính mở công cụ Wireshark, kết cho thấy có kết nối mã độc Mirai ngồi Internet: Hình 4.2 Kết giám sát cho thấy mã độc kết nối internet 47 4.2 ĐỐI SÁNH VỚI HỆ THỐNG KIỂM TRA MÃ ĐỘC VIRUSTOTAL Luận văn đối sánh với sở liệu VirusTotal [9] thu kết hình sau - Kiểm tra tập tin mã độc Mirai xác định mã độc mục 4.1: - Kiểm tra tập tin bình thường: Trong phần luận văn trình bày kết thực nghiệm giám sát mã độc Linux/Mirai thực thi thiết bị định tuyến Mã độc lây nhiễm hàng loạt thiết bị IoT, biến chúng trở thành mạng botnet để thực công DDoS Sự kiện đánh giá công từ chối dịch vụ lớn từ trước đến 48 Dựa kết thu từ Tcpdump, Strace VirusTotal phát hành vi bất thường có suốt q trình mơ firmware, từ phát xem có tồn mã độc firmware hay khơng Từ kết thu được, thấy phương pháp mà luận văn đưa phát mã độc thiết bị thông qua mô với độ xác cao Ưu điểm phương pháp thực nhiều Firmware thiết bị tải từ Internet Giải hạn chế mặt kinh phí, thời gian thực 49 KẾT LUẬN CHƯƠNG Từ kết trình thực nghiệm cho thấy, quy trình đề xuất tỏ rõ hiệu độ xác việc theo dõi phân tích mã độc Với quy trình này, thiết bị mơ đầy đủ, có hoạt động tương đối giống với thiết bị thật Tuy nhiên, q trình mơ chưa thể mơ hồn tồn thiết bị Mặc dù vậy, ưu điểm quy trình việc mơ số lượng lớn thiết bị dựa firmware thu thập từ Internet Từ đánh giá độ an tồn firmware nhà phân phối cung cấp Luận văn đưa phương pháp phát mã độc thiết bị nhà phân phối cung cấp Internet 50 CHƯƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ 5.1 KẾT LUẬN IoT xu hướng giới Theo khảo sát hãng Cisco năm 2020 [9] có khoảng 50 tỷ thiết bị kết nối vào Internet, chí số cịn gia tăng nhiều có mặt nơi mà đặc biệt thiết bị như: CameraIP, VoIP, IPTv, Router… thiết bị sử dụng để giám sát, theo dõi người dùng lúc, nơi Điều làm dấy lên lo ngại việc lộ lọt thông tin tổ chức, cá nhân thiết bị bị tin tặc công chiếm quyền quản trị Các thiết bị IoT sử dụng loại vi điều khiển tiết kiệm lượng, tối giản kích thước nên khơng gian nhớ, khả cài đặt thêm chức bảo mật hạn chế Do đó, tồn điểm yếu bảo mật mà kẻ cơng lợi dụng để thực công, nhúng mã độc vào mục tiêu mong muốn Cụ thể trường hợp mã độc Mirai lây nhiễm biến thiết bị IoT thành mạng botnet để công từ chối dịch vụ vào tạp chí bảo mật Brian Krebs Các chuyên gia đánh giá nguy ảnh hưởng tới thiết bị IoT bao gồm: sách quản lý (31%), lây nhiễm mã độc (26%), công từ chối dịch vụ (13%), công phá hoại kết nối thiết bị IoT (12%) Với ước tính vào năm 2020 có tới 50 tỷ thiết bị IoT kết nối vào mạng lưới Internet có mặt nơi, làm dấy lên lo ngại gián điệp vơ hình [10] mà nguy bị nhúng mã độc khiến thiết bị IoT biến thành cỗ máy thu thập thơng tin theo dõi người dùng bị tin tặc cơng chiếm quyền điều khiển Vì thế, việc nghiên cứu mã độc thiết bị IoT đặt ngày cấp thiết có ý nghĩa thực tế, khoa học Luận văn đưa phương pháp phát mã độc thiết bị định tuyến - thành phần thiếu hệ thống IoT Phương pháp phát mã độc thiết bị định tuyến thông qua mô Phương pháp xây dựng tảng kỹ thuật phát mã độc dựa vào hành vi Phương pháp mà luận văn trình bày thể hiệu quả, xác việc phát mã độc thiết bị định tuyến; thể rõ ưu trước phương pháp phát mã độc có 51 Phương pháp mở rộng nhiều thiết bị khác không tập trung thiết bị định tuyến số nhà phân phối lớn Nhờ đánh giá độ an tồn thiết bị sử dụng Việt Nam toàn giới 5.2 KIẾN NGHỊ Để đảm bảo an ninh, an toàn cho liệu sử dụng Internet thông qua thiết bị định tuyến, luận văn xin đề xuất số kiến nghị sau: - Nâng cao hiểu biết người dùng hệ thống IoT, giúp người sử dụng hiểu rõ nguy gây an ninh, an toàn cho thiết bị - Kiểm tra, đánh giá thiết bị trước đưa vào sử dụng - Cập nhật lại firmware an toàn cho thiết bị định tuyến để vá lỗi 52 TÀI LIỆU THAM KHẢO [1] https://www.nist.gov/about-nist [2] https://www.av-test.org/en/statistics/malware/ [3] https://www.kaspersky.com/blog/global-privacy-report-2020/ [4] Nirmal Singh and Dr Sawtantar Singh Khurmi, “Malware Analysis, Clustering and Classification:,” IJCST Vo 6, p 15, 2015 [5] D D Chen and M Egele, “Towards Automated Dynamic Analysis for Linux-based Embedded Firmware,” p 16, 2016 [6] Z Jonas, Avatar: A Framework to Support Dynamic Security Analysis of Embedded Systems’ Firmwares [7] https://github.com/rampageX/firmware-mod-kit [8] https://github.com/amitv87/firmware-mod-kit [9] Cissco survey report IoT: http://www.cisco.com ... độc có cài vào thiết bị định tuyến nhà sản xuất hay không, luận văn nghiên cứu đưa phương pháp để phát mã độc thiết bị định tuyến 3 CHƯƠNG TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN Chương... 2.5 PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN ………………………………………………………………………25 2.5.1 Phương pháp phân tích tĩnh mã độc thiết bị định tuyến 26 2.5.2 Phương pháp phân tích động mã độc thiết. .. hầu hết phương pháp phân tích động cịn chưa đạt hiệu mong muốn Vì vậy, để đánh giá thiết bị định tuyến có bị nhiễm mã độc hay không luận văn sử dụng phương pháp phát mã độc thiết bị định tuyến