Đang tải... (xem toàn văn)
Tấn công mạng ngày càng diễn biến phức tạp, đa dạng về hình thức và chủng loại. Đặc biệt đối với các đối tượng người dùng khi sử dụng hệ thống thư điện tử để trao đổi, là một trong những mục tiêu mà tin tặc (Hacker) hướng đến. Các văn bản được giao dịch ngày càng nhiều thông qua hệ thống thư điện tử, nó dường như không thể thiếu trong thời buổi công nghệ Chính phủ điện tử hiện nay, đó cũng là một trong những điểm yếu dẫn đến các cuộc tấn công mạng vào người dùng, khi tin tặc sử dụng các kỹ thuật che dấu mã độc vào tệp (file) văn bản để tấn công máy tính người dùng thông qua hệ thống thư điện tử.
Kỷ yếu Hội nghị KHCN Quốc gia lần thứ XI Nghiên cứu ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 09-10/8/2018 DOI: 10.15625/vap.2018.00046 MỘT SỐ KỸ THUẬT GÂY RỐI, CHE DẤU MÃ ĐỘC MACRO Võ Văn Hồng1, Nguyễn Nam Hải1, Nguyễn Ngọc Hố2 Ban Cơ yếu Chính phủ Trường Đại học Cơng nghệ, Đại học Quốc gia Hà Nội vohoangmocvy@gmail.com, nnhai@bcy.gov.vn, hoa.nguyen@vnu.edu.vn TĨM TẮT: Tấn cơng mạng ngày diễn biến phức tạp, đa dạng hình thức chủng loại Đặc biệt đối tượng người dùng sử dụng hệ thống thư điện tử để trao đổi, mục tiêu mà tin tặc (Hacker) hướng đến Các văn giao dịch ngày nhiều thơng qua hệ thống thư điện tử, dường khơng thể thiểu thời buổi cơng nghệ Chính phủ điện tử nay, điểm yếu dẫn đến công mạng vào người dùng, tin tặc sử dụng kỹ thuật che dấu mã độc vào tệp (file) văn để cơng máy tính người dùng thơng qua hệ thống thư điện tử Đây hình thức công phổ biến tin tặc sử dụng, kẻ công không cần phải tạo chủng loại mã độc mới, phức tạp, mà cần thay đổi làm rối dấu hiệu nhận dạng, để tránh phát chương trình, thiết bị an ninh Bài báo đề xuất phương pháp gây rối mã độc kết hợp kỹ thuật gây rối nhằm mục đích che dấu mã độc để lẩn tránh trước phát chương trình bảo vệ IDS/IPS, AV,… sử dụng thơng qua tính macro có chương trình Office Microsoft Đây trình soạn thảo văn phổ biến sử dụng rộng rãi việc giao dịch qua hệ thống thư điện tử Đó kết hợp kỹ thuật làm rối mã độc macro, kết hợp kỹ thuật này, cho phép kẻ công che dấu mã độc trước phần lớn phát chương trình, thiết bị bảo vệ, đặc biệt thiết bị phát ngăn chặn mã độc Anti-virus Các kỹ thuật sử dụng việc đánh giá an tồn thơng tin (Penetration testing) cho hệ thống thư điện tử quan, đơn vị nhà nước, từ giúp người dùng người quản trị mạng có nhìn rõ hơn, đồng thời có giải pháp phịng tránh trước dạng cơng Từ khóa: Che dấu mã độc macro, macro obfuscation, kỹ thuật làm rối mã độc macro I GIỚI THIỆU Trong phần mềm văn phòng, chẳng hạn Microsoft Office, macro công cụ cho phép tự động hóa tác vụ thêm chức vào biểu mẫu, báo cáo, bảng tính,… Điều thực thông qua việc khai thác hàm cung cấp VBA (Visual Basic for Applications) để khai thác, điều khiển toàn thành phần tài liệu ứng dụng OLE (Object Linking & Embedding) thư viện động DLL (Dynamic Link Library) Với khả đó, vơ tình macro lại trở thành phương thức để đối tượng xấu (chẳng hạn hacker) tiến hành nhúng mã độc (malware) vào sử dụng với mục đích khơng tốt sở để cơng vào máy tính người dùng Thơng thường, với phương thức này, hacker sử dụng macro để chạy mã độc hại tải mã độc hại thực thi máy người dùng Và đường lây lan, phát tán thơng thường phổ biến thông qua hệ thống thư điện tử Đối với hình thức sử dụng thư điện tử để phát tán mã độc, người dùng nhận thư có văn đính kèm bị chèn mã độc hại, che dấu, văn đính kèm người dùng mở mã macro bên thực thi máy người dùng Các mã thực thi này, tùy thuộc vào mục đích cơng, mã hóa máy tính người dùng, chiếm quyền điều khiển biến máy tính người dùng thành máy tính ma tham gia cơng DDoS, Mặc dù phiên phần mềm Microsoft Office bỏ tính tự động chạy mã macro, dạng công phổ biến năm gần vào đối tượng người dùng thư điện tử thông qua việc sử dụng phương thức đánh lừa người dùng để kích hoạt mã macro Hiện nay, cơng tác phịng chống mã độc, đảm bảo an tồn cho hệ thống nói chung, có nhiều phần mềm phịng chống virus (antivirus) có khả phát loại bỏ mã độc macro tệp văn bản, chẳng hạn tệp Word Tuy nhiên, có nhiều phương pháp, kỹ thuật khác tin tặc sử dụng để che dấu mã độc macro Các kỹ thuật gây rối sử dụng để làm thay đổi đoạn mã macro Từ đánh lừa phần mềm antivirus tiến hành so khớp dấu hiệu nhận dạng mã độc (malware signature), coi qua mặt (bypass) phần mềm đó, gây tổn hại cho hệ thống người dùng Trong báo này, giới thiệu đưa số kỹ thuật che dấu mã độc macro, từ sâu vào phân tích phương pháp kết hợp nhiều kỹ thuật che dấu mã độc dựa việc khai thác dịch vụ Virus Total tập hợp hầu hết engine phòng chống mã độc giới Những kết thu làm sở để đánh giá phần mềm antivirus, hệ thống thư điện tử đối tượng người dùng, giúp họ có nhìn nhận tốt việc truyền tải văn cách phòng chống, nhận diện để ngăn chặn nguy từ mã độc macro Phần lại báo tổ chức sau: Phần II trình bày kỹ thuật che dấu, phát mã độc macro biết đến; phần III đặc tả kỹ thuật che dấu mã độc macro, đề xuất kỹ thuật để gây rối mã độc macro; trước kết luận, phần IV trình bày che dấu macro dựa kỹ thuật kết hợp Võ Văn Hoàng, Nguyễn Nam Hải, Nguyễn Ngọc Hoá 345 II LÝ THUYẾT LIÊN QUAN 2.1 Mã độc kỹ thuật phát mã độc Mã độc (malicious software - malware) phần mềm thiết kế cố ý để gây tổn hại, an tồn thơng tin cho hệ thống máy tính, máy chủ hạ tầng mạng (gọi chung hệ thống CNTT) [1] Mã độc gây tổn thương hệ thống CNTT sau cấy xâm nhập theo cách vào máy tính mục tiêu Mã độc thường chia làm nhiều loại virus máy tính, worm, Trojan horse, ransomware, spyware, adware scareware, … Để đối phó với dạng mã độc, phương pháp phân tích tĩnh, phân tích động sử dụng phổ biến với kỹ thuật cơng nghệ có mức độ khác sản phẩm antivirus [1], số công nghệ phát mã độc đươc biết đến phổ biến sau: - Phát dựa dấu hiệu mẫu: sử dụng nhiều hãng phát triển chương trình antivirus tại, thực thơng qua việc dị qt tệp để phát dấu hiệu mã độc Các sản phẩm antivirus có sở liệu dấu hiệu nhận dạng mã độc, dò quét kiểm tra tệp, dấu hiệu thu so sánh với sở liệu mẫu để đưa cảnh báo, ngăn chặn phát có dấu hiệu mã độc Tuy nhiên, sử dụng chế sở liệu mẫu cần cập nhật thường xuyên để kịp thời phát dạng mã độc phương pháp giúp phát hiện, nhận dạng nhanh chóng dạng mã độc biết đến dấu hiệu nhận dạng có sở liệu mẫu [1] - Phát dựa heuristic: không giống việc phát dựa mẫu, phương pháp phân tích hành vi cấu trúc thuộc tính nghi ngờ giống với mã độc để đưa cảnh báo, ngăn chặn Kỹ thuật này, có khả phát lỗ hỗng chưa biết đến (zero-day) mã độc sử dụng để khai thác Khả phát đánh giá có độ tin cậy khoảng 70 đến 80 % Bên cạnh phương pháp cho nhiều cảnh báo đốn sai ưu điểm cho phép phát mã độc sớm trước phát tán môi trường phạm vi rộng [2] - Phát dựa phân tích hành vi thi hành: khơng giống với phương pháp phát dựa mẫu, việc phát mã độc có tiến hành thi hành tệp cần kiểm tra hệ thống Phương pháp sử dụng kỹ thuật phân tích hành vi bất thường thực thi, từ đưa cảnh báo mã độc [3], [4] - Phát dựa phân tích mơi trường ảo: khác với phương pháp phát dựa hành vi thực thi, tệp kiểm tra đưa vào môi trường ảo để phân tích Thu thập hành vi hệ thống, môi trường thực thi tệp để đưa cảnh báo hành vi nghi ngờ mã độc [4] 2.2 Một số kỹ thuật gây rối mã độc Dựa kỹ thuật phát mã độc nêu trên, phần mềm antivirus phát mã độc hệ thống máy tính Tuy nhiên, bên cạnh ưu điểm phương pháp trên, với kỹ thuật phát có điểm yếu cho phép tin tặc lợi dụng để qua mặt chương trình antivirus Chẳng hạn mã độc có khả nhận dạng mơi trường máy ảo, để chương trình antivirus đưa vào mơi trường ảo để phân tích mã độc khơng thực thi, hay kỹ thuật làm rối sử dụng rộng rãi để sinh dòng họ mã độc tính đơn giản hiệu Kỹ thuật gây rối (obfuscation) nói chung phương pháp che dấu thơng tin, làm q trình tìm ý nghĩa thực thơng tin trở nên khó khăn, chí khơng thể tìm Các nhà sản xuất phần mềm, tìm cách để gây rối che dấu thơng tin chống lại trình dịch ngược (reverse engineer) để đảm bảo mã nguồn sản phẩm an toàn Tương tự vậy, tin tặc sử dụng kỹ thuật gây rối để chống lại phát chương trình antivirus nhằm mục đích che dấu mã độc tạo [2] Một số kỹ thuật gây rối đươc biết đến chẳng hạn như: thêm dòng vào mã lệnh mà khơng ảnh hưởng đến chương trình (Dead-Code insertion); xếp lại cấu trúc code mà không thay đổi chúng (Code Transposition); thay đổi thứ tự chương trình mã độc (Subroutime reordering) [2], [10], … Hình Thống kê mã độc macro Symantec năm 2017 MỘT SỐ KỸ THUẬT GÂY RỐI, CHE DẤU MÃ ĐỘC MACRO 346 Theo thống kê Symantec, năm 2017 số lượng công mạng sử dụng đoạn mã độc hại tải mã độc macro hãng phát thông qua thiết bị lọc Email, IDS/IPS, công nghệ học máy,… tăng khoảng 92 % so với năm 2016 Mục đích công tin tặc cài đặt mã độc Ransomware mã độc đánh cắp tài khoản ngân hàng lên máy người dùng, làm tổn hại máy người dùng [5] Các công mã độc macro tương đối nhiều, hình hình thức phương pháp tinh vi, phức tạp Một số phương pháp gây rối mã độc macro biết đến sau: Gây rối mã độc macro sử dụng hàm chrW() Hàm cho phép tin tặc thay giá trị ký tự giá trị ký tự bảng ASCII, từ cho phép bypass số chương trình antivirus [6] Một phương pháp gây rối khác phổ biến gây rối tên biến, với kỹ thuật tin tặc thay đổi toàn tên biến, hàm giá trị cho phép lẩn tránh phát chương trình antivirus có chế phát đơn giản với từ khóa “nhạy cảm” cho có dấu hiệu mã độc [8] Cơng cụ Vbad, cho phép làm rối mã hóa phần mã độc macro, chí mã hóa tồn ký tự mã độc macro Một số tính khác cho phép như: làm rối tên hàm, mã hóa, sử dụng python để ẩn đoạn mã, tự động mở, loại bỏ VBA định dạng, hay xóa hết metadata từ tệp để giúp lẩn tránh phát chương trình antivirus [7] Các kỹ thuật sử dụng nhiều để làm rối chẳng hạn như: xóa bỏ nhận xét, bỏ khoảng cách lề so với mặc định code; chia nhỏ đoạn code macro thành nhiều dịng khác nhau; xóa thủ tục, hàm, module cách sử dụng tùy chỉnh macro; thêm phần giả mạo nhận xét code macro để làm rối nội dung macro [10] Có thể thấy, kẻ cơng ln tìm cách tạo phương pháp mới, tinh vi để che dấu mã độc, biến thể nó, việc nghiên cứu kỹ thuật cần thiết để từ có giải pháp phịng chống thích hợp nhằm giảm thiểu, ngăn chặn phòng chống lại nguy gây III MỘT SỐ KỸ THUẬT CHE DẤU MÃ ĐỘC MACRO Trong phần này, chúng tơi trình bày ba phương pháp kỹ thuật che dấu mã độc macro, có hai phương pháp đề xuất kỹ thuật truyền biến vào shellcode làm rối tên hàm API Windows Mã độc macro tạo ban đầu, bao gồm code shellcode viết macro Office Microsoft có khả qua mặt 32/59 chương trình phát phòng chống mã độc kiểm tra dịch vụ Virus Total Hình Kết kiểm tra Virus Total mã độc macro chưa sử dụng kỹ thuật bypass Dựa chế phát mã độc dựa mẫu chương antivirus, chương trình tiến hành kiểm tra xác định từ khóa “nhạy cảm” tên hàm, tên biến, giá trị đường đẫn hàm gọi tới, xác định nguy cao có dấu hiệu mã độc Process, PROCESS_INFORMATION… Để qua công cụ phát chương trình antivirus, việc thay đổi toàn tên biến, hàm gọi giá trị không theo quy luật phương pháp có hiệu sử dụng Bảng Một số giá trị hàm, tên biến làm rối Tên ban đầu Private Type PROCESS_INFORMATION hProcess As Long hThread As Long dwProcessId As Long dwThreadId As Long Tên làm rối Private Type Ajajhsdh2uhgshdhgashgdasytudygqwlksad Basjhagdyqwoieqowjhoashjdasjdhalkhdasda As Long Calkjjhqwhqwjehlkjhnasdjhlkasdadasdqw As Long Dasjhkashdkjhwqhklqhkwleqweqweqweqw As Long Easkjdasjdlkasjdlkahjsdhasldhkwqjhgaksdad As Long Bảng 1, thể giá trị tên hàm biến sử dụng để thay giá trị để tránh kiểm tra chương antivirus, chẳng hạn tên hàm “PROCESS_INFORMATION” thay chuỗi có giá Võ Văn Hồng, Nguyễn Nam Hải, Nguyễn Ngọc Hố 347 trị “Ajajhsdh2uhgshdhgashgdasytudygqwlksad” hay tên biến “hProcess” thay chuỗi có giá trị “Basjhagdyqwoieqowjhoashjdasjdhalkhdasda” mà khơng làm thay đổi tính Sau tiến hành thay đổi toàn tên hàm, tên biến, đường dẫn cho có khả đặc điểm nhận dạng chương trình anrivirus, giá trị bất kỳ, sau kiểm tra dịch vụ Virus Total cho kết 17/59, so với kết kiểm tra ban đầu phương pháp có khả qua mặt 15 chương trình antivirus (https://www.virustotal.com/#/file/008a09fee37055254c530a1e785111424aacfeb7e94683bb0f89aea84ca9fe0f/detectio n) Điều cho thấy, nhiều chương trình phát mã độc sử dụng kỹ thuật phát cổ điển dựa tên nhạy cảm, để đưa dấu hiệu nghi ngờ mã độc, dựa chế cho phép tin tặc có khả sử dụng kỹ thuật thay tên tương ứng nhằm mục đích làm rối để che dấu mã độc Hình Kết kiểm tra Virus Total với phương pháp gây rối tên hàm biến Kỹ thuật thứ đề xuất truyền biến vào shellcode mã độc macro Một mã độc hại xây dựng macro có nhiều dạng khác nhau, với chế thực thi khác nhau, code chia làm nhiều phần khác nhau, tùy thuộc độ phức tạp mã độc, phần làm nhiệm vụ cụ thể để phục vụ cho việc thực thi mã độc máy người dùng Các mã độc macro có chứa thành phần shellcode thực thi dễ dàng bị phát chương trình antivirus thơng qua chế dò quét shellcode Do vậy, để giảm thiểu khả bị phát dựa việc dò quét shellcode có chứa macro nói riêng dạng mã độc khác nói chung cần làm thay đổi việc hiển thị shellcode thông thường, để chương trình anrivirus kiểm tra khơng nhận dạng shellcode, khơng làm thay đổi tính chất Hình Shellcode macro chưa làm rối Hình thể shellcode chưa áp dụng kỹ thuật làm rối macro, chương trình diệt mã độc, dễ dàng nhận biết được mẫu shellcode đặc tính phổ thơng Phương pháp thay đổi cách hiển thị shellcode này, cho phép lẩn tránh phát chương trình phát mã độc có chế phát cổ điển dựa việc dò quét shellcode, đảm bảo không làm thay đổi chức shellcode Thông thường, giá trị shellcode giá trị số có giá trị nhỏ 255, phương pháp gây rối thực cách thay giá trị số chuỗi thơng qua hình thức gắn biến cho giá trị mảng shellcode, chẳng hạn giá trị 255 thay chuỗi “Aasdkwnqljhla” thông qua việc gọi thêm biến số truyền biến số vào mảng shellcode Truyền biến để thay số giá trị số mảng shellcode cho kết thể hình khơng làm tính vốn có Hình Shellcode macro làm rối cách gắn truyền biến vào shellcode 348 MỘT SỐ KỸ THUẬT GÂY RỐI, CHE DẤU MÃ ĐỘC MACRO Khi tiến hành gọi biến truyền vào cho số giá trị khác mảng shellcode, cho mảng với nội dung mà thể khác với cách thể shellcode gốc thông thường Áp dụng phương pháp sau tiến hành kiểm tra dịch vụ Virus Total cho kết 22/58, phương pháp có khả qua mặt 10 loại chương trình antivirus so với kết ban đầu trước áp dụng kỹ thuật gây rối Hình Các giá trị biến gắn truyền vào shellcode Hình Kết kiểm tra Virus Total sau truyền biến vào thay số giá trị shellcode Kỹ thuật thứ hai đề xuất làm rối tên hàm API gọi mã độc macro, việc thực phương pháp dựa tính gọi hàm chế phát chương trình antivirus Các chương trình kiểm tra tệp, phát dấu hiệu hàm hệ thống gọi mã độc nhận định dấu hiệu mã độc Từ đó, để tránh phát thay đổi cách gọi tên hàm Đối với chế gọi hàm macro, thông thường gọi hàm gọi thơng qua tên hàm tên thư viện Windows, chẳng hạn gọi thơng qua tên thư viện kernel32 kernel32.dll Một số chương trình antivirus dựa tên thư viện phân biệt chữ hoa, chữ thường để làm dấu hiệu nhận dạng mã độc Như vậy, thay tên hàm tên thư viện đồng thời thay đổi kiểu chữ hàm chẳng hạn “kernel32” thay “kERNel32.dll” vừa làm thay đổi nội dung thể làm kiểu gọi thơng thường khơng thay đổi chức Hình Thay đổi tên thư viện gọi kiểu chữ hoa, thường Khi áp dụng kỹ thuật cho tên hàm thư viện gọi code mã độc macro kiểm tra dịch vụ Virus Total, thu kết 15/59 qua mặt 17 chương trình antivius so với kết ban đầu Như thấy, chế phát dựa thành phần gọi tên hàm “nhạy cảm” Windows chương trình diệt mã độc chiếm phần nhiều điểm yếu cho phép tin tặc tạo mã độc có khả lẩn tránh phát Hình Kết kiểm tra Virus Total thay đổi kiểu chữ kiểu gọi thư viện API Võ Văn Hoàng, Nguyễn Nam Hải, Nguyễn Ngọc Hố 349 Tóm lại, ba phương pháp gây rối đề cập để nhằm che dấu mã độc macro đây, bao gồm kỹ thuật gây rối phương pháp thay tên biến sử dụng; hai phương pháp là: kỹ thuật gắn truyền tên biến chuỗi vào shellcode mã độc; làm rối hàm API kiểu chữ hoa, thường khác kiểu gọi hàm Các phương pháp có kết tốt qua mặt 17 loại antivirus so với mã độc ban đầu 44 tổng 59 chương trình antivirus bị qua mặt kiểm tra dịch vụ Virus Total IV KẾT HỢP CÁC KỸ THUẬT GÂY RỐI Ở phần III, chúng tơi trình bày phương pháp gây rối với kết kiểm tra thông qua dịch vụ Virus Total Trong phần này, chúng tơi trình bày việc kết hợp kỹ thuật gây rối kết tốt việc che dấu mã độc, nhằm phục vụ công tác đánh giá an tồn thơng tin cho hệ thống thư điện tử quan nhà trước bùng nổ phát tán mã độc thư rác (spam) qua hệ thống thư điện tử, để có giải pháp phịng tránh Khi áp dụng kết hợp kỹ thuật gắn truyền tên biến chuỗi vào giá trị shellcode phương pháp gây rối tên biến cho code mã độc macro, kiểm tra dịch vụ Virus Total cho kết 16/591 Hình 10 Kết kiểm tra kết hợp phương pháp truyền biến vào shellcode gây rối tên hàm, biến Tiếp đến, kết kiểm tra kết hợp phương pháp gây rối tên biến thay tên chữ hoa, chưa thường kiểu gọi hàm API mã độc macro, tiến hành kiểm tra dịch vụ Virus Total cho kết 16/592 Hình 11 Kết kết hợp gây rối tên biến thay đổi kiểu gọi hàm API Thực nghiệm tương tự, kết hợp chéo phương pháp lại với cho ta kết bảng 2, đó: K1: Phương pháp truyền biến vào shellcode; K2: Phương pháp gây rối tên biến; K3: Phương pháp gây rối thay đổi cách gọi hàm định dạng kiểu chữ Bảng Kết kiểm tra kết hợp phương pháp với qua dịch vụ Virus Total K1 K2 K3 K1 22/58 16/59 17/59 K2 16/59 17/59 16/59 K3 17/59 16/59 15/59 Chi tiết xem trang https://www.virustotal.com/#/file/5390e79a3a6a0fc4104132076d40cf88c1e40b79fb3c15b3c7791864ca304cec/detection Chi tiết có trang https://www.virustotal.com/#/file/3d8ea8b6b8f55f5a19bd9dcdcbab1da22ae488b253399a2eb4b1be7e7762204d/detection MỘT SỐ KỸ THUẬT GÂY RỐI, CHE DẤU MÃ ĐỘC MACRO 350 Kết cho thấy, sau tiến hành kết hợp ba phương pháp gây gối macro lại với nhau, cho kết cuối kiểm tra dịch vụ Virus Total 12/59, so với kết kiểm tra ban đầu trước áp dụng kỹ thuật gây rối 32/59, việc kết hợp giải pháp cho phép lẩn tránh, che dấu trước phát 20 chương trình diệt antivirus phổ biến, ngồi hệ thống IDS/IPS, hệ thống Mail Gateway không phát ra3 Sơ đồ kết trình kết hợp giải pháp gây rối mã độc macro hình dưới, đó: K0: Kết ban đầu chưa sử dụng kỹ thuật làm rối; K1, K2, K3: Tương ứng kỹ thuật làm rối trình bày bảng K1=22/58 16/59 K0=32/59 K2=17/59 17/59 12/59 16/59 K3=15/59 Hình 12 Sơ đồ kết kết hợp phương pháp làm rối mã độc macro Hình 13 Kết sau kết hợp kỹ thuật làm rối macro Khi áp dụng phương pháp có khả lẩn tránh phát Gmail Một hệ thống thư điện tử lớn với hệ thống phòng chống mã độc cho tốt Hình 14 Khả lẫn tránh phát Gmail Bên cạnh đó, phương pháp sử dụng để đánh giá an tồn thơng tin cho số hệ thống thư điện tử số quan, đơn vị nhà nước, kết cho thấy có khả qua mặt lớp bảo vệ an ninh chẳng hạn IDS/IPS, Mail Gateway chương trình antivirus máy người dùng Đối với dạng mã độc này, đặc điểm khơng ghi tệp mã độc lên ổ đĩa, toàn mã macro chèn vào dịch vụ Office Microsoft Chi tiết xem trang https://www.virustotal.com/#/file/6860721a2d24f65bf005ccb526a50c2c4af2388c8ed85a62e43b9bf9aa81792e/detection Võ Văn Hoàng, Nguyễn Nam Hải, Nguyễn Ngọc Hoá 351 nhớ RAM, nên khả phát khó, dẫn đến có khả chạy máy người dùng chương trình antivirus, mà có khả qua mặt, khơng thể phát Hình 15 Khả lẩn tránh phát pentest cho hệ thống mail đơn vị nhà nước V KẾT LUẬN Trong báo này, giới thiệu đề xuất số kỹ thuật làm mờ, che dấu mã độc macro tài liệu văn dạng sử dụng Office Microsoft Với việc kết hợp nhiều kỹ thuật che dấu, chẳng hạn với kỹ thuật (i) gây rối tên biến, (ii) truyền biến vào shellcode (iii) gây rối cách gọi hàm-kiểu chữ, nhiều phần mềm phòng chống virus (iv) bị “qua mặt” không phát mã độc macro tệp văn có chứa mã độc che dấu thông qua kỹ thuật kết hợp gây rối Điều đáng nói đa phần phần mềm dò quét virus, mã độc sử dụng hệ thống thư điện tử Việt Nam lại đa phần bị qua mặt với mã độc sử dụng kỹ thuật che dấu Qua thực nghiệm đánh giá an tồn thơng tin thực tế cho số quan đơn vị nhà nước sử dụng kỹ thuật cho thấy, tin tặc sử dụng kết hợp kỹ thuật che dấu để thực chiến dịch công mạng vào đối tượng quan, doanh nghiệp hậu nghiêm trọng Trong phần đa tình huống, xem dạng công APT (Advanced Persistent Threat) tinh vi phức tạp Đối với mã độc phức tạp macro che dấu, máy người dùng bị chiếm quyền điều khiển, âm thầm đánh cắp thơng tin, liệu người dùng nguy hiểm sử dụng máy người dùng “bàn đạp” để cơng máy tính nội bộ, đối tượng liên quan Do vậy, việc phòng chống dạng công cần thiết quan, doanh nghiệp Để làm điều đó, cần có kết hợp giải pháp kỹ thuật cơng nghệ, người quy trình sách tổng thể Trong đó, việc nâng cao nhận thức người dùng, thông qua lớp đào tạo, để giúp họ phịng tránh nhận dạng dạng công quan trọng cần thiết Bên cạnh đó, cần có hệ thống chống giả mạo chống thư rác cho hệ thống thư điện tử, để giảm thiểu tối đa hình thức phát tán mã độc đến đối tượng người dùng Thêm vào đó, cần có hệ thống giám sát an ninh mạng để phát sớm nguy công mạng cho hệ thống mạng công nghệ thông tin quan nhà nước nói riêng doanh nhiệp nói chung nhằm giảm thiểu có phương án xử lý, phòng chống kịp thời trước nguy mã độc nói riêng trước cơng mạng nói chung TÀI LIỆU THAM KHẢO [1] Sergio De los Santos, José Torres “Macro Malware Detection using Machine Learning Techniques A New Approach” 2016 [2] Kamlesh Joshi, Himanshu Sangrola, Rahul Palaria “The Threat of Obfuscated Malware” International Journal on Emerging Tecnilogies, 2017 [3] Gandotra, E., et al (2014) Malware Analysis and Classification: A Survey Journal of Information Security 5, 5664 http://dx.doi.org/10.4236/jis.2014.52006 [4] Ilsun You, Kangbin Yim “Malware Obfuscation Tecniques: A Brif Survey” 2010 International Conference on Broadband, Wireless Computing, Communication and Applications [5] Symantect https://www.symantec.com/content/dam/symantec/docs/reports/istr-23-2018-en.pdf [6] Pastebin https://pastebin.com/bD6xEP9a [7] VBad https://github.com/Pepitoh/VBad [8] Excel-Pratique https://www.excel-pratique.com/en/vba_tricks/vba-obfuscator.php [9] Spreadsheet1 https://www.spreadsheet1.com/excel-vba-code-obfuscation.html [10] M Schiffman “A Brief History of Malware Obfuscation: Part of 2” http://blogs.cisco.com/security, Feb 2010 352 MỘT SỐ KỸ THUẬT GÂY RỐI, CHE DẤU MÃ ĐỘC MACRO MALWARE OBFUSCATION TECHNIQUES FOR HIDING MALICIOUS MACROS Vo Van Hoang, Nguyen Nam Hai, Nguyen Ngoc Hoa ABSTRACT: Nowadays, network attacks are significantly complex, varied in form and type Especially, one of the targets that hackers exploit is the process of data exchange by using email systems In e-government, documents are being transfer through the e-mail system, which is one of the vulnerabilities that hackers can embed malicious macros led to cyberattacks Normally, in order to bypass the antivirus software, a lot of obfuscation techniques are recently used Its main ideas are based on the change of malicious codes to avoid being detected by the antivirus program In this paper, we propose two new techniques in order to obfuscate the malicious macros embedded in MS Office documents First one is based on the technique to marshal the variables to shell-code and the second is to obfuscate names of the Windows API functions We also propose a combination approach to obfuscate the malicious macros by combining different techniques Our experiment performed on VirusTotal allows to validate the proposed techniques, and therefrom to help the users and network administrators to both provide and improve the network security solutions in order to prevent these types of attacks Keywords: malicious macro hiding, macro obfuscation, obfuscation technique combination ... ngờ mã độc [4] 2.2 Một số kỹ thuật gây rối mã độc Dựa kỹ thuật phát mã độc nêu trên, phần mềm antivirus phát mã độc hệ thống máy tính Tuy nhiên, bên cạnh ưu điểm phương pháp trên, với kỹ thuật. .. chương trình mã độc (Subroutime reordering) [2], [10], … Hình Thống kê mã độc macro Symantec năm 2017 MỘT SỐ KỸ THUẬT GÂY RỐI, CHE DẤU MÃ ĐỘC MACRO 346 Theo thống kê Symantec, năm 2017 số lượng công... để che dấu mã độc, biến thể nó, việc nghiên cứu kỹ thuật cần thiết để từ có giải pháp phịng chống thích hợp nhằm giảm thiểu, ngăn chặn phịng chống lại nguy gây III MỘT SỐ KỸ THUẬT CHE DẤU MÃ ĐỘC