Đăng ký
  1. Trang chủ
  2. » Công Nghệ Thông Tin

Giáo trình Mã độc: Phần 1

124 64 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Nội dung của giáo trình Mã độc phần 1 gồm các chương: chương 1 - tổng quan về mã độc: các dạng mã độc, nguy cơ, các phương pháp phát hiện và phòng chống mã độc; chương 2 - cơ chế hoạt động của mã độc: định dạng phổ biến của mã độc, cơ chế hoạt động của mã độc; chương 3 - cơ bản về phân tích mã độc: kiến thức cơ bản về phân tích mã độc, quy trình phân tích. 

GIÁO TRÌNH MÃ ĐỘC MỤC LỤC Danh mục từ viết tắt Danh mục hình vẽ Lời nói đầu 11 Chương 13 TỔNG QUAN VỀ MÃ ĐỘC 13 1.1 Lịch sử phát triển mã độc hại 13 1.1.1 Khái niệm mã độc 13 1.1.2 Quy ước đặt tên 13 1.1.3 Lịch sử phát triển 14 1.1.4 Xu hướng phát triển 16 1.2 Phân loại mã độc 19 1.2.1.Theo hình thức lây nhiễm 20 1.2.2 Phân loại NIST 27 1.3 Các phương pháp phát mã độc 33 1.4 Các phương pháp phòng chống mã độc 37 Chương 39 CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC 39 2.1 Các định dạng liệu nhiễm mã độc 39 2.1.1 Định dạng tập tin văn 39 2.1.2 Định dạng tệp tin chương trình 42 2.1.3 Tập tin Office 47 2.1.4 Tập tin khởi động 48 2.2 Cấu trúc chi tiết định dạng PeFile 51 2.2.2 Cấu trúc PE file 59 2.3 Cơ chế hoạt động mã độc 68 2.3.1 Quá trình khởi động máy tính 70 2.3.2 Một số kỹ thuật B-virus 71 2.3.3 Một số kỹ thuật F-virus 75 2.4 Các hình thức cơng mã độc 79 2.4.1 Phát tán qua email sử dụng file đính kèm 79 2.4.2 Phát tán qua email sử dụng Mã HTML độc hại 81 2.4.3 Phát tán qua USB 84 2.4.4 Phát tán dựa link độc hại 84 2.5 Câu hỏi ôn tập 85 Chương 3: 86 CƠ BẢN VỀ PHÂN TÍCH MÃ ĐỘC 86 3.1 Các kiến thức phân tích mã độc 87 3.1.1 Ngôn ngữ Assembly 32bit 89 3.1.3 Môi trường công cụ hỗ trợ phân tích mã độc 98 3.3 Quy trình phân tích xử lý mẫu mã độc hại 102 3.3.1 Nhận diện hệ thống bị nhiễm mã độc hại khoanh vùng xử lý 102 3.2.2 Thu thập mẫu mã độc hại 104 3.2.2 Gửi mẫu đến hãng Anti-virus 111 3.2.3 Phân tích mẫu sử dụng số phương pháp 118 3.2.4 Viết báo cáo tổng kết hành vi hoạt động mã độc 122 3.2.5 Xử lý mẫu mã độc 124 3.3 Câu hỏi tập 124 Chương 125 CÁC KỸ THUẬT PHÂN TÍCH TĨNH 125 4.1 Xây dựng mơi trường phân tích tĩnh 125 4.1.1 Xây dựng môi trường ảo 125 4.1.1 Công cụ Peid 128 4.1.2 Dependency Walker 128 4.1.3 Công cụ PE 129 4.1.4 Công cụ HexEditor 130 4.1.5 IDA pro 130 4.1.6 Công cụ Reflector 140 4.1.7 Công cụ VB Decomplier 141 4.1.8 Công cụ Ollydebug 142 4.2 Kỹ thuật phân tích sơ 148 4.3 Phân tích giải nén mẫu 151 4.3.1 Bảo vệ mã độc phương pháp nén mẫu 151 4.3.2 Giải nén mẫu mã độc 152 4.5 Phân tích sử dụng kỹ thuật dịch ngược 154 4.6 Viết báo cáo với mẫu vừa phân tích 174 4.6 Câu hỏi tập 176 Chương 177 CÁC KỸ THUẬT PHÂN TÍCH ĐỘNG 177 5.1 Kỹ thuật phân tích động sử dụng Sandbox 177 5.1.1 Công nghệ Sanbox Joebox 177 5.1.2 Công nghệ Sandbox Threatexpert 181 5.2 Kỹ thuật phân tích hành vi sử dụng mơi trường máy ảo 183 5.2.1 Sysanalyzer 185 5.2.2 Process Explorer 186 5.2.3 Regshot 187 5.2.4 HijackThis 188 5.2.5 TCPView 189 5.2.6 Wireshark 190 5.2.7 Svchost Process Analyzer 191 5.2.8 Autoruns 192 5.3 Các bước phân tích kỹ thuật quan sát hành vi 193 5.4 Phân tích trường hợp cụ thể 194 TÀI LIỆU THAM KHẢO 199 PHỤ LỤC 200 DANH MỤC TỪ VIẾT TẮT API Aplication Programming Interface BP Break Point Ddos Distributed Denial of Service DLL Dynamic Link Library DNS Domain Name Service LSASS Local Security Authority Subsystem Service IRC Internet Replay Chat Malware Malicious Sofware PE Portable Executable DHCP Dynamic Host Configuaration Protocol NAT Network Address Transaltion OEP Original Entry Point RVA Relative Virtual Address IAT Import Address Table VCL Virus Creation Laboratory VB Visual Basic URL Uniform Resource Lacator MZ Mark Zbiknowsky ASM Assembly DANH MỤC HÌNH VẼ Hình 1-1 Các nguy an tồn 17 Hình 1-2 Điện thoại sử dụng hệ điều hành Android, IOS, Symbian 19 Hình 1-3 Biểu độ phát triển mã độc 19 Hình 1-4 Phân loại mã độc hại 20 Hình 1-5 Mơ hình hoạt động Logic bomb 21 Hình 1-6 Phân loại virus 24 Hình 1-7 Mô tả virus lây file 24 Hình 1-8 Mơ tả Phishing 33 Hình 1-9 Mơ hình chương trình qt hành vi 36 Hinh 2-1: Các định dạng vật chủ chứa mã thực thi bị nhiễm virus 39 Hình 2-2 : Các loại tập tin văn 40 Hình 2-3: Các loại tệp tin chương trình 42 Hình 2-5: Mô tả liệu tập tin COM tiêu biểu 44 Hình 2-6: Cấu trúc đầu file file EXE tiêu biểu 45 Hình 2-7: Cấu trúc đầu file tập tin NE-EXE tiêu biểu 46 Hinh 2-8: Cấu trúc đầu file tập tin PE-EXE tiêu biểu 46 Hinh 2-9 : Các tập tin MsOffice bị nhiễm virus 48 Hinh 2-10: Các tổ chức khởi động nhiễm virus 48 Hinh 2-11: Tổ chức đĩa cứng trước nhiễm BootVirus 49 Hinh 2-12: Tổ chức đĩa cứng sau nhiễm BootVirus 49 Hình 2-13: Tổ chức đĩa mềm trước nhiễm Virus 50 Hình 2-14: Tổ chức đĩa mềm sau nhiễm Virus 51 Hình 2-15: Tổng quan chương trình PeExplorer 52 Hình 2-16: Màn hình hiển thị PE explorer 53 Hình 2-17: Màn hình hiển thị chức Resource 54 Hình 2-18: Màn hình hiển thị Section Headers Viewer 55 Hình 2-19 : Hiển thị THÔng tin Section Editor 56 Hình 2-20: Hiển chức PE Explorer Disassembly 57 Hình 2-21 : Hiển thị tính Dependency Scanner 58 Hình 2-22: Cấu trúc PE file 59 Hình 2-23 : Quan sát vị trí thành phần với PEid 61 Hình 2-25 Cấu trúc Export Table 64 Hình 2-26: Cấu trúc Import Table 66 Hình 2-27: Quan sát Import Table với chương trình PE file 67 Hình 2-28 Phá hoại làm file phân mảnh 74 Hình 2-29 Lây với file EXE 76 Hình 2-30 Tệp tin độc hại đính kèm qua email 79 Hình 2-31 : Tấn công qua email 81 Hình 2-32: Thư điện tử đính kèm HTML độc hại 81 Hình 2-33: Minh họa Script chứa tệp tin đính kèm HTML 82 Hinh 2-34: Phát tán qua USB 84 Hình 2-35 Phát tán dựa link độc hại 85 Hình 3-1 Kiến trúc CPU 87 Hình 3-2: Mơ hình trừu tượng 88 Hình 3-4: Cấp phát nhớ động 93 Hình 3-5: Cấu trúc lưu biến tồn cục 94 Hình 3-6: Cấu trúc lưu biến cục 95 Hình 3-6: Hiển thị vòng lặp IDA 96 Hình 3-7: Đoạn hàm MessageBoxA user32 97 Hình 3-9 Giao diện chương trình 106 Hình 3-10 : Giao diện kết 107 Hinh 3-11: Giao diện ghi nhật ký 108 Hinh 2-12: VirusTotal 112 Hình 3- 13: Chương trình 7-zip 113 Hinh 3-14 : gửi email sử dụng định dạng zip 114 Hình 3-15 : Giao diện gửi email 115 Hinh 3-16 : Gửi mẫu lên trang Symatec 116 Hình 3-17: Gửi mẫu lên trang Bitdefender 117 Hình 3-18 Gửi mẫu lên trang AVG 117 Hình 3-19: Gửi mẫu lên trang Avira 118 Hình 3-20: Kiểm tra mơi trường phân tích 122 Hình 3-21: Tạo autorun 123 Hình 3-22: Lây lan file crack vào file rar 123 Hình 3-23: Lây nhiễm vào mạng P2P torrent 124 Hình 4-1: Chọn cấu hình mạng 126 Hình 4-2: Host- only Networking 127 Hình 4-3: Tạo snapshot 127 Hình 4-4: Phần mềm Peid 128 Hình 4-5: Dependency Walker 129 Hình 4-6 ImportREC 129 Hình 4-7 PE Tools 130 Hình 4-8 HexEditor 130 Hình 4-9: IDA pro 131 Hình 4-10 Giao diện làm việc IDA pro 132 Hình 4-11: Cửa sổ IDA view 133 Hình 4-12: Cửa sổ Function 134 Hình 4-13: Cửa sổ Import 134 Hình 4-14: Cửa sổ tham chiếu Cross- references 135 Hình 4-15: Cửa sổ Function calls 135 Hình4-16: Menu Jump 136 Hình 4-17: Menu Search 137 Hình 4-18: Tìm kiếm chuỗi cụ thể 138 Hình 4-19: Menu View 138 Hình 4-20: Cửa sổ tùy chọn complier 139 Hình 4-21: Menu Edit 140 Hình 4-22: Giao diện phần mềm Reflector 141 Hình 4-23: VB Decomplier 142 Hình 4-24 Giao diện làm việc Ollydbg 143 Hình 4-25:Menu View 144 Hình 4-26: Menu Debug 145 Hình 4-27: Tùy chọn đáng ý cửa sổ Disassembler 147 Hình 96 File PE bị pack 151 Hình 4-28: Khi giải nén 152 Hình 4-30 Xem memorymap section 155 Hình 4-32: Xuất hàm giải mã 156 Hình 4- 33: Danh sách chuỗi giải mã tìm Debug 157 Hình 4-34 Sử dụng hàm có chức tương tự hàm GetProcAddress 158 Hình 4-35: Viết lại tên hàng loạt địa 158 Hình 4-36: Gọi Hàm check debug 159 Hình 4-37: Gọi hàm NOP 159 Hình 4-38: Xác định vùng buffer 160 Hình 4-39: Lưu file cần lấy offset 184260 160 Hình 4-40: Sửa lại file với hexeditor 161 Hình 4-41: Kiểm tra với file vừa sửa 161 Hình 4-42: Xem section file 162 Hình 4-43: Dừng lại hàm Main 162 Hình 4-44: Lưu địa 163 Hình 4-45: Registry search 164 Hình 4-46: Kiểm tra môi trường ảo 164 Hình 4-47: Openfile host 165 Hình 4-48: In thêm chuỗi 165 Hình 4-49: Xuất hàm giải mã để lấy khóa registry 166 Hình 4-50: Hàm giải mã có địa 4048f9 166 Hình 4- 51: Kiểm tra hàm giả mã để lấy chuỗi cần giải mã 167 Hình 4-52: Giải mã tên file dùng tên đăng kí Registry 167 Hình 4-53: Các đường dẫn 168 Hình 4-54: Lấy tên ổ đĩa kiểu ổ đĩa 168 Hình 4-55: Copy file virus tạo file 169 Hình 4-56: Tạo file autorun 169 Hình 4-57: Tạo thread hoạt động 170 Hình 4-58 Tạo mutexname 4y6t8mUt1l 170 Hình 4-59: Tạo conect tới C&C server 171 Hình 4-60: Dùng socket API 171 Hình 4-61: Case Function với lệnh IRC KICK,PRIVMSG 172 Hình 4-62: Tìm chức tự hủy – hủy registry key 173 Hình 4-63 Lây lan file crack.exe 173 Hình 4-64: Đưa file lây lan vào mạng P2P 174 Hình 4-65: Kiểm tra mơi trường phân tích 175 Hình 4-66: Tạo autorun 175 Hình 4-67 Lây lan file crack vào cacsi file rar 176 Hình 4-68 Lây nhiễm vào mạng P2P torrent 176 Hình 5-1: Thiết kế tổng thể Sandbox – JoeBox 178 Hình 5-2 Thiết kế chi tiết Sandbox- Joebox 179 Hình 5-3: Kỹ thuật hooking and logging 180 Hình 5-4: Quy trình khơi phục lại hệ thống 180 Hình 5-5: Người dùng gửi yêu cầu tới nơi cung cấp phần mềm diệt virus 182 Hình 5-6: Người dùng gửi mẫu tới TheatExpert 182 Hình 5-7: ThreatExpet trả kết 183 Hình 5-8: Mơ hình thực nghiệm 185 Hình 5-9: Sysanalyzer 185 Hình 5-10: Process Explorer 186 Hình 5-11: Regshot 188 Hình 5-12: HijackThis 189 Hình 5-13: TCPView 190 Hình 5-14: Wireshark 191 Hình 5-15: Svchost Process Analyzer 192 Hình 5-16 Autoruns 193 10 (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken Folders Infected: c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken Files Infected: c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop3.rar (Trojan.Agent) -> No action taken c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop2.rar (Worm.AutoRun) -> No action taken 110 c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.rar (Worm.AutoRun.Gen) -> No action taken Nhìn vào số đường dẫn bơi đỏ, người thu thấp thấy virus trú ngụ vị trí máy Lúc người thu thập cần dùng winrar nén lên gửi lên forum xong Cách nén winrar: Khi biết đường dẫn virus trú ngụ, chẳng hạn máy tính file.exe lây đường dẫn C:\Documents and Settings\Nguyen Van A\file.exe việc vào ổ C, theo đường dẫn nhấp phải chuột vạo file file.exe chọn add to "file.rar" người thu thập nén mẫu winrar 3.2.2 Gửi mẫu đến hãng Anti-virus Sau thu thập mẫu mã độc máy tính, hệ thống, người phân tích thu thâp ngồi việc tự phân tích xử lý mẫu mà độc cịn nên gửi mẫu mã độc cho tổ chức, cho công ty Antivirus Điều giúp hãng cập nhật mẫu Hầu hết hãng Antivirus có riêng phần thơng tin Website người dùng gửi mẫu lên 111 Hinh 2-12: VirusTotal http://www.techsupportalert.com/content/how-report-malware-or-falsepositives-multiple-antivirus-vendors.htm 3.2.2.1 Gửi email Sau người thu thập có mẫu, bước để gửi cho hãng Antivirus sau: Bước 1: Sử dụng mail client khuyến cáo sử dụng Thunderbird,Outlook Bước : Sử dụng chương trình nén file, sử dụng 7-Zip phần mềm Free đặt mật sau nén file 112 Hình 3- 13: Chương trình 7-zip Một số hãng yêu cầu gửi mẫu mã độc sử dụng định dạng zip kèm theo mật khẩu, bên cạnh số hãng gửi mẫu mã độc sử dụng định dạng 7z nên người thu thập nên sử dụng định dạng để gửi mẫu Gửi email sử dụng định dạng zip dạng sau: 113 Hinh 3-14 : gửi email sử dụng định dạng zip Email công ty mã độc v3sos@ahnlab.com;virus@arcabit.com;virus@avast.com;virus@avg.co m;virus@avira.com;virus_submission@bitdefender.com;bkav@bkav.co m.vn;samples@bluepointsecurity.com;clearsight.support@clearsightav com;malwaresubmit@avlab.comodo.com;virus@avsubmit.com;vms@d rweb.com;malware@emcosoftware.com;submit@emsisoft.com;virus@ esafe.com;samples@escanav.com;submitvirus@fortinet.com;research @spy-emergency.com;viruslab@fprot.com;labs@fsbantivirus.com;vsamples@fsecure.com;virus@orbitec h.org;samples@ikarus.at;submit@samples.immunet.com;k7viruslab@l abs.k7computing.com;newvirus@kaspersky.com;support@jiangmin.co m;research@lavasoft.com;virus_research@avertlabs.com;virus@micro point.com.cn;avsubmit@submit.microsoft.com;virus@nanoav.ru;soport e@neotechnology.com.mx;samples@eset.com;support@noralabs.com; 114 analysis@norman.no;newvirus@novirusthanks.org;virus_info@inca.co kr;virus@pandasecurity.com;suporte@psafe.com;kefu@360.cn;support @rubus.co.in;newvirus@scop.com;samples@sophos.com;detections@spybot.info;vlab@srnmicro com;avsubmit@symantec.com;trojans@moosoft.com;virus@hacksoft com.pe;virus@thirtyseven4.com;virus@ca.com;submit@trojanhunter.c om;support@simplysup.com;virus@filseclab.com;malwarecruncher@sunbelt-software.com;viruslab@hauri.co.kr;newvirus@antivirus.by;esupport@webroot.com;virus@zillya.com;huangruimin@kings oft.com;lab@filemedic.com;pomoc@mks.com.pl Gửi email định dạng 7z sau: Hình 3-15 : Giao diện gửi email Email công ty mã độc sử dụng định dạng support.is@cmclab.net;samples@digitaldefender.com;sample@preventon.com;supporttech@returnil.com;info@chicalogic.com;submit@antiy.com 3.2.2.2 Gửi trang trực tuyến 115 Hầu hết Website hãng có khu vực cho phép gửi mẫu lên Đây cách giúp hãng AntiVirus có thêm mẫu Hinh 3-16 : Gửi mẫu lên trang Symatec 116 Hình 3-17: Gửi mẫu lên trang Bitdefender Hình 3-18 Gửi mẫu lên trang AVG 117 Hình 3-19: Gửi mẫu lên trang Avira 3.2.3 Phân tích mẫu sử dụng số phương pháp 3.2.3.1 Phân tích thơng tin sơ mã độc hại Người phân tích dự đốn đặc điểm, phân loại mã độc hại, chia dòng, đặt tên cách xem mã hex, xem thuộc tính file, kích thước file… thông tin đơn giản khác để tiến hành phân loại sơ mã độc hại Tìm kiếm thơng tin: upload mã độc hại lên trang Virustotal scan chương trình Anti-Virus xem chúng nhận diện chưa Nếu mã độc hại nhận diện, tìm kiếm thêm thơng tin mã độc hại làm sở để thực việc phân tích chi tiết 3.2.3.2 Phân tích thơng tin chi tiết hoạt động mã độc hại Hiện có phương pháp phân tích mã độc hại phổ biến Đó - Phân tích tĩnh (static analysis) - Phân tích động (dynamic analysis) Cả phương pháp quan trọng có ưu nhược điểm riêng a Static analysis (phân tích tĩnh) 118 Static analysis phương pháp xem mã dịch ngược để xác định hành vi thực mã độc hại làm hệ thống mà khơng cần phải chạy từ hiểu rõ hoạt động mã độc hại Phương pháp thường sử dụng công cụ: Disassembler Decompiler - Source code analyzer Ưu điểm phương pháp phân tích tĩnh: - Phân tích tĩnh phát hoạt động, cách hoạt động mã độc trường hợp khác - Static analysis cho nhìn chương trình Tuy nhiên khó nắm tồn hoạt động chương trình, trừ chương trình có mã code nhỏ Nhược điểm phương pháp phân tích tĩnh: • Phương pháp địi hỏi người phân tích phải am hiểu sâu hệ thống lập trình, khơng phải tất mã độc hại dịch ngược Hơn nhiều mã độc hại lập trình tinh vi dùng nhiều chương trình bảo vệ để chống dịch ngược mã dạng assembly b Dynamic analysis (phân tích động) Dynamic analysis hay cịn gọi phân tích động phương pháp quan sát xem mã độc hại thực thi làm gì, chạy nào, làm máy tính qua cơng cụ monitor, cách có nhược điểm với dịng mã độc hại chạy theo lịch trình Nghiên cứu hoạt động chương trình cách thực thi chương trình Phương pháp thường sử dụng cơng cụ: - Debugger - Function call tracer - Machine emulator - Logic analyzer - Network sniffer Ưu nhược điểm 119 - Dynamic analysis cung cấp thơng tin nhanh xác Tuy nhiên dynamic analysis có nhược điểm là: "Những thấy khơng phải tất cả" Nói cách khác dynamic analysis khơng thể dự đốn hành vi chương trình điều kiện "đặc biệt" khơng tồn thực tế Có thể lấy ví dụ với mã độc hại chạy theo thời gian, tức thời điểm hoạt động thời điểm khác lại khơng hoạt động Mỗi phương pháp có đặc điểm riêng phân tích mã độc hại người ta thường phải sử dụng phương pháp để hỗ trợ lẫn Dù mục đích giống cơng cụ hỗ trợ việc phân tích, thời gian bỏ phương pháp khác 2.2.4.1 Quan sát hành vi mã độc hại (Dynamic analysis) Như nói qua phương pháp sử dụng để phân tích mã độc hại phương pháp quan sát hành vi mã độc hại dùng trước Để quan sát hành vi mã độc hại đòi hỏi thiết lập môi trường thử nghiệm: sử dụng máy ảo, sandbox, vitural PC mã độc hại chạy Nếu mã độc hại có chế phát mơi trường ảo phải sử dụng mơi trường thật giới hạn (trong LAN) để thử nghiệm Thiết lập mạng Internet, web, mail, cài đặt hệ thống có lỗi mã độc hại khai thác lỗi từ lỗi hệ thống Môi trường thử nghiệm đầy đủ, "thật" quan sát nhiều đặc điểm mã độc hại Nếu xây dựng hệ thống máy máy bị nhiễm tốt Thiết lập cơng cụ giám sát: khơng thể quan sát virus mắt nên mơi trường thử nghiệm cần có công cụ quan sát chuyên dụng như: File monitor Registry monitor Process monitor Network monitor Các tool phát rootkit Bộ công cụ giúp quan sát mã độc hại tốt Bắt đầu chạy mã độc hại quan sát thông tin : 120 - Khảo sát processes xem có processes lạ đáng ngờ khơng? - Khảo sát modules dlls… xem có gắn vào process hệ thống không? - Khảo sát registry xem có process khởi động với hệ điều hành có key sinh bị sửa đổi không? - Kiểm tra MD5, CRC, SHA module (file) chạy hệ thống xem có bị mã độc hại gắn vào không? - Khảo sát file, thư mục ẩn để tìm file nghi ngờ - Khảo sát driver, tìm rootkit làm ẩn tiến trình, ẩn key - Khảo sát lưu lượng mạng xem có tăng đột ngột khơng? - Kiểm tra xem kết nối TCP/IP máy Chạy mã độc hại ghi log, quan sát lâu kết xác Thơng thường mã độc hại quan sát chúng khơng cịn hoạt động đáng kể hành động lặp lặp lại Việc ghi log chủ yếu công cụ monitor chuyên dụng thực 2.2.4.2 Phân tích mã dịch ngược (Static analysis) Sau phân tích mã độc hại cách quan sát hành vi ta thu số thông tin, chưa đủ, ta cần dịch ngược mã độc hại để xem chi tiết rõ liệu mã độc hại cịn làm làm vào thời điểm Do mã độc hại thu dạng thực thi mã nguồn kèm theo để phân tích nên thường phải dịch ngược mã độc hại mã assembly để phân tích Thường bước ta làm việc sau: - Xem mã độc hại viết ngơn ngữ gì? - Có sử dụng packer để nén lại hay protector (chương trình bảo vệ)nào không? - Khi biết mã độc hại pack trình dùng trình unpack ra, tương tự unprotector file mã độc hại - Dùng công phụ phù hợp với công cụ viết mã độc hại để decompile, disassemble, debugging - Đọc phân tích mã code assembly để tìm thêm hoạt động mã độc hại 121 - Trace code , debug mã độc hại việc dịch ngược tỏ khó khăn thiếu hiệu Hoặc cần làm thật rõ đoạn mã người ta phải debug mã độc hại Có nghĩa lần lệnh nhỏ mã độc hại để xem xác mã độc hại làm Mã độc hại thường có kỹ thuật chống dịch ngược có kỹ thuậnt chống debug (anti debug) người phân tích phải vượt qua (anti anti-debug) 3.2.4 Viết báo cáo tổng kết hành vi hoạt động mã độc Sau phân tích xong mẫu mã độc, người phân tích cần tổng hợp thành báo cáo hành vi hoạt động mã độc Dưới báo cáo tổng hợp lại kết sau phân tích I CONF4.exe SHA256:1c09b262b940d22c7f0b6956aee0949a640db66616bf70e4cdf6b 1e7eae06828 SHA1: fd24495048ce85e39174b0f9f6fc5597137b84d5 MD5: ceea769e2b3dfc45ce8f0075541a5939 File size: 112.7 KB( 115376 bytes) File name: conf4.exe File type: Win32EXE Code Borland Delphi( 2.0-7.0) VisualC++ 6.0 II Thông tin chung - File Spy Bot Net bị 22/44 trình diệt virus phát theo virus total xác định III Các hoạt động cụ thể Kiểm tra chương trình thực việc phân tích wireshark,… hàm kiểm tra sandbox, vmware… Hình 3-20: Kiểm tra mơi trường phân tích 122 Thực việc đăng kí, tạo thread tự động copy file, dùng API CopyFileA copy file virus sang, tạo file desktop.ini đăng kí khóa autorun: Hình 3-21: Tạo autorun Tạo thread với hàm Bot, để trì nhận lệnh bot từ xa từ C&C server: New.gov.me Các chức Bot tìm thấy: - Tự hủy - Xóa Registry key - Tự tạo file.bat remove file - Download file tự cập nhật - Lây lan file crack.exe vào tất file rar máy Hình 3-22: Lây lan file crack vào file rar 123 - Spam email ( gửi file zip ), Spam lấy thông tin loại tài khoản yahoo, MSN, Spype - Đưa file lây nhiễm vào mạng P2P torrent Hình 3-23: Lây nhiễm vào mạng P2P torrent - Tấn công Dos mục tiêu định ( syn flood) - Tìm giả mã hệ thống bảo vệ Pstore Windows 3.2.5 Xử lý mẫu mã độc Tìm signature mã độc hại phương pháp diệt mã độc hại Trong bước thực hiện: • Tìm đặc điểm nhận diện mã độc hại hệ thống sau phân tích (ví dụ offset chứa chuỗi string nào, giá trị MD5 file…) • Đề phương án khắc phục hệ thống bị nhiễm mã độc hại • Tìm phương án diệt nó, nắm hành tự viết script xóa mã độc hại hệ thống 3.3 Câu hỏi tập 124 ... 11 Chương 13 TỔNG QUAN VỀ MÃ ĐỘC 13 1. 1 Lịch sử phát triển mã độc hại 13 1. 1 .1 Khái niệm mã độc 13 1. 1.2 Quy ước đặt tên 13 1. 1.3 Lịch... chương trình 10 6 Hình 3 -10 : Giao diện kết 10 7 Hinh 3 -11 : Giao diện ghi nhật ký 10 8 Hinh 2 -12 : VirusTotal 11 2 Hình 3- 13 : Chương trình 7-zip 11 3 Hinh 3 -14 ... tháng 10 năm 2 013 11 12 Chương TỔNG QUAN VỀ MÃ ĐỘC 1. 1 Lịch sử phát triển mã độc hại 1. 1 .1 Khái niệm mã độc Malware (Malicious software) hay gọi mã độc (Malicious code) tên gọi chung cho phần

Ngày đăng: 02/10/2021, 08:39

Xem thêm:

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN