MỤC LỤC Danh mục từ viết tắt Danh mục hình vẽ Lời nói đầu 10 Chương .12 TỔNG QUAN VỀ MÃ ĐỘC 12 1.1 Lịch sử phát triển mã độc hại 12 1.1.1 Khái niệm mã độc 12 1.1.2 Quy ước đặt tên 12 1.1.3 Lịch sử phát triển 13 1.1.4 Xu hướng phát triển .15 1.2 Phân loại mã độc 18 1.2.1.Theo hình thức lây nhiễm .19 1.2.2 Phân loại NIST 26 1.3 Các phương pháp phát mã độc 32 1.4 Các phương pháp phòng chống mã độc 36 Chương .38 CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC 38 2.1 Các định dạng liệu nhiễm mã độc 38 2.1.1 Định dạng tập tin văn .38 2.1.2 Định dạng tệp tin chương trình 41 2.1.3 Tập tin Office 46 2.1.4 Tập tin khởi động 47 2.2 Cấu trúc chi tiết định dạng PeFile .50 2.2.2 Cấu trúc PE file 58 2.3 Cơ chế hoạt động mã độc 67 2.3.1 Q trình khởi động máy tính 69 2.3.2 Một số kỹ thuật B-virus 70 2.3.3 Một số kỹ thuật F-virus 74 2.4 Các hình thức cơng mã độc .78 2.4.1 Phát tán qua email sử dụng file đính kèm 78 2.4.2 Phát tán qua email sử dụng Mã HTML độc hại 80 2.4.3 Phát tán qua USB 83 2.4.4 Phát tán dựa link độc hại .83 2.5 Câu hỏi ôn tập 84 Chương 3: 85 CƠ BẢN VỀ PHÂN TÍCH MÃ ĐỘC 85 3.1 Các kiến thức phân tích mã độc .86 3.1.1 Ngôn ngữ Assembly 32bit 88 3.1.3 Môi trường cơng cụ hỗ trợ phân tích mã độc 97 3.3 Quy trình phân tích xử lý mẫu mã độc hại 101 3.3.1 Nhận diện hệ thống bị nhiễm mã độc hại khoanh vùng xử lý 101 3.2.2 Thu thập mẫu mã độc hại 103 3.2.2 Gửi mẫu đến hãng Anti-virus .110 3.2.3 Phân tích mẫu sử dụng số phương pháp 117 3.2.4 Viết báo cáo tổng kết hành vi hoạt động mã độc 121 3.2.5 Xử lý mẫu mã độc 123 3.3 Câu hỏi tập 123 Chương .124 CÁC KỸ THUẬT PHÂN TÍCH TĨNH .124 4.1 Xây dựng mơi trường phân tích tĩnh 124 4.1.1 Xây dựng môi trường ảo 124 4.1.1 Công cụ Peid 127 4.1.2 Dependency Walker 127 4.1.3 Công cụ PE 128 4.1.4 Công cụ HexEditor 129 4.1.5 IDA pro .129 4.1.6 Công cụ Reflector 139 4.1.7 Công cụ VB Decomplier 140 4.1.8 Công cụ Ollydebug .141 4.2 Kỹ thuật phân tích sơ 147 4.3 Phân tích giải nén mẫu 150 4.3.1 Bảo vệ mã độc phương pháp nén mẫu .150 4.3.2 Giải nén mẫu mã độc 151 4.5 Phân tích sử dụng kỹ thuật dịch ngược .153 4.6 Viết báo cáo với mẫu vừa phân tích 173 4.6 Câu hỏi tập 175 Chương .176 CÁC KỸ THUẬT PHÂN TÍCH ĐỘNG .176 5.1 Kỹ thuật phân tích động sử dụng Sandbox 176 5.1.1 Công nghệ Sanbox Joebox 176 5.1.2 Công nghệ Sandbox Threatexpert .180 5.2 Kỹ thuật phân tích hành vi sử dụng môi trường máy ảo 182 5.2.1 Sysanalyzer 184 5.2.2 Process Explorer 185 5.2.3 Regshot 186 5.2.4 HijackThis 187 5.2.5 TCPView 188 5.2.6 Wireshark 189 5.2.7 Svchost Process Analyzer 190 5.2.8 Autoruns .191 5.3 Các bước phân tích kỹ thuật quan sát hành vi 192 5.4 Phân tích trường hợp cụ thể .193 TÀI LIỆU THAM KHẢO 198 PHỤ LỤC 199 DANH MỤC TỪ VIẾT TẮT API Aplication Programming Interface BP Break Point Ddos Distributed Denial of Service DLL Dynamic Link Library DNS Domain Name Service LSASS Local Security Authority Subsystem Service IRC Internet Replay Chat Malware Malicious Sofware PE Portable Executable DHCP Dynamic Host Configuaration Protocol NAT Network Address Transaltion OEP Original Entry Point RVA Relative Virtual Address IAT Import Address Table VCL Virus Creation Laboratory VB Visual Basic URL Uniform Resource Lacator MZ Mark Zbiknowsky ASM Assembly DANH MỤC HÌNH VẼ Hình 1-1 Các nguy an toàn 18 Hình 1-2 Điện thoại sử dụng hệ điều hành Android, IOS, Symbian 20 Hình 1-3 Biểu độ phát triển mã độc 20 Hình 1-4 Phân loại mã độc hại .21 Hình 1-5 Mơ hình hoạt động Logic bomb 22 Hình 1-6 Phân loại virus .25 Hình 1-7 Mô tả virus lây file 25 Hình 1-8 Mơ tả Phishing 34 Hình 1-9 Mơ hình chương trình qt hành vi .37 Hinh 2-1: Các định dạng vật chủ chứa mã thực thi bị nhiễm virus 40 Hình 2-2 : Các loại tập tin văn 41 Hình 2-3: Các loại tệp tin chương trình 43 Hình 2-5: Mô tả liệu tập tin COM tiêu biểu 45 Hình 2-6: Cấu trúc đầu file file EXE tiêu biểu 46 Hình 2-7: Cấu trúc đầu file tập tin NE-EXE tiêu biểu 47 Hinh 2-8: Cấu trúc đầu file tập tin PE-EXE tiêu biểu 47 Hinh 2-9 : Các tập tin MsOffice bị nhiễm virus 49 Hinh 2-10: Các tổ chức khởi động nhiễm virus 49 Hinh 2-11: Tổ chức đĩa cứng trước nhiễm BootVirus .50 Hinh 2-12: Tổ chức đĩa cứng sau nhiễm BootVirus 50 Hình 2-13: Tổ chức đĩa mềm trước nhiễm Virus 51 Hình 2-14: Tổ chức đĩa mềm sau nhiễm Virus 52 Hình 2-15: Tổng quan chương trình PeExplorer 53 Hình 2-16: Màn hình hiển thị PE explorer 54 Hình 2-17: Màn hình hiển thị chức Resource .55 Hình 2-18: Màn hình hiển thị Section Headers Viewer 56 Hình 2-19 : Hiển thị THƠng tin Section Editor 57 Hình 2-20: Hiển chức PE Explorer Disassembly 58 Hình 2-21 : Hiển thị tính Dependency Scanner 59 Hình 2-22: Cấu trúc PE file 60 Hình 2-23 : Quan sát vị trí thành phần với PEid .62 Hình 2-25 Cấu trúc Export Table 65 Hình 2-26: Cấu trúc Import Table 67 Hình 2-27: Quan sát Import Table với chương trình PE file 68 Hình 2-28 Phá hoại làm file phân mảnh 75 Hình 2-29 Lây với file EXE 77 Hình 2-30 Tệp tin độc hại đính kèm qua email 80 Hình 2-31 : Tấn cơng qua email 82 Hình 2-32: Thư điện tử đính kèm HTML độc hại 82 Hình 2-33: Minh họa Script chứa tệp tin đính kèm HTML 83 Hinh 2-34: Phát tán qua USB 85 Hình 2-35 Phát tán dựa link độc hại 86 Hình 3-1 Kiến trúc CPU 88 Hình 3-2: Mơ hình trừu tượng .89 Hình 3-4: Cấp phát nhớ động 94 Hình 3-5: Cấu trúc lưu biến toàn cục 95 Hình 3-6: Cấu trúc lưu biến cục .96 Hình 3-6: Hiển thị vịng lặp IDA 97 Hình 3-7: Đoạn hàm MessageBoxA user32 98 Hình 3-9 Giao diện chương trình 107 Hình 3-10 : Giao diện kết .108 Hinh 3-11: Giao diện ghi nhật ký 109 Hinh 2-12: VirusTotal 113 Hình 3- 13: Chương trình 7-zip 114 Hinh 3-14 : gửi email sử dụng định dạng zip 115 Hình 3-15 : Giao diện gửi email 116 Hinh 3-16 : Gửi mẫu lên trang Symatec .117 Hình 3-17: Gửi mẫu lên trang Bitdefender 118 Hình 3-18 Gửi mẫu lên trang AVG 118 Hình 3-19: Gửi mẫu lên trang Avira 119 Hình 3-20: Kiểm tra mơi trường phân tích 123 Hình 3-21: Tạo autorun .124 Hình 3-22: Lây lan file crack vào file rar 124 Hình 3-23: Lây nhiễm vào mạng P2P torrent 125 Hình 4-1: Chọn cấu hình mạng 127 Hình 4-2: Host- only Networking 128 Hình 4-3: Tạo snapshot 128 Hình 4-4: Phần mềm Peid 129 Hình 4-5: Dependency Walker 130 Hình 4-6 ImportREC 130 Hình 4-7 PE Tools 131 Hình 4-8 HexEditor 131 Hình 4-9: IDA pro 132 Hình 4-10 Giao diện làm việc IDA pro .133 Hình 4-11: Cửa sổ IDA view 134 Hình 4-12: Cửa sổ Function .135 Hình 4-13: Cửa sổ Import 135 Hình 4-14: Cửa sổ tham chiếu Cross- references .136 Hình 4-15: Cửa sổ Function calls 136 Hình4-16: Menu Jump 137 Hình 4-17: Menu Search .138 Hình 4-18: Tìm kiếm chuỗi cụ thể 139 Hình 4-19: Menu View 139 Hình 4-20: Cửa sổ tùy chọn complier .140 Hình 4-21: Menu Edit 141 Hình 4-22: Giao diện phần mềm Reflector 142 Hình 4-23: VB Decomplier 143 Hình 4-24 Giao diện làm việc Ollydbg .144 Hình 4-25:Menu View 145 Hình 4-26: Menu Debug .146 Hình 4-27: Tùy chọn đáng ý cửa sổ Disassembler 148 Hình 96 File PE bị pack 152 Hình 4-28: Khi giải nén .153 Hình 4-30 Xem memorymap section 156 Hình 4-32: Xuất hàm giải mã .157 Hình 4- 33: Danh sách chuỗi giải mã tìm Debug .158 Hình 4-34 Sử dụng hàm có chức tương tự hàm GetProcAddress .159 Hình 4-35: Viết lại tên hàng loạt địa .159 Hình 4-36: Gọi Hàm check debug .160 Hình 4-37: Gọi hàm NOP 160 Hình 4-38: Xác định vùng buffer .161 Hình 4-39: Lưu file cần lấy offset 184260 161 Hình 4-40: Sửa lại file với hexeditor 162 Hình 4-41: Kiểm tra với file vừa sửa 162 Hình 4-42: Xem section file 163 Hình 4-43: Dừng lại hàm Main 163 Hình 4-44: Lưu địa 164 Hình 4-45: Registry search 165 Hình 4-46: Kiểm tra môi trường ảo .165 Hình 4-47: Openfile host .166 Hình 4-48: In thêm chuỗi 166 Hình 4-49: Xuất hàm giải mã để lấy khóa registry .167 Hình 4-50: Hàm giải mã có địa 4048f9 167 Hình 4- 51: Kiểm tra hàm giả mã để lấy chuỗi cần giải mã 168 Hình 4-52: Giải mã tên file dùng tên đăng kí Registry .168 Hình 4-53: Các đường dẫn 169 Hình 4-54: Lấy tên ổ đĩa kiểu ổ đĩa .169 Hình 4-55: Copy file virus tạo file 170 Hình 4-56: Tạo file autorun 170 Hình 4-57: Tạo thread hoạt động 171 Hình 4-58 Tạo mutexname 4y6t8mUt1l .171 Hình 4-59: Tạo conect tới C&C server 172 Hình 4-60: Dùng socket API 172 Hình 4-61: Case Function với lệnh IRC KICK,PRIVMSG .173 Hình 4-62: Tìm chức tự hủy – hủy registry key 174 Hình 4-63 Lây lan file crack.exe 174 Hình 4-64: Đưa file lây lan vào mạng P2P 175 Hình 4-65: Kiểm tra mơi trường phân tích 176 Hình 4-66: Tạo autorun .176 Hình 4-67 Lây lan file crack vào cacsi file rar 177 Hình 4-68 Lây nhiễm vào mạng P2P torrent .177 Hình 5-1: Thiết kế tổng thể Sandbox – JoeBox 179 Hình 5-2 Thiết kế chi tiết Sandbox- Joebox 180 Hình 5-3: Kỹ thuật hooking and logging .181 Hình 5-4: Quy trình khơi phục lại hệ thống 181 Hình 5-5: Người dùng gửi yêu cầu tới nơi cung cấp phần mềm diệt virus .183 Hình 5-6: Người dùng gửi mẫu tới TheatExpert 183 Hình 5-7: ThreatExpet trả kết 184 Hình 5-8: Mơ hình thực nghiệm 186 Hình 5-9: Sysanalyzer 186 Hình 5-10: Process Explorer .187 Hình 5-11: Regshot .189 Hình 5-12: HijackThis 190 Hình 5-13: TCPView 191 Hình 5-14: Wireshark 192 Hình 5-15: Svchost Process Analyzer 193 Hình 5-16 Autoruns 194 LỜI NÓI ĐẦU Ngày công nghệ thông tin, mạng Internet ngày phát triển Khi nhu cầu việc sử dụng Internet người ngày tăng lúc nguy an tồn thơng tin xuất nhiều, bật nguy từ mã độc Mã độc xuất đâu môi trường thiết bị điện tử đĩa mềm, thiết bị ngoại vi USB, máy tính đến mơi trường Internet website, tin nhắn, hòm thư điện tử người dùng, phần mềm miễn phí….Mã độc lây lan vào máy tính hệ thống mạng gây thiệt hại khó lường Hiện ngày nhiều loại mã độc xuất thể khác nhau, chạy nhiều môi trường khác Windows, Linux, MacOS, Android, IOS Giáo trình Mã độc giúp sinh viên có kiến thức mã độc, hoạt động, cách thức để nhận dạng, phân tích xử lý mã độc, giảm thiểu thiệt hại cho hệ thống máy tính Giáo trình gồm chương sau: Chương Tổng quan mã độc Nội dung trình bày dạng mã độc, nguy cơ, phương pháp phát phòng chống mã độc Chương Cơ chế hoạt động mã độc Nội dung trình bày định dạng phổ biến mã độc, chế hoạt động mã độc Chương Cơ phân tích mã độc Nội dung trình bày kiến thức phân tích mã độc, quy trình phân tích Chương Các kỹ thuật phân tích tĩnh Nội dung trình bày kỹ thuật phân tích tĩnh ứng dụng vào việc phân tích mã độc Chương Các kỹ thuật phân tích động Nội dung trình bày kỹ thuật phân tích động ứng dụng vào việc phân tích mã độc Hà nội, ngày tháng 10 năm 2013 Chương TỔNG QUAN VỀ MÃ ĐỘC 1.1 Lịch sử phát triển mã độc hại 1.1.1 Khái niệm mã độc Malware (Malicious software) hay gọi mã độc (Malicious code) tên gọi chung cho phần mềm thiết kế, lập trình đặc biệt để gây hại cho máy tính làm gián đoạn môi trường hoạt động mạng Mã độc thâm nhập vào hệ thống máy tính mà khơng có đồng ý nạn nhân Mã độc hại định nghĩa “một chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống” Nhiều người sử dụng máy tính thường dùng thuật ngữ Virus để chung cho loại mã độc hại thực chất mã độc hại bao gồm nhiều loại khác 1.1.2 Quy ước đặt tên Hiện có nhiều loại mã độc khác hãng phần mềm diệt Virus thu thập thời điểm khác nhau, điều dẫn đến việc thống đặt tên mã độc theo quy ước tên định khó thực Vào năm 1991, thành viên sáng lập CARO (Computer Antivirus Reseachers Organization) thiết kế chương trình đặt tên cho mã độc ứng dụng cho sản phẩm AntiVirus, nhiên chương trình tổ chức CARO lạc hậu so với xu phát triển tốc độ phát mã độc Các nhà nghiên cứu, hãng sản phẩm thời gian để thỏa thuận với tên chung cho mẫu mã độc Mặc dù hãng đặt tên mẫu mã độc theo quy ước sau: Type.Flatform.FamilyName.Variant Trong đó: Type kiểu mã độc: trojan, dropper, virus, adware, backdoor, rootkit, worm Flatform môi trường họa động mã độc : Win32 : Hệ điều hành windows 32 bits Win64 : Hệ điều hành windows 64 bits Linux : Hệ điều hành Linux 10 Hình 5-8: Mơ hình thực nghiệm Trên máy chạy mã độc hại cài sẵn cơng cụ phân tích mã độc hại : - Sysanalyzer Process Explorer Regshot TCPView Wireshark Svchost Process Analyzer HijackThis Autoruns 5.2.1 Sysanalyzer http://securitytnt.com/sysanalyzer/ Hình 5-9: Sysanalyzer Là ứng dụng chạy thời gian thực tự động phân tích mã độc hại sinh log khía cạnh khác hệ thống, tiến trình xảy Nó thiết kế phép nhanh chóng sinh báo cáo tồn diện hành vi mã độc hại lên hệ thống SysAnalyzer tự động theo dõi so sánh: - Các tiến trình chạy Các cổng dịch vụ mở Các drivers hệ thống dùng Các thư viện thêm vào hệ thống Các giá trị registry bị thay đổi Các hàm API gọi mã độc hại Các file hệ thống bị sửa đổi Thông tin luồng traffic HTTP, IRC, DNS 176 5.2.2 Process Explorer http://technet.microsoft.com/en-us/sysinternals/bb896653 Hình 5-10: Process Explorer Proces Explorer phần mềm miễn phí cho Microsoft Windows Sysinternals tạo ra, tập đoàn Microsoft mua lại Process Explorer tiện ích theo dõi kiểm tra hệ thống, sử dụng cơng cụ gỡ rối cho phần mềm vấn đề phát sinh hệ thống Có thể dùng tiện ích thay task manager Windows Process Explorer sử dụng để theo dõi vấn đề Ví dụ như, xem tiến trình chạy, theo dõi tệp tin mở chương trình, dịng lệnh sử dụng để khởi động chương trình Process Explorer hiển thị cho bạn thơng tin tiến trình, xử lý DLLs Nó gồm cửa sổ, cửa sổ thể danh sách tiến trình hoạt động, bao gồm tên chúng tài khoản chạy chung Trong thông tin hiển thị cửa số phía phụ thuộc vào chế độ mà Process Explorer chạy Nếu process Explorer chạy chế độ dll mode bạn thấy dlls memory-mapped files tiến trình tải 177 Đây cơng cụ mạnh nhanh chóng giúp bạn nhanh chóng tìm kiếm xem tiến trình cụ thể file dll tương ứng chạy Nó có khả xem xét vấn đề phiên dll cũ, cung cấp nhìn rõ cách windows ứng dụng làm việc Nó dùng Task Manager để quản lý tài khoản chương trình chiếm dụng, thiết lập mức độ ưu tiên tiến trình Hiện Process Explorer làm việc Windows 9x/Me, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows bao gồm phiên 64 bit 5.2.3 Regshot Regshot tiện ích nhỏ để bạn so sánh thông tin registry lần trước chạy mã độc hại sau chạy mã độc hại Nó ghi lại thông tin bị thay đổi thay đổi http://sourceforge.net/projects/regshot/ Hình 5-11: Regshot - 1st shot: Chụp Registry lần thứ (chụp trước cài đặt mã độc hại có thay đổi hệ thống) - Plain TXT: Bản báo cáo so sánh kết chụp Registry xuất dạng TEXT - HTML document: Bản báo cáo so sánh kết chụp Registry xuất dạng HTML - Scan dir1[ ; dir2 ; ; dir nn ]: Chọn thư mục muốn chụp, mặc định C:\WINDOWS Nếu chọn thêm cách dấu ";" Ở C:\Users\KHANGK~1\AppData\Local\Temp\ - Output path: Đuờng dẫn chứa báo cáo so sánh kết chụp Registry - Để chụp lần thứ 1, ta click vào nút 1st shot có lựa chọn: 178  Shot: Thực chụp Registry  Shot and Save: Chụp Registry lưu lại lần chụp thành tập tin với phần mở rộng hiv  Load : mở tập tin hiv (đã chụp thời điểm trước đó) - Sau hệ thống có thay đổi, cài đặt phần mềm ta thực lần chụp thứ 2, có lựa chọn giai đoạn - Sau lần chụp thứ thực hiện, click chọn nút compare để xem kết 5.2.4 HijackThis HijackThis tiện ích miễn phí dùng để quét thay đổi Windows Spyware, Malware, chương trình lạ cách nhanh chóng xác HijackThis tạo file log chứa kết việc quét cách rõ ràng, dựa vào log file ta phân tích, tìm hướng giả cách rõ ràng http://www.spywareinfo.com/~merijn/files/hijackthis.zip Hình 5-12: HijackThis 179 5.2.5 TCPView TCPView chương trình cho phép bạn nhìn thấy kết nối TCP UDP máy bạn Nó thể địa cục máy bạn địa ip khác, ngồi cịn có thơng tin trang thái kết nối TCP Cách sử dụng TCPView: - Khi bạn khởi động TCPView hiển thị toàn kết nối TCP, UDP - Theo mặc định TCPView update giây lần, bạn sử dụng Options Refresh Rate để thay đổi Ban đống kết nối trang thái Established cách lựa chọn File Close connection Bạn ghi lại thơng tin kết nối thành báo cáo dạng log file để phân tích - TCPView cịn bao gồm Tcpvcon, phiên dòng lệnh với chức tương tự http://technet.microsoft.com/en-us/sysinternals/bb897437 Hình 5-13: TCPView 5.2.6 Wireshark Wireshark Là chương trình bắt gói tin tiếng để ta nắm hành động malware Xem kết nối ngồi 180 Wireshark hỗ trợ với nhiều giao thức khác nhau, phát triển mơ hình mã nguồn mở nên thêm vào giao thức Nó cơng cụ miễn phí dễ dùng người hỗ trợ hầu hết hệ diều hành http://www.wireshark.org/download.html Hình 5-14: Wireshark 5.2.7 Svchost Process Analyzer Svchost.exe tiến trình quan trọng Windows, chịu trách nhiệm chạy load thư viện liên kết động ( dlls ) để khởi động dịch vụ cần thiết cho hệ thống Thơng thường file svchost.exe nằm thư mục C:\Windows\System32, có nhiều mã độc hại sử dụng tên file tên tiến trình svchost.exe để ẩn hoạt động chúng Chương trình liệt kết tồn thể tiến trình svchost.exe kiểm tra dịch vụ mà nắm xem cho xác không Đây phần mềm tự http://209.68.25.184/free/svchostanalyzer/index.html 181 Hình 5-15: Svchost Process Analyzer 5.2.8 Autoruns http://technet.microsoft.com/en-us/sysinternals/bb963902 AutoRuns giúp bạn quản lí cách tồn diện vị trí mà chương trình khởi động với Windows, đưa cho bạn tồn quyền xử lí chúng Autoruns liệt kê cho bạn chi tiết thông tin chương trình đó, xếp chúng theo phân mục Registry Key, Logon, Explorer, Services, Schedule Tasks, Winsocks… Ngồi tên vị trí chương trình, bạn cịn xem module DLL mà chương trình nạp vào nhớ Với chức đó, Autoruns giúp bạn phát virus, trojan hay spyware có hại nằm ẩn máy tính bạn dùng Autoruns để tắt bớt chương trình khơng cần thiết khởi động Để xóa bỏ chương trình danh sách, khơng cho khởi động Windows, bạn đơn giản bỏ đánh dấu tương ứng Muốn xem thêm thơng tin chi tiết nhấn vào nút Properties cơng cụ 182 Hình 5-16 Autoruns 5.3 Các bước phân tích kỹ thuật quan sát hành vi B1 Đầu tiên bật chương trình Process Explorer B2 Bật chương trình bắt gói tin wireshark B3 Khởi động chương trình SysAnalyzer B4 Khởi động chương trình Regshot chạy lấy thông tin registry thời hệ thống lần B5 Load mã độc hại vào chương trình Sysanalyzer để chạy mã độc hại B6 Chạy tiếp chương trình Regshot để so sánh thông tin registry thay đổi ? B7 Kiểm tra chương trình Process Explorer, Svchost Process Analyzer B8 Kiểu tra chương trình Wireshark TCPView để xem thông tin kết nối Sau toàn bước thu thông tin hành vi mã độc hại sau : Về thuộc tính mã độc hại : Tên mã độc hại, kích thước, kiểu mã độc hại (virus, trojan, worm ) tem thời gian Thông tin checksum (MD5, SHA1) Về hành vi mã độc hại : Nó làm hệ thống thơng qua kết report ta quan sát 183 5.4 Phân tích trường hợp cụ thể Phân tích mẫu 10M-109.EXE File name: 10M-109.EXE Submission date: 2011-10-05 22:19:41 (UTC) Current status: finished Result: 36 /43 (83.7%) 184 185 Tiếp theo người phân tích tiến hành khởi động regshot, ProcessExplorer, HijackThis, Wireshark lên Người phân tích tiến hành “Shot” Regshot trước chạy 10M-109.EXE Sau tiến hành chạy file 10M-109.EXE Sau chạy xuất bảng Người phân tích phán đốn phần để upload file video Tơi thử chọn file video máy hiển thị Người phân tích tiếp tục tiến hành phân tích xuất log file Reshot HijackThis Log HijackThí có dịng “C:\10M-109.EXE” đáng ý Log Regshot có nhiều thứ “HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSave MRU\log\MRUList: "a" 186 HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSave MRU\wma\a: "C:\Documents and Settings\All Users\Documents\My Music\Sample Music\Beethoven's Symphony No (Scherzo).wma" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSave MRU\wma\MRUList: "a" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\OpenWit hList\a: "10M-109.EXE" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\OpenWit hList\MRUList: "a" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.log\OpenWith List\a: "NOTEPAD.EXE" HKU\S-1-5-21-1454471165-790525478-682003330500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.log\OpenWith List\MRUList: "a"” Và đặc biệt là: “HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\ {470C4D21-E2AC-46D6-A93C-4AC84E219400}\DhcpNameServer: "192.168.245.2" HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\ {470C4D21-E2AC-46D6-A93C-4AC84E219400}\DhcpNameServer: "192.168.91.2" HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\ {470C4D21-E2AC-46D6-A93C-4AC84E219400}\DhcpDefaultGateway: '192.168.245.2' HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\ {470C4D21-E2AC-46D6-A93C-4AC84E219400}\DhcpDefaultGateway: '192.168.91.2' HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpIPAddress: "192.168.245.128" HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpIPAddress: "192.168.91.130" HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpServer: "192.168.245.254" HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C4AC84E219400}\Parameters\Tcpip\DhcpServer: "192.168.91.254"” Quan sát dòng log thấy dường Địa IP Default Gateway máy tính bị đổi, Người phân tích bật cửa sổ cmd lên để kiểm tra IP máy dự đốn địa IP máy tính bị đổi 187 IP trước chạy 10M-109.EXE Người phân tích lại tiếp tục quan sát ProcessExplorer thấy có chương trình lạ chạy dfhbt3y.exe Người phân tích bật cửa sổ cmd lên sử dụng lệnh “tasklist/svc” thấy ngồi chương trình cịn có “mbkfvo8.exe” Khi theo đường dẫn để tìm đến “dfhbt3y.exe” thấy có file “aeuqifjyx4.exe” thư mục Administrator Từ thấy ba file sinh từ 10M109.EXE Để thấy rõ cần phải phân tích thêm Wireshark tiến trình svchost.exe Có thể sử dụng kết hợp nhiều phương pháp phân tích tĩnh để tiếp tục cơng việc Trên ví dụ cụ thể phân tich mã độc sử dụng phương pháp phân tích động 188 TÀI LIỆU THAM KHẢO [1] Michael Sikorski and Andrew Honig, Practical Malware Analysis, No Starch Press, 2012 [2] Charles Hornat, Malware Analysis: An Introduction, SAN Institute, 2007 [3] Linda Wills, Philip Newcomb, Revere Engineering, KLUWER ACADEMIC PUBLISHERS, 2012 [4] Cameron H Malin, Eoghan Casey and James M Aquilina Malware Forensics Field Guide for Windows Systems edition 1, Syngress, 2012 [5] Christopher Elisan, Malware, Rootkits & Botnets A Beginner's Guide, McGraw-Hill Osborne Media, 2012 [6] Ed Skoudis and Lenny Zeltser, Fighting Malicious Code, Prentice Hall, 2003 [7] Cameron H Malin, Eoghan Casey and James M Aquilina, Malware Forensics: Investigating and Analyzing Malicious Code, Syngress, 2008 [8] Christopher Elisan, Malware, Rootkits & Botnets A Beginner's Guide, McGraw-Hill Osborne Media, 2012 [9] Eldad Eilam, Reversing: Secrets of Reverse Engineering, Wiley; edition, 2005 189 PHỤ LỤC 190 ... động giống Variant: đại diện cho biến thể dịng mã độc Ví dụ: Virus.Win32.XdocCrypt.1 Type: Virus, Flatform: Win32, Family: XdocCrypt, Variant:1 1.1.3 Lịch sử phát triển Hiện Internet ngày phát triển... NumberOfRelocations, NumberOfLineNumbers, AddressOfEntryPoint 2.1.3 Tập tin Office Các tập tin tư liệu (document files) tập liệu người dùng công cụ Microsoft Office (Bảng P2.4) Đây đối tượng lây nhiễm... sử dụng tập lệnh macro VBA (Visual Basic Application) Microsoft Ngồi đối tượng lây nhiễm tập tin DOC, XLS PPT; tập tin template add-in nơi “trú ngụ” tốt cho virus macro Lưu trữ nhiều đối tượng