HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: Tìm hiểu cơng cụ Cuckoo Giảng viên hướng dẫn: Sinh viên thực hiện: Mã sinh viên: Nhóm: Số điện thoại: TS Đặng Minh Tuấn Nguyễn Anh Duy B18DCAT039 02 0866808700 Hà Nội, 2021 MỤC LỤC Lời mở đầu Danh mục thuật ngữ tiếng Anh từ viết tắt Danh mục hình vẽ .5 Giới thiệu 1.1 1.1.1 Cuckoo gì? 1.1.2 Kiến trúc 1.1.3 Lịch sử hình thành .8 1.1.4 Một số công cụ Sanbox khác Phân tích mã độc kỹ thuật sanboxing 12 2.1 Sandbox gì? .12 2.2 Vai trò Sandbox 12 Cấu hình cài đặt tính 14 3.1 Giới thiệu công cụ cuckoo Cấu hình cài đặt .14 3.1.1 Yêu cầu máy chủ 14 3.1.2 Yêu cầu máy khách .15 3.2 Các bước cài đặt : 15 3.3 Các tính 19 3.3.1 Sumary Page: 19 3.3.2 Static Analysis 21 3.3.3 Behavioural Analysis .22 3.3.4 Network Analysis 23 Demo .24 4.1 Phân tích malware Cuckoo Sandbox 24 4.2 Phân tích file Word chứa Trojan 26 4.3 Phân tích mã độc Cuckoo Sandbox 31 Kết luận 34 Lời cảm ơn 35 Danh mục tham khảo 36 Lời mở đầu Mã độc hay “Malicious software”[1] loại phần mềm tạo chèn vào hệ thống cách bí mật với mục đích thâm nhập, phá hoại hệ thống lấy cắp thông tin, làm gián đoạn, tổn hại ta tính bí mật, tính tồn vẹn tính sẵn sàng máy tính nạn nhân Mã độc phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá hoại: virus, worm, trojan, rootkit … Để tìm mã độc ta cần phải có phương pháp phân tích kỹ thuật phân tích mã độc Phân tích mã độc bước quan trọng để ngăn chặn tiêu diệt hồn tồn mã độc khỏi máy tính hệ thống mạng; khôi phục lại trạng mạng ban đầu; truy tìm nguồn gốc cơng Trước tiên cần xác định xác chuyện xảy với tồn hệ thống, tìm tồn thiết bị, tệp, ứng dụng bị lây nhiễm Trong quy trình phân tích mã độc, cần xác định xác mã độc thực hiện, cách thức phát mã độc hệ thống mạng, phương pháp đo lường thiệt hại gây Và quan trọng cần tìm qui luật đặc trưng (Mã nhận diện – signatures) để nhận diện mã độc, diệt mã độc khôi phục hệ thống Bài báo cáo trình bày kỹ thuật sandboxing cơng cụ phân tích mã độc động Cuckoo Danh mục thuật ngữ tiếng Anh từ viết tắt Từ viết tắt Thuật ngữ tiếng Anh Pcap Application programming interface (API) for capturing network traffic DLL Dynamic Link Library PDF Portable Document Format HTML Hypertext Markup Language URL Uniform Resource Locator PHP CPL JAR Hypertext Preprocessor Description of Control Panel Java ARchive Thuật ngữ tiếng Việt Giao diện lập trình ứng dụng để nắm bắt lưu lượng mạng Thư viện liên kết động Định dạng tài liệu di động Ngôn ngữ đánh dấu siêu văn Địa định vị tài nguyên toàn cầu Ngơn ngữ lập trình PHP Mơ tả Bảng điều khiển File nén Danh mục hình vẽ Hình 1.1 Kiến trúc Cukoo Hình 1.2 Một wep sever khởi tạo 10 Hình 1.3 Giao diện công cụ joesandbox .10 Hình 1.4 Cơng cụ threatexpert .11 Hình 2.1 Trình duyệt phổ biến 13 Hình 3.1 Khởi tạo môi trường python2 để chạy cuckoo 15 Hình 3.2 Cài đặt thưu viện cần thiết 16 Hình 3.3 Máy ảo virtualbox 16 Hình 3.4 Điều chỉnh cấu hình IP 17 Hình 3.5 Bật chế độ share thư mục máy ảo máy thật 17 Hình 3.6 Khởi động cuckoo thành cơng .18 Hình 3.7 Phân tích .18 Hình 3.8 Quá trình kết phân tích 19 Hình 3.9 Màn hình Sumary report 19 Hình 3.10 Information on excution 20 Hình 3.11 Phân tích signatures .20 Hình 3.12 Các bước chạy máy ảo 21 Hình 3.13 static analysis .21 Hình 3.14 Các thư viện imprort 22 Hình 3.15 Các thư viện imprort 22 Hình 3.16 Xem thơng tin chi tiết hành vi .23 Hình 3.17 Phân tích mạng 23 Hình 4.1 Phân tích mạng 25 Hình 4.2 Một wep sever khởi tạo 26 Hình 4.3 Một wep sever khởi tạo 27 Hình 4.4 Một wep sever khởi tạo 28 Hình 4.5 Một wep sever khởi tạo 30 Hình 4.6 Một wep sever khởi tạo 30 Hình 4.7 Một wep sever khởi tạo 31 Hình 4.8 Một wep sever khởi tạo 31 Hình 4.9 Một wep sever khởi tạo 32 Hình 4.10 Một wep sever khởi tạo 32 Hình 4.11 Một wep sever khởi tạo 33 Hình 4.12 Một wep sever khởi tạo 33 Giới thiệu 1.1 Giới thiệu công cụ cuckoo 1.1.1 Cuckoo gì? Cuckoo sandbox phân tích malware[3], Cho phép thực thi malware mơi trường máy ảo, ngồi cịn cho phép phân tích mơi trường máy thật Kiến trúc cuckoo theo mơ hình máy ảo thật bao gồm host guest  Máy host máy cài chương trình ảo hóa virtualbox hay vmware  Máy guest máy tính cài hệ điều hành dành cho việc thực thi malware Có thể máy ảo máy vật lý Nó sử dụng để tự động chạy phân tích tệp thu thập kết phân tích tồn diện để phác thảo phần mềm độc hại thực chạy bên hệ điều hành bị lập Ngồi Cuckoo cịn trích xuất thơng tin mã độc vơ hữu ích như:  Các tệp phần mềm độc hại tạo ra, cài đặt hay tải xuống trình thực thi  Bộ nhớ mà phần mềm độc hại sử dụng  Theo dõi lưu lượng mạng định dạng Pcap  Thơng tin chi tiết q trình thực thi phần mềm Cuckoo thiết kế để sử dụng chạy ứng dụng mơi trường độc lập tích hợp vào framework lớn nhờ vào thiết kế module linh hoạt Chính nhờ linh hoạt mà cuckoo phân tích nhiều định dạng loại file khác :          Generic Windows executables DLL files PDF documents Microsoft Office documents URLs and HTML files PHP scripts CPL files Visual Basic (VB) scripts ZIP files  Java JAR  Python files 1.1.2 Kiến trúc Cuckoo Sandbox bao gồm phần mềm quản lý trung tâm xử lý việc thực thi phân tích mẫu Mỗi phân tích khởi chạy máy ảo vật lý biệt lập Các thành phần sở hạ tầng Cuckoo máy Chủ (phần mềm quản lý) số máy Khách (máy ảo máy vật lý để phân tích) Máy chủ chạy thành phần cốt lõi hộp cát quản lý tồn q trình phân tích, Khách môi trường biệt lập nơi mẫu phần mềm độc hại thực thi phân tích cách an tồn Hình ảnh sau giải thích kiến trúc Cuckoo: Hình 1.1 Kiến trúc Cukoo 1.1.3 Lịch sử hình thành Cuckoo Sandbox bắt đầu dự án Google Summer of Code vào năm 2010 Dự án Honeynet Ban đầu thiết kế phát triển Claudio “nex” Guarnieri , người trưởng dự án nhà phát triển cốt lõi Sau công việc vào mùa hè năm 2010, phát hành beta xuất vào ngày tháng năm 2011, Cuckoo công bố phân phối công khai lần - Vào tháng năm 2011, Cuckoo chọn lần làm dự án hỗ trợ Google Summer of Code 2011 với Dự án Honeynet, Dario Fernandes tham gia dự án mở rộng chức - Vào ngày tháng 11 năm 2011 Cuckoo phát hành phiên 0.2 cho công chúng phát hành ổn định thực Vào cuối tháng 11 năm 2011, Alessandro “jekyll” Tanasi tham gia vào nhóm mở rộng chức xử lý báo cáo Cuckoo - Vào tháng 12 năm 2011, Cuckoo v0.3 phát hành nhanh chóng đạt phát hành 0.3.2 vào đầu tháng Hai - Vào cuối tháng năm 2012, mở Malwr.com , phiên Cuckoo Sandbox miễn phí chạy cơng khai cung cấp với giao diện thức đầy đủ mà qua người gửi tệp để phân tích nhận lại kết - Vào tháng năm 2012, Cuckoo Sandbox giành chiến thắng vòng chương trình Magnificent7 Rapid7 tổ chức - Trong suốt mùa hè năm 2012, Jurriaan “skier” Bremer tham gia nhóm phát triển, cấu trúc lại thành phần phân tích Windows để cải thiện chất lượng phân tích cách hợp lý - Vào ngày 24 tháng năm 2012, Cuckoo Sandbox 0.4 phát hành - Vào ngày 20 tháng 12 năm 2012, Cuckoo Sandbox 0.5 “To The End Of The World” phát hành - Vào ngày 15 tháng năm 2013, phát hành Cuckoo Sandbox 0.6, sau mắt phiên thứ hai Malwr.com - Vào ngày tháng năm 2013 Claudio “nex” Guarnieri , Jurriaan “skier” Bremer Mark “rep” Schloesser trình bày Mo 'Malware Mo' Problems - Cuckoo Sandbox để giải cứu Black Hat Las Vegas - Vào ngày tháng năm 2014, Cuckoo Sandbox 1.0 phát hành - Vào tháng năm 2014 Cuckoo Foundation đời với tư cách tổ chức phi lợi nhuận dành riêng cho phát triển Cuckoo Sandbox dự án sáng kiến xung quanh - Vào ngày tháng năm 2014, Cuckoo Sandbox 1.1 phát hành - Vào ngày tháng 10 năm 2014, Cuckoo Sandbox 1.1.1 phát hành sau Robert Michel tiết lộ Lỗ hổng nghiêm trọng - Vào ngày tháng năm 2015, Cuckoo Sandbox 1.2 phát hành với loạt cải tiến liên quan đến khả sử dụng Cuckoo - Vào mùa hè năm 2015, Cuckoo Sandbox bắt đầu phát triển phân tích phần mềm độc hại Mac OS X dự án Google Summer of Code Dự án Honeynet Dmitry Rodionov đủ điều kiện cho dự án phát triển phân tích hoạt động cho Mac OS X - Vào ngày 21 tháng năm 2016, phiên 2.0 Release Candidate phát hành Phiên xuất xưởng với gần hai năm nỗ lực kết hợp để làm cho Cuckoo Sandbox trở thành dự án tốt để sử dụng hàng ngày 1.1.4 Một số công cụ Sanbox khác - Malwr Malwr tảng trực tuyến mã nguồn mở sử dụng để thực điều tra mã độc, nơi gửi mẫu phần mềm độc hại để phân tích phần mềm độc hại hộp cát chim cu gáy Cuckoo thực thi kiểm tra phần mềm độc hại lấy mẫu theo cách bảo vệ đưa báo cáo chi tiết định dạng html / xml Hình 1.2 Một wep sever khởi tạo - JoeSandbox Joe sandbox phần mềm độc hại hoàn toàn tự động phổ biến hệ thống phân tích Anubis Malwr Nó cung cấp tính gọi phân tích sâu hộp cát nhanh nhẹn không giới hạn đầu vào hỗ trợ tất loại định dạng tệp mà cũng phân tích ứng dụng Android Cuối tạo báo cáo sau phân tích thành cơng hành vi mẫu phần mềm độc hại XML, JSON, HTML, PDF, v.v Hình 1.3 Giao diện cơng cụ joesandbox 10 Danh sách DLL API phần mềm độc hại nhập vào ghi lại, điều hữu ích phần phần mềm độc hại giải nén thiết kế ngược công cụ x64dbg Một nhà phân tích phần mềm độc hại thường kiểm tra lần nhập để xem liệu có liệu sử dụng cho mục đích xấu hay khơng, ví dụ: diện API 'CryptEncrypt' phần mềm độc hại mã hóa liệu thiết bị giải mã số liệu Sau đó, API điều tra hoạt động x64dbg IDA Hình 3.14 Các thư viện imprort 3.3.3 Behavioural Analysis Trang Phân tích Hành vi ghi lại thơng tin từ thời điểm phần mềm độc hại chạy thiết bị Khách Hình ảnh cho thấy quy trình tạo phần mềm độc hại, ví dụ này, phần mềm độc hại tạo quy trình Đây kỹ thuật phổ biến phần mềm độc hại sử dụng để giải nén gọi 'quá trình tiêm', nơi trình tạo bị rỗng phần mềm độc hại giải nén sau 'tiêm' vào q trình trống Hình 3.15 Các thư viện imprort 22 Bằng cách nhấp vào quy trình khác nhau, Cuckoo liệt kê API phần mềm độc hại chạy Có thể kiểm tra chức nhập sử dụng xem liệu có thơng tin trả lại hay không đặc biệt hữu ích Hình 3.16 Xem thơng tin chi tiết hành vi 3.3.4 Network Analysis Tab Phân tích Mạng cung cấp tab khác để lọc giao thức lưu lượng mạng khác Trong hình ảnh bên dưới, báo cáo liệt kê địa IP cung cấp trang tóm tắt Tuy nhiên, tab trang cho phép người dùng lọc lưu lượng truy cập DNS, TCP, UDP, HTTP, ICMP IRC tạo phần mềm độc hại Cuckoo cho phép nhà phân tích tải xuống PCAP từ trang Hình 3.17 Phân tích mạng 23 Demo 4.1 Phân tích malware Cuckoo Sandbox Để submit mẫu malware lên hệ thống , Cuckoo sandbox hỗ trợ câu lệnh terminal để thực việc này: $ /utils/submit.py [optional arguments] [positional argument] Các tùy chọn sử dụng sau : ● [optional arguments]: ○ -h, help:Đối số hiển thị thông báo trợ giúp thoát ○ url: định mục tiêu URL hay không ○ package PACKAGE: định gói phân tích cụ thể ○ custom CUSTOM: Chỉ định giá trị tùy biến cụ thể ○ timeout TIMEOUT: định thời gian chờ phân tích ○ options OPTIONS: Chỉ định gói phân tích cụ thể (for example, name=value,name2=value2) ○ priority PRIORITY: định mức độ ưu tiên cho phép phân tích biểu thị số nguyên ○ machine MACHINE: định mã định danh máy bạn muốn sử dụng ○ platform PLATFORM: Đối số định tảng hệ điều hành bạn muốn sử dụng (Windows/Darwin/Linux) ○ memory: Đối số cho phép hệ thống lấy kết xuất nhớ máy phân tích ○ enforce-timeout: cho phép hệ thống buộc phân tích chạy toàn khoảng thời gian chờ ● [positional argument]: ○ target: Đối số URL đường dẫn tệp / thư mục phân tích 24 Ngồi Cuckoo sandbox cịn cung cấp giao diện sử dụng trực quan Chúng ta khởi động cách dùng câu lệnh : $ python utils/web.py Hình 4.1 Phân tích mạng Sau chạy đoạn lệnh khởi động, web server khởi tạo localhost cổng 8080 25 Hình 4.2 Một wep sever khởi tạo 4.2 Phân tích file Word chứa Trojan Trong phần submit file word document có chứa mã độc Máy ảo cần phải cài sẵn Microsoft office có kết nối internet để thực phân tích mạng Tiếp đến mở terminal để submit file vào hệ thống, ví dụ file Iran's Oil and Nuclear Situation.docx $ python utils/submit.py platform windows –package doc shares/Iran\'s\ Oil\ and\ Nuclear\ Situation.doc 26 Cuckoo khởi động môi trường máy ảo , ảnh chụp hình từ máy ảo nhận hình Hình 4.3 Một wep sever khởi tạo Một cửa sổ bật lên cảnh báo xuất hiển thị ảnh chụp hình trước đó.Chúng ta giả định người dùng khơng biết cảnh báo gì, chọn I recognize this content Allow it to play Cho phép đọc file nhấp vào Continue Chờ chút tài liệu phần mềm độc hại có số hoạt động Máy ảo tự động đóng sau tất hành động hoàn thành tài liệu phần mềm độc hại Bây giờ, bạn thấy trạng thái Cuckoo — tab thiết bị đầu cuối nơi bắt đầu Cuckoo — hiển thị ảnh chụp hình sau 27 Hình 4.4 Một wep sever khởi tạo Bây hồn thành q trình submit file Hãy xem thư mục cuckoo,trong đường dẫn storage/analyses/ Có số thư mục đánh số thư mục , đại diện cho tập tin phân tích lưu bên sở liệu Các thư mục dựa ID nhiệm vụ mà tạo trước Chúng ta nhìn thấy cấu trúc thư mục sau phân tích xong sau : | analysis.conf | analysis.log | binary | dump.pcap | memory.dmp | files | | 1234567890 | ` dropped.exe | logs | | 1232.raw | | 1540.raw | ` 1118.raw | reports | | report.html 28 | | report.json | | report.maec11.xml | | report.metadata.xml | ` report.pickle ` shots | 0001.jpg | 0002.jpg | 0003.jpg ` | 0004.jpg Chi tiết mục sau : ● analysis.conf: Đây tệp cấu hình tạo tự động ● Cuckoo hướng dẫn phân tích số chi tiết phân tích Nó thường khơng có lợi cho người dùng cuối, sử dụng riêng bên sandbox ● analyse.log: Đây tệp nhật ký tạo trình phân tích chứa dấu vết việc thực phân tích bên mơi trường khách Nó báo cáo tạo quy trình, tệp cuối xảy lỗi trình thực thi ● binary: Đây tệp nhị phân mà gửi trước ● dump.pcap: Đây tệp kết xuất mạng tạo tcpdump tệp khác trình thám thính mạng tương ứng ● memory.dmp: Trong trường hợp bạn bật nó, tệp chứa kết xuất nhớ đầy máy phân tích ● File : Thư mục chứa tất tệp mà phần mềm độc hại vận hành ● Logs: Thư mục chứa tất nhật ký thô tạo Cuckoo's ● Giám sát trình ● Reports: Thư mục chứa tất báo cáo Cuckoo tạo ● Image: Thư mục chứa tất ảnh chụp hình máy tính để bàn khách chụp trình thực thi phần mềm độc hại 29 Để biết thêm kết cuối việc thực thi phần mềm độc hại bên Hệ điều clint , thân thiện với người dùng mở kết HTML nằm bên báo cáo thư mục Sẽ có tệp có tên report.html Chúng ta cần nhấp đúp vào mở trình duyệt web Tiếp theo xem bước khởi chạy ứng dụng máy ảo Hình 4.5 Một wep sever khởi tạo Tại mục phân tích tĩnh, ta thấy mẫu mã độc chèn đoạn mã đọc VBA nhằm thực hành vi đánh cắp thông tin chiếm quyền điều khiển người dùng Hình 4.6 Một wep sever khởi tạo 30 Tiếp đó, xem kết đánh giá của virus total mã độc này, ngụy trang kỹ mã độc bị phát troijan nhờ phần mềm quét virus hiệu Virus Total Hình 4.7 Một wep sever khởi tạo 4.3 Phân tích mã độc Cuckoo Sandbox Trong mục tiến hành phân tích mã độc có tên VLKOD.EXE mã độc thực thi hệ điều hành Window Nếu chủ sở hữu không cẩn thận cài đặt khiến cho hệ thống bị chiếm quyền điều khiển an toàn hệ thống Sau submit mã độc lên hệ thống, đến phần Sumary page Hình 4.8 Một wep sever khởi tạo 31 Như hình thấy mã độc bị đánh giá 10/10 mức điểm cao thang đánh giá Cuckoo Sandbox Chứng tỏ ứng dụng nguy hiểm Tại trang hiểu thêm số đánh giá chung ứng dụng kích file, kiểu file, mã băm tập tin ảnh chụp hình bước chạy ứng dụng máy ảo Tiếp theo, mục statistic analysis thu đánh giá cụ thể phân tích từ virus total, phân tích sections ứng dụng Hình 4.9 Một wep sever khởi tạo Sau đó, kiểm tra thư viện mà mã độc dùng q trình phân tích máy ảo Hình 4.10 Một wep sever khởi tạo 32 Hình 4.11 Một wep sever khởi tạo Tại mục ta có nhìn tổng quan xác mã độc đưa vào phân tích Từ kết luận thuộc tính mã độc hành vi cụ thể Cuối phân tích tiếp thơng tin mục behavioural , mục thấy hành vi malware theo thời gian thực từ lúc cài đặt ngắt Hình 4.12 Một wep sever khởi tạo Qua ba bước phân tích kết luận, việc sử dụng công cụ cuckoo để phân tích Chúng ta có kết hiệu cho tính xác cao 33 Kết luận Trong báo cáo nghiên cứu phương pháp cài đặt cấu trình cơng cụ Cuckoo Sandbox.Trong cấu hình mạng cài đặt thư viện cho máy Client máy Server sử dụng MongoDB để lưu trữ liệu phân tích Ngồi ra, việc phân tích sử dụng kiến trúc Sandbox cho kết khả quan đảm bảo an toàn Đặc biệt trường hợp file nghi ngờ mã độc, việc sử dụng kiến trúc sandbox để phân tích an tồn hiệu Tuy nhiên công cụ giai đoạn phát triển nên nhiều mục chưa hoàn thiện tiện lợi cho người dùng, với việc cấu hình ban đầu phức tạp việc tiếp cận với cơng cụ khó Cơng cụ không hỗ trợ phát mã độc hay đường dẫn độc hại mà cho thang điểm theo thứ tự từ đến 10 tùy theo mức độ ảnh hưởng Tuy khơng hồn tồn xác dựa vào điểm đánh giá để tiếp tục phân tích sâu 34 Lời cảm ơn Đầu tiên, em xin cảm ơn Học viện Cơng nghệ Bưu Viễn thơng đưa mơn An tồn mạng vào chương trình giảng dạy chun ngành ngành An tồn thơng tin Bộ mơn giúp em có nhiều kiến thức bổ ích, quan trọng vấn đề an ninh mạng, an tồn thơng tin,… giúp em hồn thiện thêm tư duy, trình độ thân Đặc biệt, em xin gửi lời cảm ơn đến giảng viên môn – TS Đặng Minh Tuấn dạy dỗ, truyền đạt, rèn luyện, chia sẻ cho em đầy đủ kiến thức môn học kiến thức giá trị khác mà thầy có suốt thời gian kỳ học vừa Bộ mơn An tồn mạng mơn học thú vị, vơ bổ ích gắn liền với nhu cầu thực tiễn sinh viên Tuy nhiên, thời gian học tập lớp không nhiều, cố gắng chắn hiểu biết kỹ môn học em cịn nhiều hạn chế Do đó, Bài báo cáo kết thúc học phần em khó tránh khỏi thiếu sót chỗ chưa chuẩn xác, kính mong xem xét góp ý giúp Bài tiểu luận em hoàn thiện Em xin chân thành cảm ơn! Sinh viên thực Nguyễn Anh Duy 35 Danh mục tham khảo [1] F Salahdine and N Kaabouch, “Social engineering attacks: A survey,” Futur Internet, vol 11, no 4, 2019, doi: 10.3390/FI11040089 [2] D Oktavianto and I Muhardianto, Cuckoo Malware Analysis Prashant Timappa Shetty, 2013 [3] V Okun and P E Black, “Report on the Static Analysis Tool Exposition (SATE) IV,” NIST Spec Publ., vol 500, p 297, 2013, [Online] Available: http://dx.doi.org/10.6028/NIST.SP.500-297 [4] P Agrawal and B Trivedi, “Automating the process of browsing and Files as a prerequisite for the Malware Detection process,” vol 9, no 2, pp 13–17, 2020 [5] D Maiorca and B Biggio, “Digital Investigation of PDF Files: Unveiling Traces of Embedded Malware,” IEEE Secur Priv., vol 17, no 1, pp 63–71, 2019, doi: 10.1109/MSEC.2018.2875879 [6] S L S Darshan, M A A Kumara, and C D Jaidhar, “Windows malware detection based on cuckoo sandbox generated report using machine learning algorithm,” 11th Int Conf Ind Inf Syst ICIIS 2016 - Conf Proc., vol 2018January, pp 534–539, 2016, doi: 10.1109/ICIINFS.2016.8262998 36 ... Bưu Viễn thơng đưa mơn An tồn mạng vào chương trình giảng dạy chun ngành ngành An tồn thơng tin Bộ mơn giúp em có nhiều kiến thức bổ ích, quan trọng vấn đề an ninh mạng, an tồn thơng tin,… giúp... doi: 10.3390/FI11040089 [2] D Oktavianto and I Muhardianto, Cuckoo Malware Analysis Prashant Timappa Shetty, 2013 [3] V Okun and P E Black, “Report on the Static Analysis Tool Exposition (SATE) IV,”... Sandbox.Trong cấu hình mạng cài đặt thư viện cho máy Client máy Server sử dụng MongoDB để lưu trữ liệu phân tích Ngồi ra, việc phân tích sử dụng kiến trúc Sandbox cho kết khả quan đảm bảo an toàn