Dựa vào nội dung từ các chương trước, chương 3 sẽ tiến hành mô phỏng việc phân tích hành vi của mã độc trên hệ thống thực tế. Nội dung tập trung vào việc phân tích một tập tin chứa nội dung độc hại hoặc phân tích một địa chỉ URL độc hại tồn tại trên hệ thống.
3.1. Kiến trúc cơ bản của hệ thống
Hệ thống sử dụng hệ điều hành mã nguồn mở - Ubuntu, cài đặt Cuckoo sandbox để phân tích mã độc và virtual box để chạy các máy ảo hỗ trợ việc phân tích trên các hệ điều hành khác nhau.
Các máy ảo liên kết tới Cuckoo sandbox, và được tạo các snapshot khác nhau của các môi trường phân tích khác nhau.
Để thuận tiện, hệ thống sử dụng thêm Mysql và Apache. Mysql để lưu các tiến trình phân tích (task), tên các máy ảo (machine), các snapshot, các platform… Apache giúp người dùng tương tác với hệ thống phân tích file thông qua website, tăng tính thuận tiện và đơn giản.
3.2. Mô hình logic của hệ thống Malware analytics
Khi có yêu cầu phân tích file từ người dùng, máy chủ Malware analytics (MA) tiến hành 3 công việc chính:
• Băm file (hash): để so sánh với các kết quả băm trên các trang Malware online.
• Kiểm tra file trên Virus total, so khớp kết quả.
• Chạy file:
o Ghi lại màn hình trong quá trình chạy.
o Kiểm tra các kết nối ra ngoài, nếu có thì kiểm tra tiếp xem nó thuộc quốc gia nào.
o DNS request.
o Các key registry mà file tác động đến.
o Ngoài ra còn có các file tạm được sinh ra, các thư viện được gọi đến, PID và Parent PID của nó và các file được gọi đến.
3.3. Mô hình vật lý của hệ thống
Hình 35: Mô hình vật lý của hệ thống
Khi người dùng gửi yêu cầu phân tích file mã độc tới máy chủ, máy chủ sẽ phân phối file đi các máy ảo để chạy file và thực hiện phân tích.
Kết quả sẽ được trả về máy chủ để xuất báo cáo chi tiết tới người dùng.
3.4. Giới thiệu hệ thống sử dụng cho việc phân tích hành vi của mã độc
Hệ thống đang được vận hành trên máy chủ nội bộ của Trung tâm dữ liệu điều hành sản xuất kinh doanh VNPT, thông tin hệ thống:
Hình 36: Giao diện của trang phân tích hành vi mã độc
3.1.1. Quy trình phân tích một tập tin
Khi tiến hành phân tích một tập tin mã độc thì hệ thống sẽ thực hiện các bước như mô hình dưới đây:
Để tiến hành phân tích một tập tin mã độc, cần chọn kiểu tập tin tương ứng với mã độc trên website. Dưới đây là một số kiểu tập tin mà hệ thống hỗ trợ:
- Các tập tin thực thi trên môi trường Windows: .EXE.
- Tập tin thư viện liên kết động: .DLL.
- Tập tin văn bản: .PDF.
- Các tài liệu Microsoft Office: (.DOC, . XLS)
- Các tập tin shell code nhị phân: .BIN
- Các tập tin dạng nén: .ZIP
- Và một số các tập tin khác: .JS, .HTML,…
Để đẩy phân tích các tập tin mã độc, ở đây có thể sử dụng chức năng đẩy tập tin lên hệ thống thông qua website như sau: chọn vào “Phân tích” chọn “Tập tin” và chọn “Phân tích tập tin mới”
Hình 38: Giao diện mục nhập mã độc
Để tiến hành phân tích, chuẩn bị một số mẫu mã độc có phần mở rộng như đã nêu ở trên và nhập vào hệ thống phân tích. Việc phân tích sẽ sử dụng tất cả mười một môi trường ảo hóa trên 3 hệ điều hành cơ sở là Windows XP Service Pack 3, Windows 7 Service Pack 0 và Windows 7 Service Pack 1. Quá trình phân tích sẽ hoàn thành trong khoản thời gian mà
đã được định nghĩa tại mục “thời gian chờ”. Sau khi phân tích hoàn thành, tất cả các kết quả phân tích sẽ được hiển thị trong mục “Trang phân tích”, trang này bao gồm các thông tin sơ lược về mã độc đã phân tích như thời gian phân tích, tên tập tin mã độc, hàm băm MD5, địa chỉ IP/tên miền mà mã độc kết nối đến và tóm lược về môi trường mà quá trình phân tích đã sử dụng:
Hình 39: Trang hiện thị thông tin về các mã độc đã phân tích
Để xem thông tin chi tiết về hành vi mã độc, bấm lên tên một tập tin bất kỳ, hệ thống sẽ hiển thị các thông tin nhưu:
Thông tin phân tích bề mặt của mã độc, gồm các mã băm và các dấu hiệu nhận biết mã độc
Hình 40: Thông tin sơ lược về mã độc
Thông tin về dấu hiệu nhận biết mã độc, ảnh chụp màn hình và một số hàm mà mã độc đã gọi thông qua tập tin kernel32.dll trong quá trình thực thi:
Hình 41: Các thông tin chi tiết về hành vi mã độc (1)
Từ thông tin trên hình, tại mục Signatures, có thể thấy mã độc đã tạo ra những tập tin thực thi trên máy bị nhiễm, bên dưới là hình ảnh chụp được trong lúc thực thi mã độc, phần Static Analysic ghi lại tất cả các hàm mã mã độc đã yêu cầu hệ thống thực hiện và địa chỉ của các hàm đó.
Các thông tin về những tập tin mã độc tạo thêm trong máy cũng những kết nối mạng mà mã độc đã thực hiện:
Hình 42: Các thông tin chi tiết về hành vi mã độc (2)
Trong hình trên có thể thấy mã độc sinh ra hai tập tin Ponynl.exe và 302144.bat, thực hiện kết nối đến trang top-glenyx.com có địa chỉ IP 78.60.109.182 và HTTP Request là nội dung chi tiết của việc kết nối đó.
Cuối cùng là các thông tin chi tiết về các tập tin, các giá trị registry và các tiến trình mà mã độc đã gọi trong suốt quá trình thực thi. Trong đó quan trọng nhất là phần hiển thị thông tin chi tiết về thời gian, các lời gọi hàm hệ thống, các đối số truyền vào hệ thống cũng như kết quả của các lời gọi hàm này đều được hiển thị rõ ràng nhằm giúp người phân tích có cái nhìn sâu hơn vào hành vi mã độc để thực hiện bước phân tích mã thực thi tiếp theo:
Hình 43: Các thông tin chi tiết về hành vi mã độc (3)
Việc thử nghiệm phân tích với tất cả các tập tin khác như .DOC, .PDF, .XLS, .BIN, .DLL,… hệ thống đều vận hành ổn định và đưa ra các kết quả tương đối rõ ràng để hỗ trợ cho công tác ứng cứu và phân tích mã thực thi sau này.
3.1.2. Quy trình phân tích địa chỉ URL độc hại
Để tiến hành phân tích một URL nghi ngờ có mã độc, chọn mục “Địa chỉ URL” và tiến hành phân tích mới địa chỉ trang web nghi ngờ có mã độc.
Hình 44: Giao diện nhập địa chỉ URL để phân tích
Quá trình phân tích diễn ra tương tự như khi phân tích tập tin mã độc. Hệ thống sẽ mở trang web bằng trình duyệt Internet Explorer và theo dõi các hành vi của trang web thông qua tập tin cuckoomon.dll đã đề cập ở trên. Các kết quả phân tích được hiển thị tương tự như bên phần phân tích tập tin mã độc:
Kết quả phân tích một URL cũng tương tự như khi phân tích một tập tin mã độc. Dựa vào những kết quả này, chúng ta có thể biết chính xác một trang web có thực sự độc hại với người dùng hay không.
Hình 46: Các thông tin chi tiết về hành vi của website chứa mã độc
3.2. Kết luận chương 3
Như vậy, chương 3 của luận văn đã mô phỏng việc phân tích hành vi của mã độc trên một hệ thống thực tế. Kết quả thu được đưa ra được kết luận một tập tin hay một địa chỉ URL xác định có thực sự đã thực hiện những hành vi nào trên hệ thống của người dùng, từ đó dựa trên những hiểu biết của cán bộ làm về an toàn thông tin, phân tích đánh giá để có thể kết luận về những malware đã phân tích.
