e. Giám sát mạng khi chạy phần mềm nghi ngờ độc hạ
2.3. Phương pháp phân tích nhận dạng phần mềm độc hại dựa trên hành
2.3.1.Giới thiệu
Phương pháp phân tích nhận dạng phần mềm độc hại dựa trên hành vi là việc khai thác thông tin liên quan về một chương trình phần mềm bị nghi ngờ, bằng cách giám sát các hành động của nó trong hệ thống. Từ đó tiến hành phân tích, mô hình hóa hành vi hoạt động của phần mềm độc hại. Mục đích của việc phân tích hành vi phần mềm độc hại giúp đánh giá các ảnh hưởng, tác động đến hệ thống khi một phần mềm độc hại được thực thi.
2.3.2.Các bước xây dựng hệ thống phân tích nhận dạng phần mềm độc hại dựa trên hành vi
Phần mềm độc hại được đặc trưng bởi tập hợp các hành vi khác nhau rất đa dạng và phức tạp. Nó có thể là các hành động đơn giản như thay đổi của tài nguyên hệ thống, khai thác các lỗ hổng tồn tại trong hệ thống đến các hành động cao cấp như tạo kết nối ra mạng ngoài. Các phần mềm độc hại có nhiều biến thể khác nhau chúng có thể được xếp vào cùng một họ ví dụ như các phần mềm độc hại lây nhiễm vào file hệ thống sửa nội dung file thì được xếp vào họ file virus hay những phần mềm độc hại thực hiện tấn công hệ thống xóa file, phá hủy thông tin hệ thống dưới dạng những chương trình tiện tích thì thường được xếp vào trojan. Thực chất việc sắp xếp này thường trên nguyên tắc có cùng tập hành vi tương đồng.
Một số hành vi chính được cóthể được thực hiện bởi phần mềm độc hại như:
• Sinh ngẫu nhiên tên file.
• Tạo file mã độc.
• Tạo registry để có thể thực thi mã độc khi hệ thống khởi động.
• Lây nhiễm mã độc vào user32.dll.
• Chặn kết nối HTTP tới www.google.com và www.citibank.com.
• Xóa dấu vết tệp tin thực thi chính.
Để xây dựng một hệ thống phân tích phần mềm độc hại dựa trên hành vi cần 3thành phần chính sau:
• Giám sát hành vi cửa chương trình phần mềm ở mức thấp sau đó tổng hợp để hình thành hành vi cấp cao.
• Phân cụm các hành vi thu được ở phần giám sát.
• Khắc phục các ảnh hưởng tới hệ thống bị nhiễm độc, dựa vào các dữ liệu hành vi thu được.
Hành vi cấp cao là hành vi được hình thành từ các hàm chức năng hoặc chuỗi các hàm chức năng. Nó chính là khái quát của các hàm chức năng được thực hiện khi chương trình thực thi.
Hành vi Đối số Mô tả Tạo tài nguyên FileCreation Tên tệp tin và nội
dung
Tạo tệp tin RegistryCreation Tên tệp tin và nội
dung
Tạo một giá trị Registry mới DropAndAutostart Tên tệp tin và nội
dung khóa
Tên tệp tin và tiến trình
Tạo một tệp tin mới và giá trị Registry mới để thực thi chương trình khi khởi động hệ thống. DropAndExecute Tạo và thự thi một
tiến trình từ tệp tin đã tạo
Nhiễm độc tài nguyên
FileInfection Tệp tin và nội dung, danh sách các khu vực lây nhiễm
Lây nhiễm một file đã tồn tại
RegistryInfection Khóa và nội dung Thay thế một giá trị Registry hiện có Xóa tài nguyên FileDeletion Tên tệp tin Xóa một tệp tin tồn
RegistryDeletion Khóa Xóa một giá trị khóa tồn tại
Bảng 2.2-1. Một số hành vi cấp cao
2.4.So sánh các phương pháp phân tích phần mềm độc hại
Đối với mỗi phương pháp phân tích chúng đều có các ưu nhược điểm khác nhau. Rõ ràng các phương pháp đều có hỗ trợ bổ khuyết cho nhau, không thể dùng một phương pháp duy nhất mà cần kết hợp tất cả lại để từ đó thu được hiệu quả cao nhất.
Ưu điểm Nhược điểm Phân tích tĩnh + Do không thực thi phần
mềm độc hại nên có thể giảm thiểu tối đa nguy cơ lây lan phá hoại hệ thống. + Thu thập được nhiều thông tin cơ bản cần thiết cho các bước phân tích khác
+ Khó phân tích khi phần mềm nghi ngờ độc hại bị nén, mã hóa.
+ Từ lượng thông tin thu được phán đoán chức năng phần mềm độc hại có thể không chính xác
+ Thông tin thu được không đầy đủ
Phân tích động + Thu thập thông tin chức năng của phần mềm độc hại chính xác khi thực hiện chúng
+ Đánh giá được các ảnh hưởng thực tế đến hệ thống.
+ Có thể gây ảnh hưởng thiệt hại đến hệ thống khi thực thi phần mềm độc hại + Khó khăn trong quá trình thực thi phần mềm độc hại do không có tham số đầu vào
+ Xây dựng môi trường ảo có thể bị phát hiện và vượt qua
Phân tích hành vi + Giám sát các tác động của phần mềm độc hại nên hệ thống, đưa ra đánh giá các
+ Cũng cần thực hiện phần mềm độc hại như phân tích động nên cũng có nhiều rủi
rủi ro, cách khắc phục hệ thống khi bị nhiễm độc một cách cụ thể rõ ràng.
ro về an ninh, an toàn thông tin.
+ Cần xây dựng được một hệ thống đủ mạnh
Bảng 2.3-1. So sánh các phương pháp phân tích phần mềm độc hại