Phân tích động

Một phần của tài liệu NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG APT VÀ CÁCH PHÒNG CHỐNG (Trang 69 - 77)

2.4.2.1 Kỹ thuật phân tích động sử dụng Sandbox

Việc xây dựng hệ thống tự động phân tích mã độc hại thì đã có rất nhiều hãng trên thế giới đã thực hiện, họ cũng sử dụng có rất nhiều công nghệ khác nhau. Có thể kể đến các hãng như:

- Threat Expert: www.threatexpert.com - Anubis http://analysis.seclab.tuwien.ac.at/

- CWSandbox http://research.sunbelt-software.com/ViewMalware.aspx - Norman Sandbox http://www.norman.com/microsites/nsic/en-us - Joebox http://www.joebox.com

2.4.2.2 Kỹ thuật phân tích hành vi sử dụng môi trường máy ảo

Trên máy ảo có chứa mã độc hại thì cài sẵn các công cụ phân tích mã độc hại như là: Sysanalyzer, Process Explorer, Regshot, TCPView, Wireshark, HijackThis, Autoruns, fakedns, TcpLogView, …

a) Regshot

Regshot cho phép so sánh nội dung Registry qua các bản ảnh được ghi lại. Các điểm khác biệt trên Registry có thể giúp chúng ta tìm ra những thông tin Registry bị thêm, sửa, xóa trong quá trình thực thi mã độc.

b) Autoruns

AutoRuns sẽ giúp bạn quản lí một cách toàn diện các vị trí mà các chương trình khởi động cùng với Windows, đưa cho bạn toàn quyền xử lý chúng. Autoruns liệt kê cho bạn rất chi tiết những thông tin về các chương trình đó, sắp xếp chúng theo các phân mục như Registry Key, Logon, Explorer, Services, Schedule Tasks, Winsocks… Ngoài tên và vị trí của chương trình, bạn còn có thể xem từng module DLL mà chương trình nạp vào bộ nhớ.

Với chức năng đó, Autoruns có thể giúp bạn phát hiện những virus, trojan hay spyware có hại nằm ẩn mình trong máy tính hoặc bạn cũng có thể dùng Autoruns để tắt bớt những chương trình không cần thiết khi khởi động.

Hình 2.25 Hình minh họa công cụ Autoruns

c) TCPView

TCPView có tác dụng là liệt kê các tiến trình có hoạt động giao tiếp với bên ngoài. Công cụ này tương tự với netstat tuy nhiên nó hiệu quả hơn rất nhiều khi chỉ rõ được ứng dụng nào đang chạy tiến trình đó.

Người quản trị hệ thống Windows thường xuyên cần phải theo dõi các cổng, dịch vụ, địa chỉ IP, trạng thái kết nối các hoạt động trong mạng để xác định cổng mạng máy chủ ứng dụng đang hoạt động, đảm bảo rằng các cổng không bị mở không kiểm soát, hoặc tìm hiểu các được kết nối tới hệ thống đang truy cập. Người quản trị có thể dùng kết hợp nhiều công cụ như ngay trong Windows là

trình netstat để có được thông tin như vậy, nhưng netstat có một số hạn chế. Các phiên bản có sẵn trong Windows 2000 và các phiên bản trước đó không có báo cáo về quá trình liên kết với một thiết bị đầu cuối; các phiên bản tích hợp sẵn trong Windows Server 2003 và Windows XP cho thấy tiến trình chủ sở hữu các tiến trình khác(Process ID), nhưng không phải là image name của tiến trình. Những hạn chế này làm cho khó khăn để xác định tiến trình nào sở hữu một cổng mạng đang mở. Hơn nữa, netstat không thuận tiện để xem các thay đổi trong giao thức TCP / IP việc sử dụng các cổng.

Trong bộ công cụ Sysinternals, phần mềm công cụ TCPView là một ứng dụng miễn phí chạy trên Windows NT 4.0 và trên các nền tảng NT sau này. Phần mềm hiển thị một tập các thông tin mà chương trình giống như netstat, hơn thế nữa cung cấp cho người quản trị một cách dễ dàng theo dõi những thay đổi để sử dụng cổng theo thời gian.

Hình 2.26 Hình ảnh bên trong của TCPView

d) Proces Explorer

Proces Explorer là phần mềm miễn phí cho Microsoft Windows do Sysinternals tạo ra, và được tập đoàn Microsoft mua lại. Process Explorer là tiện ích theo dõi và kiểm tra hệ thống, có thể sử dụng như một công cụ gỡ rối cho các phần mềm cũng như các vấn đề phát sinh của hệ thống. Có thể dùng như một tiện ích thay thế task manager của Windows.

Process Explorer có thể được sử dụng để theo dõi về các vấn đề. Ví dụ như, xem tiến trình nào đang chạy, theo dõi những tệp tin đang được mở bởi các chương trình, hiện dòng lệnh đã được sử dụng để khởi động chương trình.

Hình 2.27 Hình ảnh các tiến trình trong Proces Explorer

Process Explorer hiển thị cho bạn thông tin các về các tiến trình, xử lý DLLs. Nó gồm 2 cửa sổ, cửa sổ trên cùng thì thể hiện danh sách các tiến trình đang hoạt động, bao gồm tên của chúng và tài khoản chạy chung. Trong khi các thông tin hiển thị trong cửa số phía dưới phụ thuộc vào chế độ mà Process Explorer đang chạy. Nếu process Explorer chạy trong chế độ dll mode thì bạn sẽ thấy dlls và memory-mapped files trong tiến trình được tải.

Đây cũng là một công cụ khá mạnh nhanh chóng giúp bạn nhanh chóng tìm kiếm xem được các tiến trình cụ thể và các file dll tương ứng đang chạy. Nó có khả năng xem xét các vấn đề về phiên bản dll cũ, cung cấp cái nhìn rõ về cách windows và ứng dụng làm việc.

e) Process Monitor

Phần mềm kiểm tra tiến trình Process. Chúng ta có thể sử dụng phần mềm này để theo dõi các hành vi registry, network, file system, process và thread trên máy.

Hình 2.28 Giao diện hoạt động của Process Monitor

Một vài bước sử dụng procmon để phân tích như sau:

- Chúng ta có thể xem process tree trên procmon bằng cách click vào biểu tượng process tree trên thanh ghi procmon. Tại đây chúng ta có thể thấy được danh sách các tiến trình đang chạy, và thấy được quan hệ cha-con của các tiến trình này.

- Khi đó, nếu thấy một tiến trình nào có vẻ khả nghi, ta sẽ Include process để lọc chuỗi các hành vi liên quan của riêng tiến trình đó.

Hình 2.30 Hình ảnh minh họa sau khi lọc 1 process tên unsecap.exe (adsbygoogle = window.adsbygoogle || []).push({});

- Sử dụng Filtering, highlighting, and bookmarking để có thể lọc và highlight các thông tin muốn tìm kiếm

f) Wireshark

Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường.

Hình 2.32 Hình minh họa Wireshark

2.4.2.3 Phân tích tài liệu Microsoft độc hại

Một trong những cách triển khai tấn công APT ở trên sẽ có việc thực hiện phishing email đính kèm các liên kết và tài liệu độc hại kèm trong đó. Các tài liệu đính kèm thường phần lớn là các file office có đính kèm các macro độc hại nhằm mục đích drop payload về máy hay cài đặt, tải về một file thực thi khác. Vì vậy, việc phân tích các các file Office là cần thiết khi ta nghi ngờ một file word nào đó.

Hình 2.33 File word có chứa mã macro độc hại( liên quan đến APT32 gần đây mới được upload trên virustotal)

Thường thì, nếu file office đó mở lên mà thường yêu cầu ta enable editing nó, thì khả năng cao là trong đó có chứa mã độc hại. Để phân tích nó, công cụ hữu ích có thể kể đến như olevba, OfficeMalScanner, Cerbero Suite.

Hình 2.34 Hình minh họa sử dụng Cerbero Suite để phát hiện ra mã VBA được chèn trong file word.

Một phần của tài liệu NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG APT VÀ CÁCH PHÒNG CHỐNG (Trang 69 - 77)

(95 trang)