mã độc
Từ các kết quả được ghi lại bởi công cụ giám sát strace và tcpdump có thể phát hiện mã độc dựa vào các dấu hiệu sau:
(1) Phát hiện mã độc dựa vào dấu hiệu hoạt động mạng:
- Phát hiện chương trình có kết nối đến tên miền, địa chỉ IP máy chủ điều khiển, dấu hiệu này cho thấy mã độc kết nối đến máy chủ điều khiển để nhận lệnh điều khiển của tin tặc.
- Phát hiện chương trình gửi hàng loạt gói tin đến một địa chỉ nhất định, dấu hiệu này cho thấy mã độc thực hiện tấn công từ chối dịch vụ (DDOS) theo lệnh điều khiển của tin tặc.
- Phát hiện chương trình gửi hàng loạt gói tin trên giao thức SMTP, dấu hiệu này cho thấy mã độc gửi hàng loạt thư rác theo lệnh điều khiển của tin tặc.
- Phát hiện chương trình lắng nghe kết nối từ mạng Internet ở một cổng khác thường (không phải cổng thường dùng như 80, 443), dấu hiệu này cho thấy mã độc chờ đợi tin tặc kết nối đến để thực hiện các lệnh điều khiển.
(2) Phát hiện mã độc dựa vào hành vi hệ thống
- Phát hiện mã độc có hành vi thay đổi cấu hình thiết bị định tuyến như: cho phép quản trị thiết bị từ ngoài mạng Internet… Dấu hiệu này cho thấy mã độc đang mở kết nối quản trị, cho phép tin tặc quản trị thiết bị định tuyến từ ngoài mạng Internet.
- Phát hiện mã độc chạy chương trình thu nhận các dữ liệu kết nối mạng, dấu hiệu này cho thấy mã độc đang giám sát hoạt động của người dùng theo lệnh điều khiển của tin tặc.
Ngoài ra, để có thể phát hiện mã độc cần dựa trên kinh nghiệm và kết quả nghiên cứu, phân tích mã độc của các hãng bảo mật trên thế giới.
KẾT LUẬN CHƯƠNG 3
Tại chương này, luận văn đã đưa ra quy trình phát hiện mã độc trên thiết bị định tuyến. Với quy trình này sẽ giúp trả lời được câu hỏi có hay không có mã độc tồn tại trên thiết bị định tuyến và liệu các firmware mà nhà phân phối cung cấp có thực sự an toàn?
Phương pháp mà luận văn thực hiện dựa trên nền tảng của kỹ thuật phân tích động dựa vào hành vi. Với phương pháp này, luận văn có thể biết chính xác hành vi của mã độc tại từng thời điểm mà nó đang thực thi trên thiết bị. Điều này cho phép thu được dữ liệu khá đầy đủ để phân tích, phát hiện các hành vi bất thường, phát hiện mã độc.
Với quy trình này, luận văn đã mô phỏng được firmware một cách khá đầy đủ và lấy được thông tin ở mức hệ điều hành của firmware - những thông tin hết sức quan trọng trong việc phát hiện mã độc. Dựa vào quy trình này, việc phát hiện mã độc trên một số lượng lớn các thiết bị, kiểm tra độ an toàn của firmware do nhà phân phối cung cấp trở nên khả thi hơn.
CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM
Như đã trình bày ở Chương 3, luận văn nghiên cứu phân tích, phát hiện