Dựa trên nguyên lý hoạt động của mã độc IoT Botnet, ta có thể thấy, cho dù các mã độc IoT Botnet ngày càng tiến hóa về cả số lượng biến thể lẫn chủng loại thì hoạt
28
động của chúng vẫn tuân theo một quy luật nhất định. Ta có thể tóm tắt các quy luật hoạt động đó thành một chu trình gồm 5 giai đoạn như sau:
- Giai đoạn thứ 1: Các mã độc IoT Botnet rà quét các thiết bị IoT khác có chứa lỗ hổng bảo mật và có khả năng bị lấy nhiễm. Công việc này có thể được thực hiện một cách ngẫu nhiên bằng cách rà quét các địa chỉ IP với các cổng dịch vụ quen thuộc như Telnet (cổng 23 hoặc 2323) và SSH (cổng 22).
- Giai đoạn thứ 2: Chiếm quyền truy nhập vào các thiết bị thông qua lỗ hổng bảo mật. Bot sẽ tiến hành tấn công vét cạn hoặc tấn công khai thác để tìm ra tài khoản và mật khẩu đăng nhập mặc định yếu thường được thiết lập trên thiết bị IoT như root/root, admin/123,...
- Giai đoạn thứ 3: Lây nhiễm thiết bị IoT. Sau khi đã truy cập vào thiết bị, bot sẽ lây nhiễm thông qua một trình loader để tải và thực thi mã nhị phân tương ứng với phiên bản botnet. Việc tải thường thông qua các giao thức như FTP, HTTP hay TFTP. - Giai đoạn thứ 4: Giao tiếp với máy chủ C&C thông qua địa chỉ IP hoặc URL. Mã độc IoT Botnet sẽ cố gắng kết nối và truyền tải các thông tin về thiết bị như địa chỉ IP và kiến trúc phần cứng tới máy chủ Report thông qua một cổng khác.
- Giai đoạn thứ 5: Chờ lệnh từ máy chủ C&C. Bot vừa lặp lại chu trình lây nhiễm như trên, vừa ẩn mình trong thiết bị và đợi lệnh tấn công từ máy chủ C&C.
So sánh với các mã độc botnet khác [5], [24], hầu như tất cả các giai đoạn trong chu trình hoạt động của mã độc IoT Botnet đều để lại dấu vết có thể bị phát hiện. Những dấu hiệu này bao gồm các địa chỉ IP, các mẫu tên đăng nhập/mật khẩu, các lệnh tấn công,... Đây có thể coi là một đặc trưng của riêng mã độc IoT Botnet và là một hướng khá hiệu quả trong phát hiện mã độc IoT Botnet.
Vì lý do đó, luận văn sẽ lựa chọn việc trích xuất các đặc trưng từ đồ thị thông tin chuỗi in PSI để làm các đặc trưng tĩnh phục vụ cho phương pháp lai. Đây là đồ thị được xây dựng thể hiện cho một chu trình hoạt động tiêu biểu của mã độc IoT Botnet bao gồm 5 giai đoạn nêu trên. Mỗi thông tin chuỗi in sẽ là một hoạt động ở từng giai đoạn của bot. Các đặc trưng trích xuất từ đồ thị có thể được áp dụng cho các thuật
29
toán học máy để tiến hành phân loại mã độc và lành tính. Định nghĩa của đồ thị được trình bày như sau [18]:
Đồ thị PSI là đồ thị có hướng được định nghĩa bởi 𝐺𝑃𝑆𝐼 = (𝑉, 𝐸), với:
- V là tập các các đỉnh được tạo thành từ các hàm trong đồ thị hàm gọi và có chứa các thông tin chuỗi in PSI,
- E là tập các cạnh có hướng {(𝑉𝑖, 𝑉𝑗), (𝑉𝑘, 𝑉ℎ), … } thể hiện mối quan hệ gọi và được gọi giữa các hàm.