5. Phương pháp nghiên cứu
4.3 Xây dựng môi trường phân tích mãđộc tự động
Trong phần này, chúng ta sẽ chọn môi trường phân tích mã độc tự động có tên là Cuckoo Sandbox. Trên môi trường này chúng ta sẽ tiến hành cài đặt thêm một sốchương trình cụ thể để có thể thực hiện việc phân tích động các loại mã độc. Thay cho việc phân tích tĩnh, chúng ta sẽ cho các loại mã độc này thực thi và kiểm soát theo thời gian thực. Giải thích đơn giản, Cuckoo là một hệ thống phân tích mã độc tự động mã nguồn mở, cho phép bạn thực hiện các phân tích các mã độc hại bên trong một môi trường đã được kiểm soát. Cuckoo Sandbox bắt đầu như một dự áncủa Google Summer of Code trong năm 2010 trong Honeynet project. Sau khi công việc bắt đầu trong suốt mùa hè năm 2010, việc phát hành phiên bản beta đầu tiên được công bố vào 05/ 02/ 2011, khi Cuckoo đã được công bố công khai và phân phối lần đầu tiên vào thời điểm đó.
Cuckoo ban đầu được thiết kế và phát triển bởi Claudio "nex" Guarnieri, hiện ông vẫn là người phát triển chính và phân bố công việc cho các nhà phát triển cùng tham gia và phân phối. Vào 3/ 2012, Cuckoo Sandbox thắng vòng đầu tiên của chương trình Magnificent7 được Rapid7 tổ chức. Cuckoo đã được tài trợ do cách tiếp cận sáng tạo của các nhà phát triển khi họ đã phân tích các loại mã độc theo cách truyền thống. Cuckoo khi được sử dụng sẽ tự động chạy và phân tích các file và thu thập kết quả phân tích toàn diện và phác thảo những gì các loại mã độc này đã thực hiện trong khi chạy bên trong một hệ thống điều hành Windows bị cô lập. Cuckoo được thiết kế để sử dụng trong việc phân tích các loại sau đây của các tập tin:
• Các file thực thi phổ biến của Windows • Các file DLL
• File PDF
• File của Microsoft Office • URLs
• PHP scripts
Cuckoo có thể sinh ra các thành phần như sau ở đầu ra để hỗ trợ chúng ta trong quá trình phân tích động:
• Truy xuất theo các hàm win32 API đã được gọi bởi các tiến trình trong quá trình mã độc thực thi.
• Các file được tạo, xóa, tải về trong quá trình mã độc thực thi. • Memory dumps của những tiến trình mã độc..
• Lưu lượng mạng sử dụng ở định dạng PCAP format
• Tự động chụp lại màn hình trong quá trình thực thi của mã độc. • Full memory dumps của hệ thống.
Cuckoo Sandbox gồm một phần mềm quản lý trung tâm, trong đó xử lý hành mẫu phần mềm độc hại và phân tích.
Mỗi phân tích được đưa ra trong một máy ảo mới và cô lập. Cơ sở hạ tầng Cuckoo được sáng tác bởi một máy chủ (phần mềm quản lý) và một số các máy khách (máy ảo để phân tích).
Các máy chủ chạy các thành phần cốt lõi của sandbox để quản lýtoàn bộ quá trình phân tích, trong khi đó máy khách (guest) là môi trường riêng biệt nơi mà phần mềm độc hại thực sự được thực hiện và được phân tích một cách an toàn. Sơ đồ dưới đây cho ta thấy kiến trúc của Cuckoo:
Hình 11: Mô phỏng về kiến trúc hoạt động của Sanbox
Sau đây là các thành phần quan trọng cần thiết khi sử dụng Sandbox.