6. Bố cục của luận án
2.2. Các thành phần chính
2.2.4. Tiền xử lý dữ liệu thơ thu thập được (RDP)
Trong nghiên cứu này, mã độc mà nghiên cứu sinh tập trung phân tích là IoT Botnet. Trong chương 1, luận án cũng đã trình bày các đặc điểm của IoT Botnet bao gồm quét các mục tiêu phù hợp, truy cập các thiết bị dễ bị tởn thương khác, lây nhiễm các thiết bị IoT, giao tiếp với máy chủ C&C qua địa chỉ IP của URL, chờ đợi và thực hiện các lệnh từ máy chủ C&C. Do đĩ, để hiểu hành vi của IoT Botnet, cần phải phân tích dữ liệu thơ thu thập từ Sandbox, bao gồm hành vi mạng (gửi yêu cầu và kết nối với máy chủ C&C, quét các thiết bị IoT khác qua cởng Telnet, SSH), lời gọi hệ thống (tải xuống tệp nhị phân từ máy chủ, thực hiện tệp nhị phân được tải xuống, tấn cơng Brute force tài khoản Telnet, SSH các thiết bị dễ bị tởn thương khác, vịng lặp chờ kết nối đến máy chủ C&C,…), các thay đởi tệp và thư mục, yêu cầu sử dụng thư viện liên kết động, chiếm dụng tài nguyên hệ thống (CPU, RAM,…).
Vì lý do đĩ, khối RDP phân tích dữ liệu thơ được thu thập từ mơi trường SE để làm đầu vào cho khối tính tốn khả năng thực thi lại Sandbox (SR), bao gồm:
- Lưu lượng mạng: Trích xuất thơng tin cần thiết như địa chỉ IP đích, giao thức
kết nối, cởng kết nối, dữ liệu chuỗi (nếu khơng được mã hĩa).
- Các lời gọi hệ thống: Thơng tin được trích xuất bao gồm tên của lời gọi hệ
-Hoạt động của tệp/thư mục: Tập trung vào việc xác định các tệp và thư mục
mà các tệp ELF tương tác (mở, viết, viết lại, xĩa, đởi tên, tạo, thay đởi quyền) bao gồm cả các tệp thư viện liên kết động (nếu cĩ). Các thơng tin được trích xuất bao gồm tên của tệp, đường dẫn thư mục chứa tệp, hành vi tương tác.
-Hiệu năng máy chủ: Trích xuất thơng tin CPU và RAM như tởng tỉ lệ sử dụng
tài nguyên, tỉ lệ sử dụng tài nguyên của từng tiến trình liên quan đến tệp ELF theo thời gian.
Kết quả tiền xử lý dữ liệu của khối này được cập nhật vào tệp “Configuration
file” như minh họa trong Hình 2.10.
Hình 2.10 Khối RDP cập nhật nội dung tệp “Configuration file”