Khóa luận nghiên cứu tổng quan về quy trình xử lý sự cố khi hệ thống nhiễm mã Độc và quy trình phân tích mã Độc

Nhân thấy được sự tình vĩ và mức độ nguy hiểm của lấn công, bằng mã độc nên mục địch của đồ án là nhằm tạo ra 1 tài liệu nhằm mục tiêu phân loại các loại mã độc, hành vị hoại động và n

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THO!

KHOA CÔNG NGHỆ THÔNG TIN I

ĐỎ ÁN TÓT NGHIỆP

ĐÈ TÀI: NGHIÊN CUU TONG QUAN VE

QUY TRINH XU LY SU CO KHI HE THONG

INHIEM MA DOC VA QUY TRINH PHAN TiCH

Trang 2

Dé dn tot nghiệp GVHD: TS Ding Minh Tuan

HOC VIEN CONG NGHE BUU CHINH VIEN THO!

KHOA CONG NGHE THONG TINI

Trang 3

Dé dn tot nghiép GVHD: TS Ding Mink Tuan

LOLCAM ON

Dé dat được thành quả tốt đẹp như ngảy hôm nay, trước tiên em xin gửi lời cảm

ơn chan thành nhất đến TS Dang Minh Tuân — đã tận tỉnh chỉ bảo vả hướng đẫn em toàn thành tốt đỗ án tốt nghiệp của mình trong thời gian qua

Tầm xin gửi lời cầm ơn chân thành đến các thay cô giáo trong khoa Công nghệ

thông tin 1, các thấy cô giáo trong Học viện Công nghệ Bưu chỉnh Viễn thông đã dạy

đổ, động viên em trong suốt quá trình học lập hơn 4 năm qua lạt học viện

Cuối cùng em rat biết ơn gia đình và bạn bè luôn tạo điều kiện, quan tâm, giứp đã

để em vượt qua những khỏ khăn trong quá trình học tập và cuộc sống,

Em xin chan thanh eam on!

TIA Néi, ngày 28 tháng 10 năm 2021

Chu Trường Giang

Chu Trường Giang — DI7CQAT02B 3

Trang 4

NHẬN XÉT, DÁNH GIÁ, CIIO DIEM

(Của người hướng dẫn)

Trang 5

NHẬN XÉT, DÁNH GIÁ, CIIO DIEM

(Của người phải biện)

Trang 6

MUC LUC

NHAN XET, DANH GIA, CHO DIEM

NHẬN XÉT, DÁNII GIÁ, CHO DIỄM

2.1 Phương pháp xử lý sự cỗ khi mảy tính nhiễm mã độc 232

2.1.1 Quy trình xử lý sự cố với 1 công tị, tổ chức lẻw 132 3.1.2 Xử lý sự cố nữnằm mã độc với các cá nhân 34

Trang 7

2.3.1 Liệu quá của việc phân tích mã độc không cẩn trọng

2.3.2 Môi trường tải về và phân tích mã độc

3.3.3 Nguyên tắc chung khi phân tích mã độc:

3.4 Cài đặt mỗi trường nhân tích mã độc

3.4.1 Tạo máy áo phân tích mã độc ccoe

2.4.2 Sứ đụng máy áo phân tích mã độc 2.8 Quy trình phân tích mã độc

3.5.1 Nhận diện hệ thẳng bị nhiễm mã dộc 3.5.2 Phân tích sơ MOC cece

2.3.3 Phân ch đỘN cccneineneieneioeriei 2.3.4 Phân tích nh

2.6 Kết chương CHƯƠNG 3: PHAN TÍCH MÃ ĐỘC TÔNG TIEN DARKSIDE

Trang 8

KET LUAN - - - 70 DANH MỤC TẢI LIỆU THAM KHẢO - HÌ

Trang 9

DANII MUC BANG BIRU

Đảng 1 Định dang dữ liêu và vật chủ của mã độc „30

Đảng 3 Các kiểu tập th nhị phân wed

Đăng 4 Các thư viện liên kết dông thông dụng, wT

Bang 5 So sảnh môi trường phân tích mã dộc 249

Đảng 6 Bảng so sánh các kỹ thuật phản tích sec "-

Bang 7 Ban ghi nhận thay đổi của hệ thống sau khi chạy mã độc „64

Trang 10

Ảnh 1.1 Minh họa mã độc cà nininoeeroer 1

Ảnh 1.3 Minh họa Wormm co neeeeeeeeraeseaero T7

Ảnh 1.6 Minh họa RootKi, ceeeeieeeieeressooo,TÐ

Ảnh 1.9 Minh họa Keyloger - 29 Ảnh 21.80 đỗ quy trình phân tích mã độc Xe ¬ Ảnh 22 LIậu quá của việc không cẳn thân khi phân tích inã độc -.37 Ảnh 2.3.Môi trường phân tích mã độc - 38

Ảnh 2.4 Sơ đỏ quy trình phân tích mã độc "_

Ảnh 2.5 Mục đích của phân tích sơ lược 42 Ảnh 2.6 Quy trình phân tích sơ lược - - 43 Ảnh 2.7 Sơ đồ mạng với môi trường phân tích mã độc - - 49 Ảnh 2.8 Minh họa mã nhị phân 50

Ảnh 2.9 Công cụ OllyDbg

Ảnh 2 10 Công cu WinDbg

Ảnh 211 Quy trình phân lích tĩnh

Anh 3.1 Máy ão Windows 8.1

Ảnh 3.2 May do Linux Remnux

Ảnh 3.4 Kết quả của lệnh pefrarne 1

Ảnh 3.5 Kết quả của lệnh peframe 2

Ảnh 3.9 Kết quả của lệnh xorsearch, brxor, bhorack 60

Ảnh 3.11 Kết quả cúa lệnh floss „ố]

Ảnh 3.12 Kết quá sau khi chạy mã dộc 62

Ảnh 3.13 Kết quả phân tích WireSlak ào cccece 164

Ảnh 3 15 Tạo mỗi trường phản tích trên any run 1 65 Chư Trường Cang — DI 7CQAT02R 10

Trang 11

Trang 12

DANTI MUC CAC TITUAT NGT VIET TAT

ý hiệu Tên tiếng Anh 'Ý nghĩa Tiếng Việt

APT Application Programming | Giao dign lip tinh dmg dung

Tater face

USB Universal Serial Bus Công kết nỗi cáp tiêu chuẩn

TeT Trtemet of Thinga Tntsmmel van vat

RSA Ron Rivest, Adi Shamir va | La mot hé mat ma héa bit déi xing

Leonard Adleman MDS Message-Dicst Algorithm — | La mét hain bim mã hỏa

SHAI Secure Hash Alsorithm] | Là một hàm băm mã hóa

CPU Central Processing Unit Tộ vi xử lý trung tâm

PH32 Portable Láxeeutable 32-bát | Chương tình thực thị32-bit

Chu Trường Giang — DI7CQAT02B

Trang 13

LOT MG DAU

Ngày nay, việc phát triển nhanh chóng và vượt bộc của ngành công nghệ thông tia

noi riéng va mang, internet noi chung để và dang cham đến mợi ngóc ngách cả đời sống,

xã hội, dân trở thành một bộ phận quan trọng không thể thiếu trong xã hội Với những, tién ich nd mang lại cũng kèm theo những thách thức, rúi ro nguy hiểm vô củng to lớn

Nó không những, gây ra các nguy cơ de dọa nghiêm trọng, đến các lĩnh vực kinh tế, mà còn gầy ra các môi đe dọa trong lĩnh vực an rúnh quốc phỏng

Theo trung tâm an ninh mạng Victfel (VC§), trong nửa dẫu nấm 2021 đã ghi nhận

và phân tích rất nhiều các cuộc tấn công lớn cửa các nhóm APT Vi du uhir cac chiến dich tan công của nhóm APT nhắm tới các nhà nghiên cứu bảo mật, nhằm tới người ding loi dung một số bản cập nhật từ Noxplaycr, mã độc KerrDown, các cuộc lấn công, nhãm vào các tổ chức chính phú, quân dội tại Việt Nam, các cuộc tắn công lợi dụng các van bản liên quan dến chính trị tại Việt Nam Cũng theo bảo cáo nảy, trong nửa dâu

năm 2021 phi nhận các vụ lộ lợt thông tin lớn từ các doanh nghiệm lớn của Việt Nam (ngân hàng, tải chính, bán lễ)

Theo Trung lam Giám sát am toàn Không gian mạng Quốc gia (NCSC), trong 8

tháng đầu năm 2021, Cục An loan thông lim đã ghi nhận S083 cuộc lấn công mạng gây

sự cỗ vào các hệ thông thông tin tại Việt Nam (1212 cudc Phishing, 970 cuộc T)elace,

2900 cuộc tắn công mã độc), tăng 25.8284 so với cùng ki 8 tháng dầu năm 2020

Trong số 5082 cuộc tân công thi có tới 2900 cuộc tắn công bằng mnã độc chiêm sâp

xi 57% (theo NŒSC) Nhân thấy được sự tình vĩ và mức độ nguy hiểm của lấn công, bằng mã độc nên mục địch của đồ án là nhằm tạo ra 1 tài liệu nhằm mục tiêu phân loại

các loại mã độc, hành vị hoại động và nách phòng tránh cho người đùng thông thường,

Ngoài ra còn dé tao nén 1 tài liệu tham khảo cho các sinh viên, học sinh muén tìm hiểu

về biện pháp xử lý khi nhiễm muä độc hoặc phương pháp để phân lích 1 rnã độc

'Với mục tiêu đó, bô cục đồ án sẽ bao gồm ba chương theo câu trúc như sau:

Chương 1: Tổng quan về mã độc

Giới thiệu về mã độc, phân lại mã độc, nguyên lí hoại động sủa mã độc và cách

phòng tránh

Chương 2: Phương pháp phân tích mã độc

Trình bảy các bước trong phản tích mã độc và quả trình xử lý sự có khi máy tỉnh

bị nhiễm mã độc

Trang 14

Trang 15

Đồ án tốt nghiệp GVHD: TS Dang Minh Tuan

CHUONG 1 TONG QUAN VE MA DOC

Chương I trinh bay khai nigm vé md déc va cde thong tin liên quan như phân loại

mã độc, các hành vì của mã độc, nguyên lí hoạt động của mã độc Ngoài ra, chương

cũng nêu ra các biện pháp đề phòng tránh các cuộc tấn công mã độc

1.1 Mã độc là gì?

Mã độc (malware — malieious software) là một chương trình, phần mềm được tạo

ra với mục đích gây hại cho các thiết bị có thể lập trình như máy tính, điện thoại thông

minh, thiết bị IøT, mạng và các thiết bị cỏ thẻ lập trình khác Thiệt hại ở đây có thẻ là

chiếm quyên điều khiến thiết bị, khóa các tệp cân thiết, đánh cắp thông tin người dùng, làm giảm hiệu suất của thiết bị, v.v Ngày nay, mã độc ngày cảng biển đổi một cách tỉnh

vi và khỏ lường từ cách thức lây nhiễm, cách thức ân mình trong hệ thông cho tới cách

thức thực hiện hảnh vi Ma được chia thành rất nhiều loại khác nhau như là viruses,

ransomware, spyware, V.V

Anh 1.1 Minh hoa ma déc

Phân mẻm độc hại đã thực sự là mỗi đe dọa đối với các cả nhân và tổ chức kẻ từ

đầu những năm 1970 khi virus Creeper lan dau xuất hiện Kẻ từ đó, thẻ giới đã bị tân công từ hàng trăm nghìn biển thẻ phần mềm độc hại khác nhau Can phải chủ ý thêm

rằng mã độc khác với chương trình lỗi Mã độc là chương trình được tạo ra với chủ đích

xâu còn những chương trình lỗi - thưởng là do lỗi lập trình, mặc dù những lỗi này cũng

có thể bị các kẻ xâu lợi dụng đề thực hiện các hành vì xâu như chiếm quyền điều khiển, đánh cắp thông tín v.v

Trang 16

trên máy tính đều là virus Chúng ta cân phải hiểu rõ ràng về virus, thông thường nó thường được ân trong các chương trình máy tỉnh Giống như virus cảm cúm, virus máy

tỉnh cũng có khả năng nhân rộng bằng cách tự sửa đổi mã của các chương trình khác sau khi nó thâm nhập được vào hệ thông

Anh 1.2 Minh hoa virus may tinh

Trong một thế giới công nghệ internet kết nói liên tục như ngày nay, virus cỏ thẻ lây lan theo rất nhiều cách Virus máy tính có thê lây lan qua email, các loại tệp đính

kèm, các tệp tải xuống từ internet, các liên kết lừa đảo trên mạng xã hội hoặc qua các

thiết bị lưu trữ như USB Vius có thể ân mình dưới vỏ bọc là các tệp đỉnh kẻm có nội

dung vui nhộn, thiệp chúc mừng hoặc những hình ảnh và video nhạy cảm kích thích

TEƯỜI Xem

1.2.2 Worm

Worm hay còn được gọi là sâu máy tính - chúng là một đoạn mã độc sóng ký sinh

trong các chương trình máy tính, nhằm phá hoại và lây lan Nó có khả năng tự nhân bản

trên chính bản thân nó mả không cân sao chép vả nhúng vảo một file nào khác Chúng

có thê tự lây lan thông qua internet, do đó chủng thường gây thiệt hại nghiêm trọng cho

một mạng lưới vẻ tổng thẻ, trong khi virus thường chỉ nhắm vào các tập tin trên máy tính bị nhiễm Worm lây lan chủ yếu là do các lỗ hỏng bảo mật của hệ thông

Chu Trường Giang —D17CQAT02B 16

Trang 17

Anh 1.3 Minh hoa Worm

Trojan horse

Trojan horse trong thân thoại Hy Lạp là một con ngưa gỗ to lớn mả quân Hy Lạp

sử dụng để đánh lửa quân đội thành Trojan, bên trong nó có đây bình linh của quân Hy Lạp Chính vì đặc điểm nay ma người ta đã dùng nó để đặt cho một loại mã độc có cơ

chế hoạt động tương tự

Mã độc Trojan horse hay cỏn gọi lả Trojan, chúng cỏ vỏ bọc lả một phần mềm

thông thường nhưng bên trong lại chứa những đoạn mã nguy hiểm Loại mã độc này

được hacker sử dụng đề phá hủy, làm gián đoạn, ăn cắp dữ liệu hoặc mạng của bạn

Khác với Virus hay Womn, Trojan không cỏ khả năng tự nhân bản Loại mã độc nảy thường được phát tán qua các cuộc tắn công sử dụng kỹ thuật xã hội (lừa người dùng tải

Trang 18

Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuần

1.2.4 Adware

Adware duge hiéu la phan mem quảng cáo, nhưng chúng hoạt động không được

sự cho phép của người dùng Chúng liên tục hiển thi các quảng cáo gây phiên hả, và có thể thu thập thông tin cá nhân của người dùng để phục vụ mục đích cá nhân hỏa quảng

Trang 19

trên mạng

Các trường hợp tắn công đầu đầu tiên sử dụng mã hỏa được ghi nhân vào năm

1989 Phan mém ransomware AIDS/PC Cyborg nhằm mục tiéu chủ yêu vào máy

vào ö đĩa 5,2:

tinh từ các công ty trong lĩnh vực y tế Chúng được cá 5 inch mạo danh

một cuộc khảo sát về nguy cơ nhiém HIV/AIDS Tin nhắn tiên chuộc được in trên máy

in được kết nổi với máy tính nạn nhân

Ransomware thường được lây lan qua thư rác hoặc email lừa đảo, vả cũng cỏ thể

tải xuông theo ô đĩa (gọi chung là sử dụng

ê thiết bị), để lây

xã hội để lừa đảo nạn nhân cải đặt y nhiem vao thiết bị diem cudi và

thâm nhập vào mạng Internet

Các cuộc tấn công bằng Ransomware thường gây thiệt hai lớn và trên diện rồng vì khả năng lây lan kinh khủng của loại mã độc này Trong báo cáo hoạt động vẻ mã độc tổng tiên do VirusTotal và Google phổi hợp thực hiện mới đây với hơn 80 triệu mẫu

nghi ngờ cho thấy, mã độc tóng tiên tăng gan 200% so với thời điểm ban đầu tại Việt

Nam Báo cáo ghỉ nhân từ 140 quốc gia cũng cho biết, từ năm 2020 đền tháng 7/2021

Trang 20

đã có hơn 130 họ mã độc tổng tiền được kích hoạt, trong đó GandCrab là loại

ransomware tung hoành mạnh nhất

Các loại mã độc phô biền nhất là

theo cơ chế khỏa máy tỉnh hoặc thiết bị của nạn nhân vả tổng tiền

© Crypto ransomware: so voi Locker ransomware thi Crypto ransomware phô biển và rộng rãi hơn Nó mã hỏa tắt cả các file trong máy tỉnh vả tổng tiên nạn nhân đề đổi lay khóa giải mã Một số biến thẻ Crypto ransomware có khả năng lây nhiềm sang các ở đĩa được chia sẻ, mạng và đám mây

dich tong tien nan nhân Với mã độc tổng tiên nảy, ké tan cong sé him doa đăng những thông tin dữ liệu bị đánh cắp Nó có nghĩa là, cho dùng nạn nhân

có thể lấy lại dữ liệu thông qua backup, thi ké tin céng vẫn có khả năng tổng tiên nạn nhân Tuy nhiên, việc trả tiên chuộc cũng không đảm bảo việc dữ

và cho phép tôi phạm mua nỏ dưới hình thức đăng kỉ

Trang 21

1.2.6.3 Lịch sử của mã độc

Bay giờ bạn đã biết về định nghĩa và phân loại mã độc tổng tiên, tiếp theo cần tìm hiểu về một số ví dụ mã độc tống tiền nỏi tí

ảng đề xác định mới nguy hiểm vả rút

kinh nghiệm sau những cuộc tân công mã độc tổng tiền đó

Senden “a = Ryuh a, Maze ve

Sau 15 năm tạm lắng xu6ng, GPCode đã đánh dâu bắt đầu kỷ nguyên của

ransomware đối với Internet Loại mã độc tống tiên nảy lây lan qua email, mã

hỏa các tập tin của nạn nhân và đổi tên thành [mznanie (nghĩa là gây chủ ý

Chu Trường Giang ~ DI7CQAT02B 21

Trang 22

Là ransemware đầu tiên sử dụng mã hóa Rivest-Shamir-Adleman (RSA)

102 bịt Mục tiêu của nó nhắm vào các hệ thẳng Windows và phát tán qua các VRI độc hại và email rác Nó nhằm vào thư mục có lên “My Documenls” Một

khi thư mục bị raã hỏa, nạn nhân sẽ được chuyển hướng tới 1 cửa hảng trực tuyến Chỉ sau khi riạn nhân mua hàng, họ ruới có được rnật khẩu để mô khóa

lệp

Win ack — “ké dinth nghia ra ho Lock ransomware”, Lama déc tang lién

Lock ransomware dau tién xual hiện lrên các trang bảo Nạn nhân bị nhiềm rãi

độc tổng tiểu nay qua một Irang web độc hại Sau khủ mã độc xâm nhập thành

sông, nó sẽ bit nan nhân phải trả 108 đễ nhận dược một doan mã Sau khi nhập

nã vào thiết bị, mã độc sẽ yêu cầu mạn nhân gợi đến † số điện (hoại mién phi

hưng cuộc gọi dó thực ra là dã được chuyển hướng vả nạn nhàn sẽ mắt thêm

œ Thang 8/2012: Reveton

Roveton la mét dang ma déc tài chính, nỏ được lây lan thông qua các cuộc tấn công, drive-bv-download Sau khi bị lây nhiễm, một cảnh bảo tự hiện lên với nội dung thông báo từ một cơ quan pháp luật và cáo buộc nạn nhân lả kẻ

phạm tội (Ví dụ như tái xuống phần mềm ví phạm bản quyền) và đe dọa bỏ tủ nêu không nộp tiền phat theo yéu cau Cac bién thé sau do da sit dung, webcam

cá nạn nhân, yêu câu thanh toản bằng bitcoim, và lây lan phin mém déc hai

đánh cắp mật khâu và hệ điều hành đi động và Mac bị nhiễm

c_ Tháng 92013: CryptoLocker

CryptoLocker là một trong những vi dụ đầu tiên vẻ mã độc tống tiên tỉnh

vi Mã độc này khóa người đùng với hệ thống của họ, và sau đỏ nó sử đựng cặp khéa RSA2048 bit dé ma hoa hệ thẳng vã moi 6 dia được kết nếi cũng như là dich vụ đảm mây Điều này làm tăng eơ hội nạn nhân thanh toán khoản tiên chuộc vi ngay câ khi nạn nhân đã gỡ được khóa, quyền truy cập sẽ không được khôi phụ do hệ thẳng đã được mã hóa CryptoLocker lây lan qua các tệp đính

kẽm độc hại trong thư rác FedBx và thông bảo leo dõi của PS, cũng như các

trang web bị nhiễm Kê tân công yêu cầu 3005 tiên chuộc để mở khóa 1 thiết

Trang 23

gây khó khăn (hoặc trong một số trường hợp là không thể) khôi phục dữ liệu

của bạn Trong vòng 6 tháng đầu tiên, nó đã lây nhiễm cho 635000 hệ thống và

kiểm được hơn 1.1 triệu đô tiền chuộc CrypLoWall lây lam qua các email lita đão, quảng cáo độc hại trên các website Trong nhiều ưrường hợp, nạn hiên có

ễ tránh được cuộc tần công nếu như họ chỉ cần cập nhật phần mềm va sao haa

SumpleLocker, con được gọi với cải tén khac 14 Simplocker, là mã độc

tổng tiền đầu tiên nhắm mục tiêu vào các thiết bị Android Hó quét thé SD va sau đỏ mã hỏa hình ánh, tệp vả video Các phiên bản sau có thể truy cập vào camera của nạn nhân Ngoài ra nó còn có khá năng thu thập thiết bị, số kiểu máy và nhà sản xuất Giống như CTĐP-Lccker, SimpieLocker sử đụng trình tuyệt Tor đề tránh việc bị truy vét, Kẻ tấn ông yêu câu một khoản tiên chuộc để đổi lẫy mật khẩu va quyên truy cập thiết bị

e Tháng 2/2015: TeslaCrypt

TeslaCrypt nhắm mục tiêu vào các game thủ Lần xuất hiện đầu tiên nó

chỉ có thể mã hóa các tệp có kích thước nhỏ hơn 268M Kẻ tân công đòi

3008 tiên chuốc và đe dọa sẽ tăng phí gâp đôi nêu nạn nhân chậm trã Trang

năm 2016, tễ chức đứng sau TeslaCrypt đã phát hành một khóa chính, họ cho phép nạn nhầu giải mã các lập miễn phí

e Tháng 92015: LockerPin

Trang 24

LockerPin la m4 déc téng tién di déng khéa ma PIN dau tiên nhằm vào các thiết bị hệ điều hành Android Nó đã lây nhiễm vào thiết bị của người đừng sau khi được tải xuống từ các cửa hàng ứng đụng của bên thứ ba Không giảng như người tiền nhiệm SimpleLocker, LockerPin có thé ghi đè các đặc quyền quản trị, đừng các chương trình chẳng virus đang chạy trên thiết bị và thay đối

ma PIN của nạn nhân Tuy nhiên, ngay cả khi khoản tiên chuộc 500$ được trả, những kế lần công không thế mở khỏa thiết bị cửa nạn nhân vì mã DTN được tạo ngẫu nhiên và những kể tân công cfmp không thế xác định được

diễu hành Lm Sau khi khai thác một lỗ hồng trong niên tảng Magento thương

mai diện tử, Troạn đã

a hoa MySQL, Apache va cée thu muc géc va home

Những kẽ tân công yéu céu mét bitcoin dé dai lay khoe giải mã Các hệ thông,

vá lỗ hồng Magcnto dã ngăn người dùng trở thành nạn nhân

œ Tháng 1/2016: Ransom32

®Ransou32 là loại mã dộc tổng tiền sử dụng, JavaScript dẫu tiên Điều này

làm cho nẻ trở thành một nên tăng đa nền tăng, mã độc tổng tiên “viết một lần, lây nhiễm tất cá”, nỗ có thể lây nhiém vao Windows, Linux va Mac

c Thing 2/2016: Lecky

Locky d@ st dung mang botnet Necurs dé giti email lùa đảo với tập đính

kẻm Word hoặc Txcel có chứa macro độc hại Nó mã hóa tệp trên hệ điều hành Windows Locky xuất hiện trở lại vào tháng 9/2017 trong một cuộc tân công,

mà 27 triệu tín nhắn được gửi đi trong vòng 24h

Petya là mã độc tổng tiền có khả năng ghí đè lên các bản ghỉ khỏi đông (MBR)

và mã hỏa tập chính (MET), ghi lại các đữ liệu và vị trí thực và tat cả đường,

dẫn thư mục của tất cả các file trên thiết bị Ba bước này đã khóa nạn nhân khôi tiệ thống của họ Petya đã lây nhiễm các hệ thống Wimdows thông qua các eurail

Trang 25

SamSam đáng chú ý với cáo thao tác thủ cêng, Sau khi xảo định được nạn nhân,

kẻ tắn công sử dựng brute-foree và các công cụ hợp pháp của Windows để lây nhiềm lên các thiết bị cụ thể Sauk hi chạy được mã độc, tiên chuộc sẽ là I bitcoin Cáo bản cập nhập sau này đã kết hợp các kỹ thuật phức tạp, mã hóa va

kỹ thuật xáo trộn Mục tiêu bao gồm các hệ thông y tế, giáo dục và các cơ sở

hha tang théng tin quan trong Một báo cáo năm 2018 đã chỉ ra răng Sam Sam đã

thu được 6 triệu USD kế từ khí nó được tạo ra

Cac nan nhan fa mi de Jigsaw sé duge déi mi voi mot bite anh ghé

rợn và một đồng hỗ đêm ngược Nếu 150$ tiên chuộc khong duge thanh toan

tong vòng 1 giờ thì một trong số

ZCrypto là một trong những loại sâu mã hóa dâu tiên, nó là sự kết hợp

giữa sâu ruáy tính mà ransortware Nó tự nhận bản để sao chép chính nó vào

các thiết bị và mạng, dược kết nỗi bên ngoài Zcrypto mã hóa file eda nan nhân

và yêu cầu tiên chuộc là 1.2 biteom Sau 4 ngày nếu như chưa thanh toán thì tiễn chuộc sẽ tăng lên 5 bitcoin

o Tháng 92016: Mamba

Mamba, con được gọi với cái tên khác lá HDI2Crypto, nó là một mã độc

tổng tiên mã hỏa ổ củng và phát tán thông qua một công cụ mã hóa hợp pháp

14 DiskCrypto Cac bao cáo cho thấy Mamba đã khai thác ruột chương trình may cha Oracle chua duge vá lỗi, một băn cập nhật hệ thống don gián cỏ thể ngăn chặn cuộc tấn công

Trang 26

kẻ tân công yêu cầu $ 3,300 đối sang bitcoin - một khoản tiền chuộc cao hơn

nhiều so với cáe biến thể khác

'WannaCry đã được sử đựng trong cuộc tân công mạng toàn cầu vào tháng,

⁄/2017 với quy mô trên 150 quốc gia Cho đến tháng 5/2019, nó được báo cáo rằng đã lây lan đến gân 5 triệu thiết bị WannaCry đã ảnh hưởng đến các tế

chức nỗi tiếng như Dịch vụ Y tế cửa Vương quốc Anh, FedEx, Honda va Boeing

Còn được gọi là WannaCrypt, WannaCryptor và Wanna Deerypter, nó lây lan

qua khai thac EternalBluc bi rò rỉ của Cơ quan An nĩnh Quốc giá, một lỗ hông

trong các phiên bản cũ của Server Message Block Microsoft đã phát hành mội bản vả vào thắng 3 năm 2017, nhưng nó không được cập nhật rộng rấi T.ä ruột

con sầu máy tính, nó tự sao chớ): để lây nhiễm

c Thing 62017: Galdeneye

Goldeneye, một biến thể cũa Petya, thường được gọi là anh chị em của

WannaCry Nó lây lan qua phương pháp lừa dão và mã hỏa dữ liệu cá nhân của

tim nhân, xnš hóa MBR và MET, Nó cũng dược tuyển qua lễ hông ElernalBlue

œ Thang 6/2017: NotPetya

Biến thể Petya có tên NotPetya được coi 1d ransomware, nhumg với vai trò là một công, cụ xóa số, nở tập trung vào việc phả húy các tập tia hơn là thủ tiến Giống như Pctya, nó mã hóa MBR và MET Không gióng như Pctya, sau khi

mã hỏa, nó sẽ phá lrủy nội dung của thiết bị, Ngay cũ khi nạn nhân trá tiển chuộc, họ sẽ không bao giờ lây lại dược hỗ sơ của minh NotPetya sử dụng nhiều vectơ tân công, bao gồm cá các công cy phan mém hợp pháp

œ_ Lháng 10/2017: Bad Rabbit

Bad Rabbit, mot bién thé cua NowPetya, sit dung quang cao gia mạo trình

cài đặt Adobe Flash để nhằm mục tiêu nạn nhân Giỏng như Petya, Bad Rabbit

khai thác ItemalTSlue và mã hóa MIBR Khi một thiết bị bị nhiễm, một thông báo sẽ xuất hiện yêu cầu 0,05 bitcoin Nên nạn nhân không trả tiền trong vòng,

40 già, số tiên chuộc sẽ tăng lên

GandCrab 1a bién thé RaaS dau tiên yêu cầu thanh toán bãi TDash Nó đã sử dụng miễn cap cao nhất bịt, miễn không bi Céng ty Internet

cho Tên và Số được chỉ định, để đảm bảo bí mật GandCrab lây Jan qua email,

bộ dụng cụ khai thác và các chiến địch phần mềm độc hại khác Nó chịu trách

Trang 27

nim 2019, t6 chite ransomware ding sau GandCrah da nghi hue va phát hành một công cụ giải mã

e Tháng 8/2018 Ryukk

Ryuk, duoc đặt theo tên một nhân vat manga, la mét trong nhiing bién thé

hiệu hóa Khôi phục

hệ thống Windows, khiển nạn nhân không thẻ khôi phục nêu không có sao lưu

đầu tiên mã hóa ỗ đĩa mạng, xóa các ban sao bong và

bên ngoài hoặc công nghệ khôi phục Ryuk bị phát tán bởi các email lừa đáo chữa các tài liệu Microsoft Office độc bại Nó đã được sử dựng trong một cuộc

Lin công chồng lại Công ty xuất ban Tribune vao thang 12 năm 2018 Vào nam

2019 và 2020, nó đã được sử dụng trong một số cuộc lấn công chống lại các tổ

chức sức khốc Cá mục tiêu và run nhân cũng bao gồm các chính

phủ, hệ thống trường học, và

co Tháng 4/2019: REvil

REvil, còn được gọi là Sedm và Sodinokibi, có thể lên quan đến

ông 1y khu vực công và lư nhân khác

GandCrab của năm 2018 Hai chủng này có những điểm tương dễng nổi bật và

dã dược triển khai cùng nhau trên hệ thống của nạu nhân trong cá cuộc lấn công ban dẫu, trước klui GandCrab nghi hưu Các cuộc tắn công ban dau đã khai

Windows Sau dé, kai

thác các hệ thống bị xâm nhập thông qua lừa dao, 18 héng Giao thức Máy tính

thác lỗ hồng Oracle WcbLogie và lỗ hồng zero-day ci

Tw xa (RDP), tan công VEN và tân công chuỗi cung ứng, REvil đã được sử dụng trong các cuộc tấn công đáng chủ ý chống lại Acer, IBS USA và Kaseya

Nhỏm ransomware đã ngừng hoạt dộng vào tháng 7 năm 2021 nhưng xuất hiện

trỡ lại vào thàng 9 năm 2021 Một bộ giải mã phổ quát đã được phát hành vào thang 9 nfm 2021 cho các nạn nhân của các cuộc tấn công trước ngày 13 tháng,

7 năm 2021

e Tháng 5/2019: Maze

Maze, một biển thể của ChaCha, lây lan qua email rác, các cuộc tân công RDP và bộ đựng cụ khai thác Đây là một trong những ví đụ đầu tiên về mã độc tổng tiên kép Vào tháng 6 nam 2019, Maze théng báo thành lập một nhóm tổ

chức tội phạm mạng, Miaze đóng cửa hoạt động vào tháng 11 năm 2020

RobbinHood x4m nhập vào mạng của nạn nhân thông qua các âm rnưu la

dao, tan công RDP hoặc các Trojan khác, đôi khi lợi đìmg lỗ hồng CVE-2018-

19330, một lỗ hổng trình điều khiển whan Gigabyte Nó võ hiệu hóa các dich

Trang 28

mã đã được đăng trục tuyên, nó giải mã một số, nhưng không phải tất cả hệ

Vào tháng 5 năm 2021, tổ chức đứng sau ransomware này thông báo các hoạt dông của nó sẽ tam ngừng sau áp lực từ chính phủ Hoa Kỳ BlackiMalter, muội

nhom ransomware néi lén vào tháng 7 nãm 2021, dä ghi nhận những diễm

tương dồng với các băng nhóm DarkSide va REvil

c Thang 9/2020: Egregor

Egregor, một biến thẻ của ransomware 8ekhmet, là một RaaS ma nhiều người cho rằng là các chỉ nhành cũ của Maze Ligregor la một loại mã độc tổng, tiền kép vả công khai làm xấu mặt các nạn nhân của nó Sau khi trá tiền chuộc, những kẻ tấn công sẽ giải mã hệ thống của nạn nhân và đưa ra lời khuyên cho

nạn nhãn về các công ty có thế bảo vệ mạng của mình tốt hơn và tránh cáo cuộc

tấn công trong tương lai Một số chỉ nhánh không được tiết lộ của Iigregor đã

bị bắt vào tháng 2 năm 2021 Cùng lúc đó, tổ chức nảy đã giải tán

1.2.7 Keylogers

Keylogers la phan mém ghi lai hoat dộng bàn phim hoặc chụp anh man hinh tại may nan nhân ruột cách trải phép va gui vé cho attacker Attacker cé thé thu duge tin nhắn cá nhân, nội dung email, số thế tin dụng và dĩ nhiên là bao gồm mọi loại mặt khẩu

ma ngudi ding str dung

Trang 29

Dé dn tot nghiệp GVHD: TS Dang Minh Tuan

Anh 1.9 Minh họa Keyloger

1.3 Nguyên lí hoạt động của mã độc

1.3.1 Định dạng dữ liệu và vật chủ của mã độc

Phan nảy sẽ giới thiệu vẻ định dạng giữ liêu va vat chủ của các loại mã độc Mỗi

loại mã độc chỉ lây vào một số định dạng dữ liêu nhật định Phân tích các định dạng dữ

liệu mà mã độc hay sử dụng làm môi trường lây lan, cu tri dé phát tán và thực thi trên

môi trường của nạn nhân thi có kết luận như bảng sau:

1 Tép tin văn |File virus, Worm, | Tép tin seript

ban Trojan Tép tin registry Teg

Tép tin siêu văn ban | htt, hta

2 Têp tín|File virus, Worm, | Tệp tin lệnh com

Cascais Tép tin thục thí exe, ser

Tép tin thu vién dil, cpl, sys

Trang 30

Mẫu tìn khởi động hệ | #N/A

4 | Mẫu tin khởi | Bootvirus C00 0i 02000)

động Mau tin khéi dong he | #N/A

‘Tao module chính | Tựnhânbảnvảxóabỏ (thư | Tạo khởi động củng với hệ

(download, creation) mục, system, tisers) điểu hành (regisuy,

startup, service, schedule,

Trang 31

ö người đừng của ông lớn Google thì người dùng riên Luân thô 7

điệu sau để bão vệ bản thân trước nhímg muối đe doa nguy hiểm đếu từ mã độc:

Thường xuyên cập nhập máy tính vả phân mêm

— Không sứ dụng tài khoản có quyển administrator khi không thực sự cần thiết

— Han chế clua sẽ tệp tin của bạn

— Sử dụng các phân mềm đuyệt virus

Trang 32

CHƯƠNG II PHƯƠNG PHÁP PHẦN TÍCH MÃ ĐỌC

Chương 1ï sẽ đưa ra cái nhìn tống quan về phân tích mã độc, các Ñịnh nghĩa, các bước thực hiện của các kỹ thuật phân tích mã độc khác nhau Sau đó tổng hợp và tạo báng so sánh ưu nhược điểm gia các kỹ thuật phân tích mã độc nêu trên Ngoài ra, trong chương này, sẽ giới thiệu thêm về phương pháp xứ lý sự cổ khi máy tính bị nhiễm

mã dộc cho các cá nhân hoặc cơ quan tô chức

2.1 Phương pháp xử lý sự có khi máy tính nhiễm mã độc

'Với sự phát triển nhanh chóng của cuộc cách mạng sông nghệ lân thử 4, sự gia tăng các thiết bị IøT, số lượng rnã độc mới, mã độc tắn công vào các cá nhân, cơ quan,

tổ chức ngày càng tăng vẻ số lượng và mức độ tỉnh vi Việc phát hiện, xử lý, khắc phục, loại bỏ mã độc ra khỏi hệ thống mạng luôn gặp nhiều khó khăn luôn cần phải Luân theo quy trình ứng cứu, xử lý sự cề

2.1.1 Quy trình xử lì sự cổ với 1 công ty, tễ chức lớn:

Quy trình xứ lí sự cỗ mã độc thường năm trong quy trình xứ li sự cỗ an toàn thông,

tin, chúng, cân được thực hiện khoa học, hiệu quả theo mô hình sau đây:

Trang 33

gle

Anh 2.1.80 dé quy trình phân tích mã độc

Chụ Trường Giang ~ DI7CQAAT02B 33

Trang 34

a

Phát hiện, tiếp nhận thông tin sự cố: Việc phát hiện, tiếp nhận thông tin sự cố mã độc trong hệ thống mang được thục hiện bởi các cá nhân, Lễ chức hoặc là các hệ thống giám sát

Triển khai các bước ưu tiên ứng cứu ban đầu: Cần xác định mức độ ưu tiên xứ lý,

dia vao ban chất và dầu hiệu của sự cổ để xử lý

Trựa chọn phương án ứng cứu: lựa chọn phương án ứng cứu phủ hợp với từng sự

cổ vả hệ thông mạng cụ thê

Bao cáo sự có Bao cáo thông tin về sự có, dẻ xuất phương án ứng cửu dễ lãnh

đạo phê duyệt, chí đạo xứ lý

Chi dao xử lý sự cố: Thực hiên thành lập đội ứng cứu thai giả xử lý sự có, Phối

hợp với các dơn vị chuyên trách ứng cửu sự cố, các doanh nghiệp viễn thông TNgăn chăn sự cố: Thực hiện thu thập đữ Hén điện tử, phâu tích xác định phạm vi,

đối tượng bị ảnh hưởng, phân tích nguên gốc tấn công, triển khai các biện pháp ngăn chặn và giảm thiêu rủi ro đối với hệ thông thông tin

Xử lý, gỡ bỏ: Thực hiện loại bỗ mã độc ra khỏi hệ thông, triển khai các biện pháp dam béo an ninh, an toan théng tin hỗ sung như rà quét, đánh giá, loại bỏ, khắc phục cac diém yéu, 16 héng bio mat trong hé thông

Khôi phục: Thực hiện việc khôi phục đữ liệu, kết nói,

phần mềm cho hệ thôn;

Kiểm Ira phâu tích hệ thông: Thực hiện đánh: giá hệ hồng thong tin sau khi khắc

phục hệ thống Nếu hệ thông chưa hoạt động ôn cần tiếp tue điêu tra, phân tích,

Tổng kết, đánh giá: Tổng hợp các thông tín, viết báo cáo

4.1.2 Xứ Ù sự có nhiễm mã độc với các cả nhân,

3 Ngắt kết nổi Irternet: Khi phát hiện máy tinh có giấu hiệu bắt thường nghi nghiém

mã đốc, việc đầu tiên cân làm là ngắt kết nói Internet Mã dộc có thể gi, nhận

đữ liêu hoặc tự lây lan thông qua môi trường Irtertel, việc ngắt kết nói đề làm:

giảm thiệu sự lây lan và thiệt hại do mã độc gây r

Sao lưu dữ liệu cá nhân: Sao lưu các đữ liệu quan trọng sang một nơi an toàn Chủ ý: mã độc có khả năng lây lan sang các tập tin khác nên việc sao hm cản hết sức cần trong

Khởi động máy tính ở chế độ Safs Mode hoặc dùng ô đĩa cứu hộ: Nếu mã độc

được cài đặt dé cha ở Safe Miode giúp ngăn ngừa mã độc tự

khởi chạy cùng với hệ điều hành Để bật Safe Mode:

1 Khởi động lại máy tính của bạn

2 Khi máy tỉnh dang khởi dộng lại, nhân và giữ phim F8

3 Khi này hệ điều hành s

thi các tủy chọn khởi động, chon Sale Mode

Chi: Trinh ding nhập vào tài khoản trong quá trình xóa bộ snã độc

Sử địmg một thiết bị an toàn có kết nối Internet để tìm kiểm thông tin trên Internet

về cáo giấu hiệu máy tính nhiễm mã độc đang gặp phải với hy vọng sẽ tìm kiểm được thông tin về mã độc đó để có phương pháp xử lý

Trang 35

2 Theo déi Task Manager dé kiém tra các tiến trình cö các hoạt đông, bắt thường, (tiêu bao nhiều tài nguyên CPU, Disk, Internet ) Nếu phát hiện bất thường đừng ngay các tiên trình đó,

nhiễm lại PC Kiểm tra trang chủ v

a_ Nêu thực hiện các bước trên mà mã độc vẫn chưa được gỡ bỏ, tiền hành cài lại

hệ điền hành Trước khi làm việc này thì nên back up dit gu quan trong,

Chon mit Start -> Settings > Type Recovery Options -> Reset this PC -> Get started -> Remove everything

2.2 Tang quan về nhân tích mã độc

Pha

tác động

tích mã độc là một bước quan trọng để có thể ngần chặn và tiêu điệt hoàn toản mã độc

ra khôi máy tính và hệ thẳng mạng: khôi phục lại hiện trang của mạng ban đâu: truy tìm nguồn gốc kẻ tắn công Ngoài ra những thông tin từ báo cáo phân tích mã độc sẽ giúp ich cho việc bão vệ hệ thống chồng lại các cuộc tắn công mã độc tương tự trong tương,

lai

Để hiểu rõ hơn về phân tích mã độc, cần phải làm rõ được các câu hội như: Ai là

người phân tích mã độc? Tại sao lại phải phân tích mã độc? Mục đích của phản tính mã

độc là gì? Cụ thể:

3.2.1 Ai là người phân tích mã độc?

Phan tích mã độc là mội công việc rất khó, đổi hội sự hiểu biết sâu về công nghệ

thông tin néi chung wa an loan thông tin nói riêng Việc phân tích mã độc thường được

thực hiện bởi các đơn vị và tổ chức sau: Đơn vị ứng cứu khắn cấp

c Hang phan mém anti-virus

ö— Đơn vị phát niển công cụ bảo mậL

ö Đơn vị cũng cấp dịch vụ bảo mật

e5 Các cơ quan Nhà nước, Chính phủ

oc Ké tan céng

2.2.2 Tai sao cần phải phân tích mổ độc?

Việc phân tích mã dộc có ÿ nghĩa rất lớn với đảm bảo an nành thông từn, nó sẽ đem

lại những thông tim chính xác về mã độc khi rnà la không thể tin tưởng hoàn toàn vào

các nguồn thông lầu công cộng,

Việc phân tich mã độc cũng hỗ trợ các hoạt déng dám bảo an toàn thông tin như:

Tiêu đề	Nghiên Cứu Tổng Quan Về Quy Trình Xử Lý Sự Cố Khi Hệ Thống Nhiễm Mã Độc Và Quy Trình Phân Tích Mã Độc
Tác giả	Chu Trường Giang
Người hướng dẫn	TS. Đặng Minh Tuấn
Trường học	Học Viện Công Nghệ Bưu Chính Viễn Thông
Chuyên ngành	Công Nghệ Thông Tin
Thể loại	Đồ án tốt nghiệp
Năm xuất bản	2021
Thành phố	Nội

Định dạng
Số trang	71
Dung lượng	2,16 MB