Nghiên cứu phương pháp phân tích phần mềm mã độc

Một số ứng dụng điển hình có thể kể đến như: McAfee Antivirus, Kaspersky Antivirus, Norton Antivirus, Microsoft Security Essentials, AVG Anti-Virus … Tuy nhiên, do sự phát triển của phần

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGÔ QUANG HƯNG

NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH

PHẦN MỀM MÃ ĐỘC

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2014

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

-o0o -

NGÔ QUANG HƯNG

NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH

PHẦN MỀM MÃ ĐỘC

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin

Mã số: 60480104

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2014

LỜI CAM ĐOAN

Tôi xin cam đoan những kết quả đạt được trong luận văn này là do bản thân nghiên cứu, tổng hợp và thực hiện Toàn bộ những điều được trình bày trong luận văn

là của cá nhân hoặc được tham khảo và tổng hợp từ các nguồn tài liệu khác nhau Tất

cả các tài liệu tham khảo, tổng hợp đều được trích dẫn với nguồn gốc rõ ràng

Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình Nếu có gì sai trái, tôi xin chịu mọi hình thức kỷ luật theo qui đinh

Hà Nội, tháng 10 năm 2014

Học viên

Ngô Quang Hưng

Tôi cũng xin chân thành cảm ơn cơ quan, bạn bè, đồng nghiệp, gia đình và những người thân đã cùng chia sẻ, giúp đỡ, động viên, tạo mọi điều kiện thuận lợi để tôi hoàn thành nhiệm vụ học tập cũng như hoàn thành luận văn này

Hà nội, tháng 10 năm 2014

Học viên

Ngô Quang Hưng

MỤC LỤC

LỜI CẢM ƠN 2

MỤC LỤC 3

DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT 5

DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG 6

MỞ ĐẦU 7

CHƯƠNG 1-TỔNG QUAN VỀ MALWARE 9

1.1 Khái niệm về Malware 9

1.2 Phân loại Malware 9

1.3 Lược sử về Malware 13

1.4 Vai trò của việc phân tích Malware 17

CHƯƠNG 2– CƠ CHẾ HOẠT ĐỘNG CỦA MALWARE 18

2.1 Tìm hiểu về cấu trúc PE file 18

2.2 Hình thức lây nhiễm 19

2.2.1 Qua thiết bị lưu trữ 19

2.2.2 Qua mạng Internet 20

2.3 Đối tượng lây nhiễm 22

2.3.1 Các phần mềm: 22

2.3.2 Đoạn mã (Script): 23

2.3.3 Shortcuts: 24

2.3.4 Một số loại tập tin khác: 24

2.4 Khởi động cùng hệ thống 25

2.5 Phá hoại và các hoạt động khác 28

2.6 Cơ chế tự bảo vệ của mã độc 29

2.6.1 Cơ chế tạo áo giáp (Armouring): 29

2.6.2 Cơ chế chống theo dõi (Anti Heuristic): 29

2.6.3 Cơ chế chống phần mềm phân tích (Anti-Analysis software) 30

2.6.4 Chống gỡ rối và ảo hóa (Anti debugger & Virtual Machine) 30

2.7 Kỹ thuật đóng gói để che giấu mã độc 31

2.8 Xu hướng phát triển của Malware 33

CHƯƠNG 3- PHƯƠNG PHÁP PHÂN TÍCH MALWARE 35

3.1 Qui trình phân tích Malware 35

3.2 Kiểm tra, phát hiện và lấy mẫu Malware 35

3.2.1 Kiểm tra các phần mềm khởi động cùng hệ thống 35

3.2.2 Tiến trình trong Windows 36

3.2.3 Kiểm tra chuỗi (string) của các tiến trình 37

3.2.4 Tiêm mã độc 39

3.2.5 Phát hiện che giấu mã độc với phương pháp phân tích Entropy 39

3.2.6 Sử dụng hàm băm (Hash) để xác định phần mềm độc hại 41

3.2.7 Lấy mẫu Malware 41

3.3 Thiết lập môi trường phân tích an toàn 42

3.4 Phân tích tĩnh 44

3.4.1 Phân tích các hàm Windows API để phát hiện phần mềm nghi vấn 44 3.4.1.1 API là gì : 44

3.4.1.2 Các thành phần của Windows API 44

3.4.1.3 Tại sao phải tìm hiểu Windows API 44

3.4.2 Dịch ngược và phân tích mã Assembly 45

3.4.3 Unpacking 45

3.5 Phân tích động 48

3.5.1 Sử dụng các công cụ Sandbox 49

3.5.2 Giám sát hoạt động của tiến trình 50

3.5.3 Sử dụng các chương trình gỡ rối (Debugger) 50

3.5.4 Sử dụng Volatility để rà quét, phân tích mã độc trên RAM 52

3.6 Một số tiêu chí đánh giá an ninh tiết trình 53

CHƯƠNG 4 – HỆ THỐNG HỖ TRỢ PHÂN TÍCH MALWARE 54

4.1 Hệ thống phân tích Malware tự động Cuckoo Sandbox 54

4.1.1 Giới thiệu hệ thống 54

4.1.2 Cài đặt hệ thống 55

4.1.3 Sử dụng Cuckoo Sandbox để phân tích Malware 56

4.2 Xây dựng phần mềm đánh giá an ninh tiến trình 59

4.2.1 Giới thiệu phần mềm 59

4.2.2 Biểu đồ Use case 60

4.2.3 Một số kịch bản chính của phần mềm 62

4.2.4 Chương trình 63

KẾT LUẬN 66

TÀI LIỆU THAM KHẢO 67

PHỤ LỤC: MỘT SỐ HÀM WINDOWS CẦN CHÚ Ý KHI PHÂN TÍCH MALWARE 68

DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT

CERT Computer emergency response team Đội phản ứng nhanh về máy tính DDoS Distributed denial-of-service Từ chối dịch vụ phân tán

IAT Import Address Table Bảng địa chỉ hàm nhập khẩu IDE Integrated development environment Môi trường phát triển tích hợp

NIST National Institute of Standards and

Technology

Viện công nghệ và tiêu chuẩn quốc gia Hoa Kỳ

NSRL National Software Reference Library Thư viện tham khảo phần mềm

quốc gia Hoa Kỳ OEP Original Entry Point Điểm vào chương trình gốc

RAT Remote Administration Tool Công cụ quản trị từ xa

TCP Transmission Control Protocol Giao thức điều khiển truyền vận VCL Virus Creation Laboratory Phòng thí nghiệm tạo virus

DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG

Hình 2.1: Cấu trúc cơ bản của PE 18

Hình 2.2 Đóng gói để che giấu mã độc 32

Hình 3.1 Qui trình phân tích Malware 35

Hình 3.2 Kiểm tra các phần mềm khởi động cùng hệ thống 36

Hình 3.3 Quản lý tiến trình và kiểm tra chữ ký file thực thi 37

Bảng 3.1: Độ chính xác thống kê dựa trên Entropy 41

Hình 3.4 Mô hình hệ thống ảo hóa 42

Hình 3.5: Xác định phần mềm đóng gói với PEID 46

Hình 3.6: Tìm OEP của phần mềm gốc 46

Hình 3.7: Lưu phần mềm gốc đã được giải đóng gói trên bộ nhớ 47

Hình 3.8: Kết xuất file exe từ bộ nhớ 47

Hình 3.9: Sửa lại Import Address Table 48

Bảng 3.2: Phát hiện tiến trình liệt kê các tập tin doc bằng phương pháp giám sát 50

Bảng 3.3: Một số tiêu chí đánh giá an ninh tiến trình 53

Hình 4.1 Sơ đồ hệ thống phân tích mã độc Cuckoo Sandbox 55

Hình 4.2 UC01 - Tổng quan 60

Hình 4.3 UC02 – Kiểm tra tiến trình 60

Hình 4.4 UC03 – Liệt kê kết nối mạng 61

Hình 4.5 UC04 – Kiểm tra Hash 61

Hình 4.6 UC05 – Kiểm tra các hàm API 61

Hình 4.7 Chức năng kiểm tra tiến trình 63

Hình 4.8 Xác định các kết nối mạng 64

Hình 4.9 Kiểm tra mã Hash của tập tin 64

Hình 4.10 Phân tích bảng Import Table và đưa ra các hàm nghi vấn 65

MỞ ĐẦU

Thế giới đang chứng kiến những thay đổi lớn và có sự phát triển nhanh chóng về mọi mặt, nhất là trong ngành công nghệ thông tin; phần mềm mã độc cũng không nằm ngoài xu hướng đó Từ thời điểm lý thuyết tự nhân bản của phần mềm máy tính được John von Neuman (1903-1957) đưa ra (năm 1941) đến khi xuất hiện virus đầu tiên phải mất hơn 3 thập kỷ, nhưng với sự bùng nổ của Internet mã độc cũng theo đó bùng

nổ theo Song song với việc ứng dụng công nghệ thông tin, mã độc cũng đã và đang len lỏi vào mọi mặt của đời sống, gây ra những thiệt hại vô cùng nghiêm trọng cả về kinh tế lẫn an ninh, quốc phòng

Khi nói về chống phần mềm độc hại, ta thường nói tới phần mềm chống virus nhưng không phải lúc nào phần mềm chống virus cũng có hiệu quả Do đó, việc nâng cao ý thức cảnh giác để phòng ngừa và hơn thế nữa là phân tích, vô hiệu hoá phần mềm độc hại trở thành nhu cầu tất yếu

Vấn đề phân tích, chống phần mềm mã độc đã được vô số các hãng bảo mật trên thế giới tiến hành đầu tư nghiên cứu; từ các hãng lớn như Internet McAfee, Kaspersky, Norton … cho tới các nhóm phát triển phần mềm đơn lẻ Một số ứng dụng điển hình

có thể kể đến như: McAfee Antivirus, Kaspersky Antivirus, Norton Antivirus, Microsoft Security Essentials, AVG Anti-Virus … Tuy nhiên, do sự phát triển của phần mềm mã độc luôn đi trước các chương tình diệt virus một bước nên việc nghiên cứu, phân tích mã độc càng trở nên quan trọng và cấp thiết để làm sao hạn chế được tối đa những thiệt hại do phần mềm mã độc gây ra

Trên cơ sở kiến thức về an toàn thông tin, lý thuyết về hệ điều hành và nhu cầu thực tế, hướng tới xây dựng một chương trình đánh giá an ninh tiến trình nhằm hỗ trợ quá trình phát hiện mã độc Ngoài ra, đề tài còn có thể được phát triển để ứng dụng phục vụ cho các cơ quan chính phủ (an ninh, quốc phòng…) cũng như các tổ chức, cá nhân có nhu cầu

Ngoài phần Mở đầu, Kết luận và Phụ lục, nội dung luận văn được chia làm 4 chương chính:

Chương 1 Tổng quan về Malware: chương này giới thiệu những vấn đề cơ bản nhất về Malware, lịch sử và xu thế phát triển chúng

Chương 2 Cơ chế hoạt động Malware: chương này mô tả khái quát về các hàm API, cấu trúc file PE của Windows và một số kỹ thuật căn bản mà Malware sử dụng để lây nhiễm và duy trì sự tồn tại của chúng trên hệ thống

Chương 3 Phương pháp phân tích Malware: chương này mô tả các bước trong phân tích Malware cũng như xây dựng một quy trình phân tích Malware

Chương 4 Xây dựng phần mềm hỗ trợ phân tích Malware: áp dụng lý thuyết đã đưa ra trong Chương 3 để xây dựng phần mềm hỗ trợ phân tích Malware Giới thiệu hệ thống phân tích Malware tự động Cuckoo Sandbox

Phần Kết luận: trình bày tổng hợp các kết quả nghiên cứu của luận văn và định hướng nghiên cứu tiếp theo

Luận văn đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuật phân tích Malware, đưa ra được quy trình phân tích đồng thời xây dựng được một công cụ hỗ trợ phân tích hiệu quả Tuy nhiên, luận văn không thể tránh khỏi những thiếu sót, vì vậy tôi rất mong nhận được những ý kiến đóng góp, nhận xét của thầy cô giáo và bạn đọc để kết quả nghiên cứu được ngày một hoàn thiện hơn

CHƯƠNG 1-TỔNG QUAN VỀ MALWARE

Các khái niệm và cách phân loại sau đây đều được trích dẫn theo định nghĩa đưa ra bởi Viện Tiêu chuẩn và Công nghệ quốc gia Hoa kỳ - National Institute of Standards and Technology (NIST)

1.1 Khái niệm về Malware

Mã độc hại (Malware hay Maliciuos code) là một phần mềm được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống.[7, tr15]

1.2 Phân loại Malware

Có nhiều cách phân loại mã độc khác nhau, dựa vào các tiêu chí khác nhau Tuy nhiên, định nghĩa đưa ra bởi NIST là cách định nghĩa phổ biến nhất trong ngành khoa học máy tính ngày nay [7]

1.2.1 Virus: Là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản

và lây nhiễm chính nó vào các file, phần mềm hoặc máy tính Như vậy, có thể suy ra virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan Các phần mềm diệt virus dựa vào đặc tính này

để thực thi việc phòng chống/diệt virus, để quét các file trên thiết bị lưu hoặc quét các file trước khi lưu xuống ổ cứng, Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó được

1.2.2 Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh

bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành Các loại

boot virus (như Michelangelo và Stoned), file virus (như Jerusalem) rất phổ

biến trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể được pha trộn bởi cả boot virus va file virus trong cùng một phiên bản

1.2.3 Interpreted Virus là một tổ hợp của mã nguồn mà chỉ thực thi được dưới

sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống Một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì

nó mới được thực thi Macro virus, scripting virus là các virus nằm trong dạng này Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng

khả năng kiểm soát việc tạo và mở file để thực thi và lây nhiễm Chúng ta phân biệt giữa macro virus và scripting virus như sau: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lện chạy bằng một service

của hệ điều hành Melisa là một ví dụ xuất sắc về macro virus, Love Stages là ví

dụ cho scripting virus

1.2.4 Worm cũng là một phần mềm có khả năng tự nhân bản và tự lây nhiễm

trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cần phải có “file chủ” để chứa nó khi đã nhiễm vào hệ thống Như vậy, có thể thấy rằng chỉ dùng các phần mềm quét file sẽ không diệt được worm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng Mục tiêu của worm bao gồm cả việc làm lãng phí nguồn lực băng thông của mạng cũng như phá hoại hệ thống (xoá file, tạo backdoor, thả keylogger, ) Worm có đặc trưng là khả năng tấn công lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, sao chép file hay đóng/mở file) Nhìn chung, Worm có thể chia làm 2 loại:

- Network Service Worm: Lan truyền bằng cách lợi dụng các lỗ hổng bảo

mật của mạng, của hệ điều hành hoặc của ứng dụng Sasser là ví dụ cho

loại sâu này

- Mass Mailing Worm: Là một dạng tấn công qua dịch vụ mail, tuy nhiên

nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm

sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho

máy chủ mail Netsky, Mydoom là ví dụ cho thể loại này

1.2.5 Trojan Horse: Là loại mã độc hại được đặt theo sự tích “Ngựa thành

Troa” Trojan horse không tự nhân bản Nó lây vào hệ thống với biểu hiện ban đầu rất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại Trojan có thể lựa chọn một trong 3 phương thức để gây hại như sau:

- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, bên cạnh

đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một phần mềm đánh cắp password)

- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che giấu các hành động phá hoại

khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống)

- Thực thi luôn một phần mềm gây hại bằng cách núp dưới danh một phần mềm không có hại (ví dụ như một trojan được giới thiệu như là một trò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)

1.2.6 Malicious Mobile Code: Là một dạng mã phần mềm có thể được gửi từ xa vào

một hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó Malicious Mobile Code được coi là khác với virus, worm do đặc điểm không nhiễm vào file và không tìm cách tự phát tán Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho Malicious

mobile code Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda,

sử dụng JavaScript

Kiểu tấn công của Nimda thường được biết đến như một tấn công hỗn hợp

(Blended Atatck) Cuộc tấn công bắt đầu khi người dùng mở một email độc

bằng web-browser Sau khi nhiễm vào máy, Nimda sẽ cố gắng sử dụng sổ địa

chỉ email của máy đó để phát tán tới các máy khác Mặt khác, từ máy đã bị

nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển file nhiễm virus tới các máy đó Đồng thời Nimda cố gắng dò quét để phát hiện

ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft Khi tìm thấy, nó sẽ copy bản thân nó vào server Nếu một web client có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng

bị nhiễm mà không cần “mở email bị nhiễm virus”) Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân

1.2.7 Tracking Cookie: Là một dạng lạm dụng cookie để theo dõi hành động duyệt

web của người sử dụng một cách bất hợp pháp Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo

ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của

cá nhân

1.2.8 Attacker Tool: Là những bộ công cụ tấn công có khả năng đẩy các phần mềm

độc hại vào trong hệ thống Các bộ công cụ này giúp kẻ tấn công truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại Khi được tải vào trong hệ thống bằng các đoạn mã độc hại, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ

được tải vào hệ thống sau khi nhiễm Attacker tool thường gặp là backdoor và keylogger

Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi

lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP Phần lớn các backdoor cho phép kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file,

dò mật khẩu, thực hiện mã lệnh, Backdoor cũng có thể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool

- Zoombie (có thể đôi lúc gọi là bot): là một phần mềm được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác Kiểu thông dụng nhất của Zoombie là dùng các agent để tổ chức một cuộc tấn công DDoS Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lệnh

tấn công cùng một lúc Trinoo và Tribe Flood Network là hai Zoombie

nổi tiếng

- Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép thực hiện quyền quản trị từ xa Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống Tấn công kiểu này có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác

động vào cấu hình của hệ thống Ví dụ về công cụ RAT là: Back Orifice, SubSeven,

Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn

bằng bàn phím rồi gửi tới hacker Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật Một số ví dụ về

keylogger: KeySnatch, Spyster,

1.2.9 Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi các

chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn sự tấn công nguy hiểm Ví dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ rồi thay thế, sửa đổi các lời gọi hàm của hệ điều hành Rootkit thường được dùng để cài đặt các công cụ tấn công như cài

backdoor, cài keylogger Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender

1.2.10 Web Browser Plug-in: là phương thức cài mã độc hại thực thi cùng với trình

duyệt web Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi thông tin ra ngoài Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện

thoại ngầm định mặc dù không được phép của chủ nhân

1.2.11 Email Generator: là những phần mềm cho phép tạo ra và gửi đi một số lượng

lớn các email Mã độc hại có thể gieo rắc các email generator vào trong hệ thống Các phần mềm gián điệp, spam, mã độc hại có thể được đính kèm vào các email được sinh là từ email generator và gửi tới các địa chỉ có trong sổ địa

chỉ của máy bị nhiễm

1.2.12 Attacker Toolkit: là các bộ công cụ có thể được tải xuống và cài vào hệ thống

khi hệ thống đã bị khống chế bởi phần mềm độc hại Các công cụ như các bộ dò quét cổng (port scanner), bộ phá mật khẩu (password cracker), bộ dò quét gói

tin (Packet Sniffer) chính là các Attacker Toolkit thường hay được sử dụng 1.2.13 Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã độc

hại Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá nhân ) Kẻ tấn công phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email mà nạn nhân thường hay sử dụng như trang web của Ngân hàng, của công ty phát hành thẻ tín dụng, Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp

trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác

1.2.14 Virus Hoax là các cảnh báo giả về virus Các cảnh bảo giả này thường núp

dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ

thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ

1.3 Lược sử về Malware

Có nhiều quan điểm khác nhau về lịch sử phát triển của Malware, trong luận

văn này sẽ chỉ nêu vắn tắt những điểm chung nổi bật nhất

Năm 1949: Lý thuyết đầu tiên về phần mềm tự sao chép ra đời John Von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một phần mềm cho máy tính

Vào cuối thập niên 1960 đầu thập niên 1970, trên các máy Univax 1108 xuất hiện một phần mềm “Pervading Animal” mà tự nó có thể nối với phần sau của tập tin thực thi Lúc đó chưa có khái niệm virus

Năm 1981: Các Malware đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II Đây cũng là những virus đầu tiên xuất hiện trên hệ điều hành của hãng Apple, chúng lây lan khắp hệ thống máy tính của công ty Texas A&M, thông qua các trò chơi không có bản quyền trên đĩa mềm Những người đầu tiên phát hiện đã gọi chúng là Elk Cloner

Năm 1983: Fred Cohen đưa ra khái niệm đầu tiên về Virus: “Là một phần mềm máy tính có thể tác động những phần mềm máy tính khác bằng cách sửa đổi chúng dùng phương pháp đưa vào một bản sao của nó” Fred Cohen luôn là cái tên đầu tiên được nhắc đến khi nói về lịch sử của Malware

Năm 1986: Virus “Brain” được phát hiện, đây là virus đầu tiên được phát hiện trên máy tính cá nhân Virus này được tạo ra tại Pakistan bởi hai anh em lập trình viên

là Basit Farooq Alvi và Amjad Farooq Alvi Phần mềm này thay thế các mã thực hiện (Executable code) trong rãnh ghi khởi động (boot sector) của một đĩa mềm 360Kb bằng mã riêng của nó, với mục đích làm lây nhiễm tất cả các ổ đĩa mềm Đây cũng là Virus MS-DOS xuất hiện sớm nhất

Năm 1987: Lehigh, một trong những Virus file đầu tiên xâm nhập các tập lệnh Command.com (Virus này sau đó tiến hóa thành Virus Jerusalem) Cũng trong năm này, Virus IBM Chrismast cũng được phát hiện, với tốc độ lây nhiễm cực nhanh tới hàng nghìn bản sao trên giờ, đây là cơn ác mộng thực sự đối với các máy tính lớn (mainframe) của Big Blue

Năm 1988: Virus Jerusalem, một trong những Virus phổ biến nhất xuất hiện, nó tấn công đồng loạt các trường đại học và các công ty trên nhiều quốc gia vào đúng thứ

6 ngày 13, Virus này tác động lên các file có đuôi exe và com, đây là loại virus hoạt động theo đồng hồ máy tính Cùng năm này, Virus “MacMag and the Scores” gây ra đợt bùng phát lớn đầu tiên trên các máy Macintosh Đây cũng là cuộc khủng hoảng Internet đầu tiên khiến một số lượng lớn máy tính bị tê liệt Cũng từ đó, trung tâm điều phối phản ứng nhanh (CERT) đã ra đời để đối phó với những sự cố tương tự

Năm 1989: Xuất hiện phần mềm Trojan có tên AIDS Trojan này nổi tiếng vì

có khả năng khống chế dữ liệu giống như con tin Nó được gửi đi dưới dạng một phần mềm thông tin về bệnh suy giảm miễn dịch AIDS Khi được kích hoạt Trojan AIDS sẽ

mã hóa ổ cứng của nạn nhân và yêu cầu người sử dụng phải nộp tiền nếu muốn được giải mã

Năm 1990: Symantec phát triển công cụ Norton AntiVirus, một trong những phần mềm diệt Virus đầu tiên do công ty lớn phát triển Cũng trong năm này, thị trường trao đổi mã độc đầu tiên (VX) được tung lên mạng từ Bulgaria Tại đây, các tin tặc có thể buôn bán mã và giao lưu các ý tưởng về mã độc Cuốn sách về Virus máy tính của tác giả Mark Ludwig được xuất bản cùng thời gian này

Năm 1991: Malware đa hình (Polymorphic Malware) ra đời, đầu tiên là Sâu

“Tequilla” Malware dạng này có khả năng tự thay đổi hình thức của nó, gây khó khăn cho các phần mềm chống Virus, nó khiến cho việc phát hiện và truy quét trở nên rất phức tạp

Năm 1992: Trong vòng 2 năm, đã ghi nhận được tổng số hơn 1.300 Malware đang tồn tại, tăng 420% so với tháng 12 năm 1990 Xuất hiện DAME (Dark Avenger Mutation Engine) - một bộ công cụ cho phép chuyển những mã độc thông thường thành những phần mềm có khả năng thay đổi hình dạng Sau đó là VCL (Virus Creation Laboratory), một công cụ chế tạo Malware thực sự ra đời Sự xuất hiện của Virus MichelLangelo làm dấy lên lời cảnh báo về thiệt hại quy mô lớn trên toàn cầu, mặc dù cuối cùng sự phá hoại của Virus này đã không xảy ra như lo ngại

Năm 1994: Xuất hiện OneHalf, đây là một virus máy tính đa hình trên nền DOS

Năm 1995: Macro Virus đầu tiên xuất hiện, có tên gọi “Concept”, chúng lây lan qua các ứng dụng MS-Office

Năm 1996: “Ply” - Virus đa hình phức tạp được xây dựng dựa trên công cụ hoán vị

Năm 1998: Phiên bản đầu tiên của virus CIH xuất hiện Đây là virus đầu tiên được biết đến có khả năng xóa nội dung trong ROM BIOS

Năm 1999: Sâu Melissa đã được phát hiện, nhắm vào mục tiêu Microsoft Word

và các hệ thống dựa trên Outlook, nó đã tạo ra mạng lưới lây nhiễm đáng kể Cũng trong năm này, sâu Kak được phát hiện, đây sâu máy tính dùng mã Javascript và lây lan bằng cách khai thác một lỗi trong Outlook Express

Năm 2000: Sâu ILOVEYOU, còn được gọi là Love Letter hay Love Bug, sâu này được tạo ra bởi một sinh viên ngành khoa học máy tính của Philippines Được viết bằng VBScript, nó lây nhiễm hàng triệu máy tính Windows trên toàn thế giới trong vòng vài giờ phát hành

Năm 2001: Trong năm này, phải kể đến Sâu Nimda (còn được gọi là quái vật

đa đầu) vì nó là sự kết hợp hoàn hảo những điểm mạnh của 5 loại Malware khác nhau Ngoài ra còn phải kể đến Virus Anna Kournikova, sâu Sadmind, sâu Sircam, sâu Code Red

Năm 2003: Sâu Slammer ra đời, đến nay sâu này vẫn được coi là sâu có sự phát tán nhanh nhất, hơn 75.000 máy tính bị nhiễm chỉ trong 10 phút

Năm 2005: Trojan Zlob, Trojan này giả dạng một video codec cần thiết trong các thành phần ActiveX của Microsoft Windows

Năm 2006: Lần đầu tiên phần mềm độc hại cho Mac OSX được phát hiện, Trojan OSX / Leap-A hoặc OSX / Oompa-A

Năm 2007: Storm Worm được xác định Nó tấn công và tạo ra một mạng botnet Storm Trong vòng 3 tháng, từ tháng 6 đến tháng 9/2007 đã có hơn 10 triệu máy tính

bị nhiễm Cùng năm này, Trojam Zeus được phát hiện, mục tiêu của nó là ăn cắp thông tin ngân hàng của người dùng trên Windows

Năm 2008: Phát hiện sâu Conficker, nó lây nhiễm đến hơn 15 triệu máy chạy

hệ điều hành Windows, từ Windows 2000 đến Windows 7 Beta và được phát hiện ở khắp nơi, từ máy cá nhân đến máy chủ, từ bệnh viện Sheffield đến tàu ngầm của hải quân Anh Microsoft đặt ra mức tiền thưởng $ 250,000 USD cho thông tin dẫn đến việc bắt giữ tác giả của sâu này Năm biến thể chính của sâu Conficker được biết đến

và đã được đặt tên là Conficker A, B, C, D và E

Năm 2009: Một cuộc tấn công mạng tầm cỡ quốc gia đầu tiên đã được diễn ra, công cụ là W32.Dozer và được nhắm vào hai nước Hoa Kỳ và Hàn Quốc

Năm 2010: Stuxnet được phát hiện Đây là một ví dụ điển hình về malware được sử dụng như một thứ vũ khí ảo Lây lan qua các thiết bị USB và một số phương pháp khác, virus này được thiết kế nhằm chiếm quyền điều khiển hoạt động của các hệ thống điều khiển công nghiệp chuyên dụng (nhắm trực tiếp đến hệ thống của hãng Siemen thiết kế) Mặc dù chưa có kết luận cuối cùng, nhưng chứng cứ mà các nhà nghiên cứu thu thập được cho thấy Stuxnet nhằm vào các máy ly tâm làm giàu Uranium trong phần mềm hạt nhân của Iran, sâu này làm cho máy ly tâm hoạt động

quá công suất thiết kế Điều đặc biệt, đây cũng là lần đầu tiên một Malware có được chữ ký số hợp lệ, chữ ký đó là từ Realtek

Năm 2011: SpyEye và Zeus kết hợp để trở thành công cụ hiệu quả đánh cắp thông tin thanh toán ngân hàng hiệu quả, nó đánh cắp được cả mật khẩu ngân hàng và mật mã xác thực một lần (OTP – One Time Password) được gửi qua tin nhắn điện thoại, để tiến hành chuyển tiền một cách hợp lệ

Năm 2012: Flame, đây là phần mềm mà Kaspersky Lab đánh giá là Malware phức tạp nhất mà họ từng phân tích Mục tiêu của phần mềm này là hoạt động gián điệp tại các nước trung đông Một điều đáng nói là mặc dù được phát hiện năm 2012 nhưng người ta đã đưa ra một số bằng chứng cho thấy Flame lại là tiền thân của sâu gián điệp Stuxnet được phát hiện năm 2010 ở Iran

Năm 2013: CryptoLocker, đánh dấu sự trở lại của phần mềm bắt cóc dữ liệu (ransomeware), chúng mã hóa dữ liệu khi lây được vào hệ thống và ra điều kiện đòi tiền chuộc để giải mã dữ liệu đó

1.4 Vai trò của việc phân tích Malware

Với sự phát triển mạnh mẽ của Internet, vấn đề an ninh, bảo đảm an toàn cho các hệ thống thông tin ngày càng trở nên cấp thiết khi các hệ thống thông tin được kết nối với nhau và kết nối với mạng Internet, chúng ta phải đối diện với nhiều nguy cơ bị tấn công lấy cắp thông tin hoặc phá hoại hệ thống Trong số các phương thức tấn công phá hoại hệ thống thông tin và mạng, các phần mềm độc hại là một trong các dạng gây nhiều thiệt hại nhất do khả năng lan truyền nhanh chóng

Câu hỏi đặt ra là liệu có cần phân tích mã độc không khi càng ngày những phần mềm đảm bảo an ninh máy tính càng phát triển Câu trả lời luôn là có, vì các phần mềm độc hại được phát triển ngày càng tinh vi và rất khó phát hiện Phần mềm đảm bảo an ninh mạnh nhất và được cập nhật cũng không thể loại bỏ được hết mã độc Kết quả của quá trình phân tích Malware sẽ phát hiện được những phương thức lây lan, phá hoại, đánh cắp dữ liệu mới; đồng thời hạn chế sự lây lan, giảm thiểu thiệt hại do Malware gây ra bằng cách đưa các cảnh báo tới cộng đồng; là nguồn thông tin quan trọng để cập nhật mẫu cũng như chức năng cho phần mềm đảm bảo an ninh máy tính

CHƯƠNG 2– CƠ CHẾ HOẠT ĐỘNG CỦA MALWARE 2.1 Tìm hiểu về cấu trúc PE file

Một bước rất quan trọng khi tìm hiểu về mã độc là tìm hiểu về file PE vì gần như mọi mã thực thi được nạp bởi Windows đều có định dạng PE Đây là dạng phổ biến bậc nhất của Malware và cũng là định dạng hay bị lây nhiễm mã độc nhất

Định dạng file PE được dùng cho những file thực thi, mã đối tượng và các DLL của Windows Định dạng này là một cấu trúc dữ liệu bao gồm thông tin cần thiết để Windows OS Loader quản lý được mã thực thi trong nó

Để có thể thực thi trên máy tính, nội dung file PE được chia thành các thành phần

và có mối liên hệ mật thiết với nhau Nắm rõ cấu trúc PE sẽ giúp chúng ta hiểu được

cơ chế thực thi của một phần mềm, từ việc tổ chức tới việc nạp lên bộ nhớ, các tài nguyên sử dụng…

Hơn nữa, khi chúng ta muốn sửa đổi một file, ví dụ như thêm vào một số đoạn mã, chỉnh sửa một số thành phần nhưng vẫn muốn phần mềm thực thi bình thường, ví dụ trong trường hợp cần chỉnh sửa các công cụ phân tích để tránh bị phát hiện bởi Malware thì chúng ta cần phải nắm rõ cấu trúc PE file cũng như mối liên hệ giữa các thành phần trong file để có thể nhanh chóng thay đổi file và thoả mãn yêu cầu đề ra mà không ảnh hưởng tới chức năng cũng như hoạt động của file

Mặt khác, đối với các Malware sử dụng kỹ thuật tiêm mã vào các tiền trình đang có

để che giấu sự tồn tại trên hệ thống, nếu chúng ta không hiểu rõ cấu trúc của file PE sẽ rất khó tìm ra tiến trình bị tiêm mã độc

Hình 2.1: Cấu trúc cơ bản của PE

Cấu trúc PE có thể gồm nhiều section, trong đó tối thiểu cần 2 section: data và code Một số section thông dụng hay được gặp ở các phần mềm:

1 Executable Code Section, có tên là text (Microsoft)

2 Data Sections, có tên nh data, rdata, bss (Microsoft) hay DATA (Borland)

3 Resources Section, có tên là rsrc

4 Export Data Section, có tên là edata

5 Import Data Section có tên là idata

6 Debug Information Section, có tên là debug

Cấu trúc các section trên bộ nhớ và trên ổ đĩa là như nhau, tuy nhiên khi được nạp lên bộ nhớ, các Windows loader sẽ quyết định thứ tự và vị trí nạp các phần, do đó

vị trí các phần trên ổ đĩa và trên bộ nhớ sẽ có sự khác biệt

2.2 Hình thức lây nhiễm

2.2.1 Qua thiết bị lưu trữ

Cách lây nhiễm phổ biến nhất của Malware trước đây là qua các thiết bị lưu trữ

di động, dù là thời sử dụng đĩa mềm ngày xưa hay thẻ nhớ USB ngày nay Hiện tại, thẻ nhớ trong các thiết bị di động thông minh, hay thiết bị ghi âm, ghi hình kỹ thuật số cũng là một vật trung gian hiệu quả cho việc lan truyền Malware Các thiết bị di động thông minh thì hay phải nạp pin và phương thức nạp pin qua công USB lại rất tiện dụng, điều này tiềm ẩn nguy cơ rất lớn cho việc lây truyền Malware

Một số dạng lây nhiễm điển hình qua USB:

- Lợi dụng chức năng Autorun

Khi thiết bị lưu trữ có sử dụng giao tiếp USB được cắm vào máy tính đã nhiễm Malware, Malware sẽ phát hiện ra thiết bị có thể lây nhiễm được, sau đó tự sao chép bản thân mình vào một vị trí bí mật trên thiết bị đó Tiếp theo, nó ghi một file autorun.inf có nội dung cơ bản như sau:

[Autorun]

OPEN=Đường dẫn virus trong đĩa USB

Từ Windows Vista trở về trước, Windows sẽ mặc nhiên kiểm tra tập tin autorun.inf trong các thiết bị USB và thực thi các câu lệnh có trong đó

- Đánh lừa người dùng

Trong nhiều trường hợp, các lây nhiễm sử dụng tập tin Autorun không hiệu quả, ví dụ như từ hệ điều hành Windows 7 trở về sau, chức năng này không còn hoạt

động nữa Malware chuyển sang sử dụng cách đánh lừa người dùng để thực thi file mã độc đã lây nhiễm trên thẻ nhớ USB Có thể kể đến như:

 Ẩn thư mục trên USB và thay vào đó là các tập tin Malware có hình thư mục với tên tương tự các thư mục tồn tại ban đầu Với cách này,

Malware dễ dàng lừa được người dùng khởi chạy nó nếu trên hệ thống đang tắt chức năng hiển thị file ẩn và phần mở rộng file

 Chuyển các file doc, docx của người dùng vào vị trí bí mật trên thẻ nhớ USB thay thế vào đó là các file Malware có tên và hình đại diện (icon) là file doc, docx Đồng thời sử dụng các khoảng trắng để kéo dài tên file tối

đa, làm người dùng có để hiện tên file thì cũng có khả năng cao bị đánh lừa

Cả 2 cách trên đối với người dùng thông thường đều rất khó nhận ra khi lỡ khởi chạy nhầm phải Malware, vì khi đã đạt được mục đích lây nhiễm, Malware vẫn mở thư mục hoặc tập tin như bình thường cho người dùng Thậm chí, trong nhiều trường hợp, Malware còn khôi phục lại thẻ nhớ USB như chưa hề bị nhiễm để tránh sự phát hiện

2.2.2 Qua mạng Internet

2.2.2.1 Lây nhiễm qua các phần mềm:

Các phần mềm được viết ra có chứa sẵn mã độc, hoặc các phần mềm chính thống bị sửa đổi để thêm mã độc vào được phát tán tràn lan trên mạng Internet Các phần mềm Crack (bẻ khóa) có tỉ lệ chứa mã độc trong đó rất cao Nhiều khi vì chủ quan hay vì muốn dùng phần mềm mà không phải trả tiền, người dùng sẵn sàng bất chấp mọi nguy cơ bị lây nhiễm mã độc để dùng những phần mềm này

2.2.2.2 Lây nhiễm qua các trang web

Khi truy cập các trang web, hệ thống có thể bị nhiễm mã độc bất kỳ lúc nào, nhất là khi truy cập vào các trang không đáng tin cậy Điều này có thể xảy ra ngày cả khi chúng ta chỉ mở trang web, vì các trình duyệt, đặc biệt là các thành phần của trình

duyệt được phát triển bởi hãng thứ 3 (plugin) ẩn chứa rất nhiều nguy cơ mất an toàn Malware có thể lợi dụng những lỗ hổng này để lây nhiễm vào hệ thống

2.2.2.3 Lây nhiễm qua thư điện tử

Khi mà thư được sử dụng ngày càng rộng rãi thì đây là một nguồn lây nhiễm rất hiệu quả Khi đã lây nhiễm vào máy nạn nhân, Malware có thể tự tìm ra danh sách các địa chỉ thư điện tử trong máy tính và nó tự gửi đi hàng loạt những thư đánh lừa được đính kèm bản thân nó hoặc các liên kết chứa mã độc Khi người nhận không phát hiện

ra thư bị nhiễm Malware thì khả năng cao sẽ bị nhiễm mã độc vào máy và từ máy này Malware lại tiếp tục lây nhiễm Chính vì vậy, số lượng phát tán Malware có thể theo cấp số nhân khiến trong thời gian ngắn hàng triệu máy tính có thể bị lây nhiễm

Ngày nay, khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt Malware có thể khắc phục được hành động tự nhân bản hàng loạt để phát tán qua các địa chỉ thư điện tử trong danh bạ máy tính thì chủ nhân Malware có thể chuyển qua hình thức tự gửi thư phát tán Malware bằng các nguồn địa chỉ sưu tập được, các địa chỉ này cũng có thể là của chính Malware đó gửi về

Phương thức lây nhiễm qua thư điện tử bao gồm:

- Lây nhiễm vào các file đính kèm: Với cách này, người dùng sẽ không bị nhiễm mã độc đến khi phần mềm đính kèm đó được kích hoạt Malware cũng không dại gì chỉ gửi đúng mã độc của mình, mà chúng thường ẩn dưới bỏ bọc là các phần mềm miễn phí hay những phần mềm có nội dung nhạy cảm

- Lây nhiễm do mở một liên kết trong thư điện tử: Liên kết trong thư điện tử có thể dẫn tới một trang web được cài sẵn mã độc, các này thường khai thác lỗ hổng của trình duyệt hoặc các plugin (thành phần cài đặt thêm) của trình duyệt, ví dụ như trình FlashPlayer

- Lây nhiễm ngay khi mở để xem thư điện tử: Trường hợp này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hay mở liên kết gì hệ thống đã bị nhiễm mã độc Cách này thường là do mã độc khai thác lỗ hổng của hệ điều hành Mặc dù vây, cách khai thác này cũng khó thực hiện hơn, do lỗ hổng trên hệ điều hành chưa bị phát hiện (zero day) sẽ ít hơn rất nhiều lỗ hổng trên trình duyệt và các plugin của

nó

2.2.2.4 Lây nhiễm qua mạng nội bộ

Virus sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạn nhân) xem

có thư mục nào chia sẻ (Share) và cho phép sửa chữa chúng hay không Sau đó chúng

sẽ tự sao chép và chờ đợi một ai đó vô ý chạy chúng

2.2.2.5 Lây nhiễm qua các dịch vụ IM

Nhắn tin nhanh (Instant Messaging), là dịch vụ cho phép hai người trở lên nói chuyện trực tuyến với nhau qua một mạng máy tính Tương tự như lây nhiễm qua thư điện tử, Malware lây nhiễm qua IM cũng có những phương thức tương tự như gửi file hay gửi link chữa mã độc Bên cạnh đó, Malware cũng sử dụng các giao thức thức XMPP (Jabber) Đây là giao thức mở, an toàn và máy chủ nào hỗ trợ giao thức này đều có thể kết nối được với nhau Ứng dụng khách Jabber có khả năng truy cập mọi giao thức/mạng IM: MSN Messenger, Yahoo!, AIM, ICQ, ngay cả IRC và SMS Chỉ một phần mềm Jabber có thể nói chuyện với bạn bè trên mọi mạng Malware GirlXinhYM là một đại diện cho dòng này

2.2.2.6 Lây nhiễm qua file

Đây là cách lây nhiễm Malware đã tồn tại rất lâu Cách thức lây nhiễm cơ bản là Malware sẽ thay đổi nội dung file mà sau đó khi chủ nhân máy tính hay người khác làm việc với file ấy thì sẽ nhiễm phải Malware

2.3 Đối tượng lây nhiễm

Một số định dạng tập tin có thể chứa mã hoặc các lệnh thực thi, do đó chúng có thể được mã độc sử dụng Một tập tin dạng exe nguy hiểm bởi vì đây là định dạng của file thực thi mà có thể làm bất cứ điều gì (trong phạm vi quyền người dùng chạy nó) trong

hệ thống Một định dạng Media như JPEG, không phải luôn nguy hiểm vì chúng không chứa mã thực thi Mặc dù vậy, trong nhiều trường hợp, những kẻ tấn công đã lợi dụng lỗ hổng của các phần mềm xem ảnh, đọc PDF,… để thực thi những đoạn mã nguy hiểm cho hệ thống bằng cách chèn mã độc vào trong các file tưởng như vô hại trên Trong khuôn khổ nghiên cứu, luận văn chỉ đề cập tới những định dạng file có thể chứa mã thực thi hoặc chứa đoạn lệnh nguy hiểm mà mã độc hay lợi dụng:

.APPLICATION: Định dạng cài đặt ứng dụng triển khai với công nghệ Microsoft’s ClickOnce

.GADGET: Một tập tin tiện ích trên màn hình Windows, công nghệ này được giới thiệu cùng Windows Vista

.MSI – Microsoft Installer File: Tập tin cài đặt ứng dụng trên Windows

.MSP – Microsoft Installer Patch file: Được dùng để vá các phần mềm đã được triển khai bởi MSI

.COM – Command file: Tệp thực thi

.SCR: Windows screen saver

.HTA – HTML application: Không giống như các ứng dụng chạy trong các trình duyệt HTML, các file hta chạy như các ứng dụng đáng tin cậy mà không bị cô lập

.CPL – Control Panel file: Tất cả các tiện ích trong Windows Control Panel đều có dạng CPL

.MSC – Microsoft Management Console file: Các ứng dụng dạng này như ứng dụng quản lý chính sách cho nhóm hay công cụ quản lý ổ đĩa

.JAR – executable Java code: Nếu chúng ta đã cài đặt Java runtime trên hệ thống thì, các tập tin dạng JAR sẽ chạy như một phần mềm (tương tự dạng exe)

.VBE – Encrypted VBScript file: Tương tự như VBScript file, nhưng các mã trong file

đã được mã hóa để che giấu ý đồ tác động lên hệ thống

.JS – JavaScript file: Các tập tin JS thường được dùng trong các trang web và chúng

sẽ an toàn nếu chỉ chạy trên trình duyệt web Tuy nhiên, Windows cũng có thể chạy các tập tin JS này bên ngoài trình duyệt và điểu đó gây nguy hiểm cho hệ thống .JSE – Encrypted JavaScript file: Tập tin JavaScript đã được mã hóa

.WS, WSF: Windows Script file

.WSC, WSH – Windows Script Component và Windows Script Host Control files: Các tập tin này được dùng cùng với Windows Script files

.PS1, PS1XML, PS2, PS2XML, PSC1, PSC2 – Windows PowerShell script: Các lệnh Windows PowerShell

.MSH, MSH1, MSH2, MSHXML, MSH1XML, MSH2XML – Monad script file: Monad sau đó được đổi thành PowerShell

2.3.3 Shortcuts:

.SCF – Windows Explorer command file

.LNK – Link: Liên kết chỉ tới một phần mềm nào đó Một tập tin liên kết có khả năng chứa các dòng lệnh nguy hiểm, như copy một file từ chỗ này sang chỗ khác hay xóa một tập tin mà không cần hỏi

.INF – Một dạng tập tin văn bản được dùng bởi chức năng AutoRun có khả năng gọi thực thi một phần mềm

2.3.4 Một số loại tập tin khác:

.REG – Windows registry file: REG chứa một danh sách các khóa registry sẽ được thêm vào hoặc gỡ bỏ nếu chạy chúng Một tập tin REG độc hại có thể loại bỏ các thông tin quan trọng từ registry, thay thế nó bằng các dữ liệu rác, hoặc thêm dữ liệu độc hại hay tạo khóa khởi động cho Malware

.DOC, XLS, PPT – Microsoft Word, Excel, PowerPoint: Chúng có thể chứa mã độc dạng Macro, hoặc mã độc lợi dụng lỗ hổng của MS-Office

.DOCM, DOTM, XLSM, XLTM, XLAM, PPTM, POTM, PPAM, PPSM, SLDM: Định dạng tập tin mới được giới thiệu trong Office 2007 M ở cuối của phần mở rộng tập tin chỉ ra rằng tài liệu chứa Macros Ví dụ, một tập tin DOCX không chứa macro, trong khi một tập tin DOCM có thể chứa các macro.

2.4 Khởi động cùng hệ thống

Việc Malware nhiễm vào máy tính không có nghĩa là nó có thể “sống” trong máy tính ấy Các Malware khi muốn tiếp tục hoạt động để tiếp tục lây lan thì bắt buộc chúng phải tìm cách để sau khi người dùng tắt máy, vào lần bật máy sau thì Malware

ấy sẽ được kích hoạt và tiếp tục làm việc

Để làm được điều này, các Malware thường tự ghi các giá trị vào một số địa chỉ nhất định trong registry để trong lần khởi động sau của hệ điều hành thì Malware ấy sẽ tiếp tục được gọi

Tiến trình khởi động của Windows (từ NT4/2000/XP trở về sau):

2.4.1 Khởi động hợp pháp:

2.4.1.1 Sử dụng khóa registry

Trong registry, có một số địa chỉ mà windows tạo ra để dễ dàng đưa phần mềm mình chạy sau khi máy được khởi động Điều này cũng tương tự với một số file Sở dĩ chúng ta có thể gọi nó đây là cách “hợp pháp” là vì với những giá trị (Chứa thông tin

về file sẽ sẽ được khởi động) này thì phần mềm quản lý những phần mềm khởi động cùng hệ thống có sẵn trong Windows là System Configuration Utility có thể quản lý chúng

Ghi Key trong Regedit theo các địa chỉ sau :

HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Đoạn code C# kiểm tra sự tồn tại của khóa khởi động và ghi vào registry nếu chưa có

RegistryKeyrkMalware =

Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true);

if(!IsStartup()) // Nếu khóa khởi động chưa tồn tại

//Tạo khóa khởi động cho Malware

rkMalware.SetValue("MalwareName",

Application.ExecutablePath.ToString());

{

RegistryKeyrkMalware=Registry.CurrentUser.OpenSubKey("SOFTWARE\

\Microsoft\\Windows\\CurrentVersion\\Run",true);

if(rkMalware.GetValue("MalwareName ")==null)

// Khóa khởi động chưa tồn tại

Đối với Windows 8, đường dẫn sẽ là:

Sau đây là ví dụ về 2 khóa phổ biến mà Malware thường dùng, các khóa registry này sẽ được đọc và chạy phần mềm tương ứng ngay cả trong môi trường Safe Mode Khóa:

HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows_NT\CurrentVersion\Winlo gon\Userinit

Giá trị: C:\Windows\System32\userinit.exe

Khóa:HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Shell

Giá trị: C:\Windows\System32\explorer.exe

Malware sẽ thay thay thế giá trị trong hai khóa này (có thể là 1 hoặc cả 2) thành:

C:\Windows\System32\userinit.exe, Đường dẫn Malware

C:\Windows\System32\explorer.exe, Đường dẫn Malware

Điều này đảm bảo hệ thống vẫn hoạt động bình thường và Malware cũng bí mật khởi động được

Trong quá trình hoạt động, Malware có thể liên tục kiểm tra sự tồn tại khóa khởi động của nó Do đó, khi chưa ngắt được hết các thành phần đang hoạt động của Malware, chúng ta có xóa khóa khởi động thì Malware lại lập tức tạo lại ngay

2.5 Phá hoại và các hoạt động khác

2.5.1 Keylog

Ghi lại chuỗi phím gõ của người dùng Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp

và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã

và nhờ đó qua mắt được các thiết bị an ninh Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa

2.5.2 BackDoor (Cửa hậu)

Cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính đồng thời cố gắng tránh bị phát hiện bởi việc giám sát thông thường Cửa hậu có thể có hình thức một phần mềm được cài đặt, hoặc có thể là một sửa đổi đối với một phần mềm hợp pháp - đó là khi nó

đi kèm với Trojan

Kỹ thuật này dựa vào sự kết nối giữa 2 máy tính với nhau (Với các ngôn ngữ bậc cao chúng ta có thể sử dụng control WinSock để thực hiện việc này dễ dàng) 2.5.3 Tống tiền

Một số loại phần mềm ác tính sử dụng hệ thống mã hóa yếu (phá được) để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại

Phương thức thanh toán của kẻ điều khiển các loại virus này thường rất thông minh (Có một vài kẻ bắt buộc người dùng phải mua một số món hàng nhất định trên một địa chỉ nào đó mà kẻ điều khiển quy định)

2.5.4 BotNet

Là một mạng lưới gồm nhiều máy tính đã bị nhiễm virus (Thường là worm, trojan) và bị điều khiển từ xa Các BotNet thường được kẻ điều khiển sử dụng để tấn công từ chối dịch vụ (DDos) hay gửi thư rác (Spam) nhằm kiếm lợi cho mình

2.5.5 Rootkit

Là bộ công cụ phần mềm che giấu file nhưng thực ra nó vẫn tồn tại và hoạt động Rootkit thường được bên thứ ba (thường là kẻ xâm nhập) dùng sau khi chiếm được quyền truy cập vào hệ thống máy tính Các công cụ này thường che dấu dữ liệu

hệ thống, tập tin hoặc tiến trình đang chạy, từ đó giúp cho kẻ xâm nhập duy trì quyền

truy cập vào hệ thống mà người dùng không biết Rootkit có ở nhiều loại hệ điều hành như Linux, Solaris và các phiên bản Microsoft Windows

2.6 Cơ chế tự bảo vệ của mã độc

2.6.1 Cơ chế tạo áo giáp (Armouring):

Cơ chế này dựa trên công nghệ mã hóa kết hợp với việc sử dụng các lệnh CALL, JMP, … một cách lộn xộn tạo cho Malware một vỏ bọc có khả năng kháng lại các phần mềm an ninh hay việc phân tích mã Malware [8]

2.6.2 Cơ chế chống theo dõi (Anti Heuristic):

Một số phần mềm an ninh dựa trên hành vi của mã độc để phát hiện và tiêu diệt chúng Công nghệ Anti Heuristic nhằm chống lại sự phát hiện của các phần mềm an ninh đó Công nghệ này có một vài dạng như sau:

- Chúng sử dụng các API không được Microsoft định nghĩa hoặc tạo ra các hàm dịch vụ ảo: Có một thực tế là Windows do Microsoft tạo ra có khá nhiều các API không được mô tả đầy đủ bao gồm cả các API quan trọng trong nhân hệ thống Virus “Dark Avenger” là virus đầu tiên sử dụng thủ thuật gọi lệnh "Get List of Lists" với ngắt INT 21h, là lệnh bên trong hệ điều hành DOS Lệnh này không được Microsoft mô tả trong bất cứ tài liệu nào, do đó rất khó khăn để hiểu những gì virus đã làm với hệ thống Trên thực tế, với chức năng này, virus

có thể truy vấn các trình điều khiển thiết bị trên hệ thống Điều này vượt qua được các trình giám sát hệ thống, đồng thời cũng tạo khó khăn lớn cho việc phân tích virus

- Chúng chèn thêm các đoạn mã rác không gây ảnh hưởng đến cấu trúc logic phần mềm xen kẽ giữa các mã lệnh thực sự

- Chúng sử dụng công nghệ Tunneling: Malware dùng công nghệ này để cố gắng ngăn chặn các phần mềm chống mã độc phát hiện ra nó Bằng cách nào đó, chúng cố gắng là phần mềm đầu tiên chiếm được ngắt hệ thống, từ thời điểm này, mọi ngắt khác được gọi sẽ được chuyển tới địa chỉ của mã độc, mã độc xử

lý ngắt này sau đó trả về đúng chức năng mà ngắt được gọi cần xử lý Trong quá trình xử lý ngắt đó, mã độc sẽ loại bỏ những ngắt ảnh hưởng tới nó Việc này làm cho mã độc trong suốt với phần mềm an ninh Để giải quyết vấn đề này, một số phần mềm Anti Malware sử dụng kỹ thuật “Đào hầm” của riêng mình, nhằm phát hiện ra mã độc ẩn chứa sâu trong bộ nhớ, điển hình như công

cụ GMER

2.6.3 Cơ chế chống phần mềm phân tích (Anti-Analysis software)

Một số Malware dùng danh sách đen các công cụ phân tích để lập tức dừng hoạt động hoặc dừng các hành vi đáng ngờ của bản thân khi phát hiện các phần mềm này đang hoạt động trên hệ thống Danh sách đen này chứa rất nhiều đặc trưng của phần mềm mà Malware thu thập được như: Tên, mã Hash, tổ chức phát hành, tiêu đề trong cửa sổ chính, các hàm API nghi vấn, …

Do đó, để tránh bị Malware phát hiện, phần mềm dùng để phân tích Malware cũng cần được trang bị những cơ chế ngụy trang, che dấu nhất định

Đặc biệt, trong trường hợp có thể tự phát triển được công cụ thì chúng ta có thể lợi dụng các kỹ thuật mà Malware sử dụng để ẩn giấu, ngụy trang để đối phó nhằm ẩn giấu phần mềm phân tích Còn nếu chỉ dừng ở mức sử dụng các phần mềm phân tích sẵn có, chúng ta cũng có thể tối thiểu hóa khả năng bị Malware phát hiện cho công cụ của mình bằng một số cách như:

- Thay đổi tên tập tin thực thi, dẫn tới thay đổi tên tiến trình

- Thay đổi các thông số trong phần miêu tả tập tin thực thi

- Thay đổi tên, miêu tả trên cửa sổ chính, bằng cách sửa file nhị phân của phần mềm

Tất cả những điều trên sẽ làm thay đổi mã Hash của phần mềm giúp chúng khó

bị Malware phát hiện hơn

2.6.4 Chống gỡ rối và ảo hóa (Anti debugger & Virtual Machine)

Một một số Malware sử dụng các kỹ thuật Anti debugger & Virtual Machine để tránh bị phân tích, dịch ngược Nguyên tắc thực hiện là Malware sẽ phát hiện một số API dò Malware đang được chạy dưới các chương trình gỡ rối (debugger) hoặc môi trường máy ảo Có rất nhiều tình huống có thể xảy ra trong trường hợp này nhưng nhìn chung phần mềm sẽ không thể chạy trên máy ảo hoặc không thể chạy thông qua debugger Để vượt qua, ta có nhiều phương pháp khác nhau Trước tiên cần kiểm tra thông tin về PE header xem có sự khác biệt lớn gì hay không Sau đó cần tìm ra đoạn

mã anti debugger, anti Virtual Machine và tiến hành chỉnh sửa để có thể vượt qua được đoạn mã đó Hầu hết các phương pháp chống phân tích đều cố gắng tạo ra các Exception nếu không có debugger để EIP trỏ tới cấu trúc SEH được sắp xếp trước nhằm khôi phục quyền điều khiển, nếu có debugger thì ngoại lệ (Exception) sẽ không xảy ra và debugger bị phát hiện Một số phương pháp sử dụng để phát hiện có debugger:

- Sử dụng hàm IsDebuggerPresent

- Kiểm tra cờ NtGlocalFlag

- Đặt cờ kiểm tra Hardware breakpoint

- Tìm lớp Windows của OllyDBG

- Phát hiện memory breakpoint sử dụng PAGE_GAURD

- Kiểm tra thông qua NtQueryInformationProcess

- Phát hiện thông qua các plugin của IDA: OllyInvisible, HideDebugger

- Phát hiện bằng cách tìm kiếm xâu OLLY

2.7 Kỹ thuật đóng gói để che giấu mã độc

Ban đầu kỹ thuật đóng gói được phát triển nhằm tối ưu hóa bộ nhớ và băng thông trong suốt quá trình lưu trữ và truyền tệp tin Hiện nay, vấn đề lưu trữ và băng thông đã được giải quyết, nhưng nhiều công ty phần mềm vẫn sử dụng kỹ thuật này để đóng gói các tệp thực thi phần mềm và các tệp thành phần để triển khai các phần mềm thương mại Thuật toán sử dụng trong kỹ thuật đóng gói trở thành công cụ được kẻ viết mã độc hại cải tiến để tăng hiệu quả nhằm lẩn tránh sự phát hiện Kỹ thuật đóng gói (bao gồm kỹ thuật nén và mã hóa) với mục đích che giấu mã độc được kẻ viết mã độc thường sử dụng để chuyển đổi mã thực thi nhị phân sang một định dạng khác nhằm thu gọn mã độc và biến dạng khác biệt hẳn so với ban đầu để tránh sự phát hiện của các phần mềm diệt virus dựa trên cơ sở mẫu nhận dạng Trong nhiều trường hợp,

kẻ viết mã độc hại tổ hợp đệ quy các kỹ thuật nén và mã hóa khác nhau để cùng một

mã độc nhưng có thể nhanh chóng tạo ra một lượng lớn biến thể nhị phân thực thi của

Quá trình mở gói thực hiện theo các bước có thứ tự ngược lại với quá trình đóng gói Moule giải nén trước tiên được thực hiện và đoạn mã thực thi nhảy đến câu lệnh thực thi đầu tiên của mã giải nén Sau khi phục hồi đoạn mã thực thi gốc, con trỏ

lệnh thực thi sẽ nhảy ra khỏi câu lệnh cuối cùng của module giải nén để nhảy đến điểm vào (entry point) của đoạn mã thực thi

Hình 2.2 Đóng gói để che giấu mã độc Đóng gói mã là kỹ thuật phổ biến sử dụng để che dấu mã độc Kỹ thuật đóng gói xuất hiện trong phần lớn các mẫu malware, do đó điều này tạo ra một thách thức

vô cùng lớn cho người phân tích mã, đặc biệt là khi sử dụng phương pháp phân tích tĩnh để phân tích một lượng lớn mẫu mã độc hại Bởi vì, người phân tích cần phải xác định đoạn mã độc hại bị mã hóa hay nén để thực hiện việc giải nén cũng như giải mã một cách nhanh chóng và hiệu quả trước khi bắt tay vào thực hiện quá trình phân tích

mã độc Do nhiều mẫu virus vẫn duy trì trạng thái mã hóa và nén, người phân tích phải xác định chúng bằng phân tích thủ công hoặc sử dụng kỹ thuật phân tích ngược (reverse engineering) Yêu cầu đặt ra là cần phải xác định nhanh chóng và chính xác đoạn mã độc nén và giải nén Phương pháp phân tích entropy là một kỹ thuật hỗ trợ cho người phân tích mã độc giải quyết được yêu cầu này

Mặc dù mã hóa có nhiều thuận lợi để mã độc ẩn giấu mã của chúng, nhưng cũng chính điều này lại làm chúng dễ bị phát hiện hơn Vì, một phần mềm thông thường không có ý đồ lạ thì không cần phải nén hay mã hóa code Nếu một tổ chức muốn bảo mật những đoạn mã nhạy cảm trong phần mềm của họ thì: một là tổ chức đó phải có chữ ký số kèm theo phần mềm, hai là họ phải thông báo công khai khi phát hành phần mềm để các phần mềm bảo vệ máy tính không cảnh báo nhầm và để người

sử dụng phần mềm đó được biết Điều này sẽ dẫn tới hệ quả, khi rà quét toàn bộ hệ thống, nếu phát hiện phần mềm nào nén, mã hóa code mà không có chữ ký số hay không được thông báo trước từ người sử dụng hệ thống thì sẽ mặc nhiên đưa vào dạng phần mềm độc hại

2.8 Xu hướng phát triển của Malware

Có thể nhận thấy từ trc đến nay mã độc có xu hướng phát triển tăng dần cả về

độ phức tạp cũng như mục tiêu mà chúng nhắm đến Hiện nay, đa phần mã độc được thiết kế nhắm đến các mục tiêu được xác định từ trước, đó có thể là một cá nhân hoặc một tổ chức Xuất phát từ mục đích đó, mã độc hiện nay được thiết kế sao cho có khả năng che dấu càng lâu càng tốt, sau đó chúng mới thực hiện các mục đích phá hoại, ăn cắp thông tin hay gián điệp

Một đặc tính nguy hiểm của mã độc hiện nay đó là nó được thiết kế với mục đích lây nhiễm dài hạn trên mục tiêu, điều đó có nghĩa là khi lây nhiễm vào máy mục tiêu, thay vì ngay lập tức có những hành vi phá hoại hay ăn cắp dữ liệu dễ bị phát hiện, chúng sẽ thực hiện một loạt sự chuẩn bị để tồn tại trong hệ thống lâu dài Sau đó, mới thực thi các cuộc tấn công vào hệ thống lớn hơn, hay tấn công ra ngoài hệ thống đã bị lây nhiễm với sự đảm bảo rằng nếu cuộc tấn công thất bại, kẻ tấn công có thể sử dụng

mã độc đó cho một cuộc tấn công khác vào thời gian sau đó với một hình thức hay cách tiếp cận khác

Trong những mã độc đã được phân tích, người ta còn nhận thấy xu hướng cải tiến phức tạp trong việc đánh cắp dữ liệu - một trong những mục đích quan trọng của

mã độc Cách thức mà mã độc sử dụng phải đảm bảo dữ liệu đánh cắp được không bị chặn hay bị phát hiện nhưng hành vi đánh cắp vẫn đảm bảo tính bí mật, điều này đòi hỏi kẻ tấn công phải sử dụng những kênh giao thức phổ biến cũng như mã hóa dữ liệu khi truyền đi

Mục tiêu của những loại mã độc nguy hiểm thời gian gần đây có thể bao gồm quân sự, chính trị hay thu thập các thông tin tình báo kinh tế, làm gián đoạn các hoạt động hoặc phá hủy các thiết bị công nghiệp Malware Stuxnet cho phép kẻ tấn công phá vỡ các hệ thống kiểm soát công nghiệp trong quá trình làm giàu Uranium của một

cơ sở công nghiệp cụ thể là một điển hình cho xu hướng phát triển của mã độc trong tương lai

Social engineering - một kỹ thuật cho phép kẻ tấn công lợi dụng yếu tố con người để đánh bại hệ thống an ninh cũng được sử dụng nhiều hiện nay (yếu tố con người luôn là điểm yếu nhất trong mọi phương án phòng vệ) Nhờ kỹ thuật này, kẻ tấn công có thể xâm nhập sâu vào hệ thống an ninh của đối tượng Dựa vào các thông tin thu thập thông qua mạng xã hội hay các trang web thông tin truyền thông, kẻ tấn công

có thể tập hợp thông tin về mục tiêu cũng như một mạng lưới thông tin xung quanh mục tiêu, từ đó các cuộc tấn công trở nên đáng tin cậy và có sức thuyết phục để dễ dàng vượt qua hệ thống an ninh

Ghi nhận đầu tiên về mã độc vào năm 1981 (xem 1.3 Lược sử về Malware) và phát triển nhanh chóng theo xu hướng phát triển của công nghệ máy tính Càng ngày,

mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân loại cũng như mục đích sử dụng Cùng với sự bùng nổ của mạng máy tính, thiết bị di động thông minh,

mã độc cũng tăng trưởng với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc

để thích ứng với các công nghệ và nền tảng mới

Nếu như ban đầu mục tiêu của những đoạn mã độc chỉ nhằm đến những máy tính đơn lẻ, cơ chế lây lan hầu như không có và tác hại mang tính trêu chọc thì ngày nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ chế lây lan phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ Nghiêm trọn hơn,

mã độc có thể được phát triển phức tạp và thiết kế tinh vi với mục đích gián điệp, phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới Từ đó dẫn tới nguy cơ về một cuộc chiến tranh mạng Cyberwar lan rộng

Dựa vào thực tế sự phát triển mã độc hiện nay, một số dự đoán xu hướng phát triển của mã độc trong tương lai:

- Các loại mã độc với các kỹ thuật chống phân tích được cải tiến

- Mã độc trong các thiết bị di động bùng phát do xu hướng di động đã và

sẽ phát triển mạnh trong tương lai

- Mã độc với những kỹ thuật được cải tiến đảm bảo sao cho chúng có thể lây nhiễm trên diện rộng đồng thời trên nhiều nền tảng khác nhau

- Mã độc được sử dụng như là một công cụ quan trọng trong chiến tranh mạng giữa các tổ chức hay các quốc gia

Cùng với sự bùng nổ của mạng máy tính, thiết bị di động cũng như sự phát triển không ngừng của công nghệ thông tin, mã độc cũng liên tục phát triển và biến đổi để phù hợp

Chúng không ngừng cải tiến để chống lại sự phát hiện từ phía người sử dụng, biến đổi để thích nghi với môi trường, nền tảng mới với mục tiêu lây nhiễm trên diện rộng cho cùng một mục đích của người viết mã độc Mã độc có thể coi là loại vũ khí sắc bén của chiến tranh mạng trong tương lai

CHƯƠNG 3- PHƯƠNG PHÁP PHÂN TÍCH MALWARE 3.1 Qui trình phân tích Malware

Hình 3.1 Qui trình phân tích Malware 3.2 Kiểm tra, phát hiện và lấy mẫu Malware

Do đó, nghiên cứu về phân tích Malware không thể không kể đến kiểm tra, phát hiện và lấy mẫu Malware Đây là bước đầu tiên của quá trình phân tích Malware Thông tin thu được ở bước này là tiền đề quan trọng để tiến hành phân tích, làm rõ chức năng của Malware

3.2.1 Kiểm tra các phần mềm khởi động cùng hệ thống

Malware nhiễm vào máy tính, gần như ngay lập tức tìm cách được khởi động cùng hệ thống để đảm bảo sự tồn tại của chúng, trừ những trường hợp Malware được thiết kế đặc biệt để chỉ hoạt động một lần duy nhất