hệ thống phân tích malware tự động dùng cuckoo sandbox

Chương 1: Tổng quan về mã độc1.1 Mã độc và mục đích của mã độc 1.1.1 Khái niệm về mã độc Malware, trong Tiếng Anh là từ viết tắt của “malicious software”, malware đề cập đến những chươ

Mục Lục

Lời Cảm Ơn 3

Lời Mở Đầu 4

Chương 1: Tổng quan về mã độc 6

1.1 Mã độc và mục đích của mã độc 6

1.1.1 Khái niệm về mã độc 6

1.1.2 Mục đích của Malware 6

1.2 Phân loại mã độc và cơ chế hoạt động 7

1.2.1 Virus 7

1.2.2 Worm 7

1.2.3 Trojan 7

1.2.4 Rootkits 7

1.2.5 Spyware 8

1.2.6 Adware 8

1.2.7 Fileless Malware 8

1.2.8 Ransomware 8

1.3 Tìm hiểu về cấu trúc PE file 8

1.4 Các hình thức tấn công của mã độc 10

1.4.1 Qua thiết bị lưu trữ 10

1.4.2 Phát tán qua các phần mềm 11

1.4.3 Phát tán qua các trang Web 12

1.4.4 Phát tán qua thư điện tử 12

1.4.5 Phát tán qua mạng nội bộ 14

1.4.6 Phát tán qua các dịch vụ IM 14

1.5 Các hành vi của mã độc 15

1.6 Xu hướng phát triển của mã độc 15

Chương 2: Quy trình Phân tích mã độc 17

2.1 Mục đích của việc phân tích mã độc 17

2.2 Quy trình phân tích và xử lý mẫu mã độc hại 18

2.2.1 Nhận diện hệ thống bị nhiễm mã độc hại và khoanh vùng xử lỷ 18

2.2.2 Thu thập mẫu mã độc hại 19

2.2.3 Các kỹ thuật phân tích mã độc 20

Viện Đào Tạo Quốc Tế Học Viện Mạng Và Phần Cứng FPT- JETKING Đồ Án ĐỀ TÀI: HỆ THỐNG PHÂN TÍCH MÃ ĐỘC TỰ ĐỘNG CUCKOO SANDBOX Giảng Viên Hướng Dẫn Thầy Lê Anh Tú Nhóm sinh viên thực hiện Nguyễn Văn Sỹ MSV: JH1907004 Mai Quốc Bảo MSV: JH18010005 Nguyễn Hữu Chiến MSV: JH1903001 Bùi Khánh Dương MSV: JH18010001

2.2.4 Viết báo cáo tổng kết hành vi hoạt động của mã độc 21

2.2.5 Xử lý mẫu mã độc 21

Chương 3: Giới thiệu về Cuckoo Sandbox 21

3.1 Khái niệm Sandbox 21

3.2 Giới thiệu hệ thống Cuckoo Sanbox 22

3.3 Cài đặt Cuckoo Sandbox 23

3.4 Chạy Cuckoo Sanbox 24

3.4.1 Khởi động Virtualbox 24

3.4.2 Khởi động Cuckoo Sandbox 24

3.5 Kiến trúc của Cuckoo 25

3.6 Các tính năng của Cuckoo Sandbox 25

Chương 4: Ứng dụng Cuckoo Sandbox trong phân tích mã độc 26

4.1 Thực hiện phân tích động các mã độc trên Cuckoo Sandbox 26

4.1.1 Mã độc 1 26

4.1.2 Mã độc 2 31

KẾT LUẬN 34

TÀI LIỆU THAM KHẢO 34

Lời Cảm Ơn

Qua thời gian nghiên cứu và hoàn thành đồ án, chúng em đã hiểu thêm về mã độc cũng như biết được rất nhiều các công cụ phân tích chúng Trong quá trình thực hiện đồ án, chúng em đã nhận được sự giúp đỡ tận tình của thầy Lê Anh Tú giúp

chúng em hoàn thành tốt đồ án học kỳ này Vì thời gian làm đồ án hạn hẹp, kiến thức và kinh nghiệm chưa nhiều nên không tránh khỏi sai sót, rất mong nhận được

sự góp ý của các thầy cô và các bạn

Nhóm chúng em xin chân thành cảm ơn!

Hà Nội, tháng 5 năm 2021

Nhóm sinh viên

Nguyễn Văn SỹMai Quốc BảoNguyễn Hữu ChiếnBùi Khánh Dương

Lời Mở Đầu

Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ”trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay Theothống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thôngtin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngaytại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ chocác Hacker tấn công Mã độc được phát tán tại hầu hết các cơ quan quan trọng từcác cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính như ngân hàng, việnnghiên cứu, trường đại học,… Các phần mềm chứa mã độc được tồn tại dưới rấtnhiều hình thức và có khả năng lây lan vô cùng lớn

Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tạikhông chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minhnhư smartphone Với tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cánhân đều sở hữu một thiết bị thông minh hay máy tính cá nhân, vì vậy môi trườnghoạt động dành cho mã độc ngày càng rộng lớn và thiệt hại chúng gây ra chochúng ta là vô cùng lớn Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tínhViệt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng vớithủ đoạn ngày càng tinh vi

Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hạicủa việc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Báo cáo đã tìm

hiểu và nghiên cứu về “hệ thống phân tích mã độc tự động cuckoo sandbox”.

Mục tiêu của Báo cáo gồm các nội dung chính:

Chương 1 Tổng quan về mã độc: chương này giới thiệu những vấn đề cơ

bản nhất về mã độc và vai trò của việc phân tích mã độc, mô tả khái quát về cấutrúc file PE của Windows; các hình thức tấn công, hành vi của mã độc và xu hướngphát triển của mã độc

Chương 2 Quy trình Phân tích mã độc: chương này mô tả mục đích phân

tích mã độc và quy trình phân tích mã độc

Chương 3 Giới thiệu về Cuckoo Sandbox: chương này giới thiệu và mô

tả các bước trong quá trình phân tích mã độc và tìm hiểu về Sandbox

Chương 4 Ứng dụng Cuckoo Sandbox trong phân tích mã độc: Áp dụng

lý thuyết đưa ra trong Chương 3 để phân tích mã độc

Phần Kết luận: trình bày tổng hợp các kết quả báo cáo.

Bài báo cáo đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹthuât phân tích mã độc dựa trên phân tích động, đưa ra được quy trình phân tích.Tuy nhiên, báo cáo không thể tránh khỏi những thiếu sót, vì vậy nhóm rất mongnhận được những ý kiến đóng góp, nhận xét của thầy cô giáo để kết quả bài báocáo được hoàn thiện hơn

Chương 1: Tổng quan về mã độc

1.1 Mã độc và mục đích của mã độc

1.1.1 Khái niệm về mã độc

Malware, trong Tiếng Anh là từ viết tắt của “malicious software”, malware

đề cập đến những chương trình phần mềm được thiết kế để gây hại hoặc làm

những hành động không mong muốn trên hệ thống máy tính Một định nghĩa rất ngắn gọn nhưng nói lên đầy đủ những tính chất của malware Malware bản chất là một phần mềm như những phần mềm khác trên máy tính mà chúng ta v n sử dụng hàng ngày, nó có đầy đủ những đặc điểm, tính chất của một phần mềm bình thườngchỉ khác là nó có thêm tính độc hại (malicious)

1.1.2 Mục đích của Malware

Malware được tạo ra để khai thác tài nguyên trên máy tính để tìm kiếm lợi

nhuận Tài nguyên đó là

- Dữ liệu

Đây là mỏ vàng thực sự với tin tặc Dữ liệu trên máy tính còn có giá trị lớn

hơn nhiều chiếc máy tính đó Từ những dữ liệu cá nhân như

- Thông tin đăng nhập, tài khoản: sử dụng để đánh cắp tiền, mạo danh

- Ảnh, video: mã hóa để yêu cầu tiền chuộc

- Tên, tuổi, địa chỉ email, số điện thoại, lịch sử duyệt web: bán cho các bên

làm quảng cáo

- Tài liệu công việc

- Tài sản trí tuệ như mã nguồn chương trình, bản thiết kế, ý tưởng kinh doanh

- Hoạt động người dùng

Đặt quảng cáo hoặc chuyển hướng người dùng đến những trang quảng cáo đểthu phí quảng cáo

- Khả năng tính toán và kết nối

Máy tính là một cỗ máy điện toán, có kết nối mạng thậm chí là cấu hình mạnhvới kết nối băng thông rộng Khi chiếm được quyền điều khiển tin tặc hoàn toàn cóthể sử dụng để thực hiện những tác vụ đòi hỏi khả năng tính toán như đào bitcoin,tấn công DDoS Nếu đó là máy server cung cấp dịch vụ thì khả năng khai thác cònlớn hơn rất nhiều

1.2 Phân loại mã độc và cơ chế hoạt động

Việc phân loại thành những dòng malware khác nhau sẽ cho một cái nhìn cơbản về hành vi của loại malware đó làm cho việc tìm hiểu về malware trở nên dễdàng hơn Hiện tại chưa có một tiêu chuẩn chung nào về việc phân loại malware Những công ty phát triển phần mềm quét malware thường có những cách phân loạicủa riêng mình, cũng như có rất nhiều tài liệu phân loại theo những cách khác nhau Nhưng về cơ bản thì malware được phân thành virus, worm và trojan dựa trên hành vi của chúng trên máy tính của người dùng

Hiện nay có rất nhiều người, không chỉ là người dùng bình thường mà

cảnhững người làm về công nghệ thông tin thường sử dụng sai thuật ngữ virus để chỉ malware Thực tế thì virus chỉ là một loại malware

1.2.2 Worm

Worm là sâu mà sâu thì tự bò được Worm dùng để chỉ những malware tồn tạimột cách độc lập, một file độc lập nhưng nó v n có khả năng tự tạo những bản saocủa chính nó vào những vị trí cần thiết để tiến hành lây nhiễm Đơn giản nhất là tạo một bản sao vào các thiết bị lưu trữ ngoài (như USB), thư mục chia sẻ trong LAN rồi từ đó lây nhiễm sang các máy sạch

1.2.3 Trojan

Trojan tồn tại độc lập, là một file độc lập, không có khả năng lây nhiễm.Thông thường trojan sẽ lừa người dùng mở nó bằng các kỹ thuật social engineeringnhư đặt những biểu tượng giống như thư mục, file văn bản, file hình ảnh, đặt tên cóliên quan đến người dùng như “Baocaotaichinh.doc”, “Danhsachcanbo2015.xls”

1.2.4 Rootkits

Rootkit là thuật ngữ được dùng để chỉ tập hợp các chương trình hay mã lệnh

có khả năng kiểm soát hệ thống nhưng không bị phát hiện theo cách bình thường.Nói cách khác rootkit là những mã lệnh hay chương trình có khả năng kiểm soát ởcấp độ quản trị phổ thông một hệ thống máy tính mà người dùng không bao giờ

hoặc khó có thể phát hiện ra được Tuy nhiên rootkit không thể tự lan truyền haynhân bản được.

1.2.5 Spyware

Spyware là phần mềm gián điệp chuyên thu thập các thông tin từ các máychủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sựnhận biết và cho phép của chủ máy Một cách điển hình, spyware được cài đặt mộtcách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware)

và phần mềm chia sẻ (shareware) mà người ta có thể tải về từ Internet Một khi đãcài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽchuyển các dữ liệu thông

1.2.6 Adware

Adware là phần mềm quảng cáo thường hay có ở trong các chương trình càiđặt tải từ trên mạng Một số phần mềm vô hại, nhưng một số có khả năng hiển thịthông tin lên màn hình, cưỡng chế người dùng

1.2.7 Fileless Malware

Fileless malware là một phần mềm độc hại không sao chép bất cứ tệp tin vàthư mục nào vào ổ đĩa cứng khi thực thi, Thay vào đó, dữ liệu độc hại được đưatrực tiếp vào bộ nhớ của tiến trình đang chạy và mã độc thực thi ngay trên RAM.Việc điều tra số và lần vết mã độc trở nên khó khăn do bộ nhớ sẽ được giải phóngkhi máy tính khởi động lại

1.3 Tìm hiểu về cấu trúc PE file

Một bước rất quan trọng khi tìm hiểu về mã độc là tìm hiểu về file PE vì gầnnhư mọi mã thực thi được nạp bởi Windows đều có định dạng PE Đây là dạng phổbiến bậc nhất của mã độc và cũng là định dạng hay bị lây nhiễm mã độc nhất

Định dạng file PE được dùng cho những file thực thi, mã đối tượng và cácDLL của Windows Định dạng này là một cấu trúc dữ liệu bao gồm thông tin cầnthiết để Windows OS Loader quản lý được mã thực thi trong nó

Để có thể thực thi trên máy tính, nội dung file PE được chia thành các thànhphần và có mối liên hệ mật thiết với nhau Nắm rõ cấu trúc PE sẽ giúp chúng ta

hiểu được cơ chế thực thi của một phần mềm, từ việc tổ chức tới việc nạp lên bộnhớ, các tài nguyên sử dụng…

Hơn nữa, khi chúng ta muốn sửa đổi một file, ví dụ như thêm vào một sốđoạn mã, chỉnh sửa một số thành phần nhưng vẫn muốn phần mềm thực thi bìnhthường, ví dụ trong trường hợp cần chỉnh sửa các công cụ phân tích để tránh bịphát hiện bởi mã độc thì chúng ta cần phải nắm rõ cấu trúc PE file cũng như mốiliên hệ giữa các thành phần trong file để có thể nhanh chóng thay đổi file và thoảmãn yêu cầu đề ra mà không ảnh hưởng tới chức năng cũng như hoạt động của file

Mặt khác, đối với các mã sử dụng kỹ thuật tiêm mã vào các tiền trình đang

có để che giấu sự tồn tại trên hệ thống, nếu chúng ta không hiểu rõ cấu trúc của file

PE sẽ rất khó tìm ra tiến trình bị tiêm mã độc

Hình 2.1 Cấu trúc cơ bản của PE

Cấu trúc PE có thể gồm nhiều section, trong đó tối thiểu cần 2 section: data

và code Một số section thông dụng hay được gặp ở các phần mềm :

1 Executable Code Section, có tên là text (Microsoft)

2 Data Sections, có tên là data, rdata, bss (Microsoft) hay DATA (Borland)

3 Resources Section, có tên là rsrc

4 Export Data Section, có tên là edata

5 Import Data Section có tên là idata

6 Debug Information Section, có tên là debug

Cấu trúc các section trên bộ nhớ và trên ổ đĩa là như nhau, tuy nhiên khiđược nạp lên bộ nhớ, các Windows loader sẽ quyết định thứ tự và vị trí nạp cácphần, do đó vị trí các phần trên ổ đĩa và trên bộ nhớ sẽ có sự khác biệt.

1.4 Các hình thức tấn công của mã độc

Hiện nay có rất nhiều hình thức phát tán mã độc hại, có thể thông qua email,thông qua các phần mềm và gắn mã độc vào bên trong, thông qua các đường linktrang web, thông qua việc chia sẻ file USB…

1.4.1 Qua thiết bị lưu trữ

Cách phát tán phổ biến nhất của mã độc trước đây là qua các thiết bị lưu trữ

di động, dù là thời sử dụng đĩa mềm ngày xưa hay thẻ nhớ USB ngày nay Hiện tại,thẻ nhớ trong các thiết bị di động thông minh, hay thiết bị ghi âm, ghi hình kỹ thuật

số cũng là một vật trung gian hiệu quả cho việc lan truyền mã độc Các thiết bị diđộng thông minh thì hay phải nạp pin và phương thức nạp pin qua cổng USB lại rấttiện dụng, điều này tiềm ẩn nguy cơ rất lớn cho việc lây truyền mã độc

Một số dạng phát tán điển hình qua USB:

- Lợi dụng chức năng Autorun:

Khi thiết bị lưu trữ có sử dụng giao tiếp USB được cắm vào máy tính đãnhiễm mã độc, mã độc sẽ phát hiện ra thiết bị có thể lây nhiễm được, sau đó tự saochép bản thân mình vào một vị trí bí mật trên thiết bị đó Tiếp theo, nó ghi một fileautorun.inf có nội dung cơ bản như sau:

[Autorun]

OPEN = Đường dẫn virus trong đĩa USB

Từ Windows Vista trở về trước, Windows sẽ mặc nhiên kiểm tra tập tin autorun.inftrong các thiết bị USB và thực thi các câu lệnh có trong đó

- Đánh lừa người dùng:

Trong nhiều trường hợp, các lây nhiễm sử dụng tập tin Autorun không hiệuquả, ví dụ như từ hệ điều hành Windows 7 trở về sau, chức năng này không cònhoạt động nữa Mã độc chuyển sang sử dụng cách đánh lừa người dùng để thực thifile mã độc đã lây nhiễm trên thẻ nhớ USB Có thể kể đến như:

 Ẩn thư mục trên USB và thay vào đó là các tập tin mã độc có hình thưmục với tên tương tự các thư mục tồn tại ban đầu Với cách này, mã độc dễ dànglừa được người dùng khởi chạy nó nếu trên hệ thống đang tắt chức năng hiển thịfile ẩn và phần mở rộng file

 Chuyển các file doc, docx của người dùng vào vị trí bí mật trên thẻ nhớUSB thay thế vào đó là các file mã độc có tên và hình đại diện (icon) là file doc,docx Đồng thời sử dụng các khoảng trắng để kéo dài tên file tối đa, làm ngườidùng có để hiện tên file thì cũng có khả năng cao bị đánh lừa.

Cả 2 cách trên đối với người dùng thông thường đều rất khó nhận ra khi lỡkhởi chạy nhầm phải mã độc, vì khi đã đạt được mục đích lây nhiễm, mã độc vẫn

mở thư mục hoặc tập tin như bình thường cho người dùng Thậm chí, trong nhiềutrường hợp, mã độc còn khôi phục lại thẻ nhớ USB như chưa hề bị nhiễm để tránh

sự phát hiện

1.4.2 Phát tán qua các phần mềm

Các phần mềm được viết ra có chứa sẵn mã độc, hoặc các phần mềm chínhthống bị sửa đổi để thêm mã độc vào được phát tán tràn lan trên mạngInternet Các phần mềm Crack (bẻ khóa) có tỉ lệ chứa mã độc trong đó rấtcao Nhiều khi vì chủ quan hay vì muốn dùng phần mềm mà không phải trảtiền, người dùng sẵn sàng bất chấp mọi nguy cơ bị lây nhiễm mã độc để dùngnhững phần mềm này

Phần mềm Keygen bẻ khoá có nguy cơ lây nhiễm mã độc

1.4.3 Phát tán qua các trang Web

Khi truy cập các trang web, hệ thống có thể bị nhiễm mã độc bất kỳ lúc nào,nhất là khi truy cập vào các trang không đáng tin cậy Điều này có thể xảy rangày cả khi chúng ta chỉ mở trang web, vì các trình duyệt, đặc biệt là cácthành phần của trình duyệt được phát triển bởi hãng thứ 3 (plugin) ẩn chứa rấtnhiều nguy cơ mất an toàn Mã độc có thể lợi dụng những lỗ hổng này để pháttán và lây nhiễm vào hệ thống

1.4.4 Phát tán qua thư điện tử

Khi mà thư được sử dụng ngày càng rộng rãi thì đây là một nguồn lây nhiễm rất hiệu quả Khi đã lây nhiễm vào máy nạn nhân, mã độc có thể tự tìm ra danh sách các địa chỉ thư điện tử trong máy tính và nó tự gửi đi hàng loạt những thư đánh lừa được đính kèm bản thân nó hoặc các liên kết chứa

mã độc Khi người nhận không phát hiện ra thư bị nhiễm mã độc thì khả năng cao sẽ bị nhiễm mã độc vào máy và từ máy này mã độc lại tiếp tục lây nhiễm Chính vì vậy, số lượng phát tán mã độc có thể theo cấp số nhân khiếntrong thời gian ngắn hàng triệu máy tính có thể bị lây nhiễm

Ngày nay, khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt mã độc có thể khắc phục được hành động tự nhân bản hàng loạt để phát tán qua các địa chỉ thư điện tử trong danh bạ máy tính thì chủ nhân mã độc

có thể chuyển qua hình thức tự gửi thư phát tán mã độc bằng các nguồn địa chỉ sưu tập được, các địa chỉ này cũng có thể là của chính mã độc đó gửi về.Phương thức phát tán qua thư điện tử bao gồm:

- Phát tán vào các file đính kèm: Với cách này, người dùng sẽ không bị

nhiễm mã độc đến khi phần mềm đính kèm đó được kích hoạt Mã độc cũngkhông dại gì chỉ gửi đúng mã độc của mình, mà chúng thường ẩn dưới bỏbọc là các phần mềm miễn phí hay những phần mềm có nội dung nhạy cảm

Nội dung email giả mạo Thủ tướng được gởi đến người dùng Việt Nam năm 2015

(Nguồn: nld.com.vn)

- Phát tán do mở một liên kết trong thư điện tử: Liên kết trong thư điện tử

có thể dẫn tới một trang web được cài sẵn mã độc, các này thường khai thác

lỗ hổng của trình duyệt hoặc các plugin (thành phần cài đặt thêm) của trìnhduyệt, ví dụ như trình FlashPlayer

Thư điện tử kèm liên kết độc hại

- Phát tán ngay khi mở để xem thư điện tử: Trường hợp này vô cùng nguy

hiểm bởi chưa cần kích hoạt các file hay mở liên kết gì hệ thống đã bị nhiễm

mã độc Cách này thường là do mã độc khai thác lỗ hổng của hệ điều hành.Mặc dù vây, cách khai thác này cũng khó thực hiện hơn, do lỗ hổng trên hệđiều hành chưa bị phát hiện (zero day) sẽ ít hơn rất nhiều lỗ hổng trên trìnhduyệt và các plugin của nó

1.4.5 Phát tán qua mạng nội bộ

Mã độc sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạnnhân) xem có thư mục nào chia sẻ (Share) và cho phép sửa chữa chúng haykhông Sau đó chúng sẽ tự sao chép và chờ đợi một ai đó vô ý chạy chúng

1.4.6 Phát tán qua các dịch vụ IM

Nhắn tin nhanh (Instant Messaging), là dịch vụ cho phép hai người trở lênnói chuyện trực tuyến với nhau qua một mạng máy tính Tương tự như lâynhiễm qua thư điện tử, mã độc lây nhiễm qua IM cũng có những phươngthức tương tự như gửi file hay gửi link chứa mã độc Mã độc này có thể lâynhiễm với nhiều nền tảng IM từ Google Talk, Facebook Chat, Skype cho đếnMSN Messenger, Yahoo Messenger cho đến những phần mềm như Pidgin vàICQ Nói cách khác, không công cụ chat hiện hành nào thoát khỏi phạm viảnh hưởng của mã độc nguy hiểm này

Với lượng người dùng khổng lồ của mình, không ngạc nhiên khi Facebookđược xem là điểm bị lây nhiễm và phát tán đầu tiên Mã độc nguy hiểm đượcphát hiện lây lan bằng cách gửi đi một tập tin được đặt tên là

“Video_xxx.zip” (trong đó xxx là các số ngẫu nhiên) Khi người dùng tải về

và giải nén sẽ được tập tin có phần mở rộng mp4.exe Nếu tiếp tục bấm vàofile này, người dùng sẽ bị nhiễm mã độc và trở thành nguồn lây lan

Mã độc trên Facebook Messenger được phát tán

1.5 Các hành vi của mã độc

Khi lây nhiễm vào một máy tính, mã độc thường thực hiện một số hành vinhằm che dấu sự hoạt động của chúng trước người dùng, đồng thời tạo ra các môitrường để có thể tự khởi động cùng hệ thống cũng như tải về các mã độc khác Sauđây là một số hành vi tiêu biểu nhất mà người phân tích mã độc cần tìm hiểu:

- Sự thay đổi về hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung hay xóacác tập tin trên hệ thống

- Sự thay đổi trong hệ thống Registry: Bao gồm việc tạo ra hoặc sửa đổi cácgiá trị trong khóa registry

- Tiêm nhiễm vào các tiến trình khác đang chạy trên hệ thống

- Tạo ra các Mutex nhằm tránh việc xung đột khi sử dụng tài nguyên trên máytính

- Tạo ra các hoạt động mạng đáng ngờ: Kết nối đến các trang web lạ để tải về

mã độc khác, kết nối đến các máy chủ IRC, thực hiện việc quét các hệ thốngbên ngoài,…

- Khởi chạy hoặc cho dừng các dịch vụ trên Windows: ví dụ dịch vụ của trìnhdiệt Virus

1.6 Xu hướng phát triển của mã độc

Có thể nhận thấy từ trước đến nay mã độc có xu hướng phát triển tăng dần

cả về độ phức tạp cũng như mục tiêu mà chúng nhắm đến Hiện nay, đa phần mãđộc được thiết kế nhắm đến các mục tiêu được xác định từ trước, đó có thể là một

cá nhân hoặc một tổ chức Xuất phát từ mục đích đó, mã độc hiện nay được thiết

kế sao cho có khả năng che dấu càng lâu càng tốt, sau đó chúng mới thực hiện cácmục đích phá hoại ăn cắp thông tin hay gián điệp.

Một đặc tính nguy hiểm của mã độc hiện nay đó là được thiết kế với mụcđích lây nhiễm dài hạn trên mục tiêu, điều đó có nghĩa là khi lây nhiễm vào máymục tiêu, thay vì ngay lập tức có những hành vi phá hoại hay ăn cắp dữ liệu dễ bịphát hiện, chúng sẽ thực hiện một loạt sự chuẩn bị để tồn tại trong hệ thống lâu dài.Sau đó, mới thực thi các cuộc tấn công vào hệ thống lớn hơn, hay tấn công ra ngoài

hệ thống đã bị lây nhiễm với sự đảm bảo rằng nếu cuộc tấn công thất bại, kẻ tấncông có thể sử dụng mã độc đó cho một cuộc tấn công khác vào thời gian sau đóvới một hình thức hay cách tiếp cận khác

Trong những mã độc đã được phân tích, người ta còn nhận thấy xu hướngcải tiến phức tạp trong việc đánh cắp dữ liệu – một trong những mục đích quantrọng của mã độc Cách thức mà mã độc sử dụng phải đảm bảo dữ liệu đánh cắpđược không bị chặn hay bị phát hiện nhưng hành vi đánh cắp vẫn đảm bảo tính bímật, điều này đòi hỏi kẻ tấn công phải sử dụng những kênh giao thức phổ biếncũng như mã hoá dữ liệu khi truyền đi

Mục tiêu của những loại mã độc nguy hiểm thời gian gần đây có thể baogồm quân sự, chính trị hay thu nhập các thông tin tình báo kinh tế, làm gián đoạncác hoạt động hoặc phá huỷ các thiế bị công nghiệp Mã độc Stuxnet cho phép kẻtấn công phá vỡ các hệ thống kiểm soát công nghiệp trong quá trình làm giàuUranium của một cơ sở công nghiệp cụ thể là một điển hình cho xu hướng pháttriển của mã độc trong tương lai

Social engineering - một kỹ thuật cho phép kẻ tấn công lợi dụng yếu tố conngười để đánh bại hệ thống an ninh cũng được sử dụng nhiều hiện nay (yếu tố conngười luôn là điểm yếu nhất trong mọi phương án phòng vệ) Nhờ kỹ thuật này, kẻtấn công có thể xâm nhập sâu vào hệ thống an ninh của đối tượng Dựa vào cácthông tin thu thập thông qua mạng xã hội hay các trang web thông tin truyền thông,

kẻ tấn công có thể tập hợp thông tin về mục tiêu cũng như một mạng lưới thông tinxung quanh mục tiêu, từ đó các cuộc tấn công trở nên đáng tin cậy và có sức thuyếtphục để dễ dàng vượt qua hệ thống an ninh

Ghi nhận đầu tiên về mã độc vào năm 1981 và phát triển nhanh chóng theo

xu hướng phát triển của công nghệ máy tính Càng ngày, mã độc càng trải quanhững thay đổi đáng kể về đặc điểm, phân loại cũng như mục đích sử dụng Cùngvới sự bùng nổ của mạng máy tính, thiết bị di động thông minh, mã độc cũng tăng

trưởng với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứngvới các công nghệ và nền tảng mới.

Nếu như ban đầu mục tiêu của những đoạn mã độc chỉ nhằm đến những máytính đơn lẻ, cơ chế lây lan hầu như không có và tác hại mang tính trêu chọc thìngày nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơchế lây lan phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ.Nghiêm trọng hơn, mã độc có thể được phát triển phức tạp và thiết kế tinh vi vớimục đích gián điệp, phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thếgiới Từ đó dẫn tới nguy cơ về một cuộc chiến tranh mạng Cyberwar lan rộng

Dựa vào thực tế sự phát triển mã độc hiện nay, một số dự đoán xu hướngphát triển của mã độc trong tương lai:

- Các loại mã độc với các kỹ thuật chống phân tích được cải tiến

- Mã độc trong các thiết bị di động bùng phát do xu hướng di động đã và sẽphát triển mạnh trong tương lai

- Mã độc với những kỹ thuật được cải tiến đảm bảo sao cho chúng có thể lâynhiễm trên diện rộng đồng thời trên nhiều nền tảng khác nhau

- Mã độc được sử dụng như là một công cụ quan trọng trong chiến tranhmạng giữa các tổ chức hay các quốc gia

Cùng với sự bùng nổ của mạng máy tính, thiết bị di động cũng như sự pháttriển không ngừng của công nghệ thông tin, mã độc cũng liên tục phát triển và biếnđổi để phù hợp

Chúng không ngừng cải tiến để chống lại sự phát hiện từ phía người sửdụng, biến đổi để thích nghi với môi trường, nền tảng mới với mục tiêu lây nhiễmtrên diện rộng cho cùng một mục đích của người viết mã độc Mã độc có thể coi làloại vũ khí sắc bén của chiến tranh mạng trong tương lai

Chương 2: Quy trình Phân tích mã độc

2.1 Mục đích của việc phân tích mã độc

Mục tiêu chính của việc phân tích malware là thu thập các thông tin về hành

vi, hoạt động để tiến hành xử lý, gỡ bỏ malware ra khỏi hệ thống, ứng phó khi sự

cố malware đã xảy ra Thông thường sẽ phải xác định chính xác những gì đã xảy ratrên hệ thống, đảm bảo xác định được những máy, những file bị lây nhiễm Khiphân tích mẫu malware nghi ngờ, phải xác định được mẫu nghi ngờ đó làm gì từ

đó tìm phương pháp để xác định nó trên hệ thống, ước tính thiệt hại có thể xảy ra.Với những người trong giai đoạn học tập, nghiên cứu, việc phân tích giúp

định nghĩa, phân tích một cách mơ hồ.

Với những người phát triển phần mềm quét malware, IDS/IPS thì sẽ dựa trên

kết quả phân tích đó để cập nhật những dấu hiệu (signature) vào phần mềm, hệthống quét

2.2 Quy trình phân tích và xử lý mẫu mã độc hại

2.2.1 Nhận diện hệ thống bị nhiễm mã độc hại và khoanh vùng xử lỷ

a Phát hiện ra sự cố hệ thống bị nhiễm mã độc hại là bước quan trọng nhất trong quy trình xử lý Nếu hệ thống bị nhiễm mã độc hại mà không phát hiện sớm thì có thể gây ra hậu quả khó lường

Có rất nhiều dấu hiệu cho biết một hệ thống bị nhiễm mã độc hại, dưới đây là một vài dấu hiệu thường thấy:

Dấu hiệu nhiễm Virus :

- Hệ thống tự động shutdown hoặc logging off đột ngột

- Hệ thống có ít bộ nhớ hơn bình thường

- Tên một ổ đĩa bị thay đổi hay không có thể truy cập được vào

- Các chương trình và các file đột nhiên không truy cập được vào( ví dụ Task manager, Registry Editor, Folder Options)

- Các chương trình hoặc file lạ được tạo ra

- Lưu lượng mạng trong hệ thống tăng cao

Dấu hiệu nhiễm Trojan :

- Màn hình tự dưng có gợn sóng - Wall-paper của máy bị thay đổi.103 - Màu sắc cửa sổ Windows bị thay đổi - Chức năng chuột trái, chuột phải bị hoán đổi vị trí lẫn nhau - Con trỏ chuột không xuất hiện, tự di chuyển - Nút Windows Start

không xuất hiện - Thanh Taskbar tự dưng không xuất hiện - Máy tính bạn tự dưngshutdown hoặc tự tắt

Dấu hiệu nhiễm Spyware

- Trang web mặc định tự động thay đổi

- Firewall và các chương trình Anti-Virus tự động tắt

- Đèn báo mạng nhấp nháy nhiều

- Không thể tắt được hết các popup windows nhảy ra

- Chương trình mới tự động trong mục Add/remove Program

- Có 1 vài icon và shortcuts lạ nằm trên thanh taskbar , system tray hoặc trên

desktop