Luận văn Thạc sĩ Máy tính: Phương pháp phát hiện mã độc trong Firmware của các thiết bị định tuyến và ứng dụng
lượt xem 12
download
Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT (Internet of Things). Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Để phát hiện mã độc có được cài vào thiết bị định tuyến của các nhà sản xuất hay không, luận văn này nghiên cứu đưa ra phương pháp để phát hiện mã độc trong các thiết bị định tuyến.
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Luận văn Thạc sĩ Máy tính: Phương pháp phát hiện mã độc trong Firmware của các thiết bị định tuyến và ứng dụng
- BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ ----------------------------- Nguyễn Thùy Linh PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRONG FIRMWARE CỦA CÁC THIẾT BỊ ĐỊNH TUYẾN VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ NGÀNH MÁY TÍNH Hà Nội – 2021
- BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ ----------------------------- Nguyễn Thùy Linh PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRONG FIRMWARE CỦA CÁC THIẾT BỊ ĐỊNH TUYẾN VÀ ỨNG DỤNG Chuyên ngành: Hệ thống thông tin Mã số: 8 48 01 04 LUẬN VĂN THẠC SĨ NGÀNH MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC : Hướng dẫn 1:TS. Nguyễn Trường Thắng Hướng dẫn 2:TS. Phạm Mạnh Linh Hà Nội - 2021
- I LỜI CAM ĐOAN Tôi xin cam đoan Luận văn này là công trình nghiên cứu khoa học nghiêm túc của cá nhân tôi, được thực hiện dưới sự hướng dẫn khoa học của TS. Nguyễn Trường Thắng và TS. Phạm Mạnh Linh. Các số liệu, kết quả nêu trong luận văn là trung thực, có nguồn gốc rõ ràng và được trích dẫn đầy đủ theo quy định. Tác giả luận văn Nguyễn Thùy Linh
- II LỜI CẢM ƠN Tôi xin chân thành cảm ơn các thầy cô, cán bộ Học viện Khoa học và Công nghệ - Viện Hàn lâm Khoa học và Công nghệ Việt Nam đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian học tập, nghiên cứu tại trường. Tôi xin gửi lời cảm ơn sâu sắc tới TS. Nguyễn Trường Thắng và TS. Phạm Mạnh Linh đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá, trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp. Tôi xin cảm ơn các cấp Lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia sẻ, giúp đỡ, tạo điều kiện cho tôi hoàn thành khóa luận này. Luận văn này được tài trợ bởi Học viện khoa học và Công nghệ và Viện Công nghệ thông tin, Viện hàn lâm Khoa học và công nghệ Việt Nam từ đề tài mã số GUST.STS.DDT2019-TT02. Hà Nội, ngày tháng năm 2021 Nguyễn Thùy Linh
- III DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT Advanced Persistent Threat – hay còn gọi là các cuộc tấn công APT chủ đích IDS Intrusion Detection Systems - Hệ thống phát hiện xâm nhập IPS Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập NIST National Institute of Standart and Technology USB Universal Serial Bus (Open System Interconnection Basic Reference) là mô hình Mô hình mạng có 7 lớp, được phát triển bởi International Standards OSI Organization (ISO) IP Internet Protocol CPU Central Processing Unit ROM Read-Only Memory RAM Random Access Memory OS Operating System IoT Internet of Things
- IV DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1. Số lượng mã độc trên toàn thế giới trong vòng 10 năm gần đây (Nguồn AV-TEST) .......................................................................................... 4 Hình 1.2. Ngày 12/5/2017, chỉ sau vài giờ bùng phát, mã độc tống tiền WannaCry đã lây lan ra hàng chục quốc gia (ảnh chụp từ hệ thống giám sát của hãng bảo mật Kaspersky) .......................................................................... 4 Hình 1.3. Công cụ của một mạng botnet ........................................................ 9 Hình 1.4. Ví dụ phương pháp phân tích tĩnh trên android............................ 12 Hình 2.1. OSI, mô hình giao thức truyền thông ........................................... 16 Hình 2.2. Cấu tạo bộ định tuyến ................................................................... 19 Hình 2.3. Một ví dụ kết quả tìm kiếm thông tin với công cụ Shodan.io ...... 22 Hình 2.4. Quy trình tổng quan về firmadyne................................................ 27 Hình 2.5. Mô hình tổng quan về avatar ........................................................ 28 Hình 3.1. Tổng quan về quy trình phát hiện mã độc trên thiết bị định tuyến thông qua mô phỏng ...................................................................................... 31 Hình 4.1. Giám sát mã độc bằng strace và tcpdump .................................... 45 Hình 4.2. Kết quả giám sát cho thấy mã độc kết nối ra ngoài internet ........ 46
- V MỤC LỤC LỜI CAM ĐOAN ............................................................................................. I LỜI CẢM ƠN................................................................................................. II DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT ............................................ III DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ....................................................... IV MỤC LỤC ...................................................................................................... V MỞ ĐẦU ......................................................................................................... 1 CHƯƠNG 1. TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN .................................................................................................... 3 1.1. TỔNG QUAN VỀ MÃ ĐỘC ................................................................... 3 1.1.1. Khái niệm về mã độc .................................................................. 3 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới ......................... 3 1.1.3. Phân loại mã độc ......................................................................... 6 1.1.4. Vai trò của việc phân tích mã độc............................................. 10 1.2. CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC..... 10 1.2.1. Phương pháp phân tích tĩnh ...................................................... 11 1.2.2. Phương pháp phân tích động .................................................... 12 1.2.3. Phương pháp phân tích lai......................................................... 13 CHƯƠNG 2: TỔNG QUAN VỀ THIẾT BỊ ĐỊNH TUYẾN VÀ CẤU TRÚC CỦA FIRMWARE ........................................................................................ 16 2.1. GIỚI THIỆU VỀ MÔ HÌNH MẠNG OSI ............................................ 16 2.2. THIẾT BỊ ĐỊNH TUYẾN....................................................................... 18 2.3. CẤU TRÚC CỦA FIRMWARE ............................................................ 22 2.4. MÃ ĐỘC TRONG FIRMWARE ........................................................... 24 2.5. PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN ………………………………………………………………………25 2.5.1. Phương pháp phân tích tĩnh mã độc trên thiết bị định tuyến .... 26 2.5.2. Phương pháp phân tích động mã độc trên thiết bị định tuyến .. 26
- VI CHƯƠNG 3: QUY TRÌNH PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN.......................................................................................................... 30 3.1. ĐỀ XUẤT QUY TRÌNH PHÁT HIỆN MÃ ĐỘC ............................... 30 3.2. BƯỚC 1, THU THẬP FIRMWARE TỪ CÁC NHÀ CUNG CẤP THIẾT BỊ ĐỊNH TUYẾN .................................................................................... 31 3.3. BƯỚC 2, BÓC TÁCH FIRMWARE VÀ MÔ PHỎNG DỰA TRÊN MÁY ẢO QEMU.................................................................................................. 34 3.3.1. Bóc tách Firmware .................................................................... 34 3.3.2. Mô phỏng Firmware dựa trên máy ảo QEMU .......................... 35 3.3.3. Một số dấu hiệu phát hiện chương trình được giám sát là mã độc…………………………………………………………………………..41 CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM .................................................. 44 4.1. KẾT QUẢ KHI THỰC NGHIỆM QUY TRÌNH PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN THÔNG QUA MÔ PHỎNG ............ 44 4.2. ĐỐI SÁNH VỚI HỆ THỐNG KIỂM TRA MÃ ĐỘC VIRUSTOTAL ………………………………………………………...………………...47 CHƯƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ ................................................ 50 5.1. KẾT LUẬN .............................................................................................. 50 5.2. KIẾN NGHỊ ............................................................................................. 51 TÀI LIỆU THAM KHẢO ............................................................................. 52
- 1 MỞ ĐẦU Ngày nay, thế giới đang chứng kiến những thay đổi lớn và phát triển nhanh chóng về mọi mặt, nhất là trong ngành công nghệ thông tin; phần mềm mã độc cũng không nằm ngoài xu hướng đó. Năm 2020, tình hình thế giới diễn biến khó lường. Cuộc chạy đua công nghệ nhằm kiểm soát, giành thế chủ động trên không gian mạng diễn ra gay gắt. Dịch bệnh Covid-19 đã làm thay đổi chuỗi cung ứng toàn cầu, đẩy nhanh chuyển đổi số, ứng dụng công nghệ vào phát triển kinh tế xã hội, nhưng cũng gia tăng thách thức trước các nguy cơ đến từ không gian mạng. Hoạt động tấn công mạng với mục đích chính trị, kinh tế nhằm vào cơ quan chính phủ, các tổ chức kinh tế, doanh nghiệp, hoạt động tội phạm mạng gia tăng về tính chất và quy mô. Kiểm soát an ninh mạng và phòng, chống tội phạm mạng được nhiều quốc gia đặc biệt quan tâm; ưu tiên xử lý các nguy cơ, hoạt động lợi dụng dịch bệnh Covid-19 để hoạt động tội phạm mạng. Từ thời điểm lý thuyết tự nhân bản của phần mềm máy tính được John Von Neumann (1903-1957) đưa ra (năm 1941) đến khi xuất hiện virus đầu tiên phải mất hơn 3 thập kỷ, nhưng với sự bùng nổ của Internet mã độc cũng theo đó bùng nổ theo. Song song với việc ứng dụng công nghệ thông tin, mã độc cũng đã và đang len lỏi vào mọi mặt của đời sống, gây ra những thiệt hại vô cùng nghiêm trọng cả về kinh tế lẫn an ninh, quốc phòng. Phát tán mã độc (Malware) đã thực sự trở nên phổ biến trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức doanh nghiệp chuyên về an ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các hacker hoạt động. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ cơ quan Chính phủ, tới các cơ quan như tài chính ngân hàng, doanh nghiệp, …Các phần mềm chứa mã độc tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn. Mã độc hiện tại đã lây lan đa nền tảng không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh. Với tốc độ phát triển của nền kinh tế và khoa học kỹ thuật, hiện nay hầu hết mọi cá nhân đều sở hữu thiết bị thông minh, vì vậy môi trường hoạt động cho mã độc ngày càng rộng
- 2 lớn và thiệt hại chúng gây ra là vô cùng to lớn. Theo thống kê của trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi. Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT (Internet of Things). Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Do đó, thiết bị định tuyến đã và đang trở thành mục tiêu tấn công phổ biến của tin tặc. Điều này dẫn tới nguy cơ không chỉ mất an toàn thông tin của thiết bị IoT nói riêng mà còn là nguy cơ gây mất an toàn, an ninh mạng nói chung. Để phát hiện mã độc có được cài vào thiết bị định tuyến của các nhà sản xuất hay không, luận văn này nghiên cứu đưa ra phương pháp để phát hiện mã độc trong các thiết bị định tuyến.
- 3 1. CHƯƠNG 1. TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN Chương 1 tập trung nghiên cứu những khái niệm cơ bản về mã độc, các loại mã độc hiện nay cũng như cách thức hoạt động, phương thức lây nhiễm mã độc phổ biến và các phương pháp phát hiện. 1.1. TỔNG QUAN VỀ MÃ ĐỘC 1.1.1. Khái niệm về mã độc Theo Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National Institute of Standards and Technology) [1] về định nghĩa và phân loại trong lĩnh vực “Virus máy tính”. Mã độc được định nghĩa là một chương trình được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. Theo định nghĩa này, mã độc bao hàm rất nhiều loại như Worm, Trojan, Spy-ware, …thậm chí là Virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như Backdoor, Rootkit, Key-logger. 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến nay, theo Viện nghiên cứu độc lập về an toàn thông tin của Đức AV-TEST (The Independent IT-Security Institute) - là một tổ chức độc lập có trụ sở ở Đức. Chuyên đưa ra các đánh giá về các phần mềm diệt virus và bảo vệ thông tin. Các đánh giá của AV-TEST có uy tín rất cao, mang lại cái nhìn tổng thể các sản phẩm diệt virus (anti-virus) trên thế giới), đã có khoảng hơn 1 tỷ mã độc được phát tán [2]. Trong 10 năm gần đây, số lượng mã độc phát triển nhanh chóng trên toàn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho toàn bộ những người sử dụng Internet trên toàn cầu.
- 4 Hình 1.1. Số lượng mã độc trên toàn thế giới trong vòng 10 năm gần đây (Nguồn AV-TEST) Cùng với sự gia tăng về số lượng, chủng loại mã độc cũng phong phú hơn về cả hành vi và mục đích phát tán. Các lĩnh vực mà mã độc nhắm đến bao gồm chính trị, kinh tế, tôn giáo và nhiều lĩnh vực quan trọng khác. Những năm gần đây, một loạt mã độc tống tiền kiểu mới cực kỳ nguy hiểm vừa xuất hiện và hoành hành tại nhiều quốc gia trên thế giới như ở châu Âu, Trung Đông và Mỹ nhắm vào các công ty và hệ thống lớn khiến mọi hoạt động bị ngừng trệ. Năm 2017, thế giới bị rúng động bởi sự hoành hành của mã độc tống tiền WannaCry lây nhiễm trên 250.000 máy tính ở 150 quốc gia trên thế giới. Hình 1.2. Ngày 12/5/2017, chỉ sau vài giờ bùng phát, mã độc tống tiền WannaCry đã lây lan ra hàng chục quốc gia (ảnh chụp từ hệ thống giám sát của hãng bảo mật Kaspersky)
- 5 Tại Việt Nam, xu hướng tấn công, phát tán mã độc vào các cơ quan, doanh nghiệp là hình thái tấn công phổ biến của giới tội phạm mạng mang tính chất quốc gia. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc mới như mã độc đính kèm trong tệp tin văn bản. Hầu hết người dùng nhận được email đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Microsoft Office (bao gồm cả Word, Excel, Power Point). Khi xâm nhập vào máy tính mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (Backdoor) cho phép tin tặc điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình và lấy cắp dữ liệu. Theo báo cáo International Privacy Day Report 2020 của Kaspersky, Việt Nam đứng thứ 9 trên toàn cầu về mức độ bị ảnh hưởng bởi phần mềm gián điệp, với 7.216 người dùng bị tấn công vào năm 2019. Tổng số người dùng bị ảnh hưởng bởi phần mềm gián điệp năm 2019 tại Việt Nam đã tăng 21,54%, từ 5.937 người dùng trong năm 2018 [3]. Hacker trên thế giới đang lợi dụng sự kiện Virus Corona để đánh lừa mọi người tải phần mềm độc hại. Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn công của mã độc đã có nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chương trình diệt virus, sử dụng hệ thống tường lửa, IDS, IPS, … để bảo vệ hệ thống. Tuy nhiên, các biện pháp này chỉ ngăn chặn được phần nào các loại mã độc đã được biết đến rộng rãi. Còn các biến thể mã độc hoặc mã độc mới thì hầu như các biện pháp trên trở nên vô hiệu. Với phần mềm gián điệp, khi máy tính bị lây nhiễm, nó sẽ lấy cắp dữ liệu cá nhân, cookie, tài khoản email, tài khoản ngân hàng, …Các dữ liệu cá nhân bị đánh cắp sẽ được sử dụng với mục đích xấu. Ngoài ra, một hình thức tấn công nguy hiểm nữa là tấn công có chủ đích APT (Advanced Persistent Threat - thuật ngữ dùng để miêu tả một chiến dịch tấn công, thường do một nhóm các kẻ tấn công sử dụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng Internet nhằm khai thác dữ liệu). Một hình thức tấn công APT phổ biến là bằng email chứa file văn bản, kẻ xấu giả làm người quen gửi email kèm file văn bản, khi người dùng mở file đính kèm, máy tính sẽ vô tình bị nhiễm mã độc.
- 6 1.1.3. Phân loại mã độc Có nhiều cách phân loại mã độc khác nhau dựa vào các tiêu chí khác nhau. Trong đó, định nghĩa đưa ra bởi NIST (National Institute of Standards and Technology) là cách định nghĩa phổ biến nhất trong ngành khoa học máy tính ngày nay [4]. 1.1.3.1. Virus Trong khoa học máy tính, virus máy tính là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác như: tập tin, ổ đĩa, máy tính, … Trước đây virus thường có các hành động phá hoại như chương trình không hoạt động đúng như mong muốn, xóa dữ liệu, làm hỏng ổ cứng, …Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối với máy tính của nạn nhân bị lây nhiễm nữa mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng, tài khoản, tài liệu mật, …) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác theo mục đích của người phát tán virus. Trên 90% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành Windows bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới. Ngày nay, ngoài những mẫu virus thông thường thì đã xuất hiện những biến thể virus khác với các kỹ thuật tinh vi hơn cụ thể là virus đa hình (polymorphic) và siêu đa hình (meta-polymorphic). 1.1.3.2. Trojan Horse Trojan là một chương trình độc lập, không tự nhân bản. Nó lây vào hệ thống với biểu hiện ban đầu là lành tính nhưng thực chất bên trong có ẩn chứa các đoạn mã với mục đích gây hại. Trojan có thể lựa chọn một trong 3 phương thức để gây hại như sau: - Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt. - Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, nhưng
- 7 sửa đổi một số chức năng để gây tổn hại hoặc che giấu các hành động phá hoại khác. - Thực thi luôn một phần mềm gây hại bằng cách núp dưới danh một phần mềm không có hại. 1.1.3.3. Worm Là một phần mềm có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, thường tự thực thi mà không cần sự can thiệp của người dùng. Worm có thể chia làm 2 loại sau: - Network Service Worm: lan truyền bằng cách lợi dụng các lỗ hổng bảo mật trong một dịch vụ mạng để tự lan truyền và lây nhiễm sang các máy chủ khác. - Mass Mailing Worm: là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là mail. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm số địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho các máy chủ mail. 1.1.3.4. Rootkits Rootkits là thuật ngữ dùng để chỉ tập hợp các chương trình hay mã lệnh có khả năng kiểm soát hệ thống nhưng không bị phát hiện theo cách bình thường. Nói cách khác, rootkits là những mã lệnh hay chương trình có khả năng kiểm soát ở cấp độ quản trị phổ thông một hệ thống máy tính mà người dùng không bao giờ hoặc khó có thể phát hiện ra được. Tuy nhiên rootkits không thể tự lan truyền hay nhân bản được. 1.1.3.5. Spyware Spyware là phần mềm gián điệp chuyên thu thập thông tin từ các máy chủ qua mạng Internet và không có sự cho phép và nhận biết của máy chủ. Spyware thường được cài đặt bí mật kèm theo các phần mềm miễn phí hoặc phần mềm chia sẻ được tải về từ Internet. Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và bí mật chuyển thông tin đến một máy khác. Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử, mật khẩu, thông tin thẻ tín dụng, …
- 8 1.1.3.6. Ransomware Là mã độc tống tiền gồm nhiều lớp phần mềm với chức năng hạn chế truy cập đến hệ thống máy tính đã bị lây nhiễm, đòi hỏi một khoản tiền cho người đã lan truyền mã độc đó nhằm xóa bỏ hạn chế truy cập mà nó đã tạo ra trước đó. Một vài dạng của ransomware mã hóa tệp tin, dữ liệu trên ổ cứng, một vài dạng khác thì đơn giản hơn chúng khóa hệ thống lại và hiển thị một thông báo để đòi hỏi người bị hại trả tiền. 1.1.3.7. Adware Là phần mềm quảng cáo thường hay có trong các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, một số có khả năng hiển thị thông tin lên màn hình, cưỡng chế người dùng. 1.1.3.8. Fileless Malware Là một phần mềm độc hại không sao chép bất cứ tệp tin và thư mục nào vào ổ cứng khi thực thi, thay vào đó dữ liệu được đưa trực tiếp vào bộ nhớ của tiến trình đang chạy và mã độc thực thi ngay trên RAM. Việc điều tra số và lần vết mã độc trở nên khó khăn do bộ nhớ sẽ được giải phóng khi máy tính khởi động lại. 1.1.3.9. Botnet Bot là chương trình mã độc được cài lên máy tính nạn nhân và các máy tính này sẽ nằm trong một mạng lưới được điều khiển bởi tin tặc gọi là mạng Botnet. Botnet cho phép kẻ tấn công truy cập và điều khiển hệ thống máy của nạn nhân. Tất cả các máy bị nhiễm cùng một loại Botnet sẽ nhận cùng một lệnh từ một máy chủ điều khiển của kẻ tấn công thông qua các kênh như Internet Relay chat (IRC) hoặc hệ thống mạng ngang hàng Peer-to-Peer (P2P). Khi đã có trong tay một mạng lưới Botnet, các tin tặc điều khiển botnet có thể sử dụng chúng như một công cụ chiến tranh mạng, tiêu biểu là tấn công từ chối dịch vụ vào các mục tiêu cụ thể nhằm làm tê liệt hệ thống mạng của một tổ chức hoặc thậm chí là hệ thống mạng của một quốc gia.
- 9 Hình 1.3. Công cụ của một mạng botnet 1.1.3.10.Web Browser Plug-in Là phương thức cài mã độc hại thực thi cùng với trình duyệt Web. Khi được cài đặt, kiểu mã độc này sẽ theo dõi tất cả hành vi duyệt Web của người dùng sau đó gửi thông tin ra ngoài. Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại ngầm định mặc dù không được phép của người dùng. 1.1.3.11.Email Generator Là những phần mềm cho phép tạo ra và gửi đi một số lượng lớn các email. Mã độc này có thể reo rắc các email generator vào trong hệ thống. Các phần mềm gián điệp, spam, mã độc hại có thể được đính kèm vào các email được sinh ra từ email generator và gửi tới các địa chỉ có trong sổ địa chỉ của máy bị nhiễm. 1.1.3.12.Phishing Là một hình thức tấn công có thể xem là kết hợp với mã độc hại. Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho người dùng tiết lộ những thông tin bí mật về danh tính. Kẻ tấn công thường tạo rat rang Web hoặc email có hình thức giống hệt như các trang Web hoặc email mà nạn nhân thường hay sử dụng như trang Web của ngân hàng…Trang Web giả mạo hoặc email này sẽ đề nghị nạn nhân
- 10 thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, mật khẩu, thông tin cá nhân,…Các thông tin này sẽ được sử dụng vào mục đích đánh cắp tiền trong tài khoản hoặc sử dụng vào các mục đích bất hợp pháp khác. 1.1.4. Vai trò của việc phân tích mã độc Vấn đề bảo đảm an ninh, an toàn cho các hệ thống thông tin ngày càng trở nên cấp thiết khi các hệ thống thông tin được kết nối với nhau và kết nối với mạng internet, người dùng ngày càng phải đối mặt với nhiều nguy cơ bị tấn công lấy cắp thông tin hoặc phá hoại hệ thống. Trong số các phương thức tấn công thì phần mềm độc hại là một trong các dạng gây nhiều thiệt hại nhất do khả năng lan truyền nhanh chóng. Phân tích mã độc là một bước quan trọng để ngăn chặn và tiêu diệt hoàn toàn mã độc ra khỏi máy tính và hệ thống mạng; khôi phục lại hiện trạng của mạng như ban đầu; truy tìm nguồn gốc tấn công. Ngay cả khi ngày càng có những phần mềm đảm bảo an ninh máy tính được phát triển thì vẫn cần thiết phải phân tích mã độc vì các phần mềm độc hại được phát triển ngày càng tinh vi và rất khó phát hiện, phần mềm đảm bảo an ninh mạnh nhất và được cập nhật thường xuyên cũng không thể loại bỏ được hết mã độc. Phân tích mã độc sẽ phát hiện được phương thức lây lan, giảm thiểu thiệt hại do mã độc gây ra bằng cách đưa các cảnh báo tới cộng đồng, là nguồn thông tin quan trọng để cập nhật mẫu cũng như chức năng cho phần mềm đảm bảo an ninh máy tính. 1.2. CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC Hầu hết mã độc ở dạng các chương trình, dịch vụ (dạng binary) không thể đọc thông thường. Các nghiên cứu liên quan đến phân tích mã độc hiện nay thường tập trung vào các bài toán trên nền tảng máy tính. Để phân tích mã độc thường chúng ta có hai hướng: phân tích sử dụng các hệ thống tự động và phân tích thủ công gồm phân tích hoạt động và phân tích bằng cách đọc mã thực thi của mã độc. Các kỹ thuật phân tích mã độc: - Phân tích tĩnh (Static analysis) - Phân tích động (Dynamic analysis) - Gỡ rối (Debug)
- 11 - Điều tra hành vi của mã độc (Malware forensic) Trong đó hai kỹ thuật chủ yếu là phân tích tĩnh và phân tích động, mỗi phương pháp lại có điểm mạnh và điểm yếu riêng. Ngoài các phương pháp phổ biến trên, một số nghiên cứu gần đây cũng tập trung vào phương pháp lai (Hybrid-based) kết hợp các điểm mạnh của hai phương pháp phân tích tĩnh và động giúp việc phân tích hiệu quả hơn. So sánh ưu điểm và nhược điểm của các phương pháp phân tích mã độc: Ưu điểm Nhược điểm - Không thực hiện việc - Không thực hiện việc chạy chạy mã độc, khó biết được mã độc, giảm thiểu nguy cơ hoạt động của mã độc. lây lan và phá hủy hệ thống. - Phân tích và reverse Static analysis - Phân tích mã độc dựa trên code về dạng assembly, đòi phân tích các cấu trúc tệp tin, hỏi phải có kinh nghiệm lập phân tích định dạng file. trình. - Giám sát được các hoạt - khi thực hiện chạy mã độc động của mã độc qua việc khiến hệ thống đối mặt với chạy mã độc. những nguy cơ và rủi ro về Dynamic - Giám sát được các tác động an toàn thông tin. analysis của mã độc lên hệ thống. - đôi khi rất khó có thể thực - Xác định được ảnh hưởng thi được phần mềm độc hại của mã độc lên hệ thống do cần tham số để thực thi. 1.2.1. Phương pháp phân tích tĩnh Đặc điểm của phương pháp phân tích tĩnh là kiểm tra, phân tích mã độc mà không thực thi mã độc. Cơ bản của việc phân tích tĩnh bao gồm các bước kiểm tra các file thực thi mà không cần các hướng dẫn thực tế. Qua bước phân tích tĩnh sẽ xác định liệu file đó có phải là mã độc hay không, cung cấp thông tin về chức năng của chúng, đôi khi những thông tin này sẽ cung cấp cho người dùng những dấu hiệu nhận dạng các loại mã độc. Những nghiên cứu gần đây thường tập trung vào phân tích chuỗi byte, sử dụng khai phá dữ liệu và học máy thay vì sử dụng những phương pháp thu thập đặc trưng truyền
- 12 thống. Phương pháp phân tích mã trung gian (bytecode) dựa trên Entropy cũng được đề xuất để phát hiện các kỹ thuật gây rối, đóng gói, mã hóa những đoạn mã độc nhúng trên các tập tin. Những đặc trưng khác trong phân tích tĩnh thường được sử dụng như: tiêu đề tập tin (header), các lời gọi hàm (system-calls) API, PSI (Printable Strings Information), FLF (Function Length Frequency), các thư viện liên kết, … Hình 1.4. Ví dụ phương pháp phân tích tĩnh trên Android 1.2.2. Phương pháp phân tích động Phân tích động là bước kiểm tra, phân tích khi mã độc được thực thi. Phân tích động thường được thực hiện sau khi cơ bản đã phân tích tĩnh mã độc. Phân tích động cho ta biết hai yếu tố cơ bản là giám sát các mã độc khi nó đang chạy và kiểm tra hệ thống sau khi mã độc thực hiện. Khi phân tích tĩnh cái chúng ta nhìn thấy chỉ là chuỗi các dãy số nhị phân hoặc các hàm cấp thấp dẫn tới khó có thể xác định được chính xác hành động của mã độc, còn trong phân tích động cho phép chúng ta quan sát mã độc khi chúng hoạt động thực sự với những tính năng chúng được lập trình, đây là một cách hiệu quả để xác định tính năng của mã độc. Ví dụ khi ta phân tích một phần mềm đánh cắp tài liệu và lưu qua USB, chúng ta có thể gặp khó khăn khi xác định tính năng này trong bước phân tích tĩnh, nhưng khi phân tích động, qua việc giám sát đọc ghi file của tiến trình chúng ta sẽ xác định ngay được chức năng đánh cắp tài liệu này của mã độc.
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu phương pháp phát hiện mã độc dựa trên dữ liệu meta-data của tệp tin
69 p | 44 | 9
-
Luận văn Thạc sĩ Máy tính: Thay đổi tín hiệu đèn giao thông đô thị dựa trên mức độ ưu tiên của các hướng qua giao lộ
76 p | 36 | 7
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu bài toán bóc tách thông tin trong chứng minh thư sử dụng học sâu
57 p | 30 | 7
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu phương pháp ngăn chặn phát tán thông tin sai lệch đa chủ đề trên mạng xã hội
69 p | 29 | 6
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu phương pháp phân lớp đám mây điểm LiDAR bằng học máy
59 p | 30 | 6
-
Luận văn Thạc sĩ Máy tính: Phát triển phần mềm quản lý tiền lương Bộ Công nghệ và Truyền thông Lào
57 p | 31 | 5
-
Luận văn Thạc sĩ Máy tính: Phần mềm quản lý thông tin phục vụ và sửa chữa thiết bị công nghệ trong Bộ Công nghệ và Truyền thông Lào
56 p | 32 | 5
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu một số tính chất nội suy ảnh số sử dụng phép toán hình thái để nâng cao chất lượng ảnh
72 p | 27 | 5
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu thuật toán filter-wrapper tìm tập rút gọn của bảng quyết định không đầy đủ và ứng dụng phát hiện tàu thuyền từ ảnh vệ tinh
67 p | 23 | 5
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu và thử nghiệm phần mềm phân loại hành vi bò sử dụng thuật toán cây quyết định
60 p | 33 | 5
-
Luận văn Thạc sĩ Máy tính: Xây dựng hệ thống thông minh giám sát điều kiện môi trường và an ninh phòng máy quy mô lớn
80 p | 37 | 5
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu lựa chọn các dịch vụ web ứng dụng trong xây dựng các hệ thống hướng dịch vụ dựa trên mô hình đồ thị
60 p | 14 | 5
-
Luận văn Thạc sĩ Máy tính: Phát triển hệ thống quản lý nhân sự và ứng dụng tại Bộ Công nghệ và Truyền thông Lào
59 p | 46 | 5
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu phương pháp phát hiện tự động Polyp dựa trên lọc Hessian, biến đổi Hough và đặc trưng biên trong ảnh y học
55 p | 21 | 4
-
Luận văn Thạc sĩ Máy tính: Xây dựng hệ thống đổ xe ô tô thông minh với thiết bị cảm biến
57 p | 41 | 3
-
Luận văn Thạc sĩ Máy tính: Xây dựng mã RSA trên vành End(ZnxZnm)
56 p | 28 | 3
-
Luận văn Thạc sĩ Máy tính: Theo vết đối tượng dựa trên RPN
62 p | 28 | 3
-
Luận văn Thạc sĩ Máy tính: Nghiên cứu một số phương pháp mã hóa có thể chối từ và xây dựng ứng dụng phục vụ công tác cơ yếu
72 p | 7 | 3
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn