Thiết kế đối chiếu Malware
(phần 3)
Bóc trần thủ đoạn của spammer, những kẻ dưới đáy xã hội internet cùng
một số kẻ khác với các nội dung che đậy, ẩn giấu malware thực bên trong.
Như đã tìm hiểu trong phần 2, bạn có thể thấy rằng không phải cái gì cũng
giống như mắt ta nhìn thấy. Những kẻ phát tán thư rác (spammer), những kẻ
ở dưới đáy xã hội ảo internet cùng một số kẻ khác luôn luôn tìm cách che đậy
malware thực bằng vỏ bọc giả rất ư thánh thiện. Trong phần tiếp theo của loạt
bài này, chúng ta sẽ tiếp tục lột bỏ và bóc trần các kiểu hành vi của chúng.
Trong phần 2, chúng ta đang dừng lại ở thời điểm nhận ra malware download
về thực tế không phải là file nén zip vô hại, mà là định dạng thực thi PE.
Chúng ta đã xác nhận chắc chắn điều này bằng việc mở malware trong trình
soạn thảo Hex. Trình soạn thảo này cho phép kiểm tra nội dung bên trong mà
không cần thực thi file. Ký tự “MZ” trong file cho biết thực sự đây là kiểu
định dạng file PE đã nói ở trên.
Bạn cũng nên nhớ rằng các thông tin này là
hoàn toàn thông suốt, chẳng có gì là ảo thuật
hay bí ẩn về nó cả. Không phải là kinh nghiệm tích luỹ quý báu từ các tổ
chức chính phủ, cũng không phải là hệ thống lý thuyết của các nhà lý luận.
Điều chúng ta có được ở đây là thiết kế đối chiếu (reverse engineering) được
đào sâu hơn và được áp dụng thử nghiệm để tìm hiểu về nghệ thuật ngầm
trong thế giới ảo. Tài liệu tham khảo rất phong phú và hoàn toàn miễn phí.
Bạn có thể tìm hiểu về định dạng PE trên website của Microsoft hay Google.
Hệ thống lý thuyết thiết kế đối chiếu và các công cụ của nó có thể tìm thấy dễ
dàng trên một số website như OpenRCE.
Các gói malware
Tại sao file malware lại cần nén nhỏ kích thước lại? Có thực sự đơn giản chỉ
là muốn thu gọn kích thước thực, hay quan trọng hơn là còn để tránh các bộ
quét virus. Có rất nhiều chương trình anti-virus sẽ loại bỏ malware ngay cả
khi nó được viết tuỳ biến. Kích thước chính là một điểm yếu của malware
trước các phần mềm diệt virus. Vì thế thế giới hacker mũ đen quyết định sử
dụng nhiều đường vòng khác, như tạo các trình đóng gói (packer).
Có một câu nói rằng “tạo hoá không tạo ra tất cả mọi thứ giống nhau”, và
hacker cũng vậy. Mỗi kẻ có một kiểu hay mức kỹ năng khác nhau. Một số thì
viết các gói tuỳ biến như Yoda, trong khi một số khác đơn giản chỉ dùng
UPX để đóng gói phần mềm malware. Xem lại hình minh hoạ bên dưới, phần
malware được mở trong trình soạn thảo Hex, để ý bạn sẽ thấy có các ký tự
ASCII “UPX”.
Hình 1
Nếu chưa tìm thấy, bạn hãy xem bên dưới các ký tự “MZ”. Như đã nói, MZ
là thể hiện cho định dạng file PE. Bên dưới nó một chút là xâu ký tự UPX.
Xâu ký tự này nói cho chúng ta biết file thực thi được đóng gói bởi trình gói
UPX. Thường thì việc mở một file đã đóng gói không phải là dễ dàng, nhưng
với UPX thì không khó khăn lắm. Bạn có thể mở gói dễ dàng bằng chính
công cụ đã đóng gói nó. Nhưng cần chú ý là một số file có thể được đóng gói
bằng UPX, nhưng được mã hoá hoặc thực hiện một số thủ thuật khiến việc
mở gói trở nên rất khó khăn.
Hãy để “bữa tiệc” được bắt đầu
Để mở gói file UPX, hãy bắt đầu bằng việc download một bản copy chương
trình UPX và cài đặt nó vào thư mục gốc của ổ C. Sau đó viện dẫn chính
chương trình và đưa thông tin dòng lệnh vào. Thông thường, cũng sẽ rất hữu
ích khi copy malware vào ổ C. Xem hình minh hoạ menu trợ giúp do UPX
cung cấp bên dưới sau khi gọi chương trình vào.
