SlideShare a Scribd company logo

Phân tích mã độc cơ bản - báo cáo thực tập

P
Phạm Trung Đức

Phân tích mã độc cơ bản trên Windows.

Software
1 of 31
Download to read offline
1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP Nội dung: Nghiên cứu tìm hiểu cơ bản về phân tích mã độc trên Windows. Nơi thực tập : Viện CNTT&TT-CDIT Người hướng dẫn : Thầy Hoàng Mạnh Thắng Tên sinh viên: Phạm Trung Đức Mã sinh viên: B13DCAT056 Hà nội, 08/ 2017
2 LỜI CẢM ƠN Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý thầy cô, gia đình và bạn bè. Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý thầy cô ở viện CDIT đã cùng với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường. Và đặc biệt, trong học kỳ này, khoa đã tổ chức cho chúng em được tiếp cận với môn học mà theo em là rất hữu ích đối với sinh viên ngành khoa An toàn thông tin cũng như tất cả các sinh viên thuộc các chuyên ngành khoa khác. Em xin chân thành cảm ơn thầy Hoàng Mạnh Thắng đã tận tâm hướng dẫn chúng em qua từng buổi học trên lớp cũng như những buổi nói chuyện, thảo luận về lĩnh vực sáng tạo trong nghiên cứu khoa học. Nếu không có những lời hướng dẫn, dạy bảo của thầy thì em nghĩ bài thu hoạch này của em rất khó có thể hoàn thiện được. Một lần nữa, em xin chân thành cảm ơn thầy. Bài thu hoạch được thực hiện trong khoảng thời gian gần 2 tuần. Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực sáng tạo trong nghiên cứu khoa học, kiến thức của em còn hạn chế và còn nhiều bỡ ngỡ. Do vậy, không tránh khỏi những thiếu sót là điều chắc chắn, em rất mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và các bạn học cùng lớp để kiến thức của em trong lĩnh vực này được hoàn thiện hơn.
3 Mục lục Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP............................................................. 4 I. Chức năng:....................................................................................................................4 II. Tổ chức: ........................................................................................................................4 III. Các lĩnh vực hoạt động: ............................................................................................4 Phần B: NỘI DUNG THỰC TẬP............................................................................. 6 I. Phần giới thiệu chung: .................................................................................................6 Tên chủ đề thực tập: Tìm hiểu cơ bản về cơ chế phân tích mã độc Win 32...................6 II. Các hoạt động thực tập:...............................................................................................6 Chương I: Nền tảng lý thuyết............................................................................. 7 Phần 1: Phân tích tĩnh......................................................................................................7 I, Xác định Malware:..................................................................................... 7 II, Phân tích các chuỗi nhúng trong Malware: .............................................. 8 III, Phân tích PE headers: .............................................................................. 9 Phần 2: Phân tích động. .................................................................................................12 A, Phát hiện thay đổi hành vi khi thực thi Malware: .................................. 12 B, Phát hiện hành vi thực thi của Malware ................................................. 13 Chương 2: Thực hiện Lab ................................................................................ 14 Lab 1: Phân tích tĩnh......................................................................................................14 Lab2: Phân tích động .....................................................................................................28
4 Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP I. Chức năng: Viện công nghệ Thông tin và Truyền thông CDIT, trước đây là Trung tâm Công nghệ thông tin CDIT, được Tổng giám đốc Tổng Công ty Bưu chính Viễn thông Việt Nam (VNPT) ký quyết định thành lập số 636/QĐ-TCCB-LĐ ngày 22 tháng 3 năm 1999, trên cơ sở sắp xếp lại hai đơn vị thành viên của các đơn vị trực thuộc Học viện Công nghệ Bưu chính Viễn thông:  Trung tâm Nghiên cứu Phát triển Phần mềm thuộc Viện KHKT Bưu điện  Trung tâm Đào tạo Phát triển Phần mềm thuộc Trung tâm Đào tạo BCVT1 (cũ) Từ 01/01/2012, để phù hợp với xu thế phát triển mới của VNPT và Học viện CNBCVT, Trung tâm Công nghệ Thông tin được đổi tên thành Viện công nghệ Thông tin và Truyền thông CDIT (Quyết định số 1973/QĐ-VNPT-TCCB ký ngày 07 tháng 11 năm 2011 của Tổng giám đốc Tập đoàn Bưu chính Viễn thông Việt Nam). Từ 01/7/2014, thực hiện các quyết định: 888/QĐ-TTg ngày 10/06/2014 của Thủ tướng Chính phủ về việc “Phê duyệt Đề án tái cơ cấu Tập đoàn Bưu chính Viễn thông Việt Nam VNPT giai đoạn 2014 – 2015” và 878/QĐ-BTTTT ngày 27/06/2014 của Bộ trưởng Bộ Thông tin và Truyền thông về việc “Chuyển Học viện Công nghệ Bưu chính Viễn thông từ Tập đoàn Bưu chính Viễn thông Việt Nam về trực thuộc Bộ Thông tin và Truyền thông quản lý”, cùng với các đơn vị trực thuộc Học viện, CDIT được chuyển về thuộc Bộ Thông tin và Truyền thông. II. Tổ chức:  Ban Lãnh đạo Viện  Phòng Tổng hợp  Phòng Hợp tác và Chuyển giao công nghệ  Phòng Nghiên cứu phát triển Hạ tầng và An toàn thông tin  Phòng Nghiên cứu phát triển Ứng dụng Đa phương tiện  Phòng Nghiên cứu phát triển Dịch vụ III.Các lĩnh vực hoạt động: Giải thưởng Sáng tạo Khoa học Kỹ thuật Việt Nam (VIFOTEC)
5 1. Năm 2000, Giải Ba – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Máy chủ Dịch vụ Đa phương tiện MUCOS” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 2. Năm 2000, Giải Khuyến Khích – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Cung cấp dịch vụ Thư thoại Thư thông tin Bưu điện” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 3. Năm 2000, Giải Nhì – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Tính cước và Chăm sóc khách hàng BCSS” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 4. Năm 2002, Giải Nhì – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Nhắn tin ngắn qua mạng thông tin di động SMSC” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 5. Năm 2002, Giải Ba – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Thông tin Giáo Dục” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam. 6. Năm 2007, Giải Khuyến khích - Giải thưởng Sáng tạo KHKT VIFOTEC dành cho lĩnh vực Công nghệ thông tin choPhần mềm phục vụ “Quản lý, điều hành và doanh thác các dịch vụ chuyển tiền dựa trên qui định nghiệp vụ mới”. Các sản phẩm được hợp chuẩn quốc gia 1. Năm 1999, Hệ thống Máy chủ thông tin đa phương tiện MUCOS-1. 2. Năm 2000, Phần mềm tính cước và in hóa đơn cho Bưu điện cấp tỉnh, thành. 3. Năm 2001, Gói phần mềm giải pháp mạng Intranet/ISP COSA/ISP. 4. Năm 2001, Phần mềm quản lý mạng ngoại vi CABMAN/GIS. 5. Năm 2004, Hệ thống nhắn tin ngắn SMSC. 6. Năm 2004, Máy điện thoại tự động loại cố định. 7. Năm 2006, Phần mềm hệ thống chuyển mạch mềm.
6 Phần B: NỘI DUNG THỰC TẬP I. Phần giới thiệu chung: Chỉ mục Nội dung Đặt vấn đề Tìm hiểu về cách phân tích cơ bản về Malware trên Windows Kết quả cần đạt Sử dụng thành thạo được các công cụ Tools để phân tích cơ bản được Malware trên Windows bằng hai phương pháp phân tích động và phân tích tĩnh. Phương pháp thực hiện Nghiên cứu, tìm hiểu, google. Nội dung - Phân tích tĩnh Malware. - Phân tích động Malware. Tên chủ đề thực tập: Tìm hiểu cơ bản về cơ chế phân tích mã độc Win 32. II. Các hoạt động thực tập: Hoạt động Nội dung Đào tạo Đào tạo về an toàn bảo mật mạng doanh nghiệp Hướng nghiệp Hướng nghiệp về các ngành nghề trong CNTT
7 Chương I: Nền tảng lý thuyết Mở đầu: Việc phân tích Malware trong thời đại các nhu cầu về an toàn thông tin ngày nay với nhu cầu lớn là điều cần thiết. Qua hai chức năng phân tích tĩnh và phân tích động một Malware Trojan, bài tìm hiểu giới đây giúp người đọc thực hiện, nắm rõ cơ chế thực thi phân tích mã độc cơ bản qua việc sử dụng các công cụ phổ biến như PE Studio, ProToc. Phần 1: Phân tích tĩnh. Phân tích tĩnh được hiểu đơn giản là tìm hiểu thông tin, các chức năng và cách vận động của một Malware qua các chương trình bên thứ ba mà không cần phải thực thi nó. I, Xác định Malware: Các tools trong Lab đều là miễn phí, và dễ sử dụng cho người mới bắt đầu. 1. File: http://gnuwin32.sourceforge.net/packages/file.htm 2. ExeinfoPE: http://exeinfo.atwebpages.com/ 3. TrID: http://mark0.net/soft-trid-e.html 4. ComputeHash: http://www.subisoft.net/ComputeHash.aspx Sử dụng hàm băm trong mã hóa để xác định xem Malware có trên cơ sở dữ liệu của các trang như VirusTotal. Đây là những điều ta cần rút ra và đặt câu hỏi trong các phiên phân tích Malware tĩnh: - Đây là loại File gì? - Đã có bất kì thông tin gì về nó chưa? - Các chuỗi nhúng trong File cho ta biết những gì? - Có gì khác thường ở PE Headers của file không?
8 - Malware đã được đóng gói chưa? Và nếu có, thì nó sử dụng cơ chế đóng gói nào. Xác định loại tệp thực thi: - Xác định loại file mà ta đang phân tích. - Những kẻ tấn công có thể ngụy trang loại file này. (Như là cơ chế Double Extension) - Xác định được cơ chế đóng gói cho Malware. Tổng kết: Việc nhận biết file Malware giúp ta xác định được rõ những cái cần phân tích. Ngoài ra, việc sử dụng hàm băm mã hóa cũng giúp chúng ta xác định được các phân tích khác đã tồn tại trên mạng. II, Phân tích các chuỗi nhúng trong Malware: Tools sử dụng: 1. String: https://docs.microsoft.com/en-us/sysinternals/downloads/strings 2. BinText: https://www.mcafee.com/us/downloads/free-tools/bintext.aspx 3. XorSearch: https://blog.didierstevens.com/programs/xorsearch/ C:UserNameDesktop > String –o budget –malware.exe > strings.txt Trong phần này, ta sử dụng phương pháp phân tích chuỗi nhúng, hoặc các chuỗi ẩn trong Malware để có thể xác định được những thông tin hữu ích có thể cho việc phân tích. Phân tích chuỗi nhúng là việc tách và quan sát các chuỗi nhúng trong file có thể đọc được như URL, filename… Dưới đây ta có ví dụ về chuỗi nhúng: Việc phân tích chuỗi nhúng trong một tệp có thể giúp chúng ta biết được những thông tin quan trọng như tên, địa chỉ IP, tên tác giả phần mềm.
9 Có hai loại chuỗi chúng ta sẽ sử dụng khi phân tích: ASCII và Unicode, trong đó tính chất của chúng được minh họa dưới đây: Việc phân tích các chuỗi nhúng sẽ có rất nhiều chuỗi không có giá trị, việc chắt lọc chuỗi giá trị là kĩ năng cần thiết. Đôi khi các Malware đã được đóng gói để đánh lừa việc phân tích, việc này đặt thêm vấn đề phân tích các chuỗi ẩn được nhúng trong Malware. Các chuỗi ẩn trong Malware có thể được giấu nhờ các thủ thuật sau: - Packers (chương trình đóng gói) có thể đặt các giá trị ngẫu nhiên hoặc trông có vẻ hợp lí để đánh lừa người dùng. - Mã hóa chuỗi để người dùng không thể đọc được bằng hai phương pháp: Base 64 và XOR III, Phân tích PE headers: Tools sử dụng:
10 1. CFF Explore: http://www.ntcore.com/exsuite.php 2. PE Studio: https://www.winitor.com/ Windows PE headers cho phép cung cấp những thông tin cần thiết trong Hệ điều Hành để chạy một chương trình. Vì Headers có thể tiết lộ các thông tin ở mức độ thấp, nên ta có thể sử dụng nó để phân tích Malware: - Trích xuất những thông tin quí giá từ PE Header - Xác định chức năng Malware. - Có thể xác định nguồn gốc Malware. PE Header được sử dụng bởi Windows vì hai lí do: - Nó chứa tất cả những thông tin cần thiết cho HĐH để thực thi chương trình như là những DLL được nạp, đây là chương trình sử dụng GUI hay Console… - Chỉ dẫn cho HĐH những thông tin được nạp vào bộ nhớ. Ta có thể quan sát sơ đồ chức năng của PE Headers trong Windows, như File-headers, Optional-headers… Ví dụ: nhờ có PE File Headers mà ta có thể xác định ngày tháng xuất hiện Malware
11 PE Sections: là các phân vùng của dữ liệu với tên và đặc tính của nó. Rất có ích nếu cần xác định Malware có bị đóng gói hay không. VD: Nếu thấy các Section PE có tên như là UPX1, UPX2, UPX3 thì có thể xác định là Malware được đóng gói bởi phần mềm nguồn mở UPX. Khi điều tra PE Headers, ta cần phải quan sát kĩ khu vực Import Address Table bao gồm một danh sách các DLL và API được nạp bởi Malware, từ đó cho biết được hành vi chức năng hoạt động của Malware. Các API phổ biến trong hành vi của Malware:
12 Resource: là các dữ liệu thô như là Icon, Picture, Images, Menu đi kèm với chương trình Malware. Những thông tin trong Resource có thể đem lại những thông tin thú vị. Kết luận: PE Headers có thể được sử dụng để phân tích các Section, IAT từ đó xác định các thông tin về Malware như thời điểm được tạo, chức năng hoạt động và cách nạp hàm sử dụng trong HĐH để thực thi chương trình. Phần 2: Phân tích động. Phân tích động là việc thực thi chương trình Malware rồi quan sát những sự thay đổi về hệ thống và các hành vi hoạt động, từ đó ta có thể hiểu rõ được cơ chế hoạt động của phần mềm độc hại. Việc kết hợp phân tích động và tĩnh một phần mềm độc hại giúp ta có cái nhìn tổng quan về Malware. Các câu hỏi được đặt ra khi phân tích động: - Khi được thực thi, Malware có tác động hay thay đổi file thế nào? - Khi được thực thi, Malware tác động lên Registry trong windows thế nào? - Khi được thực thi, Malware có kết nối mạng nào không? - Cơ chế để Malware tự thực thi khởi động? - Nó còn chạy chương trình nào không? Cơ chế đánh lừa của Malware bao gồm: - Tác động vào Registry - Thay đổi thứ tự tìm kiếm DLL để nạp chương trình độc hại. A, Phát hiện thay đổi hành vi khi thực thi Malware: Tool sử dụng: 1. Regshot: https://sourceforge.net/projects/regshot/ 2. FakeNet: https://github.com/fireeye/flare-fakenet-ng Để thực hiện các bước này, ta quét một lượt các file hệ thống, sau đó chạy Malware, rồi sau đó quét thêm một lượt nữa, để xác định được những điểm khác biệt trước và sau khi thực thi chương trình. Các làm này có lợi thế là xác định được tính toàn vẹn của các tệp và registry
13 trong Windows, tuy nhiên nó không xác định được đối tượng gây ra sự thay đổi, và lưu được quá trình các tệp tạm thời do Malware xuất hiện. B, Phát hiện hành vi thực thi của Malware Tool sử dụng: 1. ProcMon: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon 2. ProcDot: http://www.procdot.com/ Trong quá trình này, ta quan sát hành vi của Malware bằng hai công cụ ProcMon và ProcDot, nhằm phát hiện ra những thay đổi Malware gây ra khi được thực thi.
14 Chương 2: Thực hiện Lab Link Malware lab: https://drive.google.com/drive/folders/0BwIb8VrPCDKCVEstYlFjSzhGWW8 Lab 1: Phân tích tĩnh Các tool thực hiện: 1. File: http://gnuwin32.sourceforge.net/packages/file.htm 2. ExeinfoPE: http://exeinfo.atwebpages.com/ 3. TrID: http://mark0.net/soft-trid-e.html 4. ComputeHash: http://www.subisoft.net/ComputeHash.aspx 5. String: https://docs.microsoft.com/en-us/sysinternals/downloads/strings 6. BinText: https://www.mcafee.com/us/downloads/free-tools/bintext.aspx 7. XorSearch: https://blog.didierstevens.com/programs/xorsearch/ 8. CFF Explore: http://www.ntcore.com/exsuite.php 9. PE Studio: https://www.winitor.com/ Chúng ta sẽ tận dụng tất cả những kiến thức vừa qua thực hiện phân tích tĩnh trên Malware mà không cần thực thi để xác định nó sẽ làm gì, nó có thể làm gì, nó liên lạc với bên nào. Trong phần phân tích tĩnh cơ bản, chúng ta vẫn tìm đặc tính Malware qua ba bước phân tích tệp, phân tích chuỗi nhúng, và phân tích PE Headers của tệp. Phân tích tệp:
15 Malware trông có vẻ sử dụng double extension, có icon Excel nhưng thực ra là đuôi thực thi .exe nhằm đánh lừa người dùng. Xác định file, ta dùng câu lệnh file malware.exe, sau đó xác định được file này là PE32 cho Window.
16 Đến lượt Trid, thì chương trình xác định được file Malware.exe chiếm phần lớn code là loại nén file UPX. Đây là điều tốt, khi giờ đây ta có thể xác định cách giải nén và phân tích Malware, chỉ cần sử dụng chương trình mã nguồn mở UPX. Đến ExeInfoPE, ta cũng xác định được phiên bản UPX đóng gói Malware là 3.92 Chúng ta sử dụng câu lệnh UPX để giải nén Malware.exe, lưu ý, file nén ra sẽ đặt tên là Malware-unpacked.exe để không bị ghi đè lên file Malware.exe gốc.
17 Sau đó tiếp tục qui trình như vậy với file Malware-unpacked.exe. Phân tích bằng Trids, ta có thể thấy mã nguồn Malware là Microsoft Visual C++
18 ExeInfoPE thì cảnh báo đây là mã nguồn thực thi Delphi/C++. Phân tích chuỗi nhúng: Tiếp đến đây, chúng ta phân tích các chuỗi nhúng có sẵn trong Malware để xác định tính chất, đặc tính cơ bản nhất của Malware. Dùng Bintext đẻ phân tích chuỗi nhúng. Ta phát hiện ra nhiều điều thú vị. Microsoft Visual C++ Runtime Library String, xác nhận rằng phần lớn của nó là C++
19 Tiếp đến, chúng ta phát hiện ra đoạn mã HTML JavaScript, có dòng chữ “Windows Security Center…..”, đặt ra nghi vấn rằng Malware này là Fake Anti Virus. Kéo xuống một chút, ta phát hiện URL với địa chỉ IP 69.50.175.81 và có host Download.Bravesentry.com, điều này đặt ra nghi vấn Malware sẽ kết nối với Host này để tải dữ liệu độc hại về máy. Chúng ta sẽ thực hiện phân tích động sau để xác nhận rằng liệu file Malware có đang cố gắng kết nối đến host bravesentry.com để tải mã độc về không. %u, %p có thể là username và password.
20 Kéo xuống dưới có String C:Program FilesBraveSentryBraveSentry.exe, nghi vấn rằng Malware khi chạy sẽ cài đặt file BraveSentry.exe vào đường dẫn kia. Chuỗi cảnh báo của Fake Antivirus Malware được nhúng sẵn.
21 Registry Key: SOFTWAREMicrosoftWindowsCurrentVersionRun: đây là Key trong Windows cho phép chương trình được thực thi mỗi khi khởi động Hệ Điều Hành. C:Windowsxpupdate.exe -> rất có thể Malware sẽ update vào đó. Nhưng đường dẫn C:Windows là được bảo vệ bởi cơ chế an ninh User Account Control đặc trưng của Windows nên khi thực hiện phân tích động file Malware.exe, ta phải thực thi bằng quyền Admin để xác nhận xem file Virus có update vào đường dẫn Windows không. Các trường liên quan đến chỉnh sửa Register trong Windows. Và khi kiểm tra chuỗi nhúng trong file Malware.exe, ta không phát hiện được ra bất kì chuỗi nhúng được mã hóa nào cả. Phân tích PE Headers tệp:
22 Đến lượt PE Header, sử dụng PE Studio, ta quan sát time-stamp từ File-header, có thể thấy được Malware được tạo vào tháng 5/2007. Nhưng trường time-stamp có thể bị làm giả để đánh lừa các phần mềm diệt virus cũng như là người dùng. Trong phần Optional-header, subsystem, ta có thể thấy phần GUI Header, đặc trưng cho cửa sổ giao diện, với khả năng là cửa sổ Pop-up sẽ hiện ra nếu chạy chương trình Malware.exe
23 Trong phần Library, Malware.exe có 7 thư viện được nạp vào. Nằm trong danh sách bị cảnh báo, chỉ có thư viện wsock32.dll là nghi vấn. Khi tra cứu trên mạng, wsock32.dll là thư viện C++ được nạp vào với mục đích là tạo ra kết nối mạng, giúp Malware có khả năng kết nối với host chủ.
24 Trong phần Imports, tra cứu các API của Malware.exe, ta có thể phát hiện ra khả năng thực hiện của Malware, bao gồm WriteFile, DeleteFile. Hàm Sleep (giúp cho phần mềm độc hại chưa thực thi luôn ngay khi chạy để tránh bị phát hiện bởi người sử dụng, việc này cũng tạo lợi thế cho Malware khi ta phân tích động và không thể phát hiện ra có sự thay đổi nào lên hệ thống) WinExec: thực thi một chương trình khác. Rất có thể Malware sẽ thực thi chương trình được tải về từ host chủ BraveSentry của nó. RegDeleteKeyA, RegSetValueExA, RegDeleteValueA: đây là ba hàm chỉnh sửa các trường Register trong Windows. Bằng cách nạp
25 vào các thư viện này, thì Malware sẽ tác động chỉnh sửa Register Key trong Windows, giúp nó có khả năng khởi động cùng hệ điều hành. Recourses: Trong trường này, file Malware.exe có type là icon – giả file Excel như ta đã thấy. Và có ngôn ngữ Russia, đặt ra vấn đề có thể file mã độc này được tạo ra từ Nga.
26 PE Studio có sẵn chế độ Virus Total tích hợp trong chương trình. Sử dụng Virus Total phân tích, có thể thấy phần lớn các Engine AV đều phát hiện và định dạng con Malware.exe là kiểu Trojan, FakeAV lừa đảo.
27 Tổng kết: Sau khi phân tích tĩnh Malware ví dụ, ta có thể thấy được những đặc tính của mã độc: Bước thực hiện Tổng kết đặc tính Malware Phân tích file - Phát hiện Malware được đóng gói nhờ UPX packed, từ đó ta có thể sử dụng phần mềm UPX để giải nén Malware để phân tích sâu hơn. - Phát hiện Malware có nền tảng Visual C++ Win 32 Phân tích chuỗi nhúng - Tên miền download.bravestrentry.com - Phát hiện địa chỉ IP mà Malware kết nối tới 69.50.175.181 - Phát hiện file lạ BraveStrentry.exe có thể được ghi - Phát hiện đường dẫn Registry SOFTWAREMicrosoftWindowsCurrentVersion Run: chứng tỏ Malware can thiệp vào đây để có thể Boot vào OS. - Phát hiện chuỗi cảnh báo “Your computer is in Dangerous”, chứng tỏ Malware này giả dạng FakeAntivirus Phân tích PE Headers - Phát hiện được thông tin May 7, 2007 – có thể là ngày viết Malware. - Thay đặc tính của WriteFile. - Có Winexe, và wsock32.dll chứng tỏ Malware có API kết nối mạng ra bên ngoài.
28 Lab2: Phân tích động 1. Tools thực hiện: Regshot: https://sourceforge.net/projects/regshot/ 2. FakeNet: https://github.com/fireeye/flare-fakenet-ng 3. ProcMon: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon 4. ProcDot: http://www.procdot.com/ Ta sử dụng RegShot để “chụp” lại các file hệ thống trong Windows. Chụp một lần trước khi thực thi Malware.exe, và chụp lần thứ hai khi Malware đã chạy xong, sau đó so sánh sự thay đổi trước và sau của Malware tác động lên hệ thống. Thực thi Malware, ta dùng quyền Admin để theo dõi xem hành vi Malware tác động lên file Windows.
29 Sử dụng FakeNet để tạo môi trường mạng ảo khiến Malware tưởng rằng máy ảo đang có kết nối. Sau khi thực thi một lúc, FakeNet đã phát hiện ra Malware đang kết nối với máy chủ download.bravesentry.com đúng như dự đoán ban đầu khi chúng ta phân tích chuỗi nhúng ở Lab đầu tiên.
30 RegShot sau khi quét xong lần thứ hai, sẽ xuất ra một file text so sánh sự thay đổi trước và sau khi thực thi Malware.exe. Ta có thể thấy hai tệp đã được thêm vào hệ điều hành, đúng như dự đoán trước đó trong khi phân tích tĩnh. Có thể thấy được Malware cập nhập file xpupdate.exe vào đường dẫn này. Sử dụng Procmon, ta phát hiện ra Malware.exe đã Copy bản gốc của nó từ ngoài Desktop rồi xóa bản gốc. Sau đó thay tên thành xpupdate.exe để tại đường dẫn Windows nhằm tác động lên hệ thống. Sau khi phân tích động Malware ví dụ, ta rút ra kết luận sau: Bước thực hiện Tổng kết đặc tính Malware Quan sát hành vi - Thay đổi file hệ thống C:Windowsxpupdate.exe - Install.dat - Xuất hiện giá trị Registry HKCU.
31 - Malware cố gắng kết nối và download nội dung lạ từ download.bravesentry.com Tổng kết: Sau khi kết hợp hai phương pháp phân tích tĩnh và phân tích động Malware với một loạt các công cụ khác nhau, ta có thể đưa ra kết luận về các hành vi đặc trưng nhất của một mã độc như nguồn gốc, cách thức hoạt động, nguy cơ nó có thể gây ra. Trên đây là những đặc trưng cơ bản nhất về phân tích mã độc, để có thể đi sâu và kết luận lâu dài hơn, những kĩ năng cao cấp hơn về phân tích mã độc như dịch ngược, tự động hóa cần được áp dụng. Các kĩ năng cao cấp trong phân tích mã độc này có thể được nghiên cứu cho các đồ án lớn sau này.

Recommended

Báo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềmBáo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềmThuyet Nguyen
 
Hướng dẫn sử dụng phần mềm packet tracer
Hướng dẫn sử dụng phần mềm packet tracerHướng dẫn sử dụng phần mềm packet tracer
Hướng dẫn sử dụng phần mềm packet tracerBình Tân Phú
 
Bài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITBài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITNguynMinh294
 
Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...
Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...
Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...The Boss
 
Đề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đ
Đề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đĐề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đ
Đề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đDịch vụ viết bài trọn gói ZALO 0917193864
 
Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuitePhạm Trung Đức
 
Cơ sở an toàn thông tin chương 2
Cơ sở an toàn thông tin chương 2Cơ sở an toàn thông tin chương 2
Cơ sở an toàn thông tin chương 2NguynMinh294
 
Phân tích thiết kế hệ thống thông tin PTIT
Phân tích thiết kế hệ thống thông tin PTIT Phân tích thiết kế hệ thống thông tin PTIT
Phân tích thiết kế hệ thống thông tin PTIT NguynMinh294
 

Recommended

Báo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềmBáo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềmThuyet Nguyen
 
Hướng dẫn sử dụng phần mềm packet tracer
Hướng dẫn sử dụng phần mềm packet tracerHướng dẫn sử dụng phần mềm packet tracer
Hướng dẫn sử dụng phần mềm packet tracerBình Tân Phú
 
Bài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITBài giảng kiểm thử xâm nhập PTIT
Bài giảng kiểm thử xâm nhập PTITNguynMinh294
 
Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...
Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...
Báo cáo đồ án tốt nghiệp "Ứng dụng trí tuệ nhân tạo nhận dạng chữ viết tay xâ...The Boss
 
Đề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đ
Đề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đĐề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đ
Đề tài: Quản lý cửa hàng vật liệu xây dựng, HAY, 9đDịch vụ viết bài trọn gói ZALO 0917193864
 
Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuitePhạm Trung Đức
 
Cơ sở an toàn thông tin chương 2
Cơ sở an toàn thông tin chương 2Cơ sở an toàn thông tin chương 2
Cơ sở an toàn thông tin chương 2NguynMinh294
 
Phân tích thiết kế hệ thống thông tin PTIT
Phân tích thiết kế hệ thống thông tin PTIT Phân tích thiết kế hệ thống thông tin PTIT
Phân tích thiết kế hệ thống thông tin PTIT NguynMinh294
 
Luận văn: Xây dựng website quản lý nhà hàng, HOT
Luận văn: Xây dựng website quản lý nhà hàng, HOTLuận văn: Xây dựng website quản lý nhà hàng, HOT
Luận văn: Xây dựng website quản lý nhà hàng, HOTDịch vụ viết bài trọn gói ZALO 0917193864
 
Đề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOT
Đề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOTĐề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOT
Đề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOTDịch vụ viết bài trọn gói ZALO: 0909232620
 
Đề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đ
Đề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đĐề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đ
Đề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đDịch vụ viết bài trọn gói ZALO 0917193864
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
 
Luận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAY
Luận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAYLuận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAY
Luận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAYDịch vụ viết bài trọn gói ZALO: 0909232620
 
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đLuận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đDịch vụ viết bài trọn gói ZALO: 0909232620
 
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTTSlide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTTHiệu Nguyễn
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITNguynMinh294
 
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minh
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minhBáo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minh
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minhnataliej4
 
Bài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITBài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITNguynMinh294
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đDịch vụ viết bài trọn gói ZALO: 0909232620
 
Luận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAY
Luận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAYLuận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAY
Luận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
firewall
firewallfirewall
firewallKim Chan
 
Bài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITBài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITNguynMinh294
 
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...Viết thuê trọn gói ZALO 0934573149
 
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đĐề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đDịch vụ viết bài trọn gói ZALO 0917193864
 
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Thịt Xốt Cà Chua
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snortanhkhoa2222
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAYDịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
Bài giảng công nghệ phần mềm PTIT
Bài giảng công nghệ phần mềm PTITBài giảng công nghệ phần mềm PTIT
Bài giảng công nghệ phần mềm PTITNguynMinh294
 
Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...
Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...
Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...DV Viết Luận văn luanvanmaster.com ZALO 0973287149
 
Đề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đ
Đề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đĐề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đ
Đề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đDịch vụ viết bài trọn gói ZALO 0917193864
 

More Related Content

What's hot

Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
 
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTTSlide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTTHiệu Nguyễn
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITNguynMinh294
 
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minh
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minhBáo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minh
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minhnataliej4
 
Bài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITBài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITNguynMinh294
 
Bài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITBài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITNguynMinh294
 
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...Viết thuê trọn gói ZALO 0934573149
 
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Thịt Xốt Cà Chua
 
Bài giảng công nghệ phần mềm PTIT
Bài giảng công nghệ phần mềm PTITBài giảng công nghệ phần mềm PTIT
Bài giảng công nghệ phần mềm PTITNguynMinh294
 

What's hot (20)

Luận văn: Xây dựng website quản lý nhà hàng, HOT
Luận văn: Xây dựng website quản lý nhà hàng, HOTLuận văn: Xây dựng website quản lý nhà hàng, HOT
Luận văn: Xây dựng website quản lý nhà hàng, HOT
 
Đề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOT
Đề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOTĐề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOT
Đề tài: Tìm hiểu về nhận dạng vân tay và khả năng ứng dụng, HOT
 
Đề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đ
Đề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đĐề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đ
Đề tài: Xây dựng phần mềm quản lý quán cà phê, HOT, 9đ
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
 
Luận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAY
Luận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAYLuận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAY
Luận văn: Khai phá dữ liệu; Phân cụm dữ liệu, HAY
 
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đLuận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
Luận văn: Ứng dụng kỹ thuật học máy vào phát hiện mã độc, 9đ
 
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTTSlide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
 
Bài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTITBài giảng ký thuật theo dõi giám sát mạng PTIT
Bài giảng ký thuật theo dõi giám sát mạng PTIT
 
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minh
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minhBáo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minh
Báo cáo đồ án tôt nghiệp: Xây dựng Website bán hàng thông minh
 
Bài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITBài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTIT
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
 
Luận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAY
Luận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAYLuận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAY
Luận văn: Xây dựng ứng dụng Android xem video trực tuyến, HAY
 
firewall
firewallfirewall
firewall
 
Bài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTITBài giảng mật mã học cơ sở PTIT
Bài giảng mật mã học cơ sở PTIT
 
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...
Đề tài: Nghiên cứu Hệ thống Honeypots và Honeynet nhằm nghiên cứu một số kỹ t...
 
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đĐề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
 
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snort
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
 
Bài giảng công nghệ phần mềm PTIT
Bài giảng công nghệ phần mềm PTITBài giảng công nghệ phần mềm PTIT
Bài giảng công nghệ phần mềm PTIT
 

Similar to Phân tích mã độc cơ bản - báo cáo thực tập

ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...nataliej4
 
Bao cao le trung phong
Bao cao le trung phongBao cao le trung phong
Bao cao le trung phongNguyen Truong
 
Luận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.doc
Luận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.docLuận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.doc
Luận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.docsividocz
 
Xây dựng hệ thống hỗ trợ thi trắc nghiệm
Xây dựng hệ thống hỗ trợ thi trắc nghiệmXây dựng hệ thống hỗ trợ thi trắc nghiệm
Xây dựng hệ thống hỗ trợ thi trắc nghiệmVcoi Vit
 
Udcnttk2 nhóm 2 đồ án lý thuyết
Udcnttk2 nhóm 2 đồ án lý thuyếtUdcnttk2 nhóm 2 đồ án lý thuyết
Udcnttk2 nhóm 2 đồ án lý thuyếtmrnxthanh
 
Bao cao thuc tap athena
Bao cao thuc tap athenaBao cao thuc tap athena
Bao cao thuc tap athenaPac CE
 
Triển khai hệ thống zoobies, botnet trên mạng internet
Triển khai hệ thống zoobies, botnet trên mạng internetTriển khai hệ thống zoobies, botnet trên mạng internet
Triển khai hệ thống zoobies, botnet trên mạng internetLong Vũ
 
Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4
Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4
Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4Ngọc Nga
 
Phát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ Comment
Phát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ CommentPhát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ Comment
Phát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ CommentDịch vụ Làm Luận Văn 0936885877
 
BaoCaoThucTap_NguyenTruongNhatNam
BaoCaoThucTap_NguyenTruongNhatNamBaoCaoThucTap_NguyenTruongNhatNam
BaoCaoThucTap_NguyenTruongNhatNamNguyễn Nam
 

Similar to Phân tích mã độc cơ bản - báo cáo thực tập (20)

Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...
Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...
Phân Tích Dữ Liệu Phân Hạng Tín Dụng Dựa Trên Bộ Dữ Liệu Xyz Bằng Phần Mềm Or...
 
Đề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đ
Đề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đĐề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đ
Đề tài: Nghiên cứu thuật toán K-nearest neighbor, HAY, 9đ
 
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
 
Bao cao le trung phong
Bao cao le trung phongBao cao le trung phong
Bao cao le trung phong
 
Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ
Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đĐề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ
Đề tài: Phương pháp bảo mật bằng công nghệ bức tường lửa, 9đ
 
Luận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.doc
Luận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.docLuận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.doc
Luận Văn Phát Hiện Lỗ Hổng Bảo Mật Trong Mạng Lan Dựa Trên Phần Mềm Nguồn Mở.doc
 
Đề tài: Hệ thống giám sát nông nghiệp bằng công nghệ Iot, HAY
Đề tài: Hệ thống giám sát nông nghiệp bằng công nghệ Iot, HAYĐề tài: Hệ thống giám sát nông nghiệp bằng công nghệ Iot, HAY
Đề tài: Hệ thống giám sát nông nghiệp bằng công nghệ Iot, HAY
 
Xây dựng hệ thống hỗ trợ thi trắc nghiệm
Xây dựng hệ thống hỗ trợ thi trắc nghiệmXây dựng hệ thống hỗ trợ thi trắc nghiệm
Xây dựng hệ thống hỗ trợ thi trắc nghiệm
 
Udcnttk2 nhóm 2 đồ án lý thuyết
Udcnttk2 nhóm 2 đồ án lý thuyếtUdcnttk2 nhóm 2 đồ án lý thuyết
Udcnttk2 nhóm 2 đồ án lý thuyết
 
dccthp nmcntt
dccthp nmcnttdccthp nmcntt
dccthp nmcntt
 
Đề tài: Xây dựng phần mềm diệt virus Ictuav, HAY
Đề tài: Xây dựng phần mềm diệt virus Ictuav, HAYĐề tài: Xây dựng phần mềm diệt virus Ictuav, HAY
Đề tài: Xây dựng phần mềm diệt virus Ictuav, HAY
 
Bao cao thuc tap athena
Bao cao thuc tap athenaBao cao thuc tap athena
Bao cao thuc tap athena
 
Phát hiện lỗ hổng bảo mật trong mạng LAN dựa trên phần mềm nguồn mở
Phát hiện lỗ hổng bảo mật trong mạng LAN dựa trên phần mềm nguồn mởPhát hiện lỗ hổng bảo mật trong mạng LAN dựa trên phần mềm nguồn mở
Phát hiện lỗ hổng bảo mật trong mạng LAN dựa trên phần mềm nguồn mở
 
Triển khai hệ thống zoobies, botnet trên mạng internet
Triển khai hệ thống zoobies, botnet trên mạng internetTriển khai hệ thống zoobies, botnet trên mạng internet
Triển khai hệ thống zoobies, botnet trên mạng internet
 
Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4
Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4
Đồ Án Lý Thuyết Ứng Dụng Công Nghệ Thông Tin Nhóm 4
 
Bao cao cuoi ky
Bao cao cuoi kyBao cao cuoi ky
Bao cao cuoi ky
 
Phát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ Comment
Phát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ CommentPhát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ Comment
Phát Triển Ứng Dụng Tự Động Lấy Mã Hàng Và Thông Tin Người Mua Hàng Từ Comment
 
Luận văn: Cải tiến công cụ SEO PANEL, HAY, 9đ
Luận văn: Cải tiến công cụ SEO PANEL, HAY, 9đLuận văn: Cải tiến công cụ SEO PANEL, HAY, 9đ
Luận văn: Cải tiến công cụ SEO PANEL, HAY, 9đ
 
Tường lửa ip cop
Tường lửa ip copTường lửa ip cop
Tường lửa ip cop
 
BaoCaoThucTap_NguyenTruongNhatNam
BaoCaoThucTap_NguyenTruongNhatNamBaoCaoThucTap_NguyenTruongNhatNam
BaoCaoThucTap_NguyenTruongNhatNam
 

More from Phạm Trung Đức

Windows Malware Forensic - rà soát gỡ bỏ mã độc
Windows Malware Forensic - rà soát gỡ bỏ mã độcWindows Malware Forensic - rà soát gỡ bỏ mã độc
Windows Malware Forensic - rà soát gỡ bỏ mã độcPhạm Trung Đức
 
Báo cáo tốt nghiệp Android RSA mã hóa
Báo cáo tốt nghiệp Android RSA mã hóaBáo cáo tốt nghiệp Android RSA mã hóa
Báo cáo tốt nghiệp Android RSA mã hóaPhạm Trung Đức
 
An toàn hệ điều hành PTIT
An toàn hệ điều hành PTITAn toàn hệ điều hành PTIT
An toàn hệ điều hành PTITPhạm Trung Đức
 
Phap luat chinh sach ATTT - ITSM
Phap luat chinh sach ATTT - ITSMPhap luat chinh sach ATTT - ITSM
Phap luat chinh sach ATTT - ITSMPhạm Trung Đức
 
Kĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềmKĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềmPhạm Trung Đức
 
Kĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềmKĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềmPhạm Trung Đức
 
Đường lối của Đảng xây dựng văn hóa thời kì Đổi mới
Đường lối của Đảng xây dựng văn hóa thời kì Đổi mớiĐường lối của Đảng xây dựng văn hóa thời kì Đổi mới
Đường lối của Đảng xây dựng văn hóa thời kì Đổi mớiPhạm Trung Đức
 
Slide về việc bắt gói tin trên Python2.7
Slide về việc bắt gói tin trên Python2.7Slide về việc bắt gói tin trên Python2.7
Slide về việc bắt gói tin trên Python2.7Phạm Trung Đức
 
Lập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng PythonLập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng PythonPhạm Trung Đức
 

More from Phạm Trung Đức (10)

Windows Malware Forensic - rà soát gỡ bỏ mã độc
Windows Malware Forensic - rà soát gỡ bỏ mã độcWindows Malware Forensic - rà soát gỡ bỏ mã độc
Windows Malware Forensic - rà soát gỡ bỏ mã độc
 
Báo cáo tốt nghiệp Android RSA mã hóa
Báo cáo tốt nghiệp Android RSA mã hóaBáo cáo tốt nghiệp Android RSA mã hóa
Báo cáo tốt nghiệp Android RSA mã hóa
 
An toàn hệ điều hành PTIT
An toàn hệ điều hành PTITAn toàn hệ điều hành PTIT
An toàn hệ điều hành PTIT
 
Phap luat chinh sach ATTT - ITSM
Phap luat chinh sach ATTT - ITSMPhap luat chinh sach ATTT - ITSM
Phap luat chinh sach ATTT - ITSM
 
Kĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềmKĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềm
 
Kĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềmKĩ thuật bảo trì phần mềm
Kĩ thuật bảo trì phần mềm
 
Đường lối của Đảng xây dựng văn hóa thời kì Đổi mới
Đường lối của Đảng xây dựng văn hóa thời kì Đổi mớiĐường lối của Đảng xây dựng văn hóa thời kì Đổi mới
Đường lối của Đảng xây dựng văn hóa thời kì Đổi mới
 
Slide về việc bắt gói tin trên Python2.7
Slide về việc bắt gói tin trên Python2.7Slide về việc bắt gói tin trên Python2.7
Slide về việc bắt gói tin trên Python2.7
 
Lập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng PythonLập trình phân tích bắt gói tin mạng bằng Python
Lập trình phân tích bắt gói tin mạng bằng Python
 
Tấn công Social Engineering
Tấn công Social EngineeringTấn công Social Engineering
Tấn công Social Engineering
 

Phân tích mã độc cơ bản - báo cáo thực tập

  • 1. 1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP Nội dung: Nghiên cứu tìm hiểu cơ bản về phân tích mã độc trên Windows. Nơi thực tập : Viện CNTT&TT-CDIT Người hướng dẫn : Thầy Hoàng Mạnh Thắng Tên sinh viên: Phạm Trung Đức Mã sinh viên: B13DCAT056 Hà nội, 08/ 2017
  • 2. 2 LỜI CẢM ƠN Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý thầy cô, gia đình và bạn bè. Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý thầy cô ở viện CDIT đã cùng với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường. Và đặc biệt, trong học kỳ này, khoa đã tổ chức cho chúng em được tiếp cận với môn học mà theo em là rất hữu ích đối với sinh viên ngành khoa An toàn thông tin cũng như tất cả các sinh viên thuộc các chuyên ngành khoa khác. Em xin chân thành cảm ơn thầy Hoàng Mạnh Thắng đã tận tâm hướng dẫn chúng em qua từng buổi học trên lớp cũng như những buổi nói chuyện, thảo luận về lĩnh vực sáng tạo trong nghiên cứu khoa học. Nếu không có những lời hướng dẫn, dạy bảo của thầy thì em nghĩ bài thu hoạch này của em rất khó có thể hoàn thiện được. Một lần nữa, em xin chân thành cảm ơn thầy. Bài thu hoạch được thực hiện trong khoảng thời gian gần 2 tuần. Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực sáng tạo trong nghiên cứu khoa học, kiến thức của em còn hạn chế và còn nhiều bỡ ngỡ. Do vậy, không tránh khỏi những thiếu sót là điều chắc chắn, em rất mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và các bạn học cùng lớp để kiến thức của em trong lĩnh vực này được hoàn thiện hơn.
  • 3. 3 Mục lục Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP............................................................. 4 I. Chức năng:....................................................................................................................4 II. Tổ chức: ........................................................................................................................4 III. Các lĩnh vực hoạt động: ............................................................................................4 Phần B: NỘI DUNG THỰC TẬP............................................................................. 6 I. Phần giới thiệu chung: .................................................................................................6 Tên chủ đề thực tập: Tìm hiểu cơ bản về cơ chế phân tích mã độc Win 32...................6 II. Các hoạt động thực tập:...............................................................................................6 Chương I: Nền tảng lý thuyết............................................................................. 7 Phần 1: Phân tích tĩnh......................................................................................................7 I, Xác định Malware:..................................................................................... 7 II, Phân tích các chuỗi nhúng trong Malware: .............................................. 8 III, Phân tích PE headers: .............................................................................. 9 Phần 2: Phân tích động. .................................................................................................12 A, Phát hiện thay đổi hành vi khi thực thi Malware: .................................. 12 B, Phát hiện hành vi thực thi của Malware ................................................. 13 Chương 2: Thực hiện Lab ................................................................................ 14 Lab 1: Phân tích tĩnh......................................................................................................14 Lab2: Phân tích động .....................................................................................................28
  • 4. 4 Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP I. Chức năng: Viện công nghệ Thông tin và Truyền thông CDIT, trước đây là Trung tâm Công nghệ thông tin CDIT, được Tổng giám đốc Tổng Công ty Bưu chính Viễn thông Việt Nam (VNPT) ký quyết định thành lập số 636/QĐ-TCCB-LĐ ngày 22 tháng 3 năm 1999, trên cơ sở sắp xếp lại hai đơn vị thành viên của các đơn vị trực thuộc Học viện Công nghệ Bưu chính Viễn thông:  Trung tâm Nghiên cứu Phát triển Phần mềm thuộc Viện KHKT Bưu điện  Trung tâm Đào tạo Phát triển Phần mềm thuộc Trung tâm Đào tạo BCVT1 (cũ) Từ 01/01/2012, để phù hợp với xu thế phát triển mới của VNPT và Học viện CNBCVT, Trung tâm Công nghệ Thông tin được đổi tên thành Viện công nghệ Thông tin và Truyền thông CDIT (Quyết định số 1973/QĐ-VNPT-TCCB ký ngày 07 tháng 11 năm 2011 của Tổng giám đốc Tập đoàn Bưu chính Viễn thông Việt Nam). Từ 01/7/2014, thực hiện các quyết định: 888/QĐ-TTg ngày 10/06/2014 của Thủ tướng Chính phủ về việc “Phê duyệt Đề án tái cơ cấu Tập đoàn Bưu chính Viễn thông Việt Nam VNPT giai đoạn 2014 – 2015” và 878/QĐ-BTTTT ngày 27/06/2014 của Bộ trưởng Bộ Thông tin và Truyền thông về việc “Chuyển Học viện Công nghệ Bưu chính Viễn thông từ Tập đoàn Bưu chính Viễn thông Việt Nam về trực thuộc Bộ Thông tin và Truyền thông quản lý”, cùng với các đơn vị trực thuộc Học viện, CDIT được chuyển về thuộc Bộ Thông tin và Truyền thông. II. Tổ chức:  Ban Lãnh đạo Viện  Phòng Tổng hợp  Phòng Hợp tác và Chuyển giao công nghệ  Phòng Nghiên cứu phát triển Hạ tầng và An toàn thông tin  Phòng Nghiên cứu phát triển Ứng dụng Đa phương tiện  Phòng Nghiên cứu phát triển Dịch vụ III.Các lĩnh vực hoạt động: Giải thưởng Sáng tạo Khoa học Kỹ thuật Việt Nam (VIFOTEC)
  • 5. 5 1. Năm 2000, Giải Ba – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Máy chủ Dịch vụ Đa phương tiện MUCOS” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 2. Năm 2000, Giải Khuyến Khích – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Cung cấp dịch vụ Thư thoại Thư thông tin Bưu điện” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 3. Năm 2000, Giải Nhì – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Tính cước và Chăm sóc khách hàng BCSS” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 4. Năm 2002, Giải Nhì – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Nhắn tin ngắn qua mạng thông tin di động SMSC” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam; 5. Năm 2002, Giải Ba – Giải thưởng Sáng tạo KHKT VIFOTEC cho “Hệ thống Thông tin Giáo Dục” của Bộ Khoa học Công nghệ – Môi trường và Liên hiệp các Hội Khoa học Kỹ thuật Việt Nam. 6. Năm 2007, Giải Khuyến khích - Giải thưởng Sáng tạo KHKT VIFOTEC dành cho lĩnh vực Công nghệ thông tin choPhần mềm phục vụ “Quản lý, điều hành và doanh thác các dịch vụ chuyển tiền dựa trên qui định nghiệp vụ mới”. Các sản phẩm được hợp chuẩn quốc gia 1. Năm 1999, Hệ thống Máy chủ thông tin đa phương tiện MUCOS-1. 2. Năm 2000, Phần mềm tính cước và in hóa đơn cho Bưu điện cấp tỉnh, thành. 3. Năm 2001, Gói phần mềm giải pháp mạng Intranet/ISP COSA/ISP. 4. Năm 2001, Phần mềm quản lý mạng ngoại vi CABMAN/GIS. 5. Năm 2004, Hệ thống nhắn tin ngắn SMSC. 6. Năm 2004, Máy điện thoại tự động loại cố định. 7. Năm 2006, Phần mềm hệ thống chuyển mạch mềm.
  • 6. 6 Phần B: NỘI DUNG THỰC TẬP I. Phần giới thiệu chung: Chỉ mục Nội dung Đặt vấn đề Tìm hiểu về cách phân tích cơ bản về Malware trên Windows Kết quả cần đạt Sử dụng thành thạo được các công cụ Tools để phân tích cơ bản được Malware trên Windows bằng hai phương pháp phân tích động và phân tích tĩnh. Phương pháp thực hiện Nghiên cứu, tìm hiểu, google. Nội dung - Phân tích tĩnh Malware. - Phân tích động Malware. Tên chủ đề thực tập: Tìm hiểu cơ bản về cơ chế phân tích mã độc Win 32. II. Các hoạt động thực tập: Hoạt động Nội dung Đào tạo Đào tạo về an toàn bảo mật mạng doanh nghiệp Hướng nghiệp Hướng nghiệp về các ngành nghề trong CNTT
  • 7. 7 Chương I: Nền tảng lý thuyết Mở đầu: Việc phân tích Malware trong thời đại các nhu cầu về an toàn thông tin ngày nay với nhu cầu lớn là điều cần thiết. Qua hai chức năng phân tích tĩnh và phân tích động một Malware Trojan, bài tìm hiểu giới đây giúp người đọc thực hiện, nắm rõ cơ chế thực thi phân tích mã độc cơ bản qua việc sử dụng các công cụ phổ biến như PE Studio, ProToc. Phần 1: Phân tích tĩnh. Phân tích tĩnh được hiểu đơn giản là tìm hiểu thông tin, các chức năng và cách vận động của một Malware qua các chương trình bên thứ ba mà không cần phải thực thi nó. I, Xác định Malware: Các tools trong Lab đều là miễn phí, và dễ sử dụng cho người mới bắt đầu. 1. File: http://gnuwin32.sourceforge.net/packages/file.htm 2. ExeinfoPE: http://exeinfo.atwebpages.com/ 3. TrID: http://mark0.net/soft-trid-e.html 4. ComputeHash: http://www.subisoft.net/ComputeHash.aspx Sử dụng hàm băm trong mã hóa để xác định xem Malware có trên cơ sở dữ liệu của các trang như VirusTotal. Đây là những điều ta cần rút ra và đặt câu hỏi trong các phiên phân tích Malware tĩnh: - Đây là loại File gì? - Đã có bất kì thông tin gì về nó chưa? - Các chuỗi nhúng trong File cho ta biết những gì? - Có gì khác thường ở PE Headers của file không?
  • 8. 8 - Malware đã được đóng gói chưa? Và nếu có, thì nó sử dụng cơ chế đóng gói nào. Xác định loại tệp thực thi: - Xác định loại file mà ta đang phân tích. - Những kẻ tấn công có thể ngụy trang loại file này. (Như là cơ chế Double Extension) - Xác định được cơ chế đóng gói cho Malware. Tổng kết: Việc nhận biết file Malware giúp ta xác định được rõ những cái cần phân tích. Ngoài ra, việc sử dụng hàm băm mã hóa cũng giúp chúng ta xác định được các phân tích khác đã tồn tại trên mạng. II, Phân tích các chuỗi nhúng trong Malware: Tools sử dụng: 1. String: https://docs.microsoft.com/en-us/sysinternals/downloads/strings 2. BinText: https://www.mcafee.com/us/downloads/free-tools/bintext.aspx 3. XorSearch: https://blog.didierstevens.com/programs/xorsearch/ C:UserNameDesktop > String –o budget –malware.exe > strings.txt Trong phần này, ta sử dụng phương pháp phân tích chuỗi nhúng, hoặc các chuỗi ẩn trong Malware để có thể xác định được những thông tin hữu ích có thể cho việc phân tích. Phân tích chuỗi nhúng là việc tách và quan sát các chuỗi nhúng trong file có thể đọc được như URL, filename… Dưới đây ta có ví dụ về chuỗi nhúng: Việc phân tích chuỗi nhúng trong một tệp có thể giúp chúng ta biết được những thông tin quan trọng như tên, địa chỉ IP, tên tác giả phần mềm.
  • 9. 9 Có hai loại chuỗi chúng ta sẽ sử dụng khi phân tích: ASCII và Unicode, trong đó tính chất của chúng được minh họa dưới đây: Việc phân tích các chuỗi nhúng sẽ có rất nhiều chuỗi không có giá trị, việc chắt lọc chuỗi giá trị là kĩ năng cần thiết. Đôi khi các Malware đã được đóng gói để đánh lừa việc phân tích, việc này đặt thêm vấn đề phân tích các chuỗi ẩn được nhúng trong Malware. Các chuỗi ẩn trong Malware có thể được giấu nhờ các thủ thuật sau: - Packers (chương trình đóng gói) có thể đặt các giá trị ngẫu nhiên hoặc trông có vẻ hợp lí để đánh lừa người dùng. - Mã hóa chuỗi để người dùng không thể đọc được bằng hai phương pháp: Base 64 và XOR III, Phân tích PE headers: Tools sử dụng:
  • 10. 10 1. CFF Explore: http://www.ntcore.com/exsuite.php 2. PE Studio: https://www.winitor.com/ Windows PE headers cho phép cung cấp những thông tin cần thiết trong Hệ điều Hành để chạy một chương trình. Vì Headers có thể tiết lộ các thông tin ở mức độ thấp, nên ta có thể sử dụng nó để phân tích Malware: - Trích xuất những thông tin quí giá từ PE Header - Xác định chức năng Malware. - Có thể xác định nguồn gốc Malware. PE Header được sử dụng bởi Windows vì hai lí do: - Nó chứa tất cả những thông tin cần thiết cho HĐH để thực thi chương trình như là những DLL được nạp, đây là chương trình sử dụng GUI hay Console… - Chỉ dẫn cho HĐH những thông tin được nạp vào bộ nhớ. Ta có thể quan sát sơ đồ chức năng của PE Headers trong Windows, như File-headers, Optional-headers… Ví dụ: nhờ có PE File Headers mà ta có thể xác định ngày tháng xuất hiện Malware
  • 11. 11 PE Sections: là các phân vùng của dữ liệu với tên và đặc tính của nó. Rất có ích nếu cần xác định Malware có bị đóng gói hay không. VD: Nếu thấy các Section PE có tên như là UPX1, UPX2, UPX3 thì có thể xác định là Malware được đóng gói bởi phần mềm nguồn mở UPX. Khi điều tra PE Headers, ta cần phải quan sát kĩ khu vực Import Address Table bao gồm một danh sách các DLL và API được nạp bởi Malware, từ đó cho biết được hành vi chức năng hoạt động của Malware. Các API phổ biến trong hành vi của Malware:
  • 12. 12 Resource: là các dữ liệu thô như là Icon, Picture, Images, Menu đi kèm với chương trình Malware. Những thông tin trong Resource có thể đem lại những thông tin thú vị. Kết luận: PE Headers có thể được sử dụng để phân tích các Section, IAT từ đó xác định các thông tin về Malware như thời điểm được tạo, chức năng hoạt động và cách nạp hàm sử dụng trong HĐH để thực thi chương trình. Phần 2: Phân tích động. Phân tích động là việc thực thi chương trình Malware rồi quan sát những sự thay đổi về hệ thống và các hành vi hoạt động, từ đó ta có thể hiểu rõ được cơ chế hoạt động của phần mềm độc hại. Việc kết hợp phân tích động và tĩnh một phần mềm độc hại giúp ta có cái nhìn tổng quan về Malware. Các câu hỏi được đặt ra khi phân tích động: - Khi được thực thi, Malware có tác động hay thay đổi file thế nào? - Khi được thực thi, Malware tác động lên Registry trong windows thế nào? - Khi được thực thi, Malware có kết nối mạng nào không? - Cơ chế để Malware tự thực thi khởi động? - Nó còn chạy chương trình nào không? Cơ chế đánh lừa của Malware bao gồm: - Tác động vào Registry - Thay đổi thứ tự tìm kiếm DLL để nạp chương trình độc hại. A, Phát hiện thay đổi hành vi khi thực thi Malware: Tool sử dụng: 1. Regshot: https://sourceforge.net/projects/regshot/ 2. FakeNet: https://github.com/fireeye/flare-fakenet-ng Để thực hiện các bước này, ta quét một lượt các file hệ thống, sau đó chạy Malware, rồi sau đó quét thêm một lượt nữa, để xác định được những điểm khác biệt trước và sau khi thực thi chương trình. Các làm này có lợi thế là xác định được tính toàn vẹn của các tệp và registry
  • 13. 13 trong Windows, tuy nhiên nó không xác định được đối tượng gây ra sự thay đổi, và lưu được quá trình các tệp tạm thời do Malware xuất hiện. B, Phát hiện hành vi thực thi của Malware Tool sử dụng: 1. ProcMon: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon 2. ProcDot: http://www.procdot.com/ Trong quá trình này, ta quan sát hành vi của Malware bằng hai công cụ ProcMon và ProcDot, nhằm phát hiện ra những thay đổi Malware gây ra khi được thực thi.
  • 14. 14 Chương 2: Thực hiện Lab Link Malware lab: https://drive.google.com/drive/folders/0BwIb8VrPCDKCVEstYlFjSzhGWW8 Lab 1: Phân tích tĩnh Các tool thực hiện: 1. File: http://gnuwin32.sourceforge.net/packages/file.htm 2. ExeinfoPE: http://exeinfo.atwebpages.com/ 3. TrID: http://mark0.net/soft-trid-e.html 4. ComputeHash: http://www.subisoft.net/ComputeHash.aspx 5. String: https://docs.microsoft.com/en-us/sysinternals/downloads/strings 6. BinText: https://www.mcafee.com/us/downloads/free-tools/bintext.aspx 7. XorSearch: https://blog.didierstevens.com/programs/xorsearch/ 8. CFF Explore: http://www.ntcore.com/exsuite.php 9. PE Studio: https://www.winitor.com/ Chúng ta sẽ tận dụng tất cả những kiến thức vừa qua thực hiện phân tích tĩnh trên Malware mà không cần thực thi để xác định nó sẽ làm gì, nó có thể làm gì, nó liên lạc với bên nào. Trong phần phân tích tĩnh cơ bản, chúng ta vẫn tìm đặc tính Malware qua ba bước phân tích tệp, phân tích chuỗi nhúng, và phân tích PE Headers của tệp. Phân tích tệp:
  • 15. 15 Malware trông có vẻ sử dụng double extension, có icon Excel nhưng thực ra là đuôi thực thi .exe nhằm đánh lừa người dùng. Xác định file, ta dùng câu lệnh file malware.exe, sau đó xác định được file này là PE32 cho Window.
  • 16. 16 Đến lượt Trid, thì chương trình xác định được file Malware.exe chiếm phần lớn code là loại nén file UPX. Đây là điều tốt, khi giờ đây ta có thể xác định cách giải nén và phân tích Malware, chỉ cần sử dụng chương trình mã nguồn mở UPX. Đến ExeInfoPE, ta cũng xác định được phiên bản UPX đóng gói Malware là 3.92 Chúng ta sử dụng câu lệnh UPX để giải nén Malware.exe, lưu ý, file nén ra sẽ đặt tên là Malware-unpacked.exe để không bị ghi đè lên file Malware.exe gốc.
  • 17. 17 Sau đó tiếp tục qui trình như vậy với file Malware-unpacked.exe. Phân tích bằng Trids, ta có thể thấy mã nguồn Malware là Microsoft Visual C++
  • 18. 18 ExeInfoPE thì cảnh báo đây là mã nguồn thực thi Delphi/C++. Phân tích chuỗi nhúng: Tiếp đến đây, chúng ta phân tích các chuỗi nhúng có sẵn trong Malware để xác định tính chất, đặc tính cơ bản nhất của Malware. Dùng Bintext đẻ phân tích chuỗi nhúng. Ta phát hiện ra nhiều điều thú vị. Microsoft Visual C++ Runtime Library String, xác nhận rằng phần lớn của nó là C++
  • 19. 19 Tiếp đến, chúng ta phát hiện ra đoạn mã HTML JavaScript, có dòng chữ “Windows Security Center…..”, đặt ra nghi vấn rằng Malware này là Fake Anti Virus. Kéo xuống một chút, ta phát hiện URL với địa chỉ IP 69.50.175.81 và có host Download.Bravesentry.com, điều này đặt ra nghi vấn Malware sẽ kết nối với Host này để tải dữ liệu độc hại về máy. Chúng ta sẽ thực hiện phân tích động sau để xác nhận rằng liệu file Malware có đang cố gắng kết nối đến host bravesentry.com để tải mã độc về không. %u, %p có thể là username và password.
  • 20. 20 Kéo xuống dưới có String C:Program FilesBraveSentryBraveSentry.exe, nghi vấn rằng Malware khi chạy sẽ cài đặt file BraveSentry.exe vào đường dẫn kia. Chuỗi cảnh báo của Fake Antivirus Malware được nhúng sẵn.
  • 21. 21 Registry Key: SOFTWAREMicrosoftWindowsCurrentVersionRun: đây là Key trong Windows cho phép chương trình được thực thi mỗi khi khởi động Hệ Điều Hành. C:Windowsxpupdate.exe -> rất có thể Malware sẽ update vào đó. Nhưng đường dẫn C:Windows là được bảo vệ bởi cơ chế an ninh User Account Control đặc trưng của Windows nên khi thực hiện phân tích động file Malware.exe, ta phải thực thi bằng quyền Admin để xác nhận xem file Virus có update vào đường dẫn Windows không. Các trường liên quan đến chỉnh sửa Register trong Windows. Và khi kiểm tra chuỗi nhúng trong file Malware.exe, ta không phát hiện được ra bất kì chuỗi nhúng được mã hóa nào cả. Phân tích PE Headers tệp:
  • 22. 22 Đến lượt PE Header, sử dụng PE Studio, ta quan sát time-stamp từ File-header, có thể thấy được Malware được tạo vào tháng 5/2007. Nhưng trường time-stamp có thể bị làm giả để đánh lừa các phần mềm diệt virus cũng như là người dùng. Trong phần Optional-header, subsystem, ta có thể thấy phần GUI Header, đặc trưng cho cửa sổ giao diện, với khả năng là cửa sổ Pop-up sẽ hiện ra nếu chạy chương trình Malware.exe
  • 23. 23 Trong phần Library, Malware.exe có 7 thư viện được nạp vào. Nằm trong danh sách bị cảnh báo, chỉ có thư viện wsock32.dll là nghi vấn. Khi tra cứu trên mạng, wsock32.dll là thư viện C++ được nạp vào với mục đích là tạo ra kết nối mạng, giúp Malware có khả năng kết nối với host chủ.
  • 24. 24 Trong phần Imports, tra cứu các API của Malware.exe, ta có thể phát hiện ra khả năng thực hiện của Malware, bao gồm WriteFile, DeleteFile. Hàm Sleep (giúp cho phần mềm độc hại chưa thực thi luôn ngay khi chạy để tránh bị phát hiện bởi người sử dụng, việc này cũng tạo lợi thế cho Malware khi ta phân tích động và không thể phát hiện ra có sự thay đổi nào lên hệ thống) WinExec: thực thi một chương trình khác. Rất có thể Malware sẽ thực thi chương trình được tải về từ host chủ BraveSentry của nó. RegDeleteKeyA, RegSetValueExA, RegDeleteValueA: đây là ba hàm chỉnh sửa các trường Register trong Windows. Bằng cách nạp
  • 25. 25 vào các thư viện này, thì Malware sẽ tác động chỉnh sửa Register Key trong Windows, giúp nó có khả năng khởi động cùng hệ điều hành. Recourses: Trong trường này, file Malware.exe có type là icon – giả file Excel như ta đã thấy. Và có ngôn ngữ Russia, đặt ra vấn đề có thể file mã độc này được tạo ra từ Nga.
  • 26. 26 PE Studio có sẵn chế độ Virus Total tích hợp trong chương trình. Sử dụng Virus Total phân tích, có thể thấy phần lớn các Engine AV đều phát hiện và định dạng con Malware.exe là kiểu Trojan, FakeAV lừa đảo.
  • 27. 27 Tổng kết: Sau khi phân tích tĩnh Malware ví dụ, ta có thể thấy được những đặc tính của mã độc: Bước thực hiện Tổng kết đặc tính Malware Phân tích file - Phát hiện Malware được đóng gói nhờ UPX packed, từ đó ta có thể sử dụng phần mềm UPX để giải nén Malware để phân tích sâu hơn. - Phát hiện Malware có nền tảng Visual C++ Win 32 Phân tích chuỗi nhúng - Tên miền download.bravestrentry.com - Phát hiện địa chỉ IP mà Malware kết nối tới 69.50.175.181 - Phát hiện file lạ BraveStrentry.exe có thể được ghi - Phát hiện đường dẫn Registry SOFTWAREMicrosoftWindowsCurrentVersion Run: chứng tỏ Malware can thiệp vào đây để có thể Boot vào OS. - Phát hiện chuỗi cảnh báo “Your computer is in Dangerous”, chứng tỏ Malware này giả dạng FakeAntivirus Phân tích PE Headers - Phát hiện được thông tin May 7, 2007 – có thể là ngày viết Malware. - Thay đặc tính của WriteFile. - Có Winexe, và wsock32.dll chứng tỏ Malware có API kết nối mạng ra bên ngoài.
  • 28. 28 Lab2: Phân tích động 1. Tools thực hiện: Regshot: https://sourceforge.net/projects/regshot/ 2. FakeNet: https://github.com/fireeye/flare-fakenet-ng 3. ProcMon: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon 4. ProcDot: http://www.procdot.com/ Ta sử dụng RegShot để “chụp” lại các file hệ thống trong Windows. Chụp một lần trước khi thực thi Malware.exe, và chụp lần thứ hai khi Malware đã chạy xong, sau đó so sánh sự thay đổi trước và sau của Malware tác động lên hệ thống. Thực thi Malware, ta dùng quyền Admin để theo dõi xem hành vi Malware tác động lên file Windows.
  • 29. 29 Sử dụng FakeNet để tạo môi trường mạng ảo khiến Malware tưởng rằng máy ảo đang có kết nối. Sau khi thực thi một lúc, FakeNet đã phát hiện ra Malware đang kết nối với máy chủ download.bravesentry.com đúng như dự đoán ban đầu khi chúng ta phân tích chuỗi nhúng ở Lab đầu tiên.
  • 30. 30 RegShot sau khi quét xong lần thứ hai, sẽ xuất ra một file text so sánh sự thay đổi trước và sau khi thực thi Malware.exe. Ta có thể thấy hai tệp đã được thêm vào hệ điều hành, đúng như dự đoán trước đó trong khi phân tích tĩnh. Có thể thấy được Malware cập nhập file xpupdate.exe vào đường dẫn này. Sử dụng Procmon, ta phát hiện ra Malware.exe đã Copy bản gốc của nó từ ngoài Desktop rồi xóa bản gốc. Sau đó thay tên thành xpupdate.exe để tại đường dẫn Windows nhằm tác động lên hệ thống. Sau khi phân tích động Malware ví dụ, ta rút ra kết luận sau: Bước thực hiện Tổng kết đặc tính Malware Quan sát hành vi - Thay đổi file hệ thống C:Windowsxpupdate.exe - Install.dat - Xuất hiện giá trị Registry HKCU.
  • 31. 31 - Malware cố gắng kết nối và download nội dung lạ từ download.bravesentry.com Tổng kết: Sau khi kết hợp hai phương pháp phân tích tĩnh và phân tích động Malware với một loạt các công cụ khác nhau, ta có thể đưa ra kết luận về các hành vi đặc trưng nhất của một mã độc như nguồn gốc, cách thức hoạt động, nguy cơ nó có thể gây ra. Trên đây là những đặc trưng cơ bản nhất về phân tích mã độc, để có thể đi sâu và kết luận lâu dài hơn, những kĩ năng cao cấp hơn về phân tích mã độc như dịch ngược, tự động hóa cần được áp dụng. Các kĩ năng cao cấp trong phân tích mã độc này có thể được nghiên cứu cho các đồ án lớn sau này.