Báo cáo phân tích mã độc dựa trên phân tích động sử dụng mã nguồn mở cuckoo sandbox

53 69 0
  • Loading ...
1/53 trang

Thông tin tài liệu

Ngày đăng: 16/12/2018, 23:05

Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn.Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone. Với tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông minh hay máy tính cá nhân, vì vậy môi trường hoạt động dành cho mã độc ngày càng rộng lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi.Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Báo cáo đã tìm hiểu và nghiên cứu về “Phát hiện mã độc dựa trên phân tích động sử dụng mã nguồn mở Cuckoo Sandbox”. Mục tiêu của Báo cáo gồm các nội dung chính:Chương 1. Tổng quan về mã độc: chương này giới thiệu những vấn đề cơ bản nhất về mã độc và vai trò của việc phân tích mã độc.Chương 2. Cơ chế hoạt động của mã độc: chương này mô tả khái quát về cấu trúc file PE của Windows; các hình thức tấn công, hành vi của mã độc và xu hướng phát triển của mã độc.Chương 3. Phương pháp phân tích động trong phát hiện mã độc trên môi trường Sandbox: chương này mô tả các bước trong quá trình phân tích mã độc và tìm hiểu về Sandbox.Chương 4. Thực nghiệm: Giới thiệu hệ thống phân tích mã độc tự động Cuckoo Sandbox. Áp dụng lý thuyết đưa ra trong Chương 3 để phân tích mã độc.Phần Kết luận: trình bày tổng hợp các kết quả báo cáo.Bài báo cáo đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuât phân tích mã độc dựa trên phân tích động, đưa ra được quy trình phân tích. Tuy nhiên, báo cáo không thể tránh khỏi những thiếu sót, vì vậy nhóm rất mong nhận được những ý kiến đóng góp, nhận xét của thầy cô giáo để kết quả bài báo cáo được hoàn thiện hơn. BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT BÁO CÁO THỰC TẬP CƠ SỞ CHUYÊN NGÀNH ĐỀ TÀI: PHÁT HIỆN ĐỘC DỰA TRÊN PHÂN TÍCH ĐỘNG SỬ DỤNG NGUỒN MỞ CUCKOO SANDBOX Chuyên ngành: An tồn thơng tin Sinh viên thực hiện: Phạm Ngọc Vân – Lớp L04 Đỗ Thị Vân – Lớp L01 Giảng viên hướng dẫn: Thầy Phạm Văn Hưởng Khoa Công nghệ thông tin – Học viện Kỹ thuật Mật Hà Nội, 2018 MỤC LỤC DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT Từ viết tắt API Tiếng Anh Tiếng Việt Aplication Programming Interface Giao diện lập trình ứng dụng IPS Intrusion prevention system IIS Internet Information Services IDS Intrusion detection system Tổ chức kiểm định đánh giá độc lập phần mềm diệt Virus cho Windows Android Hệ thống phát xâm nhập Các dịch vụ dành cho máy chủ chạy hệ điều hành Window Hệ thống ngăn ngừa xâm nhập National Institute of Standards and Technology Personal computer Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ Máy tính cá nhân AV-TEST NIST PC PE File Format Portable Executable File Format Định dạng file thực thi VNCERT Vietnam Computer Emergency Response Team HTML HyperText Markup Language IM Instant Messaging Trung tâm ứng cứu khẩn cấp máy tính Việt Nam Ngơn ngữ đánh dấu siêu văn Tin nhắn nhanh Malware Malicious software độc DANH MỤC HÌNH LỜI CẢM ƠN Trước hết xin cảm ơn sâu sắc tới Thầy Phạm Văn Hưởng, định hướng cho việc lựa chọn đề tài, đưa nhận xét q giá trực tiếp hướng dẫn nhóm tơi trình làm thực tập sở chuyên ngành Xin cảm ơn tất người tạo điều kiện tốt để nhóm tơi hồn thành thực tập sở chuyên ngành Hà Nội, tháng 10 năm 2018 Nhóm sinh viên Phạm Ngọc Vân Đỗ Thị Vân LỜI MỞ ĐẦU Phát tán độc (Malware) thực trở thành ngành “công nghiệp ” hoạt động gián điệp phá hoại hệ thống, phần mềm Theo thống kê từ quan, tổ chức, doanh nghiệp chuyên An ninh, an tồn thơng tin, hoạt động phát tán độc khơng tồn nước phát triển nước phát triển Việt Nam trở thành mảnh đất màu mỡ cho Hacker công độc phát tán hầu hết quan quan trọng từ quan Chính phủ, Quốc hội tới quan tài ngân hàng, viện nghiên cứu, trường đại học,… Các phần mềm chứa độc tồn nhiều hình thức có khả lây lan vơ lớn Khơng dừng lại đó, độc lây lan đa tảng không giới hạn máy tính cá nhân lây lan sang thiết bị thông minh smartphone Với tốc độ phát triển kinh tế, hầu hết cá nhân sở hữu thiết bị thơng minh hay máy tính cá nhân, môi trường hoạt động dành cho độc ngày rộng lớn thiệt hại chúng gây cho vô lớn Theo thống kê Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cố cơng độc có chiều hướng gia tăng với thủ đoạn ngày tinh vi Nhằm góp phần hiểu rõ hoạt động hành vi độc tác hại việc phát tán độc hệ thống, thiết bị thông minh,… Báo cáo tìm hiểu nghiên cứu “Phát độc dựa phân tích động sử dụng nguồn mở Cuckoo Sandbox” Mục tiêu Báo cáo gồm nội dung chính: Chương Tổng quan độc: chương giới thiệu vấn đề độc vai trò việc phân tích độc Chương Cơ chế hoạt động độc: chương tả khái quát cấu trúc file PE Windows; hình thức công, hành vi độc xu hướng phát triển độc Chương Phương pháp phân tích động phát độc mơi trường Sandbox: chương tả bước q trình phân tích độc tìm hiểu Sandbox Chương Thực nghiệm: Giới thiệu hệ thống phân tích độc tự động Cuckoo Sandbox Áp dụng lý thuyết đưa Chương để phân tích độc Phần Kết luận: trình bày tổng hợp kết báo cáo Bài báo cáo đạt số kết khả quan việc nghiên cứu kỹ thuât phân tích độc dựa phân tích động, đưa quy trình phân tích Tuy nhiên, báo cáo khơng thể tránh khỏi thiếu sót, nhóm mong nhận ý kiến đóng góp, nhận xét thầy cô giáo để kết báo cáo hoàn thiện CHƯƠNG 1: TỔNG QUAN VỀ ĐỘC 1.1 Tổng quan độc 1.1.1 Khái niệm độc Theo quan điểm Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NISTNational Institute of Standard and Technology) định nghĩa phân loại lĩnh vực “Virus máy tính”, độc (Malware) hay gọi malicious code đề cập đến chương trình chèn vào hệ thống cách bí mật, với mục đích làm tổn hại, làm gián đoạn tính bí mật, tính tồn vẹn tính khả dụng liệu, ứng dụng hệ điều hành (OS) nạn nhân [2] Malware thuật ngữ đại diện cho tất phần mềm có mục đích gây độc hại tự nhiên Có nhiều loại Malware khác Một số loại phổ biến virus, worms, trojans, backdoors, rootkits, bots spyware 1.1.2 Tình hình độc Việt Nam giới Kể từ độc xuất vào năm 1984 đến nay, theo viện nghiên cứu độc lập an toàn thơng tin AV-TEST (www.av-test.org), có khoảng 150 triệu độc phát tán Đặc biệt, vòng năm gần đây, số lượng độc phát triển nhanh chóng tồn giới đặt nhiều vấn đề an ninh thơng tin cho tồn người sử dụng Internet tồn cầu Hình 1.1 Số lượng độc tồn giới vòng năm gần (Nguồn: AV-TEST) Chủng loại độc đa dạng phong phú hành vi mục đích phát tán Các lĩnh vực độc nhằm đến bao gồm kinh tế, trị, tôn giáo nhiều lĩnh vực quan trọng khác Trong năm 2017, giới bị rúng động hoành hành độc tống tiền WannaCry gây lây nhiễm 250.000 máy tính 150 quốc gia giới Hình 1.2: Các vùng bị ảnh hưởng độc WannaCry (Nguồn: VnExpress) Tại Việt Nam, xu hướng cơng, phát tán phần mềm có độc vào quan, doanh nghiệp hình thái giới tội phạm mạng mang tính chất quốc gia xuất Việt Nam Bên cạnh loại độc phổ biến xuất dạng độc mới, độc đính kèm tập tin văn Hầu hết người nhận email mở tập tin văn đính kèm bị nhiễm độc khai thác lỗ hổng phần mềm Microsoft Office (bao gồm Word, Excel PowerPoint) Khi xâm nhập vào máy tính, độc âm thầm kiểm sốt tồn máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa Chúng nhận lệnh tin tặc tải độc khác máy tính để ghi lại thao tác bàn phím, chụp hình, lấy cắp tài liệu Trong vòng tháng đầu năm 2018, Việt Nam nằm số 20 quốc gia bị lây nhiễm độc nhiều giới, đồng thời dẫn đầu Đông Nam Á với 86 triệu email có nội dung đe dọa công phát hiện, theo hãng bảo mật Trend Micro Hình 1.3 Số liệu thống kê virus phát tán qua email tính đến quý năm 2018 trang statista.com Trước gia tăng mạnh mẽ số lượng mục đích cơng độc có nhiều biện pháp nhằm ngăn chặn phòng ngừa độc sử dụng chương trình diệt Virus, sử dụng hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống, Tuy nhiên biện pháp phần ngăn chặn loại Virus biết đến rộng rãi, biến thể độc độc sinh ngày nhiều vơ hình trước biện pháp bảo vệ Số liệu cho thấy, tháng đầu năm 2018, có tới 735.000 máy tính Việt Nam bị nhiễm virus đào tiền ảo Các virus khơng xóa liệu chiếm quyền điều khiển biến máy tính thành máy đào Với phần mềm gián điệp, máy tính bị lây nhiễm, ăn cắp liệu cá nhân, cookie, tài khoản email tài khoản ngân hàng Các liệu cá nhân bị đánh cắp sử dụng với mục đích xấu bán cho cơng ty quảng cáo Không phần nguy hiểm độc cơng có chủ đích APT (thuật ngữ dùng để tổ chiến dịch cơng, thường nhóm kẻ công, sử dụng kỹ thuật cơng nâng cao để diện tồn lâu dài mạng Internet nhằm khai thác liệu có độ nhạy cảm cao) Đây hình thức công email chứa file văn Kẻ xấu giả làm người quen gửi email kèm file văn Khi người dùng mở file đính kèm, máy tính vơ tình bị nhiễm độc 1.2 Phân loại độc Có nhiều cách phân loại độc khác nhau, dựa vào tiêu chí khác Tuy nhiên, định nghĩa đưa NIST cách định nghĩa phổ biến ngành khoa học máy tính ngày [1] 1.2.1 Virus Là phần mềm độc hại có khả tự nhân lây nhiễm vào file, phần mềm máy tính Virus thường kích hoạt thơng qua tương tác người dùng, chẳng hạn mở tệp chạy chương trình Virus chia thành loại sau: - Compiled Virus: Là virus thực thi dịch hồn chỉnh trình biên dịch để thực thi trực tiếp từ hệ điều hành Các loại virus biên dịch bao gồm file infector virus, chúng tự gắn vào chương trình thực thi; boot sector virus, lây nhiễm vào ghi khởi động ổ đĩa cứng chương trình khởi động thiết bị lưu trữ di động multipartite virus, kết hợp đặc tính file infector boot sector virus - Interpreted Virus: Là virus thực thi ứng dụng Macro virus, scripting virus virus nằm dạng Macro virus phổ biến ứng dụng Microsoft Office tận dụng khả kiểm soát việc tạo mở file để thực thi lây nhiễm Chúng ta phân biệt macro virus 10 - Kiểm tra địa ip với interface VirtualBox VM (vboxnet0) Ubuntu: Hình 4.4 Địa ip với interface VirtualBox VM (vboxnet0) Ubuntu 4.2.1 Thiết lập chế độ Host-only cho vboxnet0 uỷ quyền người dùng sử dụng Cuckoo Hình 4.5 Thiết lập chế độ Host-only cho vboxnet0 uỷ quyền người dùng sử dụng Cuckoo Cuckoo Rooter khái niệm mới, cung cấp quyền truy cập root cho lệnh khác cho Cuckoo (mà nói chung chạy không root) Lệnh khả dụng cho hệ thống giống Ubuntu Debian Cụ thể, trình khởi chạy giúp Cuckoo thực lệnh liên quan đến mạng để cung cấp phân tích cho tùy chọn định tuyến Theo mặc định, trình khởi chạy mặc định chọn người dùng cuckoo người dùng nhóm cho UNIX socket Nếu chạy Cuckoo người dùng khác ngồi Cuckoo phải ủy quyền Ở đây, nhóm thực việc ủy quyền cho người dùng “vanpn” 39 4.2.2 Khởi động Virtualbox - Khởi động Virtualbox: $ virtualbox Máy ảo cuckoo1 tạo sử dụng hệ điều hành Window sau khởi động tạo snapshot đặt tên Snapshot1 dùng q trình phân tích để trở trạng thái ban đầu trước Cuckoo Sandbox thực q trình phân tích Hình 4.6 Giao diện phần mềm tạo máy ảo VirtualBox 5.2 4.2.3 Khởi động Cuckoo Sandbox - Thực việc khởi động Cuckoo Sandbox với câu lệnh: cuckoo 40 Hình 4.7 Thực lệnh khởi động Cuckoo Sandbox - Khởi động hệ thống giao diện web phân tích Cuckoo Sandbox $ cuckoo web runserver Hình 4.8 Thực lệnh khởi động hệ thống phân tích độc Cuckoo Sandbox 41 - Giao diện hệ thống web phân tích tự động độc Cuckoo Sandbox: Để thực việc phân tích file chọn mục SUBMIT A FILE FOR ANALYSIS sau chọn file để thực phân tích hay phân tích URLs/Hashes điền đường dẫn trang web chứa file phân tích vào khung SUBMIT URLS/HASHES Hình 4.9 Giao diện hệ thống phân tích độc Cuckoo Sandbox 42 4.2.4 Thực phân tích động độc Locky Ransomware Cuckoo Sandbox - Chọn chương trình độc Locky Ransomware sau thực phân tích (Analyze) Hình 4.10 Chọn chương trình độc Locky thực phân tích 43 - Trên VirtualBox vào máy ảo cuckoo1 thực chạy chương trình agent.py thực nhận điều khiển trình phân tích từ Cuckoo Sandbox Hình 4.11 Máy ảo cuckoo1 thực chạy chương trình agent.py 44 4.2.5 Kết phân tích - Thơng tin về độc Locky Ransomware: Hình 4.12 Thơng tin độc Locky Ransomware - Kết tổng quan mục phân tích tĩnh: Hình 4.13 Tổng quan phân tích tĩnh 45 Kết phân tích tĩnh Cuckoo Sandbox chứa thông tin đoạn mã, ký tự, thư viện, hàm API thực thi độc, cấu trúc PE file hay phần mềm pack độc hình 4.14 hình 4.15 Hình 4.14 Thơng tin phần mềm Pack số section PE file độc Hình 4.15 Một số thư viện, hàm API độc 46 - Kết tổng quan mục phân tích động: Hình 4.16 Tổng quan mục phân tích động Ta thấy mục Process tree hình 4.16 có đường dẫn tới thư mục chứa độc Locky Ransomware thực thi máy ảo cuckoo1: “C:/Users/demo/AppData/Local/Temp/Locky.exe” Ngồi có mục: default, registry, file, network, process, services, synchroisation, iexplore, office, pdf - Các khoá Registry bị độc tác động: Hầu hết mẫu phân tích, cho thấy khóa Registry tạo chương trình Ransomware cài đặt Các biến thể Ransomware sửa đổi nhiều giá trị Registry (như hình 4.17): 47 Hình 4.17 Các khố Registry bị tác động - Hệ thống mạng (network) bị độc tác động Hình 4.18 Hệ thống mạng bị độc tác động Kết cho thấy độc kết nối với nhiều địa từ xa đây: 48 • • • • • • http://nfypyprry.fr http://buvyhlubailn.pw http://okvsrgnxujuymxw.nl http://86.104.134.144 http://qnhcuigk.eu http://idwykoy.yt - Những thay đổi hoạt động hệ thống tệp tin (File System)[7]: Nhiều tệp tin đọc, sửa đổi, tạo xóa trình thực thi Ransomware Tất họ Ransomware phân tích sửa đổi tệp PIPE\lsarpc Giao diện PIPE\lsarpc thường kết nối với hệ thống Local Security Authority (LSASS) Hình 4.19 Tệp PIPE\lsarpc bị sửa đổi 49 - URLs tìm thấy Process Memory độc Hình 4.20 URLs tìm thấy Process Memory độc 4.3 Đánh giá kết thực nghiệm Qua trình thực nghiệm ta kết độc Locky Ransomware có thực hành vi tác động lên máy ảo Khi khởi động, độc tự chép đến %TEMP%\Locky.exe xóa luồng liệu NTFS ổ đĩa cứng Và trình thực nghiệm ta nhận thấy Cuckoo Sandbox có vài nhược điểm sau: • Cuckoo Sandbox khơng thể ghi lại tất hành vi thời gian phân tích lâu • Một số độc phân tích ngồi Locky Ransomware khơng thể đưa kết tổng quan phân tích động hiển thị tổng quan phân tích tĩnh gồm thư viện, hàm API độc • Các thơng tin Cuckoo Sandbox đưa sau q trình phân tích thông tin chưa đủ để kết luận hành vi thực độc 50 Locky loại độc tống tiền điển hình Tuy nhiên lại khiến nhà nghiên cứu bảo mật ý linh hoạt phát tán rộng rãi Để bảo vệ thân khỏi loại độc tống tiền Locky, thực biện pháp sau: • Khơng mở tệp tin đính kèm email gửi từ nguồn khơng rõ ràng • • • Sao lưu liệu định kì lưu trữ sao lưu thiết bị lưu trữ tách khác rời lưu trữ cloud Thường xuyên cập nhật phần mềm diệt virus, hệ điều hành phần mềm cài đặt máy tính Tạo thư mục mạng riêng biệt với người dùng quản lý truy cập đến thư mục mạng chia sẻ 51 KẾT LUẬN  Kết đạt Báo cáo nghiên cứu kiến thức độc, tổng quan tình hình độc Việt Nam giới Nội dung báo cáo trình bày loại độc nay, hình thức công độc, giới thiệu Sandbox Dựa vào hình thức cơng hành vi độc, báo cáo trình bày phương pháp phân tích độc Trong đó, sâu nghiên cứu phân tích phương pháp phân tích động Từ đưa mơi trường phù hợp dùng để phân tích độc đưa cơng cụ hỗ trợ phân tích độc dựa phân tích động Và cuối báo cáo việc phân tích hành vi độc hệ thống thực tế Kết thu đưa kết luận tập tin hay địa URL xác định có thực thực hành vi hệ thống người dùng, từ dựa hiểu biết cán làm an tồn thơng tin, phân tích đánh giá để kết luận độc phân tích  Hướng nghiên cứu Đối với việc nghiên cứu tương lai, nhóm nghiên cứu phương pháp để cải thiện tốc độ phân tích hệ thống đào sâu kết đạt được, đồng thời phát phân tích độc có chế ẩn sâu nhân hệ thống 52 TÀI LIỆU THAM KHẢO [1] Murugiah Souppaya, Karen Scarfone NIST (2005) Special Publication 800-83r1: “Guide to Malware Incident Prevention and Handling for Desktops and Laptops”, pp 02, July 2013, from nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf [2] Aman Hardikar M (2008) SANS Institute, “Malware 101 – Viruses”, pp 06-08, from www.sans.org/reading room/whitepapers/incident/malware-101-viruses32848 [3] Ngô Quang Hưng (2014) “Nghiên cứu phương pháp phân tích phần mềm độc” [4] Cộng đồng C Việt (2015), “Sandbox gì? Giải thích khái niệm Sandbox?” from kenhsinhvien.vn [5] “Giáo trình độc”, from http://forum.actvn.edu.vn/posts/t51338-Giaotrinh-ma-doc [6] Cuckoo Foundation (© 2010-2018), Cuckoo Sandbox 2.0.6 from https://cuckoo.sh/docs/index.html [7] Monika, Pavol Zavarsky, Dale Lindskog, FISP 2016, Procedia Computer Science 94 (2016) - “Experimental Analysis of Ransomware on Windows and Android Platforms: Evolution and Characterization”,pp.465-472, from https://www.sciencedirect.com/journal/procedia-computer-science/vol/94 53 ... động hành vi mã độc tác hại việc phát tán mã độc hệ thống, thiết bị thông minh,… Báo cáo tìm hiểu nghiên cứu “Phát mã độc dựa phân tích động sử dụng mã nguồn mở Cuckoo Sandbox” Mục tiêu Báo cáo. .. triển mã độc Tiếp theo chương trình bày phương pháp phân tích động phát mã độc với Sandbox 26 CHƯƠNG 3: PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG TRONG PHÁT HIỆN MÃ ĐỘC SỬ DỤNG SANDBOX 3.1 Quy trình phân tích mã. .. Trong chương báo cáo nghiên cứu kiến thức mã độc, tổng quan tình hình mã độc Việt Nam giới Nội dung báo cáo trình bày loại mã độc vai trò việc phân tích mã độc Trong chương tiếp theo, báo cáo nghiên
- Xem thêm -

Xem thêm: Báo cáo phân tích mã độc dựa trên phân tích động sử dụng mã nguồn mở cuckoo sandbox, Báo cáo phân tích mã độc dựa trên phân tích động sử dụng mã nguồn mở cuckoo sandbox, CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC, CHƯƠNG 2: CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC, CHƯƠNG 3: PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG TRONG PHÁT HIỆN MÃ ĐỘC SỬ DỤNG SANDBOX

Từ khóa liên quan

Mục lục

Xem thêm

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay