Tải bản đầy đủ - 0 (trang)
CHƯƠNG II: TẤN CÔNG SỬ DỤNG MÃ ĐỘC

CHƯƠNG II: TẤN CÔNG SỬ DỤNG MÃ ĐỘC

Tải bản đầy đủ - 0trang





Ransomware: đây là phần mềm khi tấn cơngvào máy tính nó sẽ kiểm sốt hệ

thống hoặc kiểm sốt máy tính và yêu cầu nạn nhân phải trả tiền để có thể khơi

phục lại điều khiển với hệ thống.







Virus: là phần mềm có khả năng tấn cơngtrong cùng một hệ thống máy tính

hoặc từ máy tính này sang máy tính khác dưới nhiều hình thức khác nhau. Quá

trình lây lan được thực hiện qua hành vi lây file. Ngoài ra, virus cũng có thể thực

hiện các hành vi phá hoại, lấy cắp thơng tin…







Rootkit: là một kỹ thuật cho phép phần mềm có khả năng che giấu danh tính

của bản thân nó trong hệ thống, các phần mềm antivirus từ đó nó có thể hỗ trợ

các module khác lây nhiễm, khai thác hệ thống.

2.2. Tấn công sử dụng mã độc

2.2.1. Cấu trúc PE file

Một bước rất quan trọng khi tìm hiểu về mã độc là tìm hiểu về file PE vì

gần như mọi mã thực thi được nạp bởi Windows đều có định dạng PE. Đây là

dạng phổ biến bậc nhất của Malware và cũng là định dạng hay bị tấn côngmã

độc nhất.

Định dạng file PE được dùng cho những file thực thi, mã đối tượng và các

DLL của Windows. Định dạng này là một cấu trúc dữ liệu bao gồm thông tin

cần thiết để Windows OS Loader quản lý được mã thực thi trong nó.

Để có thể thực thi trên máy tính, nội dung file PE được chia thành các

thành phần và có mối liên hệ mật thiết với nhau. Nắm rõ cấu trúc PE sẽ giúp

chúng ta hiểu được cơ chế thực thi của một phần mềm, từ việc tổ chức tới việc

nạp lên bộ nhớ, các tài nguyên sử dụng…

Hơn nữa, khi chúng ta muốn sửa đổi một file, ví dụ như thêm vào một số

đoạn mã, chỉnh sửa một số thành phần nhưng vẫn muốn phần mềm thực thi bình

thường, ví dụ trong trường hợp cần chỉnh sửa các cơng cụ phân tích để tránh bị

phát hiện bởi Malware thì chúng ta cần phải nắm rõ cấu trúc PE file cũng như

mối liên hệ giữa các thành phần trong file để có thể nhanh chóng thay đổi file và

thoả mãn yêu cầu đề ra mà không ảnh hưởng tới chức năng cũng như hoạt động

của file.

Mặt khác, đối với các Malware sử dụng kỹ thuật tiêm mã vào các tiền trình

17



đang có để che giấu sự tồn tại trên hệ thống, nếu chúng ta không hiểu rõ cấu trúc

của file PE sẽ rất khó tìm ra tiến trình bị tiêm mã độc.



hình 2.1: Cấu trúc cơ bản của PE

Cấu trúc PE có thể gồm nhiều section, trong đó tối thiểu cần 2 section: data

và code. Một số section thông dụng hay được gặp ở các phần mềm:

1. Executable Code Section, có tên là .text (Microsoft).

2. Data Sections, có tên nh .data, .rdata, .bss (Microsoft) hay DATA



(Borland)

3. Resources Section, có tên là .rsrc

4. Export Data Section, có tên là .edata

5. Import Data Section. có tên là .idata

6. Debug Information Section, có tên là .debug



Cấu trúc các section trên bộ nhớ và trên ổ đĩa là như nhau, tuy nhiên khi

được nạp lên bộ nhớ, các Windows loader sẽ quyết định thứ tự và vị trí nạp các

phần, do đó vị trí các phần trên ổ đĩa và trên bộ nhớ sẽ có sự khác biệt.

18



2.2.2. Hình thức tấn công

Qua thiết bị lưu trữ

Cách tấn công phổ biến nhất của Malware trước đây là qua các thiết bị lưu

trữ di động, dù là thời sử dụng đĩa mềm ngày xưa hay thẻ nhớ USB ngày nay.

Hiện tại, thẻ nhớ trong các thiết bị di động thông minh, hay thiết bị ghi âm, ghi

hình kỹ thuật số cũng là một vật trung gian hiệu quả cho việc lan truyền

Malware. Các thiết bị di động thơng minh thì hay phải nạp pin và phương thức

nạp pin qua công USB lại rất tiện dụng, điều này tiềm ẩn nguy cơ rất lớn cho

việc lây truyền Malware.

Một số dạng tấn cơng điển hình qua USB:

-



Lợi dụng chức năng Autorun



Khi thiết bị lưu trữ có sử dụng giao tiếp USB được cắm vào máy tính đã

nhiễm Malware, Malware sẽ phát hiện ra thiết bị có thể tấn cơngđược, sau đó tự

sao chép bản thân mình vào một vị trí bí mật trên thiết bị đó. Tiếp theo, nó ghi

một file autorun.inf có nội dung cơ bản như sau:

[Autorun]

OPEN=Đường dẫn virus trong đĩa USB

Từ Windows Vista trở về trước, Windows sẽ mặc nhiên kiểm tra tập tin

autorun.inf trong các thiết bị USB và thực thi các câu lệnh có trong đó.

- Đánh lừa người dùng

Trong nhiều trường hợp, các tấn công sử dụng tập tin Autorun khơng hiệu

quả, ví dụ như từ hệ điều hành Windows 7 trở về sau, chức năng này khơng

còn động nữa. Malware chuyển sang sử dụng cách đánh lừa người dùng để thực

thi file mã độc đã tấn côngtrên thẻ nhớ USB. Có thể kể đến như:





Ẩn thư mục trên USB và thay vào đó là các tập tin Malware có

hình thư mục với tên tương tự các thư mục tồn tại ban đầu.

Với cách này, Malware dễ dàng lừa được người dùng khởi

chạy nó nếu trên hệ thống đang tắt.



chức năng hiển thị file ẩn và phần mở rộng file.

19







Chuyển các file .doc, .docx của người dùng vào vị trí bí mật







trên thẻ nhớ USB thay thế vào đó là các file Malware có tên và

hình đại diện (icon) là file doc, docx. Đồng thời sử dụng các

khoảng trắng để kéo dài tên file tối đa, làm người dùng có để

hiện tên file thì cũng có khả năng cao bị đánh lừa.

Ví dụ:



Tập tin .doc gốc: TenVanBan.doc

Tập tin malware: TenVanBan.doc: Vì tên tập tin quá dài nên Windows sẽ

rút ngắn lại khi hiển thị và để dấu hai chấm “..” cuối cùng, thể hiện là tên văn

bản còn tiếp tục. Nhưng người dùng sẽ dễ dàng bỏ qua sự thể hiện này và chỉ

nhìn lướt với tên hiển thị ngay đầu tiên nên dễ dàng bị đánh lừa.

Cả 2 cách trên đối với người dùng thông thường đều rất khó nhận ra khi lỡ

khởi chạy nhầm phải Malware, vì khi đã đạt được mục đích lây nhiễm,

Malware vẫn mở thư mục hoặc tập tin như bình thường cho người dùng. Thậm

chí, trong nhiều trường hợp, Malware còn khơi phục lại thẻ nhớ USB như chưa

hề bị nhiễm để tránh sự phát hiện.

Qua mạng internet

Các phần mềm được viết ra có chứa sẵn mã độc, hoặc các phần mềm chính

thống bị sửa đổi để thêm mã độc vào được phát tán tràn lan trên mạng Internet.

Các phần mềm Crack (bẻ khóa) có tỉ lệ chứa mã độc trong đó rất cao. Nhiều khi

vì chủ quan hay vì muốn dùng phần mềm mà không phải trả tiền, người dùng

sẵn sàng bất chấp mọi nguy cơ bị tấn côngmã độc để dùng những phần mềm

này.

Khi truy cập các trang web, hệ thống có thể bị nhiễm mã độc bất kỳ lúc

nào, nhất là khi truy cập vào các trang không đáng tin cậy. Điều này có thể xảy

ra ngày cả khi chúng ta chỉ mở trang web, vì các trình duyệt, đặc biệt là các

thành phần của trình được phát triển bởi hãng thứ 3 (plugin) ẩn chứa rất nhiều

nguy cơ mất an tồn. Malware có thể lợi dụng những lỗ hổng này để tấn công

vào hệ thống.

Khi mà thư được sử dụng ngày càng rộng rãi thì đây là một nguồn tấn

côngrất hiệu quả. Khi đã tấn côngvào máy nạn nhân, Malware có thể tự tìm ra

danh sách các địa chỉ thư điện tử trong máy tính và nó tự gửi đi hàng loạt những

20



thư đánh lừa được đính kèm bản thân nó hoặc các liên kết chứa mã độc. Khi

người nhận khơng phát hiện ra thư bị nhiễm Malware thì khả năng cao sẽ bị

nhiễm mã độc vào máy và từ máy này Malware lại tiếp tục lây nhiễm. Chính vì

vậy, số lượng phát tán Malware có thể theo cấp số nhân khiến trong thời gian

ngắn hàng triệu máy tính có thể bị lây nhiễm.

Ngày nay, khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt

Malware có thể khắc phục được hành động tự nhân bản hàng loạt để phát tán

qua các địa chỉ thư điện tử trong danh bạ máy tính thì chủ nhân Malware có thể

chuyển qua hình thức tự gửi thư phát tán Malware bằng các nguồn địa chỉ sưu

tập được, các địa chỉ này cũng có thể là của chính Malware đó gửi về.

Phương thức tấn công qua thư điện tử bao gồm:

-



Tấn cơng vào các file đính kèm: Với cách này, người dùng sẽ không bị

nhiễm mã độc đến khi phần mềm đính kèm đó được kích hoạt. Malware

cũng khơng dại gì chỉ gửi đúng mã độc của mình, mà chúng thường ẩn

dưới bỏ bọc là các phần mềm miễn phí hay những phần mềm có nội

dung nhạy cảm.



-



Tấn cơng do mở một liên kết trong thư điện tử: Liên kết trong thư điện

tử có thể dẫn tới một trang web được cài sẵn mã độc, các này thường

khai thác lỗ hổng của trình duyệt hoặc các plugin (thành phần cài đặt

thêm) của trình duyệt, ví dụ như trình FlashPlayer.



-



Tấn cơng ngay khi mở để xem thư điện tử: Trường hợp này vơ cùng

nguy hiểm bởi chưa cần kích hoạt các file hay mở liên kết gì hệ thống

đã bị nhiễm mã độc. Cách này thường là do mã độc khai thác lỗ hổng

của hệ điều hành. Mặc dù vây, cách khai thác này cũng khó thực hiện

hơn, do lỗ hổng trên hệ điều hành chưa bị phát hiện (zero day) sẽ ít hơn

rất nhiều lỗ hổng trên trình duyệt và các plugin của nó.



2.2.3. Đối tượng tấn cơng

Một số định dạng tập tin có thể chứa mã hoặc các lệnh thực thi, do đó

chúng có thể được mã độc sử dụng. Một tập tin dạng exe nguy hiểm bởi vì đây

là định dạng của file thực thi mà có thể làm bất cứ điều gì (trong phạm vi quyền

người dùng chạy nó) trong hệ thống. Một định dạng Media như JPEG, khơng

phải ln nguy hiểm vì chúng khơng chứa mã thực thi. Mặc dù vậy, trong

21



nhiều trường hợp, những kẻ tấn công đã lợi dụng lỗ hổng của các phần mềm

xem ảnh, đọc PDF,… để thực thi những đoạn mã nguy hiểm cho hệ thống bằng

cách chèn mã độc vào trong các file tưởng như vô hại trên. Trong khuôn khổ

nghiên cứu, bài báo cáo chỉ đề cập tới những định dạng file có thể chứa mã thực

thi hoặc chứa đoạn lệnh nguy hiểm mà mã độc hay lợi dụng:



Các phần mềm

EXE – Executable File: Một phần mềm có khả năng thực thi, hầu hết các

phần mềm chạy trên Windows là định dạng này.

PIF – Program Information File: Một tập tin thơng tin phần mềm cho các

phần mềm MS-DOS. Bình thường các file .PIF không chứa mã thực thi, nhưng

khi nó chứa mã thực thi thì Windows sẽ xử lý như các tập tin EXE.

APPLICATION: Định dạng cài đặt ứng dụng triển khai với công nghệ

Microsoft’s ClickOnc

GADGET: Một tập tin tiện ích trên màn hình Windows, cơng nghệ này

được giới thiệu cùng Windows Vista.

MSI – Microsoft Installer File: Tập tin cài đặt ứng dụng trên Windows

MSP – Microsoft Installer Patch file: Được dùng để vá các phần mềm đã

được triển khai bởi .MSI.

COM – Command file: Tệp thực thi.

SCR: Windows screen saver.

HTA – HTML application: Không giống như các ứng dụng chạy trong các

trình duyệt HTML, các file .hta chạy như các ứng dụng đáng tin cậy mà không

bị cô lập.

CPL – Control Panel file: Tất cả các tiện ích trong Windows Control Panel

đều có dạng .CPL.

MSC – Microsoft Management Console file: Các ứng dụng dạng này như

ứng dụng quản lý chính sách cho nhóm hay cơng cụ quản lý ổ đĩa.

JAR – executable Java code: Nếu chúng ta đã cài đặt Java runtime trên hệ

thống thì, các tập tin dạng .JAR sẽ chạy như một phần mềm (tương tự dạng

exe).

22



Đoạn mã (script)

.BAT – Batch File: Bao gồm một tập hợp các câu lệnh sẽ thực thi khi ta

mở file dạng này. Nguyên thủy tập tin .BAT được dùng trong MS-DOS.

.CMD – Batch File: Cũng tương tự như tập tin .BAT, nhưng định dạng này

được giới thiệu lần đầu tiên trên Windows NT.

.VB, .VBS – VBScript file: Tập hợp các mã lệnh viết bằng ngôn ngữ

Visual Basic Script, chúng sẽ được thực thi nếu chúng ta mở file.

.VBE – Encrypted VBScript file: Tương tự như VBScript file, nhưng các

mã trong file đã được mã hóa để che giấu ý đồ tác động lên hệ thống.

JS – JavaScript file: Các tập tin .JS thường được dùng trong các trang web

và chúng sẽ an tồn nếu chỉ chạy trên trình duyệt web. Tuy nhiên, Windows

cũng có thể chạy các tập tin .JS này bên ngồi trình duyệt và điểu đó gây nguy

hiểm cho hệ thống.

.JSE – Encrypted JavaScript file: Tập tin JavaScript đã được mã hóa

.WS, .WSF: Windows Script file.

.WSC, .WSH – Windows Script Component và Windows Script Host

Control files: Các tập tin này được dùng cùng với Windows Script files.

.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 – Windows PowerShell

script: Các lệnh Windows PowerShell.

.MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML –

Monad script file: Monad sau đó được đổi thành PowerShell.

Shortcuts

.SCF – Windows Explorer command file.

.LNK – Link: Liên kết chỉ tới một phần mềm nào đó. Một tập tin liên kết

có khả năng chứa các dòng lệnh nguy hiểm, như copy một file từ chỗ này sang

chỗ khác hay xóa một tập tin mà không cần hỏi.

.INF – Một dạng tập tin văn bản được dùng bởi chức năng AutoRun có khả

năng gọi thực thi một phần mềm.

Một số loại tập tin khác:

.REG – Windows registry file: .REG chứa một danh sách các khóa registry

sẽ được thêm vào hoặc gỡ bỏ nếu chạy chúng. Một tập tin REG độc hại có thể

23



loại bỏ các thơng tin quan trọng từ registry, thay thế nó bằng các dữ liệu rác,

hoặc thêm dữ liệu độc hại hay tạo khóa khởi động cho Malware

.DOC, .XLS, .PPT – Microsoft Word, Excel, PowerPoint: Chúng có thể

chứa mã độc dạng Macro, hoặc mã độc lợi dụng lỗ hổng của MS-Offic

.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM,

.PPSM, .SL

DM: Định dạng tập tin mới được giới thiệu trong Office 2007 M ở cuối

của phần mở rộng tập tin chỉ ra rằng tài liệu chứa Macros. Ví dụ, một tập tin

DOCX khơng chứa macro, trong khi một tập tin .DOCM có thể chứa các macro.



24



CHƯƠNG III: PHÂN TÍCH GĨI TIN CHỨA MÃ ĐỘC

3.1. Tổng quan về phân tích gói tin chứa mã độc

Việc lây nhiễm mã độc trên các thiết bị CNTT có thể xảy ra từ rất nhiều

nguồn, máy tính của người sử dụng có thể bị lây nhiễm dễ dàng nếu người sử

dụng chưa có những am hiểm cần thiết về an tồn thơng tin và các cách phòng

tránh phù hợp. Từ một emal giả mạo, một chương trình quảng cáo, cách link

download lừa đảo,... người dùng có thể ngẫu nhiên click vào và tải một file hay

tệp tin chứa mã độc vào máy của mình. Khi tệp được kích hoạt mã độc sẽ gây ra

nhiều vấn để nghiêm trọng như: đánh cắp thông tin cá nhân người sử dụng, gây

nghẽn mạng, cô lập tài nguyên, lây truyền mã độc ra tồn mạng,...

Phân tích gói tin chứa mã độc là việc phân tích nội dung dữ liệu bên trong

của một gói tin được cho là chứa mã độc. Nó là phương pháp phân tích cách

hoạt động của mã độc khi mã độc được thực thi, xem xét mã độc hoạt động ra

sao, lây lan như thế nào, nó kết nối đến đâu, cài đặt những gì vào hệ thống, thay

đổi thành phần nào nhằm mục đích ngăn chặn việc lây nhiễm, tạo ra các dấu

hiệu nhận dạng hiệu quả.

Việc phân tích gói tin chứa mã độc đòi hỏi q trình theo dõi liên tục và lặp

đi lặp lại. Nếu thực hiện trên hệ thống thiết bị thật sẽ mất rất nhiều cơng sức và

thời gian. Nó cũng có thể gây thiệt hại lớn cho cả hệ thống của bạn. Vì thế, bạn

cần phải thiết lập một mơi trường an tồn cho việc chạy mã độc để có thể thu

thập thơng tin về mã độc một cách tốt nhất.

3.2 Công nghệ phân tích mã độc

Hầu hết mã độc ở dạng các chương trình, dịch vụ khơng thể đọc thơng

thường. Cách phân tích mã độc chính là: sử dụng các cơng cụ và các kỹ thuật

phân tích. Có hai kỹ thuật phân tích chính: phân tích tĩnh và phân tích động.

Có hai kĩ thuật phân tích chính:

+ Phân tích tĩnh (Phân tích mà khơng cần mã độc chạy trong hệ thống)



hình 3.1: phương pháp phân tích tĩnh trên Android

+ Phân tích động (Phân tích mã độc chạy thật trong hệ thống).



hình 3.2: Kỹ thuật phân tích động bằng remnux

=> Cả hai kĩ thuật này đều yêu cầu các mức phân tích cơ bản và phân tích

nâng cao.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG II: TẤN CÔNG SỬ DỤNG MÃ ĐỘC

Tải bản đầy đủ ngay(0 tr)

×