Tải bản đầy đủ (.docx) (31 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Phát hiện mã độc sử dụng phân tích động

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.78 MB, 31 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA AN TỒN THƠNG TIN

-----o0o----

BÁO CÁO BÀI TẬP LỚN

MƠN HỌC: PHÂN TÍCH MÃ ĐỘC
Đề tài: Phát hiện mã độc sử dụng phân tích động

MỤC LỤC

A. TỔNG QUAN LÝ THUYẾT.................................................................................3
I. Mã độc là gì?...........................................................................................................3
1. Mã độc được phân tích trong bài báo cáo...........................................................3
II. Phân tích động.......................................................................................................5
1. Khái niệm, ưu nhược điểm..................................................................................5
2. Vai trò và tầm quan trọng của phân tích động....................................................6
3. Quy trình phân tích động.....................................................................................6
III. Các công cụ sử dụng trong quá trình phân tích động...........................................8
1. Process Hacker....................................................................................................8
2. Process Monitor..................................................................................................8
3. Process Explorer..................................................................................................9
4. Regshot..............................................................................................................10
5. Fakenet-NG.......................................................................................................11
6. Wireshark..........................................................................................................12

B. DEMO – PHÂN TÍCH CÁC MẪU THỬ...........................................................13
I. Mẫu Trojan “Win33.exe”......................................................................................13
II. Mẫu “SnakeKeylogger.exe”................................................................................24


2

A. TỔNG QUAN LÝ THUYẾT

I. Mã độc là gì?

Mã độc (Malware hay Malicious software) là một loại phần mềm được tạo ra
và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống,
lấy cắp thông tin, làm gián đoạn hoặc tổn hại tới tính bí mật, tính tồn vẹn và tính sẵn
sàng của hệ thống hay các máy tính cá nhân. Nó có thể có dạng một tập tin thực thi,
script, mã nguồn hoặc bất kỳ phần mềm nào khác. Kẻ tấn công sử dụng mã độc để
đánh cắp thông tin nhạy cảm, giám sát hệ thống bị nhiễm và chiếm quyền kiểm sốt
hệ thống. Thơng thường, mã độc xâm nhập trái phép vào hệ thống của nạn nhân và có
thể lây lan qua các kênh truyền thông khác nhau như email, web hoặc ổ đĩa USB.

1. Mã độc được phân tích trong bài báo cáo

a. Trojan “win33.exe”

Trojan là một nhóm các chương trình độc hại được phân biệt bởi khả năng giả
mạo như phần mềm lành tính. Tùy thuộc vào loại của chúng, trojan sở hữu nhiều khả
năng khác nhau, từ việc duy trì kiểm sốt từ xa hồn toàn đối với máy của nạn nhân
đến đánh cắp dữ liệu và tệp, cũng như thả phần mềm độc hại khác. Đồng thời, chức
năng chính của mỗi họ trojan có thể khác nhau đáng kể tùy thuộc vào loại của nó.

Mã độc win33.exe là một Trojan thuộc họ Dexter được đánh giá với mức độ
nguy hiểm cao khi nó có thể giả mạo các phần mềm an toàn và đánh cắp mật khẩu và
thơng tin người dùng. Win33.exe giả mạo chương trình iexplore.exe để đánh lừa
người dùng rằng nó là một chương trình vô hại. Iexplore.exe là một thành phần của
Windows Internet Explorer – trình duyệt web được phát triển bởi Mincrosoft, kẻ tấn

cơng cố tình đặt cho các quy trình của họ cùng tên tệp để tránh bị phát hiện. Có thể kể
đến các virus có cùng tên file iexplore.exe như Trojan-Spy.Win32.WinSpy.acj hoặc
Backdoor.Win32.Cbot.bg (được phát hiện bởi Kaspersky) và Spyware.PCAcme hoặc
WS.Reputation.1 (được phát hiện bởi Symantec).

Sau đây là các thông tin về mã độc win33.exe:

Tên file Win33.exe
Mức độ đánh Nguy hiểm

giá Microsoft Windows
Hệ điều hành Trojan

Loại application/x-dosexec
MIME
3

MD5 140D24AF0C2B3A18529DF12DFBC5F6DE

SHA1 E8DB5AD2B7FFEDE3E41B9C3ADB24F3232D764931

SHA256 4EABB1ADC035F035E010C0D0D259C683E18193F509946652ED8AA7C5D92B6A92

b. Mẫu “SnakeKeylogger.exe”

Snake Keylogger là phần mềm độc hại đánh cắp thông tin được viết bằng ngôn
ngữ lập trình .NET. Nó được phát hiện vào tháng 11 năm 2020 và còn được gọi là
404 Keylogger, 404KeyLogger và Snake. Snake Keylogger đánh cắp nhiều thông tin
khác nhau từ nạn nhân, chẳng hạn như thông tin đăng nhập đã lưu, dữ liệu clipboard,
tổ hợp phím và ảnh chụp màn hình màn hình của nạn nhân. Phần mềm độc hại này

cũng kiểm tra và thu thập thông tin hệ thống, bao gồm tên máy chủ, tên người dùng,
địa chỉ IP, vị trí địa lý, ngày giờ của hệ thống, v.v. Sau đó, nó lọc thơng tin được thu
thập thơng qua các giao thức như FTP, SMTP và Telegram.

Thông tin về mẫu SnakeKeylogger.exe:

Tên File SnakeKeylogger.exe

Ngày phát Ngày 15 tháng 8 năm 2019
hiện Ngày 29 tháng 3 năm 2022

Lần cuối Nguy hiểm
nhìn thấy Windows 10
411019bcb582ef6e3dab080d99925b4b
Mức độ f381e338212079c3a03fbbb532cdec44b1d27db03e8cc4c47408ef038885d934
đánh giá

Hệ điều
hành

MD5

SHA256

4

II. Phân tích động

1. Khái niệm, ưu nhược điểm


Phân tích động trong phân tích mã độc là việc theo dõi và nghiên cứu cách mã
độc hoạt động trong mơi trường thực thi. Nó giúp phát hiện và hiểu rõ hành vi của mã
độc, xác định các hoạt động đáng ngờ, thu thập thông tin quý báu về mục tiêu và
chức năng của mã độc, giúp tạo chữ ký phát hiện và biện pháp phịng chống.

Ưu điểm:

 Tính tổng quan: Phân tích động cho phép bạn quan sát cách mã độc hoạt động
trong mơi trường thực tế. Điều này có nghĩa rằng bạn có thể hiểu rõ hơn về tác
động thực tế của mã độc và cách nó tương tác với hệ thống và dữ liệu.

 Phát hiện mã độc ẩn: Nếu mã độc tự giải mã hoặc tự triển khai trong quá trình
chạy, phân tích tĩnh có thể bỏ lỡ nó. Phân tích động có thể tiết lộ các hành vi
độc hại mà phân tích tĩnh không thể nhận diện được.

 Khả năng xác minh và theo dõi: Phân tích động cho phép bạn xác minh cách
mã độc tương tác với hệ thống và dữ liệu, và theo dõi các hoạt động độc hại
qua thời gian. Điều này có thể giúp bạn phát hiện và ngăn chặn các tấn cơng
trong q trình diễn ra.

 Khả năng thí nghiệm và đánh giá tấn cơng: Bằng cách sử dụng phân tích động,
bạn có thể thực hiện các thử nghiệm và đánh giá các tình huống tấn công một
cách an tồn mà khơng cần làm hỏng hệ thống hoặc dữ liệu thật.

Nhược điểm

 Địi hỏi mơi trường thực tế: Phân tích động địi hỏi một mơi trường thực tế để
thử nghiệm mã độc, điều này có thể gây ra rủi ro nếu khơng thực hiện cẩn thận.
Mã độc có thể gây hại cho hệ thống và dữ liệu trong q trình phân tích.


 Khả năng phát hiện thấp: Mã độc có thể phát hiện sự hiện diện của môi trường
phân tích động và thay đổi hành vi của nó để tránh bị phát hiện.

 Thời gian và tài ngun: Phân tích động thường địi hỏi nhiều thời gian và tài
nguyên hơn so với phân tích tĩnh. Việc theo dõi và ghi lại các hoạt động của
mã độc có thể tốn thời gian và cần nguồn tài nguyên máy tính mạnh mẽ.

 Khả năng hiện thực: Phân tích động có thể khơng hiệu quả khi bạn khơng thể
tạo môi trường thực tế tương tự cho mã độc, ví dụ khi mã độc phụ thuộc vào
các điều kiện môi trường cụ thể.

5

2. Vai trị và tầm quan trọng của phân tích động
Phân tích động (dynamic analysis) là một phần quan trọng trong quá trình phân

tích mã độc. Nó đóng một vai trị quan trọng trong việc hiểu cách mã độc hoạt động,
xác định tác vụ của nó và tìm ra các tác động khơng mong muốn hoặc có hại.

 Hiểu cách hoạt động: Phân tích động cho phép nghiên cứu và theo dõi hoạt
động của mã độc trong môi trường chạy thực tế. Điều này giúp xác định cách
mã độc tương tác với hệ thống và dữ liệu của nó, bao gồm cách nó truy cập, sử
dụng và thay đổi tài nguyên hệ thống.

 Xác định tác vụ: Bằng cách quan sát hành vi của mã độc trong môi trường thực
tế, phân tích động có thể giúp xác định mục tiêu và tác vụ của mã độc. Điều
này rất quan trọng để hiểu mục đích cuối cùng của mã độc và cách nó tác động
vào hệ thống.

 Phát hiện tác động không mong muốn: Phân tích động cũng giúp phát hiện các

tác động không mong muốn hoặc có hại đối với hệ thống, chẳng hạn như việc
lấy cắp thông tin cá nhân, thực hiện các hoạt động độc hại, hoặc gây hại cho hệ
thống. Điều này giúp nhà nghiên cứu bảo mật tìm cách ngăn chặn hoặc loại bỏ
mã độc này khỏi hệ thống.

 Phân tích các kỹ thuật phịng ngừa: Phân tích động giúp hiểu cách mã độc
tránh các công cụ bảo mật và các biện pháp phịng ngừa. Điều này có thể giúp
cải thiện các biện pháp bảo mật hiện có và phát triển các giải pháp mới để ngăn
chặn mã độc.

 Cung cấp thông tin cho việc phân tích tĩnh: Kết quả từ phân tích động có thể
cung cấp thơng tin quan trọng cho phân tích tĩnh, giúp tạo ra một cái nhìn tồn
diện về mã độc. Phân tích động và tĩnh thường đi đôi và bổ sung lẫn nhau để
tạo ra một hình ảnh rõ ràng về mã độc.

3. Quy trình phân tích động
Quy trình thực hiện phân tích động gồm 4 Phase như sơ đồ sau:

6

Phase 1: Baseline

+ Tạo một máy ảo với hệ điều hành cần thiết.
+ Cài đặt tất cả các công cụ cần thiết.
+ Tạo một bản snapshot của máy ảo.

Phase 2: Pre-Execution

+ Thực hiện bất kỳ cấu hình cụ thể nào nếu cần thiết.
+ Chuyển mẫu Malware vào máy ảo.

+ Khởi động các cơng cụ cần thiết (ví dụ: giám sát, theo dõi, gỡ lỗi, v.v.).

Phase 3: Post-Execution

+ Thực thi Malware.
+ Bắt đầu theo dõi và giám sát hành vi và hoạt động của nó.
+ Theo dõi cuộc gọi hệ thống.
+ Truy cập vào các tệp tin.
+ Ghi lưu lưu lượng mạng...
+ Ghi lại/Chụp ảnh màn hình, bộ nhớ, tệp cấu hình, tệp đăng ký, các tệp tin được

giải nén, v.v.

Phase 4: Analyze and Document

+ Phân tích và ghi chú về mọi thứ đã xảy ra.
+ Quan sát hành vi hiển thị.
+ Ghi lại sự kiện và hành động.

7

III. Các cơng cụ sử dụng trong q trình phân tích động

1. Process Hacker

Process Hacker là một công cụ cho hệ điều hành Windows, được sử dụng để
quản lý quá trình và thực hiện phân tích động các tiến trình và q trình trên hệ
thống. Dưới đây là một số thông tin về công cụ Process Hacker, đánh giá và ưu
nhược điểm của nó trong việc sử dụng để phân tích mã độc:


Ưu điểm:

 Giao diện dễ sử dụng: Process Hacker có một giao diện đồ họa dễ sử dụng,
giúp người dùng dễ dàng quản lý và theo dõi các tiến trình trên hệ thống.

 Xem chi tiết q trình: Nó cho phép bạn xem thơng tin chi tiết về mỗi tiến
trình, bao gồm các tệp tin và thư mục mà tiến trình đang truy cập và thơng tin
về mạng.

 Dễ dàng tìm kiếm và lọc: Process Hacker cung cấp các tính năng tìm kiếm và
lọc mạnh mẽ để giúp bạn tìm kiếm các tiến trình cụ thể hoặc theo dõi hoạt
động đáng ngờ.

 Hỗ trợ đa nhiệm vụ: Ngoài việc quản lý quá trình, Process Hacker cũng hỗ trợ
quản lý các tác vụ và dịch vụ trên hệ thống.

Nhược điểm:

 Phần mềm bảo mật có thể phát hiện: Một số phần mềm bảo mật có thể nhận
diện Process Hacker như một phần mềm độc hại, vì nó có khả năng thay đổi
tiến trình và quá trình chạy của hệ thống.

 Khả năng gây hỏng hệ thống: Sử dụng không cẩn thận hoặc khơng hiểu rõ có
thể dẫn đến tình trạng khơng mong muốn, ví dụ như tắt tiến trình quan trọng
hoặc thay đổi cài đặt hệ thống.

 Cần kiến thức về hệ thống: Để sử dụng hiệu quả Process Hacker cho việc phân
tích mã độc, bạn cần có kiến thức về hệ thống và quá trình làm việc của các
tiến trình.


 Không phải công cụ chuyên biệt: Process Hacker chủ yếu là một công cụ quản
lý tiến trình và quá trình trên hệ thống, không phải là một công cụ phân tích mã
độc chuyên biệt. Điều này có nghĩa là nó có giới hạn trong việc phân tích mã
độc so với các công cụ chuyên biệt khác như IDA Pro hoặc OllyDbg.

2. Process Monitor

Công cụ Process Monitor là một ứng dụng mạnh mẽ được phát triển bởi
Microsoft, được sử dụng để theo dõi và ghi lại các hoạt động hệ thống trên máy tính
chạy hệ điều hành Windows. Nó cung cấp thông tin chi tiết về các sự kiện liên quan

8

đến hệ thống, bao gồm tệp tin, Registry, quá trình (process), mạng và các tài nguyên
hệ thống khác. Process Monitor thường được sử dụng để các mục đích sau:

Ưu điểm:

 Theo dõi hoạt động hệ thống chi tiết: Process Monitor cung cấp một cái nhìn
chi tiết về tất cả các hoạt động hệ thống, cho phép bạn xem các tệp tin được
mở, Registry được thay đổi, quá trình nào được tạo ra hoặc kết thúc, và các kết
nối mạng nào được thiết lập.

 Sử dụng cùng với công cụ phân tích mã độc khác: Nó có thể kết hợp tốt với các
công cụ phân tích mã độc khác như debuggers hoặc disassemblers để cung cấp
thông tin về hoạt động của mã độc trong môi trường thực tế.

 Lọc và tìm kiếm dễ dàng: Process Monitor cho phép bạn áp dụng các bộ lọc và
tìm kiếm để tập trung vào các hoạt động quan trọng hoặc loại bỏ sự kiện không
cần thiết.


 Xem thời gian thực: Bạn có thể xem các sự kiện theo thời gian thực, giúp theo
dõi và phân tích các hoạt động một cách nhanh chóng.

Nhược điểm:

 Dễ gây rối: Process Monitor có thể tạo ra lượng dữ liệu lớn, và việc hiểu và lọc
thơng tin có thể địi hỏi kỹ năng và kiến thức kỹ thuật.

 Cần kiến thức kỹ thuật: Để sử dụng Process Monitor một cách hiệu quả để
phân tích mã độc, bạn cần phải có kiến thức về hệ thống và quy trình làm việc
của các tiến trình.

 Khơng phải công cụ chuyên biệt: Process Monitor là công cụ tổng quan cho
việc theo dõi hoạt động hệ thống và không phải là một cơng cụ phân tích mã
độc chuyên biệt.

3. Process Explorer

Cơng cụ Process Explorer là một tiện ích quản lý tiến trình cho hệ điều hành
Windows, được phát triển bởi Sysinternals, một công ty con của Microsoft. Process
Explorer cho phép người dùng xem và quản lý các tiến trình đang chạy trên máy tính.
Dưới đây là một số thông tin về công cụ Process Explorer, đánh giá và ưu nhược
điểm của nó trong việc sử dụng để phân tích mã độc:

Ưu điểm:

 Xem chi tiết q trình: Process Explorer cung cấp thơng tin chi tiết về mỗi tiến
trình, bao gồm thơng tin về tệp tin, Registry, tài nguyên mạng và các thông số
kỹ thuật.


9

 Truy cập nhanh đến thông tin hệ thống: Nó cho phép bạn xem thơng tin về các
thư mục hệ thống, tài nguyên mạng, và các kết nối mạng hiện đang mở.

 Tìm kiếm và lọc: Process Explorer có tính năng tìm kiếm và lọc mạnh mẽ để
tìm kiếm và xác định tiến trình cụ thể hoặc tập trung vào các hoạt động đáng
ngờ.

 Thể hiện các quan hệ giữa tiến trình: Nó cho phép bạn thấy các tiến trình con
và tiến trình cha, giúp hiểu rõ quan hệ giữa chúng.

 Dễ sử dụng: Process Explorer có giao diện người dùng dễ sử dụng và cung cấp
nhiều tính năng mạnh mẽ.

Nhược điểm:

 Không phải công cụ chuyên biệt cho phân tích mã độc: Process Explorer chủ
yếu là một công cụ quản lý tiến trình và quá trình trên hệ thống, không phải là
một cơng cụ phân tích mã độc chun biệt. Điều này có nghĩa là nó có giới hạn
trong việc phân tích mã độc so với các công cụ chuyên biệt khác.

 Khả năng gây hiểu nhầm: Sử dụng không cẩn thận có thể dẫn đến hiểu nhầm
hoặc tắt nhầm các tiến trình quan trọng trên hệ thống.

 Cần kiến thức về hệ thống: Để sử dụng hiệu quả Process Explorer cho việc
phân tích mã độc, bạn cần phải có kiến thức về hệ thống và quá trình làm việc
của các tiến trình.


4. Regshot

Cơng cụ Regshot là một tiện ích quản lý tiến trình cho hệ điều hành Windows,
được phát triển bởi Sysinternals, một công ty con của Microsoft. Regshot được sử
dụng để thực hiện phân tích sự thay đổi trong Registry của hệ thống sau một quá trình
hoặc sự kiện cụ thể. Dưới đây là một số thông tin về cơng cụ Regshot, đánh giá và ưu
nhược điểm của nó trong việc sử dụng để phân tích mã độc:

Ưu điểm:

 Sự đơn giản: Regshot là một công cụ đơn giản và dễ sử dụng, giúp người dùng
dễ dàng thực hiện phân tích thay đổi Registry sau một quá trình hoặc sự kiện
cụ thể.

 Theo dõi thay đổi Registry: Regshot cho phép bạn so sánh hai lần chụp
Registry để xác định những thay đổi đã xảy ra. Điều này có thể hữu ích để theo
dõi tác động của mã độc đối với hệ thống.

 Tạo báo cáo dễ đọc: Regshot có khả năng tạo ra báo cáo thay đổi dễ đọc, giúp
bạn hiểu rõ những thay đổi cụ thể đã xảy ra trong Registry.

Nhược điểm:

10

 Chỉ tập trung vào Registry: Regshot chủ yếu là một cơng cụ phân tích thay đổi
Registry, nên nó có giới hạn trong việc theo dõi các thay đổi khác như hoạt
động tệp tin, mạng, hoặc tiến trình.

 Cần kiến thức về Registry: Để sử dụng Regshot hiệu quả, bạn cần phải có kiến

thức về cách hoạt động của Registry và cách xử lý thông tin trong các tệp dữ
liệu định dạng REG.

 Khơng phải cơng cụ chun biệt cho phân tích mã độc: Regshot không phải là
cơng cụ phân tích mã độc chun biệt và không thể tự động xác định mã độc
hoặc malware.

5. Fakenet-NG

Công cụ FakeNet-NG (Network Simulation Tool) được sử dụng để mô phỏng
và theo dõi các hoạt động mạng giả mạo trên một máy tính hoặc một mơi trường cụ
thể. Nó có thể được sử dụng cho mục đích phân tích mã độc, đặc biệt là để theo dõi
giao tiếp mạng của phần mềm độc hại và ghi lại các hoạt động liên quan đến mạng.
Dưới đây là một số thông tin về công cụ FakeNet-NG, đánh giá và ưu nhược điểm
của nó trong việc sử dụng để phân tích mã độc:

Ưu điểm:

 Ghi lại giao tiếp mạng giả mạo: FakeNet-NG cho phép bạn tạo ra một môi
trường mạng giả mạo để ghi lại giao tiếp mạng giả đối với các phần mềm độc
hại hoặc ứng dụng. Điều này giúp bạn hiểu rõ cách mã độc tương tác với các
máy chủ từ xa hoặc truyền thông qua mạng nội bộ.

 Phát hiện mơ hình giao tiếp: Cơng cụ này có khả năng phát hiện mơ hình giao
tiếp mạng, bao gồm các yêu cầu HTTP, DNS lookups, kết nối TCP/UDP, và
ghi lại các dữ liệu được truyền qua mạng.

 Mã nguồn mở: FakeNet-NG là một dự án mã nguồn mở, có nghĩa là bạn có thể
xem mã nguồn và tùy chỉnh nó để phù hợp với nhu cầu cụ thể của bạn.


Nhược điểm:

 Cần kiến thức kỹ thuật: Để sử dụng FakeNet-NG một cách hiệu quả, bạn cần
có kiến thức về mạng, giao thức mạng và quá trình ghi lại dữ liệu.

 Khơng phải cơng cụ phân tích mã độc chuyên biệt: FakeNet-NG chủ yếu là
một công cụ tạo môi trường mạng giả mạo và ghi lại hoạt động mạng. Nó
khơng cung cấp tính năng phân tích mã độc chuyên sâu hoặc xác định mã độc.

 Khả năng giả mạo mạng: Một số phần mềm độc hại có thể phát hiện và tránh
FakeNet-NG hoặc các mơi trường mạng giả mạo tương tự, do đó khơng phải
lúc nào cũng hiệu quả trong việc ghi lại tất cả các hoạt động mạng.

11

6. Wireshark

Wireshark là một cơng cụ phân tích mạng mạnh mẽ và rất phổ biến, được sử
dụng để kiểm tra và phân tích các gói dữ liệu mạng trên một mạng hoặc trên một máy
tính cụ thể. Dưới đây là một số thơng tin về công cụ Wireshark, đánh giá và ưu nhược
điểm của nó trong việc sử dụng để phân tích mã độc:

Ưu điểm:

 Ghi lại và phân tích gói dữ liệu mạng: Wireshark cho phép bạn ghi lại và phân
tích chi tiết các gói dữ liệu mạng, bao gồm các giao thức mạng, kết nối mạng
và dữ liệu được truyền qua mạng.

 Hỗ trợ nhiều giao thức: Wireshark hỗ trợ nhiều giao thức mạng khác nhau, cho
phép bạn theo dõi và phân tích giao tiếp mạng trong nhiều ngữ cảnh khác nhau.


 Giao diện dễ sử dụng: Công cụ này có giao diện người dùng đồ họa dễ sử dụng
và cung cấp nhiều tính năng tìm kiếm, lọc và phân tích.

 Phân tích dữ liệu mạng động: Wireshark cho phép bạn xem và phân tích dữ
liệu mạng động theo thời gian thực, giúp bạn theo dõi và phân tích các sự kiện
mạng khi chúng xảy ra.

 Tích hợp với các cơng cụ phân tích mã độc khác: Wireshark có thể kết hợp với
các công cụ phân tích mã độc khác để cung cấp thơng tin về hoạt động mạng
liên quan đến mã độc.

Nhược điểm:

 Khả năng lọc và phân tích dữ liệu mạng phức tạp: Dữ liệu mạng có thể rất lớn
và phức tạp, đòi hỏi kiến thức kỹ thuật và kỹ năng để hiểu và phân tích.

 Khơng phải cơng cụ phân tích mã độc chun biệt: Wireshark là cơng cụ
chuyên biệt trong phân tích mạng và gói dữ liệu mạng, khơng phải là một công
cụ phân tích mã độc chun biệt. Điều này có nghĩa là nó tập trung vào việc
theo dõi và phân tích mạng, khơng phải là việc xác định và loại bỏ mã độc.

 Phát hiện và giải mã mã độc phức tạp khó khăn: Mã độc có thể được thiết kế
để tránh phát hiện và mã hóa giao tiếp mạng, làm cho việc phân tích bằng
Wireshark trở nên phức tạp.

B. DEMO – PHÂN TÍCH CÁC MẪU THỬ

I. Mẫu Trojan “Win33.exe”


Các công cụ sử dụng:
12

Process: Process Explorer
File: Process Monitor
Registry Key: Regshot, Process Monitor
Network: Fakenet-NG, Wireshark
Sau đây chung ta sẽ tiến hành phân tích động mẫu mã độc win33.exe
Bước 1: Tạo mơi trường an tồn cho việc phân tích
Đầu tiên chúng ta sẽ tạo môi trường cô lập để đảm bảo an tồn cho việc phân
tích mã độc này. Chi tiết:
Công cụ giả lập: Oracle VM VirtualBox 7.0.10
Môi trường: Windows 7 Ultimate 64 bit
Tắt tường lửa:

Cấu hình mạng: mạng kín được giả lập bởi Fakenet-NG
a. Lựa chọn card mạng Host-only Adapter trên VirtualBox

13

b. Cấu hình địa chỉ ip tĩnh cho máy tính với các thông số:
IP: 192.168.56.101
Subnet Mark: 255.255.255.0
Gateway: 192.168.56.110
DNS: 4.2.2.2

c. Chạy FakeNet-NG ghi log vào file log.txt, việc cấu hình mạng đến đâyđã
hoàn tất

14


Bước 2: Khởi động các công cụ phục vụ cho việc phân tích
Để phân tích mã độc, chúng ta bật các cơng cụ được sử dụng là process

explorer, process monitor, regshot, wireshark. Đối với regshot, trước khi chạy mã độc
ta cần click vào nút 1st shot.

Bước 3: Chạy file win33.exe và theo dõi hành vi của nó
Theo dõi Process:
Chạy file win33.exe dưới quyền Administrator. Theo dõi các tiến trình trên

Process Explorer, ta thấy tiến trình win33.exe chạy đầu tiên, sau đó biến mất và tiến
trình mới iexplore.exe được tạo ra.

15

Xem log về process trong process monitor, ta thấy tiến trình win33.exe (Pid
4852) được tạo ra đầu tiên, sau đó nó thực hiện việc load các file dll và tạo file mới.

Sau đó tiến trình Process Create của win33.exe thực hiện tạo mới một file
iexplore.exe trong thư mục C:/ProgramFiles(x86)/Internet Explorer/ . Từ đây, tiến
trình iexplore.exe ( Pid 3844) được tạo ra và khởi chạy. Tiếp theo, tiến trình
win33.exe load file iexplore.exe và kết thúc chính nó.

16

Theo dõi File:
Theo như kết quả ở phần theo dõi tiến trình, ta thấy rằng mẫu mã độc đã thực
hiện tạo mới file iexplore.exe trong thư mục C:/ProgramFiles(x86)/Internet
Explorer.


17

File iexplore.exe được đặt tên trùng với một thành phần chính thức của Internet
Explorer nhằn đánh lừa người dùng rằng nó là một chương trình an tồn. Tuy nhiên
ta có thể thấy nó được tạo ra với tiến trình win33.exe

Ngồi ra, tiến trình của mã độc còn tạo thư mục Java Sercurity Plugin và một
file javaplugin.exe:

Theo dõi Registry Key:
Mở phần ghi log về Registry Key trong Process Monitor, ta thấy tiến trình
iexplore.exe của mã độc đã thực hiện mở và thay đổi cài đặt vùng của người dùng

18

Ở phần theo dõi File, ta thấy một file thực thi javaplugin.exe đã được tạo ra,
phần mềm độc hại sau đó sẽ tự sao chép vào tệp thực thi "javaplugin.exe" mới được
tạo ra trong "…\AppData \ Roaming"này và sau đó khố đăng ký liên quan đến việc
khởi động chương trình trên máy được thay đổi trong:

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Tìm thấy khóa được thay đổi trong Regedit:

19

Thơng qua khóa đăng ký này, phần mềm độc hại chắc chắn sẽ khởi động cùng
lúc với máy bị nhiễm.


Kỹ thuật này dựa trên tính hợp pháp của một chương trình giả mạo như một
plugin bảo mật Java. Loại tên này được sử dụng để ngăn cản người dùng khơng nghi
ngờ và xóa chương trình này khỏi danh sách tự khởi động.

Phần mềm độc hại cũng sẽ xóa tệp thực thi mà nó được khởi chạy trong phần
này của mã.

Theo dõi mạng:
Phát hiện thấy có kết nối đến địa chỉ IP 151.248.115.107 của tiến trình
iexplore.exe

20


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×