1
MỞ ĐẦU
1. Tính cấp thiết của đề tài
Trong thời gian gần đây xuất hiện hình thức tấn cơng mới của
những kẻ tấn cơng. Đó là kỹ thuật tấn cơng mạng mà không gây ảnh
hưởng đến hệ thống công nghệ thông tin của các tổ chức và doanh
nghiệp. Cách thức tấn công của kỹ thuật tấn công này rất đơn giản
nhưng mang lại hiệu quả rất cao và lợi nhận khổng lồ cho kẻ tấn
công. Kỹ thuật tấn công được nhắc tới đó chính là kỹ thuật phát tán
mã độc tống tiền (Ransomware) và kỹ thuật này đặc biệt nguy hiểm
với phiên bản WANNACRY. Giống như các phiên bản khác của mã
độc Ransomware, mã độc WANNACRY sau khi lây nhiễm vào hệ
thống máy tính liền ngay lập tức tìm đến các file dữ liệu trong máy
tính nạn nhân để mã hóa. Sau khi mã hóa xong nếu nạn nhân khơng
tự bỏ tiền ra mua khóa bí mật từ kẻ tấn cơng để giải mã thì tồn bộ dữ
liệu này khơng thể sử dụng được.
Từ những lý do trên học viên với sự hướng dẫn của TS. Đỗ
Xuân Chợ lựa chọn đề tài: “Phân tích mã độc tống tiền
WANNACRY”. Kết quả nghiên cứu của đề tài sẽ là các hình vi của
mã độc WANNACRY. Các kết quả này phần nào sẽ giúp các nhà
quản trị mạng hiểu rõ hơn về nguyên tắc làm việc của mã độc
WANNACRY cũng như cung cấp các tài liệu ban đầu cho cơ quan
điều tra trong việc truy tìm nguồn gốc phát tán của mã độc.
2. Tổng quan vấn đề cần nghiên cứu
Để luận văn đạt được những kết quả trên, cần nghiên cứu và
làm rõ các nội dung:
- Nghiên cứu về mã độc ransomware;
- Nghiên cứu về mã độc WANNACRY;
- Nghiên cứu về các phương pháp phân tích mã độc;
2
- Tìm hiểu về một số cơng cụ hỗ trợ phân tích mã độc.
3. Mục đích nghiên cứu
- Tìm hiểu về mã độc tống tiền Ransomware, biến thể
WANNACRY và biện pháp phịng chống.
- Tìm hiểu về một số kỹ thuật phân tích mã độc.
- Tìm hiểu về một số cơng cụ phân tích mã độc.
4. Đối tƣợng và phạm vi nghiên cứu
- Đối tượng nghiên cứu: mã độc WANNACRY.
- Phạm vi nghiên cứu: các kỹ thuật, công cụ để phân tích mã
độc WANNACRY.
5. Phƣơng pháp nghiên cứu
Dựa trên cơ sở lý thuyết của mã độc ransomware và biến thể
WANNACRY; các giải pháp cơng nghệ phịng chống mã độc
ransomware.
3
Chƣơng 1 - TỔNG QUAN VỀ MÃ ĐỘC
WANNACRY
1.1. Tổng quan về mã độc
1.1.1. Khái niệm về mã độc
Mã độc là chương trình được cố ý thiết kế để thực hiện trái
phép một số hành động gây nguy hại cho hệ thống máy tính. Mã độc
bản chất là một phần mềm như những phần mềm khác trên máy tính
vẫn sử dụng hàng ngày và có đầy đủ những đặc điểm, tính chất của
một phần mềm bình thường chỉ khác là có thêm tính độc hại. Một số
loại mã độc được biết đến như: worm, trojan, spy-ware, ... thậm chí
là virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker
thường sử dụng như: backdoor, rootkit, key-logger.
1.1.2. Phân loại mã độc
Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp
phá hoại để đưa ra nhiều tiêu chí để phân loại mã độc, nhưng hai tiêu
chí được sử dụng nhiều nhất là phân loại theo hình thức lây nhiễm và
theo phân loại của NIST (National Institute of Standart and
Technology).
- Phân loại theo hình thức lây nhiễm
- Phân loại theo NIST
1.2. Giới thiệu về mã độc ransomware
1.2.1. Khái niệm và lịch sử phát triển
Ransomware là một loại mã độc ngăn chặn hoặc giới hạn
người dùng sử dụng thiết bị, hệ thống hoặc dữ liệu của mình. Một số
thì mã hóa tập tin khiến khơng thể mở được tài liệu trong máy, một
số khác thì dùng cơ chế khóa máy để không cho nạn nhân tiếp tục sử
dụng. Hầu hết các phần mềm ransomware đều chiếm quyền và mã
hóa tồn bộ thơng tin của nạn nhân mà nó tìm được (thường gọi là
4
Cryptolocker), còn một số loại ransomware khác lại dùng TOR để
giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB
Locker). Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng
hệ thống.
1.2.2. Phân loại
a) Phân loại theo các loại biến thể
Mã độc tống tiền ransomware khơng cịn là mới mẻ – nó đã có
lịch sử gần 30 năm hình thành và phát triển. Ransomware có hai biến
thể chính là: “blocker” khóa người dùng truy cập dữ liệu
và „encryptor„ mã hóa dữ liệu người dùng.
Trong giai đoạn 2014 – 2015 và 2015 – 2016 các biến thể của
ransomware đã phát triển cực kì nhanh chóng. Từ hai thống kê trên
cho thấy thay đổi lớn nhất khiến ransomware trở nên báo động là sự
phát triển của mã độc tống tiền dạng mã hóa.
Reveton hay cịn có tên gọi khác police ransomware vì các
loại ransomware dạng này khi xâm nhập vào máy tính của nạn nhân,
sẽ hiển thị thông báo như một đơn vị luật pháp thực thụ. Các biến thể
của reventon sử dụng nhiều tài khoản, cách thức thanh toán khác
nhau để nhận tiền của nạn nhân, thông thường là các hệ thống
như UKash, PaySafeCard, hoặc MoneyPak.
Cryptolocker: Các cuộc tấn công của ransomware
cryptolocker là một tấn công mạng xảy ra từ 05 tháng 9 2013 đến
cuối tháng năm 2014 mục tiêu nhằm vào các máy tính chạy hệ điều
hành microsoft windows. Phần mềm độc hại sẽ hiển thị thông báo
đưa ra giải mã dữ liệu nếu thanh tốn (thơng qua bitcoin hoặc chứng
từ thanh tốn trước) được thực hiện đúng thời hạn và sẽ đe dọa xóa
khóa riêng nếu vượt qua thời hạn.
Fusob là một trong những biến thể của ransomware trên di
động.
5
Wanacry (tạm dịch là "Muốn khóc") cịn được gọi là
wannadecryptor 2.0, là một phần mềm độc hại mã độc tống tiền tự
lan truyền trên các máy tính sử dụng microsoft windows. Vào ngày
12 tháng 5 năm 2017, wanacry bắt đầu gây ảnh hưởng đến các máy
tính trên tồn thế giới. Đã có hơn 45.000 cuộc tấn cơng được ghi
nhận tại 99 quốc gia.
Khi lây nhiễm vào một máy tính mới, Wanacry sẽ liên lạc với
một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận
ra địa chỉ web khơng thể truy cập được. Nhưng nếu nó có thể kết nối
được, Wanacry sẽ tự xóa bản thân – một chức năng có thể đã được
cài đặt bởi người tạo ra nó như một "cơng tắc an tồn" trong trường
hợp phần mềm trở nên khơng kiểm soát được.
Petrwrap: Mã độc này là biến thể của Petya, có tên Petrwrap,
gây tê liệt nhiều ngân hàng, sân bay, máy ATM và một số doanh
nghiệp lớn tại châu Âu.
b) Phân bố theo địa lí của mã độc ransomware
Số lượng người dùng bị tấn công phân loại theo địa lí được
thống kê bởi khách hàng sử dụng sản phẩm bảo mật của Kaspersky
trên toàn cầu. Ấn Độ, Brazil và Đức dẫn đầu danh sách với số lượng
người dùng bị tấn công ngày một tăng, số lượng người dùng tại Hoa
Kỳ, Việt Nam, Algeria, Ukraine và Kazakhstan giảm nhẹ.
1.3. Giới thiệu về mã độc tống tiền Wannacry
1.3.1. Mã độc Wannacry
WannaCry với các tên gọi khác: WannaCrypt, WannaCryp0r,
WannaDecrypt0r, là loại mã độc tống tiền với hành vi mã hóa dữ liệu
trên máy nạn nhân và đòi trả tiền chuộc bằng Bitcoin. Nó hỗ trợ 28
ngơn ngữ và thực hiện mã hóa trên 179 định dạng file khác nhau. Mã
độc này được thực thi và lây nhiễm trên các máy tính chạy hệ điều
hành Microsoft Windows, từ các phiên bản Windows XP cho tới
6
Windows 10, đa số nạn nhân của Wannacry là người dùng sử dụng
Windows 7.
1.3.2. Cách thức hoạt động của mã độc Wannacry
a) Phương pháp lây nhiễm của Wannacry
Hai phương pháp lây nhiềm chủ yếu của mã độc Wannacry:
- Gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin
thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng.
- Gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến
phần mềm bị giả mạo bởi Wannacry và đánh lừa người dùng truy cập
vào đường dẫn này để yêu cầu người dùng tải về và cài đặt.
Ngồi ra máy tính cịn có thể bị lây nhiễm thông qua đường
khác như qua các thiết bị lưu trữ ngồi như USB, qua q trình cài
đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm
mã độc...
b) Cách thức hoạt động
WCry đi theo cùng con đường tấn công mà vẫn thường thấy ở
ransomware. Wannacry sẽ kiểm tra một beacon (dấu mốc), nếu
beacon này có trả về một phản hồi thì ransomware sẽ khơng chạy.
Đây là cách để hacker kiểm sốt được con ransomware của mình.
Nếu beacon khơng có phản hồi thì ransomware bắt đầu cơng việc: nó
khai thác lỗ hổng TERNALBLUE/MS17-010 và lây lan sang các
máy tính khác. Wannacry sau đó mã hóa các file trong hệ thống và
cảnh báo cho người dùng rằng họ đã bị nhiễm virus.
c) Một số biến thể của mã độc Wannacry
- DarkoderCrypt0r
- Aron WanaCrypt0r 2.0 Generator v1
- Wanna Crypt v2.5
- WannaCrypt 4.0
7
1.4. Biện pháp phòng chống
Một điều rất dễ nhận thấy là mã độc Wannacry dù có nguy
hiểm thế nào nhưng nếu chúng không xâm nhập vào được hệ thống
thông tin hoặc máy tính của người dùng thì cũng khơng thể gây nguy
hiểm hoặc tổn thất nào. Chính vì vậy, vấn đề đặt ra ở đây chính là
làm thế nào để ngăn chăn không cho mã độc Wannacry xâm nhập
được vào hệ thống. Mã độc Wannacry sẽ không thể phát tán được
nếu chúng khơng có các thơng tin
Khơng có các thông tin về nạn nhân (tên tuổi, địa chỉ email,
số điện thoại,…), khơng có mơ tả về hệ thống của nạn nhân, thì việc
đưa ra kịch bản tấn cơng là bế tắc.
Khơng có các điểm yếu, các lỗ hổng trên hệ thống (lỗi trên
hệ điều hành, lỗi trên ứng dụng, lỗi do các phần mềm của bên thứ
3...), kẻ tấn cơng sẽ khơng có cơ hội để lợi dụng lấn sâu, khai thác hệ
thống.
Để phịng chống tấn cơng Wannacry, trong luận văn đề xuất 3
giải pháp chính đó là dựa trên cả 3 yếu tố: con người, chính sách, và
cơng nghệ.
a) Phịng chống tấn cơng Wannacry từ yếu tố con người
- Đào tạo nhân viên;
- Đào tạo, bồi dưỡng, nhận thức an tồn thơng tin cho mỗi cá
nhân trong tổ chức;
- Huấn luyện nhân viên;
b) Dựa trên yếu tố công nghệ
- Thực hiện sao lưu dữ liệu thường xuyên;
- Thường xuyên cập nhật hệ điều hành;
- Không khởi chạy các tập tin đáng ngờ.
c) Chính sách an tồn thơng tin
- Đánh giá các tài sản có giá trị;
8
- Xác định những lỗ hổng hay các mối đe dọa.
- Đánh giá tình trạng bảo mật của tổ chức
1.5. Kết luận chƣơng 1
Như vậy chương 1 luận văn đã trình bày những vấn đề sau:
- Trình bày tổng quan về mã độc bao gồm: định nghĩa, khái
niện, phân loại, mức độ nguy hiểm, một số biến thể và xu hướng của
mã độc trong tương lai.
- Tìm hiểu được một số nguy cơ mất an tồn thơng tin trong hệ
thống thôi tin của mã độc. Kết quả nghiên cứu chỉ ra rằng: mã độc
ngày càng nguy hiểm, tinh vi và phức tạp đặc biệt là các biến thể mới
của chúng được phát hiện trong thời gian vừa qua.
- Tìm hiểu về mã độc Ransomware và các biến thể của nó. Kết
quả nghiên cứu cho thấy, mã độc Ransomware biến đổi ngày càng
phức tạp và rất được những kẻ tấn công mạng xử dụng. Chính vì vậy,
việc phát hiện và phịng chống mã độc Ransomware là việc làm rất
cần thiết hiện nay.
- Trình bày tổng quan về mã độc Wannacry bao gồm: đặc
điểm, cách thức tấn cơng, ẩn mình, quy trình mã hóa, giải mã và các
biến thể của Wannacry. Kết quả nghiên cứu cho thấy, mã độc
wanacry biến đổi ngày càng phức tạp. Chính vì vậy cần phải thực
hiện điều tra và phân tích mã độc Wannacry để có được biện pháp
phịng chống phù hợp.
- Trình bày một số biện pháp phòng chống sự lây lan và phát
tán của mã độc Wannacry. Luận văn đã chỉ ra được, để phòng chống
tác hại của mã độc lên hệ thống thông tin cần phải áp dụng cả 3 yếu
tố: con người, chính sách, công nghệ.
9
Chƣơng 2 - PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC
WANNACRY
2.1. Kỹ thuật phân tích tĩnh
Phân tích tĩnh là phương pháp phân tích, kiểm tra mã độc mà
khơng cần chạy chúng. Trong kỹ thuật phân tích tĩnh thường chia
thành 2 loại là phân tích tĩnh cơ bản và phân tích tĩnh nâng cao.
2.1.1. Kỹ thuật phân tích tĩnh cơ bản
a) Sử dụng công cụ quét mã độc
Ở bước này, tiến hành quét file nghi ngờ với nhiều chương
trình antivirus nhất có thể. Để thực hiện được nhiệm vụ này có thể
thiết lập hệ thống các máy ảo có cài đặt các chương trình antivirus,
cũng có thể đưa file nghi ngờ vào hệ thống để tiến hành quét, một số
antivirus thường sử dụng.
b) Sử dụng mã băm đặc trưng để tìm kiếm, phân loại mã độc
Hashing là một phương pháp phổ biến được sử dụng để định
danh mã độc. Đưa tập tin mã độc qua một chương trình hashing sẽ
tạo ra một giá trị hash duy nhất. Thuật toán Message Digest
Algorithm 5 (MD5) thường được sử dụng nhiều nhất, tiếp sau là
Secure Hash Algorithm 1 (SHA-1) cũng khá phổ biến.
c) Tìm kiếm chuỗi kí tự (string)
Một chương trình thơng thường sẽ bao gồm rất nhiều chuỗi
(string), sử dụng để thực hiện in các thơng báo, cảnh báo, hiển thị
thơng tin, cũng có thể là địa chỉ IP hoặc tên miền máy chủ mà phần
mềm đó kết nối tới, có thể chứa các địa chỉ email, thông tin đăng
nhập, mật khẩu, tài khoản mặc định… Tìm kiếm các chuỗi có thể là
cách đơn giản để dự đốn hành vi của chương trình: Chương trình kết
nối tới máy chủ có địa chỉ như thế nào, có các thơng báo gì quan
trọng, chương trình liên kết hoặc sử dụng các ứng dụng hoặc tài
nguyên khác trong hệ thống hay không.
10
d) Kỹ thuật packing và obfuscation
Những người viết ra mã độc thường sử dụng packing hoặc
obfuscation để tập tin của họ trở nên khó phân tích hơn. Obfuscate là
hành động che dấu sự thực thi của mã độc. Pack là một tập con của
Obfuscate, pack sử dụng kỹ thuật nén để chống lại việc phân tích. Cả
hai kỹ thuật đều khiến việc phân tích tĩnh trở nên vơ cùng khó khăn.
e) Định dạng tập tin thực thi Portable Executable (PE File)
Những kỹ thuật đã sử dụng ở trên trích xuất dữ liệu mà không
quan tâm đến định dạng của tập tin. Gần như tất cả các tập tin thực
thi trên hệ điều hành windows đều tuân theo định dạng này, mặc dù
một số mã độc có sử dụng những định dạng cũ hơn, ít phổ biến.
Tập tin thực thi bắt đầu với một tiêu đề (header) bao gồm
thông tin về mã lệnh, kiểu ứng dụng, các hàm thư viện yêu cầu và
dung lượng bộ nhớ cần thiết. Đây là những thơng tin có giá trị trong
q trình phân tích mã độc.
2.1.2. Kỹ thuật phân tích tĩnh nâng cao
a) Các hàm và thư viện liên kết
Trong tất cả các kỹ thuật liên kết thư viện, liên kết động là
cách mà người phân tích mã độc có thể khai thác được nhiều thông
tin nhất. Những thư viện được sử dụng và những hàm được gọi là
một phần rất quan trọng của chương trình bởi chúng cho phép dự
đốn được chương trình sẽ làm gì.
b) Dịch ngược:
Các cơng cụ thường sử dụng trong q trình phân tích tĩnh có
thể kể đến các chương trình dịch ngược :
Disassembler
Decompiler
Source Code Analyzer
11
Rất nhiều những cơng cụ có khả năng dịch ngược từ mã máy
sang mã assembly, đó là IDA (Interactive Disassembler); BinDiff của
Zynamics.
2.1.3. Đánh giá về kỹ thuật phân tích tĩnh
a) Ưu điểm
- Có thể phát hiện ra hoạt động của chương trình trong những
điều kiện khơng tồn tại thực tế.
- Có khả năng nắm được tồn bộ hoạt động của một chương
trình.
b) Nhược điểm
- Phương pháp này địi hỏi người phân tích phải am hiểu sâu
về hệ thống và lập trình.
- Tốn thời gian phân tích.
- Kết quả thu được thường khơng cao do các mã độc hiện đại
thường có khả năng mã hóa code gây khó khăn cho quá trình phân
tích.
2.2. Kĩ thuật phân tích động
2.2.1. Một số kỹ thuật và cơng nghệ
a) Sử dụng sandbox để phân tích mã độc
Có tương đối nhiều các phần mềm cho pháp phân tích động
mức cơ bản và hầu hết đều sử dụng công nghệ sandbox. Đây là công
nghệ cho phép chạy các chương trình trong một mơi trường thực thi
an tồn, không sợ bị ảnh hưởng tới môi trường thực tế. Sandbox hội
tụ đầy đủ các yếu tố, kể cả kết nối mạng để chương trình được chạy
trong một mơi trường tương tự mơi trường thực tế.
b) Chạy mã độc
Phân tích tích cơ bản sẽ khơng thể thực hiện được trừ khi biết
cách chạy mã độc. Ở đây sẽ tập chung vào cách chạy tập tin mã độc
thường hay gặp là những tập tin .exe và .dll. Mặc dù thường dùng
12
cách đơn giản để chạy mã độc là click đúp hoặc chạy một tập tin từ
command line, nhưng như thế sẽ khơng thể chạy được tập tin .dll bởi
vì Windows không biết cách để chạy một cách tự động. Phải tìm cách
có thể để thực thi tập tin dll để tiến hành phân tích động.
c) Giám sát tiến trình với Process Monitor
Process Monitor hay procmon là một công cụ giám sát nâng
cao cho windows cung cấp một phương pháp để giám sát những hoạt
động nhất định của registry, hệ thống tập tin, mạng, tiến trình và các
bước của tiến trình.
d) Giám sát thay đổi hệ thống tập tin và registry
Gần như tất cả các dòng mã độc đều tác động ít nhiều lên hệ
thống tập tin và registry để tạo thêm các bản sao, thiết lập khởi động
cùng hệ thống, che dấu, đánh lừa người dùng, cài cắm thêm mã độc
khác, đánh cắp dữ liệu, bắt cóc dữ liệu,…
Phần lớn mã độc sẽ tạo những bản sao để tồn tại lâu dài trong
hệ thống tại lần đầu tiên lây nhiễm vào máy tính. Trong q trình
phân tích đây là một dấu hiệu xếp vào mức nghi ngờ cao.
e) Giả lập mạng
Các mã độc hoặc thường cũng đều cần đến các kết nối mạng.
Để cung cấp một mơi trường có kết nối mạng có 2 phương pháp
chính:
- Kết nối trực tiếp: Mã độc sẽ được tham gia và mạng thực tế,
phương pháp này có nguy cơ cao gây ra ảnh hưởng cho hệ thống
thực.
- Giả lập mạng: Giả lập mạng vừa cung cấp môi trường kết
nối mạng, vừa giảm thiểu tác động tới hệ thống thật.
2.2.2. Đánh giá về phương pháp phân tích động
a) Ưu điểm
- Phân tích động thì nhanh và thơng tin chính xác.
13
- Phân tích động là quan sát xem mã độc hại khi thực thi thì sẽ
làm những gì, nó chạy ra sao, làm gì trên máy tính mình qua các cơng
cụ theo dõi, cách này thì có nhược điểm với các dịng mã độc hại
chạy theo lịch trình.
- Chạy mã độc hại và ghi nhật kí, quan sát càng lâu kết quả
càng chính xác.
b) Nhược điểm
Phân tích động khơng thể dự đốn được những hành vi của
chương trình trong các điều kiện không tồn tại trong thực tế. Một số
mã độc nhận diện được các chương trình ảo hóa để ngắt các chương
trình kết nối khiến cho quá trình phát hiện khó khăn.
2.3. Phƣơng pháp phân tích mã độc Wannacry
2.3.1. Phương pháp phân tích Wannacry
- Đối với cơng cụ phân tích tĩnh:
Quét virus: Các phần mềm khi đã nhận diện được mẫu
ransomware thì hồn tồn có thể làm sạch ransomware ra khỏi máy
tính.
Kiểm tra tồn bộ thao tác ghi đĩa.
Kiểm tra sự thay đổi của tập tin: thường là mã hóa tập tin,
thay đổi thuộc tính.
Kiểm tra sự thay đổi, tác động lên hệ thống registry, các tập
tin hệ thống.
- Đối với cơng cụ phân tích động:
Chạy promon và thiết lập filter theo tên mã độc;
Chạy process explorer Sử dụng Regshot để thu thập trạng
thái đầu tiên
Thiết lập mạng ảo sử dụng INetSim và ApateDNS.
14
Cấu hình ApateDNS để forward tồn bộ truy vấn sang máy
ảo Linux cài INetSim.
Cấu hình chặn và phân tích gói tin sử dụng Wireshark.
2.3.2. Quy trình phân tích
a) Thiết lập mơi trường
Có hai phương pháp chính để triển khai mơi trường phân tích
mã độc:
- Sử dụng hệ thống vật lí.
- Sử dụng máy ảo.
b) Lựa chọn cơng cụ: Sau khi cài đặt xong hệ điều hành, cần
cài đặt cơng cụ hỗ trợ q trình phân tích.
2.4. Kết luận chƣơng 2
Những kết quả đạt được cơ bản của chương 2 như sau:
Tìm hiểu về kỹ thuật phân tích mã độc bao gồm: phân tích
động và tĩnh. Kết quả nghiên cứu cho thấy, mỗi phương pháp đều có
ưu điểm và nhược điểm riêng. Chính vì vậy trong thực tế cần phải
biết cách kết hợp cả 2 phương pháp này thì sẽ mang lại nhiều kết quả
phân tích nhất.
Trình bày một số công cụ được áp dụng trong quá trình
phân tích tĩnh và động.
Trình bày quy trình và phương pháp phân tích mã độc
Wannacry. Q trình nghiên cứu về phương pháp phân tích mã độc
Wannacry chỉ rằng: để có thể phân tích được mã độc Wannacry cần
nhiều bước tiến hành và lựa chọn công nghệ phù hợp từ việc cấu hình
hệ thống đến các việc giám sát các tiến trình.
15
Chƣơng 3 - THỰC NGHIỆM VÀ ĐÁNH GIÁ
3.1. Công cụ hỗ trợ thực nghiệm
a) Máy tính dùng để hỗ trợ thực nhiệm dùng hệ điều hành
Windows 7.
b) Công cụ Olly DBG.
OllyDBG hay cịn gọi tắt là Olly là cơng cụ debug rất phổ biến.
Nhờ giao diện trực quan và dễ sử dụng nên Olly phù hợp với người
dùng ở mọi trình độ khác nhau.
c) Cơng cụ CFF Explorer.
CFF Explorer được thiết kế nhằm trợ giúp người dùng biên tập
PE (PE là định dạng riêng của Win32, hầu hết các file thực thi trên
Win32 đều thuộc dạng PE) mà không làm thay đổi cấu trúc bên trong
của tập tin thực thi khả chuyển.
d) Cơng cụ PEiD
Cơng cụ PEiD có nhiệm vụ là dị tìm các trình đóng gói các tập
tin thực thi.
e) VMware Workstation 10
VMware là một phần mềm ảo hóa máy tính mạnh mẽ dành cho
các nhà phát triển, kiểm tra phần mềm và các chuyên gia IT cần chạy
nhiều hệ điều hành cùng một lúc trên một máy PC.
f) Công cụ Falcon sandbox
Công cụ Falcon sandbox là công cụ phân tích động, giúp thu
thập các hành vi của mã độc.
3.2. Thực hiện thực nghiệm
3.2.1. Thực nghiệm phân tích tĩnh
Với bất kì 1 file malware nào khi nhận được các chun gia
thường nhìn nhận nó một cách tổng qt. Dưới đây là chi tiết các
bước phân tích file Wannacry.
16
a) Các thơng số cơ bản
b) Bóc tách mã độc
3.2.2. Thực nghiệm phân tích động
Để có thể thu thập đầy đủ các hành vi của file malware, sẽ
setup môi trường trên máy ảo và khởi chạy nó. Dùng các cơng cụ như
procmon, Process Hacker, Wireshark,... kết hợp với mode debug của
IDA để bắt các sự kiện mà malware khi khởi chạy sẽ sinh ra.
a) Malware khởi chạy bình thường
b) Malware khởi chạy với tham số "/i"
Đối với trường hợp này Wannacry sẽ tự tạo 1 service với tên
hiển thị được tạo ngẫu nhiên từ đầu và sau đó sẽ thực thi các bước
như đã phân tích ở trên. Ban đầu nó sẽ copy chính bản thân nó vào
đường dẫn "C:\ProgramData\dklnlntiavqu577" và đổi tên thành
tasksche.exe. Sau khi copy file vào thư mục mới nó sẽ tạo 1 service
với đường dẫn trỏ vào file mới tạo đó.
3.3. Kết luận chƣơng 3
Các kết quả cơ bản đạt được ở chương 3 như sau:
- Nghiên cứu và tìm hiểu một số cơng cụ phục vụ cho q
trình phân tích mã độc Wannacry bao gồm các cơng cụ phân tích tĩnh
và động. Q trình tìm hiểu cơng cụ cho thấy rằng, mỗi cơng cụ đều
có những ưu điểm và nhược điểm riêng, chính vì vậy để có thể thu
được nhiều kết quả phân tích nhất thì người phân tích cần phải biết
kết hợp các cơng cụ và cơng nghệ này để thành bộ quy trình phân
tích.
- Thực hiện phân tích mã độc Wannacry bằng cơng cụ phân
tích tĩnh. Các kết quả phân tích tĩnh cho thấy mã độc Wannacry là mã
độc được thiết kế rất tinh vi nhằm vượt qua được sự giám sát của các
hệ thống phát hiện xâm nhập và mã độc.
17
- Thực hiện phân tích mã độc Wannacry bằng cơng cụ phân
tích động. Các kết quả phân tích động đã chứng minh được cho
những kết quả của quá trình phân tích tĩnh là chính xác. Đồng thời đã
bổ xung thêm một số kết quả mã q trình phân tích tĩnh không thể
làm được.
18
KẾT LUẬN
Trình bày tổng quan mã độc bao gồm các đặc điểm, phân loại,
và các nguồn phát tán mã độc. Qúa trình tìm hiểu về mã độc đã cho
thấy nguy cơ mất an tồn thơng tin từ mã độc ngày càng gia tăng và
đặc biệt cách thức phát tán mã độc đang được áp dụng nhiều hiện nay
chính là kỹ thuật lừa đảo xã hội.
Tìm hiểu về mã độc ransomware và biến thể Wannacry.
Những kết quả ban đầu cho thấy, tấn công mã độc Wannacry lợi
dụng điểm yêu của con người để phát tán và tống tiền.
Trình bày tổng quan về các giải pháp và cơng nghệ để phịng
mã độc tống tiền Wannacry. Để giảm thiểu tối đa sự nguy hiểm và
mức độ thiệt hại của mã độc tống tiền Wannacry thì các tổ chức và cá
nhân cần phải thực hiện và áp dụng trên cả 3 phương diện: công
nghệ, con người và chính sách. Đặc biệt con người là mắt xích yếu
nhất trong hệ thống đảm bảo an tồn thơng tin. Chính vì vậy, để tránh
được các cuộc tấn cơng của mã độc Wannacry thì cần phải đào tạo và
nâng cao đạo đức an tồn thơng tin cho các cá nhân và tổ chức.
Tìm hiểu về kỹ thuật phân tích mã độc bao gồm: phân tích
động, phân tích tĩnh và một số công cụ được áp dụng trong quá trình
phân tích. Kết quả nghiên cứu cho thấy, mỗi phương pháp đều có ưu
điểm và nhược điểm riêng. Chính vì vậy trong thực tế cần phải biết
cách kết hợp cả 2 phương pháp này thì sẽ mang lại nhiều kết quả
phân tích nhất.
Trình bày quy trình và phương pháp phân tích mã độc
Wannacry. Q trình nghiên cứu về phương pháp phân tích mã độc
Wannacry chỉ rằng: để có thể phân tích được mã độc Wannacry cần
nhiều bước tiến hành và lựa chọn cơng nghệ phù hợp từ việc cấu hình
hệ thống đến các việc giám sát các tiến trình.
19
Thực hiện phân tích mã độc Wannacry bằng cơng cụ phân tích
tĩnh. Các kết quả phân tích tĩnh cho thấy mã độc Wannacry là mã độc
được thiết kế rất tinh vi nhằm vượt qua được sự giám sát của các hệ
thống phát hiện xâm nhập và mã độc.
Thực hiện phân tích mã độc Wannacry bằng cơng cụ phân tích
động. Các kết quả phân tích động đã chứng minh được cho những kết
quả của q trình phân tích tĩnh là chính xác. Đồng thời đã bổ xung
thêm một số kết quả mã q trình phân tích tĩnh khơng thể làm được.
Hƣớng phát triển của luận văn
Trên những kết quả đã làm được luận văn có thể nghiên cứu và
phát triển theo các hướng sau:
- Tiếp tục nghiên cứu về các biến thể mới của mã độc
Wannacry cũng như các biện pháp, kỹ thuật phòng chống mã độc
Wannacry.
- Nghiên cứu ứng dụng Bigdata cho việc phát hiện mã độc
Wannacry.
- Nghiên cứu và áp dụng học máy trong việc phân tích mã độc
Wannacry.
20