CHƯƠNG 1— TỎNG QUAN VỀ MÃ DỌC VÀ THIẾT BỊ NHÚ 1. Khái niệm về mã độc. Phân loại mã độc. Đối tượng lây nhiễm mã độc.
Các phương pháp phát hiện mã độc. Định nghĩa máy phát hiện mã độc. Phân tích tĩnh mã độc. Phân tich động mã dộc.
Hệ thông nhúng và thiết bị nhúng, - 29 1,6. Thiết bị định tưyến. Mã độc nhúng trên ñirmwarc. CÁC PHƯƠNG PHÁP TRÍCH XUẤT VẢ PHẢẨN TÍCH FIRMWARE TỜI CẮM ƠN Tôi muốn bảy tỏ lòng, biết ơn sâu sắc tới những người đã giúp đỡ tôi trong quá trình làm luận văn.
Đặc biệt, tôi xin cản ơn PGS.TS Nguyễn Linh Giang, với tâm khuyết, sự tận tâm thấy đã chỉ báo tôi chỉ tiết, cho tôi những lời khuyên quy bau va theo sát tôi trong từng bước làm luận văn. Đồng thời tôi cũng xin gửi lời cảm ơn tới các thây cô giáo giảng dạy tại bộ môn Truyền thông và mạng, máy tính, Đại học Bách. khoa Hà Nội đã truyền đạt các kiến thúc che tôi thời gian học tập, nghiên củu tại trường, Cuối củng, tôi xin chân thành câm ơn các đồng nghiệp trong nhóm nghiền cứu. tại Khoa Công nghệ và An ninh thông tin, Học viện An ninh nhân dân đã cùng chía số, giúp đỡ, động viên, lạo mọi điều kiện thuận lợi để tôi hoàn thánh nhiệm vụ học tập cũng như hoàn thánh luận văn nảy.
LỜI CAM ĐOAN Tôi xin cam đoan sỏ liệu vả kết quả nghiên cứu trong luận văn này là trung thục và chưa hể được sử đụng để bảo vệ một học vị nào. Mọi sự giúp đỡ cho việc thực hiện luận văn này đã được cảm ơn và các thông tin trích đẫn trong luận văn này đã chỉ rõ nguồn gốc rõ rằng và được phép công bổ. Tà Nội, ngày — tháng - năm 201 Hạc viện thực hiện Nguyễn Huy Trung DANH MỤC CÁC KÝ HIỂU, CHỮ VIÉT TAT Tên viết tắt "Tiếng Anh Tiếng Việt APT Application Program Tnterface | Giao điện lập trình ứng dung BIOS Basic Input/Output System Hệ thông nhập xuất cơ ban cra Control Flow Graph Đô thị luồng điều khiển DFG Data Flow Graphs Đồ thị luồng dữ liệu DEL | Dynamic Link Library Thư viện liên kết động MBR | Master Boot Record ầm gìủ khởi động MSDN |MierosollLDevclop Network Bang dich vu hé thang TAT Tmport Address Table Tảng địa chỉ hàm nhập khẩu OEP Original Entry Point Điểm vào chương trình gốc RAT | Remote Administration Toot Công cụ quỗn trị tít xa SOHO — | Small Office/Home Office Thiết bị đân dụng LDT |LoeaLDomainTable Bang mién cục bộ DANH MỤC CÁC HÏNH VẼ, BỎ THỊ Tình 1. Các thành phân để đảm bảo an toan cho thông tin Hình 2.
Ví dụ về một Rootkit linh 3. Các mức báo rnật cửa hệ thống trên Windows Hình 4. Cầu tạo của bộ định tuyến. Nền táng O8 sử dụng phổ biến trong firmware Tĩnh 6.
Bộ công cụ tìm kiém Shodan io Tình 7. Một ví dụ 8m kiêm thông tín với công cụ Shodarrio Hình 8. Vị trí Ermware trong kiến trúc bão mật thông tin Hinh 9. Các phương pháp thu thập firmware thiết bị định tuyến Tình 10.
Thiết C500 có khả năng sao chứp firmware tir Mash Hình 11. Sơ đề kết nối chuối các Chip Hình 12. Câu trúc 1 chíp tích hợp TTAG bên trong Tình 13. Mô hình hoại động của TAP controHcr Hình 14.
Dữ liệu truyền thông qua TDI và LDQ Tinh 15. TIệ thông tập tín trên Linux Hình 16. Kiên trúc hệ thống Công cụ Avatar Hình 17, Ché 46 “full-separation mode” Tỉnh 18. Kiến trúc của công cạ FRAK: Hình 19, Mô hình tổng quan phân tích, phát hiện mê độc iinh 20, Các trang tin thm kiếm IƑEP Hình 21.
Website hỗ trợ của các hãng thiết bị định tuyên Tình 22. Thiél bi TTAO USB Adaptor (a) và Giao diện PƠB của TUMPA (b) Tinh 23. Pinout JTAG cta router Linksys WRTS4G (a) va So dé cap TTAG (b} Hinh 24. Cac tap tin hé thing trên firmware san khi địch ngược Hinh 25.
Qua winh ri qué! ma dée bing cde céng cu Tlinh 26. M6 hinh trién khai hạ tẳng phân tích, phát hiện mà độc Tình 27. Khảo sát các kiểu tập tin hệ thông thường ding trên thiết bị định tuyến Hình 28. Quy trình lưu wit tumware trong mô hình 2.1, Khái niệm ẨirnIWäTG.
Cấu trúc rmware 39 2.3, Phuong phap thu thap firmware thiét bị định tuyến. Thu thập fimwar gián tiếp. Thu thập firmware trực tiếp 7 - 42 2. Công cụ gỡ rồi LAO u.
Phương pháp phân tích firmware - 7 2. Mê bình Avatar. Mỏ hình FRAK. vì ceccuec dd CHUONG 3, DE XUAT M6 HINH PHAT BIEN MA DOC NHUNG TREN FIRMWARE 3.
Tổng quan về mô hình - - - - $5 3.2, Xây dựng mồ hình. Thu thập fimnwaro thiết bị dịnh tuyển, 37 3. Giải nén và trích chọn mã nguồn nhị phân 62 2. Dịch ngược firmware.4, Phin tích các tập tin ma nguồn tưởng mình 65 3.
Kết quả, đánh giá mô hình. - - - 66 KET LUAN VA KIÊN NGHỊ TAL LIEU THAM KHAO 2 MO PAU 1. Lý đo chọn để tải Thực tiến hiện nay cho thay phan lớn các thiết bị mạng sử dụng trong nước là các thiết bị được nhập khẩu từ các hãng nước ngoài (Luawel, LP-link, Ciseo, Tenda, Linksys.), và đó là một lễ hồng rất lớn trong công tác đảm bảo, quản lý và giảm sát an toàn an ninh thông tià. Bởi vì chúng ta không thể biết rằng liệư trong những, thiết bị đó có lỗ hỗng bảo mật hay có bị nhúng những đoạn mã nguằn phục vụ cho xuột chức năng nào đó mà người dùng không mong muốn.
Với môi trường công nghệ và hoạt động Intcrnct dây dặc như ngày nay thì việc trang bị cho các tỏ chức doàn thể cáo phần mềm phòng chóng mã độc gần như là một trong những điều kiện tiên quyết. Tiên cạnh đỏ một nhà nghiên cứu bảo mật người Đức đã phát hiện ra rihững lỗ thẳng bão mật trên thiết bị định tuyến do công ty Huawei của Trung, Quốc sản xuất, hiện đang được sử dụng bởi nhiều nha cũng cấp địch vụ Internet, mả hacker có thể lợi dựng để chiếm quyền điều khiển máy lính người đùng. Tháng 11/2013, hai hãng viễn thông lớn của Trang Quốc là Huawei va ZTE đã bị Quốc hội Mỹ diễu tra vi những cáo buộc các thiết bị của những công ty này được sử dụng để phá vỡ hoặc theo đối nội dưng các cuộc gọi diện thoại và email. Như vậy nhiều thiết bị nang của Trung Quốc đã được cải sẵn mã độc má người sử dụng không biết, Với thị trường các thiết bị mạng ở Việt Nam, các sản phẩm Lluawei va ZTE chiém mét ti lệ rất lớn, các thiết bị mạng của VNPT có hơn 40% và của Viettel có hơn 60% là của Huawei va ZTE.
Dic bigt, thang 11/2014 modem router ADSL (TP-LINK B8O4T của nhà cưng cap địch vụ EPT nhập khẩu trực tiếp từ Trung quốc đã gây ra một vẫn đề về an ninh. Trang rất lớn, đó là khả nắng các router này đã bị cài cấm mã độc backdoor để đánh cắp tài khoản trên thiết bị, bằng chứng là rất nhiều thiết bị khi đăng nhập vào trang quân trị đã bị thay đối mật khấu. Hay như tháng 1/2016, bang may tinh Lenovo ctia Trung quốc đã cài dặt phần iném LSE (Lenovo Search Engine) [23] vao fimware của DBIOS trước khi xuất xưởng và hoạt động trải phép trên máy tính người đăng, Mới cơ quan, tổ chức cân phải nhận thức được điều mày để có biên pháp phòng chéng cũng như xử lý khi hệ thông máy trạm/máy chủ bị lày nhiễm mã độc.1, Khái niệm ẨirnIWäTG. Cấu trúc rmware 39 2.3, Phuong phap thu thap firmware thiét bị định tuyến.
Thu thập fimwar gián tiếp. Thu thập firmware trực tiếp 7 - 42 2. Công cụ gỡ rồi LAO u. Phương pháp phân tích firmware - 7 2.
Mê bình Avatar. Mỏ hình FRAK. vì ceccuec dd CHUONG 3, DE XUAT M6 HINH PHAT BIEN MA DOC NHUNG TREN FIRMWARE 3. Tổng quan về mô hình - - - - $5 3.2, Xây dựng mồ hình.
Thu thập fimnwaro thiết bị dịnh tuyển, 37 3. Giải nén và trích chọn mã nguồn nhị phân 62 2. Dịch ngược firmware.4, Phin tích các tập tin ma nguồn tưởng mình 65 3. Kết quả, đánh giá mô hình.
- - - 66 KET LUAN VA KIÊN NGHỊ TAL LIEU THAM KHAO 2 DANH MỤC CÁC HÏNH VẼ, BỎ THỊ Tình 1. Các thành phân để đảm bảo an toan cho thông tin Hình 2. Ví dụ về một Rootkit linh 3. Các mức báo rnật cửa hệ thống trên Windows Hình 4.
Cầu tạo của bộ định tuyến. Nền táng O8 sử dụng phổ biến trong firmware Tĩnh 6. Bộ công cụ tìm kiém Shodan io Tình 7. Một ví dụ 8m kiêm thông tín với công cụ Shodarrio Hình 8.
Vị trí Ermware trong kiến trúc bão mật thông tin Hinh 9. Các phương pháp thu thập firmware thiết bị định tuyến Tình 10. Thiết C500 có khả năng sao chứp firmware tir Mash Hình 11. Sơ đề kết nối chuối các Chip Hình 12.
Câu trúc 1 chíp tích hợp TTAG bên trong Tình 13. Mô hình hoại động của TAP controHcr Hình 14. Dữ liệu truyền thông qua TDI và LDQ Tinh 15. TIệ thông tập tín trên Linux Hình 16.
Kiên trúc hệ thống Công cụ Avatar Hình 17, Ché 46 “full-separation mode” Tỉnh 18. Kiến trúc của công cạ FRAK: Hình 19, Mô hình tổng quan phân tích, phát hiện mê độc iinh 20, Các trang tin thm kiếm IƑEP Hình 21. Website hỗ trợ của các hãng thiết bị định tuyên Tình 22. Thiél bi TTAO USB Adaptor (a) và Giao diện PƠB của TUMPA (b) Tinh 23.
Pinout JTAG cta router Linksys WRTS4G (a) va So dé cap TTAG (b} Hinh 24. Cac tap tin hé thing trên firmware san khi địch ngược Hinh 25. Qua winh ri qué! ma dée bing cde céng cu Tlinh 26. M6 hinh trién khai hạ tẳng phân tích, phát hiện mà độc Tình 27.
Khảo sát các kiểu tập tin hệ thông thường ding trên thiết bị định tuyến Hình 28. Quy trình lưu wit tumware trong mô hình MO PAU 1. Lý đo chọn để tải Thực tiến hiện nay cho thay phan lớn các thiết bị mạng sử dụng trong nước là các thiết bị được nhập khẩu từ các hãng nước ngoài (Luawel, LP-link, Ciseo, Tenda, Linksys.), và đó là một lễ hồng rất lớn trong công tác đảm bảo, quản lý và giảm sát an toàn an ninh thông tià. Bởi vì chúng ta không thể biết rằng liệư trong những, thiết bị đó có lỗ hỗng bảo mật hay có bị nhúng những đoạn mã nguằn phục vụ cho xuột chức năng nào đó mà người dùng không mong muốn.
Với môi trường công nghệ và hoạt động Intcrnct dây dặc như ngày nay thì việc trang bị cho các tỏ chức doàn thể cáo phần mềm phòng chóng mã độc gần như là một trong những điều kiện tiên quyết.