Chương 1. Giới Thiệu đánh cắp thông tin Jupyter và Uran. Jupyter có khả năng đánh cắp dữ liệu người ding, thông tin đăng nhập và giá trị được gửi từ biểu mẫu trong trình duyệt Firefox và Google Chrome của nạn nhân, Uran hoạt động như một keylogger dé ghi lại các thao tac gõ phím của người dùng. Microsoft Security Intelligence [8] cho biệt: "Những kẻ điều hành phần mềm độc hại như Solar Marker, Jupyter, và các phần mềm khác đang cố gắng lây lan phần mềm độc hai thông qua một kỹ thuật tắn công SEO Poisoning cũ kỹ.
Chúng sử dụng hàng nghìn tài liệu PDF được tối ưu hóa bằng các từ khóa đặt chúng trong một trang web. Khi người dùng truy cập trang web này sẽ là một chuỗi chuyển hướng dẫn đến các trang web chứa phần mềm độc hại". Arechclient2 nó còn được gọi là SectopRAT, là một NET RAT với nhiều chức năng bao gồm nhiều chức năng an. Arechclient2 có thé tìm va lap hé so hệ thống nạn nhân, lấy cắp thông tin trong dữ liệu trình duyệt và ví tiền điện tử, đồng thời khởi chạy một màn hình phụ an dé kiểm soát các phiên trình duyệt.
Ngoài ra, nó có một số khả năng chống máy ảo và chống giả lập. Mirai là một mã độc chuyên lây nhiễm trên các thiết bị có bộ xử lý ARC, đặc biệt là các thiết bị thông minh. Mã độc này sẽ biến các thiết bị thành một mạng lưới với nhau. Mạng lưới này còn được gọi là botnet hoặc zombie.
Mục đích hay được dùng dé tan công các mạng khác, còn được gọi là DDoS. Mã độc này hay dò quét internet nếu nó phát hiện ra thiết bị dùng bộ xử lý ARC thì sẽ lây nhiễm. Thường bộ xử lý này chạy Linux, nó là phiên bản rút gọn, nếu người dùng không đổi mật khẩu mặc định thì mã độc sẽ xâm nhập va lay nhiễm.4 Mục Tiêu Hầu hết các chương trình độc hại hiện đại, và ngay cả những chương trình độc hại khác gây ra các cuộc tan công tương đối đơn giản đang có gắng trốn tránh các máy ảo bằng cách sử dụng các phương pháp và kỹ thuật phát hiện máy ảo. Khi một chương trình độc hại phát hiện ra môi trường máy ảo, nó có thé điều chỉnh hành vi không hoạt động hoặc thực hiện các hoạt động không độc hại, do đó tạo ấn tượng sai về bản chất của nó.
Điều này sẽ dễ dẫn đến các hậu quả nghiêm trọng. Trong luận văn này chúng tôi tiến hành phân tích các kỹ thuật trồn tránh máy ảo của mã độc đề xuất cho phương thức phân tích động. Sau đó tạo ra máy ảo tự động đã được chỉnh sửa giống như máy thật. Giới Thiệu Ngoài ra thu thập và tạo bộ dữ liệu thử nghiệm dé kiểm tra máy ảo đã chỉnh sửa giống máy thật.5 Phát Biểu Bài Toán Phần mềm độc hại làm cơ sở cho nhiều hoạt động tội phạm, đặc biệt là các hoạt động tội phạm có động cơ tống tiền như mã độc.
Dé hiêu được hoạt động của phần mềm độc hại, các nhà phân tích tiến hành kiểm tra và ngăn chặn mã độc tránh gây thiệt hại. Có hai phương thức kiểm mã mã độc là phân tích động và phân tích tĩnh. Phân tích tĩnh sẽ mở trực tiếp tập tin và xem nội dung bên trong của mã độc, trong tập tin này sẽ chứa những hoạt động của mã độc làm gì, gây hại cho hệ thống. Phương thức nay yêu cầu người phân tích am hiểu sâu về lời gọi hàm, hợp ngữ và gặp khó khăn khi mã độc được mã hóa, ngụy trang làm khó phát hiện.
Vì vậy bài toán chọn phân tích động, mã độc sẽ được thực thi trên môi trường biệt lập. Điều này giúp cho quá trình phân tích diễn ra nhanh hơn, dé dàng hơn, giúp cho nhà phân tích tĩnh xác định kết quả chính sát hơn, phân tích mã độc được mã hóa. Để phân tích kiêm tra phần mềm độc hại hầu hết dựa vào việc sử dụng các máy ảo để đảm bảo chức năng và sự an toàn. Dễ đàng sao lưu và phục hồi hệ thống.
Máy ảo là máy tính chạy giả lập trên máy thật. Nó có chức năng như một hệ thống máy tính thật có CPU, bộ nhớ, cổng mạng, và é cứng, được tạo trên một hệ thống phần cứng vật lý. Nó có một phần mềm được gọi là trình ảo hóa sẽ lấy tài nguyên của phần cứng vat lý chia sẻ một cách thích hợp dé máy ảo sử dụng. Máy thật là một máy tính thông thường, nó sử dụng hệ điều hành riêng, chạy trên vi xử lý cao, hiệu suất cao.
Tuy nhiên có sự khác biệt giữa máy ảo và máy vật lý. Phần mềm độc hại kiểm tra những khác biệt này và thay đổi hành vi của nó khi phát hiện nó đang thực thi trong máy ảo, bằng cách trốn tránh không thực thi, thực thi sai bản chất để đánh lừa các nhà phân tích, hoặc trì hoãn quá trình thực thi. Các kỹ thuật chống máy ảo này của phần mềm độc hại cản trở việc phân tích. Các Nghiên Cứu Liên Quan Chương 2 CÁC NGHIÊN CỨU LIÊN QUAN Đề nghiên cứu phần mêm độc hại và hành vi của mã độc, phương pháp phổ biến là thực thi chương trình độc hai trong môi trường riêng biệt như máy ảo.
Tuy nhiên các tác giả của chương trình mã độc đã bắt đâu thiết kế lại cập nhật bản vá, và trang bị các kỹ thuật chống máy ảo, xem mã độc hiện có dang ở trong máy áo hay không và các kỹ thuật né tránh máy ảo bằng các loại phân tích mã độc khác nhau.1 Sơ lược các nghiên cứu phân tích liên quan Hầu hết các chương trình độc hại hiện đại, và ngay cả những chương trình độc hại khác gây ra các cuộc tấn công tương đối đơn giản đang cố gắng trén tránh các máy ảo bằng cách sử dụng các phương pháp và kỹ thuật phát hiện máy ảo. Khi một chương trình độc hại phát hiện ra môi trường máy ảo, phần mềm độc hại có thể điều chỉnh hành vi của mình và chỉ thực hiện các hoạt động không độc hại, do đó tạo ấn tượng sai về bản chất của nó và che giấu những gì nó thực sự làm khi tiếp cận hệ thống của người ding. Điều này sẽ dé dẫn đến các hậu quả nghiêm trọng không thể liên quan đến bảo mật. Dé tạo có thé thuận lợi cho việc quản lý và giao tiếp với máy chủ, thống máy ảo đã tạo ra các tập tin, và tiễn trình riêng hỗ trợ các nhà phân tích dé sử dụng hơn, tuy nhiên điều này cũng giúp cho các tác giả của chương trình độc hại có cơ hội né tránh.2 Phương pháp chống phân tích máy ảo của mã độc trong debug Lee và đồng sự [9] phân tích hầu hết chương trình độc hại đều có tính lây nhiễm, các kỹ thuật chống phân tích và đóng gói được được áp dung dé cản trở việc phân tích.
Khi phân tích phát hiện và chặn chương trình độc hại vậy cần phân tích trong một môi trường ảo đề ngăn ngừa lây nhiễm. Về mặt đóng gói, cần phải phân tích bằng cách dùng các thiết bị đo nhị phân động (DBI), một công cụ phân tích động, thuận lợi cho việc giải nén vì DBI chèn mã tại thời điểm chạy và phân tích động. Tuy nhiên, chương trình độc hại sẽ tự kết thúc khi phát hiện ra môi trường ảo hoặc DBI do các kỹ thuật chống phân tích. Do đó, cũng cần phải bỏ qua các kỹ thuật chống VM và chống DBI dé phân tích thành công phần mềm độc hai trong môi trường ảo sử dung 24 Chương 2.
Các Nghiên Cứu Liên Quan DBI. Rất khó dé các nhà phân tích bỏ qua các kỹ thuật chống VM và chống DBI được sử dụng trong các bộ bảo vệ thương mại bởi vì các nhà phân tích thường có ít thông tin về những phương pháp được sử dụng hoặc thậm chí làm thế nào để vượt qua các kỹ thuật này. Tác giả đề xuất các hướng dẫn dé hỗ trợ phân tích phần mềm độc hại được bảo vệ bởi các kỹ thuật chống VM và chống DBI. Tác giả đã phân tích các kỹ thuật được sử dụng bởi năm trong số các bộ bảo vệ thương mại phổ biến nhất và trình bày cách vượt qua các kỹ thuật chống VM và chống DBI được các bộ bảo vệ thương mại hỗ trợ thông qua phân tích thuật toán chỉ tiết.
Tác giả đã thực hiện thử nghiệm vượt qua sau khi áp dụng từng trình bảo vệ thương mại cho 1573 tệp thực thi có chứa các lỗ héng do viện tiêu chuẩn và công nghệ quốc gia (NIST) cung cấp. Tác giả đã phân tích rõ ràng và chỉ tiết và các thuật toán vượt qua các kỹ thuật chống VM và chống DBI cho các bộ bảo vệ thương mại, nó là nghiên cứu đầu tiên đề xuất các thuật toán bỏ qua chỉ tiết về khả năng này. Kết quả nghiên cứu của tác giả có thé dùng làm hướng dẫn dé dé dàng phân tích chương trình độc hại được bảo vệ bởi phần mềm chống VM hoặc chóng DBI được hỗ trợ bởi các bộ bảo vệ thương mai. Ngoài ra, các nghiên cứu khác đã tập trung vào việc giải nén các công cụ DBI và tác giả tin rằng thuật toán vượt qua của tác giả sẽ giúp cho các luận văn sau này thành công hơn trong nghiên cứu trong tương lai.
Tuy nhiên, bài báo của tác giả chỉ đề cập đến các giải pháp cho kỹ thuật hiện tại trong trình bảo vệ thương mại và chương trình độc hại sử dụng trình bảo vệ tùy chỉnh cùng với các phiên bản mới của trình bảo vệ thương mai sử dung kỹ thuật chống phân tích đang xuất hiện liên tục. Xem xét những phát triển này, các kỹ thuật chống phân tích phải được nghiên cứu thêm, điều này sẽ tạo tiền đề cho các nghiên cứu trong tương lai. Theodoros Apostolopoulos [10] và đồng sự phân tích chương trình độc hại động liên quan đến việc debug các tệp nhị phân và các thay đổi trong môi trường máy ảo. Điều này cho phép người điều tra thao tác trên đường dẫn và môi trường thực thi mã để biết về hoạt động sâu bên trong của chương trình độc hại, mục đích và phương thức hoạt động.
Tuy nhiên, phần mềm độc hại hiện đại nhất có thẻ kết hợp chống môi trường ảo (VM) và các biện pháp đối phó chống debug (tức là để xác định xem chương trình độc hại đang được thực thi trong máy ảo hay sử dụng trình debug trước khi thực thi tải trọng). Tác giả cho rằng để chương trình độc hại hoạt động hiệu quả, 25 Chương 2. Các Nghiên Cứu Liên Quan nó sẽ cần hỗ trợ một loạt các cơ chế chống phát hiện và trốn tránh.