DANH MỤC TÀI LIỆU
Phân tích hành động của Malware
Phân tích hành động ca Malware
Ti phm công ngh cao ngày nay, rt tinh vi và xo quyt trong các
phương thức ngy trang và xóa b du vết chúng để lại trên Internet để
c gng chiếm gi quyền điều khin càng lâu càng tt. Nhưng dù sao đi
na, nhng du vết để li vn b truy lùng bng nhng công c đặc bit,
nhằm xác định nhng l hng bo mật mà malware dùng để xâm nhp vào h
thng.
Trong quá kh, các trình duyt ch da vào du hiu nhn dng và kh nghi
ca những địa ch web nghi ng, thì ngày ngay, tt c những tiêu chí đó đã
biến mt.
Phn mềm độc hi có th khp mọi nơi, website về game, chính tr, tin
tức… hoặc ngay c nhng trang web ni tiếng và ph biến nhất. Điển hình là
gần đây, vụ việc đã gây ra nhiều bt ng khi ti phạm đã khai thác thành
công l hng an ninh bo mt qua trình duyt ti 2 trang web tin tc ni tiếng
của Đức là Handelsblatt.de, zeit.de thông qua banner quảng cáo để phát tán
phn mm nguy him.
Trong cuc tn công này, bn ti phạm đã
s dng những đoạn mã Javascript được
ngụy trang khéo léo dưới bóng ca các
banner. Khi kích hoạt đoạn mã này, trình
duyt s ng người dùng sang nhng
trang web đã được hacker chun b t
trước nhm la và ly cp thông tin cá
nhân người s dng. Hãng chuyên gia bo
mt Neosploit khi tiến hành điều tra đã phát hiện ra nhiu l hng bo mt
tương tự như vậy trên ng dng QuickTime, Java và Adobe Reader.
Do vy, ti phạm đã sử dng những phương thức tn công gm nhiu giai
đoạn khác nhau, để che giu ngun gc thc s ca cuc tấn công chính. Đầu
tiên, h không nhúng nhng chui ký t hoặc banner flash đã chứa mã độc,
nhưng lại tiến hành mã hóa đường dn URL thành nhng chui ký t dài,
nhng ký t này ch có th đưc gii mã v dng chun thông qua JavaScript
hoc ActionScript ngay c khi những đoạn mã này có th t mã hóa. Tiếp
theo, h s lp trình ra phn mm malware vi nhiu th thut detour tm
hiu là nhng khúc quanh, malware này khi được nhúng thành công vào trình
duyt s khiến cho người s dng t động chuyển đến các trang web khác
nhau. Tt c những công đoạn này đều được chun b k ng và phc tp
nhằm đánh lạc hướng người s dng, qun tr viên hoc ngay c nhng
chuyên gia an ninh bo mt.
May mn thay, bên cạnh đó có những công c và nhng nhà nghiên cu, có
th tái to li ít hoc nhiu những đoạn mã t các đoạn JavaScript riêng bit
mà hầu như không thể b phát hin nếu ch dùng mắt thường để quan sát và
theo dõi. Điều này cho phép chuyên gia bo mt phát hin, theo dõi hoc ít
nhất là tìm ra được nhng l hng mà k tn công tiến hành khai thác.
Nhng công c chuyên để s dụng như Malzilla Jode vi chức năng chính
là phân tích hành động, trong khi jsunpack Wepawet s dng các dch v
t động h tr và tr thành 1 phn không th thiếu ca các chuyên gia bo
mt. Chúng ta hãy tham kho v 4 công c này trong phn tiếp theo.
Công c Malzilla
Công c Malzilla dành cho nn tng Windows, giúp nhng chuyên gia ln
theo du vết để li ca malware bằng các đoạn mã JavaScript vô cùng khó
hiểu trên trang web đã bị lây nhim.
Khi đã nhận dạng được đường dn URL chính xác, công c s tiến hành phân
tích và tr v các kết qu liên quan đến mã HTML dưới dng truy vấn. Người
to ra các loại virus này thường s dụng 2 cách để che giấu đường dn thc
s và nhng cú pháp lệnh khác, đơn giản bng thut mã hóa base64 hoc
Universal Character Set UCS. Malzilla được trang b tính năng phân tích và
nhn biết nhng chui ký t đã bị mã hóa thành ký t đơn giản hơn dành cho
các nhà nghiên cu.
Cách khác là s dng JavaScript và các nhóm d liệu để thu thập đường dn
URL trong quá trình run-time. Tuy nhiên, Malzilla vn có th thc thi các câu
lệnh và mã JavaScript, sau đó hiển th đầy đủ các kết qu tương ứng. Nó
không được s dng ph biến bi những người to ra virus nếu kết hp 2
phương pháp này với nhau, vì vy nếu nhìn 1 khía cạnh nào đó, Malzilla rất
hu ích trong vic theo dõi du vết ca malware.
Ca s đầu trang ca Malzilla có nhim v hin th mã HTML ngun ca
trang web, những đoạn mã “nghi ngờ” có thể phân bit bng mắt thường
Trong cuc kiểm tra đầu tiên, nhập đường dn URL ca 1 trang web bt k
đã bị lây nhiễm vào trường address ca Malzilla. .Dù sao đi nữa, những địa
ch URL được lit kê đây, người s dng không nên m trc tiếp bng trình
duyt nếu chưa có biện pháp an ninh bo mt.
Malzilla được tích hp nhiu bin pháp phòng chống và ngăn chặn him ha
đối dành cho h thng phân tích khi b lây nhim. Ví dụ, chương trình sẽ
thực thi các đoạn mã s dụng thư viện đặc bit JavaScript mà không gây ra
bt c ảnh hưởng nào đến h thng ngun. Vì lí do trên, nhng k tn công
có th s phi tìm và khai thác nhng l hổng khác trên chính chương trình
Malzilla. Do vy, li khuyên t nhng chuyên gia bo mt có kinh nghim là
không nên tiến hành phân tích malware và các công vic khác trên cùng 1
máy tính. Một phương pháp mang tính thực tiễn hơn nhiều là s dng 1 môi
trường ảo hóa nào đó, ví dụ như VirtualBox.
Nút “Get” có chức năng gọi địa ch thc của địa ch URL nhập vào, sau đó,
Malzilla s tách ly mã HTML của địa ch đến. Đoạn mã này s được đánh
giá là nguy hi hay an toàn, hoặc đơn giản ch là nhng mã h thng thông
thường. Sau đó, Malzilla sẽ t động đánh dấu những đoạn mã JavaScript
riêng bit trong tng th HTML và gi ti b phn giải mã. Các đoạn mã này
có th đưc xem ti ca s Decoder, nút Run Script đưc b trí để thc thi
các đoạn mã yêu cu:
Thc thi đoạn mã nhúng phía trên s ch ra 1 module iFrame n ch ti mt
server ch định sn ti ca s phía dưới
Nếu đoạn mã nhúng được thc thi thành công, Malzilla s hin th thông báo
"Script compiled" và đưa ra kết qu ti ca s bên dưới. Nhưng thông
thường, kết qu này s là mt iFrame ẩn và đồng thi t động kích hot trình
duyt, tr tới 1 trang web đã được ch định sn, hoặc 1 đoạn mã JavaScript
khi được thc thi bi Malzilla, s đưc giải mã đầy đủ.
Nếu có khung sn, bn ch cn copy ni dung vào ca s gii mã và nhn
"Run Script" để thc hin. Kết qu tr v là 1 đường dn có dạng tương tự
như hình trên, bạn ch cn nhp lại đường dẫn đó vào trường URL và bắt đầu
quá trình phân tích trong Malzilla, ri tiến hành các bước tiếp theo như
ng dn trên. Ti ví d, kết qu tr v là trang oughwa.com/in4.php. Đon
mã nguồn mà Malzilla phân tích được s tr đến server apomith.com, nơi
đang tiến hành các hành vi khai thác l hng.
Sau khi tiếp tc chuyển hướng, các liên kết n trong iFrame s chuyển đến 1
trang có cha l hổng đã được khai thác sn bng Java
Nhưng có 1 điều bt cp hay gp phi với Malzilla là chương trình không thể
hoàn thành việc phân tích các đoạn mã vì không h tr các hàm JavaScript,
điển hình như hàm document.createElement(), trong trường hp ví d trên
đon mã nhúng tr đến server apomith.com.
Ti thời điểm này, đây là 1 trong những yêu cu cp thiết để tìm phương
pháp thích ng vi JavaScript và thay thế các chức năng không được
JavaScript h tr vi nhng chức năng tương đương, hoặc s dng nhng
công c khác như jsunpack chúng ta s tiếp tc tìm hiu ti phn tiếp theo.
Bên cạnh đó, Malzilla cũng có thể giải mã được những “khúc quanh” khó
hiu của các đoạn mã độc mà không cn phi s dụng môi trường o hóa,
bằng tính năng giải mã đa tầng. Ví d, Malzilla s t động gii mã các câu
lnh, cú pháp ngy trang bng chức năng yêu cầu thoát, truy cp gửi đi từ h
thng và ghi li thành 1 file. Hoc Malzilla có th giúp người s dng thc
hin công vic này bng tay nếu có bn có k năng. Về vic làm thế nào hoc
s dụng khi nào đối vi nhng công c này s được đề cp trong các d án
tiếp theo.
Trang web này đang cố gng khai thác l hng trong ActiveX control thông
qua plugin dành cho Adobe Reader
Đon mã trong ví d trên ch ra rng k xấu đang cố gng li dng l hng
ca hiu ứng đọc file PDF cũng như Java, qua đó lây lan vào sâu bên trong h
thống. Đoạn mã trên còn cho biết thêm rng k xấu đang khoét sâu vào trình
duyt Internet Explorer, tiến hành kim tra xem trình duyt của Microsoft đã
cài đặt ActiveX control dành cho Adobe Reader hay chưa, và kim tra phiên
bản ActiveX đó. Để bắt đầu quá trình khai thác l hng an ninh này bng
Java, server apomith.com s t động ti gói Java jjj.jar v máy tính ca nn
nhân và tiến hành t đây.
Trang 2: Công c Jode
Công c Jode
Tiếp theo, chúng ta s tìm hiu v công c Jode. Malzilla ch tiến hành thao
tác với các đoạn mã JavaScript, trong khi cn thêm 1 công c để phân tích
gói Java jjj.jar, đây chúng ta sẽ s dng Jode: trình biên dch các gói Java.
Chương trình có khả năng chuyển đổi mã byte-code Java trong các lp
class và chuyn v Java thông thường, mà chúng ta có th đọc và hiu
đưc. Bn thân Jode cũng đưc to ra bi Java, nên ng dng này có th hot
động trên các nn tng h điu hành khác nhau. Khi hoạt động, Jode s tiến
hành lưu trữ các gói và các lp riêng bit thành nhng file nguồn tương ứng.
Ví d, gói Vergrößern Jode (jode-1.x.jar) có th d dàng cách ly hoàn toàn
thông tin tài liệu
Phần mềm độc hại có thể ở khắp mọi nơi, website về game, chính trị, tin tức… hoặc ngay cả những trang web nổi tiếng và phổ biến nhấ
Mở rộng để xem thêm
từ khóa liên quan
xem nhiều trong tuần
yêu cầu tài liệu
Giúp bạn tìm tài liệu chưa có

LÝ THUYẾT TOÁN


×