Định nghĩa và phân loại

Từ "Malware" bắt nguồn từ các từ MAL icious soft WARE (phần mềm độc hại). Đây là tên gọi của phần mềm gây nguy hiểm cho tính bảo mật và tính toàn vẹn của hệ thống bằng cách nhắm vào mục đích xấu.

• Backdoor: Việc để lại một backdoor trên thiết bị cài đặt phần mềm độc hại cho phép kẻ tấn công truy cập hệ thống thông qua cửa này. Ví dụ: bằng cách mở một cổng mạng được kết nối với shell, kẻ tấn công có thể kết nối với hệ thống thông qua cổng này.
• Phần mềm quảng cáo: Thường đi kèm với phần mềm đã tải xuống, khiến quảng cáo không mong muốn hiển thị trên thiết bị. Mặc dù không phải tất cả phần mềm quảng cáo đều có hại, nhưng một số phần mềm quảng cáo có thể thay đổi công cụ tìm kiếm mặc định.
• Ransomware: Đây là một loại phần mềm độc hại đã trở thành chủ đề nóng trên toàn thế giới trong vài năm trở lại đây. Nó đòi tiền chuộc bằng cách mã hóa và đánh cắp tất cả các tệp trên thiết bị.
• Virus: Đây là một trong những loại phần mềm độc hại đầu tiên được phát hiện ngoài đời thực. Vì vậy, trong cuộc sống hàng ngày, chúng ta thường gọi nó là virus thay vì thuật ngữ "phần mềm độc hại". Virus có đặc điểm tự sao chép. Nó tồn tại dai dẳng bằng cách lây nhiễm sang các tệp khác trên thiết bị.
• Worm: Vì loại phần mềm độc hại này lây lan từ thiết bị bị nhiễm sang thiết bị khác nên nó được gọi là worm
• Rootkit: Đây là một loại phần mềm độc hại ngụy trang bằng cách cung cấp quyền truy cập vào cấp độ quyền cao trên thiết bị.
• RAT (Trojan truy cập từ xa): Đây là loại phần mềm độc hại cung cấp toàn quyền kiểm soát thiết bị cho kẻ tấn công.
• Phần mềm độc hại nhắm vào ngân hàng: Một loại phần mềm độc hại nhắm vào các ứng dụng ngân hàng và khiến nạn nhân bị đánh cắp tiền.
• Keylogger: Một loại phần mềm độc hại ghi lại các phím đã nhấn và gửi thông tin này cho kẻ tấn công.

Để phân tích malware, cần biết những gì ?

• Kiến trúc và nguyên lý cơ bản của hệ điều hành: Phần mềm độc hại thường lợi dụng các tính năng do hệ điều hành cung cấp, tăng quyền truy cập, phát hiện và duy trì hoạt động. Ví dụ, trên hệ điều hành Windows, phần mềm độc hại sử dụng các tính năng của hệ điều hành như Trình lập lịch tác vụ, Dịch vụ, Sổ đăng ký để duy trì hoạt động. Ngoài các tính năng của hệ điều hành, API, Syscall, Kiến trúc bộ nhớ và các vấn đề cấp thấp hơn cũng rất quan trọng để phân tích phần mềm độc hại thành công.
• Ngôn ngữ hợp ngữ & Lập trình
• Giao thức mạng: Phần mềm độc hại thường thể hiện hoạt động mạng để chiếm đoạt thông tin, kết nối với máy chủ chỉ huy và điều khiển (C&C) hoặc tải xuống các payload thứ hai. Việc hiểu các lưu lượng mạng này trong khi phân tích phần mềm độc hại là vô cùng quan trọng để hiểu được mục đích của phần mềm độc hại.
• Mật mã học: Nhiều công nghệ sử dụng mật mã để bảo mật. Tuy nhiên, nó cũng được kẻ tấn công sử dụng cho các mục đích như làm phức tạp, ngăn chặn phát hiện và ngăn chặn truy cập.

Phương pháp phân tích phần mềm độc hại

Phân tích tĩnh

Đây là phương pháp phân tích phần mềm độc hại bằng các phương pháp kỹ thuật đảo ngược mà không cần chạy chúng.

Nhìn chung, bằng cách dịch ngược/phân tách phần mềm độc hại, mỗi bước mà phần mềm độc hại thực hiện đều được phân tích, do đó có thể phân tích hành vi/khả năng của phần mềm độc hại.

Một số công cụ phổ biến có thể kể đến như:

• IDA Pro: Công cụ phân tích mã disassembly và decompiler mạnh mẽ, hỗ trợ phân tích mã máy và mã nguồn cấp cao của tệp thực thi
• Ghidra: Công cụ mã nguồn mở do NSA phát triển, tương tự IDA Pro, cung cấp khả năng disassembly, decompile và phân tích mã độc
• PEiD: Công cụ phân tích tệp PE (Portable Executable) để phát hiện các packer, crypter hoặc kỹ thuật che giấu mã
• Dependency Walker: Công cụ phân tích các thư viện liên kết động (DLL) và phụ thuộc của tệp thực thi Windows.
• Hex Editors (HxD, 010 Editor): Công cụ chỉnh sửa và phân tích tệp nhị phân ở cấp độ byte

Thông tin được kiểm tra trong quá trình phân tích tĩnh như sau.

• Tiêu đề PE (tệp thực thi di động)
• DLL nhập khẩu
• DLL đã xuất
• Chuỗi ở dạng nhị phân
• Hướng dẫn CPU

Phân tích động

Đây là phương pháp kiểm tra hành vi của phần mềm độc hại trên hệ thống bằng cách chạy nó.

Trong phân tích động, các ứng dụng có thể kiểm tra các sự kiện đăng ký, tệp, mạng và quy trình được cài đặt trong hệ thống và hành vi của chúng được kiểm tra bằng cách chạy phần mềm độc hại.

Khi thực hiện phân tích động, nên kiểm tra cẩn thận các sự kiện sau:

• Kết nối mạng
• Sự kiện tập tin
• Sự kiện quy trình
• Sự kiện đăng ký

Một số công cụ phổ biến có thể kể đến như:

• Process Explorer: Công cụ của Microsoft Sysinternals để giám sát các tiến trình đang chạy trên hệ thống Windows
• Process Monitor (Procmon): Công cụ Sysinternals khác để ghi lại hoạt động của hệ thống ở cấp độ tiến trình, registry, file, và mạng.
• OllyDbg / x64dbg: Công cụ debug mã nguồn thấp để phân tích hành vi mã độc khi thực thi.
• Sysmon (System Monitor): Công cụ của Sysinternals ghi lại các sự kiện hệ thống chi tiết, như tạo tiến trình, kết nối mạng, và thay đổi file.