Các kỹ thuật phân tích động mức cơ bản (Phần 2)
Tiếp tục chuyên đề các kỹ thuật phân tích động mức cơ bản, ở phần cuối này chuyên gia an ninh mạng Bùi Đình Cường sẽ giới thiệu đến các bạn đọc các nội dung như: so sánh sự thay đổi của công cụ Registry so với công cụ Regshot, các phương pháp giả lập mạng. So sánh sự thay đổi Registry ...
Tiếp tục chuyên đề các kỹ thuật phân tích động mức cơ bản, ở phần cuối này chuyên gia an ninh mạng Bùi Đình Cường sẽ giới thiệu đến các bạn đọc các nội dung như: so sánh sự thay đổi của công cụ Registry so với công cụ Regshot, các phương pháp giả lập mạng.
So sánh sự thay đổi Registry với công cụ Regshot
Regshot cho phép so sánh nội dung Registry qua các bản ảnh được ghi lại. Các điểm khác biệt trên Registry có thể giúp chúng ta tìm ra những thông tin Registry bị thêm, sửa, xóa trong quá trình thực thi mã độc.
Sử dụng Regshot để so sánh sự thay đổi trên hệ thống
Giả lập mạng
Các mã độc hoặc ngay cả những phần mềm thông thường cũng đều cần đến các kết nối mạng. Để cung cấp một môi trường có kết nối mạng có 2 phương pháp chính:
- Kết nối trực tiếp: Mã độc sẽ được tham gia và mạng thực tế, phương pháp này có nguy cơ cao gây ra ảnh hưởng cho hệ thống thực.
- Giả lập mạng: Giả lập mạng vừa cung cấp môi trường kết nối mạng, vừa giảm thiểu tác động tới hệ thống thật.
Sử dụng ApateDNS
ApateDNS là công cụ cho phép xem các truy vấn DNS, có thể tải ApateDNS theo địa chỉ: https://goo.gl/4ofzin
Theo dõi vào/ra sử dụng Netcat
Netcat là công cụ rất hữu ích cho cả kết nối trong và ngoài. Netcat có thể sử dụng để quét cổng, quét kênh truyền, proxy, forward cổng… Netcat có thể đóng vai trò là client hoặc server.
XEM THÊM: Các kỹ thuật phân tích động mức cơ bản (Phần 1)
Chặn và xem gói tin sử dụng Wireshark
Wireshark là công cụ chặn và phân tích gói tin rất hiệu quả. Wireshark có khả năng phân tích các gói tin với nhiều loại giao thức khác nhau. Chúng ta có thể sử dụng Wireshark để xem các tên miền được truy vấn, xem thông tin dữ liệu truyền qua mạng…
Lưu ý:
- Wireshark cho phép theo dõi trên từng card mạng riêng biệt nên khi sử dụng cần chú ý chọn đúng card mạng.
- Wireshark bản thân có nhiều lỗ hổng do đó cần cài đặt trong một môi trường an toàn để tránh bị ảnh hưởng tới hệ thống thật.
Bắt gói tin sử dụng wireshark
Sử dụng INetSIM
INetSIM là công cụ miễn phí chạy trên nền Linux, công cụ này cung cấp các giả lập cho các dịch vụ mạng. INetSIM cung cấp nhiều dịch vụ mạng:
| Dịch vụ | Cổng | Giao thức |
| dns | 53 | udp/tcp |
| http | 80 | tcp |
| https | 8443 | tcp |
| smtp | 25 | tcp |
| irc | 6667 | tcp |
| smtps | 465 | tcp |
| ntp | 123 | udp |
| pop3 | 110 | tcp |
| finger | 79 | tcp |
| syslog | 514 | udp |
| tftp | 69 | udp |
| pop3s | 995 | tcp |
| time | 37 | tcp |
| ftp | 21 | tcp |
| ident | 113 | tcp |
| ftps | 990 | tcp |
| daytime | 13 | tcp/udp |
| echo | 7 | tcp/udp |
| discard | 9 | tcp/udp |
| quotd | 17 | tcp/udp |
| chargen | 19 | tcp/udp |
| dummy | 1 | tcp/udp |
Với các công cụ trên, chúng ta có thể thực hiện các bước để tiến hành quá trình phân tích động như sau:
- Chạy promon và thiết lập filter theo tên mã độc
- Chạy process explorer
- Sử dụng Regshot để thu thập trạng thái đầu tiên
- Thiết lập mạng ảo sử dụng INetSim và ApateDNS (Xem hình vẽ bên dưới). Cấu hình ApateDNS để forward toàn bộ truy vấn sang máy ảo Linux cài INetSim.
- Cấu hình chặn và phân tích gói tin sử dụng Wireshark
Thiết lập mạng ảo để phân tích động
Sau khi thiết lập môi trường xong, ta tiến hành chạy mã độc trên máy ảo phân tích. Sau một khoảng thời gian chúng ta dừng quá trình giám sát bằng promon và thực hiện thu thập trạng thái tiếp theo bằng Regshot. Tiếp theo, chúng ta có thể thực hiện theo dõi một số thông tin:
- Xem các thông tin truy vấn DNS trên ApateDNS.
- Xem kết quả từ procmon để biết các file hệ thống có thay đổi.
- So sánh hai trạng thái trước và sau khi chạy mã độc bằng Regshot.
- Sử dụng Process Explorer để theo dõi các tiến trình và giám sát các mutex được tạo ra.
- Xem thông tin log trên INetSim để biết được các truy vấn và các dịch vụ chương trình sử dụng.
- Xem thông tin trên Wireshark để xem quá trình kết nối từ chương trình cần giám sát ra bên ngoài.
KẾT LUẬN
Như vậy, tôi đã giới thiệu xong cho các bạn một số công cụ và phương pháp sử dụng để phân tích động ở mức độ cơ bản. Trong phương pháp phân tích này, chúng ta có thể thu thập được một số thông tin chính như sau:
- Địa chỉ IP hoặc tên miền mà mã độc kết nối tới để nhận lệnh điều khiển hoặc truyền dữ liệu.
- Các file trên hệ thống, thanh ghi, chương trình mà mã độc sẽ thay đổi.
- Các tiến trình mới mã độc tạo ra cho các nhiệm vụ riêng biệt.
Tuy nhiên, việc phân tích động mức cơ bản có nhiều hạn chế, chúng ta cần kết hợp các kĩ thuật phân tích nâng cao và chuyên sâu hơn để hiểu tường tận về các đặc tính của mã độc cũng như đưa ra cách thức diệt, làm sạch hệ thống bị lây nhiễm.
Trong các phần tiếp theo tôi sẽ tiếp tục giới thiệu tới các bạn về các kĩ thuật phân tích nâng cao và chuyên sâu hơn. Tuy nhiên, trước bước này tôi sẽ hệ thống lại các kiến thức liên quan sâu hơn về PE file, cấu trúc tập lệnh Assembly, chuyển đổi và nhận biết các cấu trúc điều khiển và các lệnh cơ bản từ ngôn ngữ lập trình C/C++ sang ngôn ngữ Assembly, phương pháp chỉnh sửa các file nhị phân để điều khiển chương trình chạy theo ý muốn.
XEM NHIỀU NHẤT: Giải mã mật khẩu – Phần 1: Các Nguyên Lý và Kĩ Thuật
Securitybox giải pháp an ninh mạng toàn diện. Đánh giá bảo mật mạng từ các chuyên gia hàng đầu trong lĩnh vực an ninh mạng.
Thông tin liên hệ:
Công ty cổ phần An toàn thông tin MVS – SecurityBox
Địa chỉ: Tầng 9, Tòa nhà Bạch Dương, Số 459 Đội Cấn, Ba Đình, Hà Nội
Hotline:(+84) 909.808.866 (Mr. Kiên)
Email: info@securitybox.vn
Nguồn: Bùi Đình Cường
