17/09/2018, 21:06

Phân tích mã độc – Sự phát triển và những thách thức mới

Mã độc trên các bộ xử lý 64bit Hiện nay bộ xử lý 64bit đang dần thay thế 32bit do có thể đánh dấu không gian địa chỉ nhớ lớn hơn, sự thay đổi này khiến cho mã độc cũng phải có sự biến đổi và việc phân tích mã độc gặp phải những thách thức mới. Trong các phiên bản 64bit của Windows có cơ chế bảo ...

Mã độc trên các bộ xử lý 64bit

Hiện nay bộ xử lý 64bit đang dần thay thế 32bit do có thể đánh dấu không gian địa chỉ nhớ lớn hơn, sự thay đổi này khiến cho mã độc cũng phải có sự biến đổi và việc phân tích mã độc gặp phải những thách thức mới.

Trong các phiên bản 64bit của Windows có cơ chế bảo mật mới so với 32bit là Kernel Patch Protection (KPP). Tính năng này ngăn chặn hệ thống tải kernel driver mà không có chứng nhận đã được ký xác thực từ trước. Một số mã độc ví dụ như rootkits có khả năng sửa đổi các driver này để tự động chạy ở mức thấp khi hệ thống khởi động. Để rootkit có thể hoạt động với cơ chế KPP, có một số chiến thuật đã được áp dụng hiện nay như: rootkit có thể được tự ký sử dụng mã chứng thực hợp pháp. Worm Stuxnet sử dụng chiến thuật này sau khi đánh cắp mã chứng thực của Realtek Semiconductor. Bất lợi của cách này khi bị phát hiện có thể bị ngăn chặn dễ dàng bằng cách thu lại mã chứng thực.

Một chiến thuật thứ hai là vô hiệu hóa khả năng của KPP bằng cách kiểm soát hệ thống trước khi windows được nạp; khi đó chương trình rootkit sẽ ghi đè vào system’s master boot record MBR chiếm quyền điều khiển hệ thống và disable KPP, sau đó mới tải driver đã sửa bởi rootkit.

Hoặc ví dụ như đối với hệ điều hành Windows mỗi khi được ra mắt, các tính năng an ninh mới được Microsoft thêm vào đảm bảo chặn hoặc vô hiệu hóa các mã độc khai thác cũ. Trước đây giãn cách giữa mỗi lần ra hệ điều hành Windows mới là khá lâu thì hiện nay; trước sự cạnh tranh khốc liệt, Microsoft liên tục tung ra các phiên bản hệ điều hành mới và do đó các cơ chế khai thác của mã độc cũng cần liên tục thay đổi để phù hợp nếu như chúng muốn lây nhiễm trên diện rộng.

Mobile malware – Mã độc trên di động

Hiện nay sự bùng nổ của các thiết bị di động kéo theo đó là sự phát triển của các loại mã độc trên nền tảng này. Các thiết bị di động thông minh đang phát triển nhanh chóng, đi cùng với nó là kho ứng dụng khổng lồ mà các lập trình viên phát triển. Mã độc trên nền tảng này lây nhiễm chủ yếu thông qua ứng dụng được người dùng tải về và cài đặt trên máy cá nhân. Các dạng mã độc kiểu này có thể bị kiểm soát bởi chính người sử dụng hoặc bị chặn bởi nhà cung cấp hệ điều hành do chúng yêu cầu các hành vi có thể bị nhận biết là nguy hiểm, gây khó khăn cho cả những người làm nhiệm vụ phân tích mã độc.

Để bảo vệ người sử dụng, các thiết bị mobile được hỗ trợ bởi hệ điều hành trong việc kiểm soát các phần mềm được phép cài đặt trong máy. Tuy nhiên đối với những thiết bị di động không còn chịu sự can thiệp từ phía nhà cung cấp (jailbreaking đối với các thiết bị của Apple, root đối với các thiết bị Android, unlook đối với các thiết bị Windowphones), việc cài đặt chương trình trở nên dễ dàng hơn, không còn chịu sự kiểm soát, giới hạn từ phía nhà cung cấp hệ điều hành. Chính điều này tạo điều kiện cho mã độc dễ dàng lây nhiễm. Hành vi của mã độc trên các thiết bị di động này hiện nay đa phần với động cơ tài chính ví dụ ăn cắp thông tin người sử dụng, tự động quay số, nhắn tin … nhưng có thể phức tạp hơn trong tương lai.

Các nguy cơ nâng cao và thử thách trong việc phân tích mã độc

Có thể nhận thấy xu hướng của mã độc dần dần phát triển từ trước đến nay về cả độ phức tạp cũng như mục tiêu mà chúng nhắm đến. Hiện nay, đa phần mã độc được thiết kế nhắm đến các mục tiêu được xác định từ trước, đó có thể là một cá nhân hoặc một tổ chức; xuất phát từ mục đích đó, mã độc hiện nay được thiết kế sao cho có khả năng che dấu càng lâu càng tốt, sau đó chúng mới thực hiện các mục đích phá hoại, ăn cắp thông tin hay gián điệp.

Một đặc tính nguy hiểm của mã độc hiện nay đó là nó được thiết kế với mục đích lây nhiễm dài hạn trên mục tiêu, điều đó có nghĩa là khi lây nhiễm vào máy mục tiêu, thay vì ngay lập tức có những hành vi phá hoại hay ăn cắp dữ liệu dễ bị phát hiện, chúng sẽ thực hiện một loạt sự chuẩn bị để tồn tại trong hệ thống càng lâu càng tốt; sau đó mới thực thi các cuộc tấn công vào hệ thống với sự đảm bảo rằng nếu cuộc tấn công thất bại, kẻ tấn công có thể sử dụng mã độc đó cho một cuộc tấn công khác vào thời gian sau đó với một hình thức hay cách tiếp cận khác.

Trong những mã độc đã được phân tích, người ta còn nhận thấy xu hướng cải tiến phức tạp trong việc đánh cắp dữ liệu – một trong những mục đích quan trọng của mã độc. Cách thức mà mã độc sử dụng phải đảm bảo dữ liệu đánh cắp được không bị chặn hay bị phát hiện nhưng vẫn đảm bảo tính bí mật, điều này đòi hỏi kẻ tấn công phải sử dụng những kênh giao thức phổ biến cũng như mã hóa dữ liệu gửi nhận.

Mục tiêu của những loại mã độc nguy hiểm thời gian gần đây có thể bao gồm quân sự, chính trị hay thu thập các thông tin tình báo kinh tế, làm gián đoạn các hoạt động hoặc phá hủy các thiết bị công nghiệp. Malware Stuxnet cho phép kẻ tấn công phá vỡ các hệ thống kiểm soát công nghiệp trong quá trình làm giàu Uranium của một cơ sở công nghiệp cụ thể là một ví dụ điển hình cho xu hướng phát triển của mã độc trong tương lai.

Các kỹ thuật Social engineering

Social Engineering một kỹ thuật cho phép kẻ tấn công lợi dụng yếu tố con người để đánh bại hệ thống an ninh cũng được sử dụng nhiều hiện nay. Nhờ kỹ thuật này, kẻ tấn công có thể xâm nhập sâu vào hệ thống an ninh của đối tượng. Dựa vào các thông tin được thu thập thông qua mạng xã hội hay các trang web thông tin truyền thông, kẻ tấn công có thể tổng hợp thông tin về mục tiêu cũng như một mạng lưới thông tin xung quanh mục tiêu, từ đó các cuộc tấn công trở nên đáng tin cậy và có sức thuyết phục để dễ dàng vượt qua được hệ thống an ninh.

Mã độc xuất hiện đầu tiên năm 1984 và phát triển nhanh chóng theo xu hướng phát triển của công nghệ máy tính. Càng ngày, mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân loại cũng như mục tiêu sử dụng. Cùng với sự bùng nổ của mạng máy tính, thiết bị di động, mã độc cũng tăng trưởng với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứng với các công nghệ và nền tảng mới.

Nếu như ban đầu mục tiêu của những đoạn mã độc chỉ nhắm đến những máy tính đơn lẻ, cơ chế lây lan hầu như không có và tác hại mang tính trêu trọc thì ngày nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ chế lây lan phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ. Nghiêm trọng hơn, mã độc có thể được phát triển phức tạp và thiết kế tinh vi với mục đích gián điệp, phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới. Từ đó dẫn đến nguy cơ về một cuộc chiến tranh mạng Cyberwar lan rộng.

0