Thiết kế đối chiếu Malware (phần 3)

Thiết kế đối chiếu Malware (phần 3).Bóc trần thủ đoạn của spammer, những kẻ dưới đáy xã hội internet cùng một số kẻ khác với các nội dung che đậy, ẩn giấu malware thực bên trong.Như đã tìm hiểu trong phần 2, bạn có thể thấy rằng không phải cái gì cũng giống như mắt ta nhìn thấy. Những kẻ phát tán thư rác (spammer), những kẻ ở dưới đáy xã hội ảo internet cùng một số kẻ khác luôn luôn tìm cách che đậy malware thực bằng vỏ bọc giả rất ư thánh thiện. Trong phần tiếp theo của...
Nội dung trích xuất từ tài liệu:
Thiết kế đối chiếu Malware (phần 3)Thiết kế đối chiếu Malware (phần 3)Bóc trần thủ đoạn của spammer, những kẻ dưới đáy xã hội internet cùngmột số kẻ khác với các nội dung che đậy, ẩn giấu malware thực bên trong.Như đã tìm hiểu trong phần 2, bạn có thể thấy rằng không phải cái gì cũnggiống như mắt ta nhìn thấy. Những kẻ phát tán thư rác (spammer), những kẻở dưới đáy xã hội ảo internet cùng một số kẻ khác luôn luôn tìm cách che đậymalware thực bằng vỏ bọc giả rất ư thánh thiện. Trong phần tiếp theo của loạtbài này, chúng ta sẽ tiếp tục lột bỏ và bóc trần các kiểu hành vi của chúng.Trong phần 2, chúng ta đang dừng lại ở thời điểm nhận ra malware downloadvề thực tế không phải là file nén zip vô hại, mà là định dạng thực thi PE.Chúng ta đã xác nhận chắc chắn điều này bằng việc mở malware trong trìnhsoạn thảo Hex. Trình soạn thảo này cho phép kiểm tra nội dung bên trong màkhông cần thực thi file. Ký tự “MZ” trong file cho biết thực sự đây là kiểuđịnh dạng file PE đã nói ở trên. Bạn cũng nên nhớ rằng các thông tin này là hoàn toàn thông suốt, chẳng có gì là ảo thuậthay bí ẩn về nó cả. Không phải là kinh nghiệm tích luỹ quý báu từ các tổchức chính phủ, cũng không phải là hệ thống lý thuyết của các nhà lý luận.Điều chúng ta có được ở đây là thiết kế đối chiếu (reverse engineering) đượcđào sâu hơn và được áp dụng thử nghiệm để tìm hiểu về nghệ thuật ngầmtrong thế giới ảo. Tài liệu tham khảo rất phong phú và hoàn toàn miễn phí.Bạn có thể tìm hiểu về định dạng PE trên website của Microsoft hay Google.Hệ thống lý thuyết thiết kế đối chiếu và các công cụ của nó có thể tìm thấy dễdàng trên một số website như OpenRCE.Các gói malwareTại sao file malware lại cần nén nhỏ kích thước lại? Có thực sự đơn giản chỉlà muốn thu gọn kích thước thực, hay quan trọng hơn là còn để tránh các bộquét virus. Có rất nhiều chương trình anti-virus sẽ loại bỏ malware ngay cảkhi nó được viết tuỳ biến. Kích thước chính là một điểm yếu của malwaretrước các phần mềm diệt virus. Vì thế thế giới hacker mũ đen quyết định sửdụng nhiều đường vòng khác, như tạo các trình đóng gói (packer).Có một câu nói rằng “tạo hoá không tạo ra tất cả mọi thứ giống nhau”, vàhacker cũng vậy. Mỗi kẻ có một kiểu hay mức kỹ năng khác nhau. Một số thìviết các gói tuỳ biến như Yoda, trong khi một số khác đơn giản chỉ dùngUPX để đóng gói phần mềm malware. Xem lại hình minh hoạ bên dưới, phầnmalware được mở trong trình soạn thảo Hex, để ý bạn sẽ thấy có các ký tựASCII “UPX”.Hình 1Nếu chưa tìm thấy, bạn hãy xem bên dưới các ký tự “MZ”. Như đã nói, MZlà thể hiện cho định dạng file PE. Bên dưới nó một chút là xâu ký tự UPX.Xâu ký tự này nói cho chúng ta biết file thực thi được đóng gói bởi trình góiUPX. Thường thì việc mở một file đã đóng gói không phải là dễ dàng, nhưngvới UPX thì không khó khăn lắm. Bạn có thể mở gói dễ dàng bằng chínhcông cụ đã đóng gói nó. Nhưng cần chú ý là một số file có thể được đóng góibằng UPX, nhưng được mã hoá hoặc thực hiện một số thủ thuật khiến việcmở gói trở nên rất khó khăn.Hãy để “bữa tiệc” được bắt đầuĐể mở gói file UPX, hãy bắt đầu bằng việc download một bản copy chươngtrình UPX và cài đặt nó vào thư mục gốc của ổ C. Sau đó viện dẫn chínhchương trình và đưa thông tin dòng lệnh vào. Thông thường, cũng sẽ rất hữuích khi copy malware vào ổ C. Xem hình minh hoạ menu trợ giúp do UPXcung cấp bên dưới sau khi gọi chương trình vào.Hình 2Bây giờ, hãy xem thông tin dòng lệnh trên hình.Hình 3Như bạn có thể thấy, việc mở gói file UPX khá bình thường, không có gì đặcbiệt gọi là khó khăn. Vấn đề nằm ở chỗ bạn phải xác định được kiểu đóng góicủa file malware là gì. Đó mới là cái khiến ngay cả các chuyên gia cũng phảiđau đầu.Chúng ta đang dừng tại đâu?Chúng ta đã khởi đầu và đang dừng lại ở thời điểm quá trình phân tích thựcmalware có thể bắt đầu. Điều này được thực hiện theo nhiều cách khác nhau,nhưng phổ biến nhất là theo hai kiểu: phân tích tĩnh và phân tích động filethực thi malware. Động là gì mà tĩnh là gì? Phân tích tĩnh là quá trình mởchương trình malware nhưng không thực sự thực thi chúng. Kiểu phân tíchnày chủ yếu được dùng trong trình soạn thảo Hex như bạn đã thấy ở phầntrước. Nó có thể được thực hiện thông qua một số thành phần riêng rẽ.Các thành phần này cho phép bạn xem một cách an toàn các mã thực thi màkhông phải lo lắng chúng sẽ “tác oai tác quái” trên máy tính của bạn. Đồngthời chúng cũng cho phép bạn viết một số khoảng chứa trống (offset) cho cácđiểm ngắt thú vị. Điểm ngắt, về cơ bản là địa chỉ của máy tính lệnh trongchương trình. Từ đó bạn có thể thực hiện từng bước các thực thi theo lệnh tạitừng thời điểm. Có thể vấn đề là hơi nâng cao một chút, nhưng cũng là nềntảng thích hợp để hiểu sâu hơn về thiết kế đối chiếu.Phân tích động là quá trình bạn tiến hàn ...