Phương pháp phát hiện phần mềm được cài đặt để chặn việc thu thập thông tin bí mật qua Internet. Phương pháp phát hiện phần mềm được cài đặt để chặn việc thu thập thông tin bí mật qua Internet.
TỔNG QUAN
Máy tính và hoạt động của máy tính
Quá trình khởi động Windows và hoạt động của chương trình trên nền
Sau khi hoàn thành các tác vụ này, nó sẽ tạo daemon đăng nhập, winlogon.exe. Nó cũng có thể gọi các chương trình/mô-đun khác trong quá trình này.
Giao diện lập trình ứng dụng Windows (Win32 Application Programming
Tay cầm tiếp theo có thể được sử dụng để thực hiện các thao tác trên đối tượng. Sau đó, chương trình điều khiển được tham chiếu trong hệ điều hành bằng cách sử dụng đối tượng của nó.
Định dạng file thực thi khả chuyển (Portable Executable file format) và quá
Về cơ bản, Win32 API là một tập hợp các hàm để thực hiện một số tác vụ nhất định khi chương trình được thực thi. Cho phép sử dụng đĩa cứng làm bộ nhớ phụ khi chương trình không hoạt động trong thời gian dài để tải các chương trình máy khách vào bộ nhớ RAM.
Registry của hệ điều hành Windows
Các giá trị có thể được xác định là các tệp nằm trong thư mục, chúng chứa thông tin cấu hình. HKEY_CURENT_USER: Lưu trữ thông tin người dùng đăng nhập (trong dòng chữ “Loon to system”: tức là đăng nhập vào hệ thống). HKEY_LOCAL_MACHINE: chứa thông tin về hệ thống, phần cứng và phần mềm.
HKEY_USERS: Chứa thông tin về từng User, mỗi user là một nhánh gọi là số ID người dùng. HKEY_CURRENT_CONFIG: Lưu trữ thông tin về phần cứng được người dùng sử dụng. Khi hệ thống tắt, hầu hết thông tin đăng ký (nhưng không phải tất cả, như đã đề cập ở trên) được lưu trữ trên đĩa trong một tệp có tên là Hive (nhánh).
Mất dữ liệu trong sổ đăng ký yêu cầu phải cài đặt lại toàn bộ phần mềm.
Tổng quan về mạng Internet và phần mềm gián điệp (Spyware)
- Tổng quan về mạng Internet
- Phần mềm gián điệp (Spyware)
Trong giao thức TCP/IP, mỗi máy tính được xác định bằng một địa chỉ duy nhất, đó là địa chỉ IP (Địa chỉ giao thức Internet). Chúng được gọi là địa chỉ MAC (Kiểm soát truy cập trung bình). Đây là những địa chỉ vật lý nằm trên card giao diện mạng (NIC). Trong khi địa chỉ MAC hoạt động ở lớp liên kết dữ liệu (lớp 2), địa chỉ IP trong mô hình OSI hoạt động ở lớp mạng (lớp.
Thật đơn giản, nhưng bạn cũng có thể coi địa chỉ IP hỗ trợ các hoạt động phần mềm trong khi MAC hỗ trợ các hoạt động phần cứng trong ngăn xếp mạng. Kết nối mạng theo giao thức IP sử dụng ánh xạ giữa địa chỉ IP của thiết bị và địa chỉ MAC của thiết bị. Giao thức phân giải địa chỉ (ARP) cung cấp các quy tắc để ánh xạ và cập nhật bảng ARP.
Phần mềm gián điệp cũng thu thập thông tin về địa chỉ email, thậm chí cả mật khẩu và số thẻ tín dụng.
Hợp ngữ (Assembly Language) và Reverse Engine
- Hợp ngữ (Assembly Language)
- Reverse Engine
Đây là phần mềm được cài đặt được đề cập trong chủ đề này. Khi sử dụng các chương trình chống vi-rút và chống phần mềm gián điệp đơn giản, thường không thể phát hiện được phần mềm đã cài đặt. Chỉ những chương trình sử dụng phương pháp heuristic hoặc hành vi mới có thể vô tình phát hiện ra loại phần mềm này.
Nguyên nhân là do một số phần mềm gián điệp phổ biến hoạt động nhầm giống như phần mềm được cài đặt. Tuy nhiên, khi phần mềm chống spyware phát hiện có sự hiện diện của phần mềm được cài đặt thì nó thường được sử dụng trong thời gian dài. Điều này có thể giúp chúng tôi phát hiện lỗi phần mềm hoặc lỗ hổng phần mềm.
Đối với các nhà phát triển phần mềm độc hại, họ sử dụng kỹ thuật đảo ngược để tìm ra các lỗ hổng của hệ điều hành nhằm tạo ra virus máy tính.
Vấn đề thu tin trên mạng Internet
- Vấn đề thu tin công khai
- Vấn đề thu tin bí mật
- Hack để thu tin
- Cài cắm phần mềm thu tin
Trong danh mục phần mềm, quy trình ngược lại giúp hiểu mã nguồn của phần mềm để bảo trì và cải tiến. Quá trình phát triển của máy tính và phần mềm máy tính phát sinh nhiều lỗi chương trình (bug) hoặc lỗ hổng bảo mật (lỗ hổng). Bản thân hệ điều hành và phần mềm trên nền tảng hệ điều hành có thể có lỗi bảo mật ở nhiều cấp độ khác nhau.
Việc truy cập địa chỉ trang web này sẽ cài đặt phần mềm nguy hiểm trên máy tính của người dùng. Phần mềm này sẽ thu thập thông tin của nạn nhân và gửi cho kẻ tấn công. Một phương pháp cài đặt rất đơn giản và khó đoán khác là kẻ tấn công trực tiếp tiếp cận và cài đặt phần mềm thu thập thông tin trên máy tính của nạn nhân.
Đây là kiến thức cơ bản để người triển khai phát hiện và xử lý một trường hợp cài đặt phần mềm cụ thể.
Phân tích hiện trường
- Bảo vệ hiện trường
- Tìm kiếm module gây nên hiện tượng nghi vấn
Ngoài ra, svchost.exe không thể sao chép các thư mục, tập tin có tên tiếng Việt (không có trong phiên bản ASCII) và tiếng Trung Quốc. Hãy thử xóa mô-đun mdidll.dll, nó không thể xóa được vì nó được svchost.exe sử dụng. Vì vậy trước tiên bạn phải dừng hoạt động của svchost.exe sử dụng IPRIP, sau đó bạn có thể xóa tệp này.
Để xác định mô-đun gây ra hành vi thông báo địa chỉ, nhà phân tích đã sử dụng chương trình Security Task Manager (khả năng quét các tiến trình sâu hơn Process Explorer) và tìm kiếm một tiến trình có cái tên rất lạ: itirclt.exe. Từ đây ta đưa itirclt_unpack.exe vào IDA Pro để phân tích bình thường. Khi được bật, mô-đun này sẽ tự động giải nén và sao chép chính nó vào thư mục %systemroot%\system32\itirclt.exe.
Khi itirclt.exe đã được xác định chính xác là tác nhân báo cáo địa chỉ cho thế giới bên ngoài, nhà phân tích sẽ tiến hành loại bỏ hoạt động của mô-đun này. Sau khi xác định thông tin trên, nhà phân tích đã đồng loạt xóa itirclt.exe và dpnclt.exe, sau đó kiểm tra thư mục hiện tại và nhận thấy chúng chưa được tạo lại. Đồng thời khi sử dụng chương trình FileMon để giám sát cũng không thấy Explorer.exe truy cập 2 file này nữa.
Đánh giá, kết luận
Ở trên chúng ta đã xác định được hai thành phần: thành phần nhận thông tin và thành phần thông báo địa chỉ. Như vậy, chắc chắn phải có bên thứ ba truy xuất, tổng hợp những thông tin thu được. Như đã đề cập ở trên, thành phần thông báo địa chỉ đã gửi thông tin về tên máy chủ, hệ điều hành và địa chỉ MAC.
Sau khi điều tra và phân tích cẩn thận, chúng tôi đưa ra kết luận: Hệ thống nghiên cứu đã cài đặt phần mềm để thu thập thông tin bí mật từ thiết bị ổ flash USB. Hệ thống phần mềm này bao gồm ba thành phần: thành phần thu thập thông tin, thành phần thông báo địa chỉ và thành phần lợi dụng lỗ hổng để thu thập thông tin. Tuy nhiên, chỉ có hai thành phần được phát hiện trên máy đã cài đặt: thành phần nhận thông tin (mô-đun mdidll.dll) và thành phần thông báo địa chỉ (mô-đun itirclt.exe).
Thành phần khác (itirclt.exe) có thể bị xóa nhưng sẽ được tạo lại ngay lập tức.
Kinh nghiệm rút ra
- Xây dựng môi trường phân tích
- Quy trình phân tích
Thông thường, các nhà phân tích sẽ sử dụng các công cụ quản lý quy trình chuyên sâu để kiểm tra các quy trình đang hoạt động. Đối với các chương trình độc hại đánh cắp thông tin, các nhà phân tích có thể sử dụng các công cụ kiểm soát truy cập tệp và truy cập sổ đăng ký như FileMon và RegMon. Đối với các chương trình sử dụng kết nối mạng, nhà phân tích thường sử dụng các chương trình quét mạng như Nmap, Ethereal (tiền thân của Wireshark), Ettercap.
Sau khi phát hiện các tiến trình đáng ngờ, nhà phân tích sẽ tiến hành trích xuất các mô-đun này. Vì vậy, các nhà phân tích buộc phải sử dụng các chương trình đọc thông tin file PE như PEiD, RDG Packer Detector. Sau khi có được thông tin này, nhà phân tích sẽ sử dụng trình giải nén tương ứng để lấy mô-đun không được mã hóa.
Ở dạng đơn giản nhất, nhà phân tích dựa vào hành vi mà chương trình gây ra trong hệ thống để bắt đầu quá trình tháo gỡ.
Đề xuất
- Giải pháp khắc phục hậu quả và bịt kín sơ hở
- Các phương án xử lý phần mềm cài cắm
Khi phát hiện phần mềm được cài đặt nhằm mục đích thu thập thông tin bí mật, giải pháp an toàn và đơn giản nhất là gỡ bỏ hoạt động của nó để đảm bảo an toàn dữ liệu và ngăn chặn việc thu thập thông tin từ bên ngoài. Phương án gỡ bỏ phần mềm đã cài đặt được trình bày trong quá trình phân tích thành phần nhận thông tin và thành phần thông báo địa chỉ trên. Như đã phân tích ở trên, phần mềm plug-in này được sử dụng với mục đích thu thập thông tin bí mật. Nó là một hệ thống bao gồm 3 thành phần riêng biệt có liên quan với nhau.
Như đã phân tích, phần mềm cài đặt chắc chắn phải gửi thông tin ra một địa chỉ nào đó, từ địa chỉ này chúng ta có thể moi ra được thông tin về đối phương. Căn cứ vào những trường hợp cụ thể được phát hiện ở trên, đồ án đề xuất phương án “sử dụng phần mềm của chính địch để thu thập thông tin phục vụ nhu cầu của mình. Qua nghiên cứu các vấn đề về máy tính, Internet, hệ điều hành Windows, quy trình thực thi chương trình, các công cụ dùng để phân tích chương trình..., đề tài đã đưa ra quy trình phân tích: xác định và xử lý các phần mềm được cài đặt nhằm mục đích bảo mật lấy được thông tin.
Nội dung này không chỉ áp dụng cho các phần mềm đã cài đặt nói riêng mà còn có thể được sử dụng trong việc phân tích và xử lý các chương trình mã độc (malware) nói chung như virus, phần mềm gián điệp thông thường, sâu, backdoor, ngựa Trojan, rootkit.
