Honneypot cho malware trên các thiết bị lưu trữ USB (P1)

03/11/2015 20:55
Theo dõi ICTVietnam trên

Các honeypot phát hiện malware nhưng ở phạm vi mạng (network), do đó, sẽ không thể phát hiện các malware mà không dùng mạng làm phương tiện truyền dẫn. Kỹ thuật phổ biến của các malware loại này đó là nó có thể copy chính nó vào các thiết bị lưu trữ như USB.

Tóm tắt: Malware là mối đe dọa nghiêm trọng đối với công nghệ thông tin thế hệ mới. Vì vậy, vấn đề phát hiện và phân tích malware là một yêu cầu bức thiết. Honeypot là một công cụ hỗ trợ công việc đó, chúng thu thập các mẫu malware để phân tích. Thật không may, các honeypot phát hiện malware nhưng ở phạm vi mạng (network), do đó, sẽ không thể phát hiện các malware mà không dùng mạng làm phương tiện truyền dẫn. Kỹ thuật phổ biến của các malware loại này đó là nó có thể copy chính nó vào các thiết bị lưu trữ như USB. Bài báo này sẽ giới thiệu Ghost, một dạng honeypot mới cho các loại USB malware như vậy. Honeypot này phát hiện malware bằng cách giả lập một thiết bị di động bằng phần mềm, khi đó malware sẽ copy chính nó vào thiết bị mà chúng ta vừa tạo ra.

GIỚI THIỆU

Malware là từ viết tắt của malicious software tức là các phần mềm độc hại, thực hiện các hành vi bất hợp pháp trên các thiết bị của người khác vì các lợi ích về kinh tế cũng như chính trị. Đối tượng mà chúng hướng tới không giới hạn ở người dùng máy tính thông thường, thậm chí các công ty, chính phủ và ngay cả Internet cũng bị ảnh hưởng nghiêm trọng. Một khi bị nhiễm bởi malware, một máy tính có thể bị chi phối theo các ràng buộc mà người tạo ra nó xây dựng lên, có thể làm lộ các thông tin cá nhân hoặc bị điều khiển để tham gia tấn công DDoS.

Phần mềm anti-virus của McAfee đã thống kê được hơn 20 triệu mẫu malware mới trong năm 2011 [2]. Việc phòng chống malware đòi hỏi sự hiểu biết sâu rộng về cơ chế lây nhiễm của malware cũng như kỹ thuật chiếm quyền kiểm soát máy tính (rootkit).

Để thu thập các mẫu malware để phân tích thì honeypot là một giải pháp. Honeypot thường giả dạng là các dịch vụ mạng hoặc hệ điều hành có nhiều lỗ hổng. Cách này được chứng minh là thành công trong việc thu hút malware để thu thập số lượng các mạng bị lây nhiễm, cách thức mà malware ẩn mình hay đơn giản là lỗ hổng mà malware khai thác. Mục đích là để các nhà nghiên cứu và các công ty phát triển phần mềm anti-virus phân tích các dạng malware mới để từ đó đưa ra các biện pháp đối phó bằng việc tạo ra các dấu hiệu nhận biết cho các malware chưa từng được biết tới. Có rất nhiều định nghĩa về honeypot nhưng tựu chung là chúng giải quyết vấn đề làm thế nào để lừa các malware lây nhiễm vào máy của mình.

Một số malware được biết tới nhiều trong thời gian gần đây như Conficker [3], [4] Stuxnet [1] và Flame [5]không chỉ sử dụng mạng là phương tiện truyền dẫn mà còn có thể nhân bản chính nó vào các thiết bị lưu trữ di động. Theo đó trong bản báo cáo về bảo mật của Microsoft (Microsoft's Security Intelligence Report) [6] thì hơn 1/4 số malware được phát hiện bởi Malicious Software Removal Tool trong nửa đầu năm 2011 có khả năng khai thác vào tính năng autorun của Windows từ thiết bị USB.

HONEYPOT CHO MALWARE TRÊN CÁC THIẾT BỊ USB

Ý tưởng

Mục tiêu của bất kỳ honeypot là thu thập thông tin của các malware bao gồm thông tin về người viết malware hoặc cách thức lây nhiễm của chúng. Trong trường hợp của bài báo chỉ xét đến trường hợp thu thập mẫu malware ở máy tính bị lây nhiễm đầu tiên.

Có nhiều điểm khác nhau trong vòng đời của malware mà tại đó một honeypot có thể thu thập bản sao của file thực thi malware. Ở đây, “vòng đời" có thể hiểu là quá trình malware lây nhiễm sang máy tính, ẩn mình, thực thi các tác vụ như là gửi spam hoặc thu thập thông tin cá nhân và cuối cùng là lây nhiễm sang các máy tính khác.
Đặc biệt Stuxnet đã chỉ ra rằng cách lây lan qua các thiết bị lưu trữ di động là đặc điểm quan trọng của những malware gần đây [1]. Các thiết bị như USB vừa rẻ lại dễ dàng sử dụng rộng rãi trong việc trao đổi dữ liệu và đây là môi trường lý tưởng của malware trong việc lây nhiễm vào hệ thống. Stuxnet có thể lây nhiễm vào máy tính thông qua các file được copy trước đó vào USB khi chúng được cắm vào máy tính đã bị lây nhiễm. Hình 1 mô tả quá trình lây nhiễm đó.
Yêu cầu đặt ra là xây dựng một honeypot để khai thác các hành vi chung nhất trong quá trình lây nhiễm lên USB bằng cách xây dựng một thiết bị lưu trữ USB ảo mà có thể kết nối tới được các máy tính bị lây nhiễm. Tuy nhiên, cách tiếp cận này có hai nhược điểm:

1.Máy tính mục tiêu bị lây nhiễm trước khi có thể chụp (capture) lại được malware.

2.Các malware thông minh đã lây nhiễm lên máy tính có khả năng phát hiện và phá hủy các thiết bị giả dạng như vậy.

Chúng ta không mong chờ chụp lại được malware trước khi chúng đã phá hủy hệ thống. Do đó, mục đích của việc xây dựng này là biết được cách thức hoạt động cũng như cách lây nhiễm của chúng. Có thể nói đây là tuyến phòng thủ cuối cùng sau khi các giải pháp bảo vệ trước đó gặp thất bại.

Honeypot được xây dựng ở đây kết hợp các lý thuyết về ổ đĩa flash USB (USB flash driver) ảo hứa hẹn sẽ đem lại một số lợi ích:

1.Cung cấp định nghĩa mới về Host-based IDS ở mức thấp.

2.Nếu malware đã lây nhiễm lên các thiết bị ảo được xây dựng ở đây thì vô hình malware đã cung cấp cho chúng ta tất cả các file thực thi cũng như hành vi của malware.

Honeypot có thể hoạt động sai với hai kịch bản có thể đặt ra: hoặc là ứng dụng hợp lệ ghi dữ liệu lên các thiết bị USB kết nối tới chúng hoặc người dùng vô tình copy file lên các thiết bị ảo này. Vì vậy, các thiết bị USB ảo này phải được để ẩn đối với các user của hệ điều hành để ngăn ngừa tình huống ghi dữ liệu như vậy. Quá trình mount các thiết bị này càng ngắn thì càng dễ dàng ẩn toàn bộ tiến trình đối với các user. Vì vậy, việc thiết kế các honeypot này phải tính toán, thiết kế sao cho thời gian mount là nhỏ nhất.

Đối với malware thì các file được ghi vào USB với mục đích là lây nhiễm sang các máy tính khác. Vì vậy, cần kiểm tra các file thực thi trong toàn bộ quá trình. Thông thường, xác suất chúng cung cấp tất cả các file là lớn và nếu không như vậy thì chí ít chúng ta cũng biết được nơi để tìm các dữ liệu còn lại. Về mặt lý thuyết, malware chỉ cần ghi một đoạn loader vào USB sau đó download các mailware ảo ở địa chỉ nào đó trên mạng. Nhưng cách tiếp cận này đòi hỏi máy tính mục tiêu phải có kết nối mạng. Các loại malware như vậy chưa được tìm thấy trong thực tế.

KS. Lê Văn Ứng

(còn nữa)

(TCTTTT Kỳ 2/4/2014)

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Honneypot cho malware trên các thiết bị lưu trữ USB (P1)
POWERED BY ONECMS - A PRODUCT OF NEKO