Luận văn Phương pháp phát hiện mã độc trong Firmware của các thiết bị định tuyến và ứng dụng

Nội dung tài liệu: Luận văn Phương pháp phát hiện mã độc trong Firmware của các thiết bị định tuyến và ứng dụng

1. BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ ----------------------------- Nguyễn Thùy Linh PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRONG FIRMWARE CỦA CÁC THIẾT BỊ ĐỊNH TUYẾN VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ NGÀNH MÁY TÍNH Hà Nội – 2021
2. BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ ----------------------------- Nguyễn Thùy Linh PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRONG FIRMWARE CỦA CÁC THIẾT BỊ ĐỊNH TUYẾN VÀ ỨNG DỤNG Chuyên ngành: Hệ thống thông tin Mã số: 8 48 01 04 LUẬN VĂN THẠC SĨ NGÀNH MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC : Hướng dẫn 1:TS. Nguyễn Trường Thắng Hướng dẫn 2:TS. Phạm Mạnh Linh Hà Nội - 2021
3. I LỜI CAM ĐOAN Tôi xin cam đoan Luận văn này là công trình nghiên cứu khoa học nghiêm túc của cá nhân tôi, được thực hiện dưới sự hướng dẫn khoa học của TS. Nguyễn Trường Thắng và TS. Phạm Mạnh Linh. Các số liệu, kết quả nêu trong luận văn là trung thực, có nguồn gốc rõ ràng và được trích dẫn đầy đủ theo quy định. Tác giả luận văn Nguyễn Thùy Linh
4. II LỜI CẢM ƠN Tôi xin chân thành cảm ơn các thầy cô, cán bộ Học viện Khoa học và Công nghệ - Viện Hàn lâm Khoa học và Công nghệ Việt Nam đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian học tập, nghiên cứu tại trường. Tôi xin gửi lời cảm ơn sâu sắc tới TS. Nguyễn Trường Thắng và TS. Phạm Mạnh Linh đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá, trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp. Tôi xin cảm ơn các cấp Lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia sẻ, giúp đỡ, tạo điều kiện cho tôi hoàn thành khóa luận này. Luận văn này được tài trợ bởi Học viện khoa học và Công nghệ và Viện Công nghệ thông tin, Viện hàn lâm Khoa học và công nghệ Việt Nam từ đề tài mã số GUST.STS.DDT2019-TT02. Hà Nội, ngày tháng năm 2021 Nguyễn Thùy Linh
5. III DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT Advanced Persistent Threat – hay còn gọi là các cuộc tấn công APT chủ đích IDS Intrusion Detection Systems - Hệ thống phát hiện xâm nhập IPS Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập NIST National Institute of Standart and Technology USB Universal Serial Bus (Open System Interconnection Basic Reference) là mô hình Mô hình mạng có 7 lớp, được phát triển bởi International Standards OSI Organization (ISO) IP Internet Protocol CPU Central Processing Unit ROM Read-Only Memory RAM Random Access Memory OS Operating System IoT Internet of Things
6. IV DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1. Số lượng mã độc trên toàn thế giới trong vòng 10 năm gần đây (Nguồn AV-TEST) .......................................................................................... 4 Hình 1.2. Ngày 12/5/2017, chỉ sau vài giờ bùng phát, mã độc tống tiền WannaCry đã lây lan ra hàng chục quốc gia (ảnh chụp từ hệ thống giám sát của hãng bảo mật Kaspersky) .......................................................................... 4 Hình 1.3. Công cụ của một mạng botnet ........................................................ 9 Hình 1.4. Ví dụ phương pháp phân tích tĩnh trên android............................ 12 Hình 2.1. OSI, mô hình giao thức truyền thông ........................................... 16 Hình 2.2. Cấu tạo bộ định tuyến ................................................................... 19 Hình 2.3. Một ví dụ kết quả tìm kiếm thông tin với công cụ Shodan.io ...... 22 Hình 2.4. Quy trình tổng quan về firmadyne ................................................ 27 Hình 2.5. Mô hình tổng quan về avatar ........................................................ 28 Hình 3.1. Tổng quan về quy trình phát hiện mã độc trên thiết bị định tuyến thông qua mô phỏng ...................................................................................... 31 Hình 4.1. Giám sát mã độc bằng strace và tcpdump .................................... 45 Hình 4.2. Kết quả giám sát cho thấy mã độc kết nối ra ngoài internet ........ 46
7. V MỤC LỤC LỜI CAM ĐOAN ............................................................................................. I LỜI CẢM ƠN................................................................................................. II DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT ............................................ III DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ....................................................... IV MỤC LỤC ...................................................................................................... V MỞ ĐẦU ......................................................................................................... 1 CHƯƠNG 1. TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN .................................................................................................... 3 1.1. TỔNG QUAN VỀ MÃ ĐỘC ................................................................... 3 1.1.1. Khái niệm về mã độc .................................................................. 3 1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới ......................... 3 1.1.3. Phân loại mã độc ......................................................................... 6 1.1.4. Vai trò của việc phân tích mã độc ............................................. 10 1.2. CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC ..... 10 1.2.1. Phương pháp phân tích tĩnh ...................................................... 11 1.2.2. Phương pháp phân tích động .................................................... 12 1.2.3. Phương pháp phân tích lai......................................................... 13 CHƯƠNG 2: TỔNG QUAN VỀ THIẾT BỊ ĐỊNH TUYẾN VÀ CẤU TRÚC CỦA FIRMWARE ........................................................................................ 16 2.1. GIỚI THIỆU VỀ MÔ HÌNH MẠNG OSI ............................................ 16 2.2. THIẾT BỊ ĐỊNH TUYẾN ....................................................................... 18 2.3. CẤU TRÚC CỦA FIRMWARE ............................................................ 22 2.4. MÃ ĐỘC TRONG FIRMWARE ........................................................... 24 2.5. PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN 25 2.5.1. Phương pháp phân tích tĩnh mã độc trên thiết bị định tuyến .... 26 2.5.2. Phương pháp phân tích động mã độc trên thiết bị định tuyến .. 26
8. VI CHƯƠNG 3: QUY TRÌNH PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN .......................................................................................................... 30 3.1. ĐỀ XUẤT QUY TRÌNH PHÁT HIỆN MÃ ĐỘC ............................... 30 3.2. BƯỚC 1, THU THẬP FIRMWARE TỪ CÁC NHÀ CUNG CẤP THIẾT BỊ ĐỊNH TUYẾN .................................................................................... 31 3.3. BƯỚC 2, BÓC TÁCH FIRMWARE VÀ MÔ PHỎNG DỰA TRÊN MÁY ẢO QEMU.................................................................................................. 34 3.3.1. Bóc tách Firmware .................................................................... 34 3.3.2. Mô phỏng Firmware dựa trên máy ảo QEMU .......................... 35 3.3.3. Một số dấu hiệu phát hiện chương trình được giám sát là mã độc ..41 CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM .................................................. 44 4.1. KẾT QUẢ KHI THỰC NGHIỆM QUY TRÌNH PHÁT HIỆN MÃ ĐỘC TRÊN THIẾT BỊ ĐỊNH TUYẾN THÔNG QUA MÔ PHỎNG ............ 44 4.2. ĐỐI SÁNH VỚI HỆ THỐNG KIỂM TRA MÃ ĐỘC VIRUSTOTAL ... ...47 CHƯƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ ................................................ 50 5.1. KẾT LUẬN .............................................................................................. 50 5.2. KIẾN NGHỊ ............................................................................................. 51 TÀI LIỆU THAM KHẢO ............................................................................. 52
9. 1 MỞ ĐẦU Ngày nay, thế giới đang chứng kiến những thay đổi lớn và phát triển nhanh chóng về mọi mặt, nhất là trong ngành công nghệ thông tin; phần mềm mã độc cũng không nằm ngoài xu hướng đó. Năm 2020, tình hình thế giới diễn biến khó lường. Cuộc chạy đua công nghệ nhằm kiểm soát, giành thế chủ động trên không gian mạng diễn ra gay gắt. Dịch bệnh Covid-19 đã làm thay đổi chuỗi cung ứng toàn cầu, đẩy nhanh chuyển đổi số, ứng dụng công nghệ vào phát triển kinh tế xã hội, nhưng cũng gia tăng thách thức trước các nguy cơ đến từ không gian mạng. Hoạt động tấn công mạng với mục đích chính trị, kinh tế nhằm vào cơ quan chính phủ, các tổ chức kinh tế, doanh nghiệp, hoạt động tội phạm mạng gia tăng về tính chất và quy mô. Kiểm soát an ninh mạng và phòng, chống tội phạm mạng được nhiều quốc gia đặc biệt quan tâm; ưu tiên xử lý các nguy cơ, hoạt động lợi dụng dịch bệnh Covid-19 để hoạt động tội phạm mạng. Từ thời điểm lý thuyết tự nhân bản của phần mềm máy tính được John Von Neumann (1903-1957) đưa ra (năm 1941) đến khi xuất hiện virus đầu tiên phải mất hơn 3 thập kỷ, nhưng với sự bùng nổ của Internet mã độc cũng theo đó bùng nổ theo. Song song với việc ứng dụng công nghệ thông tin, mã độc cũng đã và đang len lỏi vào mọi mặt của đời sống, gây ra những thiệt hại vô cùng nghiêm trọng cả về kinh tế lẫn an ninh, quốc phòng. Phát tán mã độc (Malware) đã thực sự trở nên phổ biến trong các hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức doanh nghiệp chuyên về an ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các hacker hoạt động. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ cơ quan Chính phủ, tới các cơ quan như tài chính ngân hàng, doanh nghiệp, Các phần mềm chứa mã độc tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn. Mã độc hiện tại đã lây lan đa nền tảng không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh. Với tốc độ phát triển của nền kinh tế và khoa học kỹ thuật, hiện nay hầu hết mọi cá nhân đều sở hữu thiết bị thông minh, vì vậy môi trường hoạt động cho mã độc ngày càng rộng
10. 2 lớn và thiệt hại chúng gây ra là vô cùng to lớn. Theo thống kê của trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng gia tăng với thủ đoạn ngày càng tinh vi. Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT (Internet of Things). Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Do đó, thiết bị định tuyến đã và đang trở thành mục tiêu tấn công phổ biến của tin tặc. Điều này dẫn tới nguy cơ không chỉ mất an toàn thông tin của thiết bị IoT nói riêng mà còn là nguy cơ gây mất an toàn, an ninh mạng nói chung. Để phát hiện mã độc có được cài vào thiết bị định tuyến của các nhà sản xuất hay không, luận văn này nghiên cứu đưa ra phương pháp để phát hiện mã độc trong các thiết bị định tuyến.