Xây dựng cơ sở dữ liệu

mẫu mã độc

Thiệu Mao - KSEC

Nội dung trình bày

• 1. Phương pháp thu thập mã độc

• 2. Các bước cơ bản phân tích mã độc hại

• 3. Các kiểu dấu hiệu mã độc & kỹ thuật phát hiện

• 4. Nghiên cứu chuẩn trao đổi dữ liệu mã độc

• 5. Xây dựng cơ sở dữ liệu mã độc

1. Phương pháp thu thập mã độc

• Xây dựng honeypot như một số hãng phần mềm diệt virus

(honeyclient.org, nepenthes.carnivore.it)

• Lấy mẫu từ khách hàng gửi đến (virustotal.com, threatexpert.com)

• Lấy từ các nguồn chia sẻ trên mạng (malware.lu,

contagiodump.blogspot.com)

• Mua từ các hãng nghiên cứu bảo mật

Công cụ thu thập mã độc: IDA, Olly Debug, HxD...

2. Các bước cơ bản phân tích mã độc hại

• Phân tích thông tin sơ bộ

• Quan sát hành vi mã độc hại (Dynamic analysis)

• Phân tích mã dịch ngược (Static Analynis)

• Trace Code Debug

• Tìm signature của mã độc hại và đưa vào cơ sở dữ liệu

3. Các kiểu dấu hiệu mã độc & kỹ thuật phát hiện

• String – Chuỗi

• Mã băm

• Khung mã độc có sẵn

• Phương pháp dựa trên hành vi

• Kỹ thuật lọc

• Phát hiện bằng việc giải mã tĩnh

• Mã giả lập

4. Nghiên cứu chuẩn trao đổi dữ liệu mã độc

• Chuẩn trao đổi dữ liệu mã độc tạo ra bởi ICSG Malware Working Group.

• Trọng tâm ban đầu có mục đích là thành lập cách thông minh hơn để chia sẻ các mẫu mã độc hại và các thông tin liên quan tới chúng.

• Chuẩn trao đổi được lưu dưới dạng file XML. File dữ liệu chuẩn trao đổi có thuộc tính cha là “malwareMetaData” và nó có những thuộc tính con: company,author, objects,relationships… và chúng lại chứa các thuộc tính con khác nữa như: name, md5,sha1,sha256 …(http://grouper.ieee.org/groups/malware/malwg/Schema1.2/)

5. Xây dựng cơ sở dữ liệu mã độc

• Xây dựng chương trình quản lý cơ sở dữ liệu mẫu mã độc theo chuẩn