xây dựng cơ sở dữ liệu mẫu mã độc
DESCRIPTION
1. Phương pháp thu thập mã độc 2. Các bước cơ bản phân tích mã độc hại 3. Các kiểu dấu hiệu mã độc & kỹ thuật phát hiện 4. Nghiên cứu chuẩn trao đổi dữ liệu mã độc 5. Xây dựng cơ sở dữ liệu mã độcTRANSCRIPT
Xây dựng cơ sở dữ liệu
mẫu mã độc
Thiệu Mao - KSEC
Nội dung trình bày
• 1. Phương pháp thu thập mã độc
• 2. Các bước cơ bản phân tích mã độc hại
• 3. Các kiểu dấu hiệu mã độc & kỹ thuật phát hiện
• 4. Nghiên cứu chuẩn trao đổi dữ liệu mã độc
• 5. Xây dựng cơ sở dữ liệu mã độc
1. Phương pháp thu thập mã độc
• Xây dựng honeypot như một số hãng phần mềm diệt virus
(honeyclient.org, nepenthes.carnivore.it)
• Lấy mẫu từ khách hàng gửi đến (virustotal.com, threatexpert.com)
• Lấy từ các nguồn chia sẻ trên mạng (malware.lu,
contagiodump.blogspot.com)
• Mua từ các hãng nghiên cứu bảo mật
Công cụ thu thập mã độc: IDA, Olly Debug, HxD...
2. Các bước cơ bản phân tích mã độc hại
• Phân tích thông tin sơ bộ
• Quan sát hành vi mã độc hại (Dynamic analysis)
• Phân tích mã dịch ngược (Static Analynis)
• Trace Code Debug
• Tìm signature của mã độc hại và đưa vào cơ sở dữ liệu
3. Các kiểu dấu hiệu mã độc & kỹ thuật phát hiện
• String – Chuỗi
• Mã băm
• Khung mã độc có sẵn
• Phương pháp dựa trên hành vi
• Kỹ thuật lọc
• Phát hiện bằng việc giải mã tĩnh
• Mã giả lập
4. Nghiên cứu chuẩn trao đổi dữ liệu mã độc
• Chuẩn trao đổi dữ liệu mã độc tạo ra bởi ICSG Malware Working Group.
• Trọng tâm ban đầu có mục đích là thành lập cách thông minh hơn để chia sẻ các mẫu mã độc hại và các thông tin liên quan tới chúng.
• Chuẩn trao đổi được lưu dưới dạng file XML. File dữ liệu chuẩn trao đổi có thuộc tính cha là “malwareMetaData” và nó có những thuộc tính con: company,author, objects,relationships… và chúng lại chứa các thuộc tính con khác nữa như: name, md5,sha1,sha256 …(http://grouper.ieee.org/groups/malware/malwg/Schema1.2/)
5. Xây dựng cơ sở dữ liệu mã độc
• Xây dựng chương trình quản lý cơ sở dữ liệu mẫu mã độc theo chuẩn