Đề xuất mô hình gắn kèm mã thực thi vào dữ liệu thi hành

Bài viết đề xuất mô hình gắn kèm mã thực thi vào dữ liệu thi hành trên môi trường windows, vượt qua cảnh báo của một số phần mềm anti-virus, dựa trên việc nghiên cứu kỹ thuật và mô hình lây nhiễm của virus. Mô hình và kỹ thuật cài đặt đề xuất làm giảm thiểu sự thay đổi đến cơ chế thi hành của dữ liệu gốc.
Nội dung trích xuất từ tài liệu:
Đề xuất mô hình gắn kèm mã thực thi vào dữ liệu thi hành Nghiên cứu khoa học công nghệ<br /> <br /> ĐỀ XUẤT MÔ HÌNH GẮN KÈM MÃ THỰC THI<br /> VÀO DỮ LIỆU THI HÀNH<br /> Tống Minh Đức*<br /> ồTóm tắt: Bài báo đề xuất mô hình gắn kèm mã thực thi vào dữ liệu thi hành<br /> trên môi trường windows, vượt qua cảnh báo của một số phần mềm anti-virus, dựa<br /> trên việc nghiên cứu kỹ thuật và mô hình lây nhiễm của virus. Mô hình và kỹ thuật<br /> cài đặt đề xuất làm giảm thiểu sự thay đổi đến cơ chế thi hành của dữ liệu gốc. Mô<br /> hình được ứng dụng trong trường hợp khi cần cài đặt một số chức năng cho hệ<br /> thống để kiểm soát, điều tra, thu thập thông tin từ hệ thống máy tính. Với việc cập<br /> nhật mô hình mới, giúp cho việc tăng cường khả năng kiểm soát các dữ liệu thi<br /> hành với những loại biến thể mới của virus.<br /> Từ khóa: Bảo mật máy tính, Mã độc, Virus, Anti-virus, Mô hình lây nhiễm virus.<br /> <br /> 1. ĐẶT VẤN ĐỀ<br /> Hiện nay, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan, doanh<br /> nghiệp là hình thái mới của giới tội phạm mang tính chất quốc tế và đã xuất hiện tại Việt<br /> Nam. Bên cạnh các loại mã độc phổ biến, ngày càng xuất hiện nhiều các dạng mã độc<br /> mới. Khi xâm nhập vào hệ thống máy tính, các mã độc âm thầm kiểm soát toàn bộ máy<br /> tính nạn nhân, mở cổng hậu (backdoor), cho phép tin tặc điều khiển máy tính nạn nhân, và<br /> lấy cắp dữ liệu …<br /> Trong khoa học máy tính, mã độc (malware) được định nghĩa là một chương trình được<br /> chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn<br /> hoặc tính sẵn sàng của hệ thống. Thuật ngữ virus máy tính (thường được người sử dụng<br /> gọi tắt là virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao<br /> chép chính nó vào các đối tượng lây nhiễm khác (tập tin, ổ đĩa, máy tính, ... ) [3].<br /> Những virus mới được biết trong thời gian gần đây đa phần hướng đến việc lấy cắp các<br /> thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng, tài khoản, tài liệu mật…) mở cửa sau<br /> cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác nhằm có<br /> lợi cho người phát tán virus. Chiếm trên 90% số virus đã được phát hiện là nhằm vào hệ<br /> thống sử dụng hệ điều hành họ Windows bởi hệ điều hành này được sử dụng nhiều nhất<br /> trên thế giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào<br /> chúng nhiều hơn là các hệ điều hành khác.<br /> Một hình thức tấn công mới đặc biệt nguy hiểm ngày nay là các phần mềm mã độc xâm<br /> nhập vào hệ thống thông qua nhiều hình thức khác nhau, nằm ẩn trong hệ thống, chờ cơ<br /> hội ra tay thực hiện ý đồ của mình. Để có thể phát hiện được các loại mã độc này phần<br /> mềm anti-virus ngoài việc phát hiện, việc cập nhật các mã độc đã biết, phần mềm anti-<br /> virus còn phải phân tích, nhận diện các loại mã độc mới để cập nhật vào hệ thống. Với<br /> những mã độc mới, tùy vào khả năng phát hiện của các phần mềm anti-virus mà phần<br /> mềm cảnh báo cho người sử dụng cho phép cách ly, hoặc cho phép người sử dụng lựa<br /> chọn thi hành.<br /> Đã có nhiều nghiên cứu liên quan tới bài toán phát hiện và nhận dạng mã độc [2, 4, 5, 6].<br /> Thường bài toán phân tích được chia làm 2 loại: Phân tích tĩnh dựa trên đoạn mã đặc trưng,<br /> và phân tích động dựa trên nhận diện hành vi. Trường hợp phân tích tĩnh tỏ ra khá hiệu quả<br /> đối với các mã độc đã được biết trước, các phần mềm anti-virus dựa trên các đoạn mã đặc<br /> trưng nhận diện mã độc, ngăn chặn và cách ly hiệu quả. Tuy nhiên, vấn đề gặp khó khăn khi<br /> phải đối mặt với những mã độc nằm ẩn mình trong máy tính, chờ cơ hội, thời gian hợp lý ra<br /> <br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số 50, 08 - 2017 171<br />  Công nghệ thông tin & Cơ sở toán học cho tin học<br /> <br /> tay phá hoại. Các mã độc này là loại khó diệt nhất và nguy hiểm nhất đối với người sử dụng,<br /> nó có thể ẩn mình trong hệ thống lâu dài mà người dùng không hề hay biết.<br /> Đối với kỹ thuật phân tích động, dựa trên hành vi của mã độc để phân tích đã tỏ ra khá<br /> hiệu quả với những loại mã độc mới hoặc biến thể của nó, dựa vào các hành vi như: mở dữ<br /> liệu, ghi kèm vào dữ liệu, tìm dữ liệu, mở cổng để truy cập nối mạng, gửi tài liệu ra ngoài,<br /> quyết tìm các dữ liệu trên ổ đĩa. Tuy nhiên, kỹ thuật này phụ thuộc rất lớn vào việc mã độc<br /> phải thi hành ngay. Một số mã độc sử dụng kỹ thuật Bypass ASLR (Address space layout<br /> randomization) vượt qua cơ chế bảo mật trên các hệ điều hành windows. Để chương trình<br /> chiếm quyền hệ thống, toàn quyền sử dụng các API mà hệ thống cung cấp, một phương<br /> pháp khá phổ biến được nhiều loại mã độc sử dụng hiện nay đó là khai thác lỗ hổng 0<br /> days, leo thang đặc quyền [7].<br /> Trong thực tế, cũng có những trường hợp khi cần điều tra, giám sát, thu thập thông tin<br /> từ hệ thống máy tính quản lý, hoặc cần cài đặt một số chức năng cho hệ thống để kiểm<br /> soát hệ thống dữ liệu, phục vụ công tác giám sát, cũng như tăng cường khả năng kiểm soát<br /> với những loại mã độc phát triển theo mô hình mới, chẳng hạn trường hợp cài đặt kiểm<br /> soát trong: trong các dữ liệu thực thi, cài đặt thêm một đoạn mã để trước khi chạy chươ ...