Một số kỹ thuật gây rối, che dấu mã độc Macro

Tấn công mạng ngày càng diễn biến phức tạp, đa dạng về hình thức và chủng loại. Đặc biệt đối với các đối tượng người dùng khi sử dụng hệ thống thư điện tử để trao đổi, là một trong những mục tiêu mà tin tặc (Hacker) hướng đến. Các văn bản được giao dịch ngày càng nhiều thông qua hệ thống thư điện tử, nó dường như không thể thiếu trong thời buổi công nghệ Chính phủ điện tử hiện nay, đó cũng là một trong những điểm yếu dẫn đến các cuộc tấn công mạng vào người dùng, khi tin tặc sử dụng các kỹ thuật che dấu mã độc vào tệp (file) văn bản để tấn công máy tính người dùng thông qua hệ thống thư điện tử.
Nội dung trích xuất từ tài liệu:
Một số kỹ thuật gây rối, che dấu mã độc Macro Kỷ yếu Hội nghị KHCN Quốc gia lần thứ XI về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 09-10/8/2018 DOI: 10.15625/vap.2018.00046 MỘT SỐ KỸ THUẬT GÂY RỐI, CHE DẤU MÃ ĐỘC MACRO Võ Văn Hoàng1, Nguyễn Nam Hải1, Nguyễn Ngọc Hoá2 1 Ban Cơ yếu Chính phủ 2 Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội vohoangmocvy@gmail.com, nnhai@bcy.gov.vn, hoa.nguyen@vnu.edu.vn TÓM TẮT: Tấn công mạng ngày càng diễn biến phức tạp, đa dạng về hình thức và chủng loại. Đặc biệt đối với các đối tượng người dùng khi sử dụng hệ thống thư điện tử để trao đổi, là một trong những mục tiêu mà tin tặc (Hacker) hướng đến. Các văn bản được giao dịch ngày càng nhiều thông qua hệ thống thư điện tử, nó dường như không thể thiểu trong thời buổi công nghệ Chính phủ điện tử hiện nay, đó cũng là một trong những điểm yếu dẫn đến các cuộc tấn công mạng vào người dùng, khi tin tặc sử dụng các kỹ thuật che dấu mã độc vào tệp (file) văn bản để tấn công máy tính người dùng thông qua hệ thống thư điện tử. Đây cũng là một trong những hình thức tấn công phổ biến hiện nay được tin tặc sử dụng, kẻ tấn công không cần phải tạo ra những chủng loại mã độc mới, phức tạp, mà chỉ cần thay đổi làm rối các dấu hiệu nhận dạng, để tránh sự phát hiện của các chương trình, thiết bị an ninh. Bài báo này đề xuất phương pháp mới gây rối mã độc và kết hợp các kỹ thuật gây rối nhằm mục đích che dấu mã độc để lẩn tránh sự trước sự phát hiện của các chương trình bảo vệ như IDS/IPS, AV,… được sử dụng thông qua tính năng macro có trong chương trình Office của Microsoft. Đây là một trong những trình soạn thảo văn bản phổ biến nhất và được sử dụng rộng rãi trong việc giao dịch qua hệ thống thư điện tử. Đó là sự kết hợp các kỹ thuật làm rối mã độc macro, khi kết hợp các kỹ thuật này, cho phép kẻ tấn công che dấu mã độc trước phần lớn sự phát hiện của các chương trình, thiết bị bảo vệ, đặc biệt là các thiết bị phát hiện và ngăn chặn mã độc như Anti-virus. Các kỹ thuật này được chúng tôi sử dụng trong việc đánh giá an toàn thông tin (Penetration testing) cho các hệ thống thư điện tử của các cơ quan, đơn vị nhà nước, từ đó giúp người dùng và người quản trị mạng có cái nhìn rõ hơn, đồng thời có những giải pháp phòng tránh trước các dạng tấn công này. Từ khóa: Che dấu mã độc macro, macro obfuscation, kỹ thuật làm rối mã độc macro. I. GIỚI THIỆU Trong các phần mềm văn phòng, chẳng hạn như Microsoft Office, macro là công cụ cho phép tự động hóa các tác vụ và thêm chức năng vào biểu mẫu, báo cáo, bảng tính,… Điều này được thực hiện thông qua việc khai thác các hàm được cung cấp trong bộ VBA (Visual Basic for Applications) để khai thác, điều khiển toàn bộ các thành phần trong tài liệu cũng như ứng dụng OLE (Object Linking & Embedding) và thư viện động DLL (Dynamic Link Library). Với những khả năng đó, vô tình macro lại trở thành một phương thức để các đối tượng xấu (chẳng hạn như hacker) tiến hành nhúng các mã độc (malware) vào và sử dụng với mục đích không tốt như là cơ sở để tấn công vào máy tính người dùng. Thông thường, với phương thức này, các hacker sẽ sử dụng macro để chạy các mã độc hại hoặc tải về các mã độc hại và thực thi trên máy người dùng. Và con đường lây lan, phát tán của nó thông thường và phổ biến nhất là thông qua hệ thống thư điện tử. Đối với hình thức sử dụng thư điện tử để phát tán mã độc, khi người dùng nhận được thư có văn bản đính kèm bị chèn mã độc hại, đã được che dấu, khi văn bản đính kèm này được người dùng mở ra thì mã macro bên trong sẽ được thực thi trên máy người dùng. Các mã thực thi này, tùy thuộc vào mục đích của từng cuộc tấn công, nó có thể mã hóa máy tính người dùng, có thể chiếm quyền điều khiển và biến máy tính người dùng thành một máy tính ma tham gia các cuộc tấn công DDoS,... Mặc dù hiện nay trên các phiên bản mới của phần mềm Microsoft Office đã được bỏ đi tính năng tự động chạy mã macro, nhưng đây vẫn là một trong những dạng tấn công phổ biến những năm gần đây vào đối tượng người dùng thư điện tử thông qua việc sử dụng phương thức đánh lừa người dùng để kích hoạt mã macro. Hiện nay, trong công tác phòng chống mã độc, đảm bảo an toàn cho các hệ thống nói chung, đã có rất nhiều các phần mềm phòng chống virus (antivirus) có khả năng phát hiện và loại bỏ được các mã độc macro trong các tệp văn bản, chẳng hạn như những tệp Word. Tuy nhiên, cũng có rất nhiều phương pháp, kỹ thuật khác nhau đã được các tin tặc sử dụng để che dấu mã độc macro. Các kỹ thuật gây rối được sử dụng để làm thay đổi các đoạn mã macro. Từ đó đánh lừa được các phần mềm antivirus khi tiến hành so khớp dấu hiệu nhận dạng mã độc (malware signature), và coi như qua mặt (bypass) được các phần mềm đó, gây tổn hại cho hệ thống của người dùng. Trong bài báo này, chúng tôi sẽ giới thiệu và đưa ra một số kỹ thuật mới che dấu mã độc macro, từ đó đi sâu vào phân tích phương pháp kết hợp nhiều kỹ thuật che dấu mã độc dựa trên việc khai thác dịch vụ của Virus Total đã tập hợp hầu hết các engine phòng chống mã độc hiện nay trên thế giới. Những kết quả thu được có thể làm cơ sở để đánh giá các phần mềm antivirus, các hệ thống thư điện tử của đối tượng người dùng, giúp họ có những cái nhìn nhận tốt hơn về việc truyền tải văn bản và cách phòng chống, nhận diện để ngăn chặn các nguy cơ từ mã độc macro. Phần còn lại của bài báo được tổ chức như sau: Phần II sẽ trình bày về các kỹ thuật che dấu, phát hiện mã độc macro được biết đến; phần III sẽ đặc tả kỹ thuật che dấu mã độc macro, trong đó đề xuất 2 kỹ thuật mới để gây rối mã độc macro; trước khi kết luận, phần IV sẽ trình bày về che dấu macro dựa trên kỹ thuật kết hợp. Võ Văn Hoàng, ...