Một số kỹ thuật lẩn tránh giải pháp antivirus được tin tặc sử dụng phổ biến hiện nay là tạo một payload hoặc mã shell mới dẫn đến một chữ ký mới không có trong cơ sở dữ liệu của các chương trình antivirus. Tuy nhiên, điều này sẽ không hiệu quả đối với những antivirus sử dụng phân tích hành vi và cơ chế heuristics. Kỹ thuật thứ hai là xáo trộn hoặc mã hóa payload để nó được giải mã tại thời điểm chạy và lây nhiễm vào bộ nhớ. Kỹ thuật thứ ba là tạo payload sử dụng các công cụ nhúng và framework của hệ điều hành. Ví dụ: Powershell trong Windows và Python trong Windows và Linux.
Cùng với sự gia tăng của các cuộc tấn công mạng, một số kỹ thuật khác được tin tặc sử dụng để tránh việc bị phát hiện bởi phần mềm antivirus là [1]: bán đa hình, đa hình, siêu đa hình và sử dụng lại mã. Với mức độ tàng hình cao, phần mềm độc hại đã trở thành công cụ mạnh mẽ và tinh vi được tin tặc sử dụng để xâm nhập hệ thống. Bài báo tập này tập trung đánh giá khả năng lẩn tránh của một số công cụ mã nguồn mở Veil- Framework, TheFatRat, Shellter, Unicorn, Venom, Phantom-Evasion, Onelinepy, MsfMania và PayGen đối với giải pháp antivirus Bitdefender.
Veil-Framework là một khung ứng dụng phổ biến được viết bằng Python, được sử dụng để tạo ra các payload có thể tránh được phần lớn các giải pháp antivirus. Veil-Framework chứa các công cụ được sử dụng trong quá trình thử nghiệm thâm nhập.
TheFatRat là một công cụ khai thác được tạo bởi tác giả Edo Maland đến từ Indonesia, công cụ này có thể tạo phần mềm độc hại trên các hệ điều hành Linux, Windows, Mac và Android. TheFatRat cung cấp cho tin tặc cách thức dễ dàng để tạo ra các cửa hậu và payload có thể vượt qua hầu hết các giải pháp antivirus. Với lợi thé tạo ra các payload bằng ngôn ngữ C, TheFatRat có the qua mặt các giải pháp bảo mật.
Shellter là công cụ cho phép đưa payload vào tập thực thi Windows (EXE) hợp lệ. Quá trình này cho phép ngụy trang một payload thành một tệp thực thi thực sự, điều này có thể làm tăng đáng kể cơ hội vượt qua được giải pháp antivirus. Shellter có thể mã hóa lại bất kỳ ứng dụng Windows 32-bit để nhúng mã shell tùy chỉnh hoặc bất kỳ payload nào được tạo bằng msfvenom để lẩn tránh antivirus.
Unicorn được sử dụng để hỗ trợ cuộc tấn công hạ cấp Powershell và đưa các payload Shellcode tinh vi vào thẳng bộ nhớ. Unicorn được xây dựng từ các kỹ thuật được phát triển bởi Graeber và người sáng lập TrustedSec David Kennedy.
Venom là công cụ tạo/biên dịch/trình nghe Metasploit shellcode. Venom sử dụng MSFvenom từ Metasploit Framework để tạo shellcode ở các định dạng khác nhau: C, Python, Ruby, DLL, MSI, HTA- PSH và đưa shellcode được tạo vào một hàm. Mã shellcode được thực thi trong bộ nhớ bởi hàm đó và sử dụng trình biên dịch như GCC (trình biên dịch chéo GNU) hoặc Mingw32, Pyinstalle để xây dựng tệp thực thi đồng thời khởi chạy trình xử lý song song để xử lý kết nối từ xa phiên shell hoặc phiên meterpreter.
Phantom-Evasion là một công cụ lẩn tránh antivirus được viết bằng Python với khả năng thực thi hoàn toàn không thể phát hiện (FUD_Fully Undetectable). Phantom-Evasion sử dụng mã đa hình và các kỹ thuật phát hiện sự tồn tại của giải pháp antivirus, rất hữu ích cho các chuyên gia thử nghiệm xâm nhập.
Onelinepy là trình xáo trộn Python được sử dụng để tạo ra các payload FUD. Tùy chọn Devploit được sử dụng để tạo các payload chuyên biệt với mục tiêu là các ứng dụng web, ngoài ra công cụ này còn cung cấp khả năng do thám các hệ thống web.
MsfMania là công cụ dòng lệnh được phát triển bằng Python hướng đến hệ điều hành Windows. Công cụ này cho phép tự động tạo các payload bằng ngôn ngữ C#, tạo các chữ ký hợp lệ cho tập thực thi nhằm lẫn tránh hiệu quả các giải pháp phân tích sandbox và giải pháp antivirus. MsfMania gồm phiên bản mã nguồn mở và mã nguồn đóng.
Đây là công cụ tạo payload FUD, các tính năng của PayGen bao gồm: tạo payload tự động với MsfVenom, tạo tập handler.rc, tắt tiến trình trình của chương trình antivirus, chuyển tiếp cổng tự động qua Ngrok, ký exe tự động và tạo tệp payload Android.
Các giải pháp antivirus Bitdefender, Norton, McAfee, Panda và BullGuard đã được [2] đánh giá. Bitdefender được đánh giá là có khả năng phát hiện cũng như hiệu suất hệ thống tốt nhất với điểm đánh giá 9,8/10. Top10antivirus.com một trang web đánh giá giải pháp antivirus miễn phí đã đánh giá TotalAV, Norton, Bitdefender, Intego, Avira, Panda, PCProtect, BullGuard, McAfee và Avast. Trong đó, TotalAV nổi lên là giải pháp antivirus tốt nhất. 67 sản phẩm antivirus đã được [3] xem xét và 13 sản phẩm được chọn là sản phẩm tốt nhất. Đó là: Bitdefender, Kaspersky, McAfee, Webroot, Eset, Malwarebytes, Norton, Sophos Home Premium, Cylance, FSecure, Emsisoft, G Data Antivirus và Trend Micro. Bitdefender là sản phẩm antivirus tốt nhất trong số các sản phẩm được đánh giá.
Mô hình thử nghiệm bao gồm hai máy Kali Linux 2021.3 và Windows 10. Trong đó, Kali Linux được sử dụng làm máy tấn công, Windows 10 là máy nạn nhân được cài đặt giải pháp Bitdefender, giải pháp antivirus mặc định trên máy Windows bị vô hiệu hóa trong quá trình thử nghiệm (Hình 1).
Hình 1. Mô hình thử nghiệm
Để thực hiện đánh giá, các phần mềm độc hại là Trojan truy cập từ xa (RAT) sẽ được thực thi và cố gắng kết nối đến máy tấn công thông qua Metasploit Framework hoặc Netcat. Các phần mềm độc hại có thể qua mặt giải pháp antivirus sẽ được tính 1 điểm, nếu có thể tạo được kết nối đến máy tấn công được tính thêm 1 điểm, ngược lại nếu phần mềm độc hại bị phát hiện bởi ứng dụng antivirus sẽ không thể tạo phiên kết nối (ký hiệu x) và không được tính điểm. Sau đây là một số kết quả của quá trình thử nghiệm.
Bảng 1. Thử nghiệm công cụ Veil-Framework
Sau khi cài đặt, Veil-Framework cung cấp cho người dùng tùy chọn sử dụng hai công cụ: Evasion hoặc Ordinance. Evasion tạo ra các cửa hậu, trong khi Ordnance tạo ra các được sử dụng bởi Evasion. Có tổng cộng 41 payload được chia thành 10 loại. Loại đầu tiên là payload dựa trên ngôn ngữ autoit, loại thứ hai bao gồm 3 payload sử dụng với mô-đun Metasploit, loại thứ ba gồm các payload được tạo từ ngôn ngữ lập trình C, loại thứ tư bao gồm các payload được tạo từ ngôn ngữ lập trình C # như trong Hình 2.
Hình 2. Công cụ Veil-Freamework
Ngoài các tải trọng trên, Veil gồm một loạt các payload được tạo từ ngôn ngữ lập trình Go, Lua, Perl, Powershell, Python, Ruby. Các loại payload khác nhau này đã được thử nghiệm với Bitdefender và thu được kết quả như được hiển thị trong Bảng 1.
Bảng 2. Thử nghiệm công cụ Onelinepy
Bảng 3. Thử nghiệm công cụ Paygen
Onelinepy có khả năng làm xáo trộn các payload Python được tạo bởi công cụ như msfvenom. Công cụ pyinstaller được sử dụng để tạo tập thực thi và gửi đến máy tính Windows. Tệp thực thi không bị phát hiện bởi Bitdefender, nhưng phiên khai thác cũng không được khởi tạo thành công. Kết quả của bài kiểm tra được hiển thị trong Bảng 2.
Hai tải trọng được tạo bởi Paygen bao gồm: tải trọng Python và C# windows/ meterpreter/reverse_tcp như trong Bảng 3.
Tiến hành thử nghiệm tương tự đối với các công cụ còn lại thu được kết quả đánh giá khả năng lẩn tránh của các công cụ chống lại giải pháp antivirus Bitdefender như được minh họa trong Hình 3.
Hình 3. Điểm lẩn tránh của công cụ trước giải pháp phòng chống mã độc Bitdefender
Từ Hình 3, có thể thấy rằng Phantom-Evasion, Onelinepy và PayGen có tỷ lệ phần trăm lẩn tránh cao nhất so với giải pháp Bitdefender là 50%. Các công cụ có điểm lẩn tránh thấp nhất là Shellter và Unicorn với điểm lẩn tránh là 0%.
Sự thành công trong mỗi thời điểm của các công cụ lẩn tránh và giải pháp phòng chống như một “trò chơi đuổi bắt” trong thế giới bảo mật, các chuyên gia ở mỗi lĩnh vực luôn cải tiến các giải pháp, thuật toán, chương trình để giành chiến thắng trong “trò chơi” này. Khi có một công cụ tấn công lẩn tránh giải pháp antivirus trở nên phổ biến và thành công với số lượng người dùng tăng lên nhanh chóng, các giải pháp phòng chống cũng sẽ được bổ sung và cập nhật nhằm chống lại các mối đe dọa mới.
|
TÀI LIỆU THAM KHẢO 1. Kalogranis, C. (2018). AntiVirus Software Evasion: An Evaluation of The AV Evasion. University of Piraeus. 2. AntivirusGuide. (2021). Best Antivirus 2021. 3. Rubenking, N. J. (2021, 09 10). The Best Antivirus Protection for 2021. 4. Wagenseil, P. (2021, September 1). The best antivirus software 2021: Free antivirus and paid options tested. 5. Roach, J., & Watts, R. (2021, July 16). Best Antivirus Software Of 2021. 6. Johansson, B. (2021, June 11). 10 Best Antivirus Software [2021]: Windows, Android, iOS & Mac. |
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
14:00 | 29/08/2019
15:00 | 18/03/2019
08:00 | 20/12/2017
10:00 | 22/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
