Một số kỹ thuật lẩn tránh giải pháp antivirus được tin tặc sử dụng phổ biến hiện nay là tạo một payload hoặc mã shell mới dẫn đến một chữ ký mới không có trong cơ sở dữ liệu của các chương trình antivirus. Tuy nhiên, điều này sẽ không hiệu quả đối với những antivirus sử dụng phân tích hành vi và cơ chế heuristics. Kỹ thuật thứ hai là xáo trộn hoặc mã hóa payload để nó được giải mã tại thời điểm chạy và lây nhiễm vào bộ nhớ. Kỹ thuật thứ ba là tạo payload sử dụng các công cụ nhúng và framework của hệ điều hành. Ví dụ: Powershell trong Windows và Python trong Windows và Linux.
Cùng với sự gia tăng của các cuộc tấn công mạng, một số kỹ thuật khác được tin tặc sử dụng để tránh việc bị phát hiện bởi phần mềm antivirus là [1]: bán đa hình, đa hình, siêu đa hình và sử dụng lại mã. Với mức độ tàng hình cao, phần mềm độc hại đã trở thành công cụ mạnh mẽ và tinh vi được tin tặc sử dụng để xâm nhập hệ thống. Bài báo tập này tập trung đánh giá khả năng lẩn tránh của một số công cụ mã nguồn mở Veil- Framework, TheFatRat, Shellter, Unicorn, Venom, Phantom-Evasion, Onelinepy, MsfMania và PayGen đối với giải pháp antivirus Bitdefender.
Veil-Framework là một khung ứng dụng phổ biến được viết bằng Python, được sử dụng để tạo ra các payload có thể tránh được phần lớn các giải pháp antivirus. Veil-Framework chứa các công cụ được sử dụng trong quá trình thử nghiệm thâm nhập.
TheFatRat là một công cụ khai thác được tạo bởi tác giả Edo Maland đến từ Indonesia, công cụ này có thể tạo phần mềm độc hại trên các hệ điều hành Linux, Windows, Mac và Android. TheFatRat cung cấp cho tin tặc cách thức dễ dàng để tạo ra các cửa hậu và payload có thể vượt qua hầu hết các giải pháp antivirus. Với lợi thé tạo ra các payload bằng ngôn ngữ C, TheFatRat có the qua mặt các giải pháp bảo mật.
Shellter là công cụ cho phép đưa payload vào tập thực thi Windows (EXE) hợp lệ. Quá trình này cho phép ngụy trang một payload thành một tệp thực thi thực sự, điều này có thể làm tăng đáng kể cơ hội vượt qua được giải pháp antivirus. Shellter có thể mã hóa lại bất kỳ ứng dụng Windows 32-bit để nhúng mã shell tùy chỉnh hoặc bất kỳ payload nào được tạo bằng msfvenom để lẩn tránh antivirus.
Unicorn được sử dụng để hỗ trợ cuộc tấn công hạ cấp Powershell và đưa các payload Shellcode tinh vi vào thẳng bộ nhớ. Unicorn được xây dựng từ các kỹ thuật được phát triển bởi Graeber và người sáng lập TrustedSec David Kennedy.
Venom là công cụ tạo/biên dịch/trình nghe Metasploit shellcode. Venom sử dụng MSFvenom từ Metasploit Framework để tạo shellcode ở các định dạng khác nhau: C, Python, Ruby, DLL, MSI, HTA- PSH và đưa shellcode được tạo vào một hàm. Mã shellcode được thực thi trong bộ nhớ bởi hàm đó và sử dụng trình biên dịch như GCC (trình biên dịch chéo GNU) hoặc Mingw32, Pyinstalle để xây dựng tệp thực thi đồng thời khởi chạy trình xử lý song song để xử lý kết nối từ xa phiên shell hoặc phiên meterpreter.
Phantom-Evasion là một công cụ lẩn tránh antivirus được viết bằng Python với khả năng thực thi hoàn toàn không thể phát hiện (FUD_Fully Undetectable). Phantom-Evasion sử dụng mã đa hình và các kỹ thuật phát hiện sự tồn tại của giải pháp antivirus, rất hữu ích cho các chuyên gia thử nghiệm xâm nhập.
Onelinepy là trình xáo trộn Python được sử dụng để tạo ra các payload FUD. Tùy chọn Devploit được sử dụng để tạo các payload chuyên biệt với mục tiêu là các ứng dụng web, ngoài ra công cụ này còn cung cấp khả năng do thám các hệ thống web.
MsfMania là công cụ dòng lệnh được phát triển bằng Python hướng đến hệ điều hành Windows. Công cụ này cho phép tự động tạo các payload bằng ngôn ngữ C#, tạo các chữ ký hợp lệ cho tập thực thi nhằm lẫn tránh hiệu quả các giải pháp phân tích sandbox và giải pháp antivirus. MsfMania gồm phiên bản mã nguồn mở và mã nguồn đóng.
Đây là công cụ tạo payload FUD, các tính năng của PayGen bao gồm: tạo payload tự động với MsfVenom, tạo tập handler.rc, tắt tiến trình trình của chương trình antivirus, chuyển tiếp cổng tự động qua Ngrok, ký exe tự động và tạo tệp payload Android.
Các giải pháp antivirus Bitdefender, Norton, McAfee, Panda và BullGuard đã được [2] đánh giá. Bitdefender được đánh giá là có khả năng phát hiện cũng như hiệu suất hệ thống tốt nhất với điểm đánh giá 9,8/10. Top10antivirus.com một trang web đánh giá giải pháp antivirus miễn phí đã đánh giá TotalAV, Norton, Bitdefender, Intego, Avira, Panda, PCProtect, BullGuard, McAfee và Avast. Trong đó, TotalAV nổi lên là giải pháp antivirus tốt nhất. 67 sản phẩm antivirus đã được [3] xem xét và 13 sản phẩm được chọn là sản phẩm tốt nhất. Đó là: Bitdefender, Kaspersky, McAfee, Webroot, Eset, Malwarebytes, Norton, Sophos Home Premium, Cylance, FSecure, Emsisoft, G Data Antivirus và Trend Micro. Bitdefender là sản phẩm antivirus tốt nhất trong số các sản phẩm được đánh giá.
Mô hình thử nghiệm bao gồm hai máy Kali Linux 2021.3 và Windows 10. Trong đó, Kali Linux được sử dụng làm máy tấn công, Windows 10 là máy nạn nhân được cài đặt giải pháp Bitdefender, giải pháp antivirus mặc định trên máy Windows bị vô hiệu hóa trong quá trình thử nghiệm (Hình 1).
Hình 1. Mô hình thử nghiệm
Để thực hiện đánh giá, các phần mềm độc hại là Trojan truy cập từ xa (RAT) sẽ được thực thi và cố gắng kết nối đến máy tấn công thông qua Metasploit Framework hoặc Netcat. Các phần mềm độc hại có thể qua mặt giải pháp antivirus sẽ được tính 1 điểm, nếu có thể tạo được kết nối đến máy tấn công được tính thêm 1 điểm, ngược lại nếu phần mềm độc hại bị phát hiện bởi ứng dụng antivirus sẽ không thể tạo phiên kết nối (ký hiệu x) và không được tính điểm. Sau đây là một số kết quả của quá trình thử nghiệm.
Bảng 1. Thử nghiệm công cụ Veil-Framework
Sau khi cài đặt, Veil-Framework cung cấp cho người dùng tùy chọn sử dụng hai công cụ: Evasion hoặc Ordinance. Evasion tạo ra các cửa hậu, trong khi Ordnance tạo ra các được sử dụng bởi Evasion. Có tổng cộng 41 payload được chia thành 10 loại. Loại đầu tiên là payload dựa trên ngôn ngữ autoit, loại thứ hai bao gồm 3 payload sử dụng với mô-đun Metasploit, loại thứ ba gồm các payload được tạo từ ngôn ngữ lập trình C, loại thứ tư bao gồm các payload được tạo từ ngôn ngữ lập trình C # như trong Hình 2.
Hình 2. Công cụ Veil-Freamework
Ngoài các tải trọng trên, Veil gồm một loạt các payload được tạo từ ngôn ngữ lập trình Go, Lua, Perl, Powershell, Python, Ruby. Các loại payload khác nhau này đã được thử nghiệm với Bitdefender và thu được kết quả như được hiển thị trong Bảng 1.
Bảng 2. Thử nghiệm công cụ Onelinepy
Bảng 3. Thử nghiệm công cụ Paygen
Onelinepy có khả năng làm xáo trộn các payload Python được tạo bởi công cụ như msfvenom. Công cụ pyinstaller được sử dụng để tạo tập thực thi và gửi đến máy tính Windows. Tệp thực thi không bị phát hiện bởi Bitdefender, nhưng phiên khai thác cũng không được khởi tạo thành công. Kết quả của bài kiểm tra được hiển thị trong Bảng 2.
Hai tải trọng được tạo bởi Paygen bao gồm: tải trọng Python và C# windows/ meterpreter/reverse_tcp như trong Bảng 3.
Tiến hành thử nghiệm tương tự đối với các công cụ còn lại thu được kết quả đánh giá khả năng lẩn tránh của các công cụ chống lại giải pháp antivirus Bitdefender như được minh họa trong Hình 3.
Hình 3. Điểm lẩn tránh của công cụ trước giải pháp phòng chống mã độc Bitdefender
Từ Hình 3, có thể thấy rằng Phantom-Evasion, Onelinepy và PayGen có tỷ lệ phần trăm lẩn tránh cao nhất so với giải pháp Bitdefender là 50%. Các công cụ có điểm lẩn tránh thấp nhất là Shellter và Unicorn với điểm lẩn tránh là 0%.
Sự thành công trong mỗi thời điểm của các công cụ lẩn tránh và giải pháp phòng chống như một “trò chơi đuổi bắt” trong thế giới bảo mật, các chuyên gia ở mỗi lĩnh vực luôn cải tiến các giải pháp, thuật toán, chương trình để giành chiến thắng trong “trò chơi” này. Khi có một công cụ tấn công lẩn tránh giải pháp antivirus trở nên phổ biến và thành công với số lượng người dùng tăng lên nhanh chóng, các giải pháp phòng chống cũng sẽ được bổ sung và cập nhật nhằm chống lại các mối đe dọa mới.
TÀI LIỆU THAM KHẢO 1. Kalogranis, C. (2018). AntiVirus Software Evasion: An Evaluation of The AV Evasion. University of Piraeus. 2. AntivirusGuide. (2021). Best Antivirus 2021. 3. Rubenking, N. J. (2021, 09 10). The Best Antivirus Protection for 2021. 4. Wagenseil, P. (2021, September 1). The best antivirus software 2021: Free antivirus and paid options tested. 5. Roach, J., & Watts, R. (2021, July 16). Best Antivirus Software Of 2021. 6. Johansson, B. (2021, June 11). 10 Best Antivirus Software [2021]: Windows, Android, iOS & Mac. |
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
14:00 | 29/08/2019
15:00 | 18/03/2019
08:00 | 20/12/2017
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
08:00 | 21/12/2023
Theo số liệu của DataReportal, hiện Việt Nam đang có khoảng 49,9 triệu người sử dụng mạng xã hội TikTok, xếp thứ 6 trên 10 quốc gia có số người sử dụng TikTok nhiều nhất thế giới. Đáng chú ý là mạng xã hội này đang dần chiếm lĩnh thị trường nhờ vào những đoạn video có nội dung đa dạng mang tính "gây nghiện", thu hút mọi lứa tuổi trong đó có trẻ em. Tuy nhiên không như những mạng xã hội khác, TikTok thường xuyên bị cáo buộc việc gây ra những rủi ro nghiêm trọng về bảo mật và quyền riêng tư của người dùng. Thời gian qua đã có ít nhất 10 quốc gia cấm sử dụng ứng dụng này, trong đó có những nguyên nhân là do Tiktok gây ảnh hưởng nghiêm trọng tới suy nghĩ và hành động của trẻ em.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024