Một số kỹ thuật lẩn tránh giải pháp antivirus được tin tặc sử dụng phổ biến hiện nay là tạo một payload hoặc mã shell mới dẫn đến một chữ ký mới không có trong cơ sở dữ liệu của các chương trình antivirus. Tuy nhiên, điều này sẽ không hiệu quả đối với những antivirus sử dụng phân tích hành vi và cơ chế heuristics. Kỹ thuật thứ hai là xáo trộn hoặc mã hóa payload để nó được giải mã tại thời điểm chạy và lây nhiễm vào bộ nhớ. Kỹ thuật thứ ba là tạo payload sử dụng các công cụ nhúng và framework của hệ điều hành. Ví dụ: Powershell trong Windows và Python trong Windows và Linux.
Cùng với sự gia tăng của các cuộc tấn công mạng, một số kỹ thuật khác được tin tặc sử dụng để tránh việc bị phát hiện bởi phần mềm antivirus là [1]: bán đa hình, đa hình, siêu đa hình và sử dụng lại mã. Với mức độ tàng hình cao, phần mềm độc hại đã trở thành công cụ mạnh mẽ và tinh vi được tin tặc sử dụng để xâm nhập hệ thống. Bài báo tập này tập trung đánh giá khả năng lẩn tránh của một số công cụ mã nguồn mở Veil- Framework, TheFatRat, Shellter, Unicorn, Venom, Phantom-Evasion, Onelinepy, MsfMania và PayGen đối với giải pháp antivirus Bitdefender.
Veil-Framework là một khung ứng dụng phổ biến được viết bằng Python, được sử dụng để tạo ra các payload có thể tránh được phần lớn các giải pháp antivirus. Veil-Framework chứa các công cụ được sử dụng trong quá trình thử nghiệm thâm nhập.
TheFatRat là một công cụ khai thác được tạo bởi tác giả Edo Maland đến từ Indonesia, công cụ này có thể tạo phần mềm độc hại trên các hệ điều hành Linux, Windows, Mac và Android. TheFatRat cung cấp cho tin tặc cách thức dễ dàng để tạo ra các cửa hậu và payload có thể vượt qua hầu hết các giải pháp antivirus. Với lợi thé tạo ra các payload bằng ngôn ngữ C, TheFatRat có the qua mặt các giải pháp bảo mật.
Shellter là công cụ cho phép đưa payload vào tập thực thi Windows (EXE) hợp lệ. Quá trình này cho phép ngụy trang một payload thành một tệp thực thi thực sự, điều này có thể làm tăng đáng kể cơ hội vượt qua được giải pháp antivirus. Shellter có thể mã hóa lại bất kỳ ứng dụng Windows 32-bit để nhúng mã shell tùy chỉnh hoặc bất kỳ payload nào được tạo bằng msfvenom để lẩn tránh antivirus.
Unicorn được sử dụng để hỗ trợ cuộc tấn công hạ cấp Powershell và đưa các payload Shellcode tinh vi vào thẳng bộ nhớ. Unicorn được xây dựng từ các kỹ thuật được phát triển bởi Graeber và người sáng lập TrustedSec David Kennedy.
Venom là công cụ tạo/biên dịch/trình nghe Metasploit shellcode. Venom sử dụng MSFvenom từ Metasploit Framework để tạo shellcode ở các định dạng khác nhau: C, Python, Ruby, DLL, MSI, HTA- PSH và đưa shellcode được tạo vào một hàm. Mã shellcode được thực thi trong bộ nhớ bởi hàm đó và sử dụng trình biên dịch như GCC (trình biên dịch chéo GNU) hoặc Mingw32, Pyinstalle để xây dựng tệp thực thi đồng thời khởi chạy trình xử lý song song để xử lý kết nối từ xa phiên shell hoặc phiên meterpreter.
Phantom-Evasion là một công cụ lẩn tránh antivirus được viết bằng Python với khả năng thực thi hoàn toàn không thể phát hiện (FUD_Fully Undetectable). Phantom-Evasion sử dụng mã đa hình và các kỹ thuật phát hiện sự tồn tại của giải pháp antivirus, rất hữu ích cho các chuyên gia thử nghiệm xâm nhập.
Onelinepy là trình xáo trộn Python được sử dụng để tạo ra các payload FUD. Tùy chọn Devploit được sử dụng để tạo các payload chuyên biệt với mục tiêu là các ứng dụng web, ngoài ra công cụ này còn cung cấp khả năng do thám các hệ thống web.
MsfMania là công cụ dòng lệnh được phát triển bằng Python hướng đến hệ điều hành Windows. Công cụ này cho phép tự động tạo các payload bằng ngôn ngữ C#, tạo các chữ ký hợp lệ cho tập thực thi nhằm lẫn tránh hiệu quả các giải pháp phân tích sandbox và giải pháp antivirus. MsfMania gồm phiên bản mã nguồn mở và mã nguồn đóng.
Đây là công cụ tạo payload FUD, các tính năng của PayGen bao gồm: tạo payload tự động với MsfVenom, tạo tập handler.rc, tắt tiến trình trình của chương trình antivirus, chuyển tiếp cổng tự động qua Ngrok, ký exe tự động và tạo tệp payload Android.
Các giải pháp antivirus Bitdefender, Norton, McAfee, Panda và BullGuard đã được [2] đánh giá. Bitdefender được đánh giá là có khả năng phát hiện cũng như hiệu suất hệ thống tốt nhất với điểm đánh giá 9,8/10. Top10antivirus.com một trang web đánh giá giải pháp antivirus miễn phí đã đánh giá TotalAV, Norton, Bitdefender, Intego, Avira, Panda, PCProtect, BullGuard, McAfee và Avast. Trong đó, TotalAV nổi lên là giải pháp antivirus tốt nhất. 67 sản phẩm antivirus đã được [3] xem xét và 13 sản phẩm được chọn là sản phẩm tốt nhất. Đó là: Bitdefender, Kaspersky, McAfee, Webroot, Eset, Malwarebytes, Norton, Sophos Home Premium, Cylance, FSecure, Emsisoft, G Data Antivirus và Trend Micro. Bitdefender là sản phẩm antivirus tốt nhất trong số các sản phẩm được đánh giá.
Mô hình thử nghiệm bao gồm hai máy Kali Linux 2021.3 và Windows 10. Trong đó, Kali Linux được sử dụng làm máy tấn công, Windows 10 là máy nạn nhân được cài đặt giải pháp Bitdefender, giải pháp antivirus mặc định trên máy Windows bị vô hiệu hóa trong quá trình thử nghiệm (Hình 1).
Hình 1. Mô hình thử nghiệm
Để thực hiện đánh giá, các phần mềm độc hại là Trojan truy cập từ xa (RAT) sẽ được thực thi và cố gắng kết nối đến máy tấn công thông qua Metasploit Framework hoặc Netcat. Các phần mềm độc hại có thể qua mặt giải pháp antivirus sẽ được tính 1 điểm, nếu có thể tạo được kết nối đến máy tấn công được tính thêm 1 điểm, ngược lại nếu phần mềm độc hại bị phát hiện bởi ứng dụng antivirus sẽ không thể tạo phiên kết nối (ký hiệu x) và không được tính điểm. Sau đây là một số kết quả của quá trình thử nghiệm.
Bảng 1. Thử nghiệm công cụ Veil-Framework
Sau khi cài đặt, Veil-Framework cung cấp cho người dùng tùy chọn sử dụng hai công cụ: Evasion hoặc Ordinance. Evasion tạo ra các cửa hậu, trong khi Ordnance tạo ra các được sử dụng bởi Evasion. Có tổng cộng 41 payload được chia thành 10 loại. Loại đầu tiên là payload dựa trên ngôn ngữ autoit, loại thứ hai bao gồm 3 payload sử dụng với mô-đun Metasploit, loại thứ ba gồm các payload được tạo từ ngôn ngữ lập trình C, loại thứ tư bao gồm các payload được tạo từ ngôn ngữ lập trình C # như trong Hình 2.
Hình 2. Công cụ Veil-Freamework
Ngoài các tải trọng trên, Veil gồm một loạt các payload được tạo từ ngôn ngữ lập trình Go, Lua, Perl, Powershell, Python, Ruby. Các loại payload khác nhau này đã được thử nghiệm với Bitdefender và thu được kết quả như được hiển thị trong Bảng 1.
Bảng 2. Thử nghiệm công cụ Onelinepy
Bảng 3. Thử nghiệm công cụ Paygen
Onelinepy có khả năng làm xáo trộn các payload Python được tạo bởi công cụ như msfvenom. Công cụ pyinstaller được sử dụng để tạo tập thực thi và gửi đến máy tính Windows. Tệp thực thi không bị phát hiện bởi Bitdefender, nhưng phiên khai thác cũng không được khởi tạo thành công. Kết quả của bài kiểm tra được hiển thị trong Bảng 2.
Hai tải trọng được tạo bởi Paygen bao gồm: tải trọng Python và C# windows/ meterpreter/reverse_tcp như trong Bảng 3.
Tiến hành thử nghiệm tương tự đối với các công cụ còn lại thu được kết quả đánh giá khả năng lẩn tránh của các công cụ chống lại giải pháp antivirus Bitdefender như được minh họa trong Hình 3.
Hình 3. Điểm lẩn tránh của công cụ trước giải pháp phòng chống mã độc Bitdefender
Từ Hình 3, có thể thấy rằng Phantom-Evasion, Onelinepy và PayGen có tỷ lệ phần trăm lẩn tránh cao nhất so với giải pháp Bitdefender là 50%. Các công cụ có điểm lẩn tránh thấp nhất là Shellter và Unicorn với điểm lẩn tránh là 0%.
Sự thành công trong mỗi thời điểm của các công cụ lẩn tránh và giải pháp phòng chống như một “trò chơi đuổi bắt” trong thế giới bảo mật, các chuyên gia ở mỗi lĩnh vực luôn cải tiến các giải pháp, thuật toán, chương trình để giành chiến thắng trong “trò chơi” này. Khi có một công cụ tấn công lẩn tránh giải pháp antivirus trở nên phổ biến và thành công với số lượng người dùng tăng lên nhanh chóng, các giải pháp phòng chống cũng sẽ được bổ sung và cập nhật nhằm chống lại các mối đe dọa mới.
TÀI LIỆU THAM KHẢO 1. Kalogranis, C. (2018). AntiVirus Software Evasion: An Evaluation of The AV Evasion. University of Piraeus. 2. AntivirusGuide. (2021). Best Antivirus 2021. 3. Rubenking, N. J. (2021, 09 10). The Best Antivirus Protection for 2021. 4. Wagenseil, P. (2021, September 1). The best antivirus software 2021: Free antivirus and paid options tested. 5. Roach, J., & Watts, R. (2021, July 16). Best Antivirus Software Of 2021. 6. Johansson, B. (2021, June 11). 10 Best Antivirus Software [2021]: Windows, Android, iOS & Mac. |
Trần Nhật Long (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
14:00 | 29/08/2019
15:00 | 18/03/2019
08:00 | 20/12/2017
07:00 | 08/04/2024
Thiết bị truyền dữ liệu một chiều Datadiode có ý nghĩa quan trọng trong việc bảo đảm an toàn thông tin (ATTT) cho việc kết nối liên thông giữa các vùng mạng với nhau, đặc biệt giữa vùng mạng riêng, nội bộ với các vùng mạng bên ngoài kém an toàn hơn. Khi chủ trương xây dựng Chính phủ điện tử, Chính phủ số của Quân đội được quan tâm, đẩy mạnh phát triển. Việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng truyền số liệu quân sự (TSLQS) và mạng Internet, giữa các hệ thống thông tin quân sự và cơ sở dữ liệu (CSDL) quốc gia về dân cư, bảo hiểm y tế và các CSDL dùng chung khác yêu cầu phải kết nối. Bài báo sẽ trình bày giải pháp truyền dữ liệu một chiều Datadiode cho phép các ứng dụng giữa hai vùng mạng kết nối sử dụng giao thức Webservice/RestAPI.
10:00 | 15/09/2023
Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024