SỬ DỤNG PHƯƠNG PHÁP HÌNH THỨC ĐỂ NHẬN DẠNG PACKER

Nguyễn Minh Hải, Đỗ Duy Phong, Quản Thành Thơ



DOI: 10.15625/vap.2016.00086

Abstract


Hiện nay, an toàn thông tin là một vấn đề vô cùng quan trọng và thu hút sự quan tâm rất lớn. Những phần mềm độc hại (malware) đã và đang dần trở thành mối đe doạ thực sự đối với mỗi quốc gia. Năm 2006, theo một thống kê bởi Computer Economics 2007 Malware Report, khoảng 13.3 tỉ đô la đã được tiêu tốn để khắc phục những hậu quả của malware và con số này vẫn tiếp tục gia tăng do mức độ độc hai và tinh vi của malware ngày càng lớn. Để phân tích và phát hiện malware, đa phần những phần mềm trong công nghiệp sử dụng kỹ thuật nhận dạng chữ ký. Trong kỹ thuật này, mỗi malware sẽ được biểu diễn dưới dạng một chuỗi bit nhị phân duy nhất đặc trưng cho malware. Tuy nhiên, với việc những malware ngày này sử dụng các phần mềm đóng gói (packer) để tạo ra nhiều biến thể mới đã khiến kỹ thuật nhận dạng chữ ký trở nên không hiệu quả. Hơn thế nữa, khi phân tích malware đã được đóng gói, kỹ thuật dịch ngược vốn được xem là kỹ thuật hiệu quả để phát hiện malware cũng trở nên rất khó khăn và nhiều thách thức bởi packer đã sử dụng rất nhiều kỹ thuật rắc rối hóa, cũng như kỹ thuật chống dịch ngược và chống gỡ lỗi. Xuất phát từ những khó khăn thực tế đó, bài báo đề xuất việc sử dụng phương pháp hình thức nhằm nhận dạng packer bằng cách kết hợp giữa hai công cụ BE-PUM và công cụ NuSMV. Chúng tôi đã phát triển công cụ BE-PUM (Binary Emulator for PU shdown Model generation) với mục tiêu xây dựng mô hình chính xác của một chương trình mã nhị phân và xử lý được những kỹ thuật obfuscation đặc trưng của packer như lệnh nhảy không trực tiếp, code tự thay đổi... Hiện tại, BE-PUM đã xử lý được các kỹ thuật sử dụng trong 28 packer khác nhau. Bằng cách biểu diễn hành vi của các kỹ thuật này dưới dạng công thức CTL và cung cấp như một đầu vào của công cụ kiểm tra mô hình NuSMV, chúng tôi có thể nhận diện được 28 packer này. Chúng tôi đã thí nghiệm hướng tiếp cận này trên 3250 malware khác nhau để nhận diện các packer được sử dụng. Kết quả phân tích đã chỉ ra hướng tiếp cận này là rất khả thi và sinh ra kết quả chính xác hơn so với kỹ thuật nhận diện packer thông qua chữ ký truyền thống.

Keywords


Phân tích virus, an toàn thông tin, phương pháp hình thức, packer



Copyright (c) 2017 PROCEEDING of Publishing House for Science and Technology



PROCEEDING

PUBLISHING HOUSE FOR SCIENCE AND TECHNOLOGY

Website: http://vap.ac.vn

Contact: nxb@vap.ac.vn