DIỄN TẬP PHÂN TÍCH MÃ ĐỘC, ỨNG CỨU SỰ CỐ LÀ NHƯ THẾ NÀO?

tuannd 12/01/2019 10:56

Các cụm từ "diễn tập an toàn thông tin", "diễn tập phân tích mã độc"... Đa số chúng ta đã được nghe các cụm từ này ở đâu đó, thế nhưng diễn tập là như thế nào thì chắc nhiều bạn vẫn chưa hình dung được. Vì vậy, hôm nay HGSOFT viết bài chia sẽ một ví dụ thực tế về diễn tập "phân tích mã độc" để các bạn nắm về hoạt động này.

Bài ví dụ dưới đây là một buổi diễn tập thực tế phân tích mã độc được diễn ra tại Thành phố Hồ Chí Minh do Trung tâm ứng cứu sự cố khẩn cấp máy tính Việt Nam (VNCERT) chủ trì thực hiện, tham gia là các chuyên viên bảo mật tại các đơn vị của các tỉnh tại khu vực phía nam và khu vực Hà Nội. Hoạt động diễn tập này được tóm tắt thành những nội dung sau:

1. Chuẩn bị

Đơn vị chủ trì gửi thông báo mời các đơn vị tham gia diễn tập, các đơn vị tham dự diễn tập cử thành viên tham gia và đăng ký với đơn vị chủ trì. Sau khi chốt danh sách, các thành viên tham gia sẽ được ban tổ chức phân chia thành các đội và danh sách này sẽ được gửi về lại các đơn vị tham gia.

Gần đến ngày diễn tập, các thành viên tham gia diễn tập sẽ được gửi công cụ diễn tập là các máy ảo, công cụ phân tích...  cần thiết để phân tích mã độc. Các thành viên sẽ tải các công cụ này về máy tính cá nhân của mình và mang theo khi đi diễn tập.

2. Hoạt động diễn tập phân tích mã độc

Khi bắt đầu diễn tập, các đội sẽ được cung cấp địa chỉ IP (truy cập bằng trình duyệt web) và một tài khoản riêng cho đội mình. Thực ra hoạt động diễn tập gần giống như làm một bài thi trắc nghiệm (giải những câu hỏi chọn đáp án, những câu hỏi nhập đáp án) trên phần mềm. Các đội đọc câu hỏi và dựa vào kiến thức và kỹ năng của mình để sử dụng công cụ phân tích phù hợp tìm đáp án. Dưới đây là vài câu hỏi thực tế trong buổi diễn tập.

Chọn các câu hỏi trả lời

Hình 1 Chọn các câu hỏi trả lời

Hình 2 Chi tiết câu hỏi 1

Hình 3 Chi tiết câu hỏi 2

Hình 4 Chi tiết câu hỏi 3

 

Hình 5 Chi tiết câu hỏi 4

Hình 6 Chi tiết câu hỏi 5

Hình 7 Chi tiết câu hỏi 6

Hình 8 Chi tiết câu hỏi 7

Hình 9 Chi tiết câu hỏi 8

Hình 10 Chi tiết câu hỏi 9

Các câu hỏi trên được trả lời trong một khoảng thời gian khoảng 3h, sau thời gian này phần mềm sẽ thống kê đội nào có số điểm cao nhất, đội cao điểm nhất sẽ được yêu cầu chia sẽ các lập luận, các bước phân tích và các kỹ thuật cho các đội khác tham khảo đồng thời sẽ được ban tổ chức phát thưởng.

3. Một số công cụ phân tích được sử dụng (các bạn có thể tự tìm hiểu và tải các công vụ này về thực tập)

+ IDA: công cụ dịch ngược tập tin nhị phân thành "mã lệnh" và một số chức năng khác

+ CFF explorer: lấy mã MD5 của tập tin mã độc và một số chức năng khác

+ Process monitor (proc mon): xem các tiến trình đang hoạt động trên máy tính

+ Website https://www.virustotal.com : upload virus lên trang này sẽ cho ta biết những thông tin về virus đó.

Trên đầy là một vài thông tin HGSOFT chia sẽ về hoạt động diễn tập phân tích mã độc, hy vọng thông tin này hữu ích với các bạn. Cảm ơn các bạn đã xem bài viết này, Các trao đổi về bài viết các bạn có thể trao đổi tại diendan.hgsoft.vn.

 

 

Dinh Tuan Nguyen