Một số kỹ thuật lẩn tránh giải pháp antivirus được tin tặc sử dụng phổ biến hiện nay là tạo một payload hoặc mã shell mới dẫn đến một chữ ký mới không có trong cơ sở dữ liệu của các chương trình antivirus. Tuy nhiên, điều này sẽ không hiệu quả đối với những antivirus sử dụng phân tích hành vi và cơ chế heuristics. Kỹ thuật thứ hai là xáo trộn hoặc mã hóa payload để nó được giải mã tại thời điểm chạy và lây nhiễm vào bộ nhớ. Kỹ thuật thứ ba là tạo payload sử dụng các công cụ nhúng và framework của hệ điều hành. Ví dụ: Powershell trong Windows và Python trong Windows và Linux.
MỘT SỐ CÔNG CỤ LẪN TRÁNH ANTIVIRUS MÃ NGUỒN MỞ
Veil-Framework
Veil-Framework là một khung ứng dụng phổ biến được viết bằng Python, được sử dụng để tạo ra các payload có thể tránh được phần lớn các giải pháp antivirus. Veil-Framework chứa các công cụ được sử dụng trong quá trình thử nghiệm thâm nhập.
TheFatRat
TheFatRat là một công cụ khai thác được tạo bởi tác giả Edo Maland đến từ Indonesia, công cụ này có thể tạo phần mềm độc hại trên các hệ điều hành Linux, Windows, Mac và Android. TheFatRat cung cấp cho tin tặc cách thức dễ dàng để tạo ra các cửa hậu và payload có thể vượt qua hầu hết các giải pháp antivirus. Với lợi thé tạo ra các payload bằng ngôn ngữ C, TheFatRat có the qua mặt các giải pháp bảo mật.
Shellter
Shellter là công cụ cho phép đưa payload vào tập thực thi Windows (EXE) hợp lệ. Quá trình này cho phép ngụy trang một payload thành một tệp thực thi thực sự, điều này có thể làm tăng đáng kể cơ hội vượt qua được giải pháp antivirus. Shellter có thể mã hóa lại bất kỳ ứng dụng Windows 32-bit để nhúng mã shell tùy chỉnh hoặc bất kỳ payload nào được tạo bằng msfvenom để lẩn tránh antivirus.
Unicorn
Unicorn được sử dụng để hỗ trợ cuộc tấn công hạ cấp Powershell và đưa các payload Shellcode tinh vi vào thẳng bộ nhớ. Unicorn được xây dựng từ các kỹ thuật được phát triển bởi Graeber và người sáng lập TrustedSec David Kennedy.
Venom
Venom là công cụ tạo/biên dịch/trình nghe Metasploit shellcode. Venom sử dụng MSFvenom từ Metasploit Framework để tạo shellcode ở các định dạng khác nhau: C, Python, Ruby, DLL, MSI, HTA- PSH và đưa shellcode được tạo vào một hàm. Mã shellcode được thực thi trong bộ nhớ bởi hàm đó và sử dụng trình biên dịch như GCC (trình biên dịch chéo GNU) hoặc Mingw32, Pyinstalle để xây dựng tệp thực thi đồng thời khởi chạy trình xử lý song song để xử lý kết nối từ xa phiên shell hoặc phiên meterpreter.
Phantom-Evasion
Phantom-Evasion là một công cụ lẩn tránh antivirus được viết bằng Python với khả năng thực thi hoàn toàn không thể phát hiện (FUD_Fully Undetectable). Phantom-Evasion sử dụng mã đa hình và các kỹ thuật phát hiện sự tồn tại của giải pháp antivirus, rất hữu ích cho các chuyên gia thử nghiệm xâm nhập.
Onelinepy
Onelinepy là trình xáo trộn Python được sử dụng để tạo ra các payload FUD. Tùy chọn Devploit được sử dụng để tạo các payload chuyên biệt với mục tiêu là các ứng dụng web, ngoài ra công cụ này còn cung cấp khả năng do thám các hệ thống web.
MsfMania
MsfMania là công cụ dòng lệnh được phát triển bằng Python hướng đến hệ điều hành Windows. Công cụ này cho phép tự động tạo các payload bằng ngôn ngữ C#, tạo các chữ ký hợp lệ cho tập thực thi nhằm lẫn tránh hiệu quả các giải pháp phân tích sandbox và giải pháp antivirus. MsfMania gồm phiên bản mã nguồn mở và mã nguồn đóng.
PayGen
Đây là công cụ tạo payload FUD, các tính năng của PayGen bao gồm: tạo payload tự động với MsfVenom, tạo tập handler.rc, tắt tiến trình trình của chương trình antivirus, chuyển tiếp cổng tự động qua Ngrok, ký exe tự động và tạo tệp payload Android.
ĐÁNH GIÁ CÁC GIẢI PHÁP ANTIVIRUS
Các giải pháp antivirus Bitdefender, Norton, McAfee, Panda và BullGuard đã được [2] đánh giá. Bitdefender được đánh giá là có khả năng phát hiện cũng như hiệu suất hệ thống tốt nhất với điểm đánh giá 9,8/10. Top10antivirus.com một trang web đánh giá giải pháp antivirus miễn phí đã đánh giá TotalAV, Norton, Bitdefender, Intego, Avira, Panda, PCProtect, BullGuard, McAfee và Avast. Trong đó, TotalAV nổi lên là giải pháp antivirus tốt nhất. 67 sản phẩm antivirus đã được [3] xem xét và 13 sản phẩm được chọn là sản phẩm tốt nhất. Đó là: Bitdefender, Kaspersky, McAfee, Webroot, Eset, Malwarebytes, Norton, Sophos Home Premium, Cylance, FSecure, Emsisoft, G Data Antivirus và Trend Micro. Bitdefender là sản phẩm antivirus tốt nhất trong số các sản phẩm được đánh giá.
THỬ NGHIỆM VÀ CÁC KẾT QUẢ ĐÁNH GIÁ
Mô hình thử nghiệm bao gồm hai máy Kali Linux 2021.3 và Windows 10. Trong đó, Kali Linux được sử dụng làm máy tấn công, Windows 10 là máy nạn nhân được cài đặt giải pháp Bitdefender, giải pháp antivirus mặc định trên máy Windows bị vô hiệu hóa trong quá trình thử nghiệm (Hình 1).
Để thực hiện đánh giá, các phần mềm độc hại là Trojan truy cập từ xa (RAT) sẽ được thực thi và cố gắng kết nối đến máy tấn công thông qua Metasploit Framework hoặc Netcat. Các phần mềm độc hại có thể qua mặt giải pháp antivirus sẽ được tính 1 điểm, nếu có thể tạo được kết nối đến máy tấn công được tính thêm 1 điểm, ngược lại nếu phần mềm độc hại bị phát hiện bởi ứng dụng antivirus sẽ không thể tạo phiên kết nối (ký hiệu x) và không được tính điểm. Sau đây là một số kết quả của quá trình thử nghiệm.
Bitdefender với Veil-Framework
Sau khi cài đặt, Veil-Framework cung cấp cho người dùng tùy chọn sử dụng hai công cụ: Evasion hoặc Ordinance. Evasion tạo ra các cửa hậu, trong khi Ordnance tạo ra các được sử dụng bởi Evasion. Có tổng cộng 41 payload được chia thành 10 loại. Loại đầu tiên là payload dựa trên ngôn ngữ autoit, loại thứ hai bao gồm 3 payload sử dụng với mô-đun Metasploit, loại thứ ba gồm các payload được tạo từ ngôn ngữ lập trình C, loại thứ tư bao gồm các payload được tạo từ ngôn ngữ lập trình C # như trong Hình 2.
Ngoài các tải trọng trên, Veil gồm một loạt các payload được tạo từ ngôn ngữ lập trình Go, Lua, Perl, Powershell, Python, Ruby. Các loại payload khác nhau này đã được thử nghiệm với Bitdefender và thu được kết quả như được hiển thị trong Bảng 1.
Bitdefender với Onelinepy
Onelinepy có khả năng làm xáo trộn các payload Python được tạo bởi công cụ như msfvenom. Công cụ pyinstaller được sử dụng để tạo tập thực thi và gửi đến máy tính Windows. Tệp thực thi không bị phát hiện bởi Bitdefender, nhưng phiên khai thác cũng không được khởi tạo thành công. Kết quả của bài kiểm tra được hiển thị trong Bảng 2.
Bitdefender với Paygen
Hai tải trọng được tạo bởi Paygen bao gồm: tải trọng Python và C# windows/ meterpreter/reverse_tcp như trong Bảng 3.
Tiến hành thử nghiệm tương tự đối với các công cụ còn lại thu được kết quả đánh giá khả năng lẩn tránh của các công cụ chống lại giải pháp antivirus Bitdefender như được minh họa trong Hình 3.
Từ Hình 3, có thể thấy rằng Phantom-Evasion, Onelinepy và PayGen có tỷ lệ phần trăm lẩn tránh cao nhất so với giải pháp Bitdefender là 50%. Các công cụ có điểm lẩn tránh thấp nhất là Shellter và Unicorn với điểm lẩn tránh là 0%.
KẾT LUẬN
Sự thành công trong mỗi thời điểm của các công cụ lẩn tránh và giải pháp phòng chống như một “trò chơi đuổi bắt” trong thế giới bảo mật, các chuyên gia ở mỗi lĩnh vực luôn cải tiến các giải pháp, thuật toán, chương trình để giành chiến thắng trong “trò chơi” này. Khi có một công cụ tấn công lẩn tránh giải pháp antivirus trở nên phổ biến và thành công với số lượng người dùng tăng lên nhanh chóng, các giải pháp phòng chống cũng sẽ được bổ sung và cập nhật nhằm chống lại các mối đe dọa mới.