Tài liệu hướng dẫn xây dựng một đội ngũ phân tích malware gồm 2-4 người với các kỹ năng lập trình, kiến thức hệ thống và mạng, cùng các công cụ cần thiết cho việc phân tích. Nó cũng giải thích quy trình thiết lập môi trường ảo hóa và các phương pháp phân tích như hành vi, mã nguồn và điều tra số. Cuối cùng, tài liệu nhấn mạnh tầm quan trọng của việc tạo báo cáo và chữ ký từ các phân tích để cải thiện khả năng phòng vệ trước các loại malware trong tương lai.

1. Building A Malware Analysis Lab/Team
1. Con người
Số lượng : 2-4 người
Kĩ năng lập trình: Đọc, hiểu được các ngôn ngữ lập trình C/C++, C#/VB.NET,Java, PHP,.... Các ngôn
ngữ quan trọng bắt buộc phải biết: C/C++, Python, Assembly.
Việc đọc, hiểu các ngôn ngữ lập trình là tối quan trọng trong việc phân tích malware. Vì các
malware có thể được viết bằng nhiều loại ngôn ngữ khác nhau tùy thuộc theo ý muốn của kẻ tấn
công hoặc mục đích phá hoại, cho nên cần phải đọc hiểu được các ngôn ngữ đó để xác định đâu
là thành phần nguy hiểm và có hại. Đặc biệt trong quá trình phân tích malware sẽ thường phải
tiếp xúc với hệ thống ở mức low-level hay các code exploit được viết bằng các ngôn ngữ bậc
trung/bậc thấp như C, C++ , Assembly là rất phổ biến, cũng như các công cụ phân tích thường
được viết bằng các ngôn ngữ này cho nên cần phải hiểu và có thể sử dụng, cũng như tùy biến để
phục vụ theo nhu cầu của cá nhân, yêu cầu của tình huống đặt ra. Python là một ngôn ngữ dạng
scripting language rất mạnh mẽ và dễ sử dụng, nó được nhúng trong rất nhiều các bộ công cụ
phân tích malware phổ biến, và nhiều công cụ cũng được viết bằng Python, hoặc cũng có thể
được dùng để tái mô tả thuật toán, hoặc các chương trình thực hiên tự động các tác vụ cụ thể.
Kiến thức hệ thống: OS, Kernel, Process, Linux...
Việc phân tích malware đòi hỏi phải có lượng kiến thức khá sâu về hệ điều hành, các thao tác xử
lý của hệ thống.hay các cách truyền dữ liệu trên bộ nhớ,.. Điều này là rất cần thiết để có thể thực
hiện giám sát và phân tích các hành vị bất thường gây ra bởi các loại malware. Bên cạnh đó,
Linux cũng là môi trường rất thuận tiện cho công việc phân tích malware vì khả năng tương tác
cao với hệ thống và khả năng mở rộng, tùy biến cũng như hỗ trợ môi trường lập trình rất tốt.
Kiến thức về network
Cần thiết khi phải phân tích những mẫu malware đánh cắp thông tin và gửi về server của kẻ tấn
công, hay những loại botnet được điều khiển bởi các CNC Server. Nhằm nhận biết các hành
động đáng ngờ xảy ra trong network cũng như phát hiện những lỗ hổng tồn tại trên network
đang bị kẻ tấn công và các loại malware lợi dụng, nhằm có những biện pháp khắc phục và sửa
chữa kịp thời
Kiến thức về Digital Forensic
Điều tra số là một kĩ năng khá quan trọng trong công việc dò tìm và phân tích malware hiện đại.
Các kĩ năng Forensic có thể được áp dụng để phát hiện các mẫu malware tinh vi được giấu trong
hệ thống, cũng như kiểm tra và xác định trước thiệt hại, ảnh hưởng mà malware gây ra thông
qua việc quan sát và phân tích các dữ liệu có được từ việc ghi nhận và theo dõi quá trình hoạt
động của hệ thống.
Kiến thức về Reverse Engineering/Debugging
Kĩ năng về Reverse Engineering là kĩ năng quan trọng nhất bên cạnh các kiến thức về lập trình.
để người điều tra có thể trực tiếp phân tích bản thân của malware, đọc code được dịch ngược lại
để xác định hành vi của malware, xác định chi tiết về đặc điểm nhận dạng của từng mãu
malware, và dùng những dữ liệu có được để xây dựng các signature hay các công cụ dò quét và
tìm diệt malware.
Khả năng dò tìm và phân tích thông tin
2. Công cụ
Công cụ network analysis: Wireshark, NetworkMiner, TCPDump... : Giám sát và phân tích network
1

2. traffic gây ra bởi malware
Công cụ Debugging/Reverse Engineering: IDA Pro + Hex-Ray Decompiler, Windbg, OllyDbg, JEB,
x64_dbg,...: Thực hiện việc dịch ngược và phân tích code của malware
Hệ thống Sandboxing: Cuckoo Sandbox, Sandboxie, McAfee Advance Threat Defense, FireEyes,...:
Tạo môi trường an toàn để thực thi trực tiếp malware và giám sát hành vi.
Công cụ Forensic: Encase, ForensicToolKit, SleuthKit, Volatility,..: Thực hiện Computer Forensic,
Memory Forensic để tìm kiếm malware được ẩn giấu hoặc để xác định tầm ảnh hưởng, mức độ
nguy hại của malware.
Công cụ SIEM, Big Data Analysis: McAfee SIEM, Splunk, ArcSight,...: Quản lý và phân tích log, phân
tích thông tin từ nhiều nguồn khác nhau
Công cụ Virtualization: VirtualBox, Genymotion, VMWare,...: Xây dựng Virtualization Environment
để thực hiện việc phân tích malware.
3. Quy trình
Cài đặt các phần mềm ảo hóa và thiết lập môi trường phục vụ cho việc phân tích malware: Cài đặt
VirtualBox/VMWare, cài đặt các OS trên môi trường ảo, cài đặt các công cụ phục vụ phân tích
malware:
Cách li môi hệ thống phân tích malware khỏi hệ thống mạng chính của tổ chức: Đảm bảo việc
phân tích malware diễn ra an toàn và không ảnh hưởng đến hệ thống chung của tổ chức
Phân tích malware sử dụng phương pháp Behavior Analysis: Phân tích hành vi của malware, thực
hiện bằng cách sử dụng các hệ thống sandbox, các phần mềm giám sát hệ thống, giám sát mạng
để phát hiện và liệt kê các hành động của malware
Phân tích malware sử dụng phương pháp Code Analysis: Áp dụng phương pháp Reverse
Engineering để dịch ngược, đọc và phân tích mã nguồn của malware để tìm hiểu hoạt động
Phân tích malware sử dụng phương pháp Forensic: Dùng kĩ thuật Forensic để điều tra và tìm kiếm
malware ẩn giấu trong hệ thống, xác định phương pháp lẩn tránh/che dấu của chúng và định
lượng mức độ thiệt hại về dữ liệu có thể xảy ra, xác định trước các nguy cơ, rủi ro tiềm ẩn
Tạo report, Signature từ các kết quả phân tích được và apply vào các hệ thống thiết bị security của
tổ chức, tạo ra khả năng tự phòng vệ đối với các mấu malware tương tự trong tương lai
2