Phân tích tự động mã độc trong các thiết bị nhúng trên nền Linux

Abstract

• Thứ nhất, xây dựng cơ sở dữ liệu về phần sụn của các thiết bị IoT và mã độc trên IoT, gọi là tập dữ liệu Firmware IoT (F-IoT). Đây là cơ sở dữ liệu có số lượng lớn và khá đầy đủ về các phần sụn, mã độc và mã sạch trên thiết bị IoT. Để xây xây dựng cơ sở dữ liệu này, luận án phát triển công cụ F-Toolkit hỗ trợ việc thu thập, phân tích, bóc tách phần sụn. • Thứ hai, phát triển môi trường phân tích động F-Sandbox cùng hai quy trình phát hiện và phân lớp mã độc nhúng. Đây là loại sandbox mới, chuyên dụng cho các thiết bị IoT dựa trên hệ điều hành Linux nhúng. F-Sandbox được phát triển dựa trên QEMU, kế thừa các kỹ thuật của Firmadyne cho phép mô phỏng NVRAM, mạng Internet và trích xuất các lời gọi hệ thống (System call - syscall) dựa trên nhân Linux 2.6 được sửa đổi (instrumented kernel). • Thứ ba, đề xuất thuật toán cải tiến để trích xuất đặc trưng dựa trên luồng điều khiển (Control flow-based feature). Bài toán trích xuất đặc trưng dựa trên luồng điều khiển được chuyển thành bài toán tính tổng số đường đi từ đỉnh gốc đến các lá trên đồ thị có hướng không có chu trình. Đồ thị trọng số tổng số đường đi này được xây dựng dựa trên ý tưởng phương pháp quy hoạt động với độ phức tạp đa thức, thay cho phương pháp duyệt theo chiều sâu (là bài toán NP-Hard) của Ding và cộng sự đề xuất. Cải tiến này vừa nâng cao hiệu quả cho các mẫu có kích thước lớn và độ phức tạp cao trên môi trường máy vi tính truyền thống và rất thích hợp cho mã độc trên thiết bị nhúng vốn đa phần sử dụng các kiến trúc vi xử lý RISC nên đồ thị luồng điều khiển thu được có số lượng đỉnh lớn hơn các kiến trúc vi xử lý có kiến trúc CISC như máy vi tính truyền thống. • Thứ tư, đề xuất phương pháp trích chọn đặc trưng để phát hiện mã độc đa kiến trúc vi xử lý CFGVex. Phương pháp trích chọn đặc trưng CFGVex được đề xuất trên cơ sở thuật toán quy hoạch động đã đề xuất của luận án, đã đạt hiệu quả cao với mã độc trên thiết bị nhúng trên một kiến trúc, kết hợp với ngôn ngữ trung gian Vex thay cho opcode để phát hiện mã độc đa kiến trúc vi xử lý. Phương pháp này cho phép học tri thức các mã độc trên kiến trúc cũ để phát hiện mã độc trên kiến trúc vi xử lý mới, đây là một trong những xu thế xuất hiện của mã độc trên thiết bị nhúng. Luận án đề xuất và lựa chọn cách lấy đặc trưng phù hợp để cho khả năng phát hiện mã độc tốt nhất. Thực nghiệm cho thấy, CFGVex có khả năng phát hiện mã độc đa nền tảng độ chính xác cao, mở ra hướng nghiên cứu để xác định mối liên hệ chuyển dịch giữa mã độc trên các kiến trúc khác nhau, giữa mã độc truyền thống trên máy vi tính sang mã độc trên thiết bị nhúng.