Ghidra - Công cụ miễn phí mạnh mẽ cho Reverse Engineering và hỗ trợ phân tích các phần mềm độc hại

Viên Trần

1856

16-09-2020

Bảo mật không gian mạng luôn là vấn đề cấp thiết, khiến các chuyên gia an ninh mạng đau đầu không chỉ tại mỗi doanh nghiệp/tổ chức, mà ở cấp độ quốc gia lại càng khó khăn hơn gấp bội. Với tư cách là tổ chức chịu trách nhiệm bảo đảm an toàn cho các kênh truyền thông của chính phủ Mỹ (quốc gia bị tấn công mạng nhiều nhất thế giới), NSA (Cơ quan An ninh Quốc gia Hoa Kỳ) là tổ chức đi đầu trong công tác nghiên cứu cũng như phát triển các công cụ bảo mật quy mô lớn. NSA đóng vai trò đặc biệt quan trọng trong việc đảm bảo tình hình an toàn chung của quốc gia trên không gian mạng. Và Ghidra là công cụ được tạo ra để hỗ trợ vấn đề an ninh bảo mật như vậy.

Rob Joyce, cố vấn an ninh mạng của NSA, đã từng gọi Ghidra là một "đóng góp vĩ đại cho cộng đồng an ninh mạng Hoa Kỳ". Vậy Ghidra thực chất là gì? Nó hoạt động ra sao và có đóng góp như thế nào trong nhiệm vụ bảo mật an ninh mạng? Chúng ta sẽ cùng Bizfly Cloud chia sẻ những thông tin đầy đủ ngay sau bài viết dưới đây.

 Nền tảng kỹ thuật dịch ngược - Reverse engineering platform

Trước tiên, phải khẳng định Ghidra không phải là một công cụ được thiết kế để hỗ trợ bạn hack các thiết bị khác. Nó là một reverse engineering platform - RE (tạm dịch: Nền tảng kỹ thuật dịch ngược) - phương pháp chiết xuất các kiến thức hay kế hoạch thiết kế từ bất cứ thứ gì (chúng ta sẽ đi theo khía cạnh là các sản phẩm phần mềm) mà con người tạo ra. Trong trường hợp này, RE được sử dụng để biên dịch (compile), triển khai (implement) và dịch phục hồi (decompile). Nói cách khác, Ghidra cho phép các chuyên gia tiến hành chuyển đổi các dãy số 1 và 0 thành định dạng mà chúng ta có thể đọc, đồng thời giúp dễ dàng nắm được một số thông tin cốt lõi như phần mềm đó đang làm gì và có tác động như thế nào.

Deep Learning - công cụ bảo mật không gian mạng mới?

RE là một quy trình cực kỳ quan trọng đối với các nhà phân tích phần mềm độc hại cũng như các chuyên gia nghiên cứu tình báo đe dọa mạng, đóng vai trò như một cầu nối giúp họ có thể làm việc trực tiếp với phần mềm nghi vấn. Chẳng hạn như phần mềm độc hại được sử dụng để thực hiện các cuộc tấn công, sẽ hiểu rõ cách thức hoạt động của phần mềm đó, nó có chức năng cụ thể là gì, ai đã viết ra, hoặc nó đến từ đâu. Đồng thời, RE cũng là một phương pháp quan trọng cho phép các supporter kiểm tra code của họ để tìm ra lỗ hổng và đảm bảo phần mềm hoạt động theo đúng chức năng như dự định. Nói tóm lại, ứng dụng của RE trong lĩnh vực bảo mật và an ninh mạng bao gồm những khía cạnh chính như sau:

Phân tích mã độc: RE giúp các chuyên gia an ninh mạng xác định các lỗ hổng bảo mật, cũng như tìm kiếm, phân tích và đánh giá mức độ nguy hiểm, thiệt hại có thể gây ra nếu các chương trình mã độc hay các phần mềm độc hại khác nhau xâm nhập và  triển khai thành công vào hệ thống.

Xác định thuật toán mã hóa: Về cơ bản, rất khó để bạn có thể đọc nội dung thông tin về một chương trình bởi các thuật toán mã hóa mà chúng sử dụng, và bạn chỉ có thể "xử lý" được mã hóa khi nắm trong tay key giải mã (mức độ thành công tuyệt đối). Phương án thứ 2, bạn có thể thử tất cả các trường hợp có thể xảy ra khi nắm được thông tin mã hóa (cách làm này thường không mang lại tính khả thi cao bởi nó gần như chỉ áp dụng được với những thuật toán đơn giản). Phương án thứ 3, bạn có thể dò tìm và phân tích một vài lỗ hổng của thuật toán để trích xuất các thông tin cần thiết, đây chính là lúc RE phát huy vai trò của mình.

Kiểm tra và đánh giá chương trình phần mềm: Như đã nói phía trên, RE giúp các chuyên gia phân tích cũng như kiểm tra các chương trình phần mềm theo cơ chế "black box" (hộp đen).

Phát hiện và Phản hồi mối đe dọa điểm cuối, một công nghệ bảo mật mới nổi

 Ghidra công cụ nguồn mở

"Bằng việc sử dụng RE, những gì mà bạn phát hiện ra có thể là những kỳ quan về nghệ thuật và khoa học, và bạn sẽ thấy rằng mọi chuyện đều có phương án giải quyết". Ban đầu Ghidra là một công cụ RE được xây dựng để sử dụng nội bộ trong mạng lưới các kỹ sư tại NSA. "Chúng tôi không dám khẳng định Ghidra có thể thay thế cho toàn bộ các phương án nghiên cứu dữ liệu trước đây, tuy nhiên công cụ này thực sự đã giúp sức rất nhiều cho NSA trong việc giải quyết những nhiệm vụ phức tạp và cam go nhất", ông Rob Joyce chia sẻ.

Phải nói rằng các sản phẩm liên quan đến RE trong thực tế đã có mặt từ khá lâu trên thị trường, có thể kể đến như trình phân tách và gỡ lỗi IDA nổi tiếng. Tuy nhiên, tiến sĩ Joyce cho biết NSA cũng đã phát triển Ghidra trong nhiều năm, có tính đến các ưu tiên cũng như nhu cầu thực tế, từ đó biến nó thành một công cụ mạnh mẽ và đặc biệt hữu ích. Ngay cả các sản phẩm như IDA cũng không hề miễn phí, trong khi đó NSA lại quyết định biến Ghidra Open Source trở thành công cụ RE miễn phí đầu tiên. Như vậy có thể khẳng định đây là một đóng góp cực kỳ quan trọng cho sự hình thành của cộng đồng những người ủng hộ giải pháp an ninh mạng thế hệ mới. Tất nhiên cũng giống như nhiều phần mềm nguồn mở khác, các chuyên gia hy vọng cộng đồng cùng chung tay phát hiện lỗi cũng như đóng góp ý tưởng để công cụ này ngày càng trở nên hoàn thiện hơn.

Bên cạnh đó, Joyce cũng lưu ý rằng NSA coi việc giới thiệu Ghidra là một chiến lược tuyển dụng mở nhằm tạo điều kiện làm quen môi trường làm việc cho các nhân viên mới vào NSA, hoặc cho phép các nhà tuyển dụng được ủy quyền chia sẻ kinh nghiệm của bản thân mà không cần phải biết công cụ này.

Chuyên gia McAfee giải thích về việc deepfake và AI đang khoan thủng bức tường an ninh mạng như thế nào

NSA mới đây đã công bố bài phát biểu của cố vấn an ninh mạng Rob Joyce, và cho biết đã phát hành Ghidra vào đầu tháng 1 vừa qua. Tuy nhiên trên thực tế, kiến thức và thông tin về công cụ này đã có sẵn công khai thông qua bản phát hành "Vault 7" của WikiLeaks vào tháng 3 năm 2017, trong đó có phân tích một số công cụ hack được CIA sử dụng và liên tục gọi Ghidra là một công cụ kỹ thuật dịch ngược do NSA tạo ra. Ghidra chạy trên Windows, MacOS và Linux và bao gồm tất cả các thành phần bảo mật được cung cấp bởi các nhà nghiên cứu. Nhưng có lẽ chương trình này sẽ tập trung nhiều vào các công cụ điều chỉnh. Nó cũng được phát triển để tạo điều kiện cho sự hợp tác giữa những người khác nhau cùng tham gia vào một dự án RE.

Ngoài ra, Ghidra cũng sở hữu giao diện người dùng và các tính năng để tiến hành một cuộc điều tra bảo mật dễ dàng nhất có thể, giảm thiểu đáng kể sự phức tạp và giúp tiết kiệm thời gian hiệu quả. Trong đó, cơ chế hoàn tác/làm lại (undo/redo) chính là tính năng ưa thích nhất của Rob Joyce, cho phép người dùng kiểm tra các lý thuyết về chức năng của code được phân tích một cách linh hoạt hơn. Nếu ý tưởng không hoạt động như dự định, bạn có thể dễ dàng quay lại vài bước trước đó.

Trong những năm qua, NSA đã phát triển nhiều mã nguồn mở khác, chẳng hạn như Security-Enhanced Linux hay Security-Enhanced Android. Thế nhưng Ghidra dường như vẫn là công cụ có liên quan trực tiếp hơn cả đến tình hình an ninh mạng diễn biến khó lường như hiện nay. 

Hiện đã có bản phát hành miễn phí, Ghidra hoàn toàn có tiềm năng được ứng dụng rộng rãi và góp phần quan trọng vào sự vững chắc của các hệ thống phòng thủ không gian số. Nhiều ý kiến cho rằng Ghidra được tung ra dưới dạng nguồn mở miễn phí sẽ tạo điều kiện cho tin tặc có cơ hội tìm ra cách ứng phó để chống lại chính NSA. Tuy nhiên, Dave Aitel, một nhà nghiên cứu an ninh mang kỳ cựu đã từng làm việc cho NSA và hiện là giám đốc của dự án công nghệ bảo mật cơ sở hạ tầng Cyxtera cho rằng, đây không phải là trường hợp đáng lo ngại. Việc phát hành Ghidra nguồn mở sẽ không gây bất lợi nào cho NSA.

Siêu máy tính hoàn toàn có thể phát hiện ra các mối đe dọa trên không gian mạng

Trong bài phát biểu về sự kiện phát hành công cụ Ghidra nguồn mở, Rob Joyce nhấn mạnh rằng bất kể điều gì xảy ra tiếp theo đối với công cụ RE mạnh mẽ này của NSA đi chăng nữa, nó vẫn là một đóng góp nghiêm túc cho cộng đồng những người bảo vệ an ninh mạng, và các nhà lý luận thuyết âm mưu có thể yên tâm về vấn đề này. "Sẽ không có bất cứ backdoor nào đối với Ghidra", ông khẳng định.

Tham khảo Github.com

>> Có thể bạn quan tâm: Hacker đã sử dụng telegram như thế nào trong quá trình đánh cắp thông tin thẻ tín dụng