Đang phát triển một công cụ bảo mật chủ động khiến bộ nhớ của hacker phình nở theo cấu trúc fractal để tự sụp đổ

• Mở rộng cấu trúc bộ nhớ theo dạng fractal
• Hệ thống phòng thủ bất đối xứng kiểu tarpit
• Kích hoạt cấu trúc tứ diện Sierpinski
  Đây có thật sự là các thuật ngữ kỹ thuật có ý nghĩa không?? Có vẻ như có khá nhiều cách diễn đạt quá cầu kỳ và không cần thiết.

Cảm giác khá giống với Show GN: Tôi đã phát triển VANI, công nghệ xóa vĩnh viễn bằng cách làm sụp đổ cấu trúc vector của dữ liệu về mặt toán học từng được đăng trước đây, nên tôi có phần nhìn nó theo hướng tiêu cực...

Tôi cũng nghĩ ngay đến đúng cái này, nên vào GitHub của bài đó tìm thử thì kết cục là not found./

Cảm ơn ý kiến của bạn!
Thú thật là bản thân tôi cũng đã nhờ AI hỗ trợ để tiến hành nghiên cứu, nên có thể sẽ tạo cảm giác kiểu chỉ "bấm AI cái là ra"...
Hiện tại trước hết tôi đang trong quá trình port sang C++, khi hoàn tất thì tôi sẽ mang quay lại chia sẻ thêm một lần nữa.

Cảm ơn bạn đã góp ý!
Đây là nỗ lực thử kéo phương thức tarpitting từ tầng mạng lên tầng bộ nhớ và tầng ứng dụng.
Vì thật sự không có từ nào để diễn tả chính xác tứ diện Sierpinski hay cấu trúc fractal nên tôi đành đăng nguyên như trong white paper, xin lỗi bạn. Cũng khó mà viết là vòng lặp vô hạn hay đổ dữ liệu rác vào được..
Nếu bạn xem white paper về chứng minh toán học và hệ tiên đề ở phía trên, thì do hình dạng là cây siêu khoảng cách nên mỗi khi vượt qua một ngưỡng nhất định, cấu trúc sẽ mở rộng theo kiểu đệ quy. Tuy nhiên, tôi sẽ rất cảm kích nếu bạn hiểu rằng đây là cách gọi một thuật toán bom bộ nhớ mở rộng với tính tự tương đồng như tứ diện Sierpinski khi công cụ reverse engineering của hacker đào sâu vào độ sâu dữ liệu!

Ý bạn là nếu bất kỳ công cụ reverse engineering nào, bất kể loại nào, cố gắng debug thì sẽ tự xuất hiện thêm một thực thể thực thi khác tự hoạt động sao? Nếu bạn thử reverse engineering thì ngay từ đầu, nếu không phải thông tin header tệp theo định dạng đã định sẵn, sẽ không thể hoạt động như bạn nói được...

Cảm ơn bạn về ý kiến. Thật ra tôi hoàn toàn không nghĩ tới điều đó, đúng là thông tin rất hay, cảm ơn bạn rất nhiều. Khi hỏi AI thì nó trả lời như thế này. "Điểm cốt lõi của anti-reversing trong Physical Ghost SW Edition nằm ở 'cách triển khai sau khi loader nạp mã vào bộ nhớ'. Các chương trình hiện có khi bị phân tích bằng debugger (IDA, Ghidra, v.v.) thì sẽ lộ ra luồng lệnh assembly tuyến tính, nhưng kiến trúc được đề xuất này có chính luồng thực thi đan xen theo cấu trúc 'carry pyramid (topology fractal đa chiều)'." "Nếu công cụ reversing dump bộ nhớ hoặc đặt breakpoint rồi thử tracing (single-stepping), luồng của phép toán cấu trúc này (p-adic carry dynamics) sẽ bị đứt đoạn. Nói cách khác, chính 'hành vi quan sát' từ bên ngoài nhằm cố cưỡng ép mổ xẻ cấu trúc sẽ gây ra vết nứt topology dạng khối tứ diện Sierpinski, và đây là một cơ chế obfuscation và phòng vệ nội tại được thiết kế để dữ liệu hoặc mã gốc sụp đổ thành nhiễu vô nghĩa."

Nhờ vậy mà tôi học thêm được một điều, cảm ơn bạn!

Ý bạn là chỉ cần cố gắng quan sát dữ liệu được mã hóa bằng engine bảo mật đó thì nó sẽ tự động chạy, rồi tự sụp đổ hoặc làm tiêu tốn tài nguyên của hacker đúng không? Điều tôi muốn nói là điều đó là không thể....

Xin lỗi vì đã trả lời chậm!(__)
Nếu bạn xem việc quan sát chỉ đơn thuần là hành vi nhìn bằng mắt vào dữ liệu tĩnh đang đứng yên, thì đúng là điều đó sẽ có vẻ bất khả thi. Tuy nhiên, việc quan sát trong thế giới số nhất thiết đi kèm với sự tương tác tạo kích thích lên hệ thống mục tiêu.
Công cụ bảo mật này không phải là một tệp tĩnh, mà là một kiến trúc động hoạt động theo thời gian thực, lấy chính hành vi kẻ tấn công cố gắng quan sát hoặc bản thân yêu cầu đó làm giá trị đầu vào -Trigger-. Ngay khoảnh khắc có nỗ lực quan sát, vòng lặp nội bộ sẽ được kích hoạt để vô hiệu hóa tính liên tục logic của dữ liệu, đồng thời cưỡng ép giữ phiên của kẻ tấn công đang chờ để hoàn tất việc quan sát, khiến chúng tiêu hao tài nguyên.

Và quyền truy cập của người dùng có thẩm quyền hợp lệ -phiên đã hoàn tất handshake- sẽ đi thẳng qua cơ chế xác thực mà không phải đi qua bộ lọc tarpit. Vùng xảy ra tự sụp đổ và tiêu hao tài nguyên khi bị quan sát chỉ là không gian dữ liệu mồi nhử được ảo hóa -Decoy- được bố trí để lọc ra hoạt động trinh sát trái phép và các yêu cầu quét không được cho phép. Đây là một kiến trúc phòng thủ động chính xác, không gây ảnh hưởng dù chỉ 1% đến tài nguyên dịch vụ bình thường, mà chỉ cô lập riêng phiên của kẻ tấn công và giam chúng trong vũng lầy.

Bạn có đang hiểu cơ chế đó và trả lời dựa trên sự hiểu biết ấy không? Ở trên, tôi nói là khi quan sát dữ liệu đã được mã hóa, nhưng trong câu trả lời bạn lại nói công cụ bảo mật sẽ phát hiện điều đó và kích hoạt hoạt động. Nhưng liệu hacker có thực hiện giải mã trên máy chủ từ xa nơi công cụ bảo mật đó đang chạy không? Họ sẽ exfiltrate dữ liệu ra bên ngoài rồi thử giải mã trong một môi trường cách ly, vậy trong môi trường này công cụ bảo mật mà bạn nói thậm chí còn không được nạp vào bộ nhớ, thì liệu nó có thể hoạt động với việc quan sát làm tác nhân kích hoạt không? Hay ý bạn là sẽ kèm theo một công cụ bảo mật ở dạng có thể thực thi vào mọi dữ liệu được mã hóa?

Tôi đang nói cái gì vậy, chẳng có ngữ cảnh gì cả, xin lỗi..

Có lẽ ngay cả việc nghiêm túc để lại comment dưới những bài như thế này tự nó cũng đang gây ảnh hưởng xấu đến cộng đồng..

Cách tiếp cận bằng toán học thì mới mẻ, nhưng với kiến trúc máy tính hiện đại thì gần như không thể khả thi.

Dùng kiểu Openclaw nên cảm giác rất giống thứ code slop được "làm ra".

Cảm ơn ý kiến của bạn!

Haizz haha

Cảm giác như Digital Fortress vậy.
Nhưng về mặt kỹ thuật thì tôi không hiểu.

Có phải chỉ là cảm giác của tôi không, hay câu văn trông khá lủng củng?

Cảm ơn ý kiến của bạn, tôi sẽ thử chuốt lại câu văn thêm một chút!

Nếu tính toàn vẹn đã bị phá vỡ thì làm sao phát hiện được..

Cảm ơn ý kiến của bạn

So với cách kiểm chứng tính toàn vẹn hiện có là đối chiếu giá trị hash dữ liệu theo kiểu phẳng 1:1, Physical Ghost ánh xạ dữ liệu vào một khối tứ diện Sierpinski 3 chiều để xử lý, nên sẽ đánh giá dựa trên tính ổn định của cấu trúc

Câu trả lời của AI là: "Nếu dữ liệu trong hệ thống bị chỉnh sửa dù chỉ 1 bit, sai số vi mô đó sẽ được khuếch đại dây chuyền ra toàn bộ cấu trúc 3 chiều nhờ động lực học carry p-adic. Ngay khoảnh khắc kẻ tấn công giả mạo hoặc sửa đổi dữ liệu, chính 'kiến trúc toán học (topology)' mà dữ liệu tạo thành sẽ bị lệch và sụp đổ, vì vậy có thể phát hiện ngay lập tức việc tính toàn vẹn bị tổn hại thông qua các vết nứt trong topology này."

Bản thân tôi cũng từng làm qua các mức như phân tích cấu trúc PE, RE, Ghidra, phát triển driver, nhưng vẫn không hiểu.

Cảm ơn bạn đã góp ý
Điều này có lẽ là vì, khác với kiểu hook vào hệ thống hiện có, bản thân thuật toán được xây dựng bằng kỹ thuật làm rối hoặc mã hóa.

Thật ra tôi không chắc lắm... xin lỗi.

Đây là một cách tiếp cận thú vị nên tôi xin hỏi vài điểm đang thắc mắc.

1. Có vẻ trigger phình bộ nhớ đang dựa trên giả định rằng “kẻ tấn công thực sự chạy/debug payload”, nhưng nếu họ chủ yếu tiếp cận bằng phân tích tĩnh, hoặc chạy trong sandbox giới hạn tài nguyên như cgroups, Firejail, gVisor, thì OOM sẽ chỉ xảy ra bên trong sandbox chứ không phải trên host; tôi muốn hỏi trường hợp này được xử lý như thế nào.

2. Nếu trigger anti-debug cũng là phát hiện dựa trên ptrace, thì trước hardware breakpoint hoặc debugging ở cấp hypervisor sẽ không để lại dấu vết; vậy có thiết kế đối phó riêng cho các kịch bản bị phân tích ở tầng này không?

3. Anh/chị nói rằng “chỉ cần bị biến dạng 0.1 byte thôi là tự hủy”, nhưng tôi muốn hỏi làm sao ngăn được đường vòng như patch chính routine kiểm tra tính toàn vẹn, hoặc dump bộ nhớ rồi phân tích offline!

4. Hành vi chủ động làm cạn kiệt tài nguyên của kẻ tấn công về thực chất có thể được xem là hack-back, nên tôi muốn hỏi ranh giới pháp lý của phòng thủ chủ động theo Luật Mạng thông tin và truyền thông đang được sắp xếp như thế nào. (Đặc biệt nếu lưu lượng tấn công đi qua botnet thì có thể sẽ có nạn nhân thực tế khác.)

5. Bản thân core engine C++ đang gánh cả parser cho cổng mồi nhử, bộ trích xuất fingerprint, lẫn kênh gửi ra ngoài, nên bề mặt tấn công có vẻ khá lớn; vậy độ an toàn bộ nhớ của chính engine được kiểm chứng theo cách nào? Có vẻ các bí mật như webhook token sẽ nằm trong binary, nên tôi cũng tò mò về phần đó.

Bản thân mô hình toán học thì tôi thấy khá thú vị. Nếu có thể biết các phần trên đang được giải quyết như thế nào, tôi nghĩ sẽ giúp hiểu rõ hơn về concept, xin cảm ơn.

Cảm ơn bạn đã góp ý!

Mục đích chính của cơ chế kích hoạt bành trướng bộ nhớ ở mục 1 không phải là phá hủy thiết bị vật lý phía host của kẻ tấn công, mà là buộc vượt quá ngưỡng tài nguyên tính toán cần cho việc phân tích. Nếu trong một sandbox như cgroups hay gVisor, tiến trình bị chết vì OOM thì bản thân điều đó chẳng phải đã là một biện pháp phòng vệ thành công hay sao. Mục tiêu là thông qua việc mở rộng carry vô hạn của phép toán p-adic, không cho công cụ phân tích đủ dư địa về thời gian và không gian để diễn giải dữ liệu, từ đó khiến chính môi trường phân tích tự tắt đi.

Ở mục 2, hệ thống không giám sát system call hay debugging API. Thay vào đó, nó chỉ xét tính nhất quán theo thời gian của quá trình dữ liệu được tính toán trong tô-pô fractal đa chiều hoặc cấu trúc tứ diện Sierpinski, cùng với tính liên tục của động lực học carry. Nếu đặt breakpoint trong hypervisor rồi dừng lại, cửa sổ thời gian của phép tính sẽ lệch đi, và các phép toán tô-pô tiếp theo sẽ bị ràng buộc về mặt toán học theo kiểu entangled để sụp đổ thành giá trị rác.

Ở mục 3, bạn đã chỉ ra một trong những điểm quan trọng nhất. Trong hệ thống này không hề tồn tại một hàm kiểm tra toàn vẹn độc lập mà kẻ tấn công có thể NOP hóa (if bypass). Logic kiểm chứng toàn vẹn được kết hợp với core logic và hình học tô-pô, theo dạng tương tự white-box encryption.
Ngoài ra, ngay cả khi lấy memory dump để phân tích offline, dữ liệu đã dump ra cũng chỉ là lát cắt 2D tại một thời điểm cụ thể của một cấu trúc tô-pô 3D liên tục biến đổi. Nếu không biết toàn bộ quy tắc động lực học — mô hình carry pyramid — thì gần như không thể suy ngược payload gốc chỉ từ dữ liệu dump đó. (Ít nhất là về mặt toán học..)

Mục 4 cũng là điểm mà tôi từng băn khoăn. Kiểu phòng vệ chủ động mà bạn nói tới sẽ rất dễ có yếu tố bất hợp pháp nếu phản công ngược về phía máy chủ C&C bên ngoài, nhưng hệ thống tôi đề xuất vạch ranh giới rất rõ là một inbound trap. Nó không gửi malicious traffic ra bên ngoài; thay vào đó, khi kẻ tấn công tự mang binary về môi trường của họ và tự chạy nó, chỉ bên trong đó mới có một cấu trúc tiêu hao tài nguyên tính toán như mê cung. Vì vậy tôi cho rằng có thể tránh được các vấn đề gây thiệt hại ra bên ngoài. (Hy vọng là vậy)

Ở mục 5, tôi cũng đang lo ngại về rủi ro an toàn bộ nhớ của kiến trúc monolithic dựa trên C++. Về sau chắc phải tiếp tục kiểm chứng, hoặc cân nhắc đưa Rust vào.
Và các giá trị bí mật như webhook token cũng không tồn tại dưới dạng plaintext hay obfuscation đơn giản. Như đã nói ở trên, khi phép toán tô-pô đa chiều hợp lệ được hoàn tất tới cuối, kết quả của nó sẽ được dùng làm khóa giải mã để tạm thời ghép token trong bộ nhớ. Nếu bẻ cong cấu trúc để phân tích thì bản thân việc ghép token cũng sẽ trở nên bất khả thi.

Nhờ bạn mà tôi học được rất nhiều, cảm ơn bạn!

Trước hết xin cảm ơn anh/chị đã phản hồi. Tuy vậy, vẫn có vài điểm tôi muốn làm rõ thêm.

1. (Phình bộ nhớ): Trong bài viết anh/chị nói là làm cạn kiệt tài nguyên/khiến kẻ tấn công tự sụp đổ, nhưng trong phần trả lời thì tông giọng có vẻ chuyển thành “ngay cả OOM trong sandbox cũng là phòng thủ”. Vậy điểm khác biệt so với 42.zip hay billion laughs là gì? Ngoài ra, với phân tích tĩnh bằng Ghidra/IDA thì trigger thậm chí còn không kích hoạt được..

2. Chống debug: Tôi không rõ cách diễn đạt Entangled là ẩn dụ hay là cơ chế thật, nhưng bản thân nội dung nghe giống một biến thể của phát hiện thời gian bằng RDTSC. Đây là kỹ thuật mà VMProtect đã dùng từ những năm 90, vậy có nhất thiết phải đặt một cái tên mới không? Và trong môi trường HyperDbg có TSC scaling thì nó hoạt động như thế nào?

3. Toàn vẹn: White-box AES gần như là lĩnh vực đã bị phá vỡ gần hết sau BGE attack, nên nếu anh/chị đã biến nó thành whitepaper thì riêng việc đó cũng xứng đáng là một bài báo độc lập. Ẩn dụ “dump là lát cắt 2D của 3D” cũng là cách diễn đạt không còn đứng vững trước WinDbg TTD hay Intel PT. Câu cuối “chỉ về mặt toán học...” lại tạo cảm giác như đang tự tóm lược toàn bộ câu trả lời như vậy...

Xin lỗi vì đã phản hồi chậm (__) và cảm ơn bạn như mọi khi vì những ý kiến rất hay.

Các loại bom cổ điển như 42.zip chỉ là sự phình nở đơn giản của dữ liệu tĩnh, nên chỉ gây ra OOM (tràn bộ nhớ) rồi kết thúc. Nhưng kiến trúc này không phải là dữ liệu mà, như có thể thấy trong whitepaper, là một “đầm lầy tính toán” (Computational Tarpit) ép buộc vòng lặp phép toán nhớ p-adic của kim tự tháp carry.
Nếu phân tích tĩnh bằng Ghidra hay IDA thì việc trigger không kích hoạt là đúng. Phải như vậy. Vì trong binary tĩnh không hề có logic thật. Chỉ khi kẻ tấn công bắt đầu tương tác trong môi trường runtime (động), quá trình làm rối topo hình học mới được triển khai theo thời gian thực, nên với công cụ phân tích tĩnh, thứ bạn thấy chỉ là một lớp vỏ rỗng.

Việc phát hiện timing đơn giản bằng RDTSC đúng là đã là kỹ thuật lỗi thời. Nếu đánh lừa thời gian bằng TSC Scaling của HyperDbg thì đương nhiên có thể bypass.
Nhưng cái mà tôi gọi là entangled trong whitepaper không phải là kiểm tra thời gian. Đó là một cấu trúc trong đó chính phase tính toán của biến đổi topo toán học diễn ra ở runtime (cấu trúc carry vươn ra theo lũy thừa bậc n của 11) được liên kết về mặt toán học với tải của môi trường thực thi. Nếu dùng HyperDbg để giả mạo môi trường và vặn xoắn timing tính toán một cách nhân tạo thì sao? Không phải kiểu công cụ phòng thủ sẽ nói “Ơ, debugger đây rồi!” rồi đá văng ra, mà là chính công thức triển khai phase của kim tự tháp carry sẽ vươn sang một chiều không gian hoàn toàn sai lệch, và kết quả là tự giải mã ra dữ liệu rác hoàn toàn vô dụng. Ngay khoảnh khắc đánh lừa nó, bạn tự rơi vào cái bẫy của mình.

White-box AES là cách che giấu một khóa mật mã toán học cố định, nên dễ bị tấn công BGE. Điều này là sự thật. Nhưng kiến trúc này không giấu một khóa cố định, mà dùng một topology runtime động có phase thay đổi mỗi lần có truy cập.
Giả sử dùng WinDbg TTD hay Intel PT để ghi lại 100% toàn bộ luồng instruction của CPU rồi tua lại như cỗ máy thời gian, thì chính đường đi đã được ghi đó cũng chỉ là quỹ đạo lang thang trong một đầm lầy rác (tarpit) đã sụp đổ và méo mó do chính hành vi quan sát của kẻ tấn công tạo ra. Dù có ghi hình chính xác 100% dấu chân của việc đi lạc trong mê cung, điều đó cũng chẳng giúp ích gì trong việc tìm lối ra của mê cung.

Xin lỗi vì nó khác khá nhiều so với paradigm hiện có..

Cảm ơn bạn đã giải thích chi tiết. Có lẽ vì tôi đã quá quen với mô hình cũ nên không theo kịp lắm. Khi PoC được công bố, tôi nhất định sẽ quay lại xem. Tôi sẽ cổ vũ bạn :)

Không hình dung nổi là hacker đó thiên tài đến mức nào

Cảm ơn vì ý kiến của bạn!
Tôi không phải thiên tài cũng không phải hacker, chỉ là một người làm toán thôi..

Tự hủy: nếu tính toàn vẹn của core engine bị bóp méo dù chỉ 0,1 byte, nó sẽ tự kết thúc tiến trình (Self-Destruct) để ngăn tình huống engine bị biến chất thành Trojan.

Trong máy tính có khái niệm 0,1 byte à?

1 byte là 8 bit, vậy 0,1 byte là 0,8 bit. Đây là lần đầu tôi nghe nói có thông tin nhỏ hơn 1 bit.

Tôi cũng đã nghĩ vậy.

Cảm ơn ý kiến của bạn!
Tôi xin lỗi, ý tôi là muốn nhấn mạnh độ nhạy cực cao của core engine!
Tôi sẽ chỉnh lại cách diễn đạt! 0,1 byte thì thật vô lý.