tấn công sử dụng mã độc.docx

Tấn công sử dụng mã độc an toàn mạng máy tính, mã độc

ĐỀ TÀI: Tìm hiểu hình thức tấn công sử dụng mã độc

và xây dựng demo tấn công

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 4

1.1 Khái niệm mã độc 4

1.2 Mục tiêu của mã độc 4

1.3 Phân loại mã độc 4

1.4 Lịch sử phát triển 5

CHƯƠNG 2: TẤN CÔNG SỬ DỤNG MÃ ĐỘC 8

2.1 Các bước tấn công/thâm nhập mạng bằng mã độc: 8

2.2 Các hình thức tấn công bằng mã độc 8

2.2.1 Mã độc lệ thuộc ứng dụng chủ: 8

2.2.2 Thực thi độc lập: 10

CHƯƠNG 3: HOẠT ĐỘNG CỦA MÃ ĐỘC 13

3.1 Các trạng thái của mã độc 13

3.1.1 Thực thể thụ động 13

3.1.2 Chương trình hoạt động 13

3.2 Các giai đoạn hoạt động của malware 13

3.2.1 Giai đoạn thâm nhập: 13

3.2.2 Giai đoạn hoạt động: 15

3.2.3 Giai đoạn phát tán: 15

CHƯƠNG 4: PHÁT HIỆN MÃ ĐỘC VÀ LOẠI TRỪ MÃ ĐỘC 16

4.1 Nguyên tắc chung: 16

4.2 Các vị trí phát hiện mã độc 16

4.2.1 Trong vùng nhớ: process list, registry, auto startup 16

4.2.2 Trên đĩa: root, fragile folders, personal storage media 16

4.3 Loại trừ mã độc 17

tổ chức tài chính gây nên những thiệt hại nghiêm trọng và nguy

độc và ngày càng được cải tiến

Những loại mã độc phổ biến như: Virus, Trojan House, worm,Attach

script, Java applet- Active X, Malicious mobible code… mà nguy cơ

độc ngày càngtrở nên khó khăn và phức tạp.

Hiện nay có nhiều công cụ chuyên nghiệp để phân tích và

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 Khái niệm mã độc

Để tấn công/thâm nhập mạng, hacker thường sử dụng các

‘trợ thủ’ như virus, worm, Trojan horse, backdoor…

Tất cả các phần mềm trên gọi là mã độc (Malware - MaliciousSoftware): bất kỳ loại phần mềm nào có thể làm hại máy tính củabạn

- Phân loại mã độc theo đặc trưng thi hành:

+ Lệ thuộc ứng dụng chủ (need to host)

+ Thực thi độc lập (stand alone)

- Phân loại mã độc theo đặc trưng hành vi:

+ Ngăn cấm, thay đổi dữ liệu

+ Khai thác dịch vụ hệ thống

Attack

Applets

1999

1996-Mobilecode

Lợi dụng lỗi trong Java để tấncông thông qua các appletsjava đặt trên web

Melissa 1999

Mobilecodevirus

Virus lây lan nhanh thứ hai mọithời đại, sử dụng email để pháttán Lây nhiễm cho hơn mộttriệu máy tính chỉ trong vài giờ

Trinoo 2000

AttackscriptDDoS

Chương trình tấn công từ chối dịch vụ

( DDoS ) đầu tiên gây tác hại lớn đến hệ thống mạng yahoo năm 2000

Love Bug 2000 Virus

Virus được cho là lây lan nhanhnhất từ trước đến nay, đánh lừangười sử dụng thực thi file VBscript phát tán thông qua emailoutlook của Microsoft

Tấn công windows thông quakhai thác lỗ hổng trong giaothức RPC Loại sâu này kết hợpnhiều kỹ thuật malware tiêntiến với nhau khiến cho việcphân tích chúng khó khăn.Conflicker đã lây nhiễm chohàng triệu máy tính trên hơn

200 quốc gia trên thế giới vàvẫn tồn tại cho đến hiện nay

Stuxnet

2010-2011 Worm

Stuxnet lây lan qua windows, làloại mã độc đầu tiên được pháthiện có khả năng gián điệp vàphá hoại hệ thống máy tínhcông nghiệp Sâu Stuxnet đượcthiết kế vô cùng phức tạp vàcác cuộc tấn công tinh vi củachúng với những mục tiêu cụthể được cho là thực hiện bởi

sự hỗ trợ của cả một quốc giaFlame 2012 Malware Được đánh giá là loại mã độc

tinh vi và phức tạp nhất chođến nay, tấn công các máy tínhchạy windows Ước tính chi phícho việc nghiên cứu phát triểnFlame lên tới hàng chục triệuDollar Flame có thể lây

nhiễmthông qua mạng LAN hayUSB, có khả năng ghi âm, chụpảnh màn hình, lưu lượng mạng,

ăn cắp dữ liệu trong máy bịnhiễm và cả các thiết bị kết nốibluetooth với nó…

CHƯƠNG 2: TẤN CÔNG SỬ DỤNG MÃ ĐỘC 2.1 Các bước tấn công/thâm nhập mạng bằng mã độc:

- Hacker thiết kế mã độc

- Hacker gửi mã độc đến máy đích

- Mã độc đánh cắp dữ liệu máy đích, gửi về cho hacker

tử thần’ cài bí mật trong các phần mềm trôi nổi trên mạng

b) Bom hẹn giờ (logic bomb)

Bom hẹn giờ: đoạn mã tự kích hoạt khi thỏa điều kiện hẹntrước (ngày tháng, thời gian…) Trước khi thoát khỏi hệ thống,hacker thường cài lại bom hẹn giờ nhằm xóa mọi chứng cứ, dấuvết thâm nhập Kỹ thuật bom hẹn giờ cũng được virus máy tínhkhai thác phổ biến: virus Friday, Chernobyl (24/04), Michelangelo(06/03), Valentine

c) Virus máy tính (computer virus)

- Virus máy tính: đoạn mã thực thi ghép vào chương trình chủ

và giành quyền điều khiển khi chương trình chủ thực thi Virusđược thiết kế nhằm nhân bản, tránh né sự phát hiện, pháhỏng/thay đổi dữ liệu, hiển thị thông điệp hoặc làm cho hệ điềuhành hoạt động sai lệch Cấu trúc virus: pay-load, vir-code, vir-data

- Phân loại virus: F-virus, B-virus, D-virus

File virus (F-virus)

Loại virus ký sinh (parasitic) vào các tập tin thi hành (com, exe, pif, scr, dll ) trên hệ thống đích

Ứng dụng chủ (host application) có thể bị nhiễm virus vào đầu file,giữa file hoặc cuối file

Khi hệ thống thi hành một ứng dụng chủ nhiễm:

Pay-load nắm quyền sử dụng CPU

code thực thi các thủ tục phá hoại, sử dụng dữ liệu trong data

Vir-Trả quyền sử dụng CPU cho ứng dụng chủ

Boot virus (B-virus)

Boot-virus: loại virus nhiễm vào mẫu tin khởi động (boot record -

512 byte) của tổ

chức đĩa

Multi-partite: loại virus tổ hợp tính năng của Fvirus và B-virus,nhiễm cả file lẫn boot sector

Data virus (D-virus)

Đính vào các tập tin dữ liệu có sử dụng macro, data virus tự độngthực hiện khi tập dữ liệu nhiễm được mở bởi ứng dụng chủ

Các data virus quen thuộc:

- Microsoft Word Document: doc macro virus

- Microsoft Excel Worksheet: xls macro virus

- Microsoft Power Point: ppt macro virus Adobe Reader: pdf

script virus

- Visual Basic: vb script virus

- Java: java script virus

- Startup file: bat virus…

d) Trojan horse

Trojan horse: các ứng dụng có vẻ hiền lành nhưng bên trongchứa các thủ tục bí mật, chờ thời cơ xông ra phá hủy dữ liệuTrojan horse là công cụ điều khiển từ xa đắc lực, giúp hacker giámsát máy đích giống như hắn đang ngồi trước bàn phím

- Xóa hoặc thay thế các file quan trọng của hệ thống

- Tạo một kết nối giả để tấn công DOS

- Tải Spyware Adwares và các file độc hại

- Vô hiệu hóa tường lửa và phần mềm chống virus

- Chụp màn hình, ghi âm, quay màn hình của máy nạn nhân

- Lây nhiễm sang PC của nạn nhân như một máy chủ proxy cho các cuộc tấn công chuyển tiếp

- Sử dụng máy tính của nạn nhân để phát tán thư rác và bom thư

2.2.2 Thực thi độc lập:

a) Vi khuẩn máy tính (computer bacteria)

Tạo ra nhiều bản sao, thực thi đa tiến trình làm tiêu hao tài nguyên, suy giảm công năng hệ thống

Các vi khuẩn thường không gây nguy hại dữ liệu

b) Sâu mạng (worm) và rootkit

Sâu mạng: tập mã lệnh khai thác nối kết mạng, thường trútrong bộ nhớ máy đích, lây nhiễm và lan truyền từ hệ thống nàysang hệ thống khác Hành vi lây lan giống virus, worm có thể chứa

mã sâu con, sâu đôi, injector, dropper, intruder…Cách thức lan truyền: email, chat room, Internet, P2P

Một số sâu mạng tiêu biểu:

Nimda và Code Red (2001) tấn công Microsoft’s InternetInformation Server (IIS) Web Server: Quét mạng để tìm các máy

dễ tổn thương, Nimda tạo ra tài khoản guest với quyền quản trịtrên máy nhiễm Code Red hủy hoại các website, suy thoái hiệunăng hệ thống, gây mất ổn định do sinh ra nhiều thread và tiêutốn băng thông

để cài đặt các chương trình điều khiển từ xa mạnh mẽ

d) Backdoor và key logger

Backdoor (cửa hậu): loại mã độc được thiết kế cho phép truy xuất hệ thống từ xa

Key logger (thám báo bàn phím): ban đầu dùng giám sát trẻ con sử dụng mạng, về sau biến thái thành công cụ đánh cắp mật khẩu

Trojans, rootkit và các chương trình hợp thức (như key logger) đều

có thể được dùng để cài đặt backdoor

e) Spyware và adware

Spyware (phần mềm gián điệp): rất đa dạng, thường không gây nguy hại về mặt dữ liệu

- Tác hại của spyware:

+ Rò rỉ thông tin cá nhân

+ Tiêu thụ tài nguyên máy đích

+ Hệ thống mất ổn định

+ Spyware lây nhiễm qua download phần mềm

Adware: spyware quảng cáo

mong muốn.

VD: thay các đường link/shortcut của Windows trỏ đến

file exe chứa mã độc trong 1 folder bí mật

g) Germ, constructor và hacktool

- Germ (mầm độc): tập mã độc gốc dùng sản sinh các biến thể

mã độc thứ cấp, sử dụng kèm constructor và/hoặc hacktool

- Constructor (bộ kiến tạo): công cụ biên dịch mầm mã độc được tập kết bí mật ở máy đích, âm thầm xây dựng lực lượng tại chỗ, chờ thời cơ đồng loạt tấn công

- Hacktool (công cụ đục phá): phương tiện hỗ trợ constructor xây dựng lực lượng tại chỗ, đục phá hệ thống chuẩn bị tấn công

CHƯƠNG 3: HOẠT ĐỘNG CỦA MÃ ĐỘC 3.1 Các trạng thái của mã độc

3.1.1 Thực thể thụ động

Phần lớn các mã độc có định dạng exe (ne, pe)

Các mã độc dll không tự chạy, nó cần host của nó gọi (hoặcrundll32.exe của Windows gọi)

Dù exe hay dll, mã độc cần kích hoạt mới có thể hoạt động

Một số kỹ thuật bảo vệ tiến trình của mã độc:

- Ẩn tiến trình trong danh sách

- Vô hiệu các API KillProcess, TerminateProcess

- Tạo các tiến trình giả mạo (companion)

- Chạy nhiều tiến trình kiểm soát lẫn nhau…

3.2 Các giai đoạn hoạt động của mã độc

3.2.1 Giai đoạn thâm nhập:

a) Thâm nhập máy đích

- Nguồn phát tán mã độc:

+ Mạng Internet: hotlink, email attachment, spam,

embedded webpage…

+ Máy trung gian: work station, zombie…

+ Thiết bị lưu trữ cá nhân: usb flash drive, mobile hdd…

Lưu vào system cache (vd, giải nén file chứa mã độc)

Lưu vào folder đích (do user chỉ định trong lúc copy)

c) Chuẩn bị điều kiện kích hoạt

- Khai thác các lổ hổng bảo mật

- Thi hành mã tích cực: ActiveX, Java Script…

- Thi hành mã macro: VBA macro, Adobe macro…

- Khai thác tâm lý người dùng

- Thói quen thao tác: single click, favorite folders…

- Tò mò, hiếu kỳ: hot links, hot pictures…

- Khởi tạo kế hoạch kích hoạt

- Đăng ký ứng dụng: registry, auto startup…

- Đăng ký dịch vụ: service, device driver…

3.2.2 Giai đoạn hoạt động:

a) Kích hoạt

- Kích hoạt ngay: do hệ thống lỏng lẻo, user vô tâm

- Kích hoạt sau: lợi dụng cơ chế auto startup

b) Ẩn náu

- Tái định vị mã độc: root, system folder, recycle bin

- Bảo vệ tiến trình: ẩn danh sách, vô hiệu Task Manager, thực thi đa tiến trình

c) Thi hành nhiệm vụ

- Sục sạo máy đích, đánh cắp dữ liệu

- Gửi kết quả cho hacker, đón nhận chỉ thị

3.2.3 Giai đoạn phát tán:

a) Củng cố, bám trụ

- Vô hiệu cấu hình hệ thống: registry editings, folder settings,task controlings…

- Cải thiện tình thế: dời địa điểm ẩn náu sang các folder bímật, tạo đồng hành(companion) gây nhiễu, vượt cấp đăng nhập(limited user>admin)…

b) Phá hoại, lây lan

- Khống chế hệ thống, tắt dịch vụ, vô hiệu anti-virus, xoá dữ liệu

- Lây sang các hệ thống khác…

CHƯƠNG 4: PHÁT HIỆN MÃ ĐỘC VÀ LOẠI TRỪ MÃ ĐỘC

anti-4.2 Các vị trí phát hiện mã độc

4.2.1 Trong vùng nhớ: process list, registry, auto startup

a) Quản lý tiến trình:

Task Manager: TaskMgr (có sẵn trong Windows)

Công cụ khác: D32 Task List, Rootkit Unhooker… Quản lý autostartup System

Registry: Regedit (có sẵn trong Windows

Startup Programs: Start>All Programs>Startup

System Initialization: Windows\win.ini, system.ini

b) Quản lý dịch vụ:

System Config: MsConfig (có sẵn trong Windows)

System Services: Control Panel>Administrative Tools\Services

4.2.2 Trên đĩa: root, fragile folders, personal storage media

- Bước 1 - Kiểm tra các tùy chọn hiển thị:

Tools> Folder Options > View…

Show hidden files and folders

Show extensions for known file types

Show protected operating system files

- Bước 2 - Quan sát các khu vực nhạy cảm:

Root: kiểm tra các file exe, com, dll, inf, pif… ở root

System folders: đề phòng các file thực thi ẩn thuộc nhánhC:\Windows (system32, fonts, dllcache…)

Recycle bin: cảnh giác các phân khu có hơn 1 folder sọt rác(usb không có sọt rác)

- Bước 3 – Xác định mã độc:

Offline: kiểm tra bằng anti-virus trên máy

Online: kiểm tra trực tuyến trên mạng (Jotti, Virus Total…)

4.3 Loại trừ mã độc

- Bước 1 – Vô hiệu mã độc

Ngắt (disconnect) liên lạc mạng

Khởi động trong chế độ an toàn (safe mode)

Kết thúc (finish) tiến trình mã độc, hoặc dừng (stop) dịch vụ

mã độc

- Bước 2 – Loại bỏ mã độc

Xóa file mã độc trên đĩa (rename/delete/quarantine…)

Xóa mục kích hoạt (registry, auto startup, services…)

- Bước 3 – Tái lập hệ thống

Loại bỏ rác: empty recycle bin; deletecookies,histories,favorites, temp

CHƯƠNG 5: DEMO TẤN CÔNG SỬ DỤNG MÃ ĐỘC

5.1 Yêu cầu:

- Chương trình tạo mã độc In Shadow Batch Virus Generator

- Máy ảo cài hệ điều hành Windows

5.2 Tiến hành:

- Sử dụng phần mềm In Shadow Batch Virus Generator để thựchiện các công việc sau:

+ Tạo user với quyền Admin

+ Block các trang Web.Ví dụ: Google, Youtube

+ Tự động mở các trang Web

+ Disable FireWall

+ Lây nhiễm qua các file có định dạng nhất định Ví

dụ exe; rar; zip

Hình 1 File bat chứa mã độc thi hành tạo tài khoản

quyền admin.

Hình 2 File bat chứa mã độc thi hành lây nhiễm qua

các file rar

Hình 3 Tường lửa bị disable khi kích hoạt mã độc.

Hình 4 Các trang Web bị chặn khi mã độc được kích hoạt.

Hình 5 Tài khoản quyền Admin được tạo ra khi mã độc

được kích hoạt.