Tiểu luận môn bảo mật máy tính chương 6 malicious software

Hành vi PayloadKhi malware xâm nhập thành công vào hệ thống mục tiêu, nó có thể thực hiện các hành động sau: - Phá hoại hệ thống hoặc tệp dữ liệu: o Một số malware có thể mã hóa dữ liệu

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG THƯƠNG

THÀNH PHỐ HỒ CHÍ MINH

_o0o _

BÀI TIỂU LUẬN MÔN BẢO MẬT MÁY TÍNH

CHƯƠNG 6: MALICIOUS SOFTWARE

Nhóm thực hiện: Virus Học phần: Bảo Mật Máy Tính Giảng viên hướng dẫn: TS Phạm Tuấn Khiêm

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG THƯƠNG

LỜI CAM ĐOAN

Nhóm chúng em xin cam đoan rằng bài tiểu luận về chương 6, chủ đề "Malicious Software" là do chính các thành viên nghiên cứu và thực hiện

Các tài liệu được sử dụng trong tiểu luận được lấy từ nguồn có tính xác thực rõ ràng

Ký và ghi rõ

họ tên

LỜI CẢM ƠN

Chúng em xin phép gửi lời cảm ơn chân thành đến thầy

vì đã dẫn dắt chúng em, tạo điều kiện giúp chúng em

có thể hoàn thành nghiên cứu về đề tài "Malicious

Software".Xuyên suốt quá trình nghiên cứu và tìm tòi, chúng em đã được tìm hiểu và khám phá ra các nền tảng của những phần mềm độc hại cũng như nhiều khíacạnh khác nhau về mảng Công Nghệ Thông Tin nói

chung và ngành Bảo Mật Thông Tin nói riêng

Chúng em rất mong được nhận sự hỗ trợ và chỉ bảo của Thầy trong những tiết học và các dự án sau này

MỤC LỤC

CHƯƠNG 1: GIỚI THIỆU VỀ PHẦN MỀM ĐỘC HẠI (MALWARE) 10

1 T HUẬT NGỮ VỀ PHẦN MỀM ĐỘC HẠI (M ALWARE ) 10

2 P HÂN LOẠI TỔNG QUÁT VỀ M ALWARE 14

3 H ÀNH VI (P AYLOAD ) 16

4 S Ự PHÁT TRIỂN CỦA M ALWARE 17

5 B Ộ CÔNG CỤ TẤN CÔNG (A TTACK K ITS ) 18

5.1 Sự phát triển của Attack Kits 18

5.2 Tác động của Attack Kits 19

5.3 Ví dụ về Attack Kits 19

6 N GUỒN TẤN CÔNG (A TTACK S OURCES ) 20

6.1 Các nguồn tấn công chính 20

6.2 Hậu quả của sự thay đổi 21

7 K ẾT LUẬN 22

CHƯƠNG 2: MỐI ĐE DỌA TIÊN TIẾN DAI DẲNG (ADVANCED PERSISTENT THREAT) 22

1 K HÁI NIỆM 22

2 Đ ẶC ĐIỂM CỦA APT 23

3 M ỤC TIÊU VÀ KỸ THUẬT CỦA APT 24

4 K HÓ KHĂN TRONG PHÒNG CHỐNG APT 25

5 K ẾT LUẬN 27

CHƯƠNG 3: LAN TRUYỀN – NỘI DUNG NHIỄM ĐỘC – VIRUSES 27

1 B ẢN CHẤT CỦA V IRUS 27

1.2 Giai đoạn phát triển của virus 28

1.3 Các phương thức lan truyền thường được sử dụng phổ biến 30

2 C ẤU TRÚC CỦA M ACRO V IRUS 31

3 P HÂN LOẠI V IRUS 35

3.1 File Infector Viruses 35

3.2 Macro Viruses 35

3.3 Boot Sector Viruses 36

3.4 Polymorphic Viruses 36

3.5 Metamorphic Viruses 37

3.6 Virus dựa trên hình thức ẩn náu của chúng 37

CHƯƠNG 4: LAN TRUYỀN – KHAI THÁC LỖ HỔNG BẢO MẬT 39

1 G IỚI THIỆU VỀ SÂU MÁY TÍNH 39

1.1 Mô hình lây lan của sâu máy tính 41

1.2 Quá trình lây lan trải qua ba giai đoạn: 43

1.3 Lịch sử và các ví dụ nổi bật 43

2 C ÔNG NGHỆ SÂU MÁY TÍNH HIỆN ĐẠI 44

3 M Ã DI ĐỘNG (M OBILE C ODE ) 45

4 M Ã Đ ỘC T RÊN Đ IỆN T HOẠI D I Đ ỘNG VÀ C ÁC K Ỹ T HUẬT T ẤN C ÔNG K HÁC 47

4.1 Mã độc trên điện thoại di động 47

4.2 Lỗ hổng từ phía người dùng và Drive-by-Downloads 48

5 C LICKJACKING 49

CHƯƠNG 5: LAN TRUYỀN – KỸ THUẬT XÃ HỘI (SPAM EMAIL, TROJANS) 50

1 MAC DỰA TRÊN HÀM BĂM : HMAC 50

2 M ỤC TIÊU THIẾT KẾ CỦA HMAC 51

3 T HMAC 52

4 Q UY TRÌNH THUẬT TOÁN HMAC: 54

5 B ẢO MẬT CỦA HMAC 55

CHƯƠNG 6 TẢI TRỌNG – SỰ SỤP ĐỔ HỆ THỐNG 56

1 K HÁI NIỆM 56

2 P HÁ HỦY DỮ LIỆU VÀ PHẦN MỀM TỐNG TIỀN (D ATA D ESTRUCTION AND R ANSOMWARE ) 57

3 T HIỆT HẠI TRONG THẾ GIỚI THỰC ( R EAL -W ORLD D AMAGE ) 60

4 L OGIC B OMB 61

CHƯƠNG 7: TẢI TRỌNG – TÁC NHÂN TẤN CÔNG 63

1 H ÀNH VI , TÁC NHÂN TẤN CÔNG 63

2 M ỤC ĐÍCH SỬ DỤNG 64

3 C Ơ CHẾ ĐIỀU KHIỂN TỪ XA 66

4 B IỆN PHÁP NGĂN CHẶN 67

CHƯƠNG 8: TẢI TRỌNG – ĐÁNH CẮP THÔNG TIN 68

1 G IỚI THIỆU 68

2 K EYLOGGERS 69

2.1 Khái niệm 69

2.2 Phân loại 69

2.3 Biện pháp phòng chống 70

3 P HISHING 70

3.1 Khái niệm 70

3.2 Quy trình tấn công 70

3.3 Các loại Phishing phổ biến 71

3.4 Biện pháp phòng chống 72

4 S PYWARE 72

4.1 Khái niệm 72

4.2 Cơ chế hoạt động 72

4.3 Biện pháp phòng chống 73

5 S O SÁNH K EYLOGGERS , P HISHING , S PYWARE 73

6 K ẾT LUẬN 74

CHƯƠNG 9: TẢI TRỌNG - ẨN MÌNH/CHE GIẤU 75

1 K HÁI NIỆM B ACK D OOR 75

2 R OOTKITS 77

2.1 Định nghĩa và mục đích: 77

2.2 Cách thức hoạt động: 77

2.3 Phân loại Rootkit: 77

2.4 Rootkit chế độ Kernel: 78

2.5 Rootkit máy ảo và bên ngoài: 79

3 T HỰC TRẠNG 79

CHƯƠNG 10: BIỆN PHÁP PHÒNG CHỐNG 80

1 C HIẾN LƯỢC PHÒNG CHỐNG VÀ XỬ LÝ PHẦN MỀM ĐỘC HẠI : 80

2 Y ÊU CẦU ĐỐI VỚI BIỆN PHÁP PHÒNG CHỐNG PHẦN MỀM ĐỘC HẠI : 82

3 C ÁC PHƯƠNG PHÁP PHÁT HIỆN VÀ DIỆT VIRUS HIỆU QUẢ : 83

3.1 Bộ quét dựa trên máy chủ và diệt virus dựa trên chữ ký: 83

3.2 Các thế hệ phần mềm diệt Virus: 84

3.3 Cách thức hoạt động của các phương pháp phát hiện virus: 85

3.4 Bảo vệ toàn diện trước mã độc: 86

4 P HÂN TÍCH VÀ PHÁT HIỆN PHẦN MỀM ĐỘC HẠI TRÊN HỆ THỐNG MÁY CHỦ : 87

4.1 Phân tích hộp cát (Sandbox Analysis): 87

4.4 Biện pháp chống lại các Rootkit 91

5 C ÁC PHƯƠNG PHÁP QUÉT CẠNH BIÊN : 92

6 C ÁC PHƯƠNG PHÁP THU THẬP THÔNG TIN PHÂN TÁN 94

CHƯƠNG 11: THUẬT NGỮ, CÂU HỎI VÀ CÁC VẤN ĐỀ 95

CÁC THUẬT NGỮ: 95

CÂU HỎI: 100

CÁC VẤN ĐỀ CẦN THẢO LUẬN( BÀI TẬP) 102

CHƯƠNG 1: GIỚI THIỆU VỀ PHẦN MỀM ĐỘC HẠI

(MALWARE)

1 Thuật ngữ về phần mềm độc hại (Malware)

Bảng thuật ngữ và mô tả thuật ngữ

cụ thể trong thời gian dài, thường đượccho là do các tổ chức được nhà nước tàitrợ thực hiện

Adware

Quảng cáo được tích hợp vào phầnmềm Nó có thể tạo ra các quảng cáobật lên (pop-up) hoặc chuyển hướngtrình duyệt đến một trang thương mại

Attack kit

Tập hợp các công cụ tự động tạo raphần mềm độc hại mới, sử dụng nhiều

cơ chế lây lan và hành vi có sẵn

từ xa vào các máy tính mới

Backdoor

(trapdoor)

Bất kỳ cơ chế nào vượt qua kiểm trabảo mật thông thường, có thể cho phéptruy cập trái phép vào chức năng củachương trình hoặc hệ thống bị xâmphạm

Downloaders

Mã độc cài đặt các thành phần khác lênmáy bị tấn công Nó thường nằm trong

mã độc ban đầu được chèn vào hệthống để sau đó tải về gói phần mềmđộc hại lớn hơn

Drive-by-download

Cuộc tấn công sử dụng mã trên trangweb bị xâm phạm, khai thác lỗ hổngtrình duyệt để tấn công hệ thống máykhách khi trang web được xem

bị xâm phạm

Logic bomb

Mã được kẻ xâm nhập chèn vào phầnmềm độc hại Bom logic nằm im chođến khi một điều kiện xác định trướcđược đáp ứng, sau đó kích hoạt hành vinào đó

Macro virus

Loại virus sử dụng mã macro hoặcscripting, thường được nhúng trong tàiliệu hoặc mẫu tài liệu, và kích hoạt khitài liệu được mở hoặc chỉnh sửa, đểchạy và tự sao chép vào các tài liệutương tự khác

Mobile code

Phần mềm (như script hoặc macro) cóthể được gửi nguyên vẹn đến nhiều nềntảng khác nhau và thực thi với cùng ýnghĩa

Phần mềm thu thập thông tin từ máytính và gửi đến hệ thống khác bằngcách theo dõi phím gõ, dữ liệu mànhình, lưu lượng mạng, hoặc quét tệp đểtìm thông tin nhạy cảm

Trojan horse

Chương trình máy tính có vẻ hữu ích,nhưng ẩn chứa chức năng độc hại, quamặt các cơ chế bảo mật, đôi khi bằngcách lợi dụng quyền hợp pháp của hệthống gọi nó

Virus

Phần mềm độc hại khi chạy sẽ cố gắng

tự sao chép vào mã máy hoặc scriptkhác Khi thành công, mã bị lây nhiễm.Khi mã nhiễm chạy, virus cũng chạytheo

Chương trình máy tính có thể chạy độclập và tự sao chép phiên bản hoànchỉnh của nó sang các máy chủ kháctrong mạng, bằng cách khai thác lỗhổng phần mềm hoặc sử dụng thông tinđăng nhập bị đánh cắp

Zombie, bot

Chương trình được cài trên máy bịnhiễm, kích hoạt để tấn công các máykhác

2 Phân loại tổng quát về Malware

Malware có thể được phân loại dựa trên hai khía cạnh chính:

1 Cách thức lây lan: Cách mà malware phát tán để

tiếp cận mục tiêu

2 Hành vi (Payload): Những hành động mà

malware thực hiện sau khi xâm nhập vào hệ thống mục tiêu

Cơ chế lây lan:

● Virus:

○ Lây nhiễm vào các tệp thực thi hoặc nội dung được diễn giải (interpreted content) có sẵn, chẳng hạn như file exe, doc, hoặc script

○ Khi các tệp bị nhiễm được chia sẻ hoặc sao chép, virus sẽ lan sang các hệ thống khác

○ Ví dụ: Virus có thể lây nhiễm vào một file Word

và lan truyền qua email

● Sâu máy tính (Worms):

○ Tự lan truyền qua mạng bằng cách khai thác các lỗ hổng phần mềm, không cần sự can thiệpcủa người dùng

○ Worms thường tạo ra các bản sao của chính nó

để lây nhiễm sang các máy tính khác

○ Ví dụ: WannaCry là một loại worm đã lây lan toàn cầu bằng cách khai thác lỗ hổng

EternalBlue

● Tải xuống tự động (Drive-by-downloads):

○ Tự động tải xuống và cài đặt malware khi

người dùng truy cập vào một trang web độc hại mà không cần nhấp vào bất kỳ liên kết

nào

○ Thường khai thác các lỗ hổng trong trình duyệthoặc plugin như Flash hoặc Java

● Tấn công kỹ thuật xã hội (Social Engineering):

○ Thuyết phục người dùng bỏ qua các biện pháp bảo mật, chẳng hạn như mở tệp đính kèm

email độc hại hoặc cung cấp thông tin cá nhân

○ Ví dụ: Phishing email giả mạo ngân hàng để đánh cắp thông tin đăng nhập

3 Hành vi (Payload)

Khi malware xâm nhập thành công vào hệ thống mục tiêu, nó có thể thực hiện các hành động sau:

- Phá hoại hệ thống hoặc tệp dữ liệu:

o Một số malware có thể mã hóa dữ liệu và yêu cầu tiền chuộc (ransomware)

o Ví dụ: Ransomware như Locky hoặc

CryptoLocker mã hóa các tệp và yêu cầu thanhtoán bằng Bitcoin để khôi phục

- Đánh cắp dịch vụ:

o Biến hệ thống thành một phần của mạng

botnet để thực hiện các cuộc tấn công DDoS hoặc gửi spam

o Ví dụ: Mirai botnet đã tấn công các thiết bị IoT

để thực hiện các cuộc tấn công DDoS quy mô lớn

- Đánh cắp thông tin:

o Keylogging: Ghi lại mọi thao tác bàn phím của người dùng để đánh cắp thông tin đăng nhập, mật khẩu, hoặc chi tiết thẻ tín dụng.

o Spyware: Theo dõi hoạt động trực tuyến của người dùng và thu thập dữ liệu cá nhân

- Ẩn mình (Stealthing):

o Malware che giấu sự hiện diện của nó trên hệ thống để tránh bị phát hiện và chặn bởi phần mềm bảo mật

o Ví dụ: Rootkit ẩn sâu trong hệ thống và khó bị phát hiện bởi các công cụ quét thông thường

4 Sự phát triển của Malware

Ban đầu, malware thường chỉ sử dụng một phương thức lây lan và thực hiện một hành vi duy nhất Tuy nhiên,

với sự phát triển của công nghệ, malware lai

(blended malware) đã xuất hiện, kết hợp nhiều cơ

chế lây lan và hành vi để tăng khả năng lây nhiễm, ẩn mình và gây hại.

 Tấn công lai (Blended Attack): Sử dụng nhiều

phương pháp lây nhiễm để tăng tốc độ lây lan và mức độ nghiêm trọng

 Cơ chế cập nhật: Một số malware có khả năng tự

cập nhật, thay đổi cách lây lan và hành vi sau khi được triển khai, khiến chúng khó bị phát hiện và ngăn chặn hơn

5 Bộ công cụ tấn công (Attack Kits)

Ban đầu, việc phát triển và triển khai malware đòi hỏi

kỹ năng kỹ thuật cao từ các lập trình viên Tuy nhiên, sự

xuất hiện của các bộ công cụ tấn công (attack

kits) đã thay đổi hoàn toàn bức tranh này.

5.1 Sự phát triển của Attack Kits

- Công cụ tạo virus (1990s):

Đơn giản hóa quá trình tạo virus, cho phép ngay cả

những người không có nhiều kiến thức kỹ thuật cũng có thể tạo ra malware

- Bộ công cụ tấn công tổng quát (2000s):

Cung cấp nhiều cơ chế lây lan và mô-đun hành vi, cho phép kẻ tấn công dễ dàng tùy chỉnh và triển khai

malware

Được gọi là crimeware, các bộ công cụ này thường

được bán trên các diễn đàn ngầm (dark web) với giá cả phải chăng

5.2 Tác động của Attack Kits

- Mở rộng số lượng kẻ tấn công:

Nhờ các bộ công cụ, ngay cả những người mới cũng có thể tạo và triển khai malware

- Tăng số lượng biến thể malware:

Mặc dù malware được tạo từ các bộ công cụ thường kém tinh vi hơn so với malware được thiết kế từ đầu, số

lượng biến thể mới được tạo ra gây ra thách thức lớn cho việc phòng chống.

5.3 Ví dụ về Attack Kits

- Zeus:

Một bộ công cụ nổi tiếng, được sử dụng để tạo ra các loại malware ẩn mình hiệu quả, đặc biệt là trong việc đánh cắp thông tin ngân hàng

- Angler:

Xuất hiện năm 2013, Angler là bộ công cụ tấn công phổ biến nhất năm 2015 Nó thường lây lan qua quảng cáo độc hại (malvertising) và khai thác các lỗ hổng trong Flash

Angler được đánh giá cao về khả năng tấn công tinh vi

và các biện pháp chống phát hiện

6 Nguồn tấn công (Attack Sources)

Trong vài thập kỷ qua, nguồn gốc của malware đã thay đổi đáng kể, từ các cá nhân đơn lẻ sang các tổ chức có

tổ chức và nguy hiểm hơn

6.1 Các nguồn tấn công chính

- Kẻ tấn công có động cơ chính trị:

Thường nhắm mục tiêu vào các tổ chức chính phủ hoặc doanh nghiệp lớn để đánh cắp thông tin nhạy cảm hoặcgây rối loạn

Ví dụ: Nhóm APT28 (Fancy Bear) được cho là có liên

Cung cấp dịch vụ tấn công mạng cho các công ty hoặc quốc gia, thường được gọi là "hacker thuê".

- Cơ quan chính phủ quốc gia:

Phát triển và triển khai malware cho mục đích gián điệphoặc chiến tranh mạng

Ví dụ: Stuxnet, một loại malware được cho là do Mỹ

và Israel phát triển, nhằm vào các cơ sở hạt nhân củaIran

6.2 Hậu quả của sự thay đổi

- Gia tăng nguồn lực và động cơ:

Các tổ chức tấn công có tổ chức sở hữu nguồn lực lớn hơn và động cơ rõ ràng hơn, dẫn đến sự phát triển của các loại malware ngày càng tinh vi

- Hình thành nền kinh tế ngầm:

Một thị trường ngầm lớn đã xuất hiện, nơi các bộ công

cụ tấn công, quyền truy cập vào hệ thống bị xâm phạm,

và thông tin bị đánh cắp được mua bán công khai

7 Kết luận

Malware đã phát triển từ những mối đe dọa đơn giản thành những công cụ tấn công phức tạp và nguy hiểm Việc hiểu rõ cách thức lây lan và hành vi của malware làbước đầu tiên để xây dựng các biện pháp phòng chống hiệu quả Với sự gia tăng của các bộ công cụ tấn công

và sự tham gia của các tổ chức có tổ chức, việc bảo vệ

hệ thống khỏi malware đòi hỏi sự cảnh giác và cập nhậtliên tục

CHƯƠNG 2: MỐI ĐE DỌA TIÊN TIẾN DAI DẲNG

(ADVANCED PERSISTENT THREAT)

1 Khái niệm

Mối đe dọa tiên tiến dai dẳng (APT) đã trở thành một trong những mối đe dọa nghiêm trọng nhất trong thế giới an ninh mạng những năm gần đây APT là sự kết hợp của nhiều công nghệ xâm nhập tinh vi và phần

mềm độc hại, được thực hiện bởi các tổ chức có nguồn lực mạnh, thường là các nhóm được nhà nước tài trợ hoặc tội phạm có tổ chức Chúng nhắm vào các mục

tiêu chiến lược, chẳng hạn như các tổ chức kinh doanh lớn, cơ quan chính phủ, hoặc cơ sở hạ tầng quan trọng, với mục đích đánh cắp thông tin nhạy cảm, gây gián đoạn hoạt động, hoặc thậm chí phá hoại cơ sở hạ tầng.

2 Đặc điểm của APT

APT được đặc trưng bởi ba yếu tố chính:

- Tiên tiến (Advanced):

Kẻ tấn công sử dụng nhiều loại công nghệ xâm nhập và phần mềm độc hại, bao gồm cả việc phát triển phần mềm độc hại tùy chỉnh để phù hợp với mục tiêu cụ thể

Ví dụ: Stuxnet, một APT tiên tiến, được thiết kế đặc

biệt để tấn công các hệ thống điều khiển công nghiệp, đặc biệt là các cơ sở hạt nhân của Iran

- Dai dẳng (Persistent):

Các cuộc tấn công được thực hiện kiên trì và bền bỉ

trong thời gian dài, nhắm vào mục tiêu cụ thể để đảm bảo thành công

Ví dụ: APT28 (còn được gọi là Fancy Bear), một nhóm

tấn công liên quan đến Nga, đã thực hiện các cuộc tấn công dai dẳng nhắm vào các tổ chức chính phủ, quân sự

và các đảng phái chính trị trên toàn cầu

- Mối đe dọa (Threat):

APT là mối đe dọa lớn do sự tham gia trực tiếp của con người và nguồn lực tài chính dồi dào Sự kết hợp giữa công nghệ tiên tiến và sự kiên trì của con người làm tăng đáng kể khả năng thành công của các cuộc tấn công

Ví dụ: Các cuộc tấn công APT thường sử dụng lỗ hổng zero-day (lỗ hổng chưa được biết đến), khiến chúng

o Gây gián đoạn hoạt động hoặc phá hoại cơ sở

hạ tầng quan trọng

o Ví dụ: Cuộc tấn công WannaCry năm 2017 đã

mã hóa dữ liệu của hàng trăm ngàn máy tính trên toàn cầu, gây thiệt hại lớn về kinh tế

- Kỹ thuật:

o Kỹ thuật xã hội (Social Engineering): Lừa người dùng bằng cách khai thác tâm lý, chẳng hạn như giả mạo một email từ lãnh đạo công

ty để yêu cầu chuyển tiền

o Email lừa đảo có mục tiêu

(Spear-phishing): Gửi email độc hại nhắm vào cá nhân cụ thể trong tổ chức, thường chứa tệp đính kèm hoặc liên kết độc hại

o Tải xuống tự động (Drive-by-downloads): Lây nhiễm phần mềm độc hại thông qua các trang web bị xâm phạm mà nhân viên trong tổ chức có khả năng truy cập

4 Khó khăn trong phòng chống APT

APT rất khó phòng chống do tính chất nhắm mục tiêu cụthể và sử dụng các lỗ hổng zero-day Để đối phó hiệu quả, cần kết hợp các biện pháp kỹ thuật và đào tạo

nhận thức:

- Đào tạo nhận thức:

Nhân viên cần được đào tạo để nhận biết các cuộc tấn công spear-phishing và social engineering

Ví dụ: Tổ chức các buổi tập huấn về cách nhận diện

email lừa đảo và các thủ đoạn tấn công phổ biến

Ví dụ: Triển khai hệ thống phát hiện xâm nhập (IDS) và

hệ thống ngăn chặn xâm nhập (IPS)

- Cập nhật phần mềm:

Thường xuyên vá lỗ hổng và cập nhật phần mềm để ngăn chặn việc khai thác các lỗ hổng zero-day

Ví dụ: Áp dụng các bản vá bảo mật ngay khi chúng

được phát hành

- Phân tích và ứng phó sự cố:

Xây dựng kế hoạch ứng phó sự cố để nhanh chóng phát hiện, ngăn chặn và khắc phục các cuộc tấn công APT

Ví dụ: Thiết lập các quy trình ứng phó với sự cố an ninh

mạng (Incident Response Plan)

5 Kết luận

Mối đe dọa tiên tiến dai dẳng (APT) là một thách thức lớn đối với an ninh mạng hiện đại Với sự kết hợp giữa công nghệ tiên tiến, sự kiên trì và nguồn lực dồi dào, APT có khả năng gây ra những thiệt hại nghiêm trọng cho các tổ chức và quốc gia Để đối phó hiệu quả, cần

áp dụng một cách tiếp cận đa tầng, kết hợp giữa các

phó sự cố Chỉ khi đó, chúng ta mới có thể giảm thiểu rủi ro và bảo vệ hệ thống khỏi các cuộc tấn công APT ngày càng tinh vi và nguy hiểm.

CHƯƠNG 3: LAN TRUYỀN – NỘI DUNG NHIỄM ĐỘC

MSDOS (Microsoft Disk Operating System) và gây ra một số lượng lớn các trường hợp lây nhiễm trong

khoảng thời gian này Virus máy tính có thể mang trongmình mã hướng dẫn công thức để tạo ra các bản sao hoàn chỉnh của chính nó Và con virus đơn thuần đầu tiên được gắn vào trong chương trình hoặc nguồn

chuyên chứa các nội dung có thể thực thi được trên máytính, Và mỗi khi chiếc máy tính bị nhiễm virus được liên kết với đoạn mã không bị nhiễm độc, thì một bản sao hoàn toàn mới của virus sẽ được chuyển vào vị trí của các đoạn mã đó và sự lây lan sẽ tiếp tục được lập lại

1.2 Giai đoạn phát triển của virus

Một con virus đơn thuần sẽ có 4 giai đoạn phát triển:

- Giai đoạn ngủ đông (Dormant Phase): Con

virus đang ở trạng thái không di chuyển Và con virus sẽ được kích hoạt khi xảy ra các sự kiện,

chẳng hạn như thời gian hay sự xuất hiện của một

số phần mềm, tệp nội dung mới được thêm Không phải hầu hết virus sẽ trải qua giai đoạn này.

- Giai đoạn lan truyền (Propagation):Virus đặt

một bản sao của chính nó vào các chương trình khác hoặc vào một số khu vực hệ thống trên đĩa Bản sao có thể không giống hệt với phiên bản lan truyền; vi-rút thường biến đổi để tránh bị phát hiện.Mỗi chương trình bị nhiễm giờ đây sẽ chứa một bảnsao của vi-rút, bản sao này sẽ tự chuyển sang giai đoạn lan truyền Quá trình này có thể diễn ra thôngqua các phương tiện như:

o Mạng máy tính (LAN, Internet): Virus có

thể lan truyền qua mạng nội bộ hoặc qua

mạng Internet

o USB, ổ cứng ngoài: Các thiết bị lưu trữ ngoài

có thể mang virus khi được kết nối vào máy tính

o Email và liên kết độc hại: Virus có thể lây

lan qua email, tệp đính kèm hoặc các liên kết đáng ngờ

- Giai đoạn kích hoạt (Triggering Phase): Vi-rút

được kích hoạt để thực hiện chức năng mà nó được thiết kế để thực hiện Cũng giống như giai đoạn ngủ đông, giai đoạn này được kích hoạt có thể do nhiều sự kiện từ hệ thống gây ra, bao gồm số lần bản sao của virus này tạo ra các bản sao của chính nó

- Giai đoạn thực thi (Execution Phase): Chức

năng được thực hiện Chức năng này có thể vô hại, chẳng hạn như thông báo trên màn hình hoặc gây hại, chẳng hạn như phá hủy các chương trình và tệp dữ liệu

1.3 Các phương thức lan truyền thường được

sử dụng phổ biến

- Self-replication: Virus tự sao chép và phát tán.

- Exploiting vulnerabilities: Lợi dụng các lỗ hổng bảo

mật của phần mềm hoặc hệ điều hành

- Social engineering: Sử dụng kỹ thuật lừa đảo để

người dùng vô tình tải về hoặc kích hoạt virus

Bên cạnh đó còn có một số loại virus thường được thấy trong các Phần mềm độc hại như:

- File Infector Viruses: Lây nhiễm vào các tệp tin

thực thi (exe, dll) và kích hoạt khi người dùng mở tệp

- Macro Viruses: Lây nhiễm vào các tài liệu có macro

(ví dụ: Word, Excel) và phát tán khi người dùng mở tệp

- Boot Sector Viruses: Lây nhiễm vào phần khởi động

của ổ đĩa (boot sector) và có thể ngăn máy tính khởi động hoặc tấn công khi máy tính khởi động

- Polymorphic Viruses: Thay đổi mã nguồn của chúng

mỗi khi lây nhiễm để tránh bị phát hiện

- Metamorphic Viruses: Làm thay đổi toàn bộ mã

nguồn của chúng sau mỗi lần lây nhiễm

2 Cấu trúc của Macro Virus

Macro Virus: Là virus được lập trình vào một macro

trong tệp tin tài liệu (ví dụ: doc, xls) và lây lan khi

người dùng mở hoặc tương tác với tài liệu đó Macro virus không lây lan qua các tệp hệ thống hoặc phần mềm, mà chủ yếu lây qua các tài liệu văn phòng bị

nhiễm

Cấu trúc của một Macro Virus thông thường sẽ có các thành phần cơ bản như sau:

- Đoạn mã virus (Malicious Code): Đoạn mã này

chứa các chỉ dẫn lệnh mà virus thực hiện khi tài liệu bị mở hoặc macro được kích hoạt Virus có thể bao gồm các hành động như:

dữ liệu, ghi đè tệp tin, hoặc gửi thông tin về máy chủ của kẻ tấn công

o Lây lan qua các email hoặc chia sẻ tài liệu qua mạng LAN.

- Điều kiện kích hoạt (Trigger Condition): để

kích hoạt thì các Macro Virus cần có một số điều kiện như sau:

o Kích hoạt khi mở tệp tin: Một số macro

virus sẽ lây nhiễm khi người dùng mở tệp tin bịnhiễm

o Kích hoạt khi thực hiện một thao tác nhất định: Virus có thể được lập trình để kích hoạt

khi người dùng thực hiện một hành động cụ thể, chẳng hạn như mở tệp đính kèm email, nhấp vào liên kết, hoặc thay đổi dữ liệu trong bảng tính

o Lịch trình thời gian: Một số virus có thể được

lập trình để kích hoạt vào một thời điểm nhất định, như một ngày trong tháng hoặc sau một

số lần mở tài liệu

- Hành động độc hại (Payload): Sau khi được kích

hoạt, macro virus có thể thực hiện các hành động độc hại, bao gồm:

o Gửi thông tin: Virus có thể gửi thông tin nhạy

cảm, dữ liệu người dùng, hoặc thông tin hệ thống tới máy chủ của kẻ tấn công

o Lây nhiễm các tài liệu khác: Virus có thể

sao chép vào các tệp tin tài liệu khác trong hệ thống hoặc qua email, từ đó lây lan cho người dùng khác

o Thay đổi hoặc xóa dữ liệu: Macro virus có

thể thay đổi dữ liệu trong tài liệu hoặc xóa

toàn bộ nội dung của tệp tin

- Chức năng tự bảo vệ:

o Ẩn mình: Một số macro virus có thể thiết lập

các cơ chế tự bảo vệ để tránh bị phát hiện

hoặc bị xóa Chúng có thể thay đổi tên tệp

hoặc mã nguồn của mình

o Tạo tệp tin khôi phục: Virus có thể tạo ra

các tệp tin khôi phục hoặc sao lưu trong hệ thống để tự phục hồi sau khi bị diệt trừ

Một số ví dụ điển hình về Macro Virus có thể nói đến là

Melissa Virus (1999).

Cụ thể là vào cuối tháng 3-1999, David Lee Smith, một lập trình viên đã đánh cắp một tài khoản AOL(America Online) và đăng tải một file vào 1 nhóm tin mạng

Internet có tên "alt.sex" với lời hứa sẽ cung cấp hàng nghìn mật khẩu miễn phí trên các trang web người lớn

có tính phí Và khi người dùng mắc phải bẫy này và tải tập tin về và mở nó trên phần mềm Microsoft Word, convirus sẽ được giải phóng vào chiếc máy tính của họ convirus này lây lan nhanh đến nỗi có thể ví như một ngọn lửa hoang dã xuyên tạc không gian mạng Mục đích khi con virus này được lây lan nhằm cướp đi tài khoản

Microsoft Outlook và gửi tin nhắn đến 50 địa chỉ đầu tiên trong danh sách email của họ Những tin nhắn đó bao gồm các tệp Virus được đặt tên mang tính hấp dẫn

người nhận như "sexxxy.jpg" hay bị tin nhắn trả lời " đây là thư mục mà bạn đã yêu cầu đừng gửi nó cho bất kì ai khác ;-)" mang tính khơi gợi sự tò mò, khiến họ

dễ dàng mắc bẫy và sự lan truyền càng mở rộng thêm.Melissa virus tuy không sử dụng nhằm chiếm đoạt tài sản hay thông tin, nhưng nó đã gây ra nhiều sự nổi

loạn Hơn 300 tập đoàn và cơ quan chính phủ trên toàn thế giới bị quá tải và phải ngưng hoạt động lập tức, bao gồm Microsoft, tiêu tốn khoảng hơn 80 triệu đô để có thể xóa sổ con virus khó chịu này sự kiện này là báo động đến công chúng về sự dễ dàng cũng như mối nguyhại của các tập tin phần mềm độc hại không rõ nguồn gốc cũng như nâng cao hơn về tính bảo mật thông tin trước mối nguy hại tiềm tàng từ những phần mềm thứ 3

3 Phân loại Virus

Virus máy tính có thể được phân loại theo nhiều cách khác nhau, tùy vào các yếu tố như cách lây nhiễm,

phương thức hành động, và mục đích gây hại Dưới đây

là một số cách phân loại virus máy tính phổ biến:

3.1 File Infector Viruses

(executable files), chẳng hạn như các tệp có

đuôi exe, com, dll, v.v

tệp tin hợp pháp Khi người dùng mở tệp này, virus

sẽ kích hoạt và có thể phát tán đến các tệp khác hoặc hệ thống

Ví dụ: CIH (Chernobyl virus), Sasser.

3.2 Macro Viruses

động hóa tác vụ) trong tài liệu của các phần mềm như Microsoft Word, Excel

macro trong tài liệu để tự động phát tán Chúng

thường được phát tán qua email hoặc các tài liệu chia sẻ.

Ví dụ: Concept, Melissa.

3.3 Boot Sector Viruses

đĩa, nơi các hệ điều hành bắt đầu khởi động

thống khởi động từ ổ đĩa bị nhiễm Nó có thể ngăn

hệ điều hành khởi động hoặc thay đổi mã khởi

động

Ví dụ: Stone, Michelangelo.

3.4 Polymorphic Viruses

mình sau mỗi lần lây nhiễm để tránh bị phần mềm diệt virus phát hiện

tạo ra một bản sao với mã khác biệt, làm cho việc phát hiện trở nên khó khăn hơn