TÀI LIỆU ĐÀO TẠO PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH

- Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà chủ yếu hướng đến việc đánh cắp các thô

TỔNG CÔNG TY ĐIỆN LỰC MIỀN BẮC

CÔNG TY ĐIỆN LỰC SƠN LA

TÀI LIỆU ĐÀO TẠO PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH

Biên soạn: Phòng CNTT

Sơn La, tháng 3 năm 2015

MỤC LỤC PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH

PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH

1 Phần mềm độc hại (Malware)

a Định nghĩa.

- Thực tế, virus cũng chỉ là một trong những thể loại phần mềm độc hại (Malware), nó là những chương trình hay đoạn mã được thiết kế với khả năng tự nhân bản và sao chép chính nó (có thể tự sửa đổi) vào khác chương trình máy tính khác, các files dữ liệu, hoặc boot sector của ổ cứng Khi sao chép này thành công, các đối tượng trên gọi là các đối tượng bị lây nhiễm (to be "infected")

- Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình, bởi vậy virus thường có các hành động như: cho một chương trình hoạt động sai, xóa dữ liệu, làm hỏng ổ cứng, hoặc gây ra những trò đùa khó chịu

- Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa,

mà chủ yếu hướng đến việc đánh cắp các thông tin cá nhân nhạy cảm (email, số điện thoại, các mã số thẻ tín dụng ), mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển, hoặc các hành động khác, nhằm có lợi cho kẻ phát tán

- Chiếm trên 99% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows bởi 2 lý do căn bản: Thứ nhất, Linux bảo mật hơn Windows; thứ hai, Windows là hệ điều hành chiếm thị phần lớn nhất và thông dụng nhất của end-user [2]

- Ngày nay, Virus ngày càng biến thể tinh vi hơn và khó phát hiện hơn, kết hợp với các dạng malware khác, khiến cho quá trình tìm và diệt chúng khó khăn hơn nhiều

b Đặc điểm của Malware

- Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó

- Tự nhân bản khi ứng dụng chủ được kích hoạt.

- Có một thời kỳ nằm chờ (giống như ủ bệnh) Trong thời gian này không gây hậu quả

- Sau thời kỳ “nằm vùng” mới bắt đầu phát tác

2 Tác hại của Malware.

- Virus là những phần mềm và do con người tạo ra, vì thế chúng cũng phá hoại theo những gì mà chủ nhân của chúng nhắm tới Đôi khi chúng ta là nạn nhân thực sự mà virus nhắm vào, đôi khi chúng ta vô tình trở thành

"trợ thủ" cho chúng tấn công vào hệ thống khác

- Một số tác hại của virus :

- Một số virus chỉ là những trò đùa như liên tục đẩy ổ CD ra ngoài, hay hiện ra màn hình một số câu trêu chọc, ít nhiều gây nên sự khó chịu cho người dùng.Trong nhiều trường hợp,virus thực sự là mối đe doạ tới an toàn thông tin máy tính.Dưới đây là một số tác hại có thể thấy khi một máy tính bị nhiễm virus:

- Tiêu tốn tài nguyên hệ thống (CPU, bộ nhớ, dung lượng đĩa cứng ,…) Các máy tính bị nhiễm virus thường có hiện tượng như chạy rất chậm,bị treo hoặc tự động tắt máy hay khởi động lại,đèn báo ổ cứng hay kết nối mạng nhấp nháy liên tục,…Trong nhiều trường hợp,virus có thể gây hiện tượng không thể kết nối mạng

- Phá huỷ dữ liệu: Có nhiều loại virus xoá hoặc làm hỏng các tệp chương trình hay dữ liệu.Các tệo thươngd bị tấn công nhiếu nhất là các tệp dữ liệu văn bản *.doc hay các tệp bảng tính *.xls và các tệp chưong trình

*.exe, &.com Một số virus hoạt đong vào một thời điểm nhất định như virus “thứ sáu ngày 13”, nhưng cũng có những virus nguy hiểm hơn, bất ngờ xóa dữ liệu khiến người dùng không kịp trở tay

- Phá huỷ hệ thống: Một số virus cố tình phá huỷ hệ thống, làm giảm tuổi thọ của ổ cứng, làm máy tính hoạt động không ổn định hay bị tê liệt

- Nguy hiểm hơn , chúng còn có thể đánh cắp dữ liệu: Ngày nay nhiều thông tin quan trọng đươc lưu trên máy tính như các loại sổ sách, chứng

từ, thẻ tín dụng,…Nhiều loại virus được viết với mục đích đánh cắp các thông tin đó để trục lợi

- Mã hoá dữ liệu để tống tiền: Đây là một hiện tượng xuất hiện những năm gần đây Khi virus xâm nhập vào máy nạn nhân,nó sẽ mã hoá dữ liệu quan trọng của người dùng và yêu cầu họ phải trả tiền để có thể khôi phục lại

- Gây khó chịu khác: Thiết lập các chế độ ẩn cho tệp tin hoặc thư mục, thay đổi cách thức hoạt động bình thường cuảc hệ điều hành cũng như các phần mềm ứng dụng,các trình duyệt,phần mềm văn phòng ,…

- Chúng cũng có thể lợi dụng máy tính của nạn nhân để phát tán thư quảng cáo, thu thập địa chỉ email, hay biến nó thành “trợ thủ” để tấn công vào

hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng.,

- Không những thế, Một số virus có khả năng vô hiệu hoá hoặc can thiệp vào hệ điều hành làm tê liệt (một số) phần mềm diệt virus Sau hành động này chúng mới tiến hành lây nhiễm và tiếp tục phát tán Một số khác lây nhiễm chính vào phần mềm diệt virus (tuy khó khăn hơn) hoặc ngăn cản sự cập nhật của các phần mềm diệt virus

- Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế hoạt động của các phần mềm diệt virus và được lây nhiễm hoặc phát tác trước khi hệ thống khởi động các phần mềm này Chúng cũng có thể sửa đổi file host của hệ điều hành Windows để người sử dụng không thể truy cập vào các website và phần mềm diệt virus không thể liên lạc với server của mình để cập nhật

- Ngoài ra, một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó

- Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng Một số biến thể khác xuất hiện

do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát

3 Phân loại các phần mềm độc hại (Malware)

Tổng quan, ta chia các dạng độc hại có thể gây hại cho máy tính theo 7+1 loại sau:

3.1 Virus:

- Virus là một loại mã độc hại (Malicious code) có khả năng tự nhân bản

và lây nhiễm chính nó vào các file, chương trình hoặc máy tính Theo cách định nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo "phát hiện ra virus nhưng không diệt được" khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì "vật mang virus" lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó

- Mức độ độc hại của Virus dao động từ mức tương đối lành tính (ví dụ như gây khó chịu cho người dùng, hoặc chỉ để truyền tải 1 thông điệp nào đó) cho đến mức cực kỳ độc hại (ví dụ: Đánh cắp thông tin và chuyển thông tin của victim cho người khởi tạo virus, hoặc là phá hủy hệ thống)

- Nhiều virus cũng có 1 đoạn code kích hoạt (trigger), cần 1 thao tác của người dùng tác động vào để virus thực thi (ví dụ như mở file, chạy chương trình, mở tập đính kèm trên email ).

- Virus có 2 chủng loại chính: Compiled Virus, được thực thi bởi hệ điều hành (OS - Operating System); và Interpreted Virus, được thực thi bởi các chương trình chạy trên OS

- Phần sau đây nói về 2 chủng loại virus này, cùng các kỹ thuật khác nhau

mà virus sử dụng để 'qua mặt', tránh bị phát hiện:

3.1.1.2.Boot Sector:

- Boot sector virus lây nhiễm vào vùng khởi động chủ (MBR - master boot record) của ổ đĩa cứng (hard drive), hay lây nhiễm vào cung khởi động (boot sector) của đĩa cứng/ổ đĩa gắn ngoài (ví dụ như đĩa mềm (floppy diskettes), DVD-RW, USB stick memory )

- Boot sector (vùng khởi động hay khu vực khởi động) chính là vùng đầu

tiên của ổ đĩa/phân vùng ổ đĩa/các thiết bị lưu trữ dữ liệu khác, nơi chứa thông tin về thiết bị đó và/hoặc chứa thông tin về cấu trúc ổ đĩa/phân vùng đó (ví dụ: Chứa thông tin về ổ đĩa/phân vùng này có bao nhiêu

TB dung lượng, có định dạng ổ/phân vùng là ext4 hay NTFS hay FAT32 Boot sector cũng đồng thời chứa chương trình khởi động, được chạy khi khởi động máy để khởi động OS

- MBR là vị trí duy nhất trên ổ đĩa cứng mà BIOS (Basic Input / Output

System - hệ thống đầu vào/ra cơ bản của máy tính) có thể xác định vị trí

để tải và khởi chạy hệ điều hành Những thiết bị lưu trữ gắn ngoài (như USB key, portable HDD/SSD ), không nhất thiết phải có khả năng khởi động (bootable), nhưng nếu được gắn vào trong lúc hệ thống đang khởi

động, thì vẫn có khả năng lây nhiễm boot virus!

- Boot sector virus rất dễ ẩn thân, tỷ lệ lây nhiễm thành công cho hệ thống lại cực cao

- Boot sector virus, sau khi lây nhiễm thành công, có thể làm cho PC hiện thông báo lỗi ngay khi khởi động, hay thậm chí ở mức độ tệ hại hơn là hệ thống không khởi động được nữa!

3.1.1.3.Multipartite:

- Multipartite virus sử dụng nhiều phương pháp lây nhiễm, thường sử dụng

cả 2 phương thức lây nhiễm cho cả files lẫn boot sector (kết hợp giữa 3.1.1.1 và 3.1.1.2):

- Multipartite virus = file infector virus + boot sector virus

3.1.2 Interpreted Virus:

- Không giống như compiled virus (vốn có thể thực thi trực tiếp từ hệ điều hành), Interpreted virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống

- Hiểu một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi

- Interpreted Virus càng lúc càng trở nên phổ biến hơn Compiled Virus bởi

lý do đơn giản: Một kẻ tấn công, không cần có "tay nghề" cao, cũng có thể sửa đổi đôi chút từ mã nguồn để tạo ra các biến thể Do đó, nhiều lúc

có cả hàng chục, thậm chí hàng trăm biến thể từ con interpreted virus gốc

- Có 2 thể loại con chính của interpreted virus, là Macro Virus và Scripting Virus:

- Loại này lây lan siêu nhanh trước đây bởi 2 lý do:

- Thứ nhất: Những file văn bản như doc (định dạng văn bản của Microsoft Word) được chia sẻ rất rộng rãi qua internet, mang đi in, copy qua USB key, và được bật đi bật lại nhiều lần;

- Thứ hai: Do quan niệm sai lầm, nghĩ rằng chỉ những file dạng *.exe mới

có khả năng lây nhiễm virus, còn *.doc, *.chm thì không!

- Ví dụ kinh điển cho macro virus là The Concept, Marker và Melissa

3.1.2.2.Scripting Virus:

- Thể loại virus này rất giông với Macro Virus, sự khác biệt chính là: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lệnh chạy bằng một dịch vụ (service) của hệ điều hành 'First and Love Stages' là virus nổi tiếng của thể loại này.

- Ngày nay (2014), macro virus đã ít dần đi, do Microsoft Office bây giờ

đã ít dùng các macro trong các bộ Office thế hệ mới

3.1.3 Các kỹ thuật ẩn thân của virus (Virus Obfuscation Techniques):

- Hầu hết các virus đều sử dụng 1 hoặc nhiều kỹ thuật ẩn dấu Đó là cách

để các 'hacker' xây dựng virus khiến cho virus ngày càng khó để phát hiện (bởi các chuyên gia bảo mật cấp cao, các chương trình diệt virus)

- Virus càng khó bị phát hiện, thì tất nhiên khả năng gây thiệt hại cho hệ thống càng lớn, và khả năng lây lan cũng lớn hơn nhiều Thông thường,

có các kỹ thuật ẩn thân cơ bản sau:

3.1.3.1.Self-Encryption and Self-Decryption (Tự mã hóa và Tự giải mã):

- Một số virus có khả năng mã hóa và giải mã phần mã chính của chính nó (code body) để che giấu khỏi bị phát hiện trực tiếp

- Virus có thể sử dụng nhiều lớp mã hóa, hoặc khóa mật mã ngẫu nhiên (random cryptographic key), khiến cho từ 1 code body, nếu sử dụng các phương thức mã hóa khác nhau, sẽ cho ra nhiều virus khác nhau mà có thể hệ thống phần mềm diệt virus không thể phát hiện ra được, hoặc phát hiện ra được 'con' virus này, nhưng lại để lọt mất 'con' kia, mặc dù chúng cùng có chung code body, và cùng thực thi 1 nhiệm vụ như nhau!

3.1.3.2.Polymorphism (Đa hình):

- Polymorphism là một hình thái đặc biệt mạnh của self-encryption Một virus đa hình thường có vài thay đổi so với việc mã hóa mặc định, cũng như thay đổi phương thức giải mã

- Trong 1 virus đa hình: Code body vẫn không thay đổi, chỉ có phương thức ẩn thân là thay đổi

- Polymorphism virus chính là một bước phát triển của phương thức ẩn thân đã nêu ở 3.1.3.1

3.1.3.3.Metamorphism (Biến thể):

- Ý tưởng 'thiết kế' đằng sau thể loại virus này chính là: Tạo ra 1 loại virus

có khả năng thay đổi nội dung của chính nó, hơn là sử dụng cách thức thay đổi sự ẩn thân bằng việc mã hóa

- Các virus thể loại này có thể thay đổi theo nhiều cách:

- Hoặc thêm 1 chuỗi mã vô hại/không cần thiết vào mã nguồn;

- Hoặc thay đổi cấu trúc các phần của mã nguồn (đảo, trộn mã)

- Các mã bị thay đổi, thêm/bớt sau đó được biên dịch lại (re-compiled) để tạo ra một virus thực thi mới (có thể mang 'nhiệm vụ' mới) về cơ bản khác với bản gốc.

3.1.3.4.Stealth (ẩn - tàng hình):

- Stealth virus sử dụng nhiều đặc tính kỹ thuật khác nhau để che dấu đặc tính gốc (lây nhiễm) của nó Ví dụ: Nhiều virus, sau khi lây nhiễm cho files, sẽ thâm nhập luôn vào cơ chế kiểm soát kích thước files của hệ điều hành, khiến cho hệ điều hành hay chương trình diệt virus hoặc người dùng vẫn nhìn thấy kích thước của file bị lây nhiễm là vẫn như cũ (không tăng thêm, tức không bao gồm kích thước của cả 'con' virus!)

3.1.3.5.Armoring (kỹ thuật tạo vỏ bọc):

- Mục đích của kỹ thuật này là làm cho con virus có 1 lớp vỏ bọc để đánh lừa khả năng của các chương trình diệt virus (antivirus software) hay các chuyên gia phân tích, khiến cho chức năng thực sự của con virus loại này không bị lộ thân, và khó có thể truy tìm được dấu vết của nó trên hệ thống

3.1.3.6.Tunneling (kỹ thuật tạo đường hầm):

- Với kỹ thuật này, virus sẽ tạo ra 1 đường hầm để chèn chính nó vào level (*) của OS, khiến cho các low-level của OS không thể khởi chạy (bị đánh chặn bởi virus)

low Với cách này, virus dễ dàng qua mặt được antivirus software bằng cách đưa ra các lệnh giả ở mức độ low-level, khiến cho chương trình antivirus tưởng nhầm đó chính là hoạt động đích thực của OS, và bỏ qua nó

- Chú thích: (*): low-level: Từ kỹ thuật này dùng để biểu thị các lệnh được lập trình gần với định dạng của mã máy (như lập trình bằng ngôn ngữ Assembly chẳng hạn)

- Ngày nay, các nhà phát triển Anti-virus software đã nghiên cứu rất kỹ những kỹ thuật trên của virus, khiến cho chương trình diệt virus của họ ngày càng có hiệu quả hơn với những thuật ẩn thân của virus kể trên, bao gồm thuật tàng hình, tạo vỏ bọc, đa hình và siêu đa hình

- Tuy nhiên, vẫn còn 1 rào cản khó vượt qua cho Anti-virus software: Kỹ thuật biến thể (Metamorphism)

- Chính vì kỹ thuật này, mà dữ liệu phân tích cũ của 1 anti-virus software trở nên vô dụng ngay lập tức khi có biến thể mới từ con virus gốc (mà có khả năng diệt được đó) Cho nên, các gói cập nhật (update) vẫn được tung ra hàng tuần, thậm chí là hàng ngày, để phòng chống nguy cơ này (sau khi đã nghiên cứu xong biến thể mới và đưa ra được đoạn code đề kháng, để cho lên dữ liệu trên server và từ đó bạn có thể download được

về gói update).

3.2 Worm (Sâu):

Computer worm - ảnh minh họa

- Worm cũng là một chương trình có khả năng tự sao chép và tự lây nhiễm trong hệ thống tuy nhiên bản thân của sâu đã là 1 chương trình hoàn chỉnh (self-contained), không giống như virus cần sống bám vào 'cơ thể

vật chủ' (là các file bị nhiễm) mới có khả năng lây nhiễm cho hệ thống.

- Worm cũng có khả năng tự nhân bản (self-propagating), tuy nhiên về mặt này, worm mạnh hơn so với virus: Virus cần 1 thao tác của người sử dụng

để có thể tự sao chép và lây nhiễm (ví dụ: Mở file, hay khởi động máy với 1 thiết bị đã bị nhiễm boot sector virus ), nhưng worm thì không

cần: Worm có khả năng tạo ra 1 bản sao của chính nó và thực thi chính

nó mà không cần người dùng phải tác động Chính điều này, mà

attackers (những kẻ tấn công) ngày càng khoái worm hơn là virus, bởi vì

một con sâu có khả năng lây nhiễm sang nhiều hệ thống hơn trong một khoảng thời gian ngắn hơn so với một thể virus Sâu tận dụng lợi thế của những lỗ hổng bảo mật (vulnerabilities) và những điểm yếu chết người về thiết đặt (configuration) để thâm nhập, chẳng hạn như thu thập những điểm yếu về bảo mật (unsecured) của Windows OS

Confliker worm

- Trước đây, Worm được sinh ra chỉ để phá hoại hệ thống và làm lãng phí tài nguyên mạng, như những gì đã viết trong mục 1 của bài Lịch sử

Virus Ngày nay, loại worm này ngày càng ít đi (vẫn còn, do có nhiều tay

script kiddies muốn 'thử tay nghề'), mà mục tiêu chủ yếu của worm ngày

nay là tấn công phân tán từ chối dịch vụ (DDoS - Distributed Denial os

Service) nhằm vào máy chủ khác, cài đặt backdoor (mở 'cửa sau' cho attacker, sẽ được thảo luận kỹ hơn tại mục 2.7.1 của bài này), hay thực

hiện các hành vi nguy hiểm khác

- Sâu có 02 thể loại chính: Sâu dịch vụ mạng và sâu gửi thư hàng loạt:

3.2.1 Network Service Worm (Sâu dịch vụ mạng):

- Network service worm lây lan bằng cách khai thác một lỗ hổng bảo mật trong 1 dịch vụ mạng liên kết với hệ điều hành hoặc với 1 ứng dụng nào

đó trên hệ thống Khi thể loại sâu này đã lây nhiễm thành công vào hệ thống, thông thường, nó sẽ quét và phát hiện những hệ thống khác, cũng

đang chạy dịch vụ kiểu đó (target service - dịch vụ mục tiêu: loại dịch vụ

có lỗ hổng đã bị khai thác, như đã nói ở trên), để tiếp tục lây nhiễm cho

các hệ thống đó

- Và bởi vì do chúng tự thực thi mà không cần tác động của user, nên

thông thường, thể loại sâu này lây lan với tốc độ chóng mặt (nhanh hơn nhiều so với virus hay các thể loại malware khác) Do sự lây nhiễm

nhanh chóng, network service worm thường được attackers dùng để áp

đảo, gây tê liệt mạng và các hệ thống an ninh (như cảm biến phát hiện sự thâm nhập mạng) cũng như các hệ thống đã bị nhiễm bệnh.

- Ví dụ kinh điển cho network service worms là Sasser và Witty

3.2.2 Mass Mailing Worm (Sâu gửi điện thư hàng loạt):

borne virus (khác biệt lớn nhất vẫn là: Sâu loại này, tự nó đã là contained chứ không như email-borne virus cần sống bám vào file đính kèm trong thư).

self Một khi sâu thể loại này đã nhiễm vào hệ thống, chúng thường tìm kiếm trong hệ thống đó các địa chỉ email, sau đó tự động gửi bản sao của chính

nó tới những địa chỉ email đó, sử dụng email client của hệ thống, hoặc

một hệ thống tự gửi mail của chính nó (đã được built-in trong sâu) Sâu thể loại này thường gửi thư (thường kèm theo cả bản sao chính nó) đến nhiều địa chỉ cùng 1 lúc Bởi vậy, bên cạnh việc làm quá tải các

máy chủ email và mạng lưới với 1 khối lượng lớn "bomb mail", sâu loại này thường gây ra vấn đề nghiêm trọng về hiệu suất cho hệ thống bị nhiễm bệnh

- Hiện nay, loại sâu này vẫn khả dụng để phát tán thư rác (thường là thư quảng cáo) bên cạnh những hiểm họa như đã nói ở mục chính 2.2.

Ví dụ điển hình cho mass mailing worms là Beagle, Mydoom và Netsky

- Trojan thường có 3 phương thức gây hại phổ biến:

- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên

cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp password);

- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng

sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống);

- Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một

chương trình không có hại (ví dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt ứng dụng này là lập tức dữ liệu trên PC sẽ bị xoá hết, hoặc lập tức nó đánh cắp luôn ví tiền điện tử wallet và private key trên máy của bạn)

- Trojan khó bị phát hiện, bởi lẽ (theo 2 phương thức gây hại đầu) chương trình bị lây nhiễm vẫn gần như hoạt động một cách bình thường không có

gì khả nghi; hơn nữa, các trojan hiện nay cũng áp những thủ thuật ẩn thân như virus Việc sử dụng trojan để phát tán những chương trình gián điệp (spyware) ngày càng trở nên phổ biến: Ví dụ như khi bạn download các chương trình từ những nguồn chia sẻ không an toàn, hoặc là các giao thức chia sẻ ngang hàng (p2p, như Torrent chẳng hạn), sau khi bạn cài đặt những chương trình unsafe đó, spyware sẽ ngấm ngầm cài đặt cùng và bắt đầu thực thi nhiệm vụ gián điệp của mình trên máy victim.Trojan cũng thường cung cấp các công cụ tấn công vào hệ

thống (attacker tools), với khả năng cung cấp cho attacker sự truy cập

trái phép, hoặc cho phép attacker sử dụng trái phép hệ thống của victim Những công cụ này có thể đã được built-in luôn vào con trojan, hoặc là được âm thầm tải về sau khi trojan đã thâm nhập thành công

- Những trojans nổi tiếng là SubSeven,Back Orifice, and Optix Pro

3.4 Malicious Mobile Code (MMC):

Malicious QR code

- Mobile code là tên gọi chung cho những cách thức dùng để truyền tải (dữ

liệu) từ hệ thống điều khiển từ xa (remote system -ví dụ server) để thực thi trên hệ thống cục bộ(local system - ví dụ client) mà đôi lúc không có

sự hướng dẫn rõ ràng cho người dùng Trình duyệt web (web browser) hay email client là 2 ví dụ hoàn hảo cho Mobile Code: Ví dụ:

Khi bạn bật web browser và gõ vào http://gvehacker.blogspot.com, thì dịch vụ Blogger của Google sẽ truyền tải đến web browser của bạn trang Web của GVEhacker: Dữ liệu của GVEhacker đã nằm trên web browser của máy bạn

- Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó không nhiễm vào file và không tìm cách tự phát tán Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code

- Trò dụ mọi người cài ICONS trên facebook, làm loạn facebook trong thời gian vừa rồi, cũng chính là khai thác tính năng cho phép thực thi *.js (JavaScript) từ web browser của người dùng, sau khi những người dùng này vô tư ấn "install"

- Một trong những ví dụ nổi tiếng của kiểu tấn công MMC là Nimda, sử dụng JavaScript Kiểu tấn công này của Nimda thường được biết đến như

một tấn công hỗn hợp(Blended Attacks), mà sẽ được phân tích cụ thể

trong mục 3.5 dưới đây

3.5 Blended Attacks (tấn công hỗn hợp/pha trộn):

Blended attacks and defense - ảnh minh họa

- Tấn công hỗn hợp chính là cách thức sử dụng nhiều phương thức lây nhiễm, hoặc nhiều phương thức truyền dẫn khác nhau Sâu Nimda thực

sự là một ví dụ kinh điển cho cách thức tấn công này: Nó sử dụng 4

phương thức sau:

- Email: Khi user ở 1 hệ thống có lỗ hổng bảo mật mở mở 1 file đính kèm (đã bị nhiễm) trên email, Nimda lập tức khai thác lỗ hổng đó để hiển thị trên web browser của victim để mở ra 1 trang html cơ bản để gửi/nhận mail mới Sau đó, nó tìm kiếm toàn bộ địa chỉ điện thư trên máy victim

để tiếp tục gửi những bản sao của nó tới các địa chỉ mà nó quét được

- Windows Shares: Lợi dụng tính năng chia sẻ files của Windows, Nimda, sau khi thâm nhập vào máy victim, sẽ tìm kiếm trên hosts những file được chia sẻ và dùng NetBIOS như 1 cơ chế vận chuyển Nimda để lây nhiễm cho files Nếu bạn mở file thì Bingo! Nimda đã chui trót lọt vào máy của bạn

- Web Servers: Nimda sẽ quét các máy chủ sử dụng IIS (Internet Information Service của Microsoft) và tìm kiếm lỗ hổng bảo mật đã biết tới nhưng chưa được vá lỗi Nếu tìm thấy lỗ hổng: Lập tức nó sao chép chính nó lên web servers đó và trên mọi files có thể lây nhiễm trên servers đó Phương thức này cực kỳ hiệu quả, bởi sẽ có nhiều clients trỏ

đến server bị nhiễm để lấy thông tin (chẳng hạn, đọc báo mạng, nhưng trang báo mạng đó trước đó đã bị nhiễm Nimda), nên phương thức này

lây lan rất nhanh chóng

- Web clients: Nếu victim sử dụng 1 trình duyệt web có lỗi bảo mật để truy cập tới infected web server nêu trên, thì lập tức, máy của victim sẽ bị lây

nhiễm (nếu lỗ hổng bảo mật trên đã nằm trong list của Nimda khi lập trình).

- Ngoài việc sử dụng các phương thức nêu trên, các cuộc tấn công hỗn hợp cũng lợi dụng thêm các dịch vụ khác như IM (Instant Messaging) hay chia sẻ ngang hàng p2p (peer-to-peer) để lây nhiễm.Qua phân tích trên, ta thấy rằng Nimda không hẳn chỉ là Worm, mà Nimda = worm + virus + MMC

- Ngày nay, blended attacks ngày càng sử dụng nhiều thủ thuật tinh vi và những pha trộn phức tạp khác Dựa vào độ mạnh của mã độc về mặt nào,

người ta sẽ tạm xếp mã độc về mặt đó (như trường hợp của Nimda, được phân loại cho worm).

3.6 Tracking Cookies:

Tracking cookies protocol

- Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web

cụ thể nào đó của web-client Có 2 loại cookies:

- Session cookies: Loại tạm thời này chỉ có giá trị cho 1 phiên làm việc duy nhất Khi bạn tắt trang web: session cookie mất hiệu lực;

- Persistent cookies: Là loại cookies lưu trữ mãi trên máy của bạn (cho tới khi bạn xóa) Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client, mục đích để phục vụ người dùng được tốt hơn

- Thật không may, dạng persistent cookies cũng có thể bị lạm dụng như phần mềm gián điệp (spyware) để theo dõi và thu thập thông tin riêng tư

về hành vi duyệt web của cá nhân, bởi 2 nguyên nhân: Do cookie không cần sự đồng ý của người dùng, mà web-browser vẫn tự tạo; nguyên nhân thứ 2 là do sự thiếu hiểu biết của user về mảng này

- => nếu thu thập được cookies, sẽ thu thập được kha khá thông tin cá nhân của người sử dụng đó

- Một cách khác để thu thập thông tin cá nhân là sử dụng web bugs Ví dụ, viết 1 đoạn mã ngắn để thu thập cookie rồi tung lên trang web đó, nhưng diện tích chỉ chiếm khoảng 1 điểm ảnh (1px) ==> hầu như vô hình trước mắt user

- Thông tin thu thập được sẽ được bán cho bên thứ 3, từ đó họ sử dụng để đưa ra các quảng cáo theo thói quen của bạn Như vậy, hiệu quả quảng cáo sẽ tăng lên rõ rệt

- Nếu không thu thập được cookies, thì sẽ thật ngớ ngẩn, nếu một kỹ sư cơ

khí duyệt web, mà trang quảng cáo pop-up lại quảng cáo về thuốc giảm béo dành cho phụ nữ (trong khi trước kia, anh ta không hề tìm kiếm gì về loại thuốc đó, nên không có được cookie lưu lại).

- Nếu một kẻ có ý đồ xấu (black-hat hacker chẳng hạn), thì nếu thu thập được cookies của victim, mọi việc họ làm không đơn giản chỉ là quảng cáo :)

- /* Cookies thường lưu trữ trong những bản plain-text, tức không được

mã hóa, khiến cho 1 truy cập trái phép vào cookies sẽ thu thập được thông tin cá nhân của bạn, hoặc thay đổi cookies đó nhằm mục đích phục vụ cho kế hoạch của attacker Trước thảm họa này, nhiều web-site bây giờ đã sử dụng phương thức mã hóa cho cookies Tuy nhiên, việc giải mã cookies vẫn có khả năng xảy ra bởi những attacker có kinh

bị lây nhiễm mã độc hại Khi được tải vào trong hệ thống bằng các đoạn

mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc

đó (ví dụ như được built-in trong một trojan) hoặc nó sẽ được tải vào hệ

thống sau khi nhiễm

- Ví dụ: một hệ thống đã bị nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site nào đó, tải attacker tool

từ site đó và cài đặt attacker tool vào hệ thống

- Có 6 thể loại thông dụng của những công cụ tấn công, được GVEhacker giới thiệu ngay sau đây:

3.7.1 Backdoor:

- Là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh

điều khiển từ các cổng dịch vụ TCP (Transmission Control Protocol) hoặc UDP (User Datagram Protocol) Một cách đơn giản nhất,

phần lớn Backdoors cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh, Ngoài ra, Backdoor cũng có những khả năng đặc biệt (thuận theo ý muốn

đã được lập trình bởi attacker) sau:

3.7.1.1.Zoombies - thảm họa Bot-net:

- Zombie (đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống của victim nhằm mục đích tấn công hệ thống khác Kiểu thông dụng nhất của Zoombie là dùng các máy tính nạn nhân để phục vụ cho các cuộc tấn công DDoS Kẻ tấn công có thể cài bot vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc làm hết tài nguyên mạng (băng thông - bandwidth) và tê liệt hệ thống bị tấn công Trinoo và Tribe Flood Network là hai đại diện nổi tiếng cho thảm họa zombies

- /* Mặc dù đôi lúc zombie được gọi là bot, nhưng cách gọi đó là không chuẩn xác, bởi lẽ thuật ngữ 'bot' dùng để chỉ các chương trình thực hiện các chức năng 1 cách tự động (ví dụ, ta đổ chương trình vào các máy móc tự động hóa, thì những máy đó có thể gọi là robot) Một nhóm máy tính mà có cùng 1 loại bot thì ta gọi là botnet Tuy nhiên, ngày nay, khi nghe tới thuật ngữ botnet là lập tức người ta lại liên tưởng đến các vụ tấn công mạng, do sự PR một cách thái quá nhưng lại nằm ngoài hiểu biết của các báo mạng lá cải ở Việt Nam Bởi vậy GVEhacker viết rõ đoạn này, nhằm giúp các bạn phân biệt rõ 2 thuật ngữ là zombie và bot: Zombies chắc chắn là mã độc, còn bots thì có thể lành tính, có thể không

*/

3.7.1.2.Remote Administration Tools (RAT):

- Giống như tên gọi, RAT là các công cụ có sẵn của hệ thống cho phép

thực hiện quyền quản trị từ xa Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống Tấn công kiểu này có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình, điều khiển các thiết

bị ngoại vi của victim theo ý muốn (ví dụ loa, webcam, micro, máy in ) cho đến tác động vào cấu hình của hệ thống Ví dụ nổi tiếng cho

RATs là: SubSeven, Back Orifice và NetBus

3.7.2 Keystroke loggers:

- Keystroke logger, còn gọi là keylogger, là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker Keylogger có thể ghi lại toàn bộ hoặc có chọn lọc những thông tin mà victim đã nhập vào hệ thống, bao gồm việc ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật, etc.Các keylogger nổi tiếng là KeySnatch, Spyster và KeyLogger Pro

- /* Một số keyloggers có khả năng ghi lại các thông tin bổ sung khác, như ảnh chụp màn hình của victim */

3.7.3 Rootkits:

- Rootkit là tập hợp của các files được cài đặt lên hệ thống nhằm biến đổi các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn các nguy

cơ tấn công nguy hiểm:

- Trên Unix và Linux, rootkit có thể sửa đổi, hoặc thay thế hoàn toàn hàng

chục tới hàng trăm tập tin (bao gồm cả những tập tin hệ thống bin - binary);

- Trên Windows, ngoài khả năng thay đổi những tập tin của hệ thống, rootkit còn có khả năng 'nằm vùng' thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành

- Rootkit cũng sử dụng những thủ thuật ngăn chặn, ẩn thân và xóa dấu vết, khiến cho rất khó để tìm ra những gì trên hệ thống đã bị thay đổi bởi rootkit, hay danh định được rootkit đã thâm nhập Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor, cài keylogger

- Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender

3.7.4 Web Browser Plug-ins:

- Là phương thức cài mã độc hại thực thi cùng với trình duyệt web Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt

web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi

thông tin ra ngoài Bởi vì các plug-in được nạp tự động khi web browser khởi động, nên phương thức tấn công này rất dễ dàng dùng để giám sát

hệ thống của nạn nhân Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại ngầm định mặc dù không được phép của chủ

nhân (hay xảy ra vào hồi còn dùng mạng dial-up ngày trước, hoặc hoàn toàn có khả năng xảy ra thời nay trên những thiết bị vừa có khả năng

vào mạng vừa có khả năng thực hiện cuộc gọi như smartphone hay tablet).

3.7.5 Email Generators:

- Là những chương trình cho phép tạo ra và gửi đi một số lượng lớn các bức điện thư Malware có thể gieo rắc các email generator vào trong hệ thống, nằm ngoài sự cho phép và tầm kiểm soát của người dùng thông thường Các chương trình gián điệp, spam, mã độc hại có thể được đính kèm vào các email được sinh là từ email generator và gửi tới các địa chỉ định sẵn, hoặc tìm thêm trong sổ địa chỉ của máy bị nhiễm

3.7.6 Attacker Toolkits:

- Nhiều tay tấn công sử dụng những bộ công cụ có sẵn (do họ download được trên các websites thuộc giới UG - Under-ground), hay chính họ tự lập trình nên trước đó (để tiện dùng cho những lần sau) Các toolkit này

đã có sẵn những tiện ích và các đoạn mã viết sẵn để khai thác và tấn công victim

- Toolkit cũng được sử dụng để lợi dụng victim, cài đặt thêm các malware khác trên máy của victim và qua đó tấn công sang các hệ thống khác.Trong 1 bộ toolkit, thường có sẵn các tools sau:

- Hầu hết packet sniffers hiện nay đều được trang bị khả năng phân tích giao thức (protocol analyzer), tức là nó có khả năng ghép các gói tin mà

nó cần bắt, và giải mã chúng thông qua hàng trăm, hàng ngàn giao thức sẵn có mà nó được trang bị

3.7.6.2.Port scanners:

- Port scanners được dùng để quét các cổng vào ra đang mở của victim (có thể là server lẫn client), để tìm ra cổng có tiềm năng dễ bị tấn công (mà nmap trên Linux - ubuntu là một ví dụ cực kỳ nổi tiếng, như những gì các bạn đã từng được nhìn trong bài giới thiệu về Tails - Hệ điều hành lướt web như hacker trên GVEhacker).

- Khi nắm bắt được các mục tiêu tiềm năng, attacker sẽ tiến hành cố gắng dùng mọi thủ thuật để khai thác qua các cổng đó

3.7.6.3.Vulnerability Scanners:

- Attacker sẽ dùng nó để quét các lỗ hổng bảo mật khả dụng trên local system lẫn remote system Vulnerability scanners giúp cho công việc của các attacker dễ dàng hơn so với việc dò thủ công bằng tay để tìm ra những lỗ hổng ở host

3.7.6.4.Password Crackers:

- Là bộ tổng hợp những tiện ích dùng để bẻ khóa mật khẩu Hầu hết các tiện ích này tập trung quanh 2 phương thức chính: Đoán mật khẩu (dictionary attack) hay dò mật khẩu (Brutte-force) Thời gian để có được mật khẩu phụ thuộc vào rất nhiều thứ: Sức mạnh của các cỗ máy dùng huy động để bẻ khóa, độ dài của mật khẩu, độ khó của mật khẩu, sự đồ sộ của bộ từ điển (chứa những mật khẩu thông dụng mà người dùng hay đặt như 123456, iloveyou, qweasdzxc, !@#$%^&*() )

3.7.6.5.Remote Login Programs:

- Bộ công cụ này thường chứa SSH và telnet, là những chương trình dùng

để đăng nhập hệ thống từ xa Kẻ tấn công có thể sử dụng các chương trình này cho nhiều mục đích, chẳng hạn như đánh cắp dữ liệu hay xóa

bỏ dữ liệu trên hệ thống, kiểm soát các hệ thống bị thâm nhập, chuyển dữ liệu giữa các hệ thống

3.7.6.6.Attacks:

- Những bộ công cụ tấn công thường kèm theo các chương trình tấn công khả dĩ, có khả năng tấn công trên local lẫn remote system Những cuộc tấn công có nhiều mục đích khác nhau, mà phổ biến là gây ảnh hưởng lên

hệ thống, hoặc gây ra 1 cuộc tấn công từ chối dịch vụ (DoS)

- Những công cụ trong bộ attacker tools đều có khả năng sử dụng cho mục đích tốt hay xấu, tùy vào người sử dụng là black hat hay white hat trong thời điểm dùng, ví dụ như: packet sniffers và protocol analyzers cũng được sử dụng bởi các chuyên viên bảo mật hệ thống mạng; nhưng cũng

có thể được dùng bởi các black hat với mục đích nghe/xem lén xem victim đang làm gì;

- password crackers cũng được dùng bởi những chuyên gia an ninh, để kiểm tra độ an toàn cho mật khẩu của hệ thống; còn khi rơi vào tay black hat, dĩ nhiên chúng sẽ sử dụng với mục đích vốn có của nó là bẻ khóa mật khẩu

3.8 Non-malware Threats (Những mối đe dọa khác không phải từ phần mềm độc hại):

Cửa sổ pop-up này chính là 1 dạng fishing.

- Phần này nói ngắn gọn về 2 mối nguy cơ tiềm ẩn, tuy bản thân chúng không phải là malware, nhưng chúng thường kết hợp với malware, đó là phishing, và virus hoaxes Hai hiểm họa này có tên gọi kỹ thuật chung gọi là Social Engineering, một thuật ngữ ám chỉ kẻ tấn công dùng các

phương thức để lừa mọi người tiết lộ các thông tin nhạy cảm (thông tin

cá nhân, mật khẩu thẻ tín dụng hay mật khẩu các cổng đăng nhập online ) hoặc thực hiện hành động nhất định, như tải về và mở/thực thi

một file/chương trình có vẻ vô hại nhưng thực chất chứa mã độc.Bởi vậy, nên 2 phương thức này sẽ được đề cập đến sau đây:

- Kẻ tấn công bằng hình thức phishing thường tạo ra trang web hoặc email

có hình thức giống hệt như các trang web hoặc email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng, Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu, Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác.Các cửa sổ pop-up giả mạo hoặc các banner giả mạo, hoặc chứa link đến nơi chứa phần mềm độc hại cũng là một hình thức phishing

Phishing giả mạo instant message.

malware độc hại (ví dụ: Một malware đội lốt 1 chương trình anti-virus).

động xuẩn ngốc sau đó của người dùng thiếu kinh nghiệm mới chính là thảm họa: Ví dụ những thư gửi cho bạn bè để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống

- Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ

kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ (nâng cấp, đến tận nơi để sửa chữa ).

- Adwares là loại phần mềm quảng cáo, rất hay có ở trong các chương

trình cài đặt tải từ trên mạng Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng Một

số adware cũng chính là malware khi đi kèm thêm với các mã độc hại khác

- Ransomware: Là loại phần mềm tống tiền sử dụng một hệ thống mật mã

để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại Ransomware cũng có thể sử dụng các kỹ thuật ẩn thân, mạo danh 1 chương trình khác nhằm dụ bạn tải nó về để cài đặt

4 Cách thức lây truyền

4.1 Virus lây nhiễm theo cách cổ điển

- Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động:

+ USB: Ổ USB flash (ổ cứng di động USB, ổ cứng gắn nhanh cổng USB), thường được gọi là USB, là thiết bị lưu trữ dữ liệu sử dụng

bộ nhớ flash (một dạng IC nhớ hỗ trợ cắm nóng, tháo lắp nhanh) tích hợp với giao tiếp USB (Universal Serial Bus) Chúng có kích thước nhỏ, nhẹ, có thể tháo lắp và ghi lại được Dung lượng của các ổ USB flash trên thị trường hiện nay có thể lên đến 256 GB và còn có thể lên nữa trong tương lai

+ DVD,CD: Là một định dạng lưu trữ đĩa quang phổ biến Công dụng chính của nó là lưu trữ video và lưu trữ dữ liệu

+ Thẻ nhớ: là một dạng bộ nhớ mở rộng của các thiết bị số cầm tay (Các thiết bị số cầm tay bao gồm: PocketPC, SmartPhone, Điện thoại di động, Thiết bị giải trí số di động, Máy ảnh số, Máy quay số ) thẻ ghi nhớ sử dụng công nghệ flash để ghi dữ liệu thẻ ghi nhớ thường có kích thước khá nhỏ nên thường sử dụng cho các thiết bị số cầm tay

+ Ổ cứng di động

+ Điện thoại

a Thiết bị lưu trữ

- Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện

bị lợi dụng nhiều nhất để phát tán Ngày nay khi đĩa mềm rất ít được sử

dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng

di động hoặc các thiết bị giải trí kỹ thuật số

- Khi chúng ta kết nối các thiết bị số, thiết bị lưu trữ trực tiếp vào máy tính Virus có sẵn trong các thiết bị lưu trữ sẽ tự động sao chép sang máy tính của bạn theo cơ chế sau:

- Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk ), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước

- Tệp autorun.inf thông thường sẽ có nội dung:

[autorun]

open=virus.exeicon=diskicon.ico

- Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa là diskicon.ico Những tệp này đều nằm ở thư mục gốc của thiết bị lưu trữ Giả sử ổ USB của bạn là ổ G thì tệp đó sẽ nẳm ở G:\virus.exe Khi cắm usb vào, máy tính sẽ mặc nhiên chạy tệp G:\virus.exe nếu chưa được config đúng cách

b Virus lây từ smartphone sang máy tính

hành nhất định, tuy nhiên, một loại phần mềm gián điệp (spyware) vừa được phát hiện đang tấn công máy tính từ điện thoại di động.

- Đầu năm 2013, các chuyên gia bảo mật cảnh báo về một mã độc có khả năng chạy đa nền tảng (hoạt động được cả trên Android lẫn Windows) ẩn trong ứng dụng DroidCleaner trên kho Google Play DroidCleaner không phải ứng dụng phổ biến nên được đánh giá là nguy cơ lây nhiễm không rộng

- Trước tiên, mã độc ẩn trong các ứng dụng như DroidCleaner hay SuperClean sẽ lây nhiễm vào smartphone chạy Android Sau khi thâm nhập vào điện thoại, nó có thể tự động gửi đi và xóa tin nhắn SMS, kích hoạt Wi-Fi, tập hợp thông tin về thiết bị, mở link tùy ý trên trình duyệt, đăng toàn bộ nội dung trong thẻ SD, SMS, danh bạ, ảnh lên máy chủ của kẻ phát tán sâu

Đường đi của mã độc.

- Không những thế, mã độc tiếp tục tải về phần mã lệnh có thể lây trên máy tính dưới dạng các file autorun và file thực thi khác Chỉ chờ người

sử dụng kết nối hai thiết bị với nhau, virus sẽ xâm nhập từ smartphone sang máy tính chạy Windows nếu hệ thống đó bật chế độ autorun, hoặc khi người sử dụng kích hoạt file trong quá trình mở các thư mục Tại đây,

mã độc nhắm vào các phần mềm voice chat như Skype, Yahoo Messenger để ghi lại các đoạn hội thoại và gửi cho hacker

- Sự xuất hiện của virus này cho thấy ngay cả những việc đơn giản như kết nối điện thoại của mình hoặc của bạn bè vào máy tính để sạc pin hay chia

sẻ dữ liệu giờ đây cũng trở nên nguy hiểm Các chuyên gia bảo mật khuyến cáo, để bảo vệ trước các nguy cơ, người sử dụng cần cài phần mềm diệt virus trên cả hai nền tảng di động và máy tính

4.2 Virus lây nhiễm qua thư điện tử

- Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus

chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.

- Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo Chính vì vậy

số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều

cơ quan trên toàn thế giới trong một thời gian rất ngắn

- Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó

- Phương thức lây nhiễm qua thư điển tử bao gồm:

+ Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail)

Khi đó người dùng sẽ không bị nhiễm virus cho tới khi file đính kèm

bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)

+ Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong

thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị

có thể bị lây nhiễm virus

+ Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy

hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã

có thể bị lây nhiễm virus Cách này thường khai thác các lỗi của hệ điều hành

4.3 Virus lây nhiễm qua mạng Internet

- Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:

+ Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm

cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB ) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm

+ Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo

độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người

sử dụng khi truy cập vào các trang web đó

+ Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Windows Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này

4.4 Virus lây nhiễm qua mạng nội bộ LAN (Local Area Network)

- Các máy tính trong mạng LAN thường giao tiếp với nhau một cách

"thoải mái" hơn là trong mạng Internet Vì trong mạng LAN thì các máy tính giống như ở "trong nhà", nên độ tin cậy giữa các máy sẽ cao hơn, nếu một máy tính bị nhiễm virus thì cũng dễ dàng bị hacker lợi dụng để tấn công sang các máy tính khác trong cùng mạng Mặt khác, các máy tính trong cùng mạng LAN của công ty thường có chung chính sách về

an ninh (security) và quan trọng nhất là có môi trường giống nhau (hệ điều hành, các phần mềm cài trên hệ điều hành), nếu xâm nhập được một máy thì dễ dàng đoán ra được các máy khác thế nào, vì thế dễ tấn công hơn so với việc xâm nhập từ xa (không phải thăm dò, thử nghiệm)

- Trong mạng LAN, hacker dễ triển khai các hoạt động như nghe lén (sniffer) hay biến máy tính bị nhiễm virus thành một cổng (gateway) giả mạo, từ đó tất cả thông tin sẽ được chuyển qua máy bị nhiễm virus trước khi ra Internet; hacker theo đó sẽ kiểm soát được các dữ liệu quan trọng, trong đó sẽ có mật khẩu, tài khoản để từ đó xâm nhập vào các máy có dữ liệu quan trọng hơn tiếp theo

- Các cuộc tấn công mạng có thể được phân loại thành 3 kiểu sau đây:+ Tấn công theo kiểu do thám

+ Tấn công theo kiểu truy xuất

+ Tấn công từ chối dịch vụ

4.4.1. Tấn công theo kiểu do thám:

- Là những hành động dùng các công cụ hoặc những thông tin có sẵn dò tìm các thông tin, các dịch vụ hoặc các lỗ hổng trong hệ thống mạng nào

đó Các hành động này còn được xem là thu thập thông tin và trong nhiều trường hợp đây là những hiện tượng mở đầu cho các tấn công theo kiểu truy nhập hoặc từ chối dịch vụ Chủ thể tấn công thông thường thực hiện

dò tìm các máy nào hiện diện bằng cách ping quét các địa chỉ IP Sau đó chủ thể này tiếp tục dò tìm các dịch vụ hay các port nào đang mở trên các địa chỉ IP này và sẽ thực hiện yêu cầu (query) trên các port này nhằm xác định loại ứng dụng và version cũng như thông tin về hệ điều hành đang

chạy trên máy này.

- Tấn công theo kiểu do thám có thể có những dạng sau:

+ Bắt gói packet (packet sniffing)

+ Dò port (port scan)

+ Ping quét (Ping sweep)

+ Thực hiện yêu cầu thông tin Internet (Internet Information queries)

4.4.1.1.Bắt gói packet (packet sniffing):

- Đây thực chất là một ứng dụng sử dụng NIC mạng cho hoạt động ở mode promicuous nhằm để giữ lại tất cả những gói packet đi qua LAN (cùng collision domain) Cách bắt gói như thế này chỉ tận dụng các thông tin được gửi đi theo dạng text (clear text) (ví dụ các giao thức sau gửi thông tin trong gói ở dạng clear text : Telnet, FTP, SNMP, POP, HTTP …) Các chương trình này có thể được thiết kể theo kiểu tổng quát hay theo kiểu chuyên dùng cho các cuộc tấn công

- Một số cách làm giảm đi khả năng bắt gói trong hệ thống mạng:

- Xác thực người dùng : lựa chọn đầu tiên cho việc chống lại các công cụ bắt gói trong hệ thống mạng là sử dụng cơ chế xác thực người dùng chẳng hạn như mật khẩu chỉ dùng 1 lần (one-time password)

- Hiện thực hệ thống switch trong mạng: hiện thực hệ thống switch trong mạng LAN có thể làm giảm việc bắt gói trong mạng

- Sử dụng những công cụ chống / nhận dạng các phần mềm bắt gói có trong hệ thống của mình

- Mã hoá dữ liệu: làm cho các công cụ bắt gói trở nên vô hiệu và được xem

là hiệu quả nhất để chống lại kiểu tấn công này Nếu kênh thông tin được bảo mật chặt chẽ, dữ liệu mà các công cụ bắt gói này có được là những

dữ liệu đã được mã hóa Một số công cụ như SSH (Secure Shell Protocol) và SSL (Secure socket Layer) có sử dụng cơ chế mã hóa cho các dữ liệu quản lý của mình để chống lại các tấn công theo kiểu này

4.4.1.2.Dò port và Ping quét:

- Đây là những ứng dụng nhằm kiểm tra thiết bị nào đó với mục đích nhận dạng tất cả các dịch vụ trên thiết bị này Thông tin có được từ việc thu

- Cách làm giảm các tấn công kiểu dò port và ping quét

- Tấn công theo kiểu dò port và ping quét rất khó loại bỏ hoàn toàn trong

hệ thống mạng ví dụ nếu tắt đi ICMP echo và reply trên router thì ping quét có thể bị loại bỏ nhưng lại gây khó khăn cho người quản trị trong việc chẩn đoán / kiểm tra kết nối khi có sự cố xảy ra Tuy nhiên tấn công quét port vẫn có thể hoạt động mà không cần ping quét đi kèm Một số thiết bị phát hiện xâm nhập (IDS) có thể thông báo cho người quản trị khi phát hiện được đang có các tấn công do thám xảy ra

4.4.1.3.Thực hiện yêu cầu dò tìm thông tin trên Internet

- Các yêu cầu về tên miền (DNS queries) có thể giúp phát hiện một số thông tin chẳng hạn như ai đang sở hữu tên miền và các địa chỉ nào được dùng cho tên miền đó Ping quét các địa chỉ này sẽ giúp cho chủ thể tấn công có một cái nhìn tổng quát về những thiết bị nào đang “sống” trong môi trường này Khi đó, các công cụ quét port có thể phát hiện được những dịch vụ nào đang chạy trên các máy này Cuối cùng, hacker có thể giám sát các đặc tính của các ứng dụng chạy trên máy cụ thể nào đó, bước này có thể dẫn đến việc thu thập một số thông tin để gây tổn hại đến dịch vụ đó

- Việc dò tìm địa chỉ IP như trên có thể biết được những thông tin như ai đang sở hữu những địa chỉ IP nào và tên domain liên kết tới những địa chỉ này

4.4.2. Tấn công theo kiểu truy xuất và một số phương pháp làm giảm kiểu tấn công này

- Tấn công theo kiểu truy xuất khai thác những lổ hỗng trong các dịch vụ xác thực, FTP, Web … để lấy các dữ liệu như các tài khoản đăng nhập Web, các cơ sở dữ liệu nội bộ hoặc các thông tin nhạy cảm Ngoài ra, chủ thể tấn công còn có thể nắm quyền truy nhập và tự làm tăng quyền truy xuất vào hệ thống

- Tấn công theo kiểu này bao gồm những dạng sau:

+ Tấn công dò tìm mật khẩu

+ Khai thác những điểm đáng tin cậy

+ Chuyển hướng port ứng dụng

+ Tấn công theo kiểu man-in-the-middle attack

4.4.2.1.Tấn công dò tìm mật khẩu

- Hacker có thể dò tìm mật khẩu sử dụng một vài cách thức như: tấn công theo kiểu Brute-force, dùng các chương trình Trojan horse, các công cụ bắt gói hay kỹ thuật IP Spoofing Mặc dù các kỹ thuật bắt gói hay IP Spoofing có thể giúp tìm ra được tài khoản của người sử dụng (username, password), tấn công dò tìm mật khẩu luôn luôn liên hệ tới việc thử-và-sai lặp đi lặp lại thông tin tài khoản, kiểu này còn được gọi là tấn công theo kiểu Brute-force