Triển khai hệ thống phân tích mã độc trên nền hệ điều hành IOS bằng phần mềm mã nguồn mở Cuckoo Sandbox

Ngày nay, phát tán mã độc đã thực sự trở thành một ngành “công nghiệp” trong các hoạt động gián điệp và phá hoạt hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã độc không chỉ tổn hại ở những phát triển mà ngay tại các nước đang phát triển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các hacker tấn công. Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ tới các cơ quan tài chính như ngân hàng, viện nghên cứu, trường đại học,… Các phần mềm, ứng dụng chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn.

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN CHUYÊN ĐỀNGÀNH: MẠNG MÁY TÌNH

TÊN ĐỀ TÀI:

TRIỂN KHAI HỆ THỐNG PHÂN TÍCH MÃ ĐỘC TRÊN NỀN HỆ ĐIỀU HÀNH IOS BẰNG PHẦN MỀM

MÃ NGUỒN MỞ CUCKOO SANDBOX

Họ tên GVHD : Th.s Lê Tự Thanh SVTH :Trần Bình Dương Lớp : CCMM07A009

Đà Nẵng, tháng 6 năm 2016

MỤC LỤC

MỤC LỤC 1

DANH MỤC HÌNH ẢNH 3

MỞ ĐẦU 4

CHƯƠNG 1-TỔNG QUAN VỀ HỆ ĐIỀU HÀNH IOS VÀ MÃ ĐỘC 6

I TỔNG QUAN VỀ HỆ ĐIỀU HÀNH IOS 6

1.1.ĐỊNH NGHĨA IOS : 6

1.2.TỔNG QUAN VỀ KIẾN TRÚC CỦA IOS: 6

II.TỔNG QUAN VỀ MÃ ĐỘC 7

1.1 KHÁI NIỆM VỀ MÃ ĐỘC 7

1.2 PHÂN LOẠI MÃ ĐỘC 7

1.2.1 Virus 7

1.2.2 Compiled Virus 8

1.2.3 Interpreted Virus 8

1.2.5 Trojan Horse 9

1.2.6 Malicious Mobile Code 9

1.2.7 Tracking Cookie 10

1.2.8 Attacker Tool 10

1.2.9 Rootkits 11

1.2.10 Web Browser Plug-in 11

1.2.13 Phishing 11

1.3 LƯỢC SỬ VỀ MÃ ĐỘC 14

1.4 GIỚI THIỆU VỀ VAI TRÒ CỦA VIỆC PHÂN TÍCH MÃ ĐỘC 17

CHƯƠNG 2- PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 18

2.1 QUI TRÌNH PHÂN TÍCH MÃ ĐỘC 18

2.2 KIỂM TRA, PHÁT HIỆN VÀ LẤY MẪU MÃ ĐỘC 20

2.2.1 Kiểm tra các phần mềm khởi động cùng hệ thống 21

2.3 THIẾT LẬP MÔI TRƯỜNG PHÂN TÍCH AN TOÀN 21

2.4 PHÂN TÍCH ĐỘNG 22

2.4.1 Sử dụng các công cụ Sandbox 22

2.4.2 Giám sát hoạt động của tiến trình 23

CHƯƠNG 3 – HỆ THỐNG PHÂN TÍCH MÃ ĐỘC 25

3.1 Hệ thống phân tích Mã độc tự động Cuckoo Sandbox 25

3.1.1 Giới thiệu hệ thống 25

3.1.2 Cài đặt hệ thống 26

3.1.3 Sử dụng Cuckoo Sandbox để phân tích Mã độc 28

KẾT LUẬN 29

TÀI LIỆU THAM KHẢO 30

DANH MỤC HÌNH ẢNH

Hình 1.1: Kiến trúc hệ điều hành iOS 7

Hình 1.2: Thống kê các loại mã độc mới xuất hiện theo năm 13

Hình 2.1 Qui trình phân tích Mã độc 18

Hình 2.2 Mô hình hệ thống ảo hóa 21

Hình 3.1 Giao diện phầm mềm Cuckoo Sandbox 25

Hình 3.2 Sơ đồ hệ thống phân tích mã độc Cuckoo Sandbox 26

MỞ ĐẦU

Ngày nay, phát tán mã độc đã thực sự trở thành một ngành “công nghiệp” trongcác hoạt động gián điệp và phá hoạt hệ thống, phần mềm hiện nay Theo thống kê từcác cơ quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt độngphát tán mã độc không chỉ tổn hại ở những phát triển mà ngay tại các nước đang pháttriển như Việt Nam cũng trở thành mảnh đất màu mỡ cho các hacker tấn công Mã độcđược phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ tới các cơquan tài chính như ngân hàng, viện nghên cứu, trường đại học,… Các phần mềm, ứngdụng chứa mã độc được tồn tại dưới rất nhiều hình thức và có khả năng lây lan vôcùng lớn

Thế giới đang chứng kiến những thay đổi lớn và có sự phát triển nhanh chóng vềmọi mặt, nhất là trong ngành công nghệ thông tin; phần mềm mã độc cũng không nằmngoài xu hướng đó Từ thời điểm lý thuyết tự nhân bản của phần mềm máy tính đượcJohn von Neuman (1903-1957) đưa ra (năm 1941) đến khi xuất hiện virus đầu tiênphải mất hơn 3 thập kỷ, nhưng với sự bùng nổ của Internet mã độc cũng theo đó bùng

nổ theo Song song với việc ứng dụng công nghệ thông tin, mã độc cũng đã và đanglen lỏi vào mọi mặt của đời sống, gây ra những thiệt hại vô cùng nghiêm trọng cả vềkinh tế lẫn an ninh, quốc phòng

Khi nói về chống phần mềm độc hại, ta thường nói tới phần mềm chống virusnhưng không phải lúc nào phần mềm chống virus cũng có hiệu quả Do đó, việc nângcao ý thức cảnh giác để phòng ngừa và hơn thế nữa là phân tích, vô hiệu hoá phầnmềm độc hại trở thành nhu cầu tất yếu

Vấn đề phân tích, chống phần mềm mã độc đã được vô số các hãng bảo mật trênthế giới tiến hành đầu tư nghiên cứu; từ các hãng lớn như Internet McAfee, Kaspersky,Norton … cho tới các nhóm phát triển phần mềm đơn lẻ Một số ứng dụng điển hình

có thể kể đến như: McAfee Antivirus, Kaspersky Antivirus, Norton Antivirus,Microsoft Security Essentials, AVG Anti-Virus … Tuy nhiên, do sự phát triển củaphần mềm mã độc luôn đi trước các chương tình diệt virus một bước nên việc nghiêncứu, phân tích mã độc càng trở nên quan trọng và cấp thiết để làm sao hạn chế đượctối đa những thiệt hại do phần mềm mã độc gây ra

Trên cơ sở kiến thức về an toàn thông tin, lý thuyết về hệ điều hành và nhu cầuthực tế, hướng tới xây dựng một chương trình đánh giá an ninh tiến trình nhằm hỗ trợquá trình phát hiện mã độc Ngoài ra, đề tài còn có thể được phát triển để ứng dụngphục vụ cho các cơ quan chính phủ (an ninh, quốc phòng…) cũng như các tổ chức, cá

nhân có nhu cầu.

Nhằm góp phần để hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại củaviêc phát tán mã độc trên hệ thống, các thiết bị thông minh,… Đề tài đã tìm hiểu về

“Triển khai phân tích mã độc trền nền hệ điều hành IOS bằng mã nguồn mở

Cuckoo Sandbox”

Ngoài phần Mở đầu, Kết luận và Phụ lục, nội dung đồ án được chia làm 4 chươngchính:

Chương 1 Tổng quan về Hệ điều hành IOS vàMã độc: chương này giới thiệu

hệ điều hành IOS và những vấn đề cơ bản nhất về Mã độc, lịch sử và xu thế phát triểnchúng

Chương 2 Phương pháp phân tích Mã độc: Chương này mô tả các bước trong

phân tích Mã độc cũng như xây dựng một quy trình phân tích Mã độc

Chương 3 Xây dựng phần mềm hỗ trợ phân tích Mã độc: áp dụng lý thuyết đã

đưa ra trong Chương 3 để xây dựng phần mềm hỗ trợ phân tích Mã độc Giới thiệu hệthống phân tích Mã độc tự động Cuckoo Sandbox

Phần Kết luận: trình bày tổng hợp các kết quả nghiên cứu của đồ án và định

hướng nghiên cứu tiếp theo

Đồ án đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuật phântích Mã độc, đưa ra được quy trình phân tích đồng thời xây dựng được một công cụ hỗtrợ phân tích hiệu quả Tuy nhiên, đồ án không thể tránh khỏi những thiếu sót, vì vậytôi rất mong nhận được những ý kiến đóng góp, nhận xét của thầy cô giáo và bạn đọc

để kết quả nghiên cứu được ngày một hoàn thiện hơn

CHƯƠNG 1-TỔNG QUAN VỀ HỆ ĐIỀU HÀNH IOS VÀ MÃ ĐỘC

I TỔNG QUAN VỀ HỆ ĐIỀU HÀNH IOS

1.1.Định nghĩa iOS :

iOS viết tắt của từ Internetwork Operating System, là một hệ điều hành hoạtđộng trên phần cứng của router Cisco, nó điều khiển hoạt động định tuyến và chuyểnmạch của một router.Trên hệ điều hành iOS thì gồm có 3 phần : aaaa- bbbb-cccctrong đó :

- aaaa : dòng sản phẩm áp dụng hệ điều hành này

- bbbb : các tính năng của iOS

- cc : định dạng file iOS, nơi iOS chạy, kiểu nén của iOS Ví dụ : tên một iOS :C3620-i-mz_113-8T.bin

iOS là hệ điều hành trên các thiết bị di động của Apple.Ban đầu hệ điều hànhnày chỉ được phát triển để chạy trên iPhone, nhưng sau đó nó đã được mở rộng đểchạy trên các thiết bị của Apple như iPod touch, iPad và Apple TV

Giao diện người dùng của iOS dựa trên cơ sở thao tác bằng tay trên màn hìnhcảm ứng của các thiết bị Apple

1.2.Tổng quan về kiến trúc của iOS:

Khi mà lợi ích của việc định tuyến qua mạng trở nên phát triển, đòi hỏi routerphải hỗ trợ một số những giao thức và cung cấp những chức năng khác, như cầu nốigiữa các mạng Cisco đã thêm những tính năng mới cho phần mềm của router.Kết quả

có nhiều chức năng cầu nối và định tuyến như ngày nay Nhưng hầu như cấu trúc cơbản của hệ điều hành vẫn giống như ban đầu.iOS là một cấu trúc đơn giản, nhỏ, đượcthiết kế dựa vào những ràng buộc về bộ nhớ, về tốc độ, phần cứng của router

Hình 1.1: Kiến trúc hệ điều hành iOS

II.TỔNG QUAN VỀ MÃ ĐỘC

1.1 Khái niệm về Mã độc

Mã độc hại (Mã độc hay Maliciuos code) là một phần mềm được chèn một cách

bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tínhsẵn sàng của hệ thống

Hiện nay, mã độc không chỉ xuất hiện trong các máy tính mà còn xuất hiệntrong các thiết bị điện tử, thiết bị số khác như điện thoại di động, các thiết bị điềukhiển từ xa…

1.2 Phân loại Mã độc

Có nhiều cách phân loại mã độc khác nhau, dựa vào các tiêu chí khác nhau Tuynhiên, định nghĩa đưa ra bởi NIST là cách định nghĩa phổ biến nhất trong ngành khoahọc máy tính ngày nay

1.2.1 Virus: Là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản

và lây nhiễm chính nó vào các file, phần mềm hoặc máy tính Như vậy, có thể suy ravirus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứngdụng) để lây lan Các phần mềm diệt virus dựa vào đặc tính này để thực thi việc phòngchống/diệt virus, để quét các file trên thiết bị lưu hoặc quét các file trước khi lưuxuống ổ cứng, Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại

PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệuhoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên khôngthể thực thi việc xoá đoạn mã độc hại đó được

1.2.2 Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh

bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành Các loại boot

virus (như Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong

những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể được pha trộn bởi

cả boot virus va file virus trong cùng một phiên bản

1.2.3 Interpreted Virus là một tổ hợp của mã nguồn mà chỉ thực thi được dưới

sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống Một cáchđơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới đượcthực thi Macro virus, scripting virus là các virus nằm trong dạng này Macro virus rấtphổ biến trong các ứng dụng Microsoft Office khi tận dụngkhả năng kiểm soát việc tạo

và mở file để thực thi và lây nhiễm Chúng ta phân biệt giữa macro virus và scriptingvirus như sau: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting

virus là tập lện chạy bằng một service của hệ điều hành Melisa là một ví dụ xuất sắc

về macro virus, Love Stages là ví dụ cho scripting virus.

1.2.4 Worm: cũng là một phần mềm có khả năng tự nhân bản và tự lây nhiễm

trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là wormkhông cần phải có “file chủ” để chứa nó khi đã nhiễm vào hệ thống Như vậy, có thểthấy rằng chỉ dùng các phần mềm quét file sẽ không diệt được worm trong hệ thống vìworm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng Mục tiêu củaworm bao gồm cả việc làm lãng phí nguồn lực băng thông của mạng cũng như pháhoại hệ thống (xoá file, tạo backdoor, thả keylogger, ) Worm có đặc trưng là khảnăng tấn công lan rộng cực kỳ nhanh chóng do không cần tác động của con người (nhưkhởi động máy, sao chép file hay đóng/mở file) Nhìn chung, Worm có thể chia làm 2loại:

- Network Service Worm: Lan truyền bằng cách lợi dụng các lỗ hổng

bảo mật của mạng, của hệ điều hành hoặc của ứng dụng Sasser là ví

dụ cho loại sâu này

- Mass Mailing Worm: Là một dạng tấn công qua dịch vụ mail, tuynhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vàovật chủ là email Khi sâu này lây nhiễm vào hệ thống, nó thường cốgắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thunhặt được Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá

tải cho mạng hoặc cho máy chủ mail Netsky, Mydoom là ví dụ cho

thể loại này

1.2.5 Trojan Horse: Là loại mã độc hại được đặt theo sự tích “Ngựa thành

Troa” Trojan horse không tự nhân bản Nó lây vào hệ thống với biểu hiện ban đầu rất

ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại.Trojan có thể lựa chọn một trong 3 phương thức để gây hại như sau:

- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, bêncạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ nhưgửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một phầnmềm đánh cắp password)

- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, nhưngsửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lậpmột cửa sổ login để lấy password) hoặc che giấu các hành động pháhoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khácbằng cách tắt các hiển thị của hệ thống)

- Thực thi luôn một phần mềm gây hại bằng cách núp dưới danh mộtphần mềm không có hại (ví dụ như một trojan được giới thiệu như làmột trò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạtfile này là lập tức dữ liệu trên PC sẽ bị xoá hết)

1.2.6 Malicious Mobile Code: Là một dạng mã phần mềm có thể được gửi từ xa

vào một hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó.Malicious Mobile Code được coi là khác với virus, worm do đặc điểm không nhiễmvào file và không tìm cách tự phát tán Thay vì khai thác một điểm yếu bảo mật xácđịnh nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng cácquyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lập trình như Java, ActiveX,JavaScript, VBScript là môi trường tốt cho Malicious mobile code Một trong những

ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụng JavaScript.

Kiểu tấn công của Nimda thường được biết đến như một tấn công hỗn hợp

(Blended Atatck) Cuộc tấn công bắt đầu khi người dùng mở một email độc

bằng web-browser Sau khi nhiễm vào máy, Nimda sẽ cố gắng sử dụng sổ

địa chỉ email của máy đó để phát tán tới các máy khác Mặt khác, từ máy đã

bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ

mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển file nhiễm virus tới các máy đó Đồng thời Nimda cố gắng dò quét

để phát hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật củaMicrosoft Khi tìm thấy, nó sẽ copy bản thân nó vào server Nếu một webclient có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đó

cũng bị nhiễm (lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễmvirus”) Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân.

1.2.7 Tracking Cookie: Là một dạng lạm dụng cookie để theo dõi hành động

duyệt web của người sử dụng một cách bất hợp pháp Cookie là một file dữ liệu chứathông tin về việc sử dụng một trang web cụ thể nào đó của web-client Mục tiêu củaviệc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ra giaodiện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client Tuynhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp (spyware)nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá nhân

1.2.8 Attacker Tool: Là những bộ công cụ tấn công có khả năng đẩy các phần

mềm độc hại vào trong hệ thống Các bộ công cụ này giúp kẻ tấn công truy nhập bấthợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại Khi được tảivào trong hệ thống bằng các đoạn mã độc hại, attacker tool có thể chính là một phầncủa đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau

khi nhiễm Attacker tool thường gặp là backdoor và keylogger

Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và

đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP Phần lớn cácbackdoor cho phép kẻ tấn công thực thi một số hành động trên máy bị nhiễmnhư truyền file, dò mật khẩu, thực hiện mã lệnh, Backdoor cũng có thểđược xem xét dưới 2 dạng: Zoombie và Remote Administration Tool

- Zoombie (có thể đôi lúc gọi là bot): là một phần mềm được cài đặt lên

hệ thống nhằm mục đích tấn công hệ thống khác Kiểu thông dụngnhất của Zoombie là dùng các agent để tổ chức một cuộc tấn côngDDoS Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy

tính rồi ra lệnh tấn công cùng một lúc Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.

- Remote Administration Tool là các công cụ có sẵn của hệ thống chophép thực hiện quyền quản trị từ xa Tuy nhiên hacker cũng có thể lợidụng tính năng này để xâm hại hệ thống Tấn công kiểu này có thểbao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến

tác động vào cấu hình của hệ thống Ví dụ về công cụ RAT là: Back Orifice, SubSeven,

Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn

bằng bàn phím rồi gửi tới hacker Keylogger có thể ghi lại nội dung của

email, của văn bản, user name, password, thông tin bí mật Một số ví dụ về

keylogger: KeySnatch, Spyster,

1.2.9 Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi các

chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn sự tấn công nguy hiểm Ví

dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay thế file, hoặc thường trútrong bộ nhớ rồi thay thế, sửa đổi các lời gọi hàm của hệ điều hành Rootkit thườngđược dùng để cài đặt các công cụ tấn công như cài backdoor, cài keylogger Ví dụ về

rootkit là: LRK5, Knark, Adore, Hack Defender.

1.2.10 Web Browser Plug-in: là phương thức cài mã độc hại thực thi cùng với

trình duyệt web Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành viduyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi thông tin

ra ngoài Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại tựđộng, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại ngầm định mặc

dù không được phép của chủ nhân

1.2.11 Email Generator: là những phần mềm cho phép tạo ra và gửi đi một số

lượng lớn các email Mã độc hại có thể gieo rắc các email generator vào trong hệthống Các phần mềm gián điệp, spam, mã độc hại có thể được đính kèm vào các emailđược sinh là từ email generator và gửi tới các địa chỉ có trong sổ địa chỉ của máy bịnhiễm

1.2.12 Attacker Toolkit: là các bộ công cụ có thể được tải xuống và cài vào hệ

thống khi hệ thống đã bị khống chế bởi phần mềm độc hại Các công cụ như các bộ dòquét cổng (port scanner), bộ phá mật khẩu (password cracker), bộ dò quét gói tin(Packet Sniffer) chính là các Attacker Toolkit thường hay được sử dụng

1.2.13 Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã

độc hại Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máytính giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụnhư mật khẩu, số tài khoản, thông tin cá nhân ) Kẻ tấn công phishing thường tạo ratrang web hoặc email có hình thức giống hệt như các trang web hoặc email mà nạnnhân thường hay sử dụng như trang web của Ngân hàng, của công ty phát hành thẻ tíndụng, Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cungcấp các thông tin bí mật về tài khoản, về mật khẩu Các thông tin này sẽ được sửdụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bấthợp pháp khác

1.2.14 Virus Hoax là các cảnh báo giả về virus Các cảnh bảo giả này thường núp

dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báo virus giả

là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email Bản thâncảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo cóthể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệđiều hành, xoá file làm nguy hại tới hệ thống Kiểu cảnh báo giả này cũng gây tốn thờigian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầudịch vụ

Mục đích của mã độc:

- Khẳng định bản thân

- Học tập, nghiên cứu

- Phá hủy dữ liệu, hệ thống máy tính

- Theo dõi và đánh cắp thông tin máy tính, thông tin cá nhân người dùng…

1.1.2 Các thức lây nhiễm mã độc

- Lây nhiễm theo cách cổ điển: mã độc lây nhiễm từ máy tính này sang máy tínhkhác, từ thiết bị này sang thiết bị khác thông qua các phương tiện lưu trữ dữ liệu như:đĩa CD, USB flash, Ổ cứng di động…

- Lây nhiễm qua thư điện tử: mã độc được gắn vào các thư điện tử, các tệp tinđính kèm, các đường link ẩn… người sử dụng khi nhận được thư điện tử đã khôngkiểm tra kỹ, gián tiếp thực thi mã độc

- Lây nhiễm qua truy cập trang web: mã độc được gắn trên các banner, quảngcáo của các trang web, người sử dùng sẽ trực tiếp hoặc gián tiếp truy cập vào các trangweb bị dính mã độc và bị lây nhiễm

- Lây nhiễm qua các phần mềm cài đặt: mã độc được đính kèm trong các phầnmềm cài đăt, người sử dụng sẽ bị lây nhiễm khi thực hiện quá trình cài đặt hoặc saukhi cài đặt phần mềm Các lây nhiễm này thường dựa vào sự thiếu hiểu biết hoặckhông đọc kỹ các yêu cầu cài đặt của phần mềm

- Lây nhiễm qua khai thác lỗi bảo mật: thông qua việc khai thác cáclỗi bảo mậttrên hệ điều hành, cấu trúc tệp tin… để cài các mã độc nên máy tính nạn nhân

1.1.3 Các loại mã độc mới và dự đoán xu hướng mã độc trong tương lai

Theo AV-Test, có đến hơn 140 triệu loại mã độc mới xuất hiện trong năm

2014, nhiều hơn hẳn so với các năm trước Bên cạnh sự vượt trội về số lượng, cũng

có thể thấy năm 2014 xuất hiện nhiều mã độc có đặc điểm khác biệt so với các mãđộc trước đây Các loại mã độc mới ngày càng được thiết kế tinh vi hơn, đặc biệt các

mã độc được thiết kế cho mục đích tấn công có chủ đích nhằm vào cá nhân hoặc các

tổ chức lớn

Hình 1.2: Thống kê các loại mã độc mới xuất hiện theo năm.

Dự đoán trong những năm tới xu hướng phát triển của mã độc sẽ tiếp tục xuấthiện các phần mềm gián điệp tinh vi nhằm vào hạ tầng trọng yếu của các quốc gia đểđánh cắp và phá huỷ Các mã độc trên di động tiếp tục tăng nhanh và sẽ xuất hiệnnhiều biến thể phần mềm mã hoá tống tiền (ransomware) trên di động Quyền riêng tưcủa người sử dụng tiếp tục là vấn đề nóng đặc biệt là trên các hãng sản xuất thiết bị diđộng hoặc các ứng dụng di động Có thể xuất hiện nhiều vụ lọ lọt dữ liệu của người

sử dụng tương tự như vụ các diễn viên nổi tiếng bị lộ ảnh nóng trên iCloud Các dịch

vụ lưu trữ dữ liệu đám mây gặp phải sự nghi ngại của người sử dụng do vấn đề đảmbảo an toàn Mạng xã hội như Facebook sẽ trở thành con đường chủ yếu để những kẻlừa đảo hoạt động Các cuộc tấn công mạng mang màu sắc chính trị gia tăng giữanhóm hacker của các quốc gia Hacker tiếp tục nhằm vào các giao thức mạng hoặcthư viện quan trọng với hy vọng tìm ra những lỗ hổng tương tự Heartbleed hayShellshock Doanh nghiệp đối đầu với các cuộc tấn công đánh cắp dữ liệu ngày càngtinh vi Đặc biệt là các tổ chức tài chính và cung cấp dịch vụ internet

Vào cuối thập niên 1960 đầu thập niên 1970, trên các máy Univax 1108 xuất hiệnmột phần mềm “Pervading Animal” mà tự nó có thể nối với phần sau của tập tin thựcthi Lúc đó chưa có khái niệm virus.

Năm 1981: Các Mã độc đầu tiên xuất hiện trong hệ điều hành của máy tính Apple

II Đây cũng là những virus đầu tiên xuất hiện trên hệ điều hành của hãng Apple,chúng lây lan khắp hệ thống máy tính của công ty Texas A&M, thông qua các trò chơikhông có bản quyền trên đĩa mềm Những người đầu tiên phát hiện đã gọi chúng là ElkCloner

Năm 1983: Fred Cohen đưa ra khái niệm đầu tiên về Virus: “Là một phần mềmmáy tính có thể tác động những phần mềm máy tính khác bằng cách sửa đổi chúngdùng phương pháp đưa vào một bản sao của nó” Fred Cohen luôn là cái tên đầu tiênđược nhắc đến khi nói về lịch sử của Mã độc

Năm 1986: Virus “Brain” được phát hiện, đây là virus đầu tiên được phát hiện trênmáy tính cá nhân Virus này được tạo ra tại Pakistan bởi hai anh em lập trình viên làBasit Farooq Alvi và Amjad Farooq Alvi Phần mềm này thay thế các mã thực hiện(Executable code) trong rãnh ghi khởi động (boot sector) của một đĩa mềm 360Kbbằng mã riêng của nó, với mục đích làm lây nhiễm tất cả các ổ đĩa mềm Đây cũng làVirus MS-DOS xuất hiện sớm nhất

Năm 1987: Lehigh, một trong những Virus file đầu tiên xâm nhập các tập lệnhCommand.com (Virus này sau đó tiến hóa thành Virus Jerusalem) Cũng trong nămnày, Virus IBM Chrismast cũng được phát hiện, với tốc độ lây nhiễm cực nhanh tớihàng nghìn bản sao trên giờ, đây là cơn ác mộng thực sự đối với các máy tính lớn(mainframe) của Big Blue

Năm 1988: Virus Jerusalem, một trong những Virus phổ biến nhất xuất hiện, nó

tấn công đồng loạt các trường đại học và các công ty trên nhiều quốc gia vào đúng thứ

6 ngày 13, Virus này tác động lên các file có đuôi exe và com, đây là loại virus hoạtđộng theo đồng hồ máy tính Cùng năm này, Virus “MacMag and the Scores” gây rađợt bùng phát lớn đầu tiên trên các máy Macintosh Đây cũng là cuộc khủng hoảngInternet đầu tiên khiến một số lượng lớn máy tính bị tê liệt Cũng từ đó, trung tâm điềuphối phản ứng nhanh (CERT) đã ra đời để đối phó với những sự cố tương tự

Năm 1989: Xuất hiện phần mềm Trojan có tên AIDS Trojan này nổi tiếng vì cókhả năng khống chế dữ liệu giống như con tin Nó được gửi đi dưới dạng một phầnmềm thông tin về bệnh suy giảm miễn dịch AIDS Khi được kích hoạt Trojan AIDS sẽ

mã hóa ổ cứng của nạn nhân và yêu cầu người sử dụng phải nộp tiền nếu muốn đượcgiải mã

Năm 1990: Symantec phát triển công cụ Norton AntiVirus, một trong những phầnmềm diệt Virus đầu tiên do công ty lớn phát triển Cũng trong năm này, thị trường traođổi mã độc đầu tiên (VX) được tung lên mạng từ Bulgaria Tại đây, các tin tặc có thểbuôn bán mã và giao lưu các ý tưởng về mã độc Cuốn sách về Virus máy tính của tácgiả Mark Ludwig được xuất bản cùng thời gian này

Năm 1991: Mã độc đa hình (Polymorphic Mã độc) ra đời, đầu tiên là Sâu

“Tequilla” Mã độc dạng này có khả năng tự thay đổi hình thức của nó, gây khó khăncho các phần mềm chống Virus, nó khiến cho việc phát hiện và truy quét trở nên rấtphức tạp

Năm 1992: Trong vòng 2 năm, đã ghi nhận được tổng số hơn 1.300 Mã độc đangtồn tại, tăng 420% so với tháng 12 năm 1990 Xuất hiện DAME (Dark AvengerMutation Engine) - một bộ công cụ cho phép chuyển những mã độc thông thườngthành những phần mềm có khả năng thay đổi hình dạng Sau đó là VCL (VirusCreation Laboratory), một công cụ chế tạo Mã độc thực sự ra đời Sự xuất hiện củaVirus MichelLangelo làm dấy lên lời cảnh báo về thiệt hại quy mô lớn trên toàn cầu,mặc dù cuối cùng sự phá hoại của Virus này đã không xảy ra như lo ngại

DOS

Năm 1994: Xuất hiện OneHalf, đây là một virus máy tính đa hình trên nền

Năm 1995: Macro Virus đầu tiên xuất hiện, có tên gọi “Concept”, chúng lây lanqua các ứng dụng MS-Office

Năm 1996: “Ply” - Virus đa hình phức tạp được xây dựng dựa trên công cụ hoánvị