Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)

Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)Nghiên cứu mã độc ransomware và biện pháp phòng chống (LV thạc sĩ)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

LUẬN VĂN THẠC SỸ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC

TS ĐỖ XUÂN CHỢ

HÀ NỘI – 2017

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả luận văn

Lê Long Bình

LỜI CẢM ƠN

Trên thực tế không có thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ Trong suốt thời gian từ khi bắt đầu học tập tại trường đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô Khoa Quốc tế và đào tạo sau Đại học của trường Ho ̣c Viê ̣n Công nghê ̣ Bưu chính Viễn Thông đã cùng với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu và luôn luôn tạo mọi điều kiện tốt nhất cho em trong suốt thời gian học tập tại trường Em xin chân thành cảm ơn Thầy, Cô và Ban lãnh đạo nhà trường!

Với lòng biết ơn sâu sắc nhất em xin gửi lời cảm ơn tới TS.Đỗ Xuân Chợ,

Khoa Công nghệ Thông tin - Học viện Công Nghệ Bưu Chính Viễn Thông, là cán

bộ trực tiếp hướng dẫn khoa học cho em Thầy đã dành nhiều thời gian cho việc hướng dẫn em cách nghiên cứu, đọc tài liệu và giúp đỡ em trong việc xây dựng chương trình

Và cuối cùng em xin bày tỏ lòng chân thành và biết ơn sâu sắc tới lãnh đạo khoa Công Nghệ Thông Tin - Học Viện Công Nghệ Bưu chính Viễn Thông cùng bạn bè đồng nghiệp đã luôn ở bên cạnh những lúc em khó khăn và tạo điều kiện thuận lợi giúp em hoàn thành luận văn

Em xin chân thành cảm ơn!

Hà Nội, ngày 30 tháng 5 năm 2017

Học viên

Lê Long Bình

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN iv

MỤC LỤC v

DANH MỤC CÁC HÌNH VẼ viii

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE………….………5

1.1 Giới thiệu chung về mã độc 5

1.1.1 Khái niệm 5

1.1.2 Phân loại Error! Bookmark not defined 1.1.3 Cách thức phát tán mã độc 12

1.2 Giới thiệu về Ransomware 13

1.2.1 Khái niệm 13

1.2.2 Lịch sử phát triển 13

1.2.3 Phân loại 15

1.3 Nguyên tắc hoạt động của Ransomware 22

1.3.1 Lây nhiễm 22

1.3.2 Dấu hiệu nhận biết nhiễm ransomware và xử lý 24

1.3.3 Mã hóa và giải mã 25

1.3.4 Phân phối và quản lý khóa 27

1.4 Tình hình phát triển mã độc ransomware và những biến thể mới 31

Kết chương 36

CHƯƠNG 2: GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC RANSOMWARE 37

2.1 Con người 37

2.1.1 Nâng cao nhận thức về an toàn thông tin 37

2.1.2 Đào tạo kỹ thuật an toàn thông tin 38

2.2 Công nghệ 38

2.2.1 Antivirus 38

2.2.2 Firewalls 40

2.2.3 Instrution Detection (IDS/ Instrution Prevention(IPS) 41

2.2.4 Sandboxing 42

2.2.5 Security Information Event Management (SIEM) 43

2.2.6 Web Gateway 44

2.2.7 Mail Gateway 44

2.2.8 Big data (Dữ liệu lớn) 44

2.2.9 Giải pháp của các hãng bảo mật 45

Kết chương 56

CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 57

3.1 Giới thiệu các công cụ thực nghiệm 57

3.2 Thực nghiệm tấn công 59

3.3 Đánh giá 64

Kết chương 65

KẾT LUẬN 68

DANH MỤC TÀI LIỆU THAM KHẢO 70

DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT

RSA Rivest Shamir Adleman Mã hóa khóa công khai

SIEM Security Information Event

IDS Instrution Detection Hệ thống phát hiện xâm nhập

RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên

IP Internet Protocol Giao thức kết nối Internet

NIST National Institute of Standart

and Technology

Viện tiêu chuẩn và kỹ thuật quốc gia Hoa Kỳ

DANH MỤC CÁC HÌNH VẼ

Hình 1.1: Phân loại mã độc theo hình thức lây nhiễm 6

Hình 1.2: Phân loại theo chuẩn NIST 7

Hình 1.3: Thông báo của mã độc Reventon 19

Hình 1.4: Giao diện thông báo của Cryptolocker 20

Hình 1.5: Giao diện thông báo của Fusob 21

Hình 1.6: Giao diện thông báo của WannaCry 22

Hình 1.7: Một số hình thức lây lan Ransomware 23

Hình 1.8: Phát tán mã độc ransomware 23

Hình 1.9: Mô hình mã hóa của giải thuật mã hóa AES 128 bit 26

Hình 1.10: Mô hình giải thuật mã hóa RSA 27

Hình 1.11: Mô hình trao đổi khóa của ransomware xử dụng phương pháp 2 30

Hình 1.12: Mô hình trao đổi khóa xử dụng phương pháp 1 31

Hình 1.13: Thông điệp đòi tiền chuộc của Locky bằng tiếng anh 34

Hình 1.14: Trang web thông báo thanh toán bitcoin khi bị nhiễm CERBER 35

Hình 2.1: Các phần mềm Antivirus phổ biến hiện nay Error! Bookmark not defined Hình 2.2: Mô hình tưởng lửa ngăn chặn hình thức phát tán ransomware 41

Hình 2.3: Mô hình hệ thống SIEM 43

Hình 2.4: Mô hình Web Gateway 44

Hình 2.5: Mô hình Mail Gateway 45

Hình 2.6 Mô hình giải pháp ZombieZERO 46

Hình 2.7: So sánh giải pháp ZombieZERO với các giải pháp khác 47

Hình 2.8: Giao diện của Trend Micro Antivirus+ 49

Hình 2.9: Giao diện của Kaspersky anti-ransomware 49

Hình 2.10: Giao điện sử dụng của CMC CryptoShield 51

Hình 3.1: Giao diện VMware Workstation 10 58

Hình 3.2: Giao diện của website chứa ransomware 60

Hình 3.3: Nạn nhân nhận được thư cảnh báo 61

Hình 3.4: Nội dung email gửi cho nạn nhân 61

Hình 3.5: Một phần nội dung của công văn 62

Hình 3.6: Nạn nhân truy cập vào liên kết để tải về tập tin 62

Hình 3.7: File AntiWanaCry được tải về trên máy nạn nhân 63

Hình 3.8: Giao diện máy tính nạn nhân trước khi bị tấn công 63

Hình 3.9: Giao diện máy tính nạn nhân lúc cài đặt 64

Hình 3.10: File dữ liệu bị mã hóa 64

Hình 3.11: Thông báo của mã độc ransomware trên máy nạn nhân 65

Hình 3.12: Website đòi tiền chuộc 65

Hình 3.13: Xuất hiện file thực thi nghi ngờ trên máy nạn nhân 66

Hình 3.14: Kết quả kiểm tra file thực thi nghi ngờ trên virustotal 66

Hình 3.15: Nạn nhân không tải được phần mềm AntiWanaCry 67

DANH MỤC CÁC BẢNG Bảng 1.1: Một số ransomware phổ biến 16

Bảng 1.2: Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2014-2015 32

Bảng 1.3: Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2015-2016 33

Bảng 1.4: Số lượng người dùng bị tấn công ransomware giai đoạn 2014-2016 34

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mạng Internet, an toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu Cộng đồng công nghệ thông tin, đặc biệt đối với các doanh nghiệp, tổ chức có hạ tầng thông tin tiên tiến hiện nay đang phải đối mặt với sự biến đổi, phức tạp từng ngày của các nguy cơ mất an toàn thông tin

Theo hiệp hội An Toàn Thông Tin Việt Nam hiện nay tội phạm máy tính vẫn đang liên tục gia tăng Bên cạnh đó, với sự xuất hiện ngày càng nhiều các hình thức tấn công hệ thống máy tính với các kỹ thuật tinh vi và phức tạp Đặc biệt trong những năm gần đây, các hình thức tấn công và phát tán mã độc ngày càng phát triển

và trở thành mối quan tâm hàng đầu đối với các công ty và chuyên gia bảo mật Các

tổ chức và cá nhân, doanh nghiệp càng thêm lo lắng về các nguy cơ mất an toàn thông tin hơn khi có sự xuất hiện của mã độc tống tiền (Ransomware) Ransomware

là một biến thể mới của mã độc, khác với các mã độc khác khi đã tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, Ransomware ngay lập tức tìm đến các file dữ liệu trong máy tính nạn nhân

để mã hóa, sau khi mã hóa xong thì toàn bộ dữ liệu này không thể sử dụng được nếu nạn nhân không tự bỏ tiền ra mua khóa bí mật từ kẻ tấn công Gần đây 1 số biến thể mới của Ransomware đã không yêu cầu tiền chuộc mà nó sẽ đưa ra danh sách các phần mềm để bẻ khóa dữ liệu ở trên mạng, tất nhiên các phần mềm này đều yêu cầu trả phí khi tải về

Dự báo thời gian tới, mã độc Ransomware tiếp tục diễn biến phức tạp, khó lường Với việc kết hợp các công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn

Mặc dù, thiệt hại của mã độc Ransomware đã gây ra là rất nghiêm trọng tuy nhiên việc phòng chống hiện nay vẫn bị xem nhẹ, chưa được đầu tư đúng đắn Do

đó, việc nghiên cứu về cơ chế hoạt động của mã độc Ransomware là điều rất quan trọng, giúp người sử dụng internet hiểu được nguy cơ của loại hình tấn công này,

qua đó mới đưa ra được những phương án phòng chống mã độc Ransomware thích hợp để đạt được hiệu quả tốt nhất

Từ những lý do trên, học viên chọn đề tài “Nghiên cứu mã độc Ransomeware và biện pháp phòng chống” Một đề tài còn tương đối mới và chưa được nghiên cứu sâu và rộng Kết quả nghiên cứu của đề tài sẽ đưa ra cái nhìn tổng quan nhất về mã độc Ransomware từ đó sẽ đề xuất các giải pháp để phòng chống

mã độc này Qua đó giúp cho các cá nhân, doanh nghiệp, tổ chức giảm thiểu hay tránh được hậu quả do cuộc tấn công mã độc Ransomeware gây ra

2 Tổng quan vấn đề cần nghiên cứu

Tương tự như các loại mã độc khác, Ransomware xâm nhập vào máy tính người dùng thông qua các dữ liệu đính kèm từ email, phần mềm tải từ Internet hay chỉ đơn giản là từ các website mà người dùng đã duyệt qua Sau khi xâm nhập vào máy tính, nó sẽ tiến hành mã hóa dữ liệu và yêu cầu tiền chuộc

Không dừng lại ở đó, theo nghiên cứu của Cisco và hãng bảo mật Symantec,

mã độc Ransomware ngày càng sở hữu phương thức hoạt động tinh vi, nguy hiểm

Mã độc này không tấn công mục tiêu qua hình thức email lừa đảo (email phishing), thay vào đó, nhắm thẳng vào các lỗ hổng trên máy chủ (server) - tiêu biểu trong số

đó là Samsam - mã độc từng gây tê liệt toàn bộ hệ thống một bệnh viện Mỹ vào tháng 3/2016 (Why malware like the Samsam ransomware are so dangerous for hospitals? - securityaffairs.co)

Nghiên cứu bảo mật từ CyberArk Labs cho thấy trong năm 2015 mã độc Ransomware lây nhiễm gần 407.000 mục tiêu, tiêu tốn của các nạn nhân hơn 325 triệu USD và con số này tiếp tục gia tăng Nguy hiểm hơn, nghiên cứu cho thấy 70% mã độc Ransomware chiếm quyền hạn quản trị trên thiết bị (CyberArk Labs: Ransomware - cyberark.com)

Bên cạnh đó, trong khảo sát mới được Malwarebytes công bố tháng 8-2016 cho thấy, gần 40% của 540 công ty với tổng số nhân viên hơn 3 triệu người là nạn nhân của mã độc Ransomware ( Công bố những loại mã độc ransomware tung

hoành nhiều nhất năm 2015- Dantri.com.vn) Doanh nghiệp vừa và nhỏ trở thành mục tiêu chính của mã độc Ransomware

Trên đây có thể thấy rằng, mức độ nguy hiểm của mã độc Ransomware đã được cảnh báo trước, nhưng các tổ chức, cá nhân, doanh nghiệp vẫn chưa được trang bị các kiến thức cụ thể để có thể tự bảo vệ mình trước cuộc tấn công này Từ những mối nguy hại mà mã độc Ransomware đã, đang và sẽ gây nên thì vấn đề phòng chống như thế nào là vấn đề vô cùng quan trọng và cấp thiết hiện nay Phương pháp phòng chống mã độc Ransomware dựa trên phương diện là quản lý rủi

ro, công nghệ và phương diện con người Tuy nhiên, trong khuôn khổ luận văn, học viên sẽ tập trung đi sâu nghiên cứu và tìm hiểu giải pháp phòng mã độc Ransomware trên phương diện công nghệ Vì mã độc Ransomware đòi hỏi nhiều công cụ cũng như các giai đoạn tấn công để thành công do vậy, giải pháp bảo mật thông minh đó là việc thực hiện chiến lược phòng thủ đa tầng để chống lại mã độc này Điều quan trọng là mã độc Ransomware biến đổi không lường và luôn thay đổi cách thức hoạt động Chính vì vậy không có giải pháp duy nhất nào có thể bảo vệ

dữ liệu khỏi mã độc Ransomware, mà chỉ có cách tích hợp nhiều giải pháp với nhau trong đó sức mạnh của phương pháp này sẽ bù đắp nhược điểm của phương pháp kia Từ đó, các cá nhân, tổ chức và doanh nghiệp tăng khả năng bảo vệ mình trước

mã độc Ransomware

3 Mục đích nghiên cứu

• Nghiên cứu về mã độc Ransomware: đặc điểm, cách thức tấn công; kỹ thuật

phát tán, kỹ thuật mã hóa và giải mã

• Nghiên cứu các giải pháp công nghệ để phòng chống mã độc Ransomware

• Ứng dụng công nghệ để phòng chống mã độc Ransomware

4 Đối tượng và phạm vi nghiên cứu

• Đối tượng nghiên cứu: các kỹ xâm nhập, phát tán mã hóa và giải mã của mã độc Ransomware

• Phạm vi nghiên cứu: Các kỹ thuật, các giải pháp, các công nghệ phòng chống mã độc Ransoware

5 Phương pháp nghiên cứu

5.1 Phương pháp nghiên cứu tài liệu:

- Nghiên cứu lý thuyết và định nghĩa về malware nói chung và Ransomware nói riêng

- Nghiên cứu báo cáo về các cuộc tấn công đã được ghi nhận từ đó tìm hiểu cách thức lây lan

5.2 Phương pháp thực nghiệm:

- Mô phỏng giả lập một cuộc tấn công bằng Ransomware

- Xây dựng mô hình giải pháp công nghệ để ngăn chặn;

Nội dung luận văn gồm ba chương và phần kết luận:

Chương 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE

Chương 2: CÁC GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC RANSOMWARE

Chương 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC RANSOMWARE

1.1 Giới thiệu chung về mã độc

1.1.2 Phân loại

Hiện tại chưa có một tiêu chuẩn chung nào về việc phân loại mã độc, những công ty, tổ chức phát triển phần mềm quét mã độc thường có những cách phân loại riêng của mình Nhưng sự phân loại này cũng chỉ mang tính chất tương đối Để giải quyết vấn đề này nhiều công ty phát triển phần mềm sử dụng một thứ tự ưu tiên nhất định để đặt tên Nếu mã độc có thuộc tính ưu tiên cao hơn thì sẽ phân loại vào

đó, nếu như thứ tự ưu tiên là virus – worm – trojan thì như vậy ramit sẽ được xếp vào là virus, do virus có mức ưu tiên cao hơn Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta đưa ra nhiều tiêu chí để phân loại mã

độ, nhưng 2 tiêu chí được sử dụng nhiều nhất là phân loại theo hình thức lây nhiễm

và theo phân loại của NIST (National Institute of Standart and Technology)

- Phân loại theo hình thức lây nhiễm: Dựa vào hình thức phân loại này thì mã

độc gồm 2 loại chính: một loại cần chương trình chủ để tồn tại và lây nhiễm, chương trình chủ ở đây có thể là các tập tin dữ liệu, các tập tin ứng dụng, hay các tập tin chương trình thực thi… và loại thứ hai đó chính là tồn tại độc lập không cần chương trình chủ để lây nhiễm (xem hình 1.1.) Không cần chương trình chủ nghĩa

là chương trình độc hại có thể được lập lộc và chạy trên hệ điều hành Không độc

lập (needs host program) là một đoạn chương trình đặc biệt thuộc một chương trình nào đó không thể thực thi độc lập như một chương trình thông thường hay tiện ích nào đó mà bắt buộc phải có bước kích hoạt chương trình chủ trước đó thì chương trình mới chạy được

Hình 1.1 Phân loại mã độc theo hình thức lây nhiễm

Hình 1.2 Phân loại theo chuẩn NIST

Từ hình 1.1 và 1.2 có thể hiểu khái niệm về các loại mã độc như sau:

Virus: Với cách định nghĩa, phân loại này, virus là một loại mã độc hại

(Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính Như vậy, theo cách định nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại máy tính đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó

Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi

một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành Các loại boot virus như (Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong

Phishing Virus Hoax

những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể là pha trộn bởi

cả boot virus va file virus trong cùng một phiên bản

Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự

hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống Một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi Macro virus, scripting virus là các virus nằm trong dạng này Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc tạo và mở file để thực thi và lây nhiễm Sự khác nhau giữa macro virus và scripting virus là: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lện chạy bằng một service của hệ điều hành Melisa là một ví

dụ xuất sắc về macro virus, Love Stages là ví dụ cho scripting virus

Worm là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong

hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống, có thể thấy rằng chỉ dùng các chương trình quét file sẽ không diệt được worm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng Mục tiêu của worm bao gồm cả làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger, Tấn công của worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, copy file hay đóng/mở file) Worm có thể chia làm 2 loại:

- Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo

mật của mạng, của hệ điều hành hoặc của ứng dụng Sasser là ví dụ cho loại sâu này

- Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó

tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm

sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail Netsky, Mydoom là ví dụ cho thể loại này

Trojan Horse là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”

Trojan horse không tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại Trojan có thể lựa chọn một trong 3 phương thức để gây hại:

- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp password)

- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khac (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống)

- Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)

Malicious Mobile Code là một dạng mã phần mềm có thể được gửi từ xa

vào để chạy trên một hệ thống mà không cần đến lời gọi thực hiện của người dùng

hệ thống đó Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là

nó không nhiễm vào file và không tìm cách tự phát tán Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụng JavaScript Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn hợp (Blended Atatck) Cuộc tấn công có thể đi tới bằng một email khi người dùng mở một email độc bằng web-browser Sau khi nhiệm vào máy này, Nimda sẽ

cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác Mặt

khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện

để chuyển file nhiễm virus tới các máy đó Đồng thời Nimda cố gắng dò quét để phát hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft Khi tìm thấy, nó sẽ copy bản thân nó vào server Nếu một web client có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”) Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân

Tracking Cookie là một dạng lạm dụng cookie để theo dõi một số hành

động duyệt web của người sử dụng một cách bất hợp pháp Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó

để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá nhân

Attacker Tool là những bộ công cụ tấn công có thể sử dụng để đẩy các phần

mềm độc hại vào trong hệ thống Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm Ví dụ như một hệ thống đã

bị nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống Attacker tool thường gặp là backdoor và keylogger

Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và

đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP Một cách đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh, Backdoor cũng có

thể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool

Zoombie (có thể đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ

thống nhằm mục đích tấn công hệ thống khác Kiểu thông dụng nhất của Zoombie

là các agent dùng để tổ chức một cuộc tấn công DDoS Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng

Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép

thực hiện quyền quản trị từ xa Tuy nhiên hacker cũng có thể lợi dụng tính năng này

để xâm hại hệ thống Tấn công kiểu này có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình của hệ thống Ví dụ về công

cụ RAT là: Back Orifice, SubSeven,

Attacker Toolkit là các bộ công cụ có thể được tải xuống và cài vào hệ

thống khi hệ thống đã bị khống chế bởi phần mềm độc hại Các công cụ kiểu như các bộ dò quét cổng (port scanner), bộ phá mật khẩu (password cracker), bộ dò quét gói tin (Packet Sniffer) chính là các Attacker Toolkit thường hay được sử dụng

Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã độc

hại Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví

dụ như mật khẩu, số tài khoản, thông tin cá nhân, ) Kẻ tấn công phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email

mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng, Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu, Các thông tin này

sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác

Virus Hoax là các cảnh báo giả về virus Các cảnh bảo giả này thường núp

dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh

báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ

1.1.3 Cách thức phát tán mã độc

Như đã trình bày ở trên, mã độc có nhiều loại khác nhau, chính vì vậy cũng

sẽ có nhiều cách khác nhau để lây nhiễm và phát tán mã độc Dưới đây sẽ trình bày

về một số cách thức mà mã độc áp dụng để phát tán:

Từ người dùng: Hiện nay mã độc chủ yếu lây nhiễm vào hệ thống thông tin

bằng cách đánh vào nhận thức cũng như tâm lý của người dùng Mã độc có thể lây nhiễm vào máy tính người sử dụng thông qua các tập tin đính kèm thư Các tập tin này thường đính kèm các thư điện tử của người lạ gửi đến nạn nhân hoặc thư điện

tử giả mạo một cơ quan tổ chức.Hay đơn giản hơn chỉ cần người dùng truy cập vào một trang web độc hại là người dùng đã có thể bị lây nhiễm mã độc vào máy tính của mình Các trang web này thường dụ dỗ người sử dụng truy cập thông qua các liên kết gửi qua mạng xã hội, thư điện tử hay tin nhắn Vì vậy, người sử dụng cần thật cẩn trọng khi truy cập vào các trang web lạ được gửi đến từ người khác trong quá trình sử dụng dịch vụ trên mạng internet cá nhân

Từ máy trạm: Các tổ chức ngiên cứu về bảo mật thông tin đã phát hiện ra

rằng các máy trạm (máy đầu cuối – endpoint) là một trong các nguyên nhân chính

mà mã độc phát tán Máy trạm là bất kì thiết bị máy tính nào có kết nối với mạng của tổ chức như các máy tính để bàn, máy lapto, hoặc các thiết bị điện tử có vùng lưu trữ, cổng vào ra, kết nối với địa chỉ IP… đều là cơ sở để phát tán mã độc

Từ mạng xã hội: Hiện nay trên thế giới có hàng trăm mạng xã hội khác nhau

như MySpace, Facebook,Zingme,YuMe,Zalo, Twitter… Trong khi mạng xã hội được xem là phương tiện giao tiếp tốt với mọi người thì nó cũng trở thành mục đích cho lây lan mã độc Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin, do đó các mạng xã hội bắt buộc người sử dụng cung cấp một số thông tin nhất định các thông tin cá nhân Càng nhiều thông tin mà người sử dụng cung cấp lên

mạng xã hội càng làm tăng nguy cơ bị kẻ xấu lợi dụng Hiện nay trên các mạng xã hội có rất nhiều ứng dụng cho người dùng nhưng trong đó có những ứng dụng đã cài kèm chương trình độc hại

Từ thiết bị di động: Hiện nay sự bùng nổ của các thiết bị di động kéo theo nó

là sự phát triển của các loại mã độc trên nền tảng này Các thiết bị di động thông minh đang phát triển nhanh chóng, đi cùng với nó là kho ứng dụng khổng lồ mà các lập trình viên phát triển Mã độc trên nền tảng này lây nhiểm chủ yếu thông qua ứng dụng được người dùng tải về và cài đặt ngay trên máy cá nhân Các dạng mã độc kiểu này có thể kiểm soát bởi chính người sử dụng hoặc bị chặn bởi nhà cung cấp

hệ điều hành do chúng yêu cầu các hành vi có thể bị nhận dạng là nguy hiểm

1.2 Giới thiệu về mã độc Ransomware

là Cryptolocker), còn một số loại Ransomware khác lại ẩn đi các gói dữ liệu trên máy tính (tên khác là CTB Locker) Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng các dữ liệu hoặc thông tin của người dùng Hình thức thanh toán thường được thanh toán bằng bitcoin nhằm che dấu danh tính để xóa dấu vết Nhưng cũng cần nhấn mạnh rằng ngay cả khi nạn nhân trả tiền rồi thì không có gì đảm bảo tin tặc sẽ cấp quyền trở lại Nguy hiểm hơn, có một số ransomware còn thâm nhập vào Master Boot Record (MBR) của một máy tính Bằng cách này, ransomware sẽ ngăn không cho hệ điều hành chạy lên, hay nói cách khác là làm tê liệt luôn cả hệ thống

1.2.2 Lịch sử phát triển

Vụ tấn công ransomware xuất hiện lần đầu tiên vào năm 1989 với tên gọi

“AIDS Trojan” được viết bởi Joseph Popp Những trường hợp đầu tiên bị tấn công bởi mã độc ransomware là tại Nga vào năm 2005 – 2006 Khi đó, một ransomare mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của người dùng lại thành một tập tin zip rồi xóa đi các tập tin gốc Để mở tập tin zip này thì cần có password TROJ_CRYZIP.A còn tạo một tập tin văn bản để làm "thư tống tiền", trong đó nói rằng người dùng muốn có password để mở tập tin zip thì phải trả 300$

Vào tháng 6 năm 2008, một biến thể được gọi là Gpcode.AK đã được phát hiện sử dụng thuật toán mã hóa RSA 1024-bit Tại thời điểm đó chưa xuất hiện công cụ nào đủ lớn để tính toán để giải mã trong thời gian ngắn

Tháng 8 năm 2010, tấn công tại Nga bằng mã độc WinLock WinLock đã không sử dụng mã hóa Thay vào đó, WinLock đã hạn chế khả năng truy cập vào hệ thống bằng cách hiển thị các hình ảnh khiêu dâm và yêu cầu người dùng gửi tin nhắn SMS có tỷ lệ phí (khoảng 10$) để nhận mã số có thể dùng để mở khóa máy.Vụ tấn công này gây ra nhiều khó khăn khiến người dùng bực mình diễn ra trên khắp nước Nga và các nước láng giềng – theo báo nhóm này đã thu được 16 triệu USD nhờ ransomware này

Trong năm 2011, ransomware tấn công vào hệ điều hành Windows và thông báo cho người dùng rằng việc cài đặt Windows của hệ thống phải được kích hoạt lại

do "là nạn nhân của gian lận" Một tùy chọn kích hoạt trực tuyến đã được cung cấp (như quá trình kích hoạt Windows thực tế), nhưng không có sẵn, yêu cầu người dùng gọi một trong sáu số quốc tế để nhập mã 6 chữ số Trong khi các phần mềm độc hại tuyên bố rằng cuộc gọi này sẽ được miễn phí, nó được chuyển qua một quốc gia có tỷ lệ điện thoại quốc tế cao, người đặt cuộc gọi ở trạng thái giữ, khiến người

sử dụng phải chịu lớn đường dài phí

Năm 2012, ransomware TROJ_RANSOM.BOV "nhúng" vào một trang web bán hàng của Pháp, từ đó lây nhiễm xuống máy tính người dùng tại Pháp và Nhật

Con ransome này cũng hiển thị một thông báo giả từ cơ quan cảnh sát của Pháp để

đe dọa người dung

Tháng 2 năm 2013, một ransomware dựa trên bộ công cụ khai thác stamp.ek lây lan thông qua các trang web lưu trữ trên dịch vụ lưu trữ SourceForge và GitHub Vào tháng 7 năm 2013, ransomware đặc biệt OS-X đã xuất hiện, hiển thị trang web cáo buộc người dùng tải nội dung khiêu dâm Không giống như các biến thể khác trên windows, nó không chặn toàn bộ máy tính mà chỉ đơn giản khai thác hành vi của trình duyệt web nhằm không cho người dùng tắt trang web theo các phương thức thông thường Cuối năm 2013, một loại ransomware mới xuất hiện Những biến thể này giờ đây mã hóa tập tin thay vì khóa máy tính như lúc trước, vì vậy mà chúng được gọi bằng cái tên "CryptoLocker" Bằng cách này, tin tặc có thể đảm bảo rằng người dùng vẫn phải trả tiền ngay cả khi họ đã dùng các công cụ bảo mật để xóa mã độc Bằng hình thức này tin tặc phát tán ransomware CryptoLocker đã thu được 27 triệu USD từ các nạn nhân Khoảng cuối năm 2013, một biến thể mới của CryptoLocker xuất hiện Với tên gọi WORM_CRILOCK.A, biến thể này có thể lây lan thông qua các ổ USB hay HDD rời, điều này làm tốc độ phát tán tăng lên so với các biến thể khác Một biến thể khác cũng không kém phần nguy hiểm là CryptoDefense (tên khác: Cryptorbit) Nó mã hóa rất nhiều thứ, từ các lịch sử duyệt web, cơ sở dữ liệu, hình ảnh, phim, các tập tin Office và hơn thế nữa Nó còn thông minh đến mức có khả năng đi tìm các tập tin backup và xóa đi để người dùng không thể làm gì khác ngoài việc trả tiền để được cung cấp khóa giải mã

Vào ngày 12 tháng 5 năm 2017, biến thể mới của ransomware có tên là WannaCry tấn công các máy tính trên toàn thế giới Đến nay, đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia

1.2.3 Phân loại

Ngày nay, có hai loại Ransomware phổ biến là:

● Locker Ransomware – Ngăn chặn người dùng truy cập máy tính hoặc thiết bị

● Crypto Ransomware – Ngăn chặn người dùng truy cập dữ liệu hoặc tập tin, sử dụng hệ mật mã mạnh như AES, RSA mã hóa dữ liệu người dùng

Hai loại mã độc này được thiết kế để ngăn chặn người dùng truy cập vào chính các thông tin cá nhân quan trọng của họ

Bảng dưới đây liệt kê một số loại ransomware phổ biến và mô tả đặc tính của nó:

ANDROIDOS_LOCKER Được coi là Ransomware đầu tiên xuất hiện trên nền tảng di

động Sử dụng TOR, các dịch vụ ẩn danh để thực hiện kết nối

CRIBIT

Tương tự như CRILOCK, chúng dùng thuật RSA - AES để

mã hóa dữ liệu V1 dùng 426, còn đến V2 dùng

CRITOLOCK Sử dụng chuẩn mã hóa cấp cao AES-128, từ "Cryptolocker" sẽ

xuất hiện trong các ảnh Wallpaper trên máy tính của nạn nhân CRYPAURA Mã hóa tập tin dựa theo địa chỉ email mà nó tìm đươc

CRYPCTB

Mã hóa tập tin dữ liệu, xóa các tập tin backup của hệ thống để người dùng không sao lưu, restore lại được Phát tán qua các email spam, trong đó có chứa các tập tin đính kèm dạng *.exe (downloader) Lây lan mạnh mẽ qua hình thức mạng xã hội

CRYPDEF Mã hóa thông tin, dữ liệu cá nhân Yêu cầu nạn nhân trả tiền

chuộc bằng Bitcoin

CRYPTCOIN Tương tự như CRYPDEF, nhưng có đưa ra tùy chọn cho nạn

nhân giải mã 1 tập tin dữ liệu bất kỳ

CRYPTTẬP TIN

Sử dụng những Public key nhất định để tạo ra cơ chế mã hóa RSA-2048, cái giá trung bình đưa ra cho nạn nhân là 1 đồng Bitcoin cho 1 key giải mã

CRYPTTOR Thay đổi Wallpaper của nạn nhân thành hình bức tường rồi

đưa ra yêu cầu tiền chuộc CRYPTOR Lây lan qua DOWNCRYPT

VIRLOCK Mục tiêu chính là các tập tin văn bản, các tập tin nén, tập tin

KOVTER

Hình thức tấn công thông qua các quảng cáo khi người dùng xem YouTube, mục tiêu chính là lỗ hổng bảo mật Sweet Orange

MATSNU Backdoor có khả năng khóa màn hình của hệ thống, là lối ra

vào của Ransomware

REVETON Giả dạng thông báo của cơ quan pháp luật

CRYPTOP Tải GULCRYPT và các phần mềm độc hại khác đi kèm

GULCRYPT Mã hóa tập tin thành định dạng khác

CRYPWEB

Mã hóa cơ sở dữ liệu trên web server, khiến cho website rơi vào tình trạng: "Website unavailable" Sử dụng giao

thức HTTPS để kết nối đến C&C server

CRYPDIRT Xuất hiện trước cả Cryptolocker

CRYPTORBIT Chủ yếu lây nhiễm vào các tập tin ảnh, text, HTML có

chứa Indicators Of Compromised (IOC)

CRYPTLOCK Tên gọi khác là CryptoLocker, hiển thị thông

báo cryptolocker trên màn hình nạn nhân

CRYPFORT Dựa vào wildcard để tìm các tập tin theo đuôi tập tin, mã hóa

những tập tin trong thư mục được chia sẻ

CRYPTESLA Tương tự như CryptoLocker, mã hóa các tập tin dữ liệu của

Game, trò chơi

CRYPVAULT

Dùng công cụ mã hóa GnuPG, tải các phần mềm độc hại hack

về máy tính người dùng qua trình duyệt, đánh cắp thông tin tài khoản

CRYPSHED Lần đầu tiên phát hiện ở Nga, bổ sung thêm tiếng Anh trong

khoảng thời gian sau đó,

SYNOLOCK Khai thác lỗ hổng Synology NAS để mã hóa dữ liệu trên thiết

bị đó

Trong số các biến thể này ta có thể kể đến các đại diện tiêu biểu nhất như: reveton, cryptolocker, cryptolocker.f and torrentlocker, cryptowall, fusob, wannacry…

Reveton còn có tên gọi khác police ransomware vì các loại Ransomware

dạng này khi xâm nhập vào máy tính của nạn nhân, sẽ hiển thị thông báo như 1 đơn

vị luật pháp thực thụ Với nội dung đại loại như:"Xin chào, anh/chị đã bị bắt vì vi phạm điều luật số abc xyz, đồng thời vi phạm hiến pháp của USA vì đã tham gia vào các hoạt động bất hợp pháp trực tuyến " đi cùng với đó là hình ảnh, phù hiệu

của luật pháp Hacker dựa vào tính năng dò tìm vị trí địa lý theo cụm địa chỉ IP để biết được vị trí chính xác của nạn nhân

Hình 1.3 Thông báo của mã độc Reventon Các biến thể của Reventon sử dụng nhiều tài khoản, cách thức thanh toán khác nhau để nhận tiền của nạn nhân, thông thường là các hệ thống như UKash, PaySafeCard, hoặc MoneyPak Đến năm 2012, Reventon đã phát triển thêm hình thức, thủ đoạn mới Đó là chúng dung các đoạn ghi âm - Recording (bằng giọng của người địa phương) để truyền tải thông tin đến nạn nhân thay vì cách thức thông báo

cũ

Cryptolocker: Các cuộc tấn công của ransomware cryptolocker là một tấn

công mạng xảy ra từ 05 tháng 9 năm 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào các máy tính chạy hệ điều hành Microsoft Windows Nó được phát tán qua các tập tin đính kèm email bị nhiễm, và thông qua một botnet Cryptolocker đã bị cô lập vào cuối tháng 5 năm 2014 nhờ chiến dịch Tovar – cô lập mạng botnet Gameover ZeuS ( botnet đã được sử dụng để phân phối phần mềm độc hại) Trong chiến dịch này một số công ty bảo mật tham gia vào việc thu thập cơ sở dữ liệu của khóa cá nhân được sử dụng boier cryptolocker đã xây dụng một công cụ trực tuyến mở khóa

dữ liệu miễn phí cho người Các báo cáo chỉ ra rằng nhóm tin tặc phát tán cryptolocker đã thu được khoảng 3 triệu USD từ các nạn nhân

Hình 1,4 Giao diện thông báo của Cryptolocker

Fusob là một trong những biến thể của ransomware trên di động Giữa tháng

4 năm 2015 và tháng 3 năm 2016, khoảng 56% số tiền chuộc di động là mã độc này gây ra Giống như phương thức tống tiền di động điển hình, fusob giả danh là một

cơ quan có thẩm quyền, yêu cầu nạn nhân phải trả tiền phạt từ 100 USD đến

200 USD nếu không sẽ bị buộc tội Khi Fusob được cài đặt, đầu tiên nó sẽ kiểm tra ngôn ngữ được sử dụng trong thiết bị Nếu sử dụng tiếng Nga hoặc một số ngôn ngữ Đông Âu, Fusob không làm gì cả Nếu không, nó tiến hành khóa thiết bị và đòi hỏi tiền chuộc

Hình 1.5 Giao diện thông báo của Fusob

WannaCry là một phần mềm độc hại mã độc tống tiền tự lan truyền trên các

máy tính sử dụng Microsoft Windows Vào ngày 12 tháng 5 năm 2017, WannaCry bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới Đến nay, đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến là Ukraina, Ấn Độ và Đài Loan, Việt Nam cũng là một trong những nước bị tấn công nhiều nhất Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính, sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet, và các máy tính trên cùng mạng LAN Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các tập tin đã bị WannaCry mã hóa Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web

đó không thể truy cập được Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng có thể đã được cài đặt bởi người tạo ra nó như một

"công tắc an toàn" trong trường hợp phần mềm trở nên không kiểm soát được Một

chuyên gia công nghệ khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công tạm thời được ngăn chặn

Hình 1.6: Giao diện thông báo của WannaCry

1.3 Nguyên tắc hoạt động của ransomware

1.3.1 Lây nhiễm

Hình 1.7 Một số hình thức lây lan Ransomware Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi:

- Tìm và dùng các phần mềm crack

- Bấm vào quảng cáo độc hại

- Truy cập web đen, đồi trụy

- Chuyển hướng điều khiển

- Truy cập vào website giả mạo

- Tải và cài đặt phần mềm không rõ nguồn gốc

Tiếp theo sẽ tìm hiểu chi tiết về một số hình thức lấy nhiễm Ransomware

Spam Mail: Trong nhiều năm thư rác là một kỹ thuật tốt để phân phối các phần mềm độc hại và Ramsomware cũng vậy Tội phạm mạng sử dụng botnet để gửi thư tác Những tội phạm mạng cũng có thể cung cấp một dịch vụ gửi thư rác cho những

kẻ tấn công khác nhằm thu phí Các thư rác thường đi kèm trong các hình thức của một mail chứa file đính kèm hoặc liên kết đến một trang web khác dùng để khai thác Các thư rác cũng có thể hiện một loạt các kĩ thuật đánh vào tâm lý nhằm lừa người dùng cài đặt ransomware

Hình 1.8 Phát tán mã độc ransomware

Download & botnet: Phương pháp này là một trong những cách đẻ phân phối phối phần mềm độc hại được gọi là phần mềm download Một khi các downloader nhiễm phần mềm đọc hại cài đặt trên máy tính Tội phạm mạng kiếm tiền từ việc họ kiểm soát máy tính nạn nhân từ việc nhiễm Ransomware khi download

Kỹ thuật Social Engineering: Một số ransomware cũng chứa các chức năng

lây lan Ví dụ trên Android có một số virus không những chỉ khóa mã hóa tập tin chúng còn lây lan sang các địa chỉ liên lạc trong địa chỉ của thiết bị bằng các gửi các SMS xã hội Trên nền tảng windows, một số biến thể của khóa màn hình ramsomlock biết đển để lây lan Tự tuyên truyền lây lan qua mạng và yêu cầu thanh toán mỗi lần, lời hứa của tội phạm

Chuyển hướng điều khiển: Một phương pháp phổ biến là sử dụng bởi các

dịch vụ phân phối để web chuyển hướng từ một dịch vụ này sang một trang web khác dùng để khai thác Trong nhiều trường hợp việc chuyển hướng này thường được bắt nguồn từ một trang web phim người lớn Nếu khai thác thành công người dùng phải truy cập vào đường dẫn và nó thường được gọi là Driver-by-download của một phần mềm độc hại

Quảng cáo độc hại: quảng cáo độc hại được biết đến với cái tên malvertisments có thể được đẩy lên các website nhằm mục đích chuyển hướng truy cập của người dùng

Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ ngoài như USB, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm mã độc Dấu hiệu của loại mã độc sau khi máy tính bị nhiễm là các tài liệu, văn bản sẽ bị thay đổi nội dung và đổi tên phần

mở rộng, phổ biến là các tập tin có định dạng: doc, docx, pdf, xls, xlsx, jpg, txt, ppt, pptx, một số loại còn khoá máy tính không cho sử dụng và đòi tiền chuộc

1.3.2 Dấu hiệu nhận biết nhiễm ransomware và xử lý

Theo các kết quả phân tích của các chuyên gia VNIST, quá trình phá huỷ dữ liệu của mã độc Ransomware sẽ không thể thực hiện ngay lập tức mà cần một

khoảng thời gian nhất định và thường xuất hiện một số dấu hiệu sau mà không rõ lý do:

- Máy tính xử lý chậm;

- Đèn báo ổ cứng hoạt động liên tục;

- Xuất hiện một số thông báo tiếng anh lạ trên màn hình máy tính;

- Một số tệp tin không thể mở được;

- Xuất hiện một số tệp tin có đuôi lạ (ví dụ: encrypted, frtrss, , ) v.v…

Khi mã độc lây nhiễm vào máy tính, mã độc sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian Do đó, việc phản ứng nhanh khi phát hiện ra sự

cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa Cụ thể cần thực hiện các thao tác sau:

- Nhanh chóng tắt máy tính bằng cách ngắt nguồn điện;

- Không được khởi động lại máy tính theo cách thông thường mà phải khởi động

từ hệ điều hành sạch (khuyết nghị điều hành Linux) bằng cách khởi động từ CD, USB, sau đó thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu chưa bị

mã hóa;

- Các tập tin đã bị mã hóa tương đối khó để giải mã Tuy nhiên, trong một số trường hợp có thể sử dụng các phần mềm khôi phục dữ liệu như FTK, EaseUs, R-STUDIO, để khôi phục các tập tin nguyên bản đã bị xóa;

- Cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt virus đồng thời thiết lập chế

độ cập nhật phiên bản tự động

Lưu ý: Đối với người sử dụng không chuyên, không có khả năng xử lý phải

nhanh chóng ngắt nguồn điện hoặc tìm cách ngắt khẩn cấp máy tính đang sử dụng

để hạn chế tối đa việc mất dữ liệu Sau đó, liên hệ với các chuyên gia để được hỗ trợ kiểm tra, loại bỏ mã độc hoặc khôi phục dữ liệu

1.3.3 Mã hóa và giải mã

Crypto ransomware hiện đại thường sử dụng cả hai kỹ thuật mã hóa đối xứng

và bất đối xứng Trong mã hóa đối xứng, một khóa duy nhất được sử dụng để mã

hóa dữ liệu và khóa tương tự được sử dụng để giải mã dữ liệu được mã hóa Các khóa cho phép người sử dụng để giải mã dữ liệu đã được mã hóa

- Xử dụng thuật toán mã hóa khóa bí mật: Ransomware sử dụng mã hóa

đối xứng, thông thường sẽ ransomware tạo ra một khóa trên máy tính bị nhiễm và gửi về cho kẻ tấn công Việc hacker sử dụng mã hóa đối xứng để mã hóa các file dữ liệu vì khi sử dụng loại mã hóa này thì thời gian mã hóa rất nhanh và rất an toàn Crypto ransomware nhanh chóng tìm kiếm và mã hóa một số lượng lớn các tập tin,

do đó hiệu suất là điều cần thiết để mã hóa tập tin trước khi nạn nhân nhận biết được mối đe dọa Thuật toán mã hóa đối xứng điển hình thường được ransomware

áp dụng là AES 128 bit hoặc AES 256 bit

Hình 1.9 Mô hình mã hóa của giải thuật mã hóa AES 128 bit

Xử dụng thuật toán mã hóa khóa công khai: Tuy nhiên, một số loại

ransomware sử dụng khóa bất đối xứng để mã hóa dữ liệu của nạn nhân Mã hóa bất đối xứng sử dụng hai khóa: khóa công khai được sử dụng để mã hóa dữ liệu và khóa riêng được sử dụng để giải mã dữ liệu được mã hóa Chỉ có khóa riêng tương ứng mới có thể được sử dụng để giải mã dữ liệu Crypto ransomware có thể sử dụng mã hóa bất đối xứng bằng cách mã hóa các tập tin của người dùng với các khóa công

khai và giữ khóa riêng cho bản thân Tuy nhiên trong thực tế, rất hạn chế sử dụng một khóa công khai để mã hóa số lượng lớn các tập tin, bởi mã khóa công khai rất chậm hơn nhiều so với mã hóa khóa bí mật Phải mất một thời gian lớn để hoàn thành việc mã hóa do đó rất dễ bị nạn nhân phát hiện khi đang tiến hành mã hóa dữ liệu Thuật toán mã hóa bất đối xứng thường được xử dụng là thuật toán RSA 1024 bit hoặc RSA 2048 bit

Hình 1.10 Mô hình giải thuật mã hóa RSA

Xử dụng kết hợp giải thuật mã hóa khóa đối xứng và bất đối xứng: Nhiều

crypto ransomware tiên tiến thường sử dụng kết hợp kỹ thuật mã hóa đối xứng và bất đối xứng Các biến thể mà sử dụng mã hóa bất đối xứng cũng có thể tạo ra cặp khóa công khai-riêng cho mỗi máy tính bị nhiễm Điều này cho phép kẻ tấn công để giải mã các tập tin trên một máy tính bị nhiễm mà không tiết lộ khóa riêng Khóa riêng này có thể là khóa chung để giải mã dữ liệu trên máy tính của nhiều nạn nhân Thuật toán mã hóa đối xứng và bất đối xứng thường được sử dụng trong một số biến thể mới của ransomware là AES 256 bit và RSA 2048 bit

1.3.4 Phân phối và quản lý khóa

a Quản lý khóa với ransomware sử dụng mã hóa đối xứng

Đối với các ransomware sử dụng mã hóa đối xứng, việc mã hóa và giải mã đều sử dụng chung một key

b Quản lý khóa với ransomware sử dụng mã hóa bất đối xứng

Đối với các Ransomware sử dụng mã hóa bất đối xứng để mã hóa dữ liệu, ransomware trên máy nạn nhân sẽ lưu trữ khóa công khai (public key) để

mã hóa, còn khóa riêng (private key) sẽ được lưu trên máy chủ của hacker Nếu nạn nhân trả tiền thì hacker sẽ gửi khóa riêng đó về để nạn nhân giải mã

Ưu điểm:

- An toàn trong việc quản lý khóa, người dùng sẽ không thể tìm ra khóa riêng từ việc dịch ngược Ransomware

Nhược điểm:

- Mã hóa chậm do sử dụng mã hóa khóa công khai

- Phức tạp và khó khăn trong việc quản lý và phân phối khóa

c Quản lý khóa với ransomware sử dụng kết hợp mã hóa khóa đối xứng và bất đối xứng

Với những crypto ransomware hiện đại sử dụng kết hợp hai phương pháp mã hóa đối xứng và mã hóa bất đối xứng Sử dụng mã hóa đối xứng để mã hóa dữ liệu

vì tính nhanh Đồng thời đây cũng là khóa để thực hiện việc giải mã Còn khóa công

khai của mã hóa bất đối xứng sẽ được sử dụng để mã hóa khóa bí mật của mã hóa đối xứng Với mỗi máy tính bị nhiễm ransomware, sẽ có một bộ gồm khóa bí mật, khóa công khai, khóa riêng khác nhau Khóa riêng được lưu trên server Internet của hacker, khóa công khai được lưu trong máy của nạn nhân và khóa riêng sau khi thực hiện mã hóa dữ liệu xong sẽ được lưu ở máy nạn nhân nhưng dưới dạng đã bị mã hóa

Vậy vấn đề đặt ra là việc quản lý khóa như thế nào để có hiệu quả nhất Có thể có các phương án:

- Sinh cặp khóa công khai và khóa riêng ở máy nạn nhân, sau đó gửi khóa lên server, hoặc với mỗi ransomware nhiễm cho từng máy tính có nhúng sẵn một public key

- Mỗi khi ransomware chạy sẽ yêu cầu khóa từ server, server tạo khóa và chỉ gửi khóa công khai về cho ransomware

Rõ ràng, trong hai phương án này, phương án thứ hai sẽ đảm bảo tốt tính bí mật của khóa hơn Từ việc dịch ngược ransomware hay cho dù là bắt thông tin ngay khi giao dịch khóa cũng đều sẽ không thể biết được thông tin về khóa riêng để từ đó

có thể tự giải mã được dữ liệu

Cryptodefense (Trojan.Cryptodefense) là một ransomware sử dụng phương

pháp thứ hai trên Nó sử dụng AES-256 là thuật toán mã hóa đối xứng để mã hóa dữ liệu, và sử dụng thuật toán RSA-2048 bit là thuật toán mã hóa bất đối xứng để mã hóa 256-bit khóa của AES

Hình 1.11 Mô hình trao đổi khóa của ransomware xử dụng phương pháp 2

CTB Locker là một ransomware sử dụng phương pháp quản lý khóa thứ

nhất Đối với mỗi máy tính bị nhiễm, ransomware nhúng sẵn một public key

RSA-2048 bit được sử dụng cho việc mã hóa khóa bí mật AES-256 bit

Ưu điểm của việc sử dụng phương pháp này đó là CTB Locker có thể bắt đầu quá trình mã hóa tập tin luôn mà không đòi hỏi điều kiện một môi trường có kết nối Internet vì khóa công khai được nhúng sẵn trong ransomware chứ không cần tải

về từ server

Nhược điểm là kẻ tấn công phải sử dụng các khóa công khai khác nhau cho mỗi CTBLocker Nếu hacker không làm điều này mà chỉ sử dụng một public key chung cho các CTBLocker, khi một người dùng có được private key để thực hiện giải mã, sẽ có khả năng chia sẻ private key này cho các nạn nhân khác có chung cặp khóa công khai

Hình 1.12 Mô hình trao đổi khóa xử dụng phương pháp 1

1.4 Tình hình phát triển mã độc ransomware và những biến thể mới

Những kẻ tấn công đứng đằng sau Ransomware thực sự không quan tâm tới mục tiêu tấn công của chúng là ai Mục đích của chúng là nhận được tiền chuộc Chính vì lý do đó, những kẻ tấn công thường thực hiện một chiến dịch phát tán ransomware liên tục trên một phạm vi rộng lớn nhắm tới mọi người dùng máy tính Chỉ cần một phần nhỏ đối tượng đồng ý trả tiền chuộc cũng đủ để làm giàu cho tội phạm mạng và là động cơ để chúng tiếp tục thực hiện các lần tống tiền tiếp theo Đối tượng tấn công của Ransomware được chia ra làm ba loại:

• Hộ gia đình: Ransomware rất hiệu quả đối với cá nhân không thông thạo với máy tính hay không có nhận thức về Ransomware và cách thức nó hoạt động Nhóm người dùng gia đình là nạn nhân phổ biến của Ransomware do

có ít kiến thức cơ bản về bảo mật thông tin cũng như ít được tiếp cận với hỗ trợ kỹ thuật dẫn tới việc không có khả năng giải quyết cùng với việc gia tăng

áp lực khi cần dùng dữ liệu sẽ dễ dàng trả tiền chuộc cho tội phạm

• Khối doanh nghiệp: Thông tin và loại hình công nghệ sử dụng đã trở thành thứ quyết định sống còn của doanh nghiệp Giả định rằng một doanh nghiệp