Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERT (Luận văn thạc sĩ)

Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERT

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả luận văn

Phan Thị Phương

Mặc dù đã rất cố gắng hoàn thành luận văn, nhưng với thời gian và khả năng cho phép, nên luận văn không thể tránh khỏi còn những thiếu sót, hạn chế Tôi rất mong được sự góp ý chân thành của các thầy cô, bạn bè để bản luận văn của tôi được hoàn thiện hơn

Xin chân thành cảm ơn!

Hà Nội, tháng 1 năm 2018

HỌC VIÊN

Phan Thị Phương

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC CÁC TỪ VIẾT TẮT v

DANH MỤC BẢNG vi

DANH MỤC CÁC HÌNH VẼ vii

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 4

1.1 Khái niệm cơ bản trong an toàn thông tin 4

1.1.1 Khái niệm về an toàn thông tin 4

1.1.2 Mục tiêu của an toàn thông tin 4

1.1.3 Nhiệm vụ của an toàn thông tin 6

1.1.4 Một số thuật ngữ trong an toàn thông tin 7

1.2 Lỗ hổng và điểm yếu trong an toàn thông tin 8

1.1.5 Lỗ hổng bảo mật 8

1.1.6 Điểm yếu an toàn thông tin 9

1.3 Một số kỹ thuật tấn công của tin tặc 13

1.1.7 Quy trình tấn công của tin tặc 13

1.1.8 Một số kiểu tấn công phổ biến 18

1.4 Kết luận chương 23

CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG MÃ ĐỘC 24

2.1 Tổng quan về mã độc máy tính 24

2.1.1 Khái niệm mã độc 24

2.1.2 Phân loại mã độc 24

2.1.3 Cách thức lây nhiễm mã độc 29

2.1.4 Tác hại của mã độc 31

2.2 Xu hướng tấn công bằng mã độc 33

2.2.1 Các xu hướng tấn công bằng mã độc trên thế giới 33

2.2.2 Các xu hướng tấn công bằng mã độc tại Việt Nam 37

2.3 Một số biện pháp phòng chống mã độc 44

2.4 Kết luận chương 47

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG BẰNG MÃ ĐỘC TẠI TRUNG TÂM VNCERT 48

3.1 Quy trình phát hiện và xử lý mã độc tại trung tâm VNCERT 48

3.1.1 Phát hiện mã độc 48

3.1.2 Bóc gỡ mã độc 59

3.1.3 Các kỹ thuật phân tích mã độc 62

3.2 Triển khai giải pháp phát hiện và phòng chống tấn công bằng mã độc tại trung tâm VNCERT 65

3.2.1 Giới thiệu về giải pháp 65

3.2.2 Mô hình triển khai 68

3.2.3 Cài đặt và cấu hình hệ thống 69

3.3 Thử nghiệm và đánh giá kết quả 73

3.3.1 Môi trường triển khai 73

3.3.2 Đánh giá kết quả 73

3.3.3 Một số điểm hạn chế của hệ thống 77

3.4 Kết luận chương 77

TÀI LIỆU THAM KHẢO 81

DANH MỤC CÁC TỪ VIẾT TẮT

DNS Domain Name System Hệ thống phân giải tên miền DoS Denial of Service Tấn công từ chối dịch vụ

DDoS Distribute Denial of Service Tấn công từ chối dịch vụ phân

tán LDAP Denial of Service

UDP User Datagram Protocol Giao thức không liên kết

DLL Dynamic Link Library

HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn bản

PHP Hypertext Preprocessor Một ngôn ngữ lập trình

NAT Network Address Translation Chuyển đổi địa chỉ mạng

NIST National Institute of Standards

and Technology

Viện tiêu chuẩn và Công nghệ

SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn

DANH MỤC BẢNG

Hình 3.18 Các thông tin cơ bản của tập tin 63 Hình 3.19 Các công cụ được sử dụng để phân tích hoạt động mã độc 64

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mô hình C-I-A (Confidentiality, Integrity, Availability) 4 Hình 1.2 Mô hình D-P-R (Detection, Prevention, Response) 6 Hình 1.3 Mức độ rủi ro theo mối đe dọa và lỗ hổng 9

Hình 3.8 Chi tiết thời gian giao tiếp server-client 53 Hình 3.9 Khung hiển thị chi tiết thông tin 54

Hình 3.20 Mã nguồn Maltrail 67 Hình 3.21 Blacklist được sử dụng bởi Maltrail 68

Hình 3.27 Giao diện báo cáo của Maltrail 71

MỞ ĐẦU

Hiện nay với sự phát triển mạnh mẽ của khoa học kỹ thuật nói chung và công nghệ thông tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày càng trở nên phổ biến trong đời sống hằng ngày cũng như trong hầu hết các lĩnh vực Song song với sự phát triển đó là hàng loạt các nguy cơ về mất an toàn thông tin Trong những năm gần đây, các Website trên Internet, cũng như dữ liệu của cá cá nhân, tổ chức, chính phủ … đã bị nhiều đợt tấn công của tin tặc Xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm tin tặc mang tính chất quốc gia Bên cạnh các loại mã độc đã phổ biến thì cũng xuất hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản Hầu hết người nhận được Email đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Khi xâm nhập vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu, cho phép tin tặc điều khiển máy tính nạn nhân từ xa Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu Có rất nhiều các website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều dữ liệu quan trọng

bị đánh cắp Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Các cuộc tấn công của tin tặc đang gia tăng về số lượng và mức độ nghiêm trọng Vì vậy, bảo đảm an toàn thông tin đang trở thành một nhu cầu thực tế cấp thiết

Song song với đó là cách mạng công nghiệp 4.0 đang diễn ra tại nhiều nước phát triển Nó mang đến cho nhân loại cơ hội để thay đổi bộ mặt các nền kinh tế, nhưng tiềm ẩn nhiều rủi ro khôn lường Những yếu tố cốt lõi của Kỹ thuật số trong CMCN 4.0 sẽ là: Trí tuệ nhân tạo (AI), Vạn vật kết nối - Internet of Things (IoT) và

dữ liệu lớn (Big Data)

Trên lĩnh vực công nghệ sinh học, Cách mạng Công nghiệp 4.0 tập trung vào nghiên cứu để tạo ra những bước nhảy vọt trong Nông nghiệp, Thủy sản, Y dược, chế biến thực phẩm, bảo vệ môi trường, năng lượng tái tạo, hóa học và vật liệu

Cuối cùng là lĩnh vực Vật lý với robot thế hệ mới, máy in 3D, xe tự lái, các vật liệu mới (graphene, skyrmions…) và công nghệ nano

Hiện Cách mạng Công nghiệp 4.0 đang diễn ra tại các nước phát triển như

Mỹ, châu Âu, một phần châu Á Bên cạnh những cơ hội mới, cách mạng công nghiệp 4.0 cũng đặt ra cho nhân loại nhiều thách thức phải đối mặt [12]

IoT hay Internet Of Things (vạn vật kết nối Internet) đang trở thành xu hướng của thế giới, tuy nhiên một báo cáo mới đây từ các công ty bảo mật đã lưu ý rằng xu hướng này có thể gây ra những thiệt hại nặng nề khi chịu sự tấn công của các hacker

Theo các chuyên gia hãng phần mềm diệt virus Trend Micro, IoT đang thay đổi thế giới xung quanh, nó như một cuộc cách mạng công nghiệp mới Nhưng theo thống kê của Trend Micro, khi IoT phát triển, chỉ với một cuộc tấn công mạng duy nhất cũng có thể gây thiệt hại hàng triệu đô la Điều đáng lo là chỉ trong hai năm qua, khả năng bị tấn tấn công của các thiết bị IoT đã tăng đáng kể Khác với cá nhân, các cuộc tấn công vào hệ thống IoT có nguy cơ làm tổn hại các hồ sơ y tế, thông tin thẻ tín dụng, và có thể dẫn đến những hậu quả lớn hơn nhiều Theo ước tính của Trend Micro, năm 2020 khi số lượng các thiết bị kết nối IoT tăng lên cũng là lúc các mối đe dọa ngày càng nhiều Tuy nhiên, các doanh nghiệp vẫn chưa có cách giải quyết an ninh IoT hiệu quả [13]

Việc Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công là rất cần thiết, nhằm đưa ra các xu hướng và phương pháp phù hợp với thực tiễn tại Việt Nam Xuất phát từ nhu cầu thực tế cấp thiết của việc để phát hiện

mã độc trong hệ thống, bài luận văn này tập trung vào việc nghiên cứu xu hướng, kịch bản tấn công mã độc, giải pháp phù hợp phát hiện các máy tính và các thiết bị IoT bị nhiễm mã độc trong mạng nội bộ nhằm phát hiện sớm và có giải pháp bóc gỡ hiệu quả

Luận văn gồm ba chương như sau:

Chương 1: Tổng quan về an toàn thông tin

Chương 2: Mã độc và xu hướng tấn công bằng mã độc

Chương 3: Giải pháp phòng chống tấn công bằng mã độc tại trung tâm VNCERT

Cuối cùng là phần đánh giá, kết luận và hướng phát triển của Luận văn

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1 Khái niệm cơ bản trong an toàn thông tin

1.1.1 Khái niệm về an toàn thông tin

An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin, An toàn thông tin liên quan đến hai khía cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật

An toàn thông tin số: thuật ngữ này dùng để chỉ viêc bảo vệ thông tin số và các hệ thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng, phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm đảm bảo cho các hệ thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy

Nội dung của an toàn thông tin số bao gồm bảo vệ an toàn mạng và hạ tầng thông tin, an toàn máy tính, dữ liệu và ứng dụng công nghệ thông tin [10]

1.1.2 Mục tiêu của an toàn thông tin

Nội dung của an toàn thông tin số bao gồm bảo vệ an toàn mạng và hạ tầng thông tin, an toàn máy tính, dữ liệu và ứng dụng công nghệ thông tin

Hình 1.1: Mô hình C-I-A

- Tính bí mật (Confidentiality): Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan trọng, nhạy cảm Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép Đối với an toàn thông tin thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất

- Tính toàn vẹn (Integrity): Toàn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thông tin và hệ thống Có ba mục đích chính của việc đảm bảo tính toàn vẹn:

o Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụng không được phép

o Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc

vô ý của những người sử dụng được phép

o Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài

- Tính sẵn sàng (Availability): Tính sẵn sàng bảo đảm các người sử dụng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới mạng Tính sẵn sàng có liên quan đến độ tin cậy của

hệ thống Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc này sẽ quan trọng hơn những cái khác, ví dụ: đối với lĩnh vực dược phẩm thì tính bí mật là quan trọng, đối với lĩnh vực tài chính và ngân hàng thì tính toàn vẹn là quan trọng, đối với thương mại điện tử thì tính sẵn sàng quan trọng

Đây là ba nguyên tắc cốt lõi dẫn đường cho tất cả các hệ thống an toàn Mô hình này cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các biện pháp thực hiện an ninh thông tin Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có thể gây hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan và có thể gây mất an toàn thông tin [14]

1.1.3 Nhiệm vụ của an toàn thông tin

Một mô hình rất quan trọng khác có liên quan trực tiếp đến quá trình phát triển và triển khai các chính sách về an ninh của mọi tổ chức là mô hình bộ ba an ninh

D – P – R (Detection, Prevention, Response) Ba khía cạnh của mô hình này

là sự phát hiện, sự ngăn chặn và sự phản ứng:

Hình 1.2: Mô hình D – P – R (Detection, Prevention, Response)

Sự phát hiện (Detection): Nó cung cấp mức độ an ninh cần thiết nào đó để

thực hiện các biện pháp ngăn chặn sự khai thác các lỗ hổng Trong khi phát triển các giải pháp an ninh mạng, các tổ chức cần phải nhấn mạnh vào các biện pháp ngăn chặn hơn là vào sự phát hiện và sự phản ứng vì sẽ là dễ dàng, hiệu quả và có giá trị nhiều hơn để ngăn chặn một sự vi phạm an ninh hơn là thực hiện phát hiện hoặc phản ứng với nó

Sự ngăn chặn (Prevention): Cần có các biện pháp cần thiết để thực hiện phát

hiện các nguy cơ hoặc sự vi phạm an ninh trong trường hợp các biện pháp ngăn chặn không thành công Một sự vi phạm được phát hiện sớm sẽ dễ dàng hơn để làm mất tác hại và khắc phục nó Như vậy, sự phát hiện không chỉ được đánh giá về mặt

khả năng, mà còn về mặt tốc độ, tức là phát hiện phải nhanh

Sự phản ứng (Response): Phải phát triển một kế hoạch để đưa ra phản ứng

phù hợp đối với một số lỗ hổng an ninh Kế hoạch phải được viết thành văn bản và phải xác định ai là người chịu trách nhiệm cho các hành động nào và khi thay đổi các phản ứng và các mức độ cần tăng cường Tính năng phản ứng của một hệ thống

an ninh không chỉ là năng lực, mà còn là vấn đề tốc độ

Ngày nay các cuộc tấn công mạng rất đa dạng, sẽ không thể đoán chắc được chúng sẽ xảy ra khi nào, ở đâu, dạng nào và hậu quả của chúng Để đảm bảo an ninh cho một mạng thì cần:

1.1.4 Một số thuật ngữ trong an toàn thông tin

Sự định danh (Identification): Hành động của người sử dụng khi xác nhận một sự định danh tới hệ thống

Sự xác thực(Authentication): Sự xác minh rằng định danh đã khai báo của người sử dụng là hợp lệ

Sự kiểm toán(Acountability): Sự xác định các hành động hoặc hành vi của một cá nhân bên trong hệ thống và nắm chắc được trách nhiệm cá nhân hoặc các hành động của họ

Sự ủy quyền(Authorization): Các quyền được cấp cho một cá nhân (hoặc tiến trình) mà chúng cho phép truy cập vào tài nguyên trên mạng hoăc máy tính

Sự chống chối từ (Non-repudiation): Bảo đảm không có khả năng chối bỏ hành động của người dùng hợp lệ

1.2 Lỗ hổng và điểm yếu trong an toàn thông tin

1.1.5 Lỗ hổng bảo mật

Mối đe dọa (Threats): một mối đe dọa là bất kỳ điều gì mà có thể phá vỡ

tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của một hệ thống mạng Sự đe dọa có thể nhiều hình thức và nhiều nguồn khác nhau, ví dụ: mã độc, đối tượng bên trong

tổ chức, thiên tai, cháy, nổ, khủng bố và dịch bệnh

Lỗ hổng (Vulnerabilities): một lỗ hổng là một điểm yếu vốn có trong thiết kế,

cấu hình hoặc thực hiện của một mạng mà có thể gây cho nó nguy cơ bị đe dọa Lỗ hổng sẽ luôn luôn tồn tại và hiện hữu trong các hệ thống và là cửa ngõ nơi mà sự đe dọa thể hiện Lỗ hổng ở đây không chỉ là những lỗ hổng trong phần mềm mà còn có thể là sai sót trong quá trình triển khai cấu hình hay thiết kế bảo mật kém an toàn

Sự rủi ro (Risk): là độ đo đánh giá lỗ hổng kết hợp với các mối đe dọa dẫn

tới khả năng bị kẻ xấu khai thác thành công Sự rủi ro sẽ là tổ hợp của mối đe dọa

và lỗ hổng:

Sự rủi ro (Risk) = Mối đe dọa (Threats)  Lỗ hổng (Vulnerabilities)

Nếu như có một mối đe dọa lớn, nhưng rất ít lỗ hổng hạn chế mối đe dọa đó thì sự rủi ro chỉ là trung bình Ví dụ, nếu một người sống gần một hàng xóm có tiền

án trộm cắp (tức là mối đe dọa lớn) nhưng người đó luôn khóa của cẩn thận (tức là hạn chế lỗ hổng đối với mối đe dọa đó) thì khả năng bị mất cắp ở mức trung bình Nếu như người đó mắc phải nhiều lỗ hổng nhưng mối đe dọa là không đáng kể thì

sự rủi ro cũng là trung bình Ngược lại, nếu như sự đe dọa cao và lỗ hổng đối với mối đe dọa đó là cao thì dẫn đến sự rủi ro rất cao [1]

Có thể hình dung sự rủi ro theo sơ đồ như sau:

Hình 1.3: Mức độ rủi ro theo nguy cơ đe dọa và lỗ hổng

1.1.6 Điểm yếu an toàn thông tin

1.2.2.1 Điểm yếu công nghệ

Điểm yếu trong kỹ thuật gồm có điểm yếu trong giao thức, hệ điều hành và phần cứng:

− Điểm yếu TCP/IP: TCP/IP cho tới thời điểm hiện nay, đã cho thấy nó thiếu

sự bảo mật nghiêm trọng Một số kiểu tấn công như SYN flooding, IP Spoofing, Connection Hijacking, … đã chỉ ra rằng việc thiếu tính bảo mật này đã dẫn đến việc

ra đời và phát triển của hàng loạt các công cụ và kỹ thuật khai thác nhằm vào các điểm yếu của TCP/IP Việc khắc phục các lỗ hổng này là hoàn toàn có thể thực hiện được (với một số giải pháp đã trình bày như TCP Wrapper, Kerberos, SKIP…) nhưng nhìn chung chúng chưa được phổ biến rộng rãi, có thể máy tính của bạn đã cài đặt chúng nhưng chắc gì trạm mà bạn muốn trao đổi thông tin đã cài đặt những giải pháp trên Như vậy, hầu như việc truyền thông trên Internet hiện nay vẫn chưa

đủ mức an toàn cần thiết Phải chăng đã đến lúc cần phải có một bộ giao thức mới, IPv6 chẳng hạn, để khắc phục những thứ mà bản thân IPv4 không thể giải quyết được [3]

Hình 1.4: Mô hình TCP/IP

− Điểm yếu hệ điều hành: mỗi hệ điều hành đều có những ưu điểm và khuyết điểm riêng tùy thuộc vào việc lựa chọn của người dùng Linux và Unix là hệ điều hành được xem như là ít có điểm yếu hơn Windows Thực tế, hầu hết mọi người đều sử dụng các phiên bản của Windows

− Điểm yếu thiết bị mạng: Hầu hết các thiết bị mạng như là server, switch, router… đều có điểm yếu trong bảo mật Nhưng có một chính sách bảo mật tốt cho việc cấu hình và lắp đặt cho các thiết bị mạng này sẽ làm giảm đi rất nhiều sự ảnh hưởng của điểm yếu này

1.2.2.2 Điểm yếu cấu hình

Đây là lỗi do nhà quản trị tạo ra Lỗi này do các thiếu sót trong việc cấu hình như là: không bảo mật tài khoản khách hàng, hệ thống tài khoản với password dễ dàng đoán biết, không bảo mật các cấu hình mặc định trên thiết bị hay lỗi trong việc cấu hình thiết bị Các điểm yếu cấu hình có thể:

− Tài khoản không được bảo mật: Mỗi user account cần có usename và password cho mục đích bảo mật Các username và password này thường được truyền đi ở dạng clear text trên mạng Do đó, cần có những chính sách bảo mật user account như mã hoá, authentication …

− Mật khẩu yếu: Một điểm yếu trong lỗi cấu hình khác là bảo mật account với password dễ dàng bị đánh cắp Để ngăn chặn tình trạng đó, người quản trị cần

có những chính sách để không cho phép một password có hiệu lực mãi mãi mà password này phải có một thời hạn kết thúc

− Cấu hình sai các dịch vụ: Một vài công ty đã sử dụng địa chỉ thật trên mạng internet để đánh địa chỉ cho host và server Điều này tạo nên điểm yếu mà các hacker sẽ dễ dàng khai thác thông tin Sử dụng giao thức NAT hoặc PAT có thể giải quyết vấn đề trên Sử dụng địa chỉ riêng (private address) cho phép đánh địa chỉ host và server mà không cần dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì được router định tuyến ra mạng internet Đó không phải là biện pháp tối ưu nhất cho hệ thống Port trên interface kết nối ra internet phải ở trạng thái open cho phép users vào mạng internet và ngược lại Đó là lỗ hổng trên bức tường lửa (firewall)

mà các hacker có thể tấn công vào

− Các thiết lập mặc định thiếu an toàn: Nhiều sản phẩm phần cứng được cung cấp mà không có password hoặc là password sẵn có giúp cho nhà quản trị dễ dàng cấu hình thiết bị Nó làm cho công việc dễ dàng hơn, như một số thiết bị chỉ cần cắm vào và hoạt động Điều này sẽ giúp cho sự tấn công mạng trở nên dễ dàng

Do đó, ta cần phải thiết lập một chính sách cấu hình bảo mật trên mỗi thiết bị trước khi thiết bị được lắp đặt vào hệ thống mạng

− Cấu hình sai các thiết bị mạng: Lỗi cấu hình thiết bị là một lỗ hổng có thể khai thác để tấn công mạng: password yếu, không có chính sách bảo mật hoặc không bảo mật user account… đều là lỗi cấu hình thiết bị Phần cứng và những giao thức chạy trên thiết bị cũng tạo ra lỗ hổng bảo mật trong mạng Nếu không có những chính sách bảo mật cho các thiết bị phần cứng và những giao thức này thì

hacker sẽ lợi dụng vào đó để tấn công Nếu bạn sử dụng SNMP được mặc định thiết lập thì thông tin có thể bị đánh cắp một cách dễ dàng và nhanh chóng Do đó, phải làm mất hiệu lực của SNMP hoặc là thay đổi mặc định thiết lập SNMP có sẵn [3]

1.2.2.4 Điểm yếu con người

Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình

An toàn thông tin được xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàn cầu Như vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề An toàn thông tin phải bắt đầu từ các chính sách trong đó con người là mắt xích quan trọng nhất Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệ thống thông tin và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra Việc nhận thức kém và không tuân thủ các chính sách về an toàn thông tin là nguyên nhân chính gây ra tình trạng trên Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong các chính sách về an toàn thông tin song việc tuân thủ các quy định lại không được thực hiện một cách chặt chẽ Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ hay quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng vào đó để xâm nhập và tấn công hệ thống [3]

1.3 Một số kỹ thuật tấn công của tin tặc

1.1.7 Quy trình tấn công của tin tặc

Quy trình thực hiện tấn công vào hệ thống thông tin bao gồm 5 bước được

mô tả theo sơ đồ sau:

Hình 1.5: Quy trình thực hiện tấn công của tin tặc

1.3.1.1 Thu thập thông tin

Thu thập thông tin là hoạt động tìm kiếm, tập hợp thông tin về hệ thống đích một cách nhiều nhất có thể Các thông tin cụ thể cần được thu thập như là hệ điều hành, nền tảng, công nghệ web sử dụng hoặc tìm lỗ hổng bảo mật và khai thác liên quan đến hệ thống đích

Đối tượng thu thập:

+ Thông tin dãy mạng: Tên miền, tên miền con, dãy địa chỉ mạng, địa chỉ

IP, các dịch vụ TCP/UDP đang tồn tại,

+ Thông tin hệ thống: Tài khoản, nhóm người dùng, bảng định tuyến, thông tin SNMP,

+ Thông tin tổ chức: Thông tin nhân viên, website của tổ chức/đơn vị, cấu trúc tổ chức,

Phương pháp thu thập:

+ Tiết lộ của nhân viên tổ chức mục tiêu: Trong giai đoạn đầu của cuộc kiểm thử, đại diện của tổ chức mục tiêu có thể cung cấp một danh sách các mục tiêu ban đầu

+ Được phát hiện bởi tìm kiếm Google: Google là một công cụ tìm kiếm thông tin rất phong phú và hữu ích

+ Được phát hiện bởi chuyển vùng DNS: DNS cung cấp rất nhiều thông tin, nếu việc chuyển vùng được cho phép

+ Được phát hiện bởi tra cứu ngược DNS: Chúng ta có thể tìm thấy các máy chủ bằng cách thực hiện tra cứu ngược DNS

+ Được phát hiện trong quá trình quét mạng: Có rất nhiều phương pháp

để quét mạng để phát hiện máy chủ

+ Được phát hiện trong quá trình đánh giá vật lý: Nếu việc kiểm thử bao gồm cả kiểm thử mạng không dây, chúng ta có thể tìm thấy một số máy chủ thông qua phương pháp này

+ Được phát hiện bởi sự thỏa hiệp vào một máy chủ: từ một mục tiêu và tìm kiếm các mục tiêu khác xung quanh

+ Phân tích siêu dữ liệu: Một nguồn thông tin rất hữu ích trong quá trình khảo sát là các siêu dữ liệu được lưu trữ bên trong các tài liệu mà người kiểm thử xâm nhập có thể thu thập từ trang web và nhân viên mục tiêu

+ Tìm kiếm DNS: Tìm kiếm danh sách các máy chủ DNS liên quan đến mục tiêu bằng cách tra cứu Whois Xác định những hệ thống đang trực tiếp và gián tiếp liên quan đến mục tiêu Các máy chủ DNS được liệt kê theo thứ tự máy chủ tên miền chính (primary), thứ cấp (secondary) và cấp ba (tertiary – nếu có) Các máy chủ tên miền tập trung phân giải tên miền thành địa chỉ IP, nhưng đó không phải là chức năng duy nhất + Công cụ tìm kiếm: Sử dụng công cụ tìm kiếm có thể truy cập công khai

để tìm những dấu hiệu của các lỗ hổng trên hệ thống Google, Yahoo và Bing của Microsoft đều có chứa một lượng lớn thông tin có thể chỉ ra

sự hiện diện của các lỗ hổng trong hệ thống liên quan đến môi trường mục tiêu Bằng cách gửi các truy vấn phù hợp với các công cụ tìm kiếm, chúng ta có thể xác định lỗ hổng hệ thống mà không thực sự gửi bất kỳ gói dữ liệu trực tiếp nào cho các hệ thống

Các kiểu tấn công có nhiều hình thức khác nhau, nhưng thông thường đều thực hiện qua các bước như sau:

+ Xác định mục tiêu tấn công: Xác định rõ mục tiêu tấn công, nơi chuẩn bị tấn công

+ Thu thập thông tin và tìm lỗ hổng: Khảo sát thu thập thông tin về hệ thống chuẩn bị tấn công bằng nhiều hình thức Sau khi đã thu thập thông tin, người tấn công sẽ dò tìm những thông tin về lỗ hổng bảo mật của hệ thống dựa trên những thông tin đã thu thập được, phân tích điểm yếu của hệ thống mạng, sử dụng các công cụ hỗ trợ dò quét, tìm lỗi trên hệ thống đó

+ Lựa chọn mô hình tấn công và công cụ: Khi đã có được những điểm yếu của hệ thống mạng, người tấn công sẽ sử dụng các mô hình phù hợp, lựa chọn một công cụ hoặc tự xây dựng một công cụ để tấn công vào hệ thống

+ Thực hiện tấn công: Sửa dụng các công cụ hỗ trợ, áp dụng mô hình tấn công đã lựa chọn và các lỗ hổng hệ thống tiến hành tấn công vào hệ thống, Sau khi

đã tấn công thành công, khai thác được lỗ hổng của hệ thống Người tấn công sẽ

thực hiện việc duy trì với mục đích khai thác và tấn công trong tương lai gần Người tấn công có thể sử dụng những thuật như mở cửa sau (backdoor) hoặc cài đặt một trojan để nhằm mục đích duy trì sự xâm nhập của mình Việc duy trì và làm chủ một hệ thống tạo cho kẻ tấn công có đủ những điều kiện để khai thác, phục vụ những nhu cầu về thông tin Ngoài ra hệ thống mạng này khi bị chiếm quyền điều khiển cũng sẽ trở thành nạn nhân của một hệ thống botnet được sử dụng trong các cuộc tấn công khác Ví dụ như tấn công từ chối dịch vụ đến một hệ thống khác + Xóa dấu vết: Khi đã tấn công thành công một hệ thống, người tấn công sẽ

cố gắng duy trì sự xâm nhập Sau đó người tấn công phải làm sao xóa hết dấu vết để không bị phát hiện hoặc không còn chứng cứ pháp lý Người tấn công có thể xóa các tập tin lưu vết, xóa các cảnh báo từ hệ thống phát hiện xâm nhập Ở các giai đoạn thu thập thông tin và dò tìm lỗ hổng trong bảo mật, người tấn công thường làm lưu lượng trong mạng thay đổi khác với lúc bình thường rất nhiều, đồng thời tài nguyên hệ thống bị ảnh hưởng đáng kể

Những dấu hiệu này rất có ích cho người quản trị mạng có thể phân tích và đánh giá tình hình hoạt động của hệ thống mạng Hầu hết các cuộc tấn công đều tiến hành tuần tự như các bước đã nêu trên Làm sao để biết hệ thống mạng đang bị tấn công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan trọng [16]

1.3.1.2 Quét và rà soát mạng

Quét là một bước tiếp theo trong tiến trình tấn công hệ thống Giai đoạn này giúp chúng ta xác định được nhiều thông tin của mục tiêu cần tấn công Tức là sau khi chúng ta tìm được vài thông tin có liên quan đến máy tính cần tấn công, công đoạn tiếp theo là thu thập thông tin về máy tính đó Những thông tin cần thu thập như tên máy, địa chỉ ip, cấu hình máy tính, hệ điều hành, dịch vụ đang chạy, port đang mở… Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công, cũng như việc chọn kỹ thuật tấn công nào Quét còn giúp định vị hệ thống còn hoạt động trên mạng hay không

Quét được sử dụng để xác định một hệ thống có trên mạng hay không và có đang sẵn sàng hoạt động Công đoạn quét sẽ thu thập thông tin về một hệ thống như

địa chỉ IP, hệ điều hành và các dịch vụ chạy trên các máy tính mục tiêu Có ba loại quét chủ yếu:

1.3.1.3 Thực hiện thâm nhập

− Thực hiện kết nối và truy cập trực tiếp đến hệ thống mục tiêu

− Thâm nhập ở mức hệ điều hành, ứng dụng, môi trường mạng

− Thực hiện leo thang đặc quyền

Ví dụ: bẻ khóa mật khẩu, tràn bộ đệm, từ chối dịch vụ, chèn phiên…

1.3.1.4 Duy trì kết nối

− Thực hiện sau khi chiếm quyền hệ thống

− Sử dụng backdoor, Rookits, Trojans

− Có thể upload, download, thực thi dữ liệu, ứng dụng, thay đổi cấu hình

− Lợi dụng tấn công các hệ thống khác

1.3.1.5 Xóa dấu vết

− Ẩn hoạt động thâm nhập: Rootkits, backdoors, Steganography

− Thực hiện các mục đích khác trong tương lai: Spam, từ chối dịch vụ

− Làm sai lệch thông tin nhật ký: Xóa nhật ký (máy chủ, web, FTP…) [16]

1.1.8 Một số kiểu tấn công phổ biến

1.3.2.1 Tấn công sử dụng mã độc hại

Tấn công sử dụng mã độc hại là hình thức không mới Có nguồn gốc từ một dạng tấn công bảo mật sơ đẳng là tấn công dùng virus Theo thời gian, mã độc không chỉ đơn thuần là các virus lây lan qua việc chép dữ liệu, mà đã tiến hóa trở thành các mã tấn công đa hình, lây lan chính bằng con đường Internet Trong những năm gần đây, tấn công mã độc đã trở thành một trong những rủi ro ATTT số 1 trên thế giới và tiếp tục sẽ là điểm nóng của các năm tới

Ở Việt Nam, đã xuất hiện rất nhiều sự cố ATTT liên quan đến mã độc, ảnh hưởng trực tiếp đến hoạt động của nhiều TC/DN Tấn công mã độc là hiểm họa mà các TC/DN từ nhỏ đến lớn đều phải quan tâm DN nên chú trọng đầu tư một hệ thống phòng chống mã độc tổng thể bao gồm:

− anti-virus (diệt virus)

− anti-spam (chống thư rác)

− anti-spyware (chống gián điệp)

− web-filtering (lọc web) … [2]

1.3.2.2 Tấn công từ chối dịch vụ (DOS)

Một cuộc tấn công từ chối dịch vụ (DoS) hay tấn công từ chối dịch vụ phân tán (DDoS) là một nỗ lực làm cho những người dùng thông thường không thể sử dụng tài nguyên của một máy tính

Hình 1.6: Mô hình tấn công từ chối dịch vụ phân tán

Dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm có: Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website, không thể dùng một website cụ thể, không thể truy cập bất kỳ website nào, tăng lượng thư rác

Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công Tấn công từ chối dịch vụ

có thể được thực hiện theo một số cách nhất định Có năm kiểu tấn công cơ bản sau đây:

− Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý

− Phá vỡ các thông tin cấu hình như thông tin định tuyến

− Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP

− Ngắt nguồn điện

− Phóng hỏa

− Đánh cắp thiết bị

1.3.2.4 Tấn công tràn bộ đệm

Một lỗi tràn bộ nhớ đệm xảy ra khi dữ liệu được viết vào một bộ nhớ đệm,

mà do không kiểm tra biên đầy đủ nên đã ghi đè lên vùng bộ nhớ liền kề và làm hỏng các giá trị dữ liệu tại các địa chỉ bộ nhớ kề với vùng bộ nhớ đệm đó Hiện tượng này hay xảy ra nhất khi sao chép một xâu ký tự từ một bộ nhớ đệm này sang một vùng bộ nhớ đệm khác Cách thức phòng chống:

− Lựa chọn ngôn ngữ lập trình

− Sử dụng các thư viện an toàn

− Chống tràn bộ nhớ đệm trên stack

− Bảo vệ không gian thực thi

− Ngẫu nhiên hóa sơ đồ không gian địa chỉ

− Kiểm tra sâu đối với gói tin

1.3.2.5 Tấn công Brute Force

Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm

ra mật khẩu Vì thế nên thời gian cần rất lâu, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra là luôn luôn nếu không giới hạn thời gian Brute force chỉ được dùng khi các phương pháp khác đều không có hiệu quả

Hiện nay, tấn công Brute Force khá phổ biến:

− Thư viện mật khẩu được chia sẽ khá nhiều trên mạng, tỉ lệ chính xác rất cao

− Cơ chế kiểm tra đăng nhập hoạt động khá kém, không có 1 cơ chế ngăn chặn việc đăng nhập tự động

− Công cụ phần mềm hỗ trợ khá phong phú, nổi bật như là phần mềm Acunetix Web Vulnerability Scanner

Với các nhà cung cấp uy tín, họ luôn có cơ chế ngăn chặn rất hiệu quả Ví dụ

rõ ràng như Gmail, Yahoo Mail, luôn hiển thị Captcha để ngăn chặn việc đăng nhập

− Nếu bạn có một website có chức năng đăng nhập, hãy thiết lập giới hạn số lần nhập sai password của người dùng, block khi nhập sai quá giới hạn hay thử đăng nhập nhiều lần trong một thời gian ngắn, yêu cầu nhập thêm captcha…

− Sử dụng mật khẩu mạnh Tất cả các thuật toán mã hóa sẽ không giúp gì bạn nếu bạn sử dụng những mật khẩu kiểu như “123456″, “iloveyou”, …

1.3.2.6 Tấn công ứng dụng web

- Injection: Sai sót trong nhập liệu, chẳng hạn như SQL injection, OS injection hay LDAP injection… Điều này xảy ra khi các thông tin sai lệch được đưa vào cùng với các biến dữ liệu đầu vào như 1 phần của lệnh hay câu truy vấn Kẻ tấn công có thể lợi dụng sơ hở này để thực hiện các lệnh không mong muốn hay truy cập các dữ liệu bất hợp pháp

- Broken Authentication and Session Management: Xác thực hay quản lý phiên thiếu chính xác Sơ hở này cho phép kẻ tấn công có thể lợi dụng để đạt được mật khẩu, khóa hay phiên làm việc, từ đó mạo danh phiên làm việc và danh tính của người dùng thông thường

Cross-Site Scripting (XSS): Sai sót trong kiểm duyệt nội dung đầu vào cũng dẫn đến rủi ro này Các dữ liệu bất hợp pháp được gửi đến trình duyệt web mà ko cần sự xác nhận thông thường Nó cho phép kẻ tấn công thực thi các kịch bản trên trình

duyệt web của nạn nhân làm thay đổi nội dung trang web, chuyển hướng nạn nhân hay đánh cắp phiên làm việc được lưu trên trình duyệt

- Insecure Direct Object References: Điều này xảy ra thì nhà phát triển cho thấy có các tham chiếu trực tiếp đến một đối tượng nội bộ hay của người dùng khác,

ví dụ như một tập tin, thư mục, hay cơ sở dữ liệu quan trọng, mà ko có sự kiểm tra hay bảo vệ an toàn cần thiết Điều này cho phép kẻ tấn công có thể truy cập các tài liệu này một cách trái phép

- Security Misconfiguration: Một hệ thống bảo mât tốt là hệ thống triển khai cho khung ứng dụng, máy chủ ứng dụng, máy chủ cơ sở dữ liệu, nền tảng… các phương phảp bảo mật cần thiết, thống nhất và liên kết với nhau Điều này nhằm tránh những nguy cơ bị khai thác vào ứng dụng, ví dụ để lộ ra những thông tin quan trọng khi trao đổi các gói tin

- Sensitive Data Exposure: Các dữ liệu nhạy cảm không được lưu trữ và bảo

vệ cẩn thận, dẫn đến khi bị kẻ tấn công khai thác gây ra những ảnh hưởng to lớn cho hệ thống máy chủ, doanh nghiệp, khách hàng Ví dụ như việc lưu trữ thẻ tín dụng mà ko thông qua các khâu mã hóa, hay các gói tin TLS bị bẻ khóa và nghe lén thông qua lỗ hổng CRIME

- Missing Function Level Access Control: Thiếu các điều khoản trong việc phân quyền quản trị các mức, dẫn đến việc kẻ tấn công có thể lợi dụng và truy ra các điểm yếu trên hệ thống, hay lợi dụng để leo thang đặc quyền

- Cross-Site Request Forgery (CSRF): Lợi dụng sơ hở của nạn nhân, kẻ tấn công có thể lừa nạn nhân thực hiện các hành động nguy hiểm mà nạn nhân không

hề hay biết, ví dụ như chuyển tiền từ tài khoản nạn nhân sáng tài khoản kẻ tấn công, thông qua các lỗ hổng XSS

- Using Known Vulnerable Components: Sử dụng các thư viện, plugin, module… có chứa các lỗ hổng đã được công khai, dễ dàng dẫn đến việc bị kẻ tấn công lợi dụng để tấn công vào hệ thống một cách nhanh chóng

- Unvalidated Redirects and Forwards: Chuyển hướng không an toàn người dùng đến một đường dẫn bên ngoài có thể bị kẻ tấn công lợi dụng để chuyển hướng nạn nhân đến một trang đích được chuẩn bị sẵn của kẻ tấn công [17]

1.4 Kết luận chương

Trong chương 1, tác giả đã trình bày một số khái niệm về an toàn thông tin,

lỗ hổng, điểm yếu trong an toàn thông tin và các quy trình, các kiểu tấn công phổ biến của tin tặc

CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG

MÃ ĐỘC 2.1 Tổng quan về mã độc máy tính

Việc phát hiện, phân tích mã độc đòi hỏi quá trình theo dõi liên tục và lặp đi lặp lại Nếu thực hiện trên hệ thống thiết bị thật sẽ mất rất nhiều công sức và không thể kiểm soát một cách chặt chẽ và rất khó khăn để thực hiện một cách liền mạch

Vì trong quá trình phát hiện và phân tích, các chương trình mã độc có thể làm ảnh hưởng toàn bộ hệ thống, cô lập debugger và disasembler, trong trường hợp đó muốn tiếp tục phân tích cần khôi phục lại toàn bộ hệ thống Đối với hệ thống thật, quá trình đó mất rất nhiều thời gian Do đó, để phát hiện, phân tích và diệt mã độc, máy

ảo là một môi trường rất lý tưởng, mặc dù trong một số trường hợp, các mã độc có thể phát hiện ra máy ảo và dừng chạy chương trình, tuy nhiên trường hợp này hoàn toàn có thể khắc phục được bằng một số thay đổi trong mã nhị phân của mã độc [2]

2.1.1 Khái niệm mã độc

Theo Wikipedia, phần mềm độc hại hay còn gọi là mã độc là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch ngợm tạo ra nhằm gây hại cho các máy tính Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các loại phần mềm độc hại này có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa cho đến việc phá hoại, ăn cắp thông tin hoặc tấn công chiếm quyền điều khiển máy tính và lây nhiễm sang các máy tính khác như là virus trong cơ thể của các sinh vật

Theo NIST, mã độc được định nghĩa là một chương trình được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống Theo định nghĩa này mã độc hại bao hàm rất nhiều thể loại như: virus, worm, trojan, [18]

2.1.2 Phân loại mã độc

Tại Việt Nam hiện nay, thuật ngữ “virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã độc hại trên mạng, trong máy tính cá nhân Nhiều người dùng vẫn nhầm lẫn các loại mã độc với virus máy tính Do vậy phần này sẽ

tập trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng

và mục đích hoạt động khác nhau (xem Hình 2.1) như virus, worm, trojan, rootkit,

Hình 2.1 Phân loại mã độc

a Virus

Virus hay còn gọi là virus máy tính, là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (tập tin, ổ đĩa, máy tính, )

Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm

có lợi cho người phát tán virus

Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác Cũng có quan điểm cho rằng Windows

có tính bảo mật không tốt bằng các hệ điều hành khác (như Linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng thông dụng như Windows

hoặc thị phần các hệ điều hành ngang bằng nhau thì cũng lượng virus xuất hiện có

lẽ cũng tương đương nhau

Với khả năng của các tin tặc, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chỗ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều [2]

c Trojan

Trojan là chương trình máy tính thường ẩn mình dưới dạng một chương trình hữu ích và có những chức năng mong muốn, hay ít nhất chúng trông như có các tính năng này Một cách bí mật, nó lại tiến hành các thao tác khác không mong muốn Những chức năng mong muốn chỉ là phần bề mặt giả tạo nhằm che giấu cho các thao tác này

Trong thực tế, nhiều trojan chứa đựng các phần mềm gián điệp nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng Khác nhau căn bản với virus máy tính là trojan về mặt kỹ thuật chỉ là một phần mềm thông thường và không có ý nghĩa tự lan truyền Các chương trình này chỉ lừa người dùng để tiến hành các thao tác khác mà thân chủ sẽ không tự nguyện cho phép tiến hành Ngày nay, các trojan đã được thêm vào đó các chức năng tự phân tán Điều này đẩy khái

niện trojan đến gần với khái niệm virus và chúng trở thành khó phân biệt Dù sao, trojan cũng không tự động lây lan mà được phát tán một cách thủ công bởi người dùng

Trojan thường là các tệp khả thi trên Windows và do đó sẽ có các đuôi như

là exe, com, scr, bat, hay pif Trong nhiều ứng dụng của Windows đã có cấu hình mặc định không cho phép hiển thị các đuôi này

Các biểu tượng cũng có thể được gán với các loại tệp khác nhau và có thể được đính kèm vào thư điện tử Khi người dùng mở các biểu tượng này thì các trojan ẩn giấu sẽ tiến hành những tác hại bất ngờ Hiện nay, các trojan không chỉ xoá các tệp, bí mật điều chỉnh cấu hình của máy tính bị nhiễm mà còn dùng máy này như là một cơ sở để tấn công các máy khác trong mạng

Lợi dụng một số lỗi của trình duyệt web, chẳng hạn như Internet Explorer,

để nhúng trojan vào một trang web, khi người dùng xem trang này sẽ bị nhiễm Người dùng nên cập nhật các bản vá lỗi thường xuyên và dùng một trình duyệt web

có độ bảo mật cao như Firefox và Chrome

Các kiểu gây hại của trojan rất nhiều điển hình như xoá hay viết lại các dữ liệu trên máy tính, làm hỏng chức năng của các tập tin, lây nhiễm các phần mềm ác tính khác như là virus, cài đặt mạng để máy có thể bị điều khiển bởi máy khác hay dùng máy nhiễm để gửi thư phát tán, đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác, ăn cắp thông tin như là mật khẩu và số thẻ tín dụng, đọc các chi tiết tài khoản ngân hàng và dùng vào các mục tiêu khác, cài đặt lén các phần mềm chưa được cho phép [2]

Dựa vào các chức năng của từng loại thì trojan cũng được phân chia thành một số loại sau:

- Spyware: Tự động ghi lại các thông tin của máy tính bị xâm nhập và gửi dữ liệu tới người điều khiển chúng để phục vụ cho mục đích riêng của họ

- Adware: Tự động hiện các bản quảng cáo, chúng thường được phân phát dưới hình thức phần mềm miễn phí hay phiên bản dùng thử

- Keyloger: Bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker, nó có thể ghi lại nội dung của email, của văn bản, username, password, thông tin bí mật, thậm chí cả chụp ảnh màn hình máy tính nạn nhân

- Backdoor: cho phép kẻ tấn công kết nối đến máy nạn nhân mà không cần chứng thực, từ đó kẻ tấn công có thể thực thi các câu lệnh ngay trên máy nạn nhân

- Scareware là một chương trình máy tính độc hại được thiết kế để đánh lừa người dùng rằng nó là một ứng dụng hợp pháp và yêu cầu bạn bỏ tiền mua một cái gì đó chẳng có tác dụng gì cả Kiểu ngụy trang phổ biến nhất của Scareware

là các phần mềm chống virus Bạn sẽ được thông báo rằng máy tính của bạn đã bị nhiễm virus

- Ransomware là loại malware sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại [2]

d Rootkit

Rootkit là một bộ công cụ phần mềm do kẻ xâm nhập đưa vào máy tính nhằm mục đích cho phép mình quay lại xâm nhập máy tính đó và dùng nó cho các mục đích xấu mà không bị phát hiện, bộ công cụ này cho phép truy nhập vào hoạt động của máy tính ở mức căn bản nhất Có các rootkit khác nhau được viết cho nhiều loại hệ điều hành như Linux, Solaris và các phiên bản Microsoft Windows

Một rootkit có khả năng che giấu hoặc xóa bỏ bất cứ dấu vết nào của việc nó được đưa vào máy tính, sự tồn tại và hoạt động của nó Như có thể sửa nhật ký (log)

hệ thống để không ghi hoặc xóa bỏ tất cả các thông tin liên quan đến việc nó được đưa vào máy, thông tin về các lần truy nhập tiếp theo của kẻ xâm nhậ, và thông tin

về các tiến trình mà rootkit chạy

Trong trường hợp điển hình, rootkit che giấu đăng nhập, tiến trình, tập tin, log và có thể bao gồm phần mềm đánh cắp dữ liệu từ trạm cuối, các kết nối mạng

và bàn phím máy tính Trong nhiều trường hợp rootkit có thể được xem là trojan

Rootkit có thể được dùng cùng với một thủ thuật phá hoại (exploit), nhưng rootkit tự nó chỉ là một bộ các chương trình tiện ích Các chương trình này thường không phụ thuộc vào các lỗi phần mềm mà các exploit lạm dụng Nhiều tin tặc có một kho các exploit, nhưng chỉ có một hai chương trình rootkit để dùng kèm Một khi vào được hệ thống, tin tặc sẽ triển khai rootkit thích hợp, bất kể mình sử dụng exploit nào

Tuy rootkit không phải là một exploit, nhưng nó có thể chứa một exploit Rootkit thường cần quyền truy nhập tới nhân hệ điều hành và chứa một vài chương trình bắt đầu chạy khi hệ thống khởi động Một trong các cách cài một rootkit vào

hệ thống là sử dụng một exploit phần mềm, ví dụ lỗi tràn bộ đệm là một cơ chế để nạp mã chương trình vào nhân hệ điều hành

Khác với virus máy tính là một chương trình tự nhân bản và phát tán, rootkit không tự nhân bản và không có cơ chế hoạt động độc lập tự chủ [2]

2.1.3 Cách thức lây nhiễm mã độc

Các mã độc có thể bị lây nhiễm bằng nhiều đường, trong đó có lây nhiễm qua các chương trình được tải xuống từ Internet, qua tệp gắn kèm tại email, hoặc thậm chí khi truy cập một số trang web nhất định Ngoài ra, mã độc còn có thể được đưa vào máy USB hoặc thẻ nhớ

a Lây nhiễm theo cách cổ điển

Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loại mã độc là thông qua các thiết bị lưu trữ di động Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số [5]

b Lây nhiễm qua thư điện tử

Khi thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì chính là lúc

mã độc chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống

Khi đã lây nhiễm vào máy nạn nhân, mã độc có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy Nếu các chủ nhân của các máy nhận được thư bị nhiễm mã độc mà không bị phát hiện, thì loại mã độc này tiếp tục lây nhiễm vào máy tính và lại tiếp tục tìm các địa chỉ email rồi gửi tiếp Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính

có thể bị lây nhiễm và làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn

Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó

Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail) Khi đó người dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)

Lây nhiễm do mở một liên kết trong thư điện tử các liên kết trong thư điện tử

có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus

Lây nhiễm ngay khi mở để xem thư điện tử cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus Cách này cũng thường khai thác các lỗi của hệ điều hành [5]

c Lây nhiễm qua mạng Internet

Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm mã độc qua Internet trở thành các phương thức chính của các loại

- Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus

và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó

- Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Windows Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này [5]

2.1.4 Tác hại của mã độc

Cùng với sự bùng nổ của các thiết bị kết nối mạng cũng như chất lượng và băng thông Internet được nâng cao, số lượng các vụ tấn công mạng bằng cách sử dụng mã độc ngày càng trở nên phổ biến trên thế giới

Từ năm 2010, mã độc đã bắt đầu được thiết kế để đánh cắp thông tin nhằm mục đích thu lợi bất chính cho các tin tặc trong tất cả các lĩnh vực từ kinh tế, xã hội đến chính trị, quốc phòng

Trong suốt năm 2011, số lượng mã độc dạng này được tăng lên với số lượng rất lớn trên toàn thế giới, theo thống kê của phòng Thí nghiệm và phân tích mã độc ESET tại Mỹ, chỉ tính riêng tại khu vực Châu Mỹ Latin, thì đã có hơn 80.000 máy tính bị nhiễm các loại mã độc đánh cắp thông tin Theo hãng McAfee, chỉ trong năm 2012 cả nước Mĩ đã chịu thiệt hại từ 24 tỉ đến 120 tỉ USD vì tấn công mạng

Hình 2.2 Tổn thất do mã độc gây ra năm 2012

Tin tặc không chỉ sử dụng mã độc vào mục đích thu lợi về kinh tế mà còn nhằm vào các mục tiêu chính trị, quốc phòng Các loại dữ liệu bị đánh cắp từ các chính phủ, doanh nghiệp và quân đội ngày càng tăng Tiêu biểu như vụ trang Wikilead công bố hàng ngàn tài liệu mật được lấy từ của Bộ Ngoại giao Hoa Kỳ Hay gần đây, chính phủ Hoa Kỳ và một số nước như Canada, Úc đã phát hiện và cấm dùng các máy tính hiệu Lenovo thuộc Trung Quốc vì có cài mã độc trong phần cứng để giúp tin tặc có thể dễ dàng điều khiển máy tính người dùng

Tại Việt Nam, thiệt hại do mã độc mang lại vẫn đang ở mức cao Theo một thống kê từ công ty an ninh mạng BKAV, người sử dụng đã phải chịu tổn thất lên đến gần 8 nghìn tỷ đồng trong năm 2012 số liệu được tính dựa trên mức thu nhập của người sử dụng máy tính và thời gian công việc của họ bị gián đoạn do các trục trặc gây ra bởi virus máy tính Theo đó, bình quân mỗi người sử dụng máy tính tại Việt Nam đã bị thiệt hại 1.354.000 VNĐ Với ít nhất 5,9 triệu máy tính (theo Sách