Tấn công phát tán mã độc qua thư điện tử, minh họa và biện pháp phòng chống

1 MỞ ĐẦU Thư điện tử email là một phương thức trao đổi tin nhắn giữa người sử dụng các thiết bị điện tử, là một hệ thống chuyển nhận thư từ qua các mạng máy tính.. Các ứng dụng xử lý th

Nhóm học viên: Cao Hoang Nguyen

Bắc Ninh, tháng 10 năm 2019

iii

MỤC LỤC

DANH MỤC HÌNH ẢNH v

DANH MỤC BẢNG vii

DANH MỤC TỪ VIẾT TẮT viii

Mở đầu 1

CHƯƠNG 1 Tổng quan về thư điện tử và mã độc 2

1.1 Tổng quan về thư điện tử 2

1.1.1 Khái niệm thư điện tử 2

1.1.2 Lịch sử phát triển thư tín 2

1.1.3 Kiến trúc và hoạt động của hệ thống thư điện tử 3

1.1.4 Các mô hình và giao thức sử dụng trong thư điện tử 7

1.2 Tổng quan về mã độc 14

1.2.1 Khái niệm mã độc 14

1.2.2 Phân loại mã độc 15

1.2.3 Mục đích của mã độc 16

1.2.4 Tác hại của mã độc 17

1.2.5 Cách thức lây nhiễm của mã độc 18

1.2.6 Phân tích một số dạng mã độc 20

1.2.7 Xu hướng phát triển mã độc trong tương lai 30

CHƯƠNG 2 TẤN CÔNG PHÁT TÁN MÃ ĐỘC QUA THƯ ĐIỆN TỬ VÀ BIỆN PHÁP PHÒNG CHỐNG 34

2.1 Phương thức tấn công phát tán mã độc qua thư điện tử 34

2.1.1 Lừa đảo thư điện tử 34

2.1.2 Giả mạo thư điện tử 37

iv

2.1.3 Phát tán qua thư rác 38

2.2 Phương thức lây nhiễm mã độc qua thư điện tử 42

2.2.1 Lây nhiễm vào các tệp đính kèm theo thư điện tử (Attached mail) 42 2.2.2 Lây nhiễm do mở một liên kết trong thư điện tử 43

2.2.3 Lây nhiễm ngay khi mở để xem thư điện tử 44

2.3 Biện pháp phòng chống 46

2.3.1 Phòng tránh email phishing 46

2.3.2 Phòng chống mã độc 47

2.3.3 Người dùng sử dụng thư điện tử 48

2.3.4 Sử dụng phần mềm diệt virus 53

CHƯƠNG 3 MÔ PHỎNG TẤN CÔNG PHÁT TÁN MÃ ĐỘC VÀ CÁCH PHÒNG CHỐNG 58

3.1 Tấn công phát tán mã độc 58

3.2 Mô phỏng lọc thư rác dùng phần mềm VinaCIS AntiSPAM 63

3.2.1 Giới thiệu về phần mềm VinaCIS AntiSAMP 63

3.2.2 Sử dụng phần mềm VinaCIS AntiSPAM 63

KẾT LUẬN 69 TÀI LIỆU THAM KHẢO

v

Hình 1.1 Tổng quan thư điện tử 2

Hình 1.2 Sự phát triển của thư điện tử 3

Hình 1.3 Các thành phần của thư điện tử 4

Hình 1.4 Truy vấn DNS trong thư điện tử 6

Hình 1.5 Thư điện tử được gửi qua các trạm 7

Hình 1.6 Quá trình xử lý trong mô hình offline 8

Hình 1.7 Quá trình xử lý trong SMTP 10

Hình 1.8 Quá trình xử lý trong POP 12

Hình 1.9 Các loại mã độc 15

Hình 1.10 Mã độc lấy cắp thông tin nếu không được bảo vệ 17

Hình 1.11 Virus máy tính 20

Hình 1.12 Cảnh báo về Trojan 22

Hình 1.13 Cảnh báo về Worm 24

Hình 1.14 Hacker tấn công máy tính qua cửa sau Backdoor 26

Hình 1.15 Thông báo đòi tiền chuộc của Gandcrab 28

Hình 1.16 Nội dung email giả mạo “Goi trong Cong an Nhan dan Viet Nam” là Mã độc tống tiền GandCrab 5.2 29

Hình 1.17 Thống kê số lượng mã độc trên Android 31

Hình 2.1 Lừa đảo trong thư điện tử 34

Hình 2.2 Liên kết trong email chứa mã độc 44

Hình 2.3 Microsoft Outlook 45

Hình 2.4 Email lừa đảo với tiêu đề “Quà tặng giáng sinh” 51

Hình 2.5 Mô hình Firewall tích hợp ứng dụng quét virus 53

Hình 2.6 Mô hình quét virus trên chính máy chủ thư 55

Hình 2.7 Quét virus được thực hiện trên các trạm của người sử dụng 56

vi

Hình 3.1 Emal có nội dung hấp dẫn 58

Hình 3.2 Người nhận email tải xuống file đính kèm 58

Hình 3.3 Nội dung file Word document 59

Hình 3.4 Mã độc chạy đến khi mã hóa xong dữ liệu máy tính nạn nhân 60

Hình 3.5 Các tập tin sau khi bị mã hóa 61

Hình 3.6 Cửa sổ thông báo của mã độc 61

Hình 3.7 Cửa sổ thông báo của mã độc 62

Hình 3.8 Cửa sổ thông báo của mã độc 62

Hình 3.9 Giao diện phần mềm VinaCIS AntiSAMP 64

Hình 3.10 Thông tin về tài khoản dùng trong VinaCIS AntiSAMP 64

Hình 3.11 Danh sách thư sạch và rác 65

Hình 3.12 Danh sách các email rác 65

Hình 3.13 Danh sách email sạch 66

Hình 3.14 Danh sách tên miền rác 66

Hình 3.15 Danh mục thư rác trong email của bạn 68

Hình 3.16 Thông tin của thư rác 68

vii

Bảng 1.1 So sánh các đặc điểm của 3 mô hình 9Bảng 1.2 Danh sách các lệnh SMTP cơ bản 11Bảng 1.3 Danh sách các lệnh trong giao thức POP3 13

viii

DANH MỤC TỪ VIẾT TẮT

Từ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt

IMAP Internet Message Access

1

MỞ ĐẦU

Thư điện tử (email) là một phương thức trao đổi tin nhắn giữa người sử dụng các thiết bị điện tử, là một hệ thống chuyển nhận thư từ qua các mạng máy tính Sự ra đời của thư điện tử đã đánh dấu bước đột phá trong quá trình trao đổi thông tin Thời gian nhận thư nhanh chóng, có thể đính kèm nhiều định dạng hơn như ảnh, video, ghi âm… một cách dễ dàng

Phát tán mã độc (Malware) đã thực sự trở thành một ngành “Công nghiệp” trong các hoạt động gián điệp và phá hoại hệ thống phần mềm hiện nay Mã độc được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội, tới các cơ quan tài chính như ngân hàng, viện nghiên cứu, trường đại học… Các phần mềm chứa mã độc được tồn tại dưới nhiều hình thức và có khả năng lây lan vô cùng lớn Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone

Trong thời gian gần đây, việc phát tán mã độc, lây lan phần mềm độc hại qua thư điện tử đang trở nên phổ biến hơn bao giờ hết Hiện nay các phương pháp phòng chống đang là một trong những vấn đề được các nhà quản trị hệ thống mạng quan tâm Nhiều phương pháp, công cụ đã được đề xuất, tuy nhiên nhìn chung các công cụ hiện nay vẫn tỏ ra chưa thực sự hiệu quả Chính vì lý do đó, cần phải có một biện pháp tổng thể để đảm bảo an toàn ở tất cả các thành phần

Từ những lý do thực tế như vậy chúng em đã chọn nghiên cứu đề tài “Tìm hiểu

về tấn công phát tán mã độc qua thư điện tử, mô phỏng và biện pháp phòng chống” với mục đích tiếp cận, tìm hiểu về các hiểm họa cũng như các phương pháp phòng chống tương ứng trong thư điện tử

Bài báo cáo tập trung nghiên cứu tổng quan về thư điện tử và mã độc, tìm hiểu về các hiểm họa mã độc qua thư điện tử đặc biệt là dạng tấn công phát tán

mã độc qua thư điện tử, phương thức lây nhiễm mã độc qua thư điện tử từ đó đưa

ra các biện pháp phòng chống

Chương 1: Tổng quan về thư điện tử và mã độc

Chương 2: Tấn công phát tán mã độc qua thư điện tử và biện pháp phòng chống

Chương 3: Mô phỏng tấn công phát tán mã độc và cách phòng chống

2

CHƯƠNG 1 TỔNG QUAN VỀ THƯ ĐIỆN TỬ VÀ MÃ ĐỘC

1.1 Tổng quan về thư điện tử

1.1.1 Khái niệm thư điện tử

Thư điện tử là một thông điệp gửi từ máy tính này đến một máy tính khác trên mạng máy tính mang nội dung cần thiết từ người gửi đến người nhận Thư điện tử còn được gọi tắt là E-Mail (Electronic Mail) là cách gửi điện thư rất phổ biến E-Mail có nhiều cấu trúc khác nhau tùy thuộc vào hệ thống máy vi tính của người sử dụng Mặc dù khác nhau về cấu trúc nhưng tất cả đều có một mục đích chung là gửi hoặc nhận thư điện tử từ một nơi này đến một nơi khác nhanh chóng Ngày nay, nhờ sự phát triển mạnh mẽ của Internet người ta có thể gửi điện thư tới các quốc gia trên toàn thế giới Với lợi ích như vậy nên thư điện tử hầu như trở thành một nhu cầu cần phải có của người sử dụng máy vi tính

Hình 1.1 Tổng quan thư điện tử

1.1.2 Lịch sử phát triển thư tín

ARPANET là một dự án của ARPA Hoa Kỳ nhằm phát triển các giao thức truyền thông để liên kết các nguồn tài nguyên trên các vùng địa lý khác nhau Các ứng dụng xử lý thông báo cũng được thiết kế trong các hệ thống của ARPANET, tuy nhiên chúng chỉ được sử dụng trong việc gửi các thông báo tới người dùng trong nội bộ của một hệ thống Tomlinson đã sửa đổi hệ thống xử lý thông báo để người sử dụng có thể gửi các thông báo cho các đối tượng nhận không chỉ trong một hệ thống mà trên các hệ thống ARPANET khác Tiếp theo sự cải tiến Tomlinson, nhiều công trình nghiên cứu khác đã được tiến hành và thư tín điện tử

đã nhanh chóng trở thành một ứng dụng được sử dụng nhiều nhất trên ARPANET trước đây và Internet ngày nay

Hình 1.2 Sự phát triển của thư điện tử

1.1.3 Kiến trúc và hoạt động của hệ thống thư điện tử

1.1.3.1 Tài khoản thư điện tử

Muốn gửi thư điện tử người gửi cần phải có một account trên một máy chủ thư Một máy chủ có thể có một hoặc nhiều account Mỗi account đều được mang một tên khác nhau (User ID) Mỗi account đều có một hộp thư riêng (mailbox) cho account đó Thông thường thì tên của hộp thư sẽ giống như tên của account

Có một số nơi cấp phát account thư điện tử miễn phí cho người dùng như hotmail.com hoặc yahoo.com Ngoài ra, còn có nhiều nhà cung cấp dịch vụ thư điện tử có tính phí hàng tháng

1.1.3.2 Đường đi của thư điện tử

Mỗi một bức thư truyền thống phải đi tới các bưu cục khác nhau trên đường đến với người dùng Tương tự thư điện tử cũng chuyển từ máy máy chủ thư điện

tử này tới máy chủ thư điện tử khác trên internet Khi thư được chuyển đến đích

1.1.3.3 Các thành phần hệ thống trong thư điện tử

Mail User Agent (MUA): Là chương trình mà người dùng sử dụng để đọc

và gửi e-mail Nó đọc e-mail được gửi vào mailbox của người dùng và gửi e-mail tới MTA để gửi đến nơi nhận Các MUA thường được sử dụng trên Linux là: elm, pine, mutt Trên Windows là các Microsoft Outlook, Outlook Express

Mail Tranfer Agent (MTA): hoạt động cơ bản của nó giống như một “mail router” nó nhận e-mail từ các MUA hay từ một MTA khác, dựa vào thông tin trong phần header của e-mail nó sẽ đưa ra xử lý phù hợp với e-mail đó, sau đó e-mail sẽ được gửi đến một MDA phù hợp để gửi e-mail đó Các MTA thường được

sử dụng trên Linux là: sendmail, postfix, qmail Trên Windows có Exchange, Mdaemon

Mail Delivery Agent (MDA): nhận mail từ MTA và thực hiện việc gửi mail đến đích thực sự Qua những khái niệm trên bạn có thể nhận thấy MTA là phần quan trọng nhất trong một hệ thống thư điện tử

e-Hình 1.3 Các thành phần của thư điện tử

1.1.3.4 Gửi, nhận và chuyển thư điện tử

Để nhận được thư điện tử bạn cần phải có một tài khoản (account) thư điện

tử Nghĩa là bạn phải có một địa chỉ để nhận thư Một trong những thuận lợi hơn với thư thông thường là bạn có thể nhận thư điện tử từ bất cứ đâu Bạn chỉ cần kết nối vào Server thư điện tử để lấy thư về máy tính của mình

5

Để gửi được thư bạn cần phải có một kết nối vào Internet và truy nhập vào máy chủ thư điện tử để chuyển thư đi Thủ tục tiêu chuẩn được sử dụng để gửi thư là SMTP (Simple Mail Transfer Protocol) Nó được kết hợp với thủ tục POP (Post Office Protocol) và IMAP để lấy thư Trên thực tế có rất nhiều hệ thống vi tính khác nhau và mỗi hệ thống lại có cấu trúc chuyển nhận thư điện tử khác nhau

Vì có sự khác biệt như vậy nên việc chuyển nhận thư điện tử giữa hai hệ thống khác nhau rất là khó khăn Do vậy, người ta đã đặt ra một giao thức chung cho thư điện tử Có nghĩa là các hệ thống máy vi tính đều truyền thông với nhau về một giao thức chung gọi là SMTP-Simple Mail Transfer Protocol Nhờ vào SMTP này mà sự chuyển vận thư từ điện tử trên Internet đã trở thành dễ dàng nhanh chóng cho tất cả các người sử dụng máy vi tính cho dù họ có sử dụng hệ thống máy vi tính khác nhau

Khi gửi thư điện tử thì máy tính của bạn cần phải định hướng đến máy chủ SMTP Máy chủ sẽ tìm kiếm địa chỉ thư điện tử (tương tự như địa chỉ điền trên phong bì) sau đó chuyển tới máy chủ của người nhận và nó được chứa ở đó cho đến khi được lấy về Bạn có thể gửi thư điện tử đến bất cứ ai trên thế giới mà có một địa chỉ thư điện tử Hầu hết các nhà cung cấp dịch vụ Internet đều cung cấp thư điện tử cho người dùng Internet

- Chuyển thư (Send Mail)

Sau khi người sử dụng máy vi tính dùng chương trình thư để viết thư và đã ghi rõ địa chỉ của người nhận thì máy tính sẽ chuyển bức thư điện đến hộp thư người nhận SMTP sử dụng giao thức TCP để chuyển thư Vì giao thức TCP rất

là hữu hiệu và có phần kiểm soát thất lạc mất mát cho nên việc gửi thư điện có hiệu xuất rất cao Khi nhận được lệnh gửi đi của người sử dụng, máy vi tính sẽ dùng giao thức TCP liên lạc với máy vi tính của người nhận để chuyển thư

Đôi khi vì máy vi tính của người nhận đã bị tắt điện hoặc đường dây kết nối từ máy gửi tới máy nhận đã tạm thời bị hư hỏng tạm thời tại một nơi nào đó, hoặc có thể các Router trên tuyến đường liên lạc giữa hai máy tạm thời bị hỏng thì máy gửi không cách nào gửi được tới máy nhận Gặp trường hợp như vậy thì các trạm gửi sẽ tạm thời lưu trữ lá thư Trạm gửi sau đó sẽ tìm cách gửi lại với máy nhận Nếu trong khoảng thời gian mà trạm gửi của nơi gửi vẫn không liên lạc được với máy nhận thì trạm gửi sẽ gửi một thông báo cho người gửi nói rằng việc vận chuyển của lá thư điện tử đã không thành công

6

Hình 1.4 Truy vấn DNS trong thư điện tử

- Nhận Thư (Receive Mail)

Nếu máy gửi có thể liên lạc được với máy nhận thì việc chuyển thư sẽ được tiến hành Trước khi nhận lá thư thì máy nhận sẽ kiểm soát tên người nhận có hộp thư trên máy nhận hay không Nếu tên người nhận thư có hộp thư trên máy nhận thì lá thư sẽ được nhận lấy và thư sẽ được bỏ vào hộp thư của người nhận Trường hợp nếu máy nhận kiểm soát thấy rằng tên người nhận không có hộp thư thì máy nhận sẽ khước từ việc nhận lá thư Trong trường hợp khước từ này thì máy gửi sẽ thông báo cho người gửi biết là người nhận không có hộp thư (user unknown) Sau khi máy nhận đã nhận lá thư và đã bỏ vào hộp thư cho người nhận thì máy nhận sẽ thông báo cho người nhận biết là có thư mới Người nhận sẽ dùng chương trình thư để xem lá thư Sau khi xem thư xong thì người nhận có thể lưu trữ, xóa, hoặc trả lời

7

Hình 1.5 Thư điện tử được gửi qua các trạm

- Trạm Phục Vụ Thư (Mail Server)

Trong hệ thống thư nội bộ thì người gửi gửi trực tiếp đến người nhận thông qua MDA Trong các hệ thống thư bên ngoài thì, thư điện tử được gửi qua các trạm MTA và tới MDA sau đó chuyển đến người nhận

1.1.4 Các mô hình và giao thức sử dụng trong thư điện tử

1.1.4.1 Các mô hình được sử dụng trong thư điện tử

- Mô hình offline

Mail offline là một hệ thống mail server hoạt động dựa trên mô hình mạng nội bộ (LAN) đã được cài đặt trước Trong mô hình này chúng ta không cần phải

có một máy chủ chuyên dụng mà chỉ cần chỉ định một máy có cấu hình tương đối

để làm máy chủ mail server Sử dụng mail offline sẽ cải thiện được tốc độ của việc gửi và nhận mail giữa các nhân viên trong công ty Mail offline thường được cài đặt bằng MDaemon hay MS Exchange

Trong mô hình này, một ứng dụng thư client kết nối định kỳ tới máy chủ thư tín Nó tải tất cả các thông báo tới máy client và xoá các thông báo này khỏi

từ máy chủ thư tín khi cần

- Mô hình disconnect

Đây là một mô hình biến thể của mô hình offline và mô hình online, được

sử dụng bởi giao thức PCMAIL Trong mô hình này, một client tải một vài thông báo từ máy chủ thư tín, thao tác với chúng trong mô hình offline, rồi sau đó chuyển các thay đổi đến máy chủ thư tín Vấn đề đồng bộ được quản lý (khi có nhiều client) thông qua phương pháp nhận danh duy nhất cho mỗi thông báo

9

Bảng 1.1 So sánh các đặc điểm của 3 mô hình

Có thể sử dụng

Thời gian kết nối tới

Xử lý mail khi

1.1.4.2 Các giao thức

- Giao thức SMTP – Simple Mail Transfer Protocol

Jon Postel thuộc Trường đại học Nam California đã phát triển SMTP vào tháng 8 năm 1982 SMTP là một giao thức truyền thư tín điện tử một cách tin cậy

và hiệu quả SMTP độc lập đối với các hệ thống truyền tải đặc biệt và chỉ yêu cầu kênh truyền dữ liệu tin cậy trên cổng 25 Một dịch vụ truyền tải (TCP, X.25…) cung cấp một môi trường truyền thông liên tiến trình (IPCE-Interprocess Communication Environment) Một IPCE có thể bao gồm một mạng, nhiều mạng, hoặc tập con của một mạng Như vậy, điều quan trọng ở đây là các hệ thống (hoặc các IPCE) không phải là các mạng one-to-one Một tiến trình có thể truyền thông trực tiếp với tiến trình khác thông qua IPCE đã được biết Mail có thể được truyền thông giữa các tiến trình trong các IPCE lưu chuyển thông qua một tiến trình đã

SMTP cung cấp nhiều kĩ thuật cách khác nhau để gửi mail:

+ Truyền thẳng khi host phía gửi và host phía nhận được kết nối tới cùng một dịch vụ truyền tải

+ Thông qua các máy chủ SMTP khi host phía gửi và host phía nhận không được kết nối tới cùng một dịch vụ truyền tải

Để có thể cung cấp các khả năng lưu chuyển thì Server-SMTP phải được cung cấp tên máy đích cuối cùng (tên mailbox đích)

11

Bảng 1.2 Danh sách các lệnh SMTP cơ bản

1 HELLO Định danh sender-SMTP đối với Receiver-SMTP

2 MAIL Khởi tạo phiên giao dịch mail tới một hoặc nhiều mailbox

3 RCPT Định danh một người nhận dữ liệu mail thông qua tham số

forward

4 DATA Các dòng sau lệnh này sẽ là dữ liệu thư

5 RSET Chỉ ra phiên giao dịch thư hiện tại sẽ bị loại bỏ

6 SEND Khởi tạo phiên giao dịch dữ liệu thư phân phối tới một hoặc

nhiều terminal

7 SOML Khởi tạo phiên giao dịch dữ liệu mail phân phối tới một

hoặc nhiều terminal hoặc nhiều mailbox

8 SAML Khởi tạo phiên giao dịch dữ liệu mail phân phối tới một

hoặc nhiều terminal và nhiều mailbox

9 VRFY Yêu cầu người nhận mail xác nhận một người sử dụng

10 EXPN Yêu cầu xác nhận tham số để định danh một danh sách thư

11 HELP Người nhận gửi thông tin trợ giúp tới người gửi

12 NOOP Nhận được lệnh này từ phía người gửi, tức là không thực

hiện gì khác, thì người nhận trả lời OK

- Giao thức POP - Post Office Protocol

POP được phát triển đầu tiên là vào năm 1984 và được nâng cấp từ bản POP2 lên POP3 vào năm 1988 và hiện nay hầu hết người dùng sử dụng tiêu chuẩn POP3 Giao thức POP3 được sử dụng để truy nhập và lấy các thông điệp thư điện

tử từ mailbox trên máy chủ thư tín POP3 được thiết kế hỗ trợ xử lý mail trong chế độ Offline Theo chế độ này, các thông báo mail được chuyển tới máy chủ

12

thư tín và một chương trình thư client trên một máy trạm kết nối tới máy chủ thư tín đó và tải tất cả các thông báo mail tới máy trạm đó Và sau đó, tất cả quá trình

xử lý mail được diễn ra trên chính máy trạm này

Hình 1.8 Quá trình xử lý trong POP

Một POP3 Server được thiết lập chế độ đợi ở cổng 110 Khi POP3 client muốn sử dụng dịch vụ POP3, nó thiết lập một kết nối TCP tới máy server ở cổng

110 Khi kết nối TCP được thiết lập, POP3 server sẽ gửi một lời chào tới client Phiên làm việc giữa client và server được thiết lập Sau đó client gửi các lệnh tới server và server đáp lại các lệnh đó tới tận khi đóng kết nối hoặc kết nối bị huỷ

bỏ Một phiên POP3 có 3 trạng thái là:

Trạng thái AUTHORIZATION: Một khi kết nối TCP được mở và POP3 server gửi lời chào tới client thì phiên vào trạng thái AUTHORIZATION, trong trạng thái này server sẽ xác thực client Khi server xác thực client thành công thì phiên vào trạng thái TRANSACTION

Trạng thái TRANSACTION: Tiếp theo trạng thái AUTHORIZATION là trạng thái TRANSACTION Trong trạng thái này, client có thể truy nhập tới mailbox của mình trên server để kiểm tra, nhận thư

13

Trạng thái UPDATE: Khi client gửi lệnh QUIT tới server từ trạng thái TRANSACTION, thì phiên vào trạng thái UPDATE Trong trạng thái này server gửi lệnh kết thúc tới client và đóng kết nối TCP, kết thúc phiên làm việc Nếu client gửi lệnh QUIT từ trạng thái AUTHORIZATION, thì phiên PO3 sẽ kết thúc

mà không vào trạng thái UPDATE

Bảng 1.3 Danh sách các lệnh trong giao thức POP3

1 STAT Lệnh STAT được sử dụng để nhận số tổng thông báo và tổng

số byte của các thông báo đó trong mailbox

2 LIST Lệnh LIST được sử dụng có hoặc không tham số

3 RETR Server sẽ gửi toàn bộ thông báo tương ứng với số nhận danh

thông báo tới client

4 DELE Đánh dấu một dòng thông báo để xóa

5 RSET Lệnh này thì ngược với lệnh DELE

6 NOOP Lệnh này đơn giản chỉ là để kiểm tra kết nối đến server

Nếu không có đối số [n] thì lệnh TOP sẽ lấy header của thông báo được chỉ ra từ server Nếu có đối [n] thì TOP sẽ lấy header của thông báo cùng với n dòng của thông báo

8 UIDL UIDL trả lại các nhận danh duy nhất của mỗi thông báo

9 QUIT Vào trạng thái UPDATE, kết thúc phiên POP3

- Giao thức IMAP - Internet Message Access Protocol

IMAP là giao thức hỗ trợ những thiếu sót của POP3 IMAP được phát triển vào năm 1986 bởi trường đại học Stanford IMAP2 phát triển vào năm 1987 IMAP4 là bản mới nhất đang được sử dụng và nó được các tổ chức tiêu chuẩn Internet chấp nhận vào năm 1994 IMAP4 được quy định bởi tiêu chuẩn RFC

2060 và nó sử dụng cổng 143 của TCP

14

IMAP cũng là một giao thức cho phép client truy nhập email trên một server, không chỉ tải thông điệp thư điện tử về máy của người sử dụng mà có thể thực hiện các công việc như: tạo, sửa, xoá, đổi tên mailbox, kiểm tra thông điệp mới, thiết lập và xoá cờ trạng thái

IMAP được thiết kế trong môi trường người dùng có thể đăng nhập vào server (cổng 143/tcp) từ các máy trạm khác nhau Nó rất hữu ích khi việc tải thư của người dùng không về một máy cố định, bởi không phải lúc nào cũng chỉ sử dụng một máy tính Trong khi đó POP không cho phép người sử dụng tác động lên các thông điệp trên server Đơn giản POP chỉ được phép tải thư điện tử của người dùng đang được quản lý trên server, trong inbox của người sử dụng đó Như vậy, POP chỉ cung cấp quyền truy nhập tới inbox của người sử dụng mà không hỗ trợ quyền truy nhập tới pulbic folder Sử dụng IMAP với các mục đích sau:

+ Tương thích đầy đủ với các chuẩn thông điệp Internet (Ví dụ MIME) + Cho phép quản lý thông điệp từ nhiều máy tính khác nhau

+ Hỗ trợ 3 chế độ: online, offline và disconnected

+ Hỗ trợ truy nhập đồng thời tới các mailbox dùng chung

+ Phần mềm bên client không cần thiết phải biết kiểu lưu trữ file của server

Kết nối IMAP bao gồm:

+ Kết nối mạng cho client/server

+ Khởi tạo trên server hay những tương tác client/server tiếp theo Những tương tác này bao gồm: lệnh từ client, dữ liệu trên server, và trả lời trên server Tương tác giữa IMAP client và IMAP server thực hiện dựa vào các giao thức gửi/nhận của client/server

1.2 Tổng quan về mã độc

1.2.1 Khái niệm mã độc

Mã độc (Malicious software) là một loại phần mềm được tạo ra và chèn vào

hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của

tổ chức hay chính phủ trên toàn thế giới

Ví dụ: Trojan, Worm, Virus, Backdoor, …

Hình 1.9 Các loại mã độc

1.2.2 Phân loại mã độc

Tuỳ thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta phân biệt mã độc thành nhiều loại khác nhau: virus, trojan, backdoor, adware, spyware … Đặc điểm chung của mã độc là thực hiện các hành vi không hợp pháp (hoặc có thể hợp pháp, ví dụ như các addon quảng cáo được thực thi một cách hợp pháp trên máy tính người dùng) nhưng không theo ý muốn của người sử dụng máy tính Có hai dạng phân loại mã độc:

Phân loại mã độc theo đặc trưng thi hành:

- Lệ thuộc ứng dụng chủ (need to host)

+ Cửa sập (trapdoors)

+ Bom hẹn giờ (logic bomb)

16

+ Virus máy tính (computer virus)

+ Nội ứng ngựa gỗ (trojan horse)

- Thực thi độc lập (stand alone)

+ Máy tính vi khuẩn (computer bacterial)

+ Sâu mạng (worm) và bộ công cụ kit (rootkit)

+ Thám báo bàn phím (key logger)

+ Cửa hậu (Backdoor)

+ Đồng bộ hóa dữ liệu thiết bị di động (Companion và link)

+ Mầm độc (Germ)

+ Bộ kiến tạo (constructor)

+ Công cụ đục phá (hacktool)

Phân loại mã độc theo đặc trưng hành vi:

- Ngăn cấm thực thi chương trình, hoặc làm thay đổi dữ liệu

- Khai thác dịch vụ hệ thống

1.2.3 Mục đích của mã độc

Mã độc là các phần mềm được thiết kế nhằm thực hiện các hoạt động gây hại cho người sử dụng công nghệ thông tin Mã độc có thể tồn tại trên máy tính, điện thoại di động hay các thiết bị công nghệ khác mã độc khi lây lan vào máy tính có thể thực hiện các hành vi vi phạm như:

- Lấy cắp dữ liệu:

Các dữ liệu quan trọng của người sử dụng như tệp tin văn bản mật, tệp tin nhật ký, hình ảnh riêng tư…có thể bị mã độc ấy đi và bí mật gửi ra ngoài máy tính Điều này đặc biệt quan trọng đối với các tổ chức, cơ quan nhà nước khi các tài liệu được xử lý bằng hình ảnh máy tính thường chứa dữ liệu nhạy cảm

- Theo dõi hoạt động:

Sau khi lây nhiễm vào máy tính, mã độc sẽ theo dõi hoạt động của người

sử dụng trên máy tính này Các hoạt động của người dùng dử dụng như soạn thảo

17

văn bản, soạn thư điện tử, sử dụng mạng xã hội đều có thể bị theo dõi bởi mã độc Một số mã độc còn có thể nghe lén âm thanh xung quanh thiết bị đã bị lây nhiễm

- Bị lợi dụng thực hiện tấn công đối tượng khác

Sau khi lây nhiễm và chiếm quyền điều khiển thiết bị, mã độc có thể lợi dụng thiết bị này để tấn công vào đối tượng thứ ba Việc này giúp cho mã độc che dấu nguồn gốc thông tin cũng như gây khó khắn cho quá trình điều tra Một số cuộc tấn công liên quốc gia gây ra bởi mã độc có thể làm ảnh hưởng đến quan hệ ngoại giao cũng như uy tín của các quốc gia

- Phá hoại dữ liệu:

Các loại mã độc như mã độc tống tiền ransomware thường được thực hiện

mã hóa tất cả dữ liệu của người sử dụng và đòi hỏi phải trả chi phí để có thể lấy lại dữ liệu Trên thế giới và tại việt nam đã ghi nhận nhiều trường hợp phải chi trả chi phí để lấy lại dữ liệu quan trọng phục vụ công việc và đời sống hàng ngày

Hình 1.10 Mã độc lấy cắp thông tin nếu không được bảo vệ

Các thống kê cho thấy, các cuộc tấn công của mã độc quy mô lớn chủ yếu nhắm vào chính phủ hoặc các tổ chức tài chính Tiếp đó là các công ty, dịch vụ về công nghệ thông tin, điều này lý giải cho mục tiêu của mã độc nhắm tới đó là lợi nhuận và lây lan rộng Phần lớn mã độc dùng vào chuyện phạm pháp và thường được dùng để lấy thông tin tài khoản ngân hàng hoặc thông tin đăng nhập email hoặc tài khoản mạng xã hội

1.2.4 Tác hại của mã độc

- Làm chậm kết nối

- Làm chậm máy, gây lỗi máy bởi các mã độc

18

- Gây hiển thị thông báo lỗi liên tục

- Không thể tắt máy hay khởi động lại khi mã độc duy trì cho những process nhất định hoạt động

- Kẻ xấu lợi dụng mã độc để thu thập thông tin cá nhân hoặc dữ liệu từ máy tính

- Lây nhiễm vào máy và sử dụng máy làm vật chủ để quảng bá nhiều file khác nhau hay thực hiện các tấn công khác

- Gửi spam đi và đến hộp thư người dung

- Gửi những email mạo danh người dung, gây rắc rối cho người dung hay công ty

- Làm xuất hiện những thanh công cụ mới

- Chạy ngầm và khó bị phát hiện nếu được lập trình tốt

1.2.5 Cách thức lây nhiễm của mã độc

1.2.5.1 Lây nhiễm qua thiết bị lưu trữ

Mã độc lây nhiễm thông qua các thiết bị lưu trữ di động, trước đây là các ổ đĩa mềm, ổ CD đến bây giờ là các thiết bị lưu trữ USB, thẻ nhớ

Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk, …), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước

Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa là diskicon.ico Những tệp này đều nằm ở thư mục gốc của thiết bị lưu trữ Giả sử ở USB của bạn là ổ G thì tệp đó sẽ nằm ở G:\virus.exe Khi cắm usb vào, máy tính sẽ mặc nhiên chạy tệp G:\virus.exe nếu chưa đọc config đúng cách

1.2.5.2 Lây nhiễm qua thư điện tử

Khi mà thư điện tử được sử dụng rộng rãi trên thế giới thì mã độc chuyển hướng lây nhiễm sang thư điện tử thay cho các hình thức lây nhiễm cổ điển

Những loại virus kiểu này có một thời rất được thịnh hành ở Việt Nam vì khả năng lây lan với tốc độ cao của nó

1.2.5.3 Lây nhiễm qua trình duyệt truy cập web

Bao gồm lây nhiễm do các tập tin tài liệu, phần mềm miễn phí hay phần mềm bẻ khóa được chia sẽ trên mạng mà người dùng tải về và chạy trên máy tính, lây nhiễm do truy cập vào các trang web có chứa mã độc (theo cách vô ý hoặc cố ý), lây nhiễm mã độc thông qua các lỗi bảo mật trên các hệ điều hành, các ứng dụng có sẵn trên hệ điều hành hoặc phần mềm của hãng thứ ba

Giống như cách lây lan qua Yahoo Messenger, khi bạn truy cập vào đường link (một trang web) nào đó, bạn sẽ vô tình vào phải các trang web bị nhiễm mã độc (dạng VBScript) Cách giải quyết giống như trên, sử dụng các trình duyệt có tính bảo mật tốt không hỗ trợ vbscript để truy cập web

1.2.5.4 Lây nhiễm vào các tệp tin thực thi

Một ngày chủ nhật nào đó, trong khi lướt web và tìm kiếm các phần mềm tiện ích để download về Những trang web truy cập đều là các trang web sạch (không chứa mã độc, không có virus và có thể là các trang web có uy tín) Nhưng

dù vậy, vẫn có nguy cơ bị dính virus mà không biết mình đã bị khi nào

Vì một lý do nào đó, chương trình ứng dụng gốc sau khi được chuyển dịch

từ server này lên server khác… đã bị “đính” thêm một con virus vào (đánh tráo thành một tệp bị nhiễm virus) Trong khi, không hề biết nó có nguy hiểm hay không mà chỉ mẩy may bật vào, ngay lập tức, virus đã được extra và thực thi trên máy tính từ file cài đặt của ứng dụng

1.2.5.5 Lây nhiễm từ smartphone sang máy tính

Mã độc được viết và gán vào các phần mềm ứng dụng trong smartphone Trên smartphone các mã độc có thể tự động gửi thông tin về tài khoản, SMS, danh

bạ điện thoại… về máy chủ của kẻ phát tán mã độc Khi các smartphone kết nối

20

vào máy tính các file autorun trên smartphone sẽ chuyển từ smartphone sang máy tính để thực hiện lấy cắp thông tin cũng như phá hoại hệ thống

1.2.5.6 Lây nhiễm qua mạng nội bộ

Virus sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạn nhân) xem có thư mục nào chia sẻ (Share) và cho phép sửa chữa chúng hay không Sau

đó chúng sẽ tự sao chép và chờ đợi một ai đó vô ý chạy chúng

1.2.6 Phân tích một số dạng mã độc

1.2.6.1 Virus máy tính

Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi tắt là virus hay vi-rút) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó tạo ra những tệp tin (file) bị nhiễm virus trên các thiết bị lưu trữ như đĩa cứng, đĩa mềm, thiết bị nhớ flash (phổ biến là usb),

Hình 1.11 Virus máy tính

Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay có thể coi virus máy tính như mầm giống gây bệnh cho những chiếc máy tính, và máy tính là những bệnh nhân, phải luôn chiến đấu với bệnh dịch và các nhà nghiên cứu phần mềm diệt virus luôn cố gắng tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng

- Phân loại virus máy tính

+ Compiled Virus

Là Virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hoặc bởi hệ điều hành

hệ thống

Hiểu một cách đơn giản, Virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi

- Dấu hiệu nhận biết bị nhiễm virus máy tính

+ Truy xuất tập tin, mở các chương trình ứng dụng chậm

+ Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm

+ Các trang quảng cáo tự động hiện ra, màn hình Desktop bị thay đổi + Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB

+ Xuất hiện các file có phần mở rộng exe có tên trùng với tên các thư mục

+ Ổ cứng bị truy xuất thường xuyên

+ Không thể sử dụng các công cụ của hệ thống ví dụ như Task Manage hoặc Registry Editor (Nhấn tổ hợp Ctrl + Alt + Del để mở Task Manager thì thấy CPU và RAM luôn ở mức cao, thậm chí là 100%.)

+ Xuất hiện nhiều biểu tượng lạ mà bạn chưa từng cài đặt

+ Hiểu biết CD và DVD có bị nhiễm hay không

+ Thường xuyên cập nhật phần mềm diệt Virus, cập nhật hệ điều hành

22

+ Đảm bảo cửa sổ pop-up blocker được bật và sử dụng tường lửa internet

1.2.6.2 Trojan

Trojan là một trong những mối đe dọa nguy hiểm nhất với máy tính Chúng

là loại mã độc hại được đặt theo sự tích: “Ngựa thành Troy” Trojan là một chương trình mà trong đó chứa đựng những mã nguy hiểm và độc hại ẩn dưới dạng nhưng dữ liệu hay chương trình dường như vô hại theo như tính năng này

có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa cứng của máy tính

Hình 1.12 Cảnh báo về Trojan

Tường lửa có thể sẽ phát hiện các hoạt động đáng ngờ của trojan Windows Firewall là một tường lửa rất cơ bản có sẵn của Windows, bạn có thể sử dụng các công cụ nâng cao đi kèm phần mềm diệt virus như Kaspersky Internet Security, v.v…

Chỉ cần nhớ rằng trojan không thể cài đặt tự động như virus, chúng cần phải được cài đặt bởi người sử dụng Bạn phải rất cẩn thận trong khi cài đặt hoặc chạy bất kỳ chương trình nào, chỉ nên chạy những công cụ được cung cấp từ nguồn mà bạn tin tưởng

- Phân loại Trojan

+ Command shell Trojan

+ Email Trojans

- Dấu hiệu nhận biết bị nhiễm trojan

+ Thanh Taskbar trên windows bỗng dưng biến mất

+ Tài khoản và mật khẩu bị thay đổi hoặc không chứng thực được + Màn hình máy tính bật ngược hoặc đảo lộn

+ Thiết lập của màn hình chờ tự động thay đổi

+ Nhà cung cấp dịch vụ than phiền nạn nhân đang scan ip của mình + Hình nền và background thay đổi

+ Chức năng các nút trái phải bị đảo lộn

+ Mọi người biết nhiều thông tin của nạn nhân

+ Màn hình máy tính bị nó tắt mở

+ Tài liệu hoặc tin nhắn được in ra từ mấy in của mình

+ Trò chuột biến mất hoặc di chuyển bởi nó

+ Máy tính bị tắt hoặc mở bởi nó

+ Phím tắt Ctrl + Alt + Del dừng làm việc

25

Khác với virus, worm thường không sửa đổi các chương trình khác trong máy tính Trong khi virus máy tính bám vào và trở thành một phần của mã máy tính để có thể thi hành thì sâu máy tính là một chương trình độc lập không nhất thiết phải là một phần của một chương trình máy tính khác để có thể lây nhiễm Worm có sức lây lan rộng, nhanh và phổ biến nhất hiện nay Worm kết hợp

cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại với vũ khí tối tân

Tiêu biểu như Mellisa hay Love Letter Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền Internet

Hầu hết các worm được tạo chỉ có thể tái tạo và lây lan thông qua mạng, tiêu thụ tài nguyên máy tính, tuy nhiên một vài worm mang một payload tàn phá

hệ thống

- Một số Worm cơ bản

+ Network Service Worm (Sâu dịch vụ mạng):

Network service Worms lây lan bằng cách khai thác một lỗ hổng bảo mật trong 1 dịch vụ mạng liên kết với hệ điều hành hoặc với 1 ứng dụng nào

đó trên hệ thống Khi thể loại sâu này đã lây nhiễm thành công vào hệ thống, thông thường, nó sẽ quét và phát hiện những hệ thống khác, cũng đang chạy dịch vụ kiểu đó (target service - dịch vụ mục tiêu: loại dịch vụ có lỗ hổng đã

bị khai thác), để tiếp tục lây nhiễm cho các hệ thống đó

+ Mass Mailing Worm (Sâu gửi điện thư hàng loạt):

Sâu gửi điện thư hàng loạt có cách thức hoạt động tương tự như borne virus (khác biệt lớn nhất vẫn là: Sâu loại này, tự nó đã là self-contained chứ không như email-borne virus cần sống bám vào file đính kèm trong thư)

Email Biện pháp phòng chống

+ Chạy clean up ổ đĩa, quét registry và chạy chống phân mảnh một lần trong tuần

+ Bật tường lửa nếu OS sử dụng Windows XP

+ Chạy chương trình giống phần mềm gián điệp và phần mềm quảng cáo một lần trong tuần

26

+ Chặn tất cả các file có phần mở rộng dài hơn phần mở rộng của file + Thận trọng với những file được gửi thông qua dòng tin nhắn tức thời

+ Bật và quét Virus thường xuyên khi sử dụng máy tính

1.2.6.4 Backdoor

Backdoor, nghĩa là "cửa hậu" hay lối vào phía sau Trong một hệ thống máy tính, "cửa hậu" là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường

Hình 1.14 Hacker tấn công máy tính qua cửa sau Backdoor

Cửa hậu có thể có hình thức một chương trình được cài đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit được cài đặt khi một đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một máy tính chạy Windows), hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với Trojan

27

+ Hầu hết các sản phầm chống virus thương mại có thẻ tự động quét

và phát hiện các chương trình backdoor trước khi chúng có thể gây thiệt hại

+ Giúp người dùng không cài đặt các ứng dụng tải về từ các trang web Internet không đáng tin cậy và file đính kèm email

+ Sử dụng công cụ chống virus chẳng hạn như Windows Defender, McAfee, Norton phát hiện và loại bỏ các Backdoors

1.2.6.5 Một số loại mã độc khác

- Rootkit

Là loại mã độc nguy hiểm, lây nhiễm vào máy tính ở mức thấp như hệ điều hành … nên rất khó phát hiện Chúng gần như “vô hiệu” đối với các phần mềm phát hiện mã độc

- Keyloggers

Là loại mã độc gián điệp có khả năng thu thập mọi thông tin (tài khoản đăng nhập, mật khẩu, thông tin cá nhân …) khi bạn gõ bàn phím máy tính Các thông tin này sẽ được chuyển ra ngoài nhằm phục vụ việc đánh cắp thông tin

- Adware

Là loại mã độc này hiển thị những quảng cáo không mong muốn trên màn hình của người dùng Về bản chất, các quảng cáo này chỉ gây phiền nhiễu, không gây nguy hiểm tới người dùng Nhưng chúng lại được lợi dụng để thực hiện các loại mã độc khác

- Spyware

Là loại mã độc gián tiếp có khả năng lén lút thu thập thông tin về máy tính

bị lây nhiễm như thông tin hệ thống, địa chỉ IP máy tinh, các websites đã ghé thăm… và gửi thông tin đó ra ngoài …

- Ransomware

Là phần mềm gián điệp, còn được gọi là phần mềm tống tiền Đây là tên gọi chung của một dạng phần mềm độc hại - Malware, tác dụng chính là ngăn chặn người dùng truy cập và sử dụng hệ thống máy tính (chủ yếu phát hiện trên

hệ điều hành Windows)

- Botnet

Ví dụ: Mã độc tống tiền Gandcrab

- Khái niệm Gandcrab

Ransomware GandCrab là một họ cryptovirus khét tiếng được giới thiệu lần đầu tiên vào đầu năm 2018 Trong vòng một năm, nó đã được biết đến như một trong những bệnh nhiễm trùng mạng tàn phá nhất trên thế giới Họ này bao gồm nhiều biến thể, chẳng hạn như GDCB, KRAB, virus CRAB, GandCrab 2, GandCrab 3, GandCrab 4 và GandCrab 5 Các ransomware đã và đang sử dụng một loạt các phương thức phân phối khác nhau, bao gồm bộ dụng cụ khai thác RIG, GradSoft, Magnitude và Fallout, vết nứt, keygens và cập nhật giả mạo

Hình 1.15 Thông báo đòi tiền chuộc của Gandcrab

- Cách thức mã hóa dữ liệu của GandCrab

Tất cả các phiên bản này đang sử dụng thuật toán RSA 2048 và AES 256

để mã hóa dữ liệu và đang nối thêm một cách ngẫu nhiên và duy nhất mở rộng tập tin để đánh dấu dữ liệu của nạn nhân

- Thủ đoạn lây nhiễm

Thủ đoạn lây nhiễm của mã độc GandCrab được phát tán bởi các bộ exploit kit RIG và GrandSoft Việc lây nhiễm vào máy tính người dùng chủ yếu thông qua:

+ Spam email (Spam email thường chứa các tệp đính kèm độc hại, chẳng hạn như tệp JavaScript, tài liệu Office… Sau khi được mở, các tệp đính kèm này

sẽ tải và cài đặt phần mềm độc hại một cách bí mật);

+ Các liên kết độc hại được phát tán trên mạng xã hội hoặc qua email (thông qua mạng xã hội hoặc spam email, kẻ tấn công gửi các liên kết (link) có chứa các đoạn mã với mục đích khai thác lỗ hổng, tải và cài đặt mã độc)

+ Nguồn tải phần mềm không chính thức (nguồn tải phần mềm của bên thứ

3 (các trang web lưu trữ tệp miễn phí, các trang web tải xuống phần mềm miễn

30

phí…) và mạng P2P (eMule, torrent…) sẽ làm cho các phần mềm độc hại này trở thành phần mềm hợp pháp

1.2.7 Xu hướng phát triển mã độc trong tương lai

Các loại mã độc mới ngày càng được thiết kế tinh vi hơn, đặc biệt các mã độc được thiết kế cho mục đích tấn công có chủ đích nhằm vào cá nhân hoặc các

tổ chức lớn

Theo tổng kết an ninh mạng năm 2018 của Bkav, thiệt hại do virus máy tính gây ra đối với người dùng việt nam đã lên đến mức kỉ lục 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều hơn 21% so với mức thiệt hại năm 2017

Trên phạm vi toàn cầu, tội phạm mạng gây thiệt hại lên tới 600 tỷ USD mỗi năm, tương đương 0.8% GDP toàn cầu trong đó, Khu vực đông nam á thiệt hại ước tính từ 120-200 tỷ USD, tương đương 0.53-0.89% GDP khu vực Mức thiệt hại 642 triệu USD tương đương 0.26% GDP của Việt Nam tuy chưa phải là cao

so với khu vực và thế giới, nhưng cũng là kỉ lục đáng báo động

- 60% hệ thống mạng cơ quan, doanh nghiệp bị nhiễm mã độc đào tiền ảo Theo nghiên cứu của Bkav, có tới hơn 60% cơ quan, doanh nghiệp tai Việt Nam bị nhiễm mã độc đào tiền ảo trung bình cứ 10 cơ quan, doanh nghiệp, có 6 nơi bị mã độc chiếm quyền điều khiển máy tính đào tiền ảo, gây mất an toàn thông tin

Phân tích tình trạng mã độc đào tiền ảo tràn lan, Theo các chuyên gia của Bkav, nguyên nhân chính là do các cơ quan, doanh nghiệp chưa trang bị giải pháp diệt virus tổng thể, đồng bộ cho tất cả các máy tính trong mạng nội bộ Do đó, chỉ cần một máy tính trong mạng bị nhiễm mã độc là toàn bộ các máy tính khác cùng mạng sẽ bị mã độc tấn công lây nhiễm Ngoài việc làm chậm máy, mã độc đào tiền ảo còn có khả năng cập nhật và tải thêm các mã độc khác nhằm xóa dữ liệu,

ăn cắp thông tin cá nhân hay thậm chi thực hiện tấn công có chủ đích APT

Theo thống kê từ hệ thống giám sát virus của Bkav, hơn 1.6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu trong năm 2018 Bên cạnh đó, hơn 46% người sử dụng tham gia chương trình đánh giá an ninh mạng của Bkav cũng cho biết, họ đã từng gặp rắc rối liên quan tới mất dữ liệu trong năm qua

31

Hai dòng mã độc phổ biến tại Việt Nam khiến người dùng bị mất dữ liệu là dòng mã độc mã hóa tống tiền ransomeware và dòng virus xóa dữ liệu trên USB Các mã hóa tống tiền lan chủ yếu qua email, tuy nhiên có tới 74% người dùng tại việt nam vẫn giữu thói quen mở trực tiếp file đính kèm từ email mà không thực hiện mở trong môi trường cách ly an toàn Safe Run, điều này rất nguy hiểm Trong khi đó, do USB là phương tiện trao đổi dữ liệu phổ biến nhất tại Việt Nam nên số máy tính bị nhiễm mã độc lây qua USB luôn ở mức cao Thống kê cho thấy, có tới 77% USB tại Việt Nam bị nhiễm mã độc ít nhất 1 lần trong năm

- Mã độc sử dụng trí tuệ nhân tạo AI có thể xuất hiện trong năm 2019 Các chuyên gia dự báo, mã độc sử dụng trí tuệ nhân tạo AI có thể sẽ xuất hiện trong năm tới, ban đầu dưới hình thức những mẫu thử nghiệm PoC (Proof of Concept) Tuy nhiên, mối đe dọa lớn nhất của người dùng Internet đến từ mã độc

mã hóa tống tiền, mã độc xóa dữ liệu, mã độc đào tiền ảo và tấn công APT Các loại mã độc này có thể kết hợp nhiều con đường lây nhiễm khác nhau để tăng tối

đa khả năng phát tán, trong đó phổ biến nhất là khai thác lỗ hổng phần mềm, hệ điều hành và qua email giả mạo

Tình trạng spam lừa đảo trên Facebook sẽ có nhiều biến tướng, không chỉ với hình thức comment dạo, kẻ xấu có thể sẽ sử dụng triệt để các hình thức khác như chat messenger, mời kết bạn hay tag vào các bài viết, xem chung… Hình thức tung tin đồn thất thiệt về tấn công mạng như vụ việc của Thế giới di động, FPT Shop… nhằm gây hoang mang, trục lợi có thể sẽ gia tăng Người dùng mạng xã hội cần đề cao cảnh giác hơn nữa với những "chiêu bài" này của kẻ xấu

Hình 1.17 Thống kê số lượng mã độc trên Android