Bài giảng An toàn hệ thống thông tin - Chương 2, Phần 1: Tổng quan về Malware (Mã độc) - Trần Thị Kim Chi

GV: Trần Thị Kim Chi
NỌI DUNG
Giới thiệu Malware
Phân loại Malware
Các kỹ thuật lây nhiễm và phá hoại trong Malware
Tổng quan các kỹ thuật phát hiện Malware
CÂU HỎI VÀ BÀI TẬP
Glơl THIẸU MALWARE
Malware viết tắt từ Malicious Software có nghĩa là phần mềm độc hại.
Xuất hiện đầu tiên năm 70
Malwares là những chương trình máy tính độc hại với nhiệm vụ chủ yếu là đánh cắp thông tin, phá hủy hay làm hư hỏng hệ thống.
Malware xâm nhập hệ thông một cách trái phép mà không có sự cho phép của người quản trị.
Có khả năng tự sinh sản
Cơ chê phòng vệ hoạt động nhanh hơn virus
Tất cả các hệ điều hành đêu có nguy cơ bị tấn công.
PHAN LOẠI MALWARE
1. Virus
Worm
Trojan
Backdoor
Keylogger
Rookit
Adware/Skyware
Attacker Tool
Needs Host
Program
Trap Doors
Logic Bombs
Trojan Horses
Malicious
Code
Vi ruses
Independent
Worms
Zombie
• Định nghĩa
Là những chương trình nhỏ có khả năng tự sao chép
Tự động chèn nó vào các chương trình thực thi khác
• Có thể gây phá hủy dữ liệu, chương trình, ổ cứng,...
Thông dụng nhất
Mã độc ảnh hưởng đến các file thực thi.
Macros trong tài liệu
Phân phối qua
Email
Chia sẻ File
Thường đòi hỏi sự theo dõi từ phía người dùng.
e.g. chạy một chương trình bị nhiễm phân mềm độc hại
• Cấu trúc
Mark (optional)
Infection
mechanism
Trigger (optional)
Pay load
(optional)
cố gắng lâỵ nhiễm
Cơ chế lây lan
Các điều kiện để kích hoạt payload
Các ảnh hưởng đến hệ thống
• Virus chèn code nó vào những vị trí thích hợp, đầu hoặc cuối file bị lây nhiễm. Nếu chèn vào cuối file thì nó thêm một vài lệnh ở đoạn byte đâu file đê thực hiện lệnh “nhảy” từ đoạn mã này tới đoạn code virus. Nó cũng có thê chèn toàn bộ nó vào đoạn đầu của file bị lây nhiễm.
• Phần lớn virus chỉ làm việc khi bị kích hoạt vào file đã bị lây nhiễm sau đó sẽ trả lại quyền làm việc lại cho chương trình ban đâu.
Một sô virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực khác khi người dùng kích hoạt vào chúng, có thê là một ngày, một khoảng thời gian, hoặc một sự kiện đặc biệt nào đó.
Cliỉnt
Client
Client
• Một số loại virus
■	I
Email
• Program file virus
Original program
Original program
Original program
Virus code
ị	JUMP
JUMP
Phòng chống
Sử dụng và cập nhật liên tục các chương trình diệt virus. Ví dụ: Mcafee, Symantec, Bkav,...
Quét tất cả các ô đĩa mêm, flash memory khi đưa vào máy
Quét tất cả các file download
Cẩn thận với các file đính kèm trong email
Tắt chức năng chạy Script trong các chương trình
Chèn mã virus vào boot sector của đĩa cứng hạ các thiết bị khởi động khác.
Khởi động trước hệ điều hành
• e.g. Có thể truy cập đĩa trước khi bất kì OS nào truỷ
cập điêu khiển hay phân mềm chông virus được kích
hoạt.
■
• Dạng này phổ biến trong thời điểm mọi người
1	 A’	'Ạ	 J Ạ9	• _	_2	1 'Ạ	'Ạ	X
sử dụng 0 đĩa mềm đê chia sẻ phân mềm và dữ liệu.
• Ví dụ: Boot/Stoned
Được viết bởi một sinh viên đại học ở Wellington, New Zealand.
Năm: 1987.
Môi trường: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008.
Khi một máy tính bị nhiễm Stoned màn hình sẽ hiển thị thông báo: "Your PC is now Stoned!". Biến thể sau này có thể sẽ hiển thị thông báo khác.
Signature: 33c08ed8be4c00bf037ca5a51e07all3044848a31304bl06d 3e08ec0c7064c00
Cách để khởi động nhanh Win 8
Nếu đang sử dụng /ỉndovvs 8 và gặp khó khăn trong việc
khởi động hệ thống, có thê bạn sẽ muốn vô hiệu hóa tính năng khởi động nhanh. Tuy nhiên cân lưu ý rằng việc này sẽ khiến thời gian khởi động của máy tăng lên, nhưng như thê vẫn còn hơn là để hệ thống bị lồi.
• Bạn truy cập thanh Charm của hệ điều hành, chọn mục Settings sau đó tìm kiêìn với từ khóa "power settings", click vào "Change what the power buttons do”.
Settings
Results for "power settings
Change battery settings
Change what the power buttons do
Search
0
0* Windows Mobility Center
Settings
Change what dosing the lid does
• ở cửa sổ hiện ra, bạn click vào lựa chọn "Change settings that are currently unavailable” ở gần phía trên cùng. Trong cửa sô tiếp theo, bạn tích bỏ chọn ở trường "Turn on fast startup (recommended)" ở dưới mục Shutdown settings gần cuối cửa sổ.
• ở cửa sổ hiện ra, bạn click vào lựa chọn "Change settings that are currently unavailable” ở gân phía trên cùng. Trong cửa sổ tiếp theo, bạn tích bỏ chọn ở trường "Turn on fast startup (recommended)" ở dưới mục Shutdown settings gân cuối cửa sô->Click Save
Sửa lỗi dữ liệu khởi động (Startup Data)
Khi khởi động từ ổ cứng, máy sẽ tiến hành kiểm tra master boot record của ổ đê tải boot loader và bắt đầu quá trình khởi động. Tuy nhiên, bản thân master boot record (MBR) có thê bị ghi đè hoặc dữ liệu khởi động bị hư hại khiến máy không khởi động được và báo lỗi.
Trong trường hợp này, bạn có thể sử dụng đĩa cài đặt khởi động Windows hoặc một chiếc SB boot để tiến hành sửa chữa.
Sửa lỗi dữ liệu khởi động (Startup Data)
• Sau khi cho đĩa vào ổ quang hoặc cắm USB vào máy và khởi động lại, bạn sẽ thấy trình cài đặt Windows 8 xuất hiện. Bạn chọn ngôn ngữ, kiểu bàn phím sau đó click tiếp vào trong cho tới khi cửa sổ như hình bên dưới xuất hiện. Đến đây bạn Click vào lựa chọn "Repair your computer" ở góc trái cửa sổ.
Sửa lỗi dữ liệu khởi động (Startup Data)
• Click vào Troubleshoot, sau đó là Advanced Options.
© Troubleshoot
Refresh your PC
If your PC isn't running well, you can refresh it without losing your files
Reset your PC
If you want to remove all of your files, you can reset your PC completely
Advanced options
Sửa lỗi dữ liệu khởi động (Startup Data)
• Việc đầu tiên bạn nên thử làm là click vào lựa chọn Automatic Repair đê Windows tự khắc phục lỗi.
© Advanced options
I System Restore	Ij Comment
I*	Use a restore port recorded on your	Use the Commar
PC to restore Windows	I c ■ \ advanced troubh
■ System Image
Recovery
Recover Windows using a spec 6c system image hie
Automatic Repair
F“ problems that keep Windows from
\Qz loading
k
Sửa lỗi dữ liệu khởi động (Startup Data)
• Nêu điều này không đem lại hiệu quả, bạn chuyển qua cửa số Command Prompt, nhập các lệnh sau và ân Enter sau mỗi lần gõ lệnh:
bootrec /fixmbr
bootrec /fixboot
• Lệnh đầu tiên sẽ giúp sửa master boot record cho bạn, còn lệnh thứ 2 sẽ giúp ghi 1 boot sector mới cho ổ cứng.
Sửa lỗi dữ liệu khởi động (Startup Data)
E3	Administrator X:\windows\SYSTEM32\cmd.exe
Microsoft Windows [Ụersion 6.2.9200]
X:\Sources>bootrec /fixmbr
The operation completed successfully.
X:\Sources>bootrec /fixboot
The operation completed successfully.
X:\Sources>
Trong 1 sô trường hợp, sau 2 lệnh này, có thê bạn sẽ cần chạy các lệnh bên dưới:
■
bootrec /scanos
bootrec /rebuiỉdbcd
Sửa lỗi dữ liệu khởi động (Startup Data)
• Lệnh đầu tiên sẽ quét toàn bộ hệ thống cho hệ điều hành và đưa chúng vào dữ liệu cấu hình khởi động nhằm đảm bảo rằng boot loader biết dữ liệu cài đặt Windows nằm ở đâu. còn lệnh thứ 2 cũng sẽ quét hệ thông cho hệ điêu hành nhưng hiển thị 1 danh sách và cho phép bạn chọn hệ điều hành mà bạn muốn thêm.
• Sử dụng phân mềm quét virus Kaspersky TDSSKiller fitt^//su^ortJ<as^ers]^/icom/viruses/utinty#TDSSKiner
• Virus File: lây nhiễm các file như EXE, COM. SYS, OVL, OBI, PRG, MNU, BAT. Virus File có thể thường trú hoặc không thường trú trong bộ nhớ.
Trong file *.exe
Có thể đứng trước, sau hoặc xen kẽ
Chèn trước
Virus
Application Code
Chèn sau
(surround)
Application Code
Virus
A
V
A
V
A
V
A
V
A
Xen kẽ
Ví dụ: Black Monday (2)
Loại: virus File. Ngày: 1990/01/09
Black Monday lây lan đến các máy tính khác bằng cách sao chép đoạn code của nó vào các tập tin hoặc các chương trình khác.
Nó không phát tán tự động bằng cách sử dụng phương tiện riêng của mình. Nó cần sự can thiệp của người dùng tấn công để đạt được các máy tính bị ảnh hưởng.
Các phương tiện truyền dẫn sử dụng bao gồm, trong số những người khác, đĩa mềm, CD-ROM, các thông điệp email với tập tín đính kèm, tải về Internet, FTP, kênh IRC, (P2P) mạng chia sẻ file peer-to-peer, w..
Signature: ac009c0650ea0000000033c08ed88f0602008f060000fb
Virus Multipartite: thực hiện cả chức năng của Virus Boot sector và Virus File.. Tức là nó thực hiện tấn công cả boot sector và các chương trình thực thi cùng một lúc.
Ví dụ: AntiExe
■
AntiExe là một virus khu vực khởi động đơn giản, lây nhiễm các hồ sơ khởi động đĩa mêm và đĩa cứng ghi khởi động chủ. Virus này là rất nhỏ và nó không được mã hóa.
Ngày: 01/01/1995
Những ảnh hưởng của AntiEXE là:
Đĩa mềm khởi động các cuộc tấn công [Sector Boot) và [đĩa cứng Master Boot Record).
Thay thế các khu vực khởi động ban đầu với một ố cứng bị nhiễm bệnh. Nó làm điều này bằng cách di chuyển các khu vực khởi động ban đầu đến một phần khác của đĩa cứng. Kỹ thuật này được gọi là Stealth.
Nó lây nhiễm tất cả các ổ đĩa mềm khi sử dụng trên máy tính bị ảnh hưởng, miễn là họ không được bảo vệ.
Nó ngăn chặn các máy tính từ khi bắt đầu.
Nó lây nhiễm các tập tin với phần mở rộng EXE có kích thước vượt quá 200.256 byte. Những tập tin này không thể thực hiện được sau khi nhiễm.
Signature: 33ff8edfc4164c0089164c038c064e03fa8ed7be007c8be6fble5656all3 0448a31304bl06d3e08e
Virus Macro: lây nhiễm các tập tin Microsoft Word hoặc Excel. Hâu hết các Virus macro được viết bằng ngôn ngữ macro Visual Basic (VBA). Virus Macro lây nhiễm các file tài liệu thông thường hoặc đính kèm vào các chúng.
Ví dụ: Virus: W97M/Class
Loại: Virus Macro
Ngày phát hiện: 15/10/1998
Môi trường: Microsoft Windows.
W97M / Class thay đổi mã lệnh riêng của nó liên tục bằng cách chèn bình luận có chứa tên người dùng hiện tại, ngày tháng và thời gian và thông tin về máy in đang hoạt động.
Virus này tạo ra một file "c:\class.sys" để nhân rộng.
W97M / Class kích hoạt vào ngày 31 mỗi tháng. Vào ngày này nó sẽ hiển thị thông báo này: “This Is Class o-o-o-o-o-o-o-o- o-o-o-o-o-o-o-o-o-o-o-o o VicodinES /CB /TNN 0 o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o ”
• Signature: ae001700316e7465726e616c202f20436c6173732e496e73 65727400
Virus Cluster: thay đôi đường dẫn trỏ đến các code vi rút thay vì chương trình thực tế. Nó sẽ khởi động chính nó đầu tiên hoặc kiểm soát thay vì chương trình gốc. Virus này lây lan rất nhanh, chỉ cân một bản sao của Virus trên đĩa sẽ lây nhiễm cho tất cả các chương trình trong hệ thống máy tính.
Ví dụ: Virus: DIR-II
Loại: Cluster Virus
Ngày phát hiện: 5/1991
Nơi phát hiện: Varna, Bulgaria
Môi trường: DOS
Độ dài: 1024 bytes
Người tạo ra: "V.p." and "S.K."
• Khi một tập tin với một entry thư mục bị nhiễm Dir-II, virus được cài đặt trong bộ nhớ. Khi một đĩa không bị nhiễm được truy cập, virus tự viết vào cluster cuối cùng của đĩa. Mọi dữ liệu trên cluster này sẽ được ghi đè. Nếu đĩa là một đĩa mật độ cao, virus sẽ lưu trừ chính nó trên hai cluster có 512 byte.
• Signature:
bc0006ff06e50431c98ed9c506cl000521001e50b430e8250
13c0419f6c6066504ffbb6000b44ae81401b452e80f0126ff7
7fe26c51f8b40153d7000751091c6
• Virus Overwriting File hoặc Virus Cavity: ghi đè lên 1 phần của file bọ nhiễm với 1 hằng số (null), mà không thay đổi độ dài hoặc chức năng của file.
Ví dụ: SHHS
Ngày phát hiện: 1/1992
Môi trường: MSDos.
Khi một chương trình bị nhiễm shhs, virus sẽ tìm kiếm các thư mục hiện hành có chương trình .EXE và tâp tin .COM và lây nhiễm chung.
Sau đó thông báo sau sẽ được hiển thị, và người sử dụng trở về dấu nhắc DOS: "Chương trình quá lớn đê phù hợp trong bộ nhớ".
Chương trình với virus shhs nhiễm sẽ có 585 byte đâu tiên người dẫn ghi đè shhs Với các mã virus. Trừ các chương trình gốc là nhỏ hơn 585 byte, sẽ không có thay đổi kích thước của tập tin trong danh sách thư mục đĩa DOS.
Chương trình nào ban đầu nhỏ hơn 585 byte sẽ trờ thành 585 byte. Sẽ không có sự thay đổi của tập tin và thời gian trong danh sách thư mục đĩa DOS.
• Signature:
e80b00a00601040dl400a20601c3bb3e01a006010ac0
Virus File Extension: thay đổi phân mở rộng của file, ngoại trừ phần mờ rộng .TXT an toàn vì nó chỉ ra một tập tin văn bản thuần túy. Đây là một Virus được viết bằng Visual Basic Script. Biện pháp đối phó là đê tắt "phân mở rộng tập tin ẩn" trong Windows.
Virus: VBS.Gum
Loại: Virus
Ngày phát hiện: 10/09/2003
Virus này gây thiệt hại cho hoạt động máy tính nạn nhân. Nó có kích thước của 1 126 byte. Nó là một file HTML. Nó được viết bằng Visual Basic Script (VBS).
Sau khi khởi động, virus xóa thuộc tính "chỉ đọc" từ các tập tin sau đây:
C: \ Windows \ system.dat
Virus này cũng xóa các tập tin sau đây:
C: \ autoexec.bat
C: \ config.sys
Virus này tạo ra một tập tin gọi là "gum.mrc" trong thư mục mà thường nằm IRC client "mlRC":
C: \ mirc \ gum.mrc
Sau đó sẽ viết hướng dẫn autorun cho gum.mrc đê "mirc.ini" tập tin câu hình "mlRC".
Kết quả là, tất cả những người dùng kết nối với một kênh IRC, mà còn được kết nối với máy tính nạn nhân, gửi các tập tin sau đây:
C: \ mire \ download \ gum.html
C: \ mire \ download \ gum.gif
Signature: 5365742062203d2066736f2e437265617465546578744669 6c652822633a5c6d6972635c67756d2e6d7263222c205472 756529
Sau đó sẽ viết hướng dẫn autorun cho gum.mrc đê "mirc.ini" tập tin câu hình "mlRC".
Kết quả là, tất cả những người dùng kết nối với một kênh IRC, mà còn được kết nối với máy tính nạn nhân, gửi các tập tin sau đây:
C: \ mire \ download \ gum.html
C: \ mire \ download \ gum.gif
Signature: 5365742062203d2066736f2e437265617465546578744669 6c652822633a5c6d6972635c67756d2e6d7263222c205472 756529
Virus Terminate hoặc stay Resident (STR): virus này thường trú trên bộ nhớ, sử dụng kỹ thuật TSR (Terminate and Stay Resident) đê lưu lại trên bộ nhớ memory cho đến khi một vài sự kiện nho nhỏ xảy ra (ví dụ file.exe được mở) và sau đó chúng sẽ lây nhiễm file đó.
Ví dụ: Azusa
Detechted: 1/1991
Where: Ohio, USA
Length: 1024 bytes in memory, 1 sector (400h) on media.
OS: MS-DOS
Signture:
ba8000cdl372dfal89023906890074d6e865ffb8010331db41cdl3ebc9b
Virus Direct Action hoặc Virus Transient: được tải với các
■ ■
chương trình máy chủ vào bộ nhớ máy tính.
Sau khi nhận được kiểm soát, nó tìm kiếm đối tượng mới đê lây nhiễm bằng cách tìm kiếm cho các tập tin mới.
Virus này thường sử dụng một chuỗi FindFirst, FindNext để tìm một tập hợp các ứng dụng nạn nhân để tấn công.
Thông thường virus này chỉ gây nhiễm một vài tập tin khi thực hiện, nhưng một số virus lây nhiễm tất cả mọi thứ cùng một lúc bằng cách liệt kê tất cả các thư mục của các nạn nhân.
ví dụ: Virdem
Creator: Ralf Burger
Date Discovered: 12/1986
Where: Hamburg, Germany
OS: DOS
Length: 1336 bytes
Sourcse Language: Assembly
File type: .com
Message:
"Sorry, you're wrong
More luck at next try
Famous. You're right.
You'll be able to continue.
All your programs are struck by VIRDEM.COM now.”
Signature: 83c31c26c707205c431e8cc08ed88bd3
Virus Shell: code virus này tạo thành một shell xung quanh mục tiêu code của chương trình, làm cho bản thân chương trình ban đâu phụ thuộc vào nó. Hâu hết các Virus boot là Virus Shell.
Ví dụ: Virus: Bash/1
Loại: Shell Virus
■
Ngày phát hiện: 1989
Môi trường: Unix
Khi bạn có một CGI script trên một máy chủ web, kịch bản này tự động đọc các biến môi trường nhất định, ví dụ như địa chỉ IP của bạn, browser version, và thông tin v'ê local system.
Signature: (trang 6]
Virus Metamorphic: là thê hệ sau của các dòng virus đa hình.
Các virus này có khả năng tự động biến đổi mã lệnh của nó, tạo ra các biến thê khác nhau tr ... hần mềm diệt Troịan tại taimienphi.vn).
Chỉ thực hiện trên máy tính, không diệt được các Virus Trojan trên USB hoặc
các thiết bị khác.	97
Trong môi trường Safe Mode Bạn nhấn CTRL + ALT + DELETE để mở Task Manager của Windows. Sau đó, tìm tất cả tiến trình Trojan Horse Generic đang chạy
Nhấp vào tab Processes, tìm kiếm Trojan Horse Generic sau đó kích phải vào nó và chọn End Process để tắt
Nhấp vào nút start và chọn Run. Gõ regedit vào hộp và nhấn OK để tiếp tục. Khi Registry Editor là tìm kiểm, mở các khóa Registry "HKEY_LOCAL_MACHINE\Software\Trojan Horse Generic." Kích chuột phải vào khóa Registry này và chọn Delete.
Tìm kiếm cho các tập tin như %PROGRAM_FILES%\Trojan Horse Generic\ và xóa nó bằng tay.
Bạn có thể chạy 1 chương trình Antivirus một lần nữa đê đảm bảo không còn Trojan và /irus nữa.
Backdoor là chỉ chung các phần mềm độc hại thường trú và đợi lệnh điêu khiển từ các cổng dịch vụ TCP hoặc UDP.
Phân loại:
Zoombie (bot): là một chương trình được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác. Những máy bị nhiễm bot, thường bị hacker sử dụng tấn công DOS mà người dùng không biết.
Backdoor
Ví dụ: Alpha Strike
Loại: Trojan
Kiểu: Dos
Signture:
bf42f28b3602002bf781fe0010e800008bec8b6e00fcb85844c
d21720f268e5f0ebe0b00eb469c60
Remote Administration Tool: là các công cụ của hệ thống cho phép thực hiện quyên quản trị từ xa. Vì vậy hacker lợi dụng tính năng này đê xâm hại hệ thống.
Hacker có thể theo dõi mọi thứ xuất hiện trên màn hình, bàn phím, hoặc tác động vào cấu hình của hệ thống.
Ví dụ: TR/BackDoor.Bo
Loại: Trojan
Malware Sub-type: Remote Access
Ngày: 2003-02-26
Signture:
Remote Administration Tool: là các công cụ của hệ thống cho phép thực hiện quyên quản trị từ xa. Vì vậy hacker lợi dụng tính năng này đê xâm hại hệ thống.
Hacker có thể theo dõi mọi thứ xuất hiện trên màn hình, bàn phím, hoặc tác động vào cấu hình của hệ thống.
Ví dụ: TR/BackDoor.Bo
Loại: Trojan
Malware Sub-type: Remote Access
Ngày: 2003-02-26
Signture:
Keylogger
Key logger
Keylogger là phân mêm bí mật ghi lại các phím đã được nhẩn bằng bàn phím, thao tác chuột, hoặc screen rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật,...
Trong máy tính, khi bấm 1 phím trên bàn phím, bàn phím sẽ chuyển nó thành tính hiệu chuyên vào CPU. CPU sẽ chuyển nó tới hệ điêu hành đê hệ điều hành dịch thành chữ hoặc số. Nhưng khi có keylogger, keylogger theo dõi nó sẽ ghi nhận và dịch lại các tính hiệu ghi vào tập tin log. Đồng thời nó còn có thê theo dõi cả màn hình và thao tác chuột.
■
Phân loại:
• Keylogger phân mêm: Đây là những chương trình máy tính được thiết kê đê làm việc trên máy tính. Keyloggers được sử dụng trong các tổ chức CNTT đê khắc phục sự cố các vân đề kỹ thuật với máy tính và mạng lưới kinh doanh. Gia đình hoặc doanh nghiệp người sử dụng chúng đê theo dõi việc sử dụng mạng. Tuy nhiên, cá nhân độc hại có thê sử dụng keylogger trên máy tính công cộng để ăn cắp mật khẩu hoặc thông tin thẻ tín dụng. Hâu hêt các keylogger mèm đê là trojan hay backdoor.
• Ví dụ: DanuSoft Free Keylogger, Revealer Keylogger, ...
Key logger
Phân loại:
Keylogger phân cứng: Keyloggers dựa trên phân cứng không phụ thuộc vào bất kỳ phân mềm đang được, chúng tồn tại ở mức độ phần cứng trong một hệ thống máy tính.
Ví dụ: Wireless keyboard sniffers, Acoustic keyloggers,...
Rootkit
Rootkit
• Rootkit là bộ công cụ phần mềm thường được người viết ra nó sử dụng đê che giấu sự tồn tại và hoạt động của những tiến trình hoặc những file mà hacker mong muốn.
• Đặc điểm Rootkit là có khả năng ẩn các tiến trình, file, và cả dữ liệu trong registry. Vì thê người dũng sẽ không biết được nó có nhiễm malware không.
• Ngoài ra nó còn giữ vai trò như một keylogger. Cũng có thê Rootkit được dùng trong những việc tốt, nhưng trong nhiêu trường hợp, Rootkit được coi là Trojan vì chúng có những hành vi như nghe trộm, che giấu hoặc bị lợi dụng đê che giấu các chương trình độc hại.
Rootkit
Phân loại:
Rootkit hoạt động ở mức ứng dụng: có thể được coi là một chương trình ứng dụng. Ở mức này Rootkit thường sử dụng một số kỹ thuật như code inject, tạo file giả... để can thiệp vào các ứng dụng khác nhằm thực hiện mục đích che giấu tiến trình, file, registry.
Rootkit
Vi du: Koutodoor
■
Loại: Trojan
Ngày phát hiện: October 22, 2010
Length: 192,576 bytes
Môi trường: Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
Koutodoor hoạt động theo nhiêu giai đoạn, bao gồm việc cài đặt
Trojan như là một rootkit, cài một malware khác tải từ các trang web. Sau đó, các malware mới cài này sẽ gửi thông tin về kết nối của người dùng đến các địa chỉ web cụ thể, từ đó tạo ra các cú click chuột giả trên banner quảng cáo hay bộ đếm traffic.	108
Rootkit
Ví dụ: TDSS
Loại: Spyware
TDSS thay đổi giá trị trong Master Boot Record khiển hệ thông tải nó lên trước khi tải driver và giải pháp chống phân mềm malware, cho phép rootkit này vô hiệu hóa các phần mềm antivirus.
TDSS rootkit còn có khả năng sông "kí sinh" lên các tập tin hiện có, tự tạo một file system riêng được mã hóa đê chứa các malware phụ. TDSS có thê đánh cắp mật khẩu hay dữ liệu mà chúng ta không hề hay biết.
• Adware tạo ra trình đơn quảng cáo popup mà không có sự cho phép của người dùng. Adware thường được cài đặt bởi một thành phần của phân mêm miễn phí. Adware thường gây khó chịu cho người dùng vì nó thường xuyên xuất hiện quảng cáo trên screen, nên nó cũng tốn tài nguyên máy tính.
Adware/Spyware
Adware/Spyware
Ví dụ: TR.Spectre #1
Loại: Trojan
Kiểu: Adware
Ngày phát hiện: February 13, 2007
Người tạo ra: SpectorSoft
Môi trường: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Adware/Spyware
Ví dụ: TR.Spectre #1
Chức năng Spector một cách tương tự như một Backdoor Trojan Horse. Khi nó được cài đặt, nó ghi lại tất cả các hoạt động trên hệ thống. Người đã cài đặt sau đó nó có thê xem tất cả các hoạt động đăng nhập. Bên cạnh đó, nó còn xuất hiện các quảng cáo, các cửa sổ mà không được phép của người dùng.
Adware/Spyware
Vídụ:Gliss#l
Loại: Trojan
Môi trường: MS Window
Nó có mục bí mật trong máy tính của bạn mà không có bất kỳ thông tin trước và nhận được sự cho phép của người dùng. Chương trình độc hại này được phát triển bởi bọn tội phạm mạng tấn công máy tính của bạn đê giữ theo dõi trên tài nguyên hệ thống của bạn.
Attacker Tool
Attacker Tool là những bộ công cụ tấn công có thê sử dụng để đẩy các phân mềm độc hại vào trong hệ thông.
Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm malware hại.
Khi được tải vào trong hệ thông bằng các đoạn malware hai, attacker tool có thể chính là một phân của đoạn malware đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm.
Việc lây nhiễm chiếm một phân lớn mã lệnh của chương trình. Để đảm bảo việ lây nhiễm với đĩa, virus sẽ chiếm ngắt ( quan trong nhất: ngắt 13h. Sơ đồ đơn giản như sau:
Việc can thiệp vào ngắt 13h sẽ dẫn đến việc giảm tốc độ truy xuất một cách đá kể vì vậy dễ gây nên sự ngi ngờ. Việc lâ nhiễm bắt đầu bằng cách đọc Boot sect lên nếu chưa bị nhiễm, virus sẽ tạo mộ Boot sector mớ có tham số tương ứng, còn Boot sector vừa đọc lên sẽ được gt vào một vùng xác định trên đĩa.
Kĩ thuật phá hoại
Có thê chia làm 2 kĩ thuật chính:
Định thời: virus sẽ dựa vào một giá trị nào đó (ví dụ ngày, tháng, sô lân lây, sô lần khỏi động máy tính ...). Khi giá trị này bằng hoặc lớn hơn một giá trị cho trước, virus sẽ bắt đâu phá hoại. Do chỉ phá hoại một lân nên virus này thường rất nguy hiểm.
Kĩ thuật phá hoại
Đê kiểm tra giá trị, virus thường dùng cách sau:
Chiếm ngắt 8 đê dếm giờ: mỗi giá trị OFFFFh của timetick count = 1 giờ. Ví dụ là virus Disk Killer, sau khi PC chạy được 48h, toàn bộ partition boot sẽ bị mã hóa toàn bộ.
Chiêm ngắt 21h để lấy ngày tháng: ví dụ là virus Joshi, nó sẽ kiểm tra ngày tháng, nếu vào đúng ngày 5 tháng 1, nó sẽ bắt user đánh vào một câu chúc mừng "Happy birthday Joshi” trước khi có thê làm thêm bất kì một điêu gì.
Đếm số lần lây cho đĩa khác: cách này dễ thực hiện, khi một virus lây nhiễm, bộ đếm của nó tự động tăng lên một đơn vị.
Kĩ thuật phá hoại
• Ngẫu nhiên và liên tục: không giông như định thời, sau khi lây nhiễm, virus sẽ bắt đầu phá hoại. Do tính chất này, virus không mang tính phá hoại mà đơn giản là gây ra một sô hiệu ứng ở loa, chuột, màn hình, hoặc lấy cắp thông tin, reset máy hoặc format đĩa,.... Ví dụ là virus Pingpong, sau khi xâm nhập xong, vào phút sau sẽ thây trên màn hình xuất hiện một trái banh chuyên động và tuân theo các định luật phản xạ kho gặp đường biên.
TONG QUAN CAC KY THUẠT PHAT HIẸN MALWARE
Thông thường có 2 loại phân tích:
• Dynamic analysis (Phân tích động): là quá trình này có nghĩa là quan sát hành vi của mã độc khi nó đang chạy. Cụ thể là những công việc như: Khởi chạy mã độc trên một môi trường ảo, quan sát xem khi mà mã độc chạy nó sẽ làm những gì,.... Debug mã độc sử dụng một công cụ Debugger nào đó: Ví dụ winDBG, OllyDBG đê quan sát từng bước hành vi của mã độc khi nó đang được thực thi bởi bộ nhớ và load trong RAM.
TONG QUAN CAC KY THUẠT PHAT HIẸN MALWARE
Thông thường có 2 loại phân tích:
• Static analysis (Phân tích tĩnh): Là quá trình dịch ngược mã độc (RCE - reverse engineering). Dịch ngược mã độc từ mã máy ra ngôn ngữ mà con người có thê đọc hiểu (asm, IL,..J. Trong quá trình này các nhà phân tích sẽ sử dụng những công cụ dịch ngược như IDA, khi thực hiện dịch ngược IDA không load mã độc vào RAM như ollyDBG, IDA.
Phân mêm độc hại và tân công
Phần mềm độc hại thường lây lan theo kiểu không có kiểm soát.
Một tấn công thông thường
Có một mục tiêu được xác định rõ ràng.
e.g. một công ty, một server.
Và có một mục đích
■ ■
e.g. deface một trang web, làm cho server không hoạt động, lấy quyền truy cập hệ thổng, lấy cắp tài liệu
Tân công có thê sử dụng malware
Kẻ tấn công có thể cài đặt Trojan Horse
Kẻ tấn công có thể kiểm soát các host bị nhiễm
Những host như vậy được gọi là Zombie
Sử dụng host đã bị kiểm soát để tấn công
e.g. tấn công từ chối dịch vụ phân tán (DDoS)
Làm cho những kẻ tấn công thực sự khó bị theo dõi
Các tân công thông thường
Lẩy cắp
Tài liệu, thông điệp, mật khẩu,..,
Man-in-the-middle
Nghe lén truyền thông
Tampering
Hiệu chỉnh hệ thống chỉnh sửa dữ liệu
Spoofing
Giả mạo địa chỉ, giả mạo nội dung
Hijacking
Chiếm phiên làm việc (e.g. Telnet), máy tính (zombie)
Capture - replay
Bắt giữ và chuyển tiếp các thông điệp lệnh
Denial of service
Phá hoại hay gây quá tải server với nhiều yêu cầu đồng thời
Tân công server hay mạng
Thu thập thông tin về mục tiêu
Hệ điều hành, dịch vụ, người dùng,...
	Ạ7	
Tìm các điếm yêu
Các gói vá lỗi thiếu, mật khẩu yếu,...
Khai phá điểm yếu
Cài đặt cửa hậu, tạo tài khỏan,...
Ẩn các con đường
Gỡ bỏ các nhật kí, giấu file,...
Phòng ngừa: Thu thập thông tin
Đừng để lộ thông tin không cân thiết
Server và phiên bản phân mềm
• e.g. thông tin server trong tiêu đê HTTP
User names
Dịch vụ finger
Các thông điệp lỗi
e.g. Các thông điệp ngoại lệ trong phản hôi HTTP
Phòng ngừa: Tìm điềm yếu
Triển khai các gói vá lỗi quan trọng
Kiểm tra bản vá trước khi cài đặt
Đảm bảo mật khẩu mạnh
Triển khai chính sách mật khẩu tốt
Giảm thiểu tấn công b'ê mặt
Bỏ các dịch vụ không cân thiết
Cấu hình giới hạn firewall
Phòng ngừa: Tim điếm yêu
Cơ chế bảo vệ xâm nhập
Cơ chế ngăn ngừa tràn bộ đệm
Phần mềm bảo mật chống virus
Máy ảo
VMware, Java, .NET,...
• Cấu hình hệ thống một cách an toàn
Các quyền ưu tiên ít nhất có thể
Giảm thiểu cài đặt
■
Phòng ngừa: Giâu theo dõi
Ghi nhận tất cả truy cập hệ thống
Các lân thử đăng nhập, chỉnh sửa thông tin cấu hình.
Bảo mật file nhật kí khỏi việc chỉnh sửa
Không c'ân thiết chỉnh sửa file nhật kí
Cho phép ghi mà khôgn được chỉnh sửa
Lưu trữ dưới các file tách biệt
Phân tích nhật kí thông thường
ốt t
Ổỉ -X,
Phân mêm chông phân mêm độc hai
• Giới thiệu PMCPMĐH
ngăn chặn đại dịch phân mềm độc hại
Nhiều loại: Bitdefender Antivirus Plus, Kaspersky Anti-Virus, Norton AntiVirus, F-Secure Anti-Virus, AVG AntiVirus, G Data AntiVirus, Panda Antivirus Pro, McAfee AntiVirus Plus, Trend Micro Titanium Antivirus+, T NQD32 Antivirus : phần mềm chống phần mềm gián điệp tốt nhất trong năm 2015
Phân mêm chông phân mêm độc hai
Các bước
Cài đặt PMCPMĐH, chạy nó thường xuyên
Cập nhật PMCPMĐH thường xuyên
Quét mọi phương tiện truyền thông di động, bao gồm cả đĩa
CD, trước khi sao chép/chạy chương trình từ chúng
Cài đặt phần mềm chỉ từ một gói đóng hoặc trang web an toàn của một công ty phân niêm nổi tiêng
Thực hiện tải theo thông lệ cẩn thận
Nếu phát hiện loại phần mềm độc hại mới thì hành động ngay lập tức
MÔI TRƯỜNG HỆ THỐNG SẠCH	130
• Viết một đoạn mã JavaScript cài vào một trang web khi tải xuống sẽ được kích hoạt và mở đồng loạt nhiều của sổ web khác nhau.
Tồng kết
Harmful code = malware + trojan + computer virus
Malware = adware + spyware + pornware + riskware
Trojan = germs + dropper + injector + rootkit
Rootkit = keylogger + sniffer + filehooker + backdoor + constructor
Computer virus - boot virus + file virus + macro virus + worm
File virus = com virus + exe virus
Macro virus = doc virus + xls virus + ppt virus
Worm = intruder + dropper + injector
Các Virus mới hiện nay
Trojan-Banker.AndroidOS.Binka.d, một Trojan ngân hàng đã tiến hóa. Bây giờ nó có thể “lắng nghe” các nạn nhân của nó. Âm thanh được ghi lại bằng cách sử dụng microphone trên thiết bị của nạn nhân và ghi vào một tập tin sau đó được chuyên đến máy chủ của tội phạm mạng.
Trojan-SMS.AndroidOS.Chyapo.a đã được nhúng vào trong các ứng dụng miễn phí Unity Launcher. Sự khác biệt giữa các ứng dụng sạch và độc hại, khác nhau bởi một yêu câu cho phép mới - các ứng dụng độc hại yêu câu truy cập đến việc xử lý tin nhắn SMS. Một điều kỳ lạ về Trojan này là máy chủ ra lệnh và điều khiển của nó được lưu trữ trên
■ ■
sites.google.com.
Các Virus mới hiện nay
Trojan SMS, đã làm chủ một kỹ thuật phân phối mới - thông qua các mạng xã hội VKontakte . Một tập tin độc hại được tải lên máy chủ lưu trữ nội dung của mạng xã hội phổ biên. Các Trojan lọt vào Top Ba chương trình điện thoại di động độc hại dựa trên sô lượng người dùng bị tân công.
Trojan-Banker.AndroidOS.Svpeng.f, một Trojan ngân hàng phát hiện trong Q1 2015, đã cố gắng đê loại bỏ các ứng dụng của ba nhà cung cấp chông virus là Avast, Eset, và DrWeb...”
Các Virus mới hiện nay
Mô hình lây nhiễm của mã độc Ransomware
Người dùng nhộn
Spam Mail có chửa
lập tin đinh kèm
Tập tin đinh kèm là phần
mèm độc hại khoá máy.
đòi tiền chuộc sẻ tự két
nối đén các máy chủ cùa
hacker
Các CTB Locker sẽ
được tải vè từ các máy
nan nhân
Các nan nhân phái
sử dụng mạng ngầm
TOR đé thanh toán
Bitcoin cho hacker
CTB Locker thông
bào đón nạn nhân số
tiền chuộc và thời
han thanh toán
Các tập tin trong máy
lính bi mâ hoá
Phòng chồng
Bỏ ngay những thư rác hay email đáng nghi
Tuân thủ quy tắc 3-2-1 của các chuyên gia: có 3 bản sao, hai phương tiện lưu trữ khác nhau và một nơi lưu trữ tách biệt. Nên dùng phân mềm Internet Security của các hãng bảo mật uy tín
Cân khuyên khích sản phẩm ATTT nội
• TH2: Khắc phục