Bài giảng An toàn hệ thống thông tin - Chương 2, Phần 1: Tổng quan về Malware (Mã độc) - Trần Thị Kim Chi
• Định nghĩa
• Là những chương trình nhỏ có khả năng tự sao chép
• Tự động chèn nó vào các chương trình thực thi khác
• Có thể gây phá hủy dữ liệu, chương trình, ổ cứng,.
Thông dụng nhất
• Mã độc ảnh hưởng đến các file thực thi.
• Macros trong tài liệu
Phân phối qua
• Chia sẻ File
Thường đòi hỏi sự theo dõi từ phía người dùng.
• e.g. chạy một chương trình bị nhiễm phân mềm độc hại
• Cấu trúc
cố gắng lâỵ nhiễm
Cơ chế lây lan
Các điều kiện để kích hoạt payload
Các ảnh hưởng đến hệ thống
• Virus chèn code nó vào những vị trí thích hợp, đầu hoặc cuối file bị lây nhiễm. Nếu chèn vào cuối file thì nó thêm một vài lệnh ở đoạn byte đâu file đê thực hiện lệnh “nhảy” từ đoạn mã này tới đoạn code virus. Nó cũng có thê chèn toàn bộ nó vào đoạn đầu của file bị lây nhiễm.
Tóm tắt nội dung tài liệu: Bài giảng An toàn hệ thống thông tin - Chương 2, Phần 1: Tổng quan về Malware (Mã độc) - Trần Thị Kim Chi
GV: Trần Thị Kim Chi NỌI DUNG Giới thiệu Malware Phân loại Malware Các kỹ thuật lây nhiễm và phá hoại trong Malware Tổng quan các kỹ thuật phát hiện Malware CÂU HỎI VÀ BÀI TẬP Glơl THIẸU MALWARE Malware viết tắt từ Malicious Software có nghĩa là phần mềm độc hại. Xuất hiện đầu tiên năm 70 Malwares là những chương trình máy tính độc hại với nhiệm vụ chủ yếu là đánh cắp thông tin, phá hủy hay làm hư hỏng hệ thống. Malware xâm nhập hệ thông một cách trái phép mà không có sự cho phép của người quản trị. Có khả năng tự sinh sản Cơ chê phòng vệ hoạt động nhanh hơn virus Tất cả các hệ điều hành đêu có nguy cơ bị tấn công. PHAN LOẠI MALWARE 1. Virus Worm Trojan Backdoor Keylogger Rookit Adware/Skyware Attacker Tool Needs Host Program Trap Doors Logic Bombs Trojan Horses Malicious Code Vi ruses Independent Worms Zombie • Định nghĩa Là những chương trình nhỏ có khả năng tự sao chép Tự động chèn nó vào các chương trình thực thi khác • Có thể gây phá hủy dữ liệu, chương trình, ổ cứng,... Thông dụng nhất Mã độc ảnh hưởng đến các file thực thi. Macros trong tài liệu Phân phối qua Email Chia sẻ File Thường đòi hỏi sự theo dõi từ phía người dùng. e.g. chạy một chương trình bị nhiễm phân mềm độc hại • Cấu trúc Mark (optional) Infection mechanism Trigger (optional) Pay load (optional) cố gắng lâỵ nhiễm Cơ chế lây lan Các điều kiện để kích hoạt payload Các ảnh hưởng đến hệ thống • Virus chèn code nó vào những vị trí thích hợp, đầu hoặc cuối file bị lây nhiễm. Nếu chèn vào cuối file thì nó thêm một vài lệnh ở đoạn byte đâu file đê thực hiện lệnh “nhảy” từ đoạn mã này tới đoạn code virus. Nó cũng có thê chèn toàn bộ nó vào đoạn đầu của file bị lây nhiễm. • Phần lớn virus chỉ làm việc khi bị kích hoạt vào file đã bị lây nhiễm sau đó sẽ trả lại quyền làm việc lại cho chương trình ban đâu. Một sô virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực khác khi người dùng kích hoạt vào chúng, có thê là một ngày, một khoảng thời gian, hoặc một sự kiện đặc biệt nào đó. Cliỉnt Client Client • Một số loại virus ■ I Email • Program file virus Original program Original program Original program Virus code ị JUMP JUMP Phòng chống Sử dụng và cập nhật liên tục các chương trình diệt virus. Ví dụ: Mcafee, Symantec, Bkav,... Quét tất cả các ô đĩa mêm, flash memory khi đưa vào máy Quét tất cả các file download Cẩn thận với các file đính kèm trong email Tắt chức năng chạy Script trong các chương trình Chèn mã virus vào boot sector của đĩa cứng hạ các thiết bị khởi động khác. Khởi động trước hệ điều hành • e.g. Có thể truy cập đĩa trước khi bất kì OS nào truỷ cập điêu khiển hay phân mềm chông virus được kích hoạt. ■ • Dạng này phổ biến trong thời điểm mọi người 1 A’ 'Ạ J Ạ9 • _ _2 1 'Ạ 'Ạ X sử dụng 0 đĩa mềm đê chia sẻ phân mềm và dữ liệu. • Ví dụ: Boot/Stoned Được viết bởi một sinh viên đại học ở Wellington, New Zealand. Năm: 1987. Môi trường: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008. Khi một máy tính bị nhiễm Stoned màn hình sẽ hiển thị thông báo: "Your PC is now Stoned!". Biến thể sau này có thể sẽ hiển thị thông báo khác. Signature: 33c08ed8be4c00bf037ca5a51e07all3044848a31304bl06d 3e08ec0c7064c00 Cách để khởi động nhanh Win 8 Nếu đang sử dụng /ỉndovvs 8 và gặp khó khăn trong việc khởi động hệ thống, có thê bạn sẽ muốn vô hiệu hóa tính năng khởi động nhanh. Tuy nhiên cân lưu ý rằng việc này sẽ khiến thời gian khởi động của máy tăng lên, nhưng như thê vẫn còn hơn là để hệ thống bị lồi. • Bạn truy cập thanh Charm của hệ điều hành, chọn mục Settings sau đó tìm kiêìn với từ khóa "power settings", click vào "Change what the power buttons do”. Settings Results for "power settings Change battery settings Change what the power buttons do Search 0 0* Windows Mobility Center Settings Change what dosing the lid does • ở cửa sổ hiện ra, bạn click vào lựa chọn "Change settings that are currently unavailable” ở gần phía trên cùng. Trong cửa sô tiếp theo, bạn tích bỏ chọn ở trường "Turn on fast startup (recommended)" ở dưới mục Shutdown settings gần cuối cửa sổ. • ở cửa sổ hiện ra, bạn click vào lựa chọn "Change settings that are currently unavailable” ở gân phía trên cùng. Trong cửa sổ tiếp theo, bạn tích bỏ chọn ở trường "Turn on fast startup (recommended)" ở dưới mục Shutdown settings gân cuối cửa sô->Click Save Sửa lỗi dữ liệu khởi động (Startup Data) Khi khởi động từ ổ cứng, máy sẽ tiến hành kiểm tra master boot record của ổ đê tải boot loader và bắt đầu quá trình khởi động. Tuy nhiên, bản thân master boot record (MBR) có thê bị ghi đè hoặc dữ liệu khởi động bị hư hại khiến máy không khởi động được và báo lỗi. Trong trường hợp này, bạn có thể sử dụng đĩa cài đặt khởi động Windows hoặc một chiếc SB boot để tiến hành sửa chữa. Sửa lỗi dữ liệu khởi động (Startup Data) • Sau khi cho đĩa vào ổ quang hoặc cắm USB vào máy và khởi động lại, bạn sẽ thấy trình cài đặt Windows 8 xuất hiện. Bạn chọn ngôn ngữ, kiểu bàn phím sau đó click tiếp vào trong cho tới khi cửa sổ như hình bên dưới xuất hiện. Đến đây bạn Click vào lựa chọn "Repair your computer" ở góc trái cửa sổ. Sửa lỗi dữ liệu khởi động (Startup Data) • Click vào Troubleshoot, sau đó là Advanced Options. © Troubleshoot Refresh your PC If your PC isn't running well, you can refresh it without losing your files Reset your PC If you want to remove all of your files, you can reset your PC completely Advanced options Sửa lỗi dữ liệu khởi động (Startup Data) • Việc đầu tiên bạn nên thử làm là click vào lựa chọn Automatic Repair đê Windows tự khắc phục lỗi. © Advanced options I System Restore Ij Comment I* Use a restore port recorded on your Use the Commar PC to restore Windows I c ■ \ advanced troubh ■ System Image Recovery Recover Windows using a spec 6c system image hie Automatic Repair F“ problems that keep Windows from \Qz loading k Sửa lỗi dữ liệu khởi động (Startup Data) • Nêu điều này không đem lại hiệu quả, bạn chuyển qua cửa số Command Prompt, nhập các lệnh sau và ân Enter sau mỗi lần gõ lệnh: bootrec /fixmbr bootrec /fixboot • Lệnh đầu tiên sẽ giúp sửa master boot record cho bạn, còn lệnh thứ 2 sẽ giúp ghi 1 boot sector mới cho ổ cứng. Sửa lỗi dữ liệu khởi động (Startup Data) E3 Administrator X:\windows\SYSTEM32\cmd.exe Microsoft Windows [Ụersion 6.2.9200] X:\Sources>bootrec /fixmbr The operation completed successfully. X:\Sources>bootrec /fixboot The operation completed successfully. X:\Sources> Trong 1 sô trường hợp, sau 2 lệnh này, có thê bạn sẽ cần chạy các lệnh bên dưới: ■ bootrec /scanos bootrec /rebuiỉdbcd Sửa lỗi dữ liệu khởi động (Startup Data) • Lệnh đầu tiên sẽ quét toàn bộ hệ thống cho hệ điều hành và đưa chúng vào dữ liệu cấu hình khởi động nhằm đảm bảo rằng boot loader biết dữ liệu cài đặt Windows nằm ở đâu. còn lệnh thứ 2 cũng sẽ quét hệ thông cho hệ điêu hành nhưng hiển thị 1 danh sách và cho phép bạn chọn hệ điều hành mà bạn muốn thêm. • Sử dụng phân mềm quét virus Kaspersky TDSSKiller fitt^//su^ortJ<as^ers]^/icom/viruses/utinty#TDSSKiner • Virus File: lây nhiễm các file như EXE, COM. SYS, OVL, OBI, PRG, MNU, BAT. Virus File có thể thường trú hoặc không thường trú trong bộ nhớ. Trong file *.exe Có thể đứng trước, sau hoặc xen kẽ Chèn trước Virus Application Code Chèn sau (surround) Application Code Virus A V A V A V A V A Xen kẽ Ví dụ: Black Monday (2) Loại: virus File. Ngày: 1990/01/09 Black Monday lây lan đến các máy tính khác bằng cách sao chép đoạn code của nó vào các tập tin hoặc các chương trình khác. Nó không phát tán tự động bằng cách sử dụng phương tiện riêng của mình. Nó cần sự can thiệp của người dùng tấn công để đạt được các máy tính bị ảnh hưởng. Các phương tiện truyền dẫn sử dụng bao gồm, trong số những người khác, đĩa mềm, CD-ROM, các thông điệp email với tập tín đính kèm, tải về Internet, FTP, kênh IRC, (P2P) mạng chia sẻ file peer-to-peer, w.. Signature: ac009c0650ea0000000033c08ed88f0602008f060000fb Virus Multipartite: thực hiện cả chức năng của Virus Boot sector và Virus File.. Tức là nó thực hiện tấn công cả boot sector và các chương trình thực thi cùng một lúc. Ví dụ: AntiExe ■ AntiExe là một virus khu vực khởi động đơn giản, lây nhiễm các hồ sơ khởi động đĩa mêm và đĩa cứng ghi khởi động chủ. Virus này là rất nhỏ và nó không được mã hóa. Ngày: 01/01/1995 Những ảnh hưởng của AntiEXE là: Đĩa mềm khởi động các cuộc tấn công [Sector Boot) và [đĩa cứng Master Boot Record). Thay thế các khu vực khởi động ban đầu với một ố cứng bị nhiễm bệnh. Nó làm điều này bằng cách di chuyển các khu vực khởi động ban đầu đến một phần khác của đĩa cứng. Kỹ thuật này được gọi là Stealth. Nó lây nhiễm tất cả các ổ đĩa mềm khi sử dụng trên máy tính bị ảnh hưởng, miễn là họ không được bảo vệ. Nó ngăn chặn các máy tính từ khi bắt đầu. Nó lây nhiễm các tập tin với phần mở rộng EXE có kích thước vượt quá 200.256 byte. Những tập tin này không thể thực hiện được sau khi nhiễm. Signature: 33ff8edfc4164c0089164c038c064e03fa8ed7be007c8be6fble5656all3 0448a31304bl06d3e08e Virus Macro: lây nhiễm các tập tin Microsoft Word hoặc Excel. Hâu hết các Virus macro được viết bằng ngôn ngữ macro Visual Basic (VBA). Virus Macro lây nhiễm các file tài liệu thông thường hoặc đính kèm vào các chúng. Ví dụ: Virus: W97M/Class Loại: Virus Macro Ngày phát hiện: 15/10/1998 Môi trường: Microsoft Windows. W97M / Class thay đổi mã lệnh riêng của nó liên tục bằng cách chèn bình luận có chứa tên người dùng hiện tại, ngày tháng và thời gian và thông tin về máy in đang hoạt động. Virus này tạo ra một file "c:\class.sys" để nhân rộng. W97M / Class kích hoạt vào ngày 31 mỗi tháng. Vào ngày này nó sẽ hiển thị thông báo này: “This Is Class o-o-o-o-o-o-o-o- o-o-o-o-o-o-o-o-o-o-o-o o VicodinES /CB /TNN 0 o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o ” • Signature: ae001700316e7465726e616c202f20436c6173732e496e73 65727400 Virus Cluster: thay đôi đường dẫn trỏ đến các code vi rút thay vì chương trình thực tế. Nó sẽ khởi động chính nó đầu tiên hoặc kiểm soát thay vì chương trình gốc. Virus này lây lan rất nhanh, chỉ cân một bản sao của Virus trên đĩa sẽ lây nhiễm cho tất cả các chương trình trong hệ thống máy tính. Ví dụ: Virus: DIR-II Loại: Cluster Virus Ngày phát hiện: 5/1991 Nơi phát hiện: Varna, Bulgaria Môi trường: DOS Độ dài: 1024 bytes Người tạo ra: "V.p." and "S.K." • Khi một tập tin với một entry thư mục bị nhiễm Dir-II, virus được cài đặt trong bộ nhớ. Khi một đĩa không bị nhiễm được truy cập, virus tự viết vào cluster cuối cùng của đĩa. Mọi dữ liệu trên cluster này sẽ được ghi đè. Nếu đĩa là một đĩa mật độ cao, virus sẽ lưu trừ chính nó trên hai cluster có 512 byte. • Signature: bc0006ff06e50431c98ed9c506cl000521001e50b430e8250 13c0419f6c6066504ffbb6000b44ae81401b452e80f0126ff7 7fe26c51f8b40153d7000751091c6 • Virus Overwriting File hoặc Virus Cavity: ghi đè lên 1 phần của file bọ nhiễm với 1 hằng số (null), mà không thay đổi độ dài hoặc chức năng của file. Ví dụ: SHHS Ngày phát hiện: 1/1992 Môi trường: MSDos. Khi một chương trình bị nhiễm shhs, virus sẽ tìm kiếm các thư mục hiện hành có chương trình .EXE và tâp tin .COM và lây nhiễm chung. Sau đó thông báo sau sẽ được hiển thị, và người sử dụng trở về dấu nhắc DOS: "Chương trình quá lớn đê phù hợp trong bộ nhớ". Chương trình với virus shhs nhiễm sẽ có 585 byte đâu tiên người dẫn ghi đè shhs Với các mã virus. Trừ các chương trình gốc là nhỏ hơn 585 byte, sẽ không có thay đổi kích thước của tập tin trong danh sách thư mục đĩa DOS. Chương trình nào ban đầu nhỏ hơn 585 byte sẽ trờ thành 585 byte. Sẽ không có sự thay đổi của tập tin và thời gian trong danh sách thư mục đĩa DOS. • Signature: e80b00a00601040dl400a20601c3bb3e01a006010ac0 Virus File Extension: thay đổi phân mở rộng của file, ngoại trừ phần mờ rộng .TXT an toàn vì nó chỉ ra một tập tin văn bản thuần túy. Đây là một Virus được viết bằng Visual Basic Script. Biện pháp đối phó là đê tắt "phân mở rộng tập tin ẩn" trong Windows. Virus: VBS.Gum Loại: Virus Ngày phát hiện: 10/09/2003 Virus này gây thiệt hại cho hoạt động máy tính nạn nhân. Nó có kích thước của 1 126 byte. Nó là một file HTML. Nó được viết bằng Visual Basic Script (VBS). Sau khi khởi động, virus xóa thuộc tính "chỉ đọc" từ các tập tin sau đây: C: \ Windows \ system.dat Virus này cũng xóa các tập tin sau đây: C: \ autoexec.bat C: \ config.sys Virus này tạo ra một tập tin gọi là "gum.mrc" trong thư mục mà thường nằm IRC client "mlRC": C: \ mirc \ gum.mrc Sau đó sẽ viết hướng dẫn autorun cho gum.mrc đê "mirc.ini" tập tin câu hình "mlRC". Kết quả là, tất cả những người dùng kết nối với một kênh IRC, mà còn được kết nối với máy tính nạn nhân, gửi các tập tin sau đây: C: \ mire \ download \ gum.html C: \ mire \ download \ gum.gif Signature: 5365742062203d2066736f2e437265617465546578744669 6c652822633a5c6d6972635c67756d2e6d7263222c205472 756529 Sau đó sẽ viết hướng dẫn autorun cho gum.mrc đê "mirc.ini" tập tin câu hình "mlRC". Kết quả là, tất cả những người dùng kết nối với một kênh IRC, mà còn được kết nối với máy tính nạn nhân, gửi các tập tin sau đây: C: \ mire \ download \ gum.html C: \ mire \ download \ gum.gif Signature: 5365742062203d2066736f2e437265617465546578744669 6c652822633a5c6d6972635c67756d2e6d7263222c205472 756529 Virus Terminate hoặc stay Resident (STR): virus này thường trú trên bộ nhớ, sử dụng kỹ thuật TSR (Terminate and Stay Resident) đê lưu lại trên bộ nhớ memory cho đến khi một vài sự kiện nho nhỏ xảy ra (ví dụ file.exe được mở) và sau đó chúng sẽ lây nhiễm file đó. Ví dụ: Azusa Detechted: 1/1991 Where: Ohio, USA Length: 1024 bytes in memory, 1 sector (400h) on media. OS: MS-DOS Signture: ba8000cdl372dfal89023906890074d6e865ffb8010331db41cdl3ebc9b Virus Direct Action hoặc Virus Transient: được tải với các ■ ■ chương trình máy chủ vào bộ nhớ máy tính. Sau khi nhận được kiểm soát, nó tìm kiếm đối tượng mới đê lây nhiễm bằng cách tìm kiếm cho các tập tin mới. Virus này thường sử dụng một chuỗi FindFirst, FindNext để tìm một tập hợp các ứng dụng nạn nhân để tấn công. Thông thường virus này chỉ gây nhiễm một vài tập tin khi thực hiện, nhưng một số virus lây nhiễm tất cả mọi thứ cùng một lúc bằng cách liệt kê tất cả các thư mục của các nạn nhân. ví dụ: Virdem Creator: Ralf Burger Date Discovered: 12/1986 Where: Hamburg, Germany OS: DOS Length: 1336 bytes Sourcse Language: Assembly File type: .com Message: "Sorry, you're wrong More luck at next try Famous. You're right. You'll be able to continue. All your programs are struck by VIRDEM.COM now.” Signature: 83c31c26c707205c431e8cc08ed88bd3 Virus Shell: code virus này tạo thành một shell xung quanh mục tiêu code của chương trình, làm cho bản thân chương trình ban đâu phụ thuộc vào nó. Hâu hết các Virus boot là Virus Shell. Ví dụ: Virus: Bash/1 Loại: Shell Virus ■ Ngày phát hiện: 1989 Môi trường: Unix Khi bạn có một CGI script trên một máy chủ web, kịch bản này tự động đọc các biến môi trường nhất định, ví dụ như địa chỉ IP của bạn, browser version, và thông tin v'ê local system. Signature: (trang 6] Virus Metamorphic: là thê hệ sau của các dòng virus đa hình. Các virus này có khả năng tự động biến đổi mã lệnh của nó, tạo ra các biến thê khác nhau tr ... hần mềm diệt Troịan tại taimienphi.vn). Chỉ thực hiện trên máy tính, không diệt được các Virus Trojan trên USB hoặc các thiết bị khác. 97 Trong môi trường Safe Mode Bạn nhấn CTRL + ALT + DELETE để mở Task Manager của Windows. Sau đó, tìm tất cả tiến trình Trojan Horse Generic đang chạy Nhấp vào tab Processes, tìm kiếm Trojan Horse Generic sau đó kích phải vào nó và chọn End Process để tắt Nhấp vào nút start và chọn Run. Gõ regedit vào hộp và nhấn OK để tiếp tục. Khi Registry Editor là tìm kiểm, mở các khóa Registry "HKEY_LOCAL_MACHINE\Software\Trojan Horse Generic." Kích chuột phải vào khóa Registry này và chọn Delete. Tìm kiếm cho các tập tin như %PROGRAM_FILES%\Trojan Horse Generic\ và xóa nó bằng tay. Bạn có thể chạy 1 chương trình Antivirus một lần nữa đê đảm bảo không còn Trojan và /irus nữa. Backdoor là chỉ chung các phần mềm độc hại thường trú và đợi lệnh điêu khiển từ các cổng dịch vụ TCP hoặc UDP. Phân loại: Zoombie (bot): là một chương trình được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác. Những máy bị nhiễm bot, thường bị hacker sử dụng tấn công DOS mà người dùng không biết. Backdoor Ví dụ: Alpha Strike Loại: Trojan Kiểu: Dos Signture: bf42f28b3602002bf781fe0010e800008bec8b6e00fcb85844c d21720f268e5f0ebe0b00eb469c60 Remote Administration Tool: là các công cụ của hệ thống cho phép thực hiện quyên quản trị từ xa. Vì vậy hacker lợi dụng tính năng này đê xâm hại hệ thống. Hacker có thể theo dõi mọi thứ xuất hiện trên màn hình, bàn phím, hoặc tác động vào cấu hình của hệ thống. Ví dụ: TR/BackDoor.Bo Loại: Trojan Malware Sub-type: Remote Access Ngày: 2003-02-26 Signture: Remote Administration Tool: là các công cụ của hệ thống cho phép thực hiện quyên quản trị từ xa. Vì vậy hacker lợi dụng tính năng này đê xâm hại hệ thống. Hacker có thể theo dõi mọi thứ xuất hiện trên màn hình, bàn phím, hoặc tác động vào cấu hình của hệ thống. Ví dụ: TR/BackDoor.Bo Loại: Trojan Malware Sub-type: Remote Access Ngày: 2003-02-26 Signture: Keylogger Key logger Keylogger là phân mêm bí mật ghi lại các phím đã được nhẩn bằng bàn phím, thao tác chuột, hoặc screen rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật,... Trong máy tính, khi bấm 1 phím trên bàn phím, bàn phím sẽ chuyển nó thành tính hiệu chuyên vào CPU. CPU sẽ chuyển nó tới hệ điêu hành đê hệ điều hành dịch thành chữ hoặc số. Nhưng khi có keylogger, keylogger theo dõi nó sẽ ghi nhận và dịch lại các tính hiệu ghi vào tập tin log. Đồng thời nó còn có thê theo dõi cả màn hình và thao tác chuột. ■ Phân loại: • Keylogger phân mêm: Đây là những chương trình máy tính được thiết kê đê làm việc trên máy tính. Keyloggers được sử dụng trong các tổ chức CNTT đê khắc phục sự cố các vân đề kỹ thuật với máy tính và mạng lưới kinh doanh. Gia đình hoặc doanh nghiệp người sử dụng chúng đê theo dõi việc sử dụng mạng. Tuy nhiên, cá nhân độc hại có thê sử dụng keylogger trên máy tính công cộng để ăn cắp mật khẩu hoặc thông tin thẻ tín dụng. Hâu hêt các keylogger mèm đê là trojan hay backdoor. • Ví dụ: DanuSoft Free Keylogger, Revealer Keylogger, ... Key logger Phân loại: Keylogger phân cứng: Keyloggers dựa trên phân cứng không phụ thuộc vào bất kỳ phân mềm đang được, chúng tồn tại ở mức độ phần cứng trong một hệ thống máy tính. Ví dụ: Wireless keyboard sniffers, Acoustic keyloggers,... Rootkit Rootkit • Rootkit là bộ công cụ phần mềm thường được người viết ra nó sử dụng đê che giấu sự tồn tại và hoạt động của những tiến trình hoặc những file mà hacker mong muốn. • Đặc điểm Rootkit là có khả năng ẩn các tiến trình, file, và cả dữ liệu trong registry. Vì thê người dũng sẽ không biết được nó có nhiễm malware không. • Ngoài ra nó còn giữ vai trò như một keylogger. Cũng có thê Rootkit được dùng trong những việc tốt, nhưng trong nhiêu trường hợp, Rootkit được coi là Trojan vì chúng có những hành vi như nghe trộm, che giấu hoặc bị lợi dụng đê che giấu các chương trình độc hại. Rootkit Phân loại: Rootkit hoạt động ở mức ứng dụng: có thể được coi là một chương trình ứng dụng. Ở mức này Rootkit thường sử dụng một số kỹ thuật như code inject, tạo file giả... để can thiệp vào các ứng dụng khác nhằm thực hiện mục đích che giấu tiến trình, file, registry. Rootkit Vi du: Koutodoor ■ Loại: Trojan Ngày phát hiện: October 22, 2010 Length: 192,576 bytes Môi trường: Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP Koutodoor hoạt động theo nhiêu giai đoạn, bao gồm việc cài đặt Trojan như là một rootkit, cài một malware khác tải từ các trang web. Sau đó, các malware mới cài này sẽ gửi thông tin về kết nối của người dùng đến các địa chỉ web cụ thể, từ đó tạo ra các cú click chuột giả trên banner quảng cáo hay bộ đếm traffic. 108 Rootkit Ví dụ: TDSS Loại: Spyware TDSS thay đổi giá trị trong Master Boot Record khiển hệ thông tải nó lên trước khi tải driver và giải pháp chống phân mềm malware, cho phép rootkit này vô hiệu hóa các phần mềm antivirus. TDSS rootkit còn có khả năng sông "kí sinh" lên các tập tin hiện có, tự tạo một file system riêng được mã hóa đê chứa các malware phụ. TDSS có thê đánh cắp mật khẩu hay dữ liệu mà chúng ta không hề hay biết. • Adware tạo ra trình đơn quảng cáo popup mà không có sự cho phép của người dùng. Adware thường được cài đặt bởi một thành phần của phân mêm miễn phí. Adware thường gây khó chịu cho người dùng vì nó thường xuyên xuất hiện quảng cáo trên screen, nên nó cũng tốn tài nguyên máy tính. Adware/Spyware Adware/Spyware Ví dụ: TR.Spectre #1 Loại: Trojan Kiểu: Adware Ngày phát hiện: February 13, 2007 Người tạo ra: SpectorSoft Môi trường: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Adware/Spyware Ví dụ: TR.Spectre #1 Chức năng Spector một cách tương tự như một Backdoor Trojan Horse. Khi nó được cài đặt, nó ghi lại tất cả các hoạt động trên hệ thống. Người đã cài đặt sau đó nó có thê xem tất cả các hoạt động đăng nhập. Bên cạnh đó, nó còn xuất hiện các quảng cáo, các cửa sổ mà không được phép của người dùng. Adware/Spyware Vídụ:Gliss#l Loại: Trojan Môi trường: MS Window Nó có mục bí mật trong máy tính của bạn mà không có bất kỳ thông tin trước và nhận được sự cho phép của người dùng. Chương trình độc hại này được phát triển bởi bọn tội phạm mạng tấn công máy tính của bạn đê giữ theo dõi trên tài nguyên hệ thống của bạn. Attacker Tool Attacker Tool là những bộ công cụ tấn công có thê sử dụng để đẩy các phân mềm độc hại vào trong hệ thông. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm malware hại. Khi được tải vào trong hệ thông bằng các đoạn malware hai, attacker tool có thể chính là một phân của đoạn malware đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm. Việc lây nhiễm chiếm một phân lớn mã lệnh của chương trình. Để đảm bảo việ lây nhiễm với đĩa, virus sẽ chiếm ngắt ( quan trong nhất: ngắt 13h. Sơ đồ đơn giản như sau: Việc can thiệp vào ngắt 13h sẽ dẫn đến việc giảm tốc độ truy xuất một cách đá kể vì vậy dễ gây nên sự ngi ngờ. Việc lâ nhiễm bắt đầu bằng cách đọc Boot sect lên nếu chưa bị nhiễm, virus sẽ tạo mộ Boot sector mớ có tham số tương ứng, còn Boot sector vừa đọc lên sẽ được gt vào một vùng xác định trên đĩa. Kĩ thuật phá hoại Có thê chia làm 2 kĩ thuật chính: Định thời: virus sẽ dựa vào một giá trị nào đó (ví dụ ngày, tháng, sô lân lây, sô lần khỏi động máy tính ...). Khi giá trị này bằng hoặc lớn hơn một giá trị cho trước, virus sẽ bắt đâu phá hoại. Do chỉ phá hoại một lân nên virus này thường rất nguy hiểm. Kĩ thuật phá hoại Đê kiểm tra giá trị, virus thường dùng cách sau: Chiếm ngắt 8 đê dếm giờ: mỗi giá trị OFFFFh của timetick count = 1 giờ. Ví dụ là virus Disk Killer, sau khi PC chạy được 48h, toàn bộ partition boot sẽ bị mã hóa toàn bộ. Chiêm ngắt 21h để lấy ngày tháng: ví dụ là virus Joshi, nó sẽ kiểm tra ngày tháng, nếu vào đúng ngày 5 tháng 1, nó sẽ bắt user đánh vào một câu chúc mừng "Happy birthday Joshi” trước khi có thê làm thêm bất kì một điêu gì. Đếm số lần lây cho đĩa khác: cách này dễ thực hiện, khi một virus lây nhiễm, bộ đếm của nó tự động tăng lên một đơn vị. Kĩ thuật phá hoại • Ngẫu nhiên và liên tục: không giông như định thời, sau khi lây nhiễm, virus sẽ bắt đầu phá hoại. Do tính chất này, virus không mang tính phá hoại mà đơn giản là gây ra một sô hiệu ứng ở loa, chuột, màn hình, hoặc lấy cắp thông tin, reset máy hoặc format đĩa,.... Ví dụ là virus Pingpong, sau khi xâm nhập xong, vào phút sau sẽ thây trên màn hình xuất hiện một trái banh chuyên động và tuân theo các định luật phản xạ kho gặp đường biên. TONG QUAN CAC KY THUẠT PHAT HIẸN MALWARE Thông thường có 2 loại phân tích: • Dynamic analysis (Phân tích động): là quá trình này có nghĩa là quan sát hành vi của mã độc khi nó đang chạy. Cụ thể là những công việc như: Khởi chạy mã độc trên một môi trường ảo, quan sát xem khi mà mã độc chạy nó sẽ làm những gì,.... Debug mã độc sử dụng một công cụ Debugger nào đó: Ví dụ winDBG, OllyDBG đê quan sát từng bước hành vi của mã độc khi nó đang được thực thi bởi bộ nhớ và load trong RAM. TONG QUAN CAC KY THUẠT PHAT HIẸN MALWARE Thông thường có 2 loại phân tích: • Static analysis (Phân tích tĩnh): Là quá trình dịch ngược mã độc (RCE - reverse engineering). Dịch ngược mã độc từ mã máy ra ngôn ngữ mà con người có thê đọc hiểu (asm, IL,..J. Trong quá trình này các nhà phân tích sẽ sử dụng những công cụ dịch ngược như IDA, khi thực hiện dịch ngược IDA không load mã độc vào RAM như ollyDBG, IDA. Phân mêm độc hại và tân công Phần mềm độc hại thường lây lan theo kiểu không có kiểm soát. Một tấn công thông thường Có một mục tiêu được xác định rõ ràng. e.g. một công ty, một server. Và có một mục đích ■ ■ e.g. deface một trang web, làm cho server không hoạt động, lấy quyền truy cập hệ thổng, lấy cắp tài liệu Tân công có thê sử dụng malware Kẻ tấn công có thể cài đặt Trojan Horse Kẻ tấn công có thể kiểm soát các host bị nhiễm Những host như vậy được gọi là Zombie Sử dụng host đã bị kiểm soát để tấn công e.g. tấn công từ chối dịch vụ phân tán (DDoS) Làm cho những kẻ tấn công thực sự khó bị theo dõi Các tân công thông thường Lẩy cắp Tài liệu, thông điệp, mật khẩu,.., Man-in-the-middle Nghe lén truyền thông Tampering Hiệu chỉnh hệ thống chỉnh sửa dữ liệu Spoofing Giả mạo địa chỉ, giả mạo nội dung Hijacking Chiếm phiên làm việc (e.g. Telnet), máy tính (zombie) Capture - replay Bắt giữ và chuyển tiếp các thông điệp lệnh Denial of service Phá hoại hay gây quá tải server với nhiều yêu cầu đồng thời Tân công server hay mạng Thu thập thông tin về mục tiêu Hệ điều hành, dịch vụ, người dùng,... Ạ7 Tìm các điếm yêu Các gói vá lỗi thiếu, mật khẩu yếu,... Khai phá điểm yếu Cài đặt cửa hậu, tạo tài khỏan,... Ẩn các con đường Gỡ bỏ các nhật kí, giấu file,... Phòng ngừa: Thu thập thông tin Đừng để lộ thông tin không cân thiết Server và phiên bản phân mềm • e.g. thông tin server trong tiêu đê HTTP User names Dịch vụ finger Các thông điệp lỗi e.g. Các thông điệp ngoại lệ trong phản hôi HTTP Phòng ngừa: Tìm điềm yếu Triển khai các gói vá lỗi quan trọng Kiểm tra bản vá trước khi cài đặt Đảm bảo mật khẩu mạnh Triển khai chính sách mật khẩu tốt Giảm thiểu tấn công b'ê mặt Bỏ các dịch vụ không cân thiết Cấu hình giới hạn firewall Phòng ngừa: Tim điếm yêu Cơ chế bảo vệ xâm nhập Cơ chế ngăn ngừa tràn bộ đệm Phần mềm bảo mật chống virus Máy ảo VMware, Java, .NET,... • Cấu hình hệ thống một cách an toàn Các quyền ưu tiên ít nhất có thể Giảm thiểu cài đặt ■ Phòng ngừa: Giâu theo dõi Ghi nhận tất cả truy cập hệ thống Các lân thử đăng nhập, chỉnh sửa thông tin cấu hình. Bảo mật file nhật kí khỏi việc chỉnh sửa Không c'ân thiết chỉnh sửa file nhật kí Cho phép ghi mà khôgn được chỉnh sửa Lưu trữ dưới các file tách biệt Phân tích nhật kí thông thường ốt t Ổỉ -X, Phân mêm chông phân mêm độc hai • Giới thiệu PMCPMĐH ngăn chặn đại dịch phân mềm độc hại Nhiều loại: Bitdefender Antivirus Plus, Kaspersky Anti-Virus, Norton AntiVirus, F-Secure Anti-Virus, AVG AntiVirus, G Data AntiVirus, Panda Antivirus Pro, McAfee AntiVirus Plus, Trend Micro Titanium Antivirus+, T NQD32 Antivirus : phần mềm chống phần mềm gián điệp tốt nhất trong năm 2015 Phân mêm chông phân mêm độc hai Các bước Cài đặt PMCPMĐH, chạy nó thường xuyên Cập nhật PMCPMĐH thường xuyên Quét mọi phương tiện truyền thông di động, bao gồm cả đĩa CD, trước khi sao chép/chạy chương trình từ chúng Cài đặt phần mềm chỉ từ một gói đóng hoặc trang web an toàn của một công ty phân niêm nổi tiêng Thực hiện tải theo thông lệ cẩn thận Nếu phát hiện loại phần mềm độc hại mới thì hành động ngay lập tức MÔI TRƯỜNG HỆ THỐNG SẠCH 130 • Viết một đoạn mã JavaScript cài vào một trang web khi tải xuống sẽ được kích hoạt và mở đồng loạt nhiều của sổ web khác nhau. Tồng kết Harmful code = malware + trojan + computer virus Malware = adware + spyware + pornware + riskware Trojan = germs + dropper + injector + rootkit Rootkit = keylogger + sniffer + filehooker + backdoor + constructor Computer virus - boot virus + file virus + macro virus + worm File virus = com virus + exe virus Macro virus = doc virus + xls virus + ppt virus Worm = intruder + dropper + injector Các Virus mới hiện nay Trojan-Banker.AndroidOS.Binka.d, một Trojan ngân hàng đã tiến hóa. Bây giờ nó có thể “lắng nghe” các nạn nhân của nó. Âm thanh được ghi lại bằng cách sử dụng microphone trên thiết bị của nạn nhân và ghi vào một tập tin sau đó được chuyên đến máy chủ của tội phạm mạng. Trojan-SMS.AndroidOS.Chyapo.a đã được nhúng vào trong các ứng dụng miễn phí Unity Launcher. Sự khác biệt giữa các ứng dụng sạch và độc hại, khác nhau bởi một yêu câu cho phép mới - các ứng dụng độc hại yêu câu truy cập đến việc xử lý tin nhắn SMS. Một điều kỳ lạ về Trojan này là máy chủ ra lệnh và điều khiển của nó được lưu trữ trên ■ ■ sites.google.com. Các Virus mới hiện nay Trojan SMS, đã làm chủ một kỹ thuật phân phối mới - thông qua các mạng xã hội VKontakte . Một tập tin độc hại được tải lên máy chủ lưu trữ nội dung của mạng xã hội phổ biên. Các Trojan lọt vào Top Ba chương trình điện thoại di động độc hại dựa trên sô lượng người dùng bị tân công. Trojan-Banker.AndroidOS.Svpeng.f, một Trojan ngân hàng phát hiện trong Q1 2015, đã cố gắng đê loại bỏ các ứng dụng của ba nhà cung cấp chông virus là Avast, Eset, và DrWeb...” Các Virus mới hiện nay Mô hình lây nhiễm của mã độc Ransomware Người dùng nhộn Spam Mail có chửa lập tin đinh kèm Tập tin đinh kèm là phần mèm độc hại khoá máy. đòi tiền chuộc sẻ tự két nối đén các máy chủ cùa hacker Các CTB Locker sẽ được tải vè từ các máy nan nhân Các nan nhân phái sử dụng mạng ngầm TOR đé thanh toán Bitcoin cho hacker CTB Locker thông bào đón nạn nhân số tiền chuộc và thời han thanh toán Các tập tin trong máy lính bi mâ hoá Phòng chồng Bỏ ngay những thư rác hay email đáng nghi Tuân thủ quy tắc 3-2-1 của các chuyên gia: có 3 bản sao, hai phương tiện lưu trữ khác nhau và một nơi lưu trữ tách biệt. Nên dùng phân mềm Internet Security của các hãng bảo mật uy tín Cân khuyên khích sản phẩm ATTT nội • TH2: Khắc phục
File đính kèm:
- bai_giang_an_toan_he_thong_thong_tin_chuong_2_tong_quan_ve_m.docx
- nhap_mon_an_toan_thong_tin_tran_thi_kim_chic02_madoc30117_v1_464349.pdf