Bài 2:
Phần mềm độc hại và các dạng
tấn công sử dụng kỹ nghệ xã hội
Củng cố lại bài 1
Những thử thách trong bảo mật thông tin
Những cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?
Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?
6 loại kẻ tấn công
Tấn công và Phòng thủ
5 bước của một cuộc tấn công
5 nguyên tắc cơ bản của phòng thủ
Những thử thách trong bảo mật thông tin
Những cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?
Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?
6 loại kẻ tấn công
Tấn công và Phòng thủ
5 bước của một cuộc tấn công
5 nguyên tắc cơ bản của phòng thủ
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
2
Mục tiêu của bài học
Mô tả sự khác nhau giữa vi rút và sâu máy tính
Liệt kê các kiểu phần mềm độc hại giấu mình
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
3
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi
Mô tả các kiểu tấn công tâm lý sử dụng kỹ nghệ xã hội
Giải thích các vụ tấn công vật lý sử dụng kỹ nghệ xã
hội
Tấn công sử dụng
phần mềm độc hại
Phần mềm độc hại (malware)
Xâm nhập vào hệ thống máy tính:
Không được sự hay biết hay đồng ý của chủ nhân
Dùng để chỉ một loạt các phần mềm gây hại hoặc gây
phiền nhiễu
Mục đích chính của phần mềm độc hại
Lây nhiễm các hệ thống
Che dấu mục đích
Thu lợi
Phần mềm độc hại (malware)
Xâm nhập vào hệ thống máy tính:
Không được sự hay biết hay đồng ý của chủ nhân
Dùng để chỉ một loạt các phần mềm gây hại hoặc gây
phiền nhiễu
Mục đích chính của phần mềm độc hại
Lây nhiễm các hệ thống
Che dấu mục đích
Thu lợi
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
4
Phần mềm độc hại lan truyền
Phần mềm độc hại lan truyền
Dạng phần mềm độc hại nhắm tới mục tiêu chủ yếu là lan
truyền
Có hai dạng phần mềm độc hại lan truyền:
Vi rút (virus)
Sâu (worm)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
5
Phần mềm độc hại lan truyền
- Vi rút
Vi rút (virus)
Là các mã máy tính nguy hiểm, có khả năng tái tạo trên
cùng máy tính
Các phương thức lây nhiễm vi rút
Lây nhiễm kiểu gắn kết phía sau
Lây nhiễm kiểu pho-mat Thụy Sĩ
Lây nhiễm kiểu phân tách
Vi rút (virus)
Là các mã máy tính nguy hiểm, có khả năng tái tạo trên
cùng máy tính
Các phương thức lây nhiễm vi rút
Lây nhiễm kiểu gắn kết phía sau
Lây nhiễm kiểu pho-mat Thụy Sĩ
Lây nhiễm kiểu phân tách
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
6
Phần mềm độc hại lan truyền
- Vi rút (tiếp)
Khi chương trình nhiễm vi rút được khởi động:
Tự nhân bản (lây lan sang các file khác trên máy tính)
Kích hoạt chức năng phá hoại
hiển thị một thông điệp gây phiền nhiễu
thực hiện một hành vi nguy hiểm hơn
Các ví dụ về hoạt động của vi rút
Làm cho máy tính lặp đi lặp lại một sự cố
Xóa các file hoặc định dạng lại ổ cứng
Tắt các thiết lập bảo mật của máy tính
Khi chương trình nhiễm vi rút được khởi động:
Tự nhân bản (lây lan sang các file khác trên máy tính)
Kích hoạt chức năng phá hoại
hiển thị một thông điệp gây phiền nhiễu
thực hiện một hành vi nguy hiểm hơn
Các ví dụ về hoạt động của vi rút
Làm cho máy tính lặp đi lặp lại một sự cố
Xóa các file hoặc định dạng lại ổ cứng
Tắt các thiết lập bảo mật của máy tính
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
7
Phần mềm độc hại lan truyền
- Vi rút (tiếp)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
8
Hình 2-4 Một thông điệp phiền nhiễu do vi rút gây ra
© Cengage Learning 2012
Phần mềm độc hại lan truyền
- Vi rút (tiếp)
Vi rút không thể tự động lây lan sang máy tính khác
Nó phụ thuộc vào hành động của người dùng để lây lan
Các vi rút được đính kèm theo file
Vi rút lan truyền bằng cách truyền nhận các file bị nhiễm
vi rút
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
9
Phần mềm độc hại lan truyền
- Vi rút (tiếp)
Các loại vi rút máy tính
Vi rút chương trình (program virus)
Lây nhiễm các file thực thi
Vi rút macro (macro virus)
Thực thi một đoạn mã kịch bản
Vi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành
mở ra
Vi rút khởi động (boot virus)
Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)
Chèn thêm các chương trình độc hại vào hệ điều hành
Các loại vi rút máy tính
Vi rút chương trình (program virus)
Lây nhiễm các file thực thi
Vi rút macro (macro virus)
Thực thi một đoạn mã kịch bản
Vi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành
mở ra
Vi rút khởi động (boot virus)
Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)
Chèn thêm các chương trình độc hại vào hệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
10
Phần mềm độc hại lan truyền
- Sâu
Sâu (Worm)
Chương trình độc hại
Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành
Gửi các bản sao của chính mình sang các thiết bị mạng
khác
Sâu có thể:
Sử dụng các tài nguyên
Để lại một đoạn mã để làm hại hệ thống bị lây nhiễm
Các ví dụ về hoạt động của sâu
Xóa các file trên máy tính
Cho phép kẻ tấn công có thể điều khiển máy tính bị hại
từ xa
Sâu (Worm)
Chương trình độc hại
Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành
Gửi các bản sao của chính mình sang các thiết bị mạng
khác
Sâu có thể:
Sử dụng các tài nguyên
Để lại một đoạn mã để làm hại hệ thống bị lây nhiễm
Các ví dụ về hoạt động của sâu
Xóa các file trên máy tính
Cho phép kẻ tấn công có thể điều khiển máy tính bị hại
từ xa
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
11
Phần mềm độc hại lan truyền
Virus và Sâu
Hành động vi rút Sâu
Lây lan sang
các máy tính
khác
Do gười dùng truyền
những file bị lây nhiễm
sang máy tính khác
Sử dụng hệ thống
mạng để di chuyển
sang máy tính khác
Cách thức hoạt
động
chèn mã của nó vào trong
file
Khai thác các lỗ hổng
của ứng dụng hoặc
hệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
12
Bảng 2-1 Sự khác nhau giữa vi rút và sâu
Cách thức hoạt
động
chèn mã của nó vào trong
file
Khai thác các lỗ hổng
của ứng dụng hoặc
hệ điều hành
Cần tác động
từ phía người
dùng
Có Không
Khả năng điều
khiển từ xa
Không Có
Phần mềm độc hại giấu mình
Phần mềm độc hại giấu mình (concealing malware)
Dạng phần mềm độc hại có mục tiêu chính là che giấu sự
có mặt của chúng trước người dùng
Khác hẳn với việc lan truyền nhanh như vi rút và sâu.
Các dạng phần mềm độc hại giấu mình bao gồm các
Trojan
Rootkit
Bom lôgíc (logic bomb)
Cửa hậu (backdoor)
Phần mềm độc hại giấu mình (concealing malware)
Dạng phần mềm độc hại có mục tiêu chính là che giấu sự
có mặt của chúng trước người dùng
Khác hẳn với việc lan truyền nhanh như vi rút và sâu.
Các dạng phần mềm độc hại giấu mình bao gồm các
Trojan
Rootkit
Bom lôgíc (logic bomb)
Cửa hậu (backdoor)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
13
Phần mềm độc hại giấu mình
- Trojan
Trojan (ngựa thành Troy)
Là chương trình thực hiện những mục đích nằm ngoài
những điều quảng cáo
Thường thực thi các chương trình
Chứa các mã ẩn để thực hiện việc tấn công
Đôi khi có thể ở dạng một file dữ liệu
Ví dụ
Người dùng tải và sử dụng chương trình “free calendar
program”
Chương trình này sẽ quét hệ thống để tìm số tài khoản tín
dụng và mật khẩu
Chuyển thông tin thu thập được cho kẻ tấn công qua mạng
Trojan (ngựa thành Troy)
Là chương trình thực hiện những mục đích nằm ngoài
những điều quảng cáo
Thường thực thi các chương trình
Chứa các mã ẩn để thực hiện việc tấn công
Đôi khi có thể ở dạng một file dữ liệu
Ví dụ
Người dùng tải và sử dụng chương trình “free calendar
program”
Chương trình này sẽ quét hệ thống để tìm số tài khoản tín
dụng và mật khẩu
Chuyển thông tin thu thập được cho kẻ tấn công qua mạng
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
14
Phần mềm độc hại giấu mình
- Rootkit
Rootkit (công cụ gốc)
Là các công cụ phần mềm được kẻ tấn công sử dụng để
che dấu các hành động hoặc sự hiện diện của các phần
mềm độc hại khác (trojan, sâu…)
Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục
nhật ký
Có thể thay đổi hoặc thay thế các file của hệ điều hành
bằng các phiên bản sửa đổi:
Được thiết kế chuyên để che dấu các hành vi gây hại
Rootkit (công cụ gốc)
Là các công cụ phần mềm được kẻ tấn công sử dụng để
che dấu các hành động hoặc sự hiện diện của các phần
mềm độc hại khác (trojan, sâu…)
Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục
nhật ký
Có thể thay đổi hoặc thay thế các file của hệ điều hành
bằng các phiên bản sửa đổi:
Được thiết kế chuyên để che dấu các hành vi gây hại
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
15
Phần mềm độc hại giấu mình
- Rootkit (tiếp)
Có thể phát hiện Rootkit bằng cách sử dụng các chương
trình so sánh nội dung file với file gốc ban đầu
Rootkit hoạt động ở mức thấp trong hệ điều hành:
Có thể rất khó phát hiện
Việc loại bỏ rootkit có thể rất khó khăn
Khôi phục các file gốc của hệ điều hành
Định dạng và cài đặt lại hệ điều hành
Có thể phát hiện Rootkit bằng cách sử dụng các chương
trình so sánh nội dung file với file gốc ban đầu
Rootkit hoạt động ở mức thấp trong hệ điều hành:
Có thể rất khó phát hiện
Việc loại bỏ rootkit có thể rất khó khăn
Khôi phục các file gốc của hệ điều hành
Định dạng và cài đặt lại hệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
16
Phần mềm độc hại giấu mình
- Bom lô gíc
Bom lôgic (logic bom)
Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác định
Sau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạt
Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp
sử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bom
lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng
phần mềm nữa.
Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ
phần mềm, các file về khách hàng, cùng bảng chi trả
kèm theo.
Bom lôgic (logic bom)
Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác định
Sau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạt
Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp
sử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bom
lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng
phần mềm nữa.
Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ
phần mềm, các file về khách hàng, cùng bảng chi trả
kèm theo.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
17
Phần mềm độc hại giấu mình
(tiếp tục.)
Mô tả Lý do tấn công Hậu quả
Bom lôgic, phát tán trong
mạng cung cấp dịch vụ
tài chính, xóa sạch dữ
liệu quan trọng của 1000
máy tính
Một nhân viên bất mãn
muốn làm giảm giá trị cổ
phiếu của công ty; để
kiếm lợi từ việc giảm giá
đó.
Bom lôgic đã phát nổ,
nhân viên đó đã phải
chịu mức án 8 năm tù,
và phải bồi thường 3.1
triệu đô la.
Một nhà thầu quốc
phòng thiết kế một bom
lôgic nhằm xóa sạch các
dữ liệu quan trọng về tên
lửa
Nhà thầu đó muốn được
thuê để phá bom lôgic
với mức lương cao
Bom lôgic đã được phát
hiện và vô hiệu hóa; nhà
thầu bị buộc tội giả mạo
và lừa đảo, bị phạt 5000
đô la.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
18
Bảng 2-2 Các bom lôgic nổi tiếng
Một nhà thầu quốc
phòng thiết kế một bom
lôgic nhằm xóa sạch các
dữ liệu quan trọng về tên
lửa
Bom lôgic đã được phát
hiện và vô hiệu hóa; nhà
thầu bị buộc tội giả mạo
và lừa đảo, bị phạt 5000
đô la.
Một bom logic đã phát
nổ tại công ty dịch vụ
sức khỏe vào đúng ngày
sinh nhật của nhân viên.
Nhân viên đó bực tức vì
nghĩ mình có thể bị sa
thải (mặc dù thực tế anh
ta không bị sa thải)
Nhân viên đó đã bị kết
án 30 tháng tù và phải
bồi thường 81.200 đô la
Phần mềm độc hại giấu mình
- Cửa hậu
Cửa hậu (Backdoor)
Mã phần mềm có mục đích né tránh các thiết lập bảo mật
Cho phép chương trình có thể truy cập nhanh chóng
Thường do các lập trình viên tạo ra
Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất
Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn
công đã dùng chúng để qua mặt (bypass) bảo mật.
Các phần mềm độc hại từ những kẻ tấn công cũng có
thể cài đặt cửa hậu lên máy tính.
Cách làm này cho phép những kẻ tấn công sau đó quay
lại máy tính, và qua mặt mọi thiết lập bảo mật.
Cửa hậu (Backdoor)
Mã phần mềm có mục đích né tránh các thiết lập bảo mật
Cho phép chương trình có thể truy cập nhanh chóng
Thường do các lập trình viên tạo ra
Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất
Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn
công đã dùng chúng để qua mặt (bypass) bảo mật.
Các phần mềm độc hại từ những kẻ tấn công cũng có
thể cài đặt cửa hậu lên máy tính.
Cách làm này cho phép những kẻ tấn công sau đó quay
lại máy tính, và qua mặt mọi thiết lập bảo mật.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
19
Phần mềm độc hại
nhằm kiếm lợi
Các kiểu phần mềm độc hại nhằm kiếm lợi
Botnet
Phần mềm gián điệp (Spyware)
Phần mềm quảng cáo (Adware)
Bộ ghi lưu bàn phím (KeyLogger)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
20
Phần mềm độc hại nhằm kiếm lợi
- Botnet
Botnet
Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công
có thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rút
Máy tính bị lây nhiễm được gọi là thây ma (zombie)
Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm Internet
Relay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Botnet
Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công
có thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rút
Máy tính bị lây nhiễm được gọi là thây ma (zombie)
Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm Internet
Relay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
21
Phần mềm độc hại nhằm kiếm lợi
- Botnet (tiếp)
Lợi ích của Botnet đối với những kẻ tấn công
Hoạt động ở chế độ nền:
Thường không có biểu hiện của sự tồn tại
Cung cấp phương tiện để che dấu hành vi của kẻ tấn công
Có thể duy trì hoạt động trong nhiều năm
Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiều
thây ma
Do sự gia tăng không ngừng của các dịch vụ trên Internet
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Lợi ích của Botnet đối với những kẻ tấn công
Hoạt động ở chế độ nền:
Thường không có biểu hiện của sự tồn tại
Cung cấp phương tiện để che dấu hành vi của kẻ tấn công
Có thể duy trì hoạt động trong nhiều năm
Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiều
thây ma
Do sự gia tăng không ngừng của các dịch vụ trên Internet
22
Kiểu tấn công Mô tả
Thư rác Một botnet cho phép kẻ tấn công gửi một khối lượng lớn
thư rác; một số botnet có thể thu thập các địa chỉ e-mail
Phát tán phần
mềm độc hại
Các botnet có thể được sử dụng để phát tán phần mềm
độc hại, tạo ra các zombie, botnet mới; các zombie có thể
tải và thực thi một file do kẻ tấn công gửi đến
Tấn công các
mạng IRC
Botnet thường được dùng để tấn công mạng IRC; chương
trình điều khiển ra lệnh cho mỗi botnet kết nối một số
lượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,
do đó không thể thực hiện chức năng của mình
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
23
Bảng 2-3 Những mục đích sử dụng của botnet
Botnet thường được dùng để tấn công mạng IRC; chương
trình điều khiển ra lệnh cho mỗi botnet kết nối một số
lượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,
do đó không thể thực hiện chức năng của mình
Thao túng bầu cử
trực tuyến
Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tương
đương như “lá phiếu” của một cử tri thực; các trò chơi trực
tuyến có thể được thao túng theo cách tương tự
Ngăn cản dịch vụ Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làm
server bị quá tải, không đáp ứng được yêu cầu hợp pháp
Phần mềm độc hại nhằm kiếm lợi
- Phần mềm gián điệp
Phần mềm gián điệp (spyware)
Phần mềm thu thập thông tin trái phép, không được sự
cho phép của người dùng
Thường được sử dụng với mục đích:
Quảng cáo
Thu thập thông tin cá nhân
Thay đổi cấu hình máy tính
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Phần mềm gián điệp (spyware)
Phần mềm thu thập thông tin trái phép, không được sự
cho phép của người dùng
Thường được sử dụng với mục đích:
Quảng cáo
Thu thập thông tin cá nhân
Thay đổi cấu hình máy tính
24
Phần mềm độc hại nhằm kiếm lợi
- Phần mềm gián điệp (tiếp)
Những tác động tiêu cực của phần mềm gián điệp
Làm giảm hiệu năng máy tính
Làm cho hệ thống bất ổn định
Có thể cài đặt các menu trên thanh công cụ của trình
duyệt
Có thể tạo ra các đường dẫn mới (shortcut)
Chiếm đoạt trang chủ
Làm tăng các cửa sổ quảng cáo
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Những tác động tiêu cực của phần mềm gián điệp
Làm giảm hiệu năng máy tính
Làm cho hệ thống bất ổn định
Có thể cài đặt các menu trên thanh công cụ của trình
duyệt
Có thể tạo ra các đường dẫn mới (shortcut)
Chiếm đoạt trang chủ
Làm tăng các cửa sổ quảng cáo
25