Tải bản đầy đủ (.doc) (94 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu phương pháp phân tích động mã độc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.15 MB, 94 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
-----------------------------------------------------------

NGUYỄN NGỌC QN

NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC

CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 60.48.01.04

BÁO CÁO LUẬN VĂN THẠC SĨ

HÀ NỘI – 2015


LỜI CẢM ƠN
Trước hết tôi xin cảm ơn sâu sắc tới TS. Nguyễn Trung Kiên, đã định hướng cho tôi
trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong
suốt quá trình nghiên cứu và hồn thành luận văn tốt nghiệp.
Tơi xin cảm ơn các cán bộ Viện Công nghệ thông tin và truyền thông CDIT; các thầy
cô trong khoa Công nghệ thông tin, khoa Quốc tế và Đào tạo sau Đại học - Học viện Cơng
nghệ Bưu chính Viễn thơng đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian
học tập nghiên cứu tại trường.
Tôi xin cảm ơn các cấp Lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia
sẻ, giúp đỡ, tạo điều kiện cho tơi hồn thành khóa luận này.

Hà Nội, tháng năm 2015

Nguyễn Ngọc Quân



ii

LỜI CAM ĐOAN
Tôi xin cam đoan Luận văn này là cơng trình nghiên cứu khoa học nghiêm túc của cá
nhân, được thực hiện dưới sự hướng dẫn khoa học của TS. Nguyễn Trung Kiên.
Các số liệu, kết quả nghiên cứu và kết luận được trình bày trong Luận văn là trung
thực và chưa được cơng bố dưới bất kỳ hình thức nào.
Tơi xin chịu trách nhiệm về cơng trình nghiên cứu của mình.
TÁC GIẢ LUẬN VĂN

Nguyễn Ngọc Quân


iii

MỤC LỤC
LỜI CẢM ƠN....................................................................................................................... ii
LỜI CAM ĐOAN...................................................................................................................ii
MỤC LỤC.............................................................................................................................. ii
DANH MỤC CÁC TỪ VIẾT TẮT........................................................................................ii
DANH MỤC HÌNH VẼ.......................................................................................................... ii
MỞ ĐẦU................................................................................................................................ ii
CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC............................................................................2
1.1.

Tổng quan về mã độc...............................................................................................2

1.1.1.

Khái niệm về mã độc..........................................................................................2


1.1.2.

Tình hình mã độc tại Việt Nam và trên thế giới..................................................2

1.2.

Phân loại mã độc......................................................................................................2

1.2.1.

Virus máy tính....................................................................................................2

1.2.2.

Sâu máy tính......................................................................................................2

1.2.3.

Trojan hourse....................................................................................................2

1.2.4.

Phần mềm gián điệp (Spyware).........................................................................2

1.2.5.

Phần mềm tống tiền (Scareware).......................................................................2

1.2.6.


Phần mềm quảng cáo.........................................................................................2

1.2.7.

Downloader........................................................................................................2

1.2.8.

Backdoor............................................................................................................2

1.2.9.

Botnet.................................................................................................................2

1.2.10. Launcher............................................................................................................2
1.2.11. Rootkit................................................................................................................2
1.2.12. Keylogger............................................................................................................2
1.3.

Cách thức hoạt động và các hành vi của các loại mã độc.....................................2

1.3.1.

Mục đích của mã độc..........................................................................................2

1.3.2.

Hướng lây nhiễm của mã độc..............................................................................2


1.3.3.

Hành vi mã độc...................................................................................................2

1.3.4.

Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng........................2


iv

1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng..........2
1.4.

Phương thức lây nghiễm của mã độc.....................................................................2

1.4.1.

Phương thức lây nhiễm của Virus.....................................................................2

1.4.2.

Phương thức lây nhiễm của Worm (Sâu máy tính)..........................................2

1.4.3.

Phương thức lây nhiễm của Trojan..................................................................2

1.5.


Kết luận Chương 1...................................................................................................2

CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ
ĐỘC........................................................................................................................................ 2
2.1.

Nghiên cứu các kỹ thuật phân tích mã độc............................................................2

2.1.1.

Mục đích kỹ thuật phân tích mã độc....................................................................2

2.1.2.

Các kỹ thuật phân tích mã độc..........................................................................2

2.2.

Nghiên cứu phương pháp phân tích tĩnh...............................................................2

2.2.1.

Basic static analysis............................................................................................2

2.2.2.

Advanced static analysis.....................................................................................2

2.3.


Nghiên cứu phương pháp phân tích động..............................................................2

2.4.

Mơi trường thực hiện việc phân tích mã độc.........................................................2

2.4.1.

Mơi trường tải mã độc........................................................................................2

2.4.2.

Mơi trường phân tích mã độc............................................................................2

2.4.3.

Mơ hình mơi trường phân tích mã độc..............................................................2

2.5.

Quy trình thu thập và phân tích mã độc................................................................2

2.5.1.

Thu thập mã độc..................................................................................................2

2.5.2.

Quy trình phân tích mã độc.................................................................................2


2.6.

Nghiên cứu các cơng cụ hỗ trợ phân tích mã độc..................................................2

2.6.1.

Cơng cụ hỗ trợ phân tích tĩnh............................................................................2

2.6.2.

Cơng cụ hỗ trợ phân tích động..........................................................................2

2.7.

Kết luận Chương 2...................................................................................................2

CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC..........................................................2
3.1.

Kiến trúc cơ bản của hệ thống................................................................................2

3.2.

Mơ hình logic của hệ thống Malware analytics.....................................................2

3.3.

Mơ hình vật lý của hệ thống....................................................................................2

3.4.


Giới thiệu hệ thống sử dụng cho việc phân tích hành vi của mã độc...................2


v

3.1.1.

Quy trình phân tích một tập tin.........................................................................2

3.1.2.

Quy trình phân tích địa chỉ URL độc hại..........................................................2

3.2.

Kết luận chương 3....................................................................................................2

KẾT LUẬN............................................................................................................................. 2
TÀI LIỆU THAM KHẢO.......................................................................................................2
PHỤ LỤC............................................................................................................................... 2


DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết tắt

Tiếng Anh

Tiếng Việt


AV-TEST

Tổ chức kiểm định và đánh giá độc
lập về các phần mềm diệt Virus cho
Windows và Android

BKAV

Công ty an ninh mạng BKAV

CPU

Central Processing Unit

Bộ xử lý trung tâm của máy tính

IPS

Intrusion prevention system

Hệ thống phát hiện xâm nhập

IDS

Intrusion detection system

Hệ thống ngăn ngừa xâm nhập

IIS


Internet Information Services

MD5

Message Digest Algorithm 5

Thuật toán băm mã hóa dữ liệu MD5

NIST

National Institute of Standards and
Technology

Viện tiêu chuẩn - công nghệ quốc
gia Hoa kỳ

P2P

Peer to peer

Mạng ngang hàng

PC

Personal computer

Máy tính cá nhân

PE File


Portable Executable File

SHA-1

Secure Hash Algorithm 1

Thuật tốn băm mã hóa dữ liệu
SHA-1

VNCERT

Vietnam Computer Emergency
Response Team

Trung tâm ứng cứu khẩn cấp máy
tính Việt Nam

VNPT

Vietnam Posts and
Telecommunication Group

Tập đồn Bưu chính Viễn thơng Việt
Nam


vii

DANH MỤC HÌNH VẼ

Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST................................................2
Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới............................................2
Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV....................................................2
Hình 4: Virus đính kèm trong các tập tin thực thi...................................................................2
Hình 5: Mơ tả mức độ lây lan của sâu mật mã đỏ năm 2001...................................................2
Hình 6: Trojan ẩn mình trong các phần mềm miễn phí...........................................................2
Hình 7: Hoạt động của người dùng Spyware ghi lại...............................................................2
Hình 8: Scareware mạo danh FBI tống tiền người dùng.........................................................2
Hình 9: Cơng dụng của một mạng Botnet...............................................................................2
Hình 10: Hash Netcat.............................................................................................................2
Hình 11: String khi tách từ mẫu Malware 1............................................................................2
Hình 12: String khi tách từ mẫu Malware 2............................................................................2
Hình 13: Chuỗi ASCII............................................................................................................2
Hình 14: Chuỗi Unicode.........................................................................................................2
Hình 15: File Malware nc được giả dưới dạng file nén...........................................................2
Hình 16: Byte định dạng file thực thi......................................................................................2
Hình 17: Byte định dạng file zip.............................................................................................2
Hình 18: Chương trình Malware được biên dịch bằng Visual C++.........................................2
Hình 19: Hệ thống chạy khi chưa thực thi Malware................................................................2
Hình 20: Hệ thống xuất hiện tiến trình lạ thực thi Malware....................................................2
Hình 21: Malware tác động đến các file trên hệ thống............................................................2
Hình 22: Mơi trường phân tích mã độc...................................................................................2
Hình 23: Mơ hình thực hiện phân tích Malware......................................................................2
Hình 24: Thành phần mơi trường phân tích mã độc................................................................2
Hình 25: Quy trình phân tích mã độc khi chưa có hệ thống phân tích tự động........................2
Hình 26: Quy trình phân tích mã độc khi có hệ thống phân tích tự động................................2
Hình 27: Màn hình sử dụng PEiD...........................................................................................2
Hình 28: Rdg Packer Detector................................................................................................2
Hình 29: ExeInfo..................................................................................................................... 2
Hình 30: Giao diện đồ họa của IDA Pro.................................................................................2

Hình 31: BinDiff.....................................................................................................................2
Hình 32: Giao diện sử dụng của Process Monitor...................................................................2
Hình 33: Cửa sổ Filter của Process Monitor...........................................................................2
Hình 34: Mơ hình logic hệ thống Malware analytics..............................................................2
Hình 35: Mơ hình vật lý của hệ thống.....................................................................................2
vii


viii

Hình 36: Giao diện của trang phân tích hành vi mã độc..........................................................2
Hình 37: Quy trình phân tích một mã độc trên hệ thống.........................................................2
Hình 38: Giao diện mục nhập mã độc.....................................................................................2
Hình 39: Trang hiện thị thông tin về các mã độc đã phân tích................................................2
Hình 40: Thơng tin sơ lược về mã độc....................................................................................2
Hình 41: Các thơng tin chi tiết về hành vi mã độc (1).............................................................2
Hình 42: Các thơng tin chi tiết về hành vi mã độc (2).............................................................2
Hình 43: Các thơng tin chi tiết về hành vi mã độc (3).............................................................2
Hình 44: Giao diện nhập địa chỉ URL để phân tích.................................................................2
Hình 45: Trang hiển thị thông tin về các địa chỉ URL đã phân tích........................................2
Hình 46: Các thơng tin chi tiết về hành vi của website chứa mã độc......................................2
Hình 47: Tiến hành cài đặt Winpcap.......................................................................................2
Hình 48: Tiến hành cài đặt Wireshark.....................................................................................2
Hình 49: Giải nén BSA...........................................................................................................2
Hình 50: Giao diện sandboxie sau khi cài đặt xong................................................................2
Hình 51: Chỉnh sửa cấu hình Sandbox....................................................................................2
Hình 52: File cấu hình Sandbox trước khi chỉnh sửa..............................................................2
Hình 53: File cấu hình đã được chỉnh sửa...............................................................................2
Hình 54: Chạy thử process monitor trong mơi trường sandbox..............................................2
Hình 55: Hoạt động của Buster Sandbox Analyzer.................................................................2

Hình 56: Thực thi netcat trong mơi trường sandbox...............................................................2
Hình 57: Netcat load các file thư viện, tạo các tiến trình mới.................................................2
Hình 58: Thơng tin trong file report........................................................................................2
Hình 59: Phân tích hành vi......................................................................................................2
Hình 60: Malware query DNS teredo.ipv6.microsoft.com.....................................................2
Hình 61: Malware query DNS teredo.ipv6.microsoft.com.....................................................2
Hình 62: Malware nhận trả lời từ việc query tên miền............................................................2
Hình 63: Malware nhận trả lời từ việc query tên miền............................................................2
Hình 64: Malware nhận trả lời từ việc query tên miền............................................................2
Hình 65: Kiểm tra Malware với Virus total.............................................................................2
Hình 66: Kết quả kiểm tra qua phần mềm anti Malware nổi tiếng..........................................2
Hình 67: Conficker thay đổi thuộc tính của Chrome...............................................................2
Hình 68: Web server hoạt động...............................................................................................2
Hình 69: Conficker lấy thơng tin từ web server......................................................................2
Hình 70: Conficker truy vấn các tên miền...............................................................................2
Hình 71: Wireshark bắt bản tin conficker truy vấn tên miền...................................................2
Hình 72: Conficker download các file từ các website.............................................................2
Hình 73: Giao diện cơng cụ Armitage.....................................................................................2
viii


ix

Hình 74: Sử dụng Trojan được lưu dưới dạng file exe............................................................2
Hình 75: Upload Trojan lên webserver...................................................................................2
Hình 76: Khởi động dịch vụ apache........................................................................................2
Hình 77: Chọn launch để khởi động dịch vụ...........................................................................2
Hình 78: Người dùng vơ tình cài Trojan lên máy tính của họ.................................................2
Hình 79: Kết nối được mở để hacker điều khiến máy tính của người dùng............................2
Hình 80: Thực hiện command trong cmd của máy tính người dùng.......................................2

Hình 81: Report hành vi của Trojan........................................................................................2
Hình 82: Wireshark capture bản tin do Trojan gửi..................................................................2

ix


x

MỞ ĐẦU

Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các
hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ
quan, tổ chức, doanh nghiệp chun về An ninh, an tồn thơng tin, hoạt động phát tán mã
độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt
Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại
hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính
như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn
tại dưới rất nhiều hình thức và có khả năng lây lan vơ cùng lớn.
Khơng dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới
hạn ở máy tính cá nhân mà cịn lây lan sang các thiết bị thông minh như smartphone. Với
tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông
minh hay máy tính cá nhân, vì vậy mơi trường hoạt động dành cho mã độc ngày càng rộng
lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng
cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn cơng về mã độc đang có chiều hướng
gia tăng với thủ đoạn ngày càng tinh vi.
Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc
phát tán mã độc trên hệ thống, các thiết bị thơng minh,… Luận văn đã tìm hiểu và nghiên
cứu về “Phương pháp phân tích động mã độc”. Mục tiêu của Luận văn gồm các nội dung
chính:


Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt
động, các hành vi của mã độc và phương thức lây nhiễm của chúng

Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. Các
phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh đó nghiên
cứu về các mơi trường và cơng cụ phân tích mã độc


Đề xuất quy trình và ứng dụng phân tích động mã độc trong thực tế.

Phạm vi ứng dụng của nghiên cứu
Nghiên cứu các kỹ thuật phân tích nhận diện mã độc chính cùng với hành vi của nó và áp
dụng các kỹ thuật này để thử nghiệm phân tích mã độc.
x


1

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC
Chương 1 tập trung nghiên cứu những khái niệm cơ bản về mã độc, các loại mã độc
hiện nay cũng như cách thức hoạt động và phương thức lây nhiễm mã độc phổ biến.
1.1. Tổng quan về mã độc
1.1.1. Khái niệm về mã độc
Theo quan điểm của Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National
Institute of Standart and Technology) về định nghĩa và phân loại trong lĩnh vực “Virus máy
tính”, mã độc (Malware) được định nghĩa là một chương trình được chèn một cách bí mật
vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn hoặc tính sẵn sàng của
hệ thống. Theo định nghĩa này mã độc bao hàm rất nhiều thể loại mà ở Việt Nam vẫn quen
gọi chung là Virus máy tính như Worm, Trojan, Spy-ware, … thậm chí là Virus hoặc các bộ
công cụ để tấn công hệ thống mà các hacker thường sử dụng như Backdoor, Rootkit, Keylogger.

1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới
Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến năm 2013, theo viện nghiên
cứu độc lập về an tồn thơng tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được
phát tán. Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng
trên tồn thế giới đã đặt ra nhiều vấn đề về an ninh thơng tin cho tồn bộ những người sử
dụng Internet trên toàn cầu.

1


2

Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST
Chủng loại mã độc cũng đa dạng và phong phú hơn về cả hành vi và mục đích phát
tán. Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tơn giáo và nhiều lĩnh vực
quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame và
Duqu, những Virus đánh cắp thơng tin mật của các hệ thống điện tốn khu vực Trung Đông.
Tại Việt Nam, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan,
doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia và đã xuất
hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc
mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận được email đã mở tập
tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Microsoft Office
(bao gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, mã độc này âm thầm
kiểm sốt tồn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển
máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để
ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.
2


3


Dưới đây là hình 2 mơ tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2012, Việt
Nam nằm trong danh sách 15 nước có tỉ lệ phát tán mã độc nhiều nhất thế giới,

Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới
Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn cơng của mã độc cũng có
nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chương trình diệt
Virus, sử dụng các hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống,.. Tuy nhiên các biện
pháp này chỉ phần nào ngăn chặn được các loại Virus đã được biết đến rộng rãi, còn các biến
thể mã độc hoặc các mã độc mới được sinh ra ngày càng nhiều thì hầu như vơ hình trước các
biện pháp bảo vệ trên.

Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV
3


4

Tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để có thể truy ra
nguồn phát tán mã độc và cập nhật nhanh nhất các dấu hiệu về mã độc cho các hệ thống bảo
vệ, thông thường các chuyên viên phải tiến hành phân tích hành vi mã độc bằng phương
pháp thủ công. Nhưng với số lượng mã độc ngày càng nhiều thì việc chỉ dùng phương pháp
phân tích thủ cơng sẽ khơng theo kịp tiến độ, do vậy đề tài này nghiên cứu xây dựng một hệ
thống tự động phân tích hành vi mã độc nhằm hỗ trợ cơng tác chun mơn, nhanh chóng
nhận diện và phát hiện hành vi của các loại mã độc mới xuất hiện để có biện pháp ứng cứu
sự cố theo đúng chức năng của VNCERT, đồng thời giúp rút ngắn thời gian phân tích mã
độc nhưng lại phân tích được nhiều mã độc hơn trước.
Theo thống kê của VNCERT và hiệp hội an tồn thơng tin Việt Nam, trong năm 2012
đã có tới 2.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tin tặc tấn công và
chiếm quyền điều khiển. Sau khi đã kiểm sốt thành cơng một hệ thống mạng hoặc website,

tin tặc thường sử dụng mã độc để duy trì sự điều khiển cũng như để dị tìm và tấn cơng qua
các hệ thống khác có liên quan đến mạng hiện tại. Bên cạnh đó mã độc cũng là công cụ để
phá hoại dữ liệu và đánh cắp thông tin cá nhân của người dùng, các công cụ diệt Virus phần
lớn thường không phát hiện hoặc phát hiện chậm các loại Virus mới xuất hiện.
1.2.

Phân loại mã độc

Trong tài liệu của NIST có một số khác biệt theo định nghĩa và cách hiểu thông
thường về Virus máy tính đang thơng dụng. Ngay trong tên của tài liệu đã nêu lên sự khác
biệt, các tác giả nói tới “Malware” chứ không sử dụng thuật ngữ “Virus”. Tại Việt Nam hiện
nay, thuật ngữ “Virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã
độc hại trên mạng, trong máy tính cá nhân.... Khi nói đến “Virus máy tính”, một cách rất tự
nhiên tất cả mọi người đều nghĩ Virus bao gồm cả Worm, Trojan, Keylogger. Trong khi theo
định nghĩa của NIST (và gần như là của cả cộng đồng IT) Virus, Worm, Trojan horse,
Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit,.... chỉ là một dạng của mã độc hại.
Sự khác biệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc
tế về an tồn thơng tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phịng chống Virus của
nước ngồi do khơng đồng nhất về định nghĩa. Phía Việt nam thơng báo “bị Virus tấn công”,
đối tác sẽ gửi lại một chỉ dẫn để quét tập tin bị nhiễm trên PC, nhưng thực chất đó là một
cuộc tấn cơng của Worm và phải phịng chống trên toàn bộ mạng. Do vậy phần này sẽ tập
trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng và mục đích
hoạt động khác nhau.
1.2.1. Virus máy tính
4


5

Trong khoa học máy tính, Virus máy tính (thường được người sử dụng gọi tắt là

Virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính
nó vào các đối tượng lây nhiễm khác (tập tin, ổ đĩa, máy tính,...).
Trước đây, Virus thường được viết bởi một số người am hiểu về lập trình muốn
chứng tỏ khả năng của mình nên thường Virus có các hành động phá hoại như làm chương
trình khơng hoạt động đúng như mong muốn, xóa dữ liệu, làm hỏng ổ cứng, ...
Những Virus mới được viết trong thời gian gần đây khơng cịn thực hiện các trị đùa
hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy
cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng, tài khoản, tài liệu mật…) mở
cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác
nhằm có lợi cho người phát tán Virus.
Chiếm trên 90% số Virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều
hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới.
Do tính thơng dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều
hơn là các hệ điều hành khác. Ngày nay ngồi những mẫu Virus thơng thường thì đã xuất
hiện những biến thể Virus khác với các kỹ thuật tinh vi hơn cụ thể là Virus đa hình
(polymorphic) và siêu đa hình (meta-polymorphic).

Hình 4: Virus đính kèm trong các tập tin thực thi
Virus đa hình khác với các loại Virus thông thường ở chỗ Virus thông thường luôn
giữ nguyên mã lệnh của mình, chính vì vậy chúng dễ dàng bị phát hiện bởi các phần mềm
5


6

diệt Virus. Nhưng Virus đa hình có khả năng tự động biến đổi mã lệnh và tạo ra các dạng mã
độc khác nhau (sử dụng thuật toán dựa trên thời gian và đối tượng lây nhiễm) trong mỗi lần
lây nhiễm. Khả năng này giúp cho Virus đa hình có thể lẩn tránh khỏi sự truy quét của các
phần mềm diệt Virus. Virus siêu đa hình là thế hệ cao hơn của Virus đa hình, chúng cao cấp
hơn ở chỗ hình thức lai tạo và kết hợp nhiều kiểu đa hình khác nhau. Khi lây nhiễm chúng sẽ

tự động biến đổi, lai tạp và hình thành các thế hệ Virus con từ F1…Fn. Sau mỗi lần lai tạp
thì khả năng phát hiện ra chúng càng khó khăn, chính vì vậy Virus siêu đa hình hầu hết qua
mắt được các phần mềm diệt Virus khơng có cơ chế qt sâu và dẫn tới việc quét Virus
không triệt để. Một số Virus siêu đa hình như Vetor, Sality…
1.2.2. Sâu máy tính
Sâu máy tính (Worm): cũng là một dạng mã độc nhưng có khả năng tự nhân bản, tự
tấn cơng và tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử và
các lỗ hổng trong hệ điều hành). Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị
nhiễm, nhiệm vụ chính của Worm là phá các mạng thông tin, làm giảm khả năng hoạt động
hoặc có thể được dùng để đánh cắp thơng tin nhạy cảm từ các mạng này.
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng
bất kì hệ điều hành UNIX nào trên Internet. Trong năm 2001, sâu mật mã đỏ xuất hiện và
tấn công vào các máy Windows để khai thác lỗ hổng trên máy chủ web IIS, sâu này đã tạo ra
một kỷ lục về tốc độ lây lan khi chỉ trong một ngày 19-07-2001 đã có hơn 359.000 máy tính
bị nhiễm.

Hình 5: Mô tả mức độ lây lan của sâu mật mã đỏ năm 2001
1.2.3. Trojan hourse
6


7

Trojan Horse, đây là loại chương trình cũng có tác hại tương tự như Virus máy tính
chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư
điện tử hoặc thông qua các phần mềm miễn phí có đính kèm Trojan. Thơng thường, tính
năng chính của Trojan là nhắm đến những nhóm người dùng riêng để thu thập thơng tin về
hành vi và thói quen sử dụng internet của họ sau đó gửi các thơng tin này về cho tin tặc. Để
trừ loại này người dùng chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên,
khơng có nghĩa là khơng thể có hai con Trojan horse trên cùng một hệ thống. Chính những

kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con
trước khi phát tán lên mạng. Đây cũng là loại mã độc cực kỳ nguy hiểm, nó có thể hủy ổ
cứng, hủy dữ liệu.

Hình 6: Trojan ẩn mình trong các phần mềm miễn phí
1.2.4. Phần mềm gián điệp (Spyware)
Spyware hay cịn gọi phần mềm gián điệp là một dạng mã độc nhằm theo dõi những
hoạt động của người dùng và gửi dữ liệu tới người điều khiển chúng để phục vụ cho mục
đích riêng của họ. Ví dụ, những người của những công ty Marketing cố gắng thu thập những
tin tức về người dùng để hỗ trợ cho việc bán hàng được tốt hơn. Ngày nay phần mềm gián
điệp còn được các cơng ty hay tổ chức chính phủ sử dụng để theo dõi người dùng thông qua
việc nghe lén các cuộc điện đàm hoặc các cuộc hội thảo truyền hình. Spyware thường được
cài đặt bí mật vào máy người dùng trong khi họ mở một tập tin văn bản hoặc cài đặt một ứng
7


8

dụng miễn phí nào đó. Nhiều chương trình Spyware có thể làm chậm kết nối Internet bằng
cách chiếm băng thông đường truyền mạng. Chúng cũng có thể làm cho máy tính của nạn
nhân bị chậm đi vì chiếm tài ngun như RAM và chu kỳ làm việc của CPU.

Hình 7: Hoạt động của người dùng Spyware ghi lại
1.2.5. Phần mềm tống tiền (Scareware)
Phần mềm tống tiền hay còn gọi Scareware là loại phần mềm giả danh một tổ chức
chính phủ và sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân, chẳng
hạn như khóa máy tính người dùng lại và địi tiền chuộc thì mới cho sử dụng lại.

8



9

Hình 8: Scareware mạo danh FBI tống tiền người dùng
1.2.6. Phần mềm quảng cáo
Phần mềm quảng cáo hay còn gọi Adware thường đính kèm với những mẩu quảng
cáo nhỏ, chúng thường được phân phát dưới hình thức phần mềm miễn phí hay phiên bản
dùng thử. Và chỉ khi bạn trả tiền cho sản phẩm dùng thử đó, các quảng cáo sẽ biến mất tùy
theo chính sách của hãng phần mềm đó. Tuy nhiên, phần mềm gián điệp cũng là một trong
các "biến thể" của phần mềm quảng cáo, chúng đuợc bí mật cài vào máy tính người sử dụng
khi họ đang duyệt web nhằm thu thập thông tin về hành vi duyệt web của người dùng để gửi
đến họ những mẫu quảng cáo thích hợp. Ngày nay bắt đầu xuất hiện nhiều những phần mềm
quảng cáo đính kèm Virus máy tính, sâu hoặc Trojan horse,… có thể gây tổn hại nghiêm
trọng cho một hoặc một hệ thống máy tính.
1.2.7. Downloader
Downloader là một dạng mã độc dùng để tải các mã độc khác về máy người dùng. Để
tải về được các mã độc, Downloader cần kết nối đến một máy chủ chứa mã độc, điều này
khác với thuật ngữ dropper là loại mã độc có chứa sẵn mã độc bên trong nó.
1.2.8. Backdoor
Backdoor là các đoạn mã độc được gài lên máy nạn nhân cho phép tin tặc kết nối để
điều khiển máy tính nạn nhân. Backdoor cho phép kẻ tấn công kết nối đến máy nạn nhân mà
9



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×