Bài Báo Cáo Cuối Kỳ Môn An Toàn Và An Ninh Mạng Chủ Đề Malware.pdf

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.03 MB, 26 trang )

Trang 1<div class="page_container" data-page="1">

Đại học Quốc gia Hà NộiTrường Đại học Cơng Nghệ

Bài báo cáo cuối kỳMơn: An tồn và an ninh mạng

Chủ đề: MalwareSinh viên thực hiện: Phan Văn CơMã sinh viên: 19020235

Lớp: INT3307 2

</div>Trang 2<div class="page_container" data-page="2">

Mục Lục

Lời nói đầu...1

I.Giới thiệu về Malware...2

II.Lịch sử của Malware...2

Lịch sử của phần mềm độc hại - những năm đầu...2

Lịch sử của phần mềm độc hại - Bộ công cụ và tỷ lệ lây nhiễm đáng kinh ngạc...3

Lịch sử của phần mềm độc hại - Nhà nước tài trợ, tinh vi và có lợi nhuận...4

Lịch sử của phần mềm độc hại - Đây mới chỉ là bước khởi đầu?...5

III.Phát triển của Malware...5

1. Nhu cầu phát triển...5

VI.Phân tích Malware...10

1. Khái niệm cơ bản...10

1.1.Mục tiêu của việc phân tích malware...10

1.2.Các kĩ thuật phân tích malware...10

1.3.Những nguyên tắc cơ bản để phân tích malware...11

2. Kĩ thuật phân tích tĩnh cơ bản...11

2.1.Cơng cụ quét malware...11

2.2.Hashing, dấu vân tay của malware...12

</div>Trang 3<div class="page_container" data-page="3">

2.3.Nội dụng file...12

2.4.Tìm kiếm chuỗi kí tự (String)...13

2.5.Kỹ thuật packing và obfuscation...14

2.6.Định dạng file thực thi Portable Executable (PE File)...14

2.7.Các header và section PE file...15

2.8.Tổng kết...15

3. Phân tích động cơ bản...15

3.1.Sandbox: Tiếp cận nhanh và đơn giản...16

3.2.Chạy mã độc...16

3.3.Giám sát các tiến trình sử dụng Process Monitor...16

3.4.Giám sát thay đổi hệ thống file và registry...17

4. Tổng kết...17

VII. Demo malware...17

Demo mã độc từ file word thơng qua CVE-2017-11882...18

Giải quyết tồn diện CVE-2017-11882...21

VIII.Phòng chống malware...22

Tài liệu tham khảo...22

</div>Trang 4<div class="page_container" data-page="4">

Lời nói đầu

Đại dịch COVID-19 đã tạo ra những thách thức mới cho con người và các doanh nghiệp khi họ thích ứng với một mơ hình hoạt động trong đó làm việc tại nhà đã trở thành ‘điều bình thường mới’. Các công ty đang tăng tốc chuyển đổi kỹ thuật số và an ninh mạng hiện là mối quan tâm lớn. Các hạn chế do chính phủ đưa ra để đối phó với đại dịch đã khuyến khích người dân làm việc tại nhà, và thậm chí ‘ở nhà’. Từ đó người đã phải làm việc tại nhà, mua bán, giao dịch và thực hiện học trực tuyến từ xa do dịch bệnh. Yêu cầu đối với những người này bao gồm máy tính, Internet, phần mềm tường lửa, camera,… Các cuộc họp có thể được tiến hành thơng qua hội nghị truyền hình. Mặc dù các cuộc gọi có thể được mã hóa để bảo mật, nhưng 19 đã tạo ra những thách thức mới trong an ninh mạng. Làm việc và học tập tại nhà do COVID-19 khiến việc sử dụng Internet tăng lên, lôi kéo nhiều người dành nhiều thời gian trực tuyến và tạo ra nhiều cơ hội hơn cho tội phạm mạng. Các mối đe dọa an ninh mạng chết người bao gồm phần mềm độc hại, email spam, trang web độc hại, ransomware, miền độc hại, tấn công DDoS, xâm nhập email doanh nghiệp, nhắn tin truyền thông xã hội độc hại, v.v.. . Sự phát triển của việc sử dụng CNTT-TT phải tuân theo các yêu cầu bảo mật. Các yếu tố liên quan đến bảo mật bao gồm nhận thức của nhân viên về bảo mật TT, các hoạt động liên quan đến bảo mật CNTT-TT, các chính sách liên quan đến bảo mật CNTT-CNTT-TT, v.v.

Tấn cơng mạng gây ra hậu quả vô cùng nặng nề cho các tổ chức, doanh nghiệp là nạn nhân của chúng. Có nhiều hình thức tấn cơng mạng phổ biến hiện nay như tấn công giả mạo (Phishing Attack), tấn công trung gian (Man in the middle attack), tấn công từ chối dịch vụ (DoS & DDoS), tấn công cơ sở dữ liệu (SQL Injection).vv.. Nhưng mức độ nguy hiểm và số lượng ảnh hưởng lớn nhất chính là tấn cơng mạng bằng phần mềm độc hại Malware. Hàng triệu người sẽ trở thành nạn nhân của một số mối đe dọa phần mềm độc hại trong bất kỳ năm nào, bạn và nhân viên của bạn cũng không ngoại lệ. Nhưng ít ai biết chính xác phần mềm độc hại là gì hoặc điều gì xảy ra tiếp theo. Phần mềm độc hại có thể lấy mật khẩu khơng? Xóa chương trình và tệp? Nó thực sự ảnh hưởng đến công việc kinh doanh hay cuộc sống của bạn như thế nào?

Malware hoạt động theo nhiều cách khác nhau và các loại khác nhau có các khả năng khác nhau. Và bài báo cáo này để hướng dẫn bạn malware là gì, cách malware ảnh hưởng đến máy tính của bạn, cách thức hoạt động, triệu chứng và cách bạn có thể giữ cho bản thân và doanh nghiệp của mình an tồn và tránh những tác hại mà malware mang lại.

Bài báo này bao gồm có (8) phần :

- Phần I: Các khái niệm về malware và những tác động của nó - Phần II: Q trình phát triển của malware trong lịch sử - Phần III: Quá trình xây dựng một malware

- Phần IV: Phân loại malware - Phần V: Tấn cơng có chủ đích (APT) - Phần VI: Một số cách phân tích malware - Phần VII: Thực hiện demo malware

- Phần VIII: Nâng cao nhận thức và một số cách phòng chống malware

</div>Trang 5<div class="page_container" data-page="5">

I.Giới thiệu về Malware

Malware hay còn gọi là mã độc được viết tắt từ “malicious” và “software”. Thuật ngữ này đề cập đế phần mềm đó được triển khai với mục đích xấu như tấn công hệ thống, đánh cắp thông tin, hay xâm nhập vào hệ thống,… Malware dễ dàng được triển khai từ xa và để theo dõi và tìm kiếm ra nguồn gốc của malware là rất khó. Sự kết hợp này đã cho phép các nhà cung cấp malware thương mại cung cấp cho thị trường chợ đen các malware và các thơng tin mà nó khai thác được từ các nạn nhân. Nhu cầu về malware chủ yêu là từ các tổ chức tội phạm và các điệp viên gián điệp mà do nhà nước bảo trợ. Ngành dịch vụ tài chính như bảo hiểm, ngân hàng,… là mục tiêu chính cho các cuộc tấn cơng có sử dụng malware, ngồi những tổ chức tài chính thì những người dùng bình thường cũng bị các hacker tấn cơng nhằm mục đích chiếm đoạn tài sản hoặc tống tiền với lượng lớn người dùng. Một số tài nguyên malware thường khai thác đó là:

Dữ liệu

Đây là mỏ vàng thực sự của tin tặc. Dữ liệu trên máy tính cịn cso giá trị hơn nhiều chiếc máy tính đó. Từ những dữ liệu cá nhân như

- Thông tin đăng nhập, tài khoản: sử dụng để đánh cắp tiền, mạo danh.

- Tên, tuổi, địa chỉ email, số điện thoại, lịch sử duyệt web: bán cho các bên làm quảng cáo.

- Tài liệu làm việc, ảnh, video: mã hóa để yêu cầu tiền chuộc.

- Tài sản trí tuệ như mã nguồn chương trình, bản thiết kế, ý tưởng kinh doanh.

Hoạt động người dùng

Đặt quảng cáo hoặc chuyển hướng người dùng đến những trang quảng cáo để thu phí quảng cáo.

Khả năng tính tốn và kết nối

Máy tính là một cỗ máy điện tốn, có kết nối mạng thậm chí là cấu hình mạnh với kết nối băng thơng rộng. Khi chiếm được quyền điều khiển tin tặc hồn tồn có thể sử dụng để thực hiện những tác vụ đòi hỏi tính tốn như đào bitcoin, tấn cơng DdoS. Nếu đó là máy server cung cấp dịch vụ thì khả năng khai thác còn lớn hơn rất nhiều.

Để hiểu hơn về sự mạnh mẽ của malware chúng ta sẽ đi vào lịch sử của sự phát triển nó.

II.Lịch sử của Malware

Theo bài báo của lastline về lịch sử của phần mềm độc hại cho chúng ta thấy rằng mối đe dọa độc hại này đã ở với chúng ta kể từ buổi bình minh của chính máy tính.

Lịch sử của phần mềm độc hại - những năm đầu

Malware ban đầu là sơ khai, thường lây lan hồn tồn ngoại tuyến thơng qua đĩa mềm do bàn tay con người mang từ máy tính này sang máy khác. Khi mạng và internet phát triển, các tác giả phát triển malware đã nhanh chóng thích nghi với mã độc của họ và tận dụng lợi thế của phương tiện giao tiếp mới.

</div>Trang 6<div class="page_container" data-page="6">

Dưới đây là danh sách đại diện về một số phiên bản đầu tiên quan trọng của phần mềm độc hại và cách chúng tác động đến thế giới:

- 1971 Creeper: Một thí nghiệm được thiết kế để kiểm tra cách một chương trình có thể di chuyển giữa các máy tính.

- 1974 - Wabbit: Một chương trình tự sao chép đã tạo nhiều bản sao của chính nó trên một máy tính cho đến khi nó làm hỏng hệ thống đến mức hiệu suất hệ thống bị giảm và cuối cùng bị treo. Các nhà nghiên cứu đặt tên cho loại virus này là "wabbit" (thỏ) vì tốc độ nhân rộng của nó.

- 1982 - Elk Cloner: Được viết bởi một thanh niên 15 tuổi, Elk Cloner là một trong những loại virus tự nhân bản, lan rộng sớm nhất và ảnh hưởng đến máy tính cá nhân. Elk Cloner đã hiển thị một bài thơ nhỏ thân thiện trên hệ thống bị nhiễm: " It will get on all your disks; It will infiltrate your chips; Yes, it’s Cloner!"

- 1988 - Morris Worm: Loại sâu này đã lây nhiễm phần trăm đáng kể các máy tính được kết nối với ARPANET, tiền thân của Internet, về cơ bản khiến mạng phải hoạt động trong vòng 24 giờ. Việc phát hành nó đã đánh dấu một bình minh mới cho phần mềm độc hại. Tác giả Robert Morris đã trở thành tác giả phần mềm độc hại đầu tiên bị kết án vì tội ác của mình.

- 1991 - Virus Michelangelo: Nó được đặt tên như vậy vì loại virus này được thiết kế để xóa thơng tin khỏi ổ cứng vào ngày 6 tháng 3, ngày sinh của nghệ sĩ nổi tiếng thời Phục hưng. Virus này đang là tâm điểm của một cơn bão truyền thơng với các phóng viên hoảng sợ tun bố rằng nó đã lây nhiễm sang hàng triệu máy tính và thế giới sẽ phải chứng kiến hậu quả thảm khốc vào ngày 6 tháng 3. Trên thực tế, virus chỉ ảnh hưởng đến khoảng 10.000 hệ thống, nhưng sự cường điệu hóa đã nâng cao đáng kể nhận thức của cộng đồng về virus máy tính.

- 1999 - Virus Melissa: Thường được thừa nhận là virus gửi email hàng loạt đầu tiên, Melissa sử dụng sổ địa chỉ Outlook từ các máy bị nhiễm và tự gửi thư cho 50 người cùng một lúc.

Lịch sử của phần mềm độc hại - Bộ công cụ và tỷ lệ lây nhiễm đáng kinh ngạc

Từ năm 2000 đến năm 2010, phần mềm độc hại đã phát triển đáng kể, cả về số lượng và tốc độ lây lan của sự lây nhiễm. Vào đầu thiên niên kỷ mới, Internet và worm email đã trở thành tiêu đề trên tồn cầu. Sau đó, sự gia tăng đáng kể trong các bộ công cụ malware, bao gồm cả bộ rootkit nổi tiếng hiện nay của Sony, công cụ hỗ trợ các tác giả phần mềm độc hại bao gồm rootkit trong hầu hết các phần mềm độc hại hiện đại. Các bộ phần mềm tội phạm nhắm mục tiêu cụ thể vào các trang web cũng trở nên phổ biến và số lượng các trang web bị xâm nhập cũng tăng theo.

Dưới đây là tóm tắt về một số phần mềm độc hại quan trọng được phát hành từ năm 2000 đến năm 2010:

- 2000 - ILOVEYOU Worm: Phát tán qua một email được gửi với dịng tiêu đề có vẻ lành tính, "ILOVEYOU", loại sâu này đã lây nhiễm ước tính 50 triệu máy tính. Các thiệt hại khiến các tập đồn lớn và các cơ quan chính phủ, bao gồm cả các bộ phận

</div>Trang 7<div class="page_container" data-page="7">

của Lầu Năm Góc và Quốc hội Anh, phải đóng cửa các máy chủ email của họ. Loại sâu này lây lan toàn cầu và gây thiệt hại hơn 5,5 tỷ USD.

- 2003 - SQL Slammer Worm: Một trong những loại sâu lây lan nhanh nhất mọi thời đại, SQL Slammer đã lây nhiễm gần 75.000 máy tính trong vịng 10 phút. Con sâu này đã gây ra ảnh hưởng lớn trên toàn cầu, làm chậm lưu lượng truy cập Internet trên toàn thế giới do từ chối dịch vụ (DDoS).

- 2004 - Virus Cabir: Mặc dù loại virus này ít gây ra thiệt hại, nhưng nó rất đáng chú ý vì nó được nhiều người thừa nhận là loại virus đầu tiên trên điện thoại di động. - 2005 - Virus Koobface: Một trong những trường hợp phần mềm độc hại đầu tiên lây

nhiễm vào PC và sau đó lan truyền đến các trang mạng xã hội. Nếu bạn sắp xếp lại các chữ cái trong "Koobface", bạn sẽ có "Facebook". Virus cũng nhắm mục tiêu vào các mạng xã hội khác như MySpace và Twitter.

- 2008 - Conficker Worm: Là sự kết hợp của từ "config" và "ficker", loại sâu phức tạp này đã gây ra một số thiệt hại tồi tệ nhất kể từ khi Slammer xuất hiện vào năm 2003.

Lịch sử của phần mềm độc hại - Nhà nước tài trợ, tinh vi và có lợi nhuận

Từ năm 2010 đến thời điểm hiện tại, một lần nữa chúng ta đã quan sát thấy sự tiến hóa đáng kể về mức độ phức tạp của phần mềm độc hại. Tội phạm có tổ chức và các nhà tài trợ nhà nước đã nâng cao trò chơi một cách đáng kể với các nhóm phát triển lớn, được tài trợ tốt. Ngày nay, những nhóm làm việc độc hại này tiếp tục phát triển, phát triển malware tiên tiến với các chiến thuật trốn tránh vượt trội hơn nhiều hệ thống chống malware thông thường. Việc xâm nhập vào các nhà máy và hệ thống quân sự đã trở thành một thực tế phổ biến và việc kiếm tiền từ phần mềm độc hại đã phát triển nhanh chóng cùng với sự phát triển mạnh mẽ của ransomware và các âm mưu bất hợp pháp khác.

Dưới đây là một số loại phần mềm độc hại đáng chú ý đã có tác động lớn từ năm 2010 đến nay:

- 2010 - Stuxnet Worm: Ngay sau khi phát hành, các nhà phân tích bảo mật đã cơng khai suy đốn rằng mã độc này được thiết kế với mục đích rõ ràng là tấn cơng chương trình hạt nhân của Iran và có khả năng tác động đến phần cứng cũng như phần mềm. Loại sâu này cực kỳ tinh vi được cho là thành quả của tồn bộ nhóm các nhà phát triển, khiến nó trở thành một trong những phần mềm độc hại tiêu tốn nhiều tài nguyên nhất được tạo ra cho đến nay.

- 2011 - Zeus Trojan: Mặc dù được phát hiện lần đầu tiên vào năm 2007, tác giả của Zeus Trojan đã phát hành mã nguồn ra công chúng vào năm 2011, mang đến cho malware một sức sống mới. Đôi khi được gọi là Zbot, Trojan này đã trở thành một trong những phần mềm botnet thành công nhất trên thế giới, ảnh hưởng đến hàng triệu máy. Nó thường được sử dụng để đánh cắp thông tin ngân hàng bằng cách ghi nhật ký tổ hợp phím trong trình duyệt và lấy mẫu.

- 2013 - Cryptolocker: Một trong nhiều chương trình ransomware ban đầu, Cryptolocker đã có tác động đáng kể trên toàn cầu và giúp thúc đẩy kỷ nguyên ransomware.

</div>Trang 8<div class="page_container" data-page="8">

2014 - Backoff: Phần mềm độc hại được thiết kế để xâm nhập hệ thống Điểm bán hàng (POS) để lấy cắp dữ liệu thẻ tín dụng.

- 2016 - Cerber: Một trong những kẻ đứng đầu trong lĩnh vực ransomware. Đây cũng là một trong những mối đe dọa về phần mềm độc hại tiền điện tử phổ biến nhất. Có thời điểm, Microsoft phát hiện nhiều PC doanh nghiệp bị nhiễm Cerber hơn bất kỳ dòng ransomware nào khác.

- 2017 - WannaCry Ransomware: Khai thác lỗ hổng lần đầu tiên được Cơ quan An ninh Quốc gia phát hiện, WannaCry Ransomware đã khiến các hệ thống máy tính lớn ở Nga, Trung Quốc, Anh và Mỹ phải quỳ gối, khóa dữ liệu của mọi người và yêu cầu họ trả tiền chuộc hoặc mất tất cả. Virus đã ảnh hưởng đến ít nhất 150 quốc gia, bao gồm bệnh viện, ngân hàng, công ty viễn thông, kho hàng và nhiều ngành công nghiệp khác.

Lịch sử của phần mềm độc hại - Đây mới chỉ là bước khởi đầu?

Báo cáo vừa được Mạng lưới Chống tội phạm tài chính (FinCEN), Bộ Tài chính Mỹ, cơng bố ngày 15/10 cho thấy chỉ riêng trong sáu tháng đầu năm nay, tổng số tiền các nạn nhân phải trả liên quan đến các vụ tấn công tống tiền bằng mã độc (ransomware) đã lên tới 590 triệu USD, và cho rằng nếu xu hướng hiện nay vẫn duy trì, số tiền mà tin tặc có được trong năm 2021 có thể cao hơn tổng số tiền trong các vụ tấn công của 10 năm. Không chỉ riêng Hoa Kỳ Việt Nam trong những năm gần đây đang đối mặt với nhiều thách thức nguy cơ an ninh an tồn thơng tin đến từ không gian mạng. Theo Global Cybersecurity Index 2020 về chỉ số An tồn khơng gian mạng tồn cầu, Việt Nam đứng thứ 25/194 quốc gia.

Trong khi ngành công nghiệp an ninh mạng đang ráo riết làm việc để kiểm soát phần mềm độc hại và thành công trên nhiều phương diện, tội phạm mạng khơng có dấu hiệu thất bại, thậm chí cịn chậm lại. Khi tội phạm mạng bị cản trở ở một khu vực, chúng sẽ nhanh chóng phát triển các chiến thuật mới và tấn công ở khu vực khác. Để báo trước cho những gì có thể xảy ra trong tương lai gần, hãy chờ đợi thêm các hướng tấn cơng bằng malware và điều gì sẽ xảy ra trong năm 2022 .Ở những phần tiếp theo chúng ta sẽ tìm hiểu thêm về một malware sẽ được tạo ra như thế nào.

III.Phát triển của Malware

Quá trình phát triển phần mềm gồm 6 pha cơ bản và malware bản chất là một phần mềm do đó cũng được phát triển tương tự như vậy, chúng ta sẽ tìm hiểu 6 pha cơ bản đó lần lượt là.

1. Nhu cầu phát triển

Mọi sản phẩm đều được phát triển dựa vào nhu cầu của thị trường.

Phần mềm có thể được phát triển dựa vào nhìn nhận thị trường từ một công ty nên họ làm ra sản phẩm và bán nó dưới bản quyền sử dụng. Hoặc cũng có thể từ một doanh nghiệp họ có nhu cầu và họ đặt hàng cho một công ty phát triển phần mềm thực hiện thay cho họ. Malware cũng như vậy, có thể một nhóm tin tặc tự phát triển phục vụ riêng cho nhu cầu tấn công của riêng mình. Hoặc cũng có thể từ một cá nhân hoặc một tổ chức nào đó đặt hàng để phát triển cho nhu cầu của họ. Và hiện nay xu hướng Outsourcing (thuê hoặc mua các dịch vụ từ bên

</div>Trang 9<div class="page_container" data-page="9">

ngoài khi mà cá nhân hay doanh nghiệp khơng thể tự xây dựng hay chưa có nhu cầu tự xây dựng) đang phát triển, vì thế ngành cơng nghiệp malware ngày càng trở trên rộng rãi, có những nhóm chỉ chuyên phát triển malware và bán những malware đó, và những cá nhân tổ chức khác (thường là các tội phạm mạng) sẽ chỉ mua sản phẩm có sẵn và mang về sử dụng. Và cũng có một số loại malware không thể đặt hàng mà người sử dụng phải tự phát triển nó.

Có một số ngoại lệ là những phần mềm, mã nguồn miễn phí, mã nguồn mở. Những lập trình viên dành thời gian rảnh để phát triển chúng cho công đồng và phát hành miễn phí. Một số lập trình viên cịn cơng bố cả mã nguồn mở (source code) để những người dùng khác có thể tùy chỉnh và phát triển thêm để phù hợp với mục đích sử dụng. Vì thế có nhiều mã nguồn của malware được phát hiện trên internet, nhưng chúng thường đã cũ và chỉ phục vụ cho mục đích học tập.

2. Thiết kế

Tại bước này, các mơ hình tổng thể về phần mềm sẽ được đưa ra. Ngồi ra, các tính năng và thiết kế cơ sở dữ liệu cũng sẽ được đề cập đến. Đây là giai đoạn quan trọng trong phát triển phần mềm. Và bản chất của của malware là một phần mềm nên nó cũng tương tự ở bước này. Và bước này cũng là quan trọng nhất, nó định hình nên tồn bộ chức năng thành phân của phần mềm.

3. Lập trình

Có hai vấn đề quan trọng của bước này là môi trường hoạt động và ngơn ngữ lập trình. Khi chúng ta nhắc đến malware trên Linux, MacOS hay iOS không phải là vấn đề về về mặt kỹ thuật mà quan trọng là vấn đề về kinh tế. Không phải Linux hay MacOS bảo mật hơn, khó tấn cơng hơn,… mà là tin tặc không thấy lợi nhuận từ những người dùng trên nền tảng đó. Nếu cần thì phát triển malware trên Linux sẽ khơng khó hơn trên Windows. Cơ bản vì ai sẽ bỏ ra tài nguyên của mình như tiền, thời gian, cơng sức để viết malware cho những nên tảng như Linux. Như Moore giải thích: "Linux là hệ điều hành an tồn nhất, nhưng địi hỏi người dùng phải có kinh nghiệm". Vì vậy hệ điều hành này không phải dành cho tất cả người dùng. Và khi mà số lượng người dùng và máy chủ khơng nhiều vì thế mà nguồn lợi mà tin tặc có thể lấy được sẽ rất thấp và là mã nguồn mở nên sẽ được khắc phục nhanh chóng. Đối với Mac OS thì được coi là hệ điều hành an tồn, có rất ít lỗ hổng bảo mật, nhưng trong những năm gần đây chúng ta có thể thấy hacker đang dần chuyển sang thực hiện thêm các cuộc tấn cơng trên hệ điều hành này. Cịn về Windows là hệ điều hành phổ biến, nhưng để đánh giá nó là hệ điều hành an tồn hay khơng còn phụ thuộc vào nhiều yếu tố khác. Theo Troy Wilkinson, Giám đốc điều hành Axiom Cyber Solutions, giải thích: "Windows luôn bao gồm các tùy chọn bảo mật. Lý do chủ yếu là số lượng người dùng Windows khá đông, các hacker nhắm đến hệ điều hành này nhiều nhất". Các cuộc tấn công hệ điều hành Windows phổ biến nhất phải kể đến Melissa, WannaCry, và phần lớn các cuộc tấn công phần mềm độc hại khác cũng nhắm mục tiêu vào Windows.

Và vấn đề thứ hai là ngơn ngữ lập trình. Phần lớn các hệ điều hành cung cấp giao diện lập trình bằng ngơn ngữ C/C++. Malware với nhu cầu hoạt động cần che dấu nên phải hoạt động

</div>Trang 10<div class="page_container" data-page="10">

nhanh, nhẹ, và kiểm soát được tài nguyên nên thường được viết bằng C/C++ để có thể tương tác trực tiếp với hệ điều hành. Và malware không chỉ được viết bằng mỗi C/C++ mà hồn tồn có thể được viết bằng ngơn ngữ khác như Java, Javascript, VBScript,… và với ở mức độ cơ bản thì khác biệt ngơn ngữ là khơng đáng kể.

4. Kiểm thử

Kiểm thử là giai đoạn để đảm bảo rằng phần mềm viết ra hoạt động đúng với chức năng yêu cầu và không phát sinh lỗi.

Với malware thì chức năng quan trọng nhất cần phải đạt được đó là khơng bị phát hiện bới các phần mềm quét malware, untivirus. Vì hiện nay các phần mềm antivirus rất phổ biến, và gần như người dùng nào cũng cài một phần mềm antivirus. Và trong thế giới của các tin tặc có rất nhiều cơng cụ để thực hiển kiểm tra việc này. Những cơng cụ đó có thể là một hay nhiều các công cụ được kết hợp lại với nhau và đặc biệt là không gửi những mẫu malware đó cho các nhà phát triển.

5. Triển khai

Quá tình phát tán, lây nhiễm malware cũng được thực hiện một cách rất kĩ lưỡng, có nhiều cách phát tán malware tới nạn nhân và trong thời đại Internet thì phát tán qua mạng là phương pháp nhanh nhất, đó có thể là gửi mail đính kèm malware, đường link tới website chưa malware hay thậm chí tin tặc còn đặt những banner quảng cáo để dụ người dùng mở liên kết độc hại.

6. Bảo trì

Vì phần mềm cần phải bảo trì để sửa lỗi phát sinh, nâng cấp giao diện, vì thế với Malware cũng cần phải có. Và nguyên nhân quan trọng nhất của malware đó là khi bị các trình qt malware, untivirus phát hiện thì khổng chỉ thay đổi mẫu malware đó mà phải thay đổi cả thuật toán, tên miên liên kết,vvv.

Tuy được tạo ra từ một mơ hình qua các bước nhưng bản chất của mỗi malware lại có mỗi hành vi và chức năng khác nhau. Cụ thể hơn chúng ta sẽ đi vào phần tiếp theo, phân loại và cách thức lây lan của malware

IV.Phân loại malware và cách thức lây lan

Việc phân loại thành những dòng malware khác nhau sẽ cho một cái nhìn cơ bản về hành vi của loại malware đó làm cho việc tìm hiểu về malware trở nên dễ dàng hơn.

Hiện tại chưa có một tiểu chuẩn chung nào về việc phân loại malware. Những công ty phát triển phần mềm quét malware thường có những cách phân loại của riêng mình, cũng như có rất nhiều tài liệu nnnphân loại theo những cách khác nhau. Nhưng về cơ bản thì malware được phân thành virus, worm, trojan dựa trên hnahf vi của chúng trên máy tính của người dùng.

1. Virus

</div>Trang 11<div class="page_container" data-page="11">

Đây là thuật ngữ xuất hiện đầu tiên về malware trên máy tính. Từ những giai đoạn đầu phát triển của malware trong những năm 1980.

Virus máy tính là thuật ngữ được lấy từ virus sinh học. Cũng như vius sinh học , virus máy tính không tồn tại thành một thực thể độc lập, một file độc lập mà nó sẽ bám vào một file thực thể, một file nào đó. Q trình lây nhiễm sẽ từ file này sang file khác , khi file bị nhiễm virus chuyển từ máy bị nhiễm sang máy sạch thì một tiến trình lây nhiễm mới được lặp lại. Trong giai đoạn internet chưa phổ biến như những năm đó thì đây gần như là cách lây nhiễm duy nhất.

Hiện nay có nhiều người, khơng chỉ là người dùng bình thường mà cả những người làm về cơng nghệ thông tin thường sử dụng sai thuật ngữ virus để chỉ malware. Thực tế thì virus chỉ là một loại malware.

2. Worm

Worm là sâu mà sâu thì tự bị được. Worm dùng để chỉ những malware tồn tại một cách độc lập, một file đọc lập nhưng nó vẫn có khả năng tạo những bản sao của chính nó vào vị trí cần thiết để tiến hành lây nhiễm. Đơn giản nhất là tạo một bản sao vào các thiết bị lưu trữ ngoài (như USB), thư mục chia sẻ trong LAN rồi từ đó lây nhiễm sang các máy khác.

3. Trojan

Trojan tồn tại đọc lập, là một file độc lập, khơng có khả năng lây nhiễm. Thơng thường trojan sẽ lừa người dùng mở nó bằng các kĩ thuật social engineering như đặt những biểu tượng giông thư mục, file văn bản, file hình ảnh, đặt tên liên quan tới người dùng như “Baocaotaichinh.docx”, “Thongtinyte.docx”

Do không được thiết kể để lây nhiễm nên trojan có thể được phát tán trực tiếp qua email, đường link, được các loại malware tải về, hoặc được virus và worm mang theo.

Ở mức cụ thể, chi tiết hơn, trojan có thể được phân chia thành một số loại như sau: - Backdoor: Lắng nghe những kết nối từ bên ngoài và thực hiện những lệnh nào đó để

thực hiện việc kết nối từ xa vào máy tính.

- Banker: Được thiết kế để chun ăn cắp những thơng tin thanh tốn trực tuyến, dữ liệu giao dịch.

- Downloader: Tải về và chạy một malware mới trên máy tính. Với downloader thì việc phát tán malware trở nên linh hoạt hơn, khi muốn chỉ cần thay thế file malware tương ứng trên server là xong.

- FakeAV: Một chương trình mơ phỏng những phần mềm qt malware trên máy tính, khơng có chức năng tìm và loại bỏ malware. Thường nó sẽ đưa ra cảnh báo liên tục cho đến khi người dùng bỏ tiền ra mua bản quyền thì thơi.

- GameThief: Là dòng malware được thiết kế chuyên để đánh cắp tài khoản game online

</div>Trang 12<div class="page_container" data-page="12">

Adware: Sẽ hiển thị quảng cáo, chuyển hướng truy cập đến những website quảng cá và thu thập thông tin quảng cáo về người dùng (như địa chỉ website hay truy cập , thời gian truy cập,…) để tối ưu quảng cáo.

- Ransomware: Phát triển mạnh kể từ năm 2013 với CryptoLocker, nó đang trở thành một mối nguy hiểm lớn. Khi thực thi, ransomaware sẽ mã hóa tồn bộ dữ liệu trên máy tính và người dùng chỉ có một trong hai lựa chọn trả tiền để lấy khóa giải mã dữ liệu, hoặc chấp nhận mất dữ liệu.

4. Tính tương đối trong phân loại

Hiện nay việc phân loại rõ ràng một malware nào đó là tương đối khó khăn vì chúng thường được kết hợp một vài kỹ thuật để tăng hiệu quả lây nhiễm. Ví dụ như Ramnit, một dịng malware mà vừa như worm khi nó tạo ra các bản sao trong nhiều khu vực, vừa bám vào vật chủ là file thực thi .exe và file .html, vừa là một botnet vì thế để xếp vào một loại malware nào thì sẽ dựa vào mức độ ưu tiên. Ví dụ thứ tự ưu tiên là virus-worm-trojan thì Ramnit được xếp vào virus.

Hình thức lây nhiễm:

Cùng với sự phát triển của công nghệ thông tin, con đường lây nhiễm malware cũng biến hóa mạnh mẽ. Hiện nay, malwarev lây nhiễm chủ yếu qua các con đường sau:

- Qua các thiết bị lưu trữ: Trước đây, đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán malware. Ngày nay, khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.

- Qua phần mềm: malware loại này thường ẩn mình trong các phần mềm lưu hành lậu, các phần mềm miễn phí (freeware, shareware). Thật ra khơng phải chương trình lậu hay chương trình miễn phí nào cũng có malware nhưng một số kẻ đã lợi dụng tâm lý tham đồ rẻ của người mua để ghép malware vào đấy.

- Qua e-mail: Sự phát triển của Internet đã tạo ra một con đường phát tán virus máy tính mới. Đó là thư điện tử. Kẻ tấn công gửi e-mail đến cho người sử dụng, người sử dụng mở e-mail ra và lập tức bị nhiễm malware. Malware xâm nhập vào máy tính và tiếp tục cơng việc phá hoại hoặc đánh cắp dữ liệu, sau đó phát tán bằng cách mở sổ địa chỉ (Address book) trên trình duyệt e-mail (chẳng hạn Outlook) và tự gửi chính nó cho những địa chỉ này. Với cách thức hoàn toàn tương tự trên những máy nạn nhân, malware có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ trong vịng vài tiếng đồng hồ chúng có thể lây lan tới hàng chục triệu máy tính.

- Qua duyệt web: Khi nhận được một chat message hay một e-mail mời đến xem một trang web nào đó, khả năng bạn đang bị tấn cơng không loại trừ. Hãy thực sự cẩn thận, nhất là từ những người, web site khơng quen biết. Có rất nhiều người sử dụng luôn chọn 'yes' hay ‘OK’ khi có một thơng báo trên màn hình mà khơng cần xem nội dung thông báo. Điều này thật nguy hiểm nếu bạn truy cập các trang web xấu và chúng hiện thông báo mời chào bạn download và chạy một số phần mềm chứa malware....

V.Tấn cơng có chủ đích APT

Advanced Persistent Threat – APT hay còn gọi là các cuộc tấn cơng chủ đích đã ngày

càng phát triển với tốc độ chóng mặt và tinh vi hơn. Để phát hiện và chống lại những cuộc

</div>Trang 13<div class="page_container" data-page="13">

tấn công này, cần sự phối hợp giữa nhiều biện pháp bảo vệ khác nhau. Hiện nay, thị trường an tồn thơng tin cũng đã cung cấp các giải pháp đồng bộ nhằm chống lại các cuộc tấn cơng có chủ đích. Cùng với sự phát triển của cơng nghệ thông tin, các cuộc tấn công cũng thay đổi với các mục tiêu mới là trục lợi tài chính, cạnh tranh, dò thám và nhiều mục tiêu khác. Mục tiêu tấn cơng cũng có những thay đổi: Nếu trước kia kẻ tấn công cố gắng phá hoại hạ tầng và tấn cơng mang tính chất đại trà, thì ngày nay chúng chủ yếu thực hiện các cuộc tấn công chủ đích APT.

APT là tấn cơng có định hướng mục tiêu vào mạng hoặc các máy tính riêng lẻ. Khác

với tấn cơng đại trà tập trung vào các máy tính cá nhân được bảo vệ kém nhất, tấn cơng chủ đích tìm kiếm cơ hội xâm nhập hệ thống bất kể mức độ bảo vệ.

Tấn cơng chủ đích nhằm vào một tổ chức, nhóm cơng ty, các ngành kinh tế hoặc các tổ chức nhà nước nhất định. Tấn công chủ đích có thể do một nhóm tội phạm máy tính hành động theo đặt hàng, các tổ chức khủng bố và các cơ quan đặc vụ quốc gia thực hiện.

Tấn cơng chủ đích vào doanh nghiệp hầu hết thường được thực hiện theo đặt hàng của đối thủ cạnh tranh hoặc cá nhân có khả năng kiếm tiền từ thơng tin lấy được. Tấn công vào các tổ chức lớn (đặc biệt là các hệ thống điều khiển quy trình công nghệ, các ngành công nghiệp và các tổ chức nhà nước thường do các cơ quan đặc vụ nước ngồi thực hiện.

Khi thực hiện tấn cơng chủ đích, những kẻ tấn công sử dụng mọi phương tiện như mã độc được thiết kế cho mục đích cụ thể, tấn công vào các máy chủ web và cơ sở hạ tầng mạng, kỹ nghệ xã hội, nội gián…. APT là loại tấn cơng phức tạp, trình độ cao và dai dẳng với mục đích chiếm quyền kiểm sốt hệ thống trong thời gian lâu nhất có thể. APT thường được thực hiện trên các đối tượng được bảo vệ tốt, khi những phương pháp đơn giản khơng có hiệu quả hoặc dễ làm lộ kẻ tấn công.

Chống lại các cuộc tấn cơng có chủ đích APT khơng có cơng thức chung, mà phải tiến hành bảo vệ trên tất cả các mức, kể cả đào tạo nhân viên và kiểm tra nhân sự. Về phương tiện, thường sử dụng các phương tiện phần mềm và phần cứng chuyên dùng cho phép giải quyết các vấn đề một cách đồng bộ và kết hợp nhiều lớp bảo vệ. Mục đích chính của các giải pháp này là phát hiện các cuộc tấn công theo các dấu hiệu gián tiếp và bằng cách xác định những sai lệch trong công việc của người sử dụng và cơ sở hạ tầng mạng.

VI.Phân tích Malware1. Khái niệm cơ bản.

1.1.Mục tiêu của việc phân tích malware

Mục tiêu của việc phân tích malware là thu thập thông tin về hành vi, hoạt động để tiến hành xử lý, gỡ bỏ malware ra hỏi hệ thống, ứng khó khi sự cố malware đã xảy ra. Thơng thường sẽ phải xác định chính xác những gì dã xảy ra trên hệ thống, đảm bảo xác định được những máy, những file bị lây nhiễm. Khi phân tích mẫu malware nghi ngờ, phải xác định dược mẫu nghi ngờ đó làm gì từ đó tìm phương pháp để xác định nó trên hệ thống, ước tính thiệt hại có thể xảy ra.

Với những người phát triển phần mềm quét malware, IDS/IPS thì sẽ dựa trên kết quả phân tích đó để cập nhật những dấu hiệu (signature) vào phần mềm, hệ thống quét.

</div>