Tải bản đầy đủ (.pdf) (74 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Nghiên cứu phương pháp phân tích phần mềm mã độc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.76 MB, 74 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGÔ QUANG HƯNG

NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH
PHẦN MỀM MÃ ĐỘC

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2014

1


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
---o0o---

NGÔ QUANG HƯNG

NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH
PHẦN MỀM MÃ ĐỘC

Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60480104

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƯỜI HƯỚNG DẪN KHOA HỌC:


Hà Nội – 2014
2

TS. PHÙNG VĂN ỔN


1

LỜI CAM ĐOAN
Tôi xin cam đoan những kết quả đạt được trong luận văn này là do bản thân
nghiên cứu, tổng hợp và thực hiện. Toàn bộ những điều được trình bày trong luận văn
là của cá nhân hoặc được tham khảo và tổng hợp từ các nguồn tài liệu khác nhau. Tất
cả các tài liệu tham khảo, tổng hợp đều được trích dẫn với nguồn gốc rõ ràng.
Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình. Nếu có gì sai
trái, tôi xin chịu mọi hình thức kỷ luật theo qui đinh.
Hà Nội, tháng 10 năm 2014
Học viên

Ngô Quang Hưng


2

LỜI CẢM ƠN
Tôi muốn bày tỏ lòng biết ơn sâu sắc tới những người đã giúp đỡ tôi trong quá
trình làm luận văn. Đặc biệt tôi xin cám ơn TS. Phùng Văn Ổn, với lòng kiên trì, thầy
đã chỉ bảo tôi chi tiết, cho tôi những lời nhận xét quí báu và theo sát tôi trong từng
bước làm luận văn. Đồng thời tôi cũng xin gửi lời cảm ơn tới các thầy cô giáo giảng
dạy tại khoa Công nghệ thông tin – Trường Đại học Công nghệ - Đại học Quốc gia Hà
Nội đã truyền đạt các kiến thức cho tôi trong suốt thời gian học tập và nghiên cứu vừa

qua.
Tôi cũng xin chân thành cảm ơn cơ quan, bạn bè, đồng nghiệp, gia đình và
những người thân đã cùng chia sẻ, giúp đỡ, động viên, tạo mọi điều kiện thuận lợi để
tôi hoàn thành nhiệm vụ học tập cũng như hoàn thành luận văn này.
Hà nội, tháng 10 năm 2014
Học viên

Ngô Quang Hưng


3

MỤC LỤC
LỜI CẢM ƠN .................................................................................................... 2
MỤC LỤC ......................................................................................................... 3
DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT .................................................. 5
DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG .......................................................... 6
MỞ ĐẦU ........................................................................................................... 7
CHƯƠNG 1-TỔNG QUAN VỀ MALWARE.................................................... 9
1.1 Khái niệm về Malware .............................................................................. 9
1.2 Phân loại Malware .................................................................................... 9
1.3 Lược sử về Malware ............................................................................... 13
1.4 Vai trò của việc phân tích Malware......................................................... 17
CHƯƠNG 2– CƠ CHẾ HOẠT ĐỘNG CỦA MALWARE .............................. 18
2.1 Tìm hiểu về cấu trúc PE file .................................................................. 18
2.2 Hình thức lây nhiễm .............................................................................. 19
2.2.1 Qua thiết bị lưu trữ ......................................................................... 19
2.2.2 Qua mạng Internet .......................................................................... 20
2.3 Đối tượng lây nhiễm.............................................................................. 22
2.3.1 Các phần mềm: ................................................................................ 22

2.3.2 Đoạn mã (Script): ............................................................................. 23
2.3.3 Shortcuts: ......................................................................................... 24
2.3.4 Một số loại tập tin khác: ................................................................... 24
2.4 Khởi động cùng hệ thống ...................................................................... 25
2.5 Phá hoại và các hoạt động khác ............................................................. 28
2.6 Cơ chế tự bảo vệ của mã độc ................................................................. 29
2.6.1 Cơ chế tạo áo giáp (Armouring): .................................................... 29
2.6.2 Cơ chế chống theo dõi (Anti Heuristic): ......................................... 29
2.6.3 Cơ chế chống phần mềm phân tích (Anti-Analysis software) ......... 30
2.6.4 Chống gỡ rối và ảo hóa (Anti debugger & Virtual Machine) .......... 30
2.7 Kỹ thuật đóng gói để che giấu mã độc ................................................... 31
2.8 Xu hướng phát triển của Malware ......................................................... 33
CHƯƠNG 3- PHƯƠNG PHÁP PHÂN TÍCH MALWARE ............................. 35
3.1 Qui trình phân tích Malware .................................................................. 35
3.2 Kiểm tra, phát hiện và lấy mẫu Malware ............................................... 35
3.2.1 Kiểm tra các phần mềm khởi động cùng hệ thống .......................... 35
3.2.2 Tiến trình trong Windows .............................................................. 36
3.2.3 Kiểm tra chuỗi (string) của các tiến trình ....................................... 37
3.2.4 Tiêm mã độc .................................................................................. 39
3.2.5 Phát hiện che giấu mã độc với phương pháp phân tích Entropy...... 39


4

3.2.6 Sử dụng hàm băm (Hash) để xác định phần mềm độc hại. ............. 41
3.2.7 Lấy mẫu Malware .......................................................................... 41
3.3 Thiết lập môi trường phân tích an toàn .................................................. 42
3.4 Phân tích tĩnh ........................................................................................ 44
3.4.1 Phân tích các hàm Windows API để phát hiện phần mềm nghi vấn 44
3.4.1.1API là gì : ....................................................................................... 44

3.4.1.2Các thành phần của Windows API ................................................. 44
3.4.1.3Tại sao phải tìm hiểu Windows API ............................................... 44
3.4.2 Dịch ngược và phân tích mã Assembly .......................................... 45
3.4.3 Unpacking ...................................................................................... 45
3.5 Phân tích động ....................................................................................... 48
3.5.1 Sử dụng các công cụ Sandbox ........................................................ 49
3.5.2 Giám sát hoạt động của tiến trình ................................................... 50
3.5.3 Sử dụng các chương trình gỡ rối (Debugger) ................................. 50
3.5.4 Sử dụng Volatility để rà quét, phân tích mã độc trên RAM ............ 52
3.6 Một số tiêu chí đánh giá an ninh tiết trình ............................................... 53
CHƯƠNG 4 – HỆ THỐNG HỖ TRỢ PHÂN TÍCH MALWARE ................ 54
4.1 Hệ thống phân tích Malware tự động Cuckoo Sandbox .......................... 54
4.1.1 Giới thiệu hệ thống........................................................................... 54
4.1.2 Cài đặt hệ thống ............................................................................... 55
4.1.3 Sử dụng Cuckoo Sandbox để phân tích Malware ............................. 56
4.2 Xây dựng phần mềm đánh giá an ninh tiến trình ..................................... 59
4.2.1 Giới thiệu phần mềm ........................................................................... 59
4.2.2 Biểu đồ Use case .................................................................................. 60
4.2.3 Một số kịch bản chính của phần mềm .................................................. 62
4.2.4 Chương trình........................................................................................ 63
KẾT LUẬN .................................................................................................. 66
TÀI LIỆU THAM KHẢO ................................................................................ 67
PHỤ LỤC: MỘT SỐ HÀM WINDOWS CẦN CHÚ Ý KHI PHÂN TÍCH
MALWARE.................................................................................................. 68


5

DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT
Từ viết tắt


Tiếng Anh

Tiếng Việt

AIM

AOL Instant Messenger

Tin nhắn nhanh của mạng AOL

AOL

America Online

America Online

CERT

Computer emergency response team

Đội phản ứng nhanh về máy tính

DDoS

Distributed denial-of-service

Từ chối dịch vụ phân tán

DUMP


Dump

Kế xuất

EIP

EIP

Thanh ghi trỏ lệnh

HTML

Virtual Machine

Máy ảo

IAT

Import Address Table

Bảng địa chỉ hàm nhập khẩu

IDE

Integrated development environment

Môi trường phát triển tích hợp

IM


Instant Messaging

Tin nhắn nhanh

Malware

Malicious software

Mã độc

National Institute of Standards and

Viện công nghệ và tiêu chuẩn

Technology

quốc gia Hoa Kỳ

NSRL

National Software Reference Library

Thư viện tham khảo phần mềm
quốc gia Hoa Kỳ

OEP

Original Entry Point


Điểm vào chương trình gốc

OTP

One Time Password

Mậ khẩu một lần

PC

Personal computer

Máy tính cá nhân

PCAP

Packet capture

Bắt gói tin

PE

Portable Executable

Thực thi khả chuyển

RAT

Remote Administration Tool


Công cụ quản trị từ xa

SMS

Short Message Service

Tin nhắn ngắn

TCP

Transmission Control Protocol

Giao thức điều khiển truyền vận

VCL

Virus Creation Laboratory

Phòng thí nghiệm tạo virus

VM

Virtual Machine

Máy ảo

VX

Virus eXchange


Trao đổi virus

NIST


6

DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG
Hình 2.1: Cấu trúc cơ bản của PE .............................................................................. 18
Hình 2.2 Đóng gói để che giấu mã độc ...................................................................... 32
Hình 3.1 Qui trình phân tích Malware........................................................................ 35
Hình 3.2 Kiểm tra các phần mềm khởi động cùng hệ thống ....................................... 36
Hình 3.3 Quản lý tiến trình và kiểm tra chữ ký file thực thi ....................................... 37
Bảng 3.1: Độ chính xác thống kê dựa trên Entropy .................................................... 41
Hình 3.4. Mô hình hệ thống ảo hóa ............................................................................ 42
Hình 3.5: Xác định phần mềm đóng gói với PEID ..................................................... 46
Hình 3.6: Tìm OEP của phần mềm gốc ...................................................................... 46
Hình 3.7: Lưu phần mềm gốc đã được giải đóng gói trên bộ nhớ. .............................. 47
Hình 3.8: Kết xuất file .exe từ bộ nhớ ........................................................................ 47
Hình 3.9: Sửa lại Import Address Table ..................................................................... 48
Bảng 3.2: Phát hiện tiến trình liệt kê các tập tin .doc bằng phương pháp giám sát ...... 50
Bảng 3.3: Một số tiêu chí đánh giá an ninh tiến trình ................................................. 53
Hình 4.1 Sơ đồ hệ thống phân tích mã độc Cuckoo Sandbox ..................................... 55
Hình 4.2 UC01 - Tổng quan....................................................................................... 60
Hình 4.3 UC02 – Kiểm tra tiến trình .......................................................................... 60
Hình 4.4 UC03 – Liệt kê kết nối mạng....................................................................... 61
Hình 4.5 UC04 – Kiểm tra Hash ................................................................................ 61
Hình 4.6 UC05 – Kiểm tra các hàm API .................................................................... 61
Hình 4.7 Chức năng kiểm tra tiến trình ...................................................................... 63
Hình 4.8 Xác định các kết nối mạng .......................................................................... 64

Hình 4.9 Kiểm tra mã Hash của tập tin ...................................................................... 64
Hình 4.10 Phân tích bảng Import Table và đưa ra các hàm nghi vấn .......................... 65


7

MỞ ĐẦU
Thế giới đang chứng kiến những thay đổi lớn và có sự phát triển nhanh chóng về
mọi mặt, nhất là trong ngành công nghệ thông tin; phần mềm mã độc cũng không nằm
ngoài xu hướng đó. Từ thời điểm lý thuyết tự nhân bản của phần mềm máy tính được
John von Neuman (1903-1957) đưa ra (năm 1941) đến khi xuất hiện virus đầu tiên
phải mất hơn 3 thập kỷ, nhưng với sự bùng nổ của Internet mã độc cũng theo đó bùng
nổ theo. Song song với việc ứng dụng công nghệ thông tin, mã độc cũng đã và đang
len lỏi vào mọi mặt của đời sống, gây ra những thiệt hại vô cùng nghiêm trọng cả về
kinh tế lẫn an ninh, quốc phòng.
Khi nói về chống phần mềm độc hại, ta thường nói tới phần mềm chống virus
nhưng không phải lúc nào phần mềm chống virus cũng có hiệu quả. Do đó, việc nâng
cao ý thức cảnh giác để phòng ngừa và hơn thế nữa là phân tích, vô hiệu hoá phần
mềm độc hại trở thành nhu cầu tất yếu.
Vấn đề phân tích, chống phần mềm mã độc đã được vô số các hãng bảo mật trên
thế giới tiến hành đầu tư nghiên cứu; từ các hãng lớn như Internet McAfee, Kaspersky,
Norton … cho tới các nhóm phát triển phần mềm đơn lẻ. Một số ứng dụng điển hình
có thể kể đến như: McAfee Antivirus, Kaspersky Antivirus, Norton Antivirus,
Microsoft Security Essentials, AVG Anti-Virus … Tuy nhiên, do sự phát triển của
phần mềm mã độc luôn đi trước các chương tình diệt virus một bước nên việc nghiên
cứu, phân tích mã độc càng trở nên quan trọng và cấp thiết để làm sao hạn chế được
tối đa những thiệt hại do phần mềm mã độc gây ra.
Trên cơ sở kiến thức về an toàn thông tin, lý thuyết về hệ điều hành và nhu cầu
thực tế, hướng tới xây dựng một chương trình đánh giá an ninh tiến trình nhằm hỗ trợ
quá trình phát hiện mã độc. Ngoài ra, đề tài còn có thể được phát triển để ứng dụng

phục vụ cho các cơ quan chính phủ (an ninh, quốc phòng…) cũng như các tổ chức, cá
nhân có nhu cầu.
Ngoài phần Mở đầu, Kết luận và Phụ lục, nội dung luận văn được chia làm 4
chương chính:
Chương 1. Tổng quan về Malware: chương này giới thiệu những vấn đề cơ
bản nhất về Malware, lịch sử và xu thế phát triển chúng.
Chương 2. Cơ chế hoạt động Malware: chương này mô tả khái quát về các
hàm API, cấu trúc file PE của Windows và một số kỹ thuật căn bản mà Malware sử
dụng để lây nhiễm và duy trì sự tồn tại của chúng trên hệ thống.


8

Chương 3. Phương pháp phân tích Malware: chương này mô tả các bước
trong phân tích Malware cũng như xây dựng một quy trình phân tích Malware.
Chương 4. Xây dựng phần mềm hỗ trợ phân tích Malware: áp dụng lý
thuyết đã đưa ra trong Chương 3 để xây dựng phần mềm hỗ trợ phân tích Malware.
Giới thiệu hệ thống phân tích Malware tự động Cuckoo Sandbox.
Phần Kết luận: trình bày tổng hợp các kết quả nghiên cứu của luận văn và định
hướng nghiên cứu tiếp theo.
Luận văn đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuật
phân tích Malware, đưa ra được quy trình phân tích đồng thời xây dựng được một
công cụ hỗ trợ phân tích hiệu quả. Tuy nhiên, luận văn không thể tránh khỏi những
thiếu sót, vì vậy tôi rất mong nhận được những ý kiến đóng góp, nhận xét của thầy cô
giáo và bạn đọc để kết quả nghiên cứu được ngày một hoàn thiện hơn.


9

CHƯƠNG 1-TỔNG QUAN VỀ MALWARE

Các khái niệm và cách phân loại sau đây đều được trích dẫn theo định nghĩa
đưa ra bởi Viện Tiêu chuẩn và Công nghệ quốc gia Hoa kỳ - National Institute of
Standards and Technology (NIST).

1.1 Khái niệm về Malware
Mã độc hại (Malware hay Maliciuos code) là một phần mềm được chèn một
cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc
tính sẵn sàng của hệ thống.[7, tr15]

1.2 Phân loại Malware
Có nhiều cách phân loại mã độc khác nhau, dựa vào các tiêu chí khác nhau. Tuy
nhiên, định nghĩa đưa ra bởi NIST là cách định nghĩa phổ biến nhất trong ngành khoa
học máy tính ngày nay [7].
1.2.1
Virus: Là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản
và lây nhiễm chính nó vào các file, phần mềm hoặc máy tính. Như vậy, có thể
suy ra virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu
hoặc file ứng dụng) để lây lan. Các phần mềm diệt virus dựa vào đặc tính này
để thực thi việc phòng chống/diệt virus, để quét các file trên thiết bị lưu hoặc
quét các file trước khi lưu xuống ổ cứng, ... Điều này cũng giải thích vì sao đôi
khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng
không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật
mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc
hại đó được.
1.2.2
Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh
bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại
boot virus (như Michelangelo và Stoned), file virus (như Jerusalem) rất phổ
biến trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể
được pha trộn bởi cả boot virus va file virus trong cùng một phiên bản.

1.2.3
Interpreted Virus là một tổ hợp của mã nguồn mà chỉ thực thi được dưới
sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống. Một
cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì
nó mới được thực thi. Macro virus, scripting virus là các virus nằm trong dạng
này. Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng


10

khả năng kiểm soát việc tạo và mở file để thực thi và lây nhiễm. Chúng ta phân
biệt giữa macro virus và scripting virus như sau: macro virus là tập lệnh thực thi
bởi một ứng dụng cụ thể, còn scripting virus là tập lện chạy bằng một service
của hệ điều hành. Melisa là một ví dụ xuất sắc về macro virus, Love Stages là ví
dụ cho scripting virus.
1.2.4
Worm cũng là một phần mềm có khả năng tự nhân bản và tự lây nhiễm
trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là
worm không cần phải có “file chủ” để chứa nó khi đã nhiễm vào hệ thống. Như
vậy, có thể thấy rằng chỉ dùng các phần mềm quét file sẽ không diệt được worm
trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên
đĩa cứng. Mục tiêu của worm bao gồm cả việc làm lãng phí nguồn lực băng
thông của mạng cũng như phá hoại hệ thống (xoá file, tạo backdoor, thả
keylogger,..). Worm có đặc trưng là khả năng tấn công lan rộng cực kỳ nhanh
chóng do không cần tác động của con người (như khởi động máy, sao chép file
hay đóng/mở file). Nhìn chung, Worm có thể chia làm 2 loại:
- Network Service Worm: Lan truyền bằng cách lợi dụng các lỗ hổng bảo

-


mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho
loại sâu này.
Mass Mailing Worm: Là một dạng tấn công qua dịch vụ mail, tuy nhiên
nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là
email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm
sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi
đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho
máy chủ mail. Netsky, Mydoom là ví dụ cho thể loại này.
Trojan Horse: Là loại mã độc hại được đặt theo sự tích “Ngựa thành

1.2.5

Troa”. Trojan horse không tự nhân bản. Nó lây vào hệ thống với biểu hiện ban
đầu rất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã với mục đích
gây hại. Trojan có thể lựa chọn một trong 3 phương thức để gây hại như sau:
- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, bên cạnh
đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một
trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một phần mềm đánh
cắp password).
-

Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, nhưng
sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập
một cửa sổ login để lấy password) hoặc che giấu các hành động phá hoại


11

khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách
tắt các hiển thị của hệ thống).

-

1.2.6

Thực thi luôn một phần mềm gây hại bằng cách núp dưới danh một phần
mềm không có hại (ví dụ như một trojan được giới thiệu như là một trò
chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là

lập tức dữ liệu trên PC sẽ bị xoá hết).
Malicious Mobile Code: Là một dạng mã phần mềm có thể được gửi từ xa vào
một hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó.
Malicious Mobile Code được coi là khác với virus, worm do đặc điểm không
nhiễm vào file và không tìm cách tự phát tán . Thay vì khai thác một điểm yếu
bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng
cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa. Các công cụ lập
trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho Malicious
mobile code. Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda,
sử dụng JavaScript.
Kiểu tấn công của Nimda thường được biết đến như một tấn công hỗn hợp
(Blended Atatck). Cuộc tấn công bắt đầu khi người dùng mở một email độc
bằng web-browser. Sau khi nhiễm vào máy, Nimda sẽ cố gắng sử dụng sổ địa
chỉ email của máy đó để phát tán tới các máy khác. Mặt khác, từ máy đã bị
nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ mà
không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển
file nhiễm virus tới các máy đó. Đồng thời Nimda cố gắng dò quét để phát hiện
ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft. Khi tìm
thấy, nó sẽ copy bản thân nó vào server. Nếu một web client có điểm yếu bảo
mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng
bị nhiễm mà không cần “mở email bị nhiễm virus”). Quá trình nhiễm virus sẽ


1.2.7

lan tràn theo cấp số nhân.
Tracking Cookie: Là một dạng lạm dụng cookie để theo dõi hành động duyệt
web của người sử dụng một cách bất hợp pháp. Cookie là một file dữ liệu chứa
thông tin về việc sử dụng một trang web cụ thể nào đó của web-client. Mục tiêu
của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo
ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng
web-client. Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm
gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của
cá nhân.


12

1.2.8

Attacker Tool: Là những bộ công cụ tấn công có khả năng đẩy các phần mềm
độc hại vào trong hệ thống. Các bộ công cụ này giúp kẻ tấn công truy nhập bất
hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại. Khi
được tải vào trong hệ thống bằng các đoạn mã độc hại, attacker tool có thể
chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ
được tải vào hệ thống sau khi nhiễm. Attacker tool thường gặp là backdoor và
keylogger
Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi
lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Phần lớn các backdoor cho
phép kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file,
dò mật khẩu, thực hiện mã lệnh,... Backdoor cũng có thể được xem xét dưới 2
dạng: Zoombie và Remote Administration Tool.
-


-

Zoombie (có thể đôi lúc gọi là bot): là một phần mềm được cài đặt lên hệ
thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của
Zoombie là dùng các agent để tổ chức một cuộc tấn công DDoS. Kẻ tấn
công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lệnh
tấn công cùng một lúc. Trinoo và Tribe Flood Network là hai Zoombie
nổi tiếng.
Remote Administration Tool là các công cụ có sẵn của hệ thống cho
phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi
dụng tính năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao
gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác
động vào cấu hình của hệ thống. Ví dụ về công cụ RAT là: Back Orifice,

SubSeven,...
Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn
bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của email,
của văn bản, user name, password, thông tin bí mật...Một số ví dụ về
keylogger: KeySnatch, Spyster, ...
1.2.9 Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi các
chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn sự tấn công nguy
hiểm. Ví dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay thế file,
hoặc thường trú trong bộ nhớ rồi thay thế, sửa đổi các lời gọi hàm của hệ điều
hành. Rootkit thường được dùng để cài đặt các công cụ tấn công như cài
backdoor, cài keylogger. Ví dụ về rootkit là: LRK5, Knark, Adore, Hack
Defender.


13


1.2.10 Web Browser Plug-in: là phương thức cài mã độc hại thực thi cùng với trình
duyệt web. Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi
duyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi
thông tin ra ngoài. Một dạng khác là phần mềm gián điệp có chức năng quay số
điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện
thoại ngầm định mặc dù không được phép của chủ nhân.
1.2.11 Email Generator: là những phần mềm cho phép tạo ra và gửi đi một số lượng
lớn các email. Mã độc hại có thể gieo rắc các email generator vào trong hệ
thống. Các phần mềm gián điệp, spam, mã độc hại có thể được đính kèm vào
các email được sinh là từ email generator và gửi tới các địa chỉ có trong sổ địa
chỉ của máy bị nhiễm.
1.2.12 Attacker Toolkit: là các bộ công cụ có thể được tải xuống và cài vào hệ thống
khi hệ thống đã bị khống chế bởi phần mềm độc hại. Các công cụ như các bộ dò
quét cổng (port scanner), bộ phá mật khẩu (password cracker), bộ dò quét gói
tin (Packet Sniffer) chính là các Attacker Toolkit thường hay được sử dụng.
1.2.13 Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã độc
hại. Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống
máy tính giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh
tính (ví dụ như mật khẩu, số tài khoản, thông tin cá nhân...). Kẻ tấn công
phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các
trang web hoặc email mà nạn nhân thường hay sử dụng như trang web của
Ngân hàng, của công ty phát hành thẻ tín dụng, ... Email hoặc trang web giả
mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài
khoản, về mật khẩu... Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp
trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác.
1.2.14 Virus Hoax là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp
dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo
virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua
email. Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những

thư gửi để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa
các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống.
Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ
thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ.

1.3 Lược sử về Malware
Có nhiều quan điểm khác nhau về lịch sử phát triển của Malware, trong luận


14

văn này sẽ chỉ nêu vắn tắt những điểm chung nổi bật nhất.
Năm 1949: Lý thuyết đầu tiên về phần mềm tự sao chép ra đời. John Von
Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một phần mềm cho
máy tính.
Vào cuối thập niên 1960 đầu thập niên 1970, trên các máy Univax 1108 xuất
hiện một phần mềm “Pervading Animal” mà tự nó có thể nối với phần sau của tập tin
thực thi. Lúc đó chưa có khái niệm virus.
Năm 1981: Các Malware đầu tiên xuất hiện trong hệ điều hành của máy tính
Apple II. Đây cũng là những virus đầu tiên xuất hiện trên hệ điều hành của hãng
Apple, chúng lây lan khắp hệ thống máy tính của công ty Texas A&M, thông qua các
trò chơi không có bản quyền trên đĩa mềm. Những người đầu tiên phát hiện đã gọi
chúng là Elk Cloner.
Năm 1983: Fred Cohen đưa ra khái niệm đầu tiên về Virus: “Là một phần mềm
máy tính có thể tác động những phần mềm máy tính khác bằng cách sửa đổi chúng
dùng phương pháp đưa vào một bản sao của nó”. Fred Cohen luôn là cái tên đầu tiên
được nhắc đến khi nói về lịch sử của Malware.
Năm 1986: Virus “Brain” được phát hiện, đây là virus đầu tiên được phát hiện
trên máy tính cá nhân. Virus này được tạo ra tại Pakistan bởi hai anh em lập trình viên
là Basit Farooq Alvi và Amjad Farooq Alvi. Phần mềm này thay thế các mã thực hiện

(Executable code) trong rãnh ghi khởi động (boot sector) của một đĩa mềm 360Kb
bằng mã riêng của nó, với mục đích làm lây nhiễm tất cả các ổ đĩa mềm. Đây cũng là
Virus MS-DOS xuất hiện sớm nhất.
Năm 1987: Lehigh, một trong những Virus file đầu tiên xâm nhập các tập lệnh
Command.com (Virus này sau đó tiến hóa thành Virus Jerusalem). Cũng trong năm
này, Virus IBM Chrismast cũng được phát hiện, với tốc độ lây nhiễm cực nhanh tới
hàng nghìn bản sao trên giờ, đây là cơn ác mộng thực sự đối với các máy tính lớn
(mainframe) của Big Blue.
Năm 1988: Virus Jerusalem, một trong những Virus phổ biến nhất xuất hiện, nó
tấn công đồng loạt các trường đại học và các công ty trên nhiều quốc gia vào đúng thứ
6 ngày 13, Virus này tác động lên các file có đuôi .exe và .com, đây là loại virus hoạt
động theo đồng hồ máy tính. Cùng năm này, Virus “MacMag and the Scores” gây ra
đợt bùng phát lớn đầu tiên trên các máy Macintosh. Đây cũng là cuộc khủng hoảng
Internet đầu tiên khiến một số lượng lớn máy tính bị tê liệt. Cũng từ đó, trung tâm điều
phối phản ứng nhanh (CERT) đã ra đời để đối phó với những sự cố tương tự.


15

Năm 1989: Xuất hiện phần mềm Trojan có tên AIDS. Trojan này nổi tiếng vì
có khả năng khống chế dữ liệu giống như con tin. Nó được gửi đi dưới dạng một phần
mềm thông tin về bệnh suy giảm miễn dịch AIDS. Khi được kích hoạt Trojan AIDS sẽ
mã hóa ổ cứng của nạn nhân và yêu cầu người sử dụng phải nộp tiền nếu muốn được
giải mã.
Năm 1990: Symantec phát triển công cụ Norton AntiVirus, một trong những
phần mềm diệt Virus đầu tiên do công ty lớn phát triển. Cũng trong năm này, thị
trường trao đổi mã độc đầu tiên (VX) được tung lên mạng từ Bulgaria. Tại đây, các tin
tặc có thể buôn bán mã và giao lưu các ý tưởng về mã độc. Cuốn sách về Virus máy
tính của tác giả Mark Ludwig được xuất bản cùng thời gian này.
Năm 1991: Malware đa hình (Polymorphic Malware) ra đời, đầu tiên là Sâu

“Tequilla”. Malware dạng này có khả năng tự thay đổi hình thức của nó, gây khó khăn
cho các phần mềm chống Virus, nó khiến cho việc phát hiện và truy quét trở nên rất
phức tạp.
Năm 1992: Trong vòng 2 năm, đã ghi nhận được tổng số hơn 1.300 Malware
đang tồn tại, tăng 420% so với tháng 12 năm 1990. Xuất hiện DAME (Dark Avenger
Mutation Engine) - một bộ công cụ cho phép chuyển những mã độc thông thường
thành những phần mềm có khả năng thay đổi hình dạng. Sau đó là VCL (Virus
Creation Laboratory), một công cụ chế tạo Malware thực sự ra đời. Sự xuất hiện của
Virus MichelLangelo làm dấy lên lời cảnh báo về thiệt hại quy mô lớn trên toàn cầu,
mặc dù cuối cùng sự phá hoại của Virus này đã không xảy ra như lo ngại.
Năm 1994: Xuất hiện OneHalf, đây là một virus máy tính đa hình trên nền
DOS.
Năm 1995: Macro Virus đầu tiên xuất hiện, có tên gọi “Concept”, chúng lây lan
qua các ứng dụng MS-Office.
Năm 1996: “Ply” - Virus đa hình phức tạp được xây dựng dựa trên công cụ
hoán vị.
Năm 1998: Phiên bản đầu tiên của virus CIH xuất hiện. Đây là virus đầu tiên
được biết đến có khả năng xóa nội dung trong ROM BIOS.
Năm 1999: Sâu Melissa đã được phát hiện, nhắm vào mục tiêu Microsoft Word
và các hệ thống dựa trên Outlook, nó đã tạo ra mạng lưới lây nhiễm đáng kể. Cũng
trong năm này, sâu Kak được phát hiện, đây sâu máy tính dùng mã Javascript và lây
lan bằng cách khai thác một lỗi trong Outlook Express


16

Năm 2000: Sâu ILOVEYOU, còn được gọi là Love Letter hay Love Bug, sâu
này được tạo ra bởi một sinh viên ngành khoa học máy tính của Philippines. Được viết
bằng VBScript, nó lây nhiễm hàng triệu máy tính Windows trên toàn thế giới trong
vòng vài giờ phát hành.

Năm 2001: Trong năm này, phải kể đến Sâu Nimda (còn được gọi là quái vật
đa đầu) vì nó là sự kết hợp hoàn hảo những điểm mạnh của 5 loại Malware khác nhau.
Ngoài ra còn phải kể đến Virus Anna Kournikova, sâu Sadmind, sâu Sircam, sâu Code
Red.
Năm 2003: Sâu Slammer ra đời, đến nay sâu này vẫn được coi là sâu có sự phát
tán nhanh nhất, hơn 75.000 máy tính bị nhiễm chỉ trong 10 phút.
Năm 2005: Trojan Zlob, Trojan này giả dạng một video codec cần thiết trong
các thành phần ActiveX của Microsoft Windows.
Năm 2006: Lần đầu tiên phần mềm độc hại cho Mac OSX được phát hiện,
Trojan OSX / Leap-A hoặc OSX / Oompa-A.
Năm 2007: Storm Worm được xác định. Nó tấn công và tạo ra một mạng botnet
Storm. Trong vòng 3 tháng, từ tháng 6 đến tháng 9/2007 đã có hơn 10 triệu máy tính
bị nhiễm. Cùng năm này, Trojam Zeus được phát hiện, mục tiêu của nó là ăn cắp
thông tin ngân hàng của người dùng trên Windows.
Năm 2008: Phát hiện sâu Conficker, nó lây nhiễm đến hơn 15 triệu máy chạy
hệ điều hành Windows, từ Windows 2000 đến Windows 7 Beta và được phát hiện ở
khắp nơi, từ máy cá nhân đến máy chủ, từ bệnh viện Sheffield đến tàu ngầm của hải
quân Anh. Microsoft đặt ra mức tiền thưởng $ 250,000 USD cho thông tin dẫn đến
việc bắt giữ tác giả của sâu này. Năm biến thể chính của sâu Conficker được biết đến
và đã được đặt tên là Conficker A, B, C, D và E.
Năm 2009: Một cuộc tấn công mạng tầm cỡ quốc gia đầu tiên đã được diễn ra,
công cụ là W32.Dozer và được nhắm vào hai nước Hoa Kỳ và Hàn Quốc.
Năm 2010: Stuxnet được phát hiện. Đây là một ví dụ điển hình về malware
được sử dụng như một thứ vũ khí ảo. Lây lan qua các thiết bị USB và một số phương
pháp khác, virus này được thiết kế nhằm chiếm quyền điều khiển hoạt động của các hệ
thống điều khiển công nghiệp chuyên dụng (nhắm trực tiếp đến hệ thống của hãng
Siemen thiết kế). Mặc dù chưa có kết luận cuối cùng, nhưng chứng cứ mà các nhà
nghiên cứu thu thập được cho thấy Stuxnet nhằm vào các máy ly tâm làm giàu
Uranium trong phần mềm hạt nhân của Iran, sâu này làm cho máy ly tâm hoạt động



17

quá công suất thiết kế. Điều đặc biệt, đây cũng là lần đầu tiên một Malware có được
chữ ký số hợp lệ, chữ ký đó là từ Realtek.
Năm 2011: SpyEye và Zeus kết hợp để trở thành công cụ hiệu quả đánh cắp
thông tin thanh toán ngân hàng hiệu quả, nó đánh cắp được cả mật khẩu ngân hàng và
mật mã xác thực một lần (OTP – One Time Password) được gửi qua tin nhắn điện
thoại, để tiến hành chuyển tiền một cách hợp lệ.
Năm 2012: Flame, đây là phần mềm mà Kaspersky Lab đánh giá là Malware
phức tạp nhất mà họ từng phân tích. Mục tiêu của phần mềm này là hoạt động gián
điệp tại các nước trung đông. Một điều đáng nói là mặc dù được phát hiện năm 2012
nhưng người ta đã đưa ra một số bằng chứng cho thấy Flame lại là tiền thân của sâu
gián điệp Stuxnet được phát hiện năm 2010 ở Iran.
Năm 2013: CryptoLocker, đánh dấu sự trở lại của phần mềm bắt cóc dữ liệu
(ransomeware), chúng mã hóa dữ liệu khi lây được vào hệ thống và ra điều kiện đòi
tiền chuộc để giải mã dữ liệu đó.

1.4 Vai trò của việc phân tích Malware
Với sự phát triển mạnh mẽ của Internet, vấn đề an ninh, bảo đảm an toàn cho
các hệ thống thông tin ngày càng trở nên cấp thiết khi các hệ thống thông tin được kết
nối với nhau và kết nối với mạng Internet, chúng ta phải đối diện với nhiều nguy cơ bị
tấn công lấy cắp thông tin hoặc phá hoại hệ thống. Trong số các phương thức tấn công
phá hoại hệ thống thông tin và mạng, các phần mềm độc hại là một trong các dạng gây
nhiều thiệt hại nhất do khả năng lan truyền nhanh chóng.
Câu hỏi đặt ra là liệu có cần phân tích mã độc không khi càng ngày những phần
mềm đảm bảo an ninh máy tính càng phát triển. Câu trả lời luôn là có, vì các phần
mềm độc hại được phát triển ngày càng tinh vi và rất khó phát hiện. Phần mềm đảm
bảo an ninh mạnh nhất và được cập nhật cũng không thể loại bỏ được hết mã độc. Kết
quả của quá trình phân tích Malware sẽ phát hiện được những phương thức lây lan,

phá hoại, đánh cắp dữ liệu mới; đồng thời hạn chế sự lây lan, giảm thiểu thiệt hại do
Malware gây ra bằng cách đưa các cảnh báo tới cộng đồng; là nguồn thông tin quan
trọng để cập nhật mẫu cũng như chức năng cho phần mềm đảm bảo an ninh máy tính.


18

CHƯƠNG 2– CƠ CHẾ HOẠT ĐỘNG CỦA MALWARE
2.1 Tìm hiểu về cấu trúc PE file
Một bước rất quan trọng khi tìm hiểu về mã độc là tìm hiểu về file PE vì gần như
mọi mã thực thi được nạp bởi Windows đều có định dạng PE. Đây là dạng phổ biến
bậc nhất của Malware và cũng là định dạng hay bị lây nhiễm mã độc nhất.
Định dạng file PE được dùng cho những file thực thi, mã đối tượng và các DLL của
Windows. Định dạng này là một cấu trúc dữ liệu bao gồm thông tin cần thiết để
Windows OS Loader quản lý được mã thực thi trong nó.
Để có thể thực thi trên máy tính, nội dung file PE được chia thành các thành phần
và có mối liên hệ mật thiết với nhau. Nắm rõ cấu trúc PE sẽ giúp chúng ta hiểu được
cơ chế thực thi của một phần mềm, từ việc tổ chức tới việc nạp lên bộ nhớ, các tài
nguyên sử dụng…
Hơn nữa, khi chúng ta muốn sửa đổi một file, ví dụ như thêm vào một số đoạn mã,
chỉnh sửa một số thành phần nhưng vẫn muốn phần mềm thực thi bình thường, ví dụ
trong trường hợp cần chỉnh sửa các công cụ phân tích để tránh bị phát hiện bởi
Malware thì chúng ta cần phải nắm rõ cấu trúc PE file cũng như mối liên hệ giữa các
thành phần trong file để có thể nhanh chóng thay đổi file và thoả mãn yêu cầu đề ra mà
không ảnh hưởng tới chức năng cũng như hoạt động của file.
Mặt khác, đối với các Malware sử dụng kỹ thuật tiêm mã vào các tiền trình đang có
để che giấu sự tồn tại trên hệ thống, nếu chúng ta không hiểu rõ cấu trúc của file PE sẽ
rất khó tìm ra tiến trình bị tiêm mã độc.

Hình 2.1: Cấu trúc cơ bản của PE



19

Cấu trúc PE có thể gồm nhiều section, trong đó tối thiểu cần 2 section: data và
code. Một số section thông dụng hay được gặp ở các phần mềm:
1. Executable Code Section, có tên là .text (Microsoft).
2. Data Sections, có tên nh .data, .rdata, .bss (Microsoft) hay DATA (Borland)
3. Resources Section, có tên là .rsrc
4. Export Data Section, có tên là .edata
5. Import Data Section. có tên là .idata
6. Debug Information Section, có tên là .debug
Cấu trúc các section trên bộ nhớ và trên ổ đĩa là như nhau, tuy nhiên khi được
nạp lên bộ nhớ, các Windows loader sẽ quyết định thứ tự và vị trí nạp các phần, do đó
vị trí các phần trên ổ đĩa và trên bộ nhớ sẽ có sự khác biệt.

2.2 Hình thức lây nhiễm
2.2.1 Qua thiết bị lưu trữ
Cách lây nhiễm phổ biến nhất của Malware trước đây là qua các thiết bị lưu trữ
di động, dù là thời sử dụng đĩa mềm ngày xưa hay thẻ nhớ USB ngày nay. Hiện tại, thẻ
nhớ trong các thiết bị di động thông minh, hay thiết bị ghi âm, ghi hình kỹ thuật số
cũng là một vật trung gian hiệu quả cho việc lan truyền Malware. Các thiết bị di động
thông minh thì hay phải nạp pin và phương thức nạp pin qua công USB lại rất tiện
dụng, điều này tiềm ẩn nguy cơ rất lớn cho việc lây truyền Malware.
Một số dạng lây nhiễm điển hình qua USB:
- Lợi dụng chức năng Autorun
Khi thiết bị lưu trữ có sử dụng giao tiếp USB được cắm vào máy tính đã nhiễm
Malware, Malware sẽ phát hiện ra thiết bị có thể lây nhiễm được, sau đó tự sao
chép bản thân mình vào một vị trí bí mật trên thiết bị đó. Tiếp theo, nó ghi một file
autorun.inf có nội dung cơ bản như sau:

[Autorun]
OPEN=Đường dẫn virus trong đĩa USB
Từ Windows Vista trở về trước, Windows sẽ mặc nhiên kiểm tra tập tin autorun.inf
trong các thiết bị USB và thực thi các câu lệnh có trong đó.
-

Đánh lừa người dùng
Trong nhiều trường hợp, các lây nhiễm sử dụng tập tin Autorun không hiệu
quả, ví dụ như từ hệ điều hành Windows 7 trở về sau, chức năng này không còn hoạt


20

động nữa. Malware chuyển sang sử dụng cách đánh lừa người dùng để thực thi file mã
độc đã lây nhiễm trên thẻ nhớ USB. Có thể kể đến như:


Ẩn thư mục trên USB và thay vào đó là các tập tin Malware có hình thư
mục với tên tương tự các thư mục tồn tại ban đầu. Với cách này,
Malware dễ dàng lừa được người dùng khởi chạy nó nếu trên hệ thống
đang tắt chức năng hiển thị file ẩn và phần mở rộng file.



Chuyển các file .doc, .docx của người dùng vào vị trí bí mật trên thẻ nhớ
USB thay thế vào đó là các file Malware có tên và hình đại diện (icon) là
file doc, docx. Đồng thời sử dụng các khoảng trắng để kéo dài tên file tối
đa, làm người dùng có để hiện tên file thì cũng có khả năng cao bị đánh
lừa.




Ví dụ:
Tập tin .doc gốc: TenVanBan.doc
Tập tin Malware: TenVanBan.doc

.exe

Vì tên tập tin quá dài nên Windows sẽ rút ngắn lại khi hiển thị và để dấu
hai chấm “..” cuối cùng, thể hiện là tên văn bản còn tiếp tục. Nhưng
người dùng sẽ dễ dàng bỏ qua sự thể hiện này và chỉ nhìn lướt với tên
hiển thị ngay đầu tiên nên dễ dàng bị đánh lừa.
Cả 2 cách trên đối với người dùng thông thường đều rất khó nhận ra khi lỡ khởi
chạy nhầm phải Malware, vì khi đã đạt được mục đích lây nhiễm, Malware vẫn mở
thư mục hoặc tập tin như bình thường cho người dùng. Thậm chí, trong nhiều trường
hợp, Malware còn khôi phục lại thẻ nhớ USB như chưa hề bị nhiễm để tránh sự phát
hiện.

2.2.2 Qua mạng Internet
2.2.2.1 Lây nhiễm qua các phần mềm:
Các phần mềm được viết ra có chứa sẵn mã độc, hoặc các phần mềm chính
thống bị sửa đổi để thêm mã độc vào được phát tán tràn lan trên mạng Internet. Các
phần mềm Crack (bẻ khóa) có tỉ lệ chứa mã độc trong đó rất cao. Nhiều khi vì chủ
quan hay vì muốn dùng phần mềm mà không phải trả tiền, người dùng sẵn sàng bất
chấp mọi nguy cơ bị lây nhiễm mã độc để dùng những phần mềm này.
2.2.2.2 Lây nhiễm qua các trang web
Khi truy cập các trang web, hệ thống có thể bị nhiễm mã độc bất kỳ lúc nào,
nhất là khi truy cập vào các trang không đáng tin cậy. Điều này có thể xảy ra ngày cả
khi chúng ta chỉ mở trang web, vì các trình duyệt, đặc biệt là các thành phần của trình



21

duyệt được phát triển bởi hãng thứ 3 (plugin) ẩn chứa rất nhiều nguy cơ mất an toàn.
Malware có thể lợi dụng những lỗ hổng này để lây nhiễm vào hệ thống.
2.2.2.3 Lây nhiễm qua thư điện tử
Khi mà thư được sử dụng ngày càng rộng rãi thì đây là một nguồn lây nhiễm rất
hiệu quả. Khi đã lây nhiễm vào máy nạn nhân, Malware có thể tự tìm ra danh sách các
địa chỉ thư điện tử trong máy tính và nó tự gửi đi hàng loạt những thư đánh lừa được
đính kèm bản thân nó hoặc các liên kết chứa mã độc. Khi người nhận không phát hiện
ra thư bị nhiễm Malware thì khả năng cao sẽ bị nhiễm mã độc vào máy và từ máy này
Malware lại tiếp tục lây nhiễm. Chính vì vậy, số lượng phát tán Malware có thể theo
cấp số nhân khiến trong thời gian ngắn hàng triệu máy tính có thể bị lây nhiễm.
Ngày nay, khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt
Malware có thể khắc phục được hành động tự nhân bản hàng loạt để phát tán qua các
địa chỉ thư điện tử trong danh bạ máy tính thì chủ nhân Malware có thể chuyển qua
hình thức tự gửi thư phát tán Malware bằng các nguồn địa chỉ sưu tập được, các địa
chỉ này cũng có thể là của chính Malware đó gửi về.
Phương thức lây nhiễm qua thư điện tử bao gồm:
-

-

-

Lây nhiễm vào các file đính kèm: Với cách này, người dùng sẽ không bị nhiễm mã
độc đến khi phần mềm đính kèm đó được kích hoạt. Malware cũng không dại gì
chỉ gửi đúng mã độc của mình, mà chúng thường ẩn dưới bỏ bọc là các phần mềm
miễn phí hay những phần mềm có nội dung nhạy cảm.
Lây nhiễm do mở một liên kết trong thư điện tử: Liên kết trong thư điện tử có thể

dẫn tới một trang web được cài sẵn mã độc, các này thường khai thác lỗ hổng của
trình duyệt hoặc các plugin (thành phần cài đặt thêm) của trình duyệt, ví dụ như
trình FlashPlayer.
Lây nhiễm ngay khi mở để xem thư điện tử: Trường hợp này vô cùng nguy hiểm
bởi chưa cần kích hoạt các file hay mở liên kết gì hệ thống đã bị nhiễm mã độc.
Cách này thường là do mã độc khai thác lỗ hổng của hệ điều hành. Mặc dù vây,
cách khai thác này cũng khó thực hiện hơn, do lỗ hổng trên hệ điều hành chưa bị
phát hiện (zero day) sẽ ít hơn rất nhiều lỗ hổng trên trình duyệt và các plugin của
nó.

2.2.2.4 Lây nhiễm qua mạng nội bộ
Virus sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạn nhân) xem
có thư mục nào chia sẻ (Share) và cho phép sửa chữa chúng hay không. Sau đó chúng
sẽ tự sao chép và chờ đợi một ai đó vô ý chạy chúng.
2.2.2.5 Lây nhiễm qua các dịch vụ IM


22

Nhắn tin nhanh (Instant Messaging), là dịch vụ cho phép hai người trở lên nói
chuyện trực tuyến với nhau qua một mạng máy tính. Tương tự như lây nhiễm qua thư
điện tử, Malware lây nhiễm qua IM cũng có những phương thức tương tự như gửi file
hay gửi link chữa mã độc. Bên cạnh đó, Malware cũng sử dụng các giao thức thức
XMPP (Jabber). Đây là giao thức mở, an toàn và máy chủ nào hỗ trợ giao thức này
đều có thể kết nối được với nhau. Ứng dụng khách Jabber có khả năng truy cập mọi
giao thức/mạng IM: MSN Messenger, Yahoo!, AIM, ICQ, ngay cả IRC và SMS. Chỉ
một phần mềm Jabber có thể nói chuyện với bạn bè trên mọi mạng. Malware
GirlXinhYM là một đại diện cho dòng này.
2.2.2.6 Lây nhiễm qua file
Đây là cách lây nhiễm Malware đã tồn tại rất lâu. Cách thức lây nhiễm cơ bản là

Malware sẽ thay đổi nội dung file mà sau đó khi chủ nhân máy tính hay người khác
làm việc với file ấy thì sẽ nhiễm phải Malware.

2.3 Đối tượng lây nhiễm
Một số định dạng tập tin có thể chứa mã hoặc các lệnh thực thi, do đó chúng có thể
được mã độc sử dụng. Một tập tin dạng exe nguy hiểm bởi vì đây là định dạng của file
thực thi mà có thể làm bất cứ điều gì (trong phạm vi quyền người dùng chạy nó) trong
hệ thống. Một định dạng Media như JPEG, không phải luôn nguy hiểm vì chúng
không chứa mã thực thi. Mặc dù vậy, trong nhiều trường hợp, những kẻ tấn công đã
lợi dụng lỗ hổng của các phần mềm xem ảnh, đọc PDF,… để thực thi những đoạn mã
nguy hiểm cho hệ thống bằng cách chèn mã độc vào trong các file tưởng như vô hại
trên. Trong khuôn khổ nghiên cứu, luận văn chỉ đề cập tới những định dạng file có thể
chứa mã thực thi hoặc chứa đoạn lệnh nguy hiểm mà mã độc hay lợi dụng:

2.3.1 Các phần mềm:
.EXE – Executable File: Một phần mềm có khả năng thực thi, hầu hết các phần mềm
chạy trên Windows là định dạng này.
.PIF – Program Information File: Một tập tin thông tin phần mềm cho các phần mềm
MS-DOS. Bình thường các file .PIF không chứa mã thực thi, nhưng khi nó chứa mã
thực thi thì Windows sẽ xử lý như các tập tin EXE.
.APPLICATION: Định dạng cài đặt ứng dụng triển khai với công nghệ Microsoft’s
ClickOnce.


23

.GADGET: Một tập tin tiện ích trên màn hình Windows, công nghệ này được giới
thiệu cùng Windows Vista.
.MSI – Microsoft Installer File: Tập tin cài đặt ứng dụng trên Windows
.MSP – Microsoft Installer Patch file: Được dùng để vá các phần mềm đã được triển

khai bởi .MSI.
.COM – Command file: Tệp thực thi.
.SCR: Windows screen saver.
.HTA – HTML application: Không giống như các ứng dụng chạy trong các trình duyệt
HTML, các file .hta chạy như các ứng dụng đáng tin cậy mà không bị cô lập.
.CPL – Control Panel file: Tất cả các tiện ích trong Windows Control Panel đều có
dạng .CPL.
.MSC – Microsoft Management Console file: Các ứng dụng dạng này như ứng dụng
quản lý chính sách cho nhóm hay công cụ quản lý ổ đĩa.
.JAR – executable Java code: Nếu chúng ta đã cài đặt Java runtime trên hệ thống thì,
các tập tin dạng .JAR sẽ chạy như một phần mềm (tương tự dạng exe).

2.3.2 Đoạn mã (Script):
.BAT – Batch File: Bao gồm một tập hợp các câu lệnh sẽ thực thi khi ta mở file dạng
này. Nguyên thủy tập tin .BAT được dùng trong MS-DOS.
.CMD – Batch File: Cũng tương tự như tập tin .BAT, nhưng định dạng này được giới
thiệu lần đầu tiên trên Windows NT.
.VB, .VBS – VBScript file: Tập hợp các mã lệnh viết bằng ngôn ngữ Visual Basic
Script, chúng sẽ được thực thi nếu chúng ta mở file.
.VBE – Encrypted VBScript file: Tương tự như VBScript file, nhưng các mã trong file
đã được mã hóa để che giấu ý đồ tác động lên hệ thống.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×