Tấn công phát tán mã độc qua thư điện tử, minh họa và biện pháp phòng chống
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.59 MB, 78 trang )
TRƯỜNG ĐẠI HỌC KỸ THUẬT
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO CHUYÊN ĐỀ
Học phần: An toàn dịch vụ mạng
TÌM HIỂU VỀ TẤN CÔNG PHÁT TÁN MÃ ĐỘC QUA THƯ
ĐIỆN TỬ, MÔ PHỎNG VÀ BIỆN PHÁP PHÒNG CHỐNG
Nhóm học viên: Cao Hoang Nguyen
Bắc Ninh, tháng 10 năm 2019
i
TRƯỜNG ĐẠI HỌC KỸ THUẬT
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO CHUYÊN ĐỀ
Học phần: An toàn dịch vụ mạng
TÌM HIỂU VỀ TẤN CÔNG PHÁT TÁN MÃ ĐỘC QUA THƯ
ĐIỆN TỬ, MÔ PHỎNG VÀ BIỆN PHÁP PHÒNG CHỐNG
Nhóm học viên:
Cao Hoang Nguyen
Bắc Ninh, tháng 10 năm 2019
ii
MỤC LỤC
DANH MỤC HÌNH ẢNH .................................................................................. v
DANH MỤC BẢNG ........................................................................................ vii
DANH MỤC TỪ VIẾT TẮT .......................................................................... viii
Mở đầu ............................................................................................................... 1
CHƯƠNG 1. Tổng quan về thư điện tử và mã độc ............................................. 2
1.1. Tổng quan về thư điện tử ............................................................................. 2
1.1.1. Khái niệm thư điện tử ..................................................................... 2
1.1.2. Lịch sử phát triển thư tín................................................................. 2
1.1.3. Kiến trúc và hoạt động của hệ thống thư điện tử ............................. 3
1.1.4. Các mô hình và giao thức sử dụng trong thư điện tử ....................... 7
1.2. Tổng quan về mã độc ................................................................................ 14
1.2.1. Khái niệm mã độc ......................................................................... 14
1.2.2. Phân loại mã độc .......................................................................... 15
1.2.3. Mục đích của mã độc .................................................................... 16
1.2.4. Tác hại của mã độc ....................................................................... 17
1.2.5. Cách thức lây nhiễm của mã độc .................................................. 18
1.2.6. Phân tích một số dạng mã độc ...................................................... 20
1.2.7. Xu hướng phát triển mã độc trong tương lai ................................. 30
CHƯƠNG 2. TẤN CÔNG PHÁT TÁN MÃ ĐỘC QUA THƯ ĐIỆN TỬ VÀ
BIỆN PHÁP PHÒNG CHỐNG ........................................................................ 34
2.1. Phương thức tấn công phát tán mã độc qua thư điện tử .............................. 34
2.1.1. Lừa đảo thư điện tử ...................................................................... 34
2.1.2. Giả mạo thư điện tử ...................................................................... 37
iii
2.1.3. Phát tán qua thư rác ...................................................................... 38
2.2. Phương thức lây nhiễm mã độc qua thư điện tử ......................................... 42
2.2.1. Lây nhiễm vào các tệp đính kèm theo thư điện tử (Attached mail) 42
2.2.2. Lây nhiễm do mở một liên kết trong thư điện tử ........................... 43
2.2.3. Lây nhiễm ngay khi mở để xem thư điện tử .................................. 44
2.3. Biện pháp phòng chống ............................................................................. 46
2.3.1. Phòng tránh email phishing .......................................................... 46
2.3.2. Phòng chống mã độc .................................................................... 47
2.3.3. Người dùng sử dụng thư điện tử ................................................... 48
2.3.4. Sử dụng phần mềm diệt virus ....................................................... 53
CHƯƠNG 3. MÔ PHỎNG TẤN CÔNG PHÁT TÁN MÃ ĐỘC VÀ CÁCH
PHÒNG CHỐNG ............................................................................................. 58
3.1. Tấn công phát tán mã độc .......................................................................... 58
3.2. Mô phỏng lọc thư rác dùng phần mềm VinaCIS AntiSPAM ..................... 63
3.2.1. Giới thiệu về phần mềm VinaCIS AntiSAMP .............................. 63
3.2.2. Sử dụng phần mềm VinaCIS AntiSPAM. ..................................... 63
KẾT LUẬN ...................................................................................................... 69
TÀI LIỆU THAM KHẢO
iv
DANH MỤC HÌNH ẢNH
Trang
Hình 1.1. Tổng quan thư điện tử ......................................................................... 2
Hình 1.2. Sự phát triển của thư điện tử ............................................................... 3
Hình 1.3. Các thành phần của thư điện tử ........................................................... 4
Hình 1.4. Truy vấn DNS trong thư điện tử ......................................................... 6
Hình 1.5. Thư điện tử được gửi qua các trạm ..................................................... 7
Hình 1.6. Quá trình xử lý trong mô hình offline ................................................. 8
Hình 1.7. Quá trình xử lý trong SMTP ............................................................. 10
Hình 1.8. Quá trình xử lý trong POP ................................................................ 12
Hình 1.9. Các loại mã độc ................................................................................ 15
Hình 1.10. Mã độc lấy cắp thông tin nếu không được bảo vệ ........................... 17
Hình 1.11. Virus máy tính ................................................................................ 20
Hình 1.12. Cảnh báo về Trojan ......................................................................... 22
Hình 1.13. Cảnh báo về Worm ......................................................................... 24
Hình 1.14. Hacker tấn công máy tính qua cửa sau Backdoor ............................ 26
Hình 1.15. Thông báo đòi tiền chuộc của Gandcrab ......................................... 28
Hình 1.16. Nội dung email giả mạo “Goi trong Cong an Nhan dan Viet Nam” là
Mã độc tống tiền GandCrab 5.2 ........................................................................ 29
Hình 1.17. Thống kê số lượng mã độc trên Android ......................................... 31
Hình 2.1. Lừa đảo trong thư điện tử ................................................................. 34
Hình 2.2. Liên kết trong email chứa mã độc ..................................................... 44
Hình 2.3. Microsoft Outlook ............................................................................ 45
Hình 2.4. Email lừa đảo với tiêu đề “Quà tặng giáng sinh”............................... 51
Hình 2.5. Mô hình Firewall tích hợp ứng dụng quét virus ................................ 53
Hình 2.6. Mô hình quét virus trên chính máy chủ thư ....................................... 55
Hình 2.7. Quét virus được thực hiện trên các trạm của người sử dụng .............. 56
v
Hình 3.1. Emal có nội dung hấp dẫn. ................................................................ 58
Hình 3.2. Người nhận email tải xuống file đính kèm. ....................................... 58
Hình 3.3. Nội dung file Word document........................................................... 59
Hình 3.4. Mã độc chạy đến khi mã hóa xong dữ liệu máy tính nạn nhân. ......... 60
Hình 3.5. Các tập tin sau khi bị mã hóa. ........................................................... 61
Hình 3.6. Cửa sổ thông báo của mã độc. .......................................................... 61
Hình 3.7. Cửa sổ thông báo của mã độc. .......................................................... 62
Hình 3.8. Cửa sổ thông báo của mã độc. .......................................................... 62
Hình 3.9. Giao diện phần mềm VinaCIS AntiSAMP ........................................ 64
Hình 3.10. Thông tin về tài khoản dùng trong VinaCIS AntiSAMP ................. 64
Hình 3.11. Danh sách thư sạch và rác ............................................................... 65
Hình 3.12. Danh sách các email rác .................................................................. 65
Hình 3.13. Danh sách email sạch ...................................................................... 66
Hình 3.14. Danh sách tên miền rác. .................................................................. 66
Hình 3.15. Danh mục thư rác trong email của bạn. ........................................... 68
Hình 3.16. Thông tin của thư rác ...................................................................... 68
vi
DANH MỤC BẢNG
Trang
Bảng 1.1. So sánh các đặc điểm của 3 mô hình .................................................. 9
Bảng 1.2. Danh sách các lệnh SMTP cơ bản .................................................... 11
Bảng 1.3. Danh sách các lệnh trong giao thức POP3 ........................................ 13
vii
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
Nghĩa tiếng anh
Nghĩa tiếng việt
Electronic Email
Thư điện tử
IMAP
Internet Message Access
Protocol
Giao thức sử dụng để nhận mail
(port 143)
POP
Post Office Protocol
Giao thức sử dụng để nhận mail
(port 110)
SMTP
Simple Mail Transfer Protocol
MUA
Mail User Agent
Trạm người dùng gửi thư
MDA
Mail Tranfer Agent
Trạm chuyển thư
MTA
Mail Delivery Agent
Trạm nhận thư
viii
Giao thức sử dụng để gửi email
(port 25)
MỞ ĐẦU
Thư điện tử (email) là một phương thức trao đổi tin nhắn giữa người sử
dụng các thiết bị điện tử, là một hệ thống chuyển nhận thư từ qua các mạng máy
tính. Sự ra đời của thư điện tử đã đánh dấu bước đột phá trong quá trình trao đổi
thông tin. Thời gian nhận thư nhanh chóng, có thể đính kèm nhiều định dạng hơn
như ảnh, video, ghi âm… một cách dễ dàng.
Phát tán mã độc (Malware) đã thực sự trở thành một ngành “Công nghiệp”
trong các hoạt động gián điệp và phá hoại hệ thống phần mềm hiện nay. Mã độc
được phát tán tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc
hội, tới các cơ quan tài chính như ngân hàng, viện nghiên cứu, trường đại học…
Các phần mềm chứa mã độc được tồn tại dưới nhiều hình thức và có khả năng lây
lan vô cùng lớn. Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và
hiện tại không chỉ giới hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị
thông minh như smartphone.
Trong thời gian gần đây, việc phát tán mã độc, lây lan phần mềm độc hại
qua thư điện tử đang trở nên phổ biến hơn bao giờ hết. Hiện nay các phương pháp
phòng chống đang là một trong những vấn đề được các nhà quản trị hệ thống
mạng quan tâm. Nhiều phương pháp, công cụ đã được đề xuất, tuy nhiên nhìn
chung các công cụ hiện nay vẫn tỏ ra chưa thực sự hiệu quả. Chính vì lý do đó,
cần phải có một biện pháp tổng thể để đảm bảo an toàn ở tất cả các thành phần.
Từ những lý do thực tế như vậy chúng em đã chọn nghiên cứu đề tài “Tìm hiểu
về tấn công phát tán mã độc qua thư điện tử, mô phỏng và biện pháp phòng chống”
với mục đích tiếp cận, tìm hiểu về các hiểm họa cũng như các phương pháp phòng
chống tương ứng trong thư điện tử.
Bài báo cáo tập trung nghiên cứu tổng quan về thư điện tử và mã độc, tìm
hiểu về các hiểm họa mã độc qua thư điện tử đặc biệt là dạng tấn công phát tán
mã độc qua thư điện tử, phương thức lây nhiễm mã độc qua thư điện tử từ đó đưa
ra các biện pháp phòng chống.
Chương 1: Tổng quan về thư điện tử và mã độc.
Chương 2: Tấn công phát tán mã độc qua thư điện tử và biện pháp phòng
chống.
Chương 3: Mô phỏng tấn công phát tán mã độc và cách phòng chống.
1
CHƯƠNG 1. TỔNG QUAN VỀ THƯ ĐIỆN TỬ VÀ MÃ ĐỘC
1.1. Tổng quan về thư điện tử
1.1.1. Khái niệm thư điện tử
Thư điện tử là một thông điệp gửi từ máy tính này đến một máy tính khác
trên mạng máy tính mang nội dung cần thiết từ người gửi đến người nhận. Thư
điện tử còn được gọi tắt là E-Mail (Electronic Mail) là cách gửi điện thư rất phổ
biến. E-Mail có nhiều cấu trúc khác nhau tùy thuộc vào hệ thống máy vi tính của
người sử dụng. Mặc dù khác nhau về cấu trúc nhưng tất cả đều có một mục đích
chung là gửi hoặc nhận thư điện tử từ một nơi này đến một nơi khác nhanh chóng.
Ngày nay, nhờ sự phát triển mạnh mẽ của Internet người ta có thể gửi điện thư tới
các quốc gia trên toàn thế giới. Với lợi ích như vậy nên thư điện tử hầu như trở
thành một nhu cầu cần phải có của người sử dụng máy vi tính.
Hình 1.1. Tổng quan thư điện tử
1.1.2. Lịch sử phát triển thư tín
ARPANET là một dự án của ARPA Hoa Kỳ nhằm phát triển các giao thức
truyền thông để liên kết các nguồn tài nguyên trên các vùng địa lý khác nhau. Các
ứng dụng xử lý thông báo cũng được thiết kế trong các hệ thống của ARPANET,
tuy nhiên chúng chỉ được sử dụng trong việc gửi các thông báo tới người dùng
trong nội bộ của một hệ thống. Tomlinson đã sửa đổi hệ thống xử lý thông báo để
người sử dụng có thể gửi các thông báo cho các đối tượng nhận không chỉ trong
một hệ thống mà trên các hệ thống ARPANET khác. Tiếp theo sự cải tiến
Tomlinson, nhiều công trình nghiên cứu khác đã được tiến hành và thư tín điện tử
đã nhanh chóng trở thành một ứng dụng được sử dụng nhiều nhất trên ARPANET
trước đây và Internet ngày nay.
2
Theo thống kê đến tháng một năm 2000, có khoảng 242 triệu người sử dụng
Internet. Trong đó hầu hết số người sử dụng Internet đều có tài khoản thư tín điện
tử trên một hoặc nhiều hệ thống thư tín khác nhau. Khởi nguồn của bước phát
triển nhảy vọt trên xuất phát từ năm 1971 khi Ray Tomlinson thực hiện gửi thành
công một thông báo thư tín điện tử ARPANET đầu tiên.
Hình 1.2. Sự phát triển của thư điện tử
1.1.3. Kiến trúc và hoạt động của hệ thống thư điện tử
1.1.3.1. Tài khoản thư điện tử
Muốn gửi thư điện tử người gửi cần phải có một account trên một máy chủ
thư. Một máy chủ có thể có một hoặc nhiều account. Mỗi account đều được mang
một tên khác nhau (User ID). Mỗi account đều có một hộp thư riêng (mailbox)
cho account đó. Thông thường thì tên của hộp thư sẽ giống như tên của account.
Có một số nơi cấp phát account thư điện tử miễn phí cho người dùng như
hotmail.com hoặc yahoo.com... Ngoài ra, còn có nhiều nhà cung cấp dịch vụ thư
điện tử có tính phí hàng tháng.
1.1.3.2. Đường đi của thư điện tử
Mỗi một bức thư truyền thống phải đi tới các bưu cục khác nhau trên đường
đến với người dùng. Tương tự thư điện tử cũng chuyển từ máy máy chủ thư điện
tử này tới máy chủ thư điện tử khác trên internet. Khi thư được chuyển đến đích
3
thì nó được chứa tại hộp thư điện tử tại máy chủ thư điện tử cho đến khi nó được
nhận bởi người nhận. Toàn bộ quá trình xử lý chỉ xảy ra trong thời gian ngắn, do
đó nó cho phép nhanh chóng liên lạc với mọi người trên toàn thế giới một cánh
nhanh chóng tại bất cứ thời điểm.
1.1.3.3. Các thành phần hệ thống trong thư điện tử
Mail User Agent (MUA): Là chương trình mà người dùng sử dụng để đọc
và gửi e-mail. Nó đọc e-mail được gửi vào mailbox của người dùng và gửi e-mail
tới MTA để gửi đến nơi nhận. Các MUA thường được sử dụng trên Linux là: elm,
pine, mutt. Trên Windows là các Microsoft Outlook, Outlook Express.
Mail Tranfer Agent (MTA): hoạt động cơ bản của nó giống như một “mail
router” nó nhận e-mail từ các MUA hay từ một MTA khác, dựa vào thông tin
trong phần header của e-mail nó sẽ đưa ra xử lý phù hợp với e-mail đó, sau đó email sẽ được gửi đến một MDA phù hợp để gửi e-mail đó. Các MTA thường được
sử dụng trên Linux là: sendmail, postfix, qmail. Trên Windows có Exchange,
Mdaemon.
Mail Delivery Agent (MDA): nhận e-mail từ MTA và thực hiện việc gửi email đến đích thực sự. Qua những khái niệm trên bạn có thể nhận thấy MTA là
phần quan trọng nhất trong một hệ thống thư điện tử.
Hình 1.3. Các thành phần của thư điện tử
1.1.3.4. Gửi, nhận và chuyển thư điện tử
Để nhận được thư điện tử bạn cần phải có một tài khoản (account) thư điện
tử. Nghĩa là bạn phải có một địa chỉ để nhận thư. Một trong những thuận lợi hơn
với thư thông thường là bạn có thể nhận thư điện tử từ bất cứ đâu. Bạn chỉ cần kết
nối vào Server thư điện tử để lấy thư về máy tính của mình.
4
Để gửi được thư bạn cần phải có một kết nối vào Internet và truy nhập vào
máy chủ thư điện tử để chuyển thư đi. Thủ tục tiêu chuẩn được sử dụng để gửi
thư là SMTP (Simple Mail Transfer Protocol). Nó được kết hợp với thủ tục POP
(Post Office Protocol) và IMAP để lấy thư. Trên thực tế có rất nhiều hệ thống vi
tính khác nhau và mỗi hệ thống lại có cấu trúc chuyển nhận thư điện tử khác nhau.
Vì có sự khác biệt như vậy nên việc chuyển nhận thư điện tử giữa hai hệ thống
khác nhau rất là khó khăn. Do vậy, người ta đã đặt ra một giao thức chung cho
thư điện tử. Có nghĩa là các hệ thống máy vi tính đều truyền thông với nhau về
một giao thức chung gọi là SMTP-Simple Mail Transfer Protocol. Nhờ vào SMTP
này mà sự chuyển vận thư từ điện tử trên Internet đã trở thành dễ dàng nhanh
chóng cho tất cả các người sử dụng máy vi tính cho dù họ có sử dụng hệ thống
máy vi tính khác nhau.
Khi gửi thư điện tử thì máy tính của bạn cần phải định hướng đến máy chủ
SMTP. Máy chủ sẽ tìm kiếm địa chỉ thư điện tử (tương tự như địa chỉ điền trên
phong bì) sau đó chuyển tới máy chủ của người nhận và nó được chứa ở đó cho
đến khi được lấy về. Bạn có thể gửi thư điện tử đến bất cứ ai trên thế giới mà có
một địa chỉ thư điện tử. Hầu hết các nhà cung cấp dịch vụ Internet đều cung cấp
thư điện tử cho người dùng Internet.
- Chuyển thư (Send Mail)
Sau khi người sử dụng máy vi tính dùng chương trình thư để viết thư và đã
ghi rõ địa chỉ của người nhận thì máy tính sẽ chuyển bức thư điện đến hộp thư
người nhận. SMTP sử dụng giao thức TCP để chuyển thư. Vì giao thức TCP rất
là hữu hiệu và có phần kiểm soát thất lạc mất mát cho nên việc gửi thư điện có
hiệu xuất rất cao. Khi nhận được lệnh gửi đi của người sử dụng, máy vi tính sẽ
dùng giao thức TCP liên lạc với máy vi tính của người nhận để chuyển thư.
Đôi khi vì máy vi tính của người nhận đã bị tắt điện hoặc đường dây kết
nối từ máy gửi tới máy nhận đã tạm thời bị hư hỏng tạm thời tại một nơi nào đó,
hoặc có thể các Router trên tuyến đường liên lạc giữa hai máy tạm thời bị hỏng
thì máy gửi không cách nào gửi được tới máy nhận. Gặp trường hợp như vậy thì
các trạm gửi sẽ tạm thời lưu trữ lá thư. Trạm gửi sau đó sẽ tìm cách gửi lại với
máy nhận. Nếu trong khoảng thời gian mà trạm gửi của nơi gửi vẫn không liên
lạc được với máy nhận thì trạm gửi sẽ gửi một thông báo cho người gửi nói rằng
việc vận chuyển của lá thư điện tử đã không thành công.
5
Hình 1.4. Truy vấn DNS trong thư điện tử
- Nhận Thư (Receive Mail)
Nếu máy gửi có thể liên lạc được với máy nhận thì việc chuyển thư sẽ được
tiến hành. Trước khi nhận lá thư thì máy nhận sẽ kiểm soát tên người nhận có hộp
thư trên máy nhận hay không. Nếu tên người nhận thư có hộp thư trên máy nhận
thì lá thư sẽ được nhận lấy và thư sẽ được bỏ vào hộp thư của người nhận. Trường
hợp nếu máy nhận kiểm soát thấy rằng tên người nhận không có hộp thư thì máy
nhận sẽ khước từ việc nhận lá thư. Trong trường hợp khước từ này thì máy gửi sẽ
thông báo cho người gửi biết là người nhận không có hộp thư (user unknown).
Sau khi máy nhận đã nhận lá thư và đã bỏ vào hộp thư cho người nhận thì máy
nhận sẽ thông báo cho người nhận biết là có thư mới. Người nhận sẽ dùng chương
trình thư để xem lá thư. Sau khi xem thư xong thì người nhận có thể lưu trữ, xóa,
hoặc trả lời.
6
Hình 1.5. Thư điện tử được gửi qua các trạm
- Trạm Phục Vụ Thư (Mail Server)
Trong hệ thống thư nội bộ thì người gửi gửi trực tiếp đến người nhận thông
qua MDA. Trong các hệ thống thư bên ngoài thì, thư điện tử được gửi qua các
trạm MTA và tới MDA sau đó chuyển đến người nhận.
1.1.4. Các mô hình và giao thức sử dụng trong thư điện tử
1.1.4.1. Các mô hình được sử dụng trong thư điện tử
- Mô hình offline
Mail offline là một hệ thống mail server hoạt động dựa trên mô hình mạng
nội bộ (LAN) đã được cài đặt trước. Trong mô hình này chúng ta không cần phải
có một máy chủ chuyên dụng mà chỉ cần chỉ định một máy có cấu hình tương đối
để làm máy chủ mail server. Sử dụng mail offline sẽ cải thiện được tốc độ của
việc gửi và nhận mail giữa các nhân viên trong công ty. Mail offline thường được
cài đặt bằng MDaemon hay MS Exchange.
Trong mô hình này, một ứng dụng thư client kết nối định kỳ tới máy chủ
thư tín. Nó tải tất cả các thông báo tới máy client và xoá các thông báo này khỏi
7
máy chủ thư tín. Sau đó, quá trình xử lý mail được diễn ra cục bộ trên máy client
đó.
Hình 1.6. Quá trình xử lý trong mô hình offline
- Mô hình online
Mô hình này thường được sử dụng với các giao thức hệ thống tệp trên mạng
(NFS). Trong chế độ này, một ứng dụng client thao tác với dữ liệu mailbox trên
máy chủ thư tín. Một kết nối tới máy chủ thư tín được duy trì trong suốt phiên làm
việc. Không có dữ liệu mailbox nào được giữ trên máy client và client lấy dữ liệu
từ máy chủ thư tín khi cần.
- Mô hình disconnect
Đây là một mô hình biến thể của mô hình offline và mô hình online, được
sử dụng bởi giao thức PCMAIL. Trong mô hình này, một client tải một vài thông
báo từ máy chủ thư tín, thao tác với chúng trong mô hình offline, rồi sau đó chuyển
các thay đổi đến máy chủ thư tín. Vấn đề đồng bộ được quản lý (khi có nhiều
client) thông qua phương pháp nhận danh duy nhất cho mỗi thông báo.
8
Bảng 1.1. So sánh các đặc điểm của 3 mô hình
Đặc điểm
Có thể sử dụng
Offline
Online
Disconected
Không
có
có
Có
Không
Có
Có
Không
Không
Sử dụng ổ đĩa của
client ít nhất
Không
Có
Không
Nhiều mailbox ở xa
Không
Có
Có
Khởi động nhanh
Không
Có
Không
Có
Không
Có
nhiều client
Thời gian kết nối tới
máy chủ thư tín là
tối thiểu
Sử dụng nguồn tài
nguyên cua máy chủ
thư tín ít nhất
Xử lý mail khi
không kết nối online
1.1.4.2. Các giao thức
- Giao thức SMTP – Simple Mail Transfer Protocol
Jon Postel thuộc Trường đại học Nam California đã phát triển SMTP vào
tháng 8 năm 1982. SMTP là một giao thức truyền thư tín điện tử một cách tin cậy
và hiệu quả. SMTP độc lập đối với các hệ thống truyền tải đặc biệt và chỉ yêu cầu
kênh truyền dữ liệu tin cậy trên cổng 25. Một dịch vụ truyền tải (TCP, X.25…)
cung cấp một môi trường truyền thông liên tiến trình (IPCE-Interprocess
Communication Environment). Một IPCE có thể bao gồm một mạng, nhiều mạng,
hoặc tập con của một mạng. Như vậy, điều quan trọng ở đây là các hệ thống (hoặc
các IPCE) không phải là các mạng one-to-one. Một tiến trình có thể truyền thông
trực tiếp với tiến trình khác thông qua IPCE đã được biết. Mail có thể được truyền
thông giữa các tiến trình trong các IPCE lưu chuyển thông qua một tiến trình đã
9
kết nối với hai hoặc nhiều IPCE. Đặc biệt hơn nữa, mail có thể được lưu chuyển
giữa các máy trên các hệ thống truyền tải khác nhau bằng một máy gồm có cả hai
hệ thống truyền tải đó. Các SMTP được thiết kế dựa trên các mô hình truyền thông
sau:
+ Khi có các yêu cầu mail từ người sử dụng, phía SMTP-send sẽ thiết
lập một kênh truyền hai chiều tới phía SMTP-receiver.
+ SMTP-receiver ở đây có thể là đích đến cuối cùng hay chỉ là một địa
chỉ trung gian.
+ SMTP-send gửi SMTP commands đến SMTP-receiver.
Hình 1.7. Quá trình xử lý trong SMTP
SMTP cung cấp nhiều kĩ thuật cách khác nhau để gửi mail:
+ Truyền thẳng khi host phía gửi và host phía nhận được kết nối tới
cùng một dịch vụ truyền tải.
+ Thông qua các máy chủ SMTP khi host phía gửi và host phía nhận
không được kết nối tới cùng một dịch vụ truyền tải.
Để có thể cung cấp các khả năng lưu chuyển thì Server-SMTP phải được
cung cấp tên máy đích cuối cùng (tên mailbox đích).
10
Bảng 1.2. Danh sách các lệnh SMTP cơ bản
STT
Lệnh
Sử dụng
1
HELLO
2
3
RCPT
4
DATA
Các dòng sau lệnh này sẽ là dữ liệu thư
5
RSET
Chỉ ra phiên giao dịch thư hiện tại sẽ bị loại bỏ
6
SEND
Khởi tạo phiên giao dịch dữ liệu thư phân phối tới một hoặc
nhiều terminal
7
SOML
8
SAML
Khởi tạo phiên giao dịch dữ liệu mail phân phối tới một
hoặc nhiều terminal và nhiều mailbox
9
VRFY
Yêu cầu người nhận mail xác nhận một người sử dụng
10
EXPN
Yêu cầu xác nhận tham số để định danh một danh sách thư
11
HELP
Người nhận gửi thông tin trợ giúp tới người gửi
12
NOOP
Nhận được lệnh này từ phía người gửi, tức là không thực
hiện gì khác, thì người nhận trả lời OK
Định danh sender-SMTP đối với Receiver-SMTP
Khởi tạo phiên giao dịch mail tới một hoặc nhiều mailbox
Định danh một người nhận dữ liệu mail thông qua tham số
forward
Khởi tạo phiên giao dịch dữ liệu mail phân phối tới một
hoặc nhiều terminal hoặc nhiều mailbox
- Giao thức POP - Post Office Protocol
POP được phát triển đầu tiên là vào năm 1984 và được nâng cấp từ bản
POP2 lên POP3 vào năm 1988 và hiện nay hầu hết người dùng sử dụng tiêu chuẩn
POP3. Giao thức POP3 được sử dụng để truy nhập và lấy các thông điệp thư điện
tử từ mailbox trên máy chủ thư tín. POP3 được thiết kế hỗ trợ xử lý mail trong
chế độ Offline. Theo chế độ này, các thông báo mail được chuyển tới máy chủ
11
thư tín và một chương trình thư client trên một máy trạm kết nối tới máy chủ thư
tín đó và tải tất cả các thông báo mail tới máy trạm đó. Và sau đó, tất cả quá trình
xử lý mail được diễn ra trên chính máy trạm này.
Hình 1.8. Quá trình xử lý trong POP
Một POP3 Server được thiết lập chế độ đợi ở cổng 110. Khi POP3 client
muốn sử dụng dịch vụ POP3, nó thiết lập một kết nối TCP tới máy server ở cổng
110. Khi kết nối TCP được thiết lập, POP3 server sẽ gửi một lời chào tới client.
Phiên làm việc giữa client và server được thiết lập. Sau đó client gửi các lệnh tới
server và server đáp lại các lệnh đó tới tận khi đóng kết nối hoặc kết nối bị huỷ
bỏ. Một phiên POP3 có 3 trạng thái là:
Trạng thái AUTHORIZATION: Một khi kết nối TCP được mở và POP3
server gửi lời chào tới client thì phiên vào trạng thái AUTHORIZATION, trong
trạng thái này server sẽ xác thực client. Khi server xác thực client thành công thì
phiên vào trạng thái TRANSACTION.
Trạng thái TRANSACTION: Tiếp theo trạng thái AUTHORIZATION là
trạng thái TRANSACTION. Trong trạng thái này, client có thể truy nhập tới
mailbox của mình trên server để kiểm tra, nhận thư.
12
Trạng thái UPDATE: Khi client gửi lệnh QUIT tới server từ trạng thái
TRANSACTION, thì phiên vào trạng thái UPDATE. Trong trạng thái này server
gửi lệnh kết thúc tới client và đóng kết nối TCP, kết thúc phiên làm việc. Nếu
client gửi lệnh QUIT từ trạng thái AUTHORIZATION, thì phiên PO3 sẽ kết thúc
mà không vào trạng thái UPDATE.
Bảng 1.3. Danh sách các lệnh trong giao thức POP3
STT
Tên lệnh
Mô tả
1
STAT
2
LIST
Lệnh LIST được sử dụng có hoặc không tham số
3
RETR
Server sẽ gửi toàn bộ thông báo tương ứng với số nhận danh
thông báo tới client
4
DELE
Đánh dấu một dòng thông báo để xóa
5
RSET
Lệnh này thì ngược với lệnh DELE
6
NOOP
Lệnh này đơn giản chỉ là để kiểm tra kết nối đến server
Lệnh STAT được sử dụng để nhận số tổng thông báo và tổng
số byte của các thông báo đó trong mailbox
Nếu không có đối số [n] thì lệnh TOP sẽ lấy header của
7
TOP
thông báo được chỉ ra từ server. Nếu có đối [n] thì TOP sẽ
lấy header của thông báo cùng với n dòng của thông báo
8
UIDL
UIDL trả lại các nhận danh duy nhất của mỗi thông báo
9
QUIT
Vào trạng thái UPDATE, kết thúc phiên POP3
- Giao thức IMAP - Internet Message Access Protocol
IMAP là giao thức hỗ trợ những thiếu sót của POP3. IMAP được phát triển
vào năm 1986 bởi trường đại học Stanford. IMAP2 phát triển vào năm 1987.
IMAP4 là bản mới nhất đang được sử dụng và nó được các tổ chức tiêu chuẩn
Internet chấp nhận vào năm 1994. IMAP4 được quy định bởi tiêu chuẩn RFC
2060 và nó sử dụng cổng 143 của TCP.
13
IMAP cũng là một giao thức cho phép client truy nhập email trên một
server, không chỉ tải thông điệp thư điện tử về máy của người sử dụng mà có thể
thực hiện các công việc như: tạo, sửa, xoá, đổi tên mailbox, kiểm tra thông điệp
mới, thiết lập và xoá cờ trạng thái.
IMAP được thiết kế trong môi trường người dùng có thể đăng nhập vào
server (cổng 143/tcp) từ các máy trạm khác nhau. Nó rất hữu ích khi việc tải thư
của người dùng không về một máy cố định, bởi không phải lúc nào cũng chỉ sử
dụng một máy tính. Trong khi đó POP không cho phép người sử dụng tác động
lên các thông điệp trên server. Đơn giản POP chỉ được phép tải thư điện tử của
người dùng đang được quản lý trên server, trong inbox của người sử dụng đó. Như
vậy, POP chỉ cung cấp quyền truy nhập tới inbox của người sử dụng mà không hỗ
trợ quyền truy nhập tới pulbic folder. Sử dụng IMAP với các mục đích sau:
+ Tương thích đầy đủ với các chuẩn thông điệp Internet (Ví dụ MIME).
+ Cho phép quản lý thông điệp từ nhiều máy tính khác nhau.
+ Hỗ trợ 3 chế độ: online, offline và disconnected.
+ Hỗ trợ truy nhập đồng thời tới các mailbox dùng chung.
+ Phần mềm bên client không cần thiết phải biết kiểu lưu trữ file của
server.
Kết nối IMAP bao gồm:
+ Kết nối mạng cho client/server
+ Khởi tạo trên server hay những tương tác client/server tiếp theo.
Những tương tác này bao gồm: lệnh từ client, dữ liệu trên server, và trả lời trên
server. Tương tác giữa IMAP client và IMAP server thực hiện dựa vào các giao
thức gửi/nhận của client/server.
1.2. Tổng quan về mã độc
1.2.1. Khái niệm mã độc
Mã độc (Malicious software) là một loại phần mềm được tạo ra và chèn vào
hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp
thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của
14
máy tính nạn nhân. Mã độc được phân thành nhiều loại tùy theo chức năng, cách
thức lây nhiễm, phá hoại.
Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phương
pháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm Giới hạn giữa các loại
mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn
nhau để hiệu quả tấn công là cao nhất.
Ngày nay, đi cùng với sự phát triển mạnh mẽ của internet. Mã độc đang
nhanh chóng trở thành mối nguy hại tiềm tàng ảnh hưởng đến người sử dụng, các
tổ chức hay chính phủ trên toàn thế giới.
Ví dụ: Trojan, Worm, Virus, Backdoor, …
Hình 1.9. Các loại mã độc
1.2.2. Phân loại mã độc
Tuỳ thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà
người ta phân biệt mã độc thành nhiều loại khác nhau: virus, trojan, backdoor,
adware, spyware … Đặc điểm chung của mã độc là thực hiện các hành vi không
hợp pháp (hoặc có thể hợp pháp, ví dụ như các addon quảng cáo được thực thi
một cách hợp pháp trên máy tính người dùng) nhưng không theo ý muốn của
người sử dụng máy tính. Có hai dạng phân loại mã độc:
Phân loại mã độc theo đặc trưng thi hành:
- Lệ thuộc ứng dụng chủ (need to host)
+ Cửa sập (trapdoors)
+ Bom hẹn giờ (logic bomb)
15
+ Virus máy tính (computer virus)
+ Nội ứng ngựa gỗ (trojan horse)
- Thực thi độc lập (stand alone)
+ Máy tính vi khuẩn (computer bacterial)
+ Sâu mạng (worm) và bộ công cụ kit (rootkit)
+ Thám báo bàn phím (key logger)
+ Cửa hậu (Backdoor)
+ Đồng bộ hóa dữ liệu thiết bị di động (Companion và link)
+ Mầm độc (Germ)
+ Bộ kiến tạo (constructor)
+ Công cụ đục phá (hacktool)
Phân loại mã độc theo đặc trưng hành vi:
- Ngăn cấm thực thi chương trình, hoặc làm thay đổi dữ liệu.
- Khai thác dịch vụ hệ thống.
1.2.3. Mục đích của mã độc
Mã độc là các phần mềm được thiết kế nhằm thực hiện các hoạt động gây
hại cho người sử dụng công nghệ thông tin. Mã độc có thể tồn tại trên máy tính,
điện thoại di động hay các thiết bị công nghệ khác mã độc khi lây lan vào máy
tính có thể thực hiện các hành vi vi phạm như:
- Lấy cắp dữ liệu:
Các dữ liệu quan trọng của người sử dụng như tệp tin văn bản mật, tệp tin
nhật ký, hình ảnh riêng tư…có thể bị mã độc ấy đi và bí mật gửi ra ngoài máy
tính. Điều này đặc biệt quan trọng đối với các tổ chức, cơ quan nhà nước khi các
tài liệu được xử lý bằng hình ảnh máy tính thường chứa dữ liệu nhạy cảm.
- Theo dõi hoạt động:
Sau khi lây nhiễm vào máy tính, mã độc sẽ theo dõi hoạt động của người
sử dụng trên máy tính này. Các hoạt động của người dùng dử dụng như soạn thảo
16
văn bản, soạn thư điện tử, sử dụng mạng xã hội đều có thể bị theo dõi bởi mã độc.
Một số mã độc còn có thể nghe lén âm thanh xung quanh thiết bị đã bị lây nhiễm.
- Bị lợi dụng thực hiện tấn công đối tượng khác
Sau khi lây nhiễm và chiếm quyền điều khiển thiết bị, mã độc có thể lợi
dụng thiết bị này để tấn công vào đối tượng thứ ba. Việc này giúp cho mã độc che
dấu nguồn gốc thông tin cũng như gây khó khắn cho quá trình điều tra. Một số
cuộc tấn công liên quốc gia gây ra bởi mã độc có thể làm ảnh hưởng đến quan hệ
ngoại giao cũng như uy tín của các quốc gia.
- Phá hoại dữ liệu:
Các loại mã độc như mã độc tống tiền ransomware thường được thực hiện
mã hóa tất cả dữ liệu của người sử dụng và đòi hỏi phải trả chi phí để có thể lấy
lại dữ liệu. Trên thế giới và tại việt nam đã ghi nhận nhiều trường hợp phải chi trả
chi phí để lấy lại dữ liệu quan trọng phục vụ công việc và đời sống hàng ngày.
Hình 1.10. Mã độc lấy cắp thông tin nếu không được bảo vệ
Các thống kê cho thấy, các cuộc tấn công của mã độc quy mô lớn chủ yếu
nhắm vào chính phủ hoặc các tổ chức tài chính. Tiếp đó là các công ty, dịch vụ về
công nghệ thông tin, điều này lý giải cho mục tiêu của mã độc nhắm tới đó là lợi
nhuận và lây lan rộng. Phần lớn mã độc dùng vào chuyện phạm pháp và thường
được dùng để lấy thông tin tài khoản ngân hàng hoặc thông tin đăng nhập email
hoặc tài khoản mạng xã hội.
1.2.4. Tác hại của mã độc
- Làm chậm kết nối.
- Làm chậm máy, gây lỗi máy bởi các mã độc.
17
