Đang tải... (xem toàn văn)
Tấn công sử dụng mã độc an toàn mạng máy tính, mã độc
ĐỀ TÀI: Tìm hiểu hình thức cơng sử dụng mã độc xây dựng demo công MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 1.2 1.3 1.4 Khái niệm mã độc .4 Mục tiêu mã độc Phân loại mã độc Lịch sử phát triển CHƯƠNG 2: TẤN CÔNG SỬ DỤNG MÃ ĐỘC 2.1 Các bước cơng/thâm nhập mạng mã độc: 2.2 Các hình thức công mã độc 2.2.1 Mã độc lệ thuộc ứng dụng chủ: .8 2.2.2 Thực thi độc lập: 10 CHƯƠNG 3: HOẠT ĐỘNG CỦA MÃ ĐỘC .13 3.1 Các trạng thái mã độc 13 3.1.1 Thực thể thụ động 13 3.1.2 Chương trình hoạt động 13 3.2 Các giai đoạn hoạt động malware 13 3.2.1 Giai đoạn thâm nhập: 13 3.2.2 Giai đoạn hoạt động: 15 3.2.3 Giai đoạn phát tán: .15 CHƯƠNG 4: PHÁT HIỆN MÃ ĐỘC VÀ LOẠI TRỪ MÃ ĐỘC .16 4.1 Nguyên tắc chung: 16 4.2 Các vị trí phát mã độc .16 4.2.1 Trong vùng nhớ: process list, registry, auto startup 16 4.2.2 Trên đĩa: root, fragile folders, personal storage media 16 4.3 Loại trừ mã độc 17 Danh mục hình ảnh Hình File bat chứa mã độc thi hành tạo tài khoản quyền admin 15 Hình File bat chứa mã độc thi hành lây nhiễm qua file rar 16 Hình Tường lửa bị disable kích hoạt mã độc 17 Hình Các trang Web bị chặn mã độc kích hoạt 17 Hình Tài khoản quyền Admin tạo mã độc kích hoạt .18 MỞ ĐẦU Những năm gần công mã độc giới Việt Nam có qui mơ lớn ngày gia tăng chủ yếu nhắm vào phủ tổ chức tài gây nên thiệt hại nghiêm trọng nguy hại cho kinh tế, an ninh quốc phịng Mã độc chương trình cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính, thiết bị di động Có nhiều loại mã độc ngày cải tiến Những loại mã độc phổ biến như: Virus, Trojan House, worm, Attach script, Java applet- Active X, Malicious mobible code… mà nguy chúng gây hồn tồn rõ ràng vơ phong phú Khi xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ cơng truy cập làm việc máy nạn nhân, ghi lại thông tin sử dụng máy tính Đi với phức tạp thiết kế hành vi thực thi mã độc kỹ thuật ngăn chặn việc phân tích hoạt động mã độc khiến cho việc phân tích mã độc ngày trở nên khó khăn phức tạp Hiện có nhiều cơng cụ chun nghiệp để phân tích diệt mã độc sản phẩm hãng nước ngoài, nước Tuy nhiên việc sử dụng công cụ hộp đen chứa nhiều nguy tiềm ẩn Do việc nghiên cứu để xây dựng chương trình diệt mã độc u cầu có tính cấp thiết nhằm làm chủ công nghệ, kỹ thuật đảm bảo an ninh an tồn máy tính mạng Do báo cáo chúng tơi nghiên cứu hình thức công sử dụng mã độc giải pháp phát phòng chống mã độc CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC 1.1 Khái niệm mã độc Để công/thâm nhập mạng, hacker thường sử dụng ‘trợ thủ’ virus, worm, Trojan horse, backdoor… Tất phần mềm gọi mã độc (Malware - Malicious Software): loại phần mềm làm hại máy tính bạn 1.2 Mục tiêu mã độc Các thống kê cho thấy,các công mã độc quy mơ lớn chủ yếu nhắm vào phủ tổ chức tài Tiếp công ty, dịch vụ công nghệ thông tin Điều lý giải cho mục tiêu mã độc nhắm tới lợi nhuận lây lan rộng 1.3 Phân loại mã độc - Phân loại mã độc theo đặc trưng thi hành: + Lệ thuộc ứng dụng chủ (need to host) + Thực thi độc lập (stand alone) - Phân loại mã độc theo đặc trưng hành vi: + Ngăn cấm, thay đổi liệu + Khai thác dịch vụ hệ thống 1.4 Lịch sử phát triển Mã độc Năm Phân loại Thompso n’s compiler Chú thích Ken Thompson thêm vào trình 1984 TrojanHor biên dịch C Trojan horse có se trick khả tự chèn vào chương trình biên dịch Sâu máy tính phát tán mạng internet Morris worm 1988 Worm Có khoảng 6000 máy bị lây nhiễm ( chiếm 10% lượng máy tính sử dụng internet thời giờ) Java Attack Applets 1996- Mobile 1999 code Lợi dụng lỗi Java để công thông qua applets java đặt web Bị công lần đầu vào thời gian kể từ đến ActiveX ( scriptin 1997 g) Mobile hệ thống ActiveX Microsoft code liên tục bị phát dính phải lỗi bảo mật nghiêm trọng Mobile Melissa 1999 code virus Virus lây lan nhanh thứ hai thời đại, sử dụng email để phát tán Lây nhiễm cho triệu máy tính vài Chương trình công từ chối Trinoo 2000 Attack dịch vụ script ( DDoS ) gây tác hại DDoS lớn đến hệ thống mạng yahoo năm 2000 Virus cho lây lan nhanh từ trước đến nay, đánh lừa Love Bug 2000 Virus người sử dụng thực thi file VB script phát tán thông qua email outlook Microsoft Sâu máy tính cơng DdoS số máy chủ internet chậm lưu lượng truy cập Slammer 2003 Worm internet Sâu Slammer DDoS thác lỗi tràn đệm SQL Server khai Microsoft Lây nhiễm 75000 máy tính 10 phút Loại Trojan mở Backdoor cho phép kẻ công truy cập đến liệu máy tính bị lây nhiễm Điểm đặc RavMonE 2006 Trojan biệt loại Trojan phát tán thông qua file video Apple nhiên lại lây nhiễm hệ thống windows Tấn công windows thông qua khai thác lỗ hổng giao thức RPC Loại sâu kết hợp nhiều kỹ thuật malware tiên Conflicke r 2008 Worm tiến với khiến cho việc phân tích chúng khó khăn Conflicker lây nhiễm cho hàng triệu máy tính 200 quốc gia giới tồn Stuxnet lây lan qua windows, loại mã độc phát có khả gián điệp phá hoại hệ thống máy tính Stuxnet 20102011 Worm công nghiệp Sâu Stuxnet thiết kế vô phức tạp công tinh vi chúng với mục tiêu cụ thể cho thực hỗ trợ quốc gia Flame 2012 Malware Được đánh giá loại mã độc tinh vi phức tạp nay, cơng máy tính chạy windows Ước tính chi phí cho việc nghiên cứu phát triển Flame lên tới hàng chục triệu Dollar Flame lây nhiễmthơng qua mạng LAN hay USB, có khả ghi âm, chụp ảnh hình, lưu lượng mạng, ăn cắp liệu máy bị nhiễm thiết bị kết nối bluetooth với nó… Các data virus quen thuộc: - Microsoft Word Document: doc macro virus - Microsoft Excel Worksheet: xls macro virus - Microsoft Power Point: ppt macro virus Adobe Reader: pdf script virus - Visual Basic: vb script virus - Java: java script virus - Startup file: bat virus… d) Trojan horse Trojan horse: ứng dụng hiền lành bên chứa thủ tục bí mật, chờ thời xơng phá hủy liệu Trojan horse công cụ điều khiển từ xa đắc lực, giúp hacker giám sát máy đích giống ngồi trước bàn phím Mục đích Trojan - Ăn cắp thơng tin mật khẩu, mã bảo mật thẻ tín dụng thơng tin cách sử dụng keylogers - Sử dụng máy tính nạn nhân để tạo mạng botnet (mạng máy tính ma) để thực cơng DDOS - Xóa thay file quan trọng hệ thống - Tạo kết nối giả để công DOS - Tải Spyware Adwares file độc hại - Vô hiệu hóa tường lửa phần mềm chống virus - Chụp hình, ghi âm, quay hình máy nạn nhân - Lây nhiễm sang PC nạn nhân máy chủ proxy cho công chuyển tiếp - Sử dụng máy tính nạn nhân để phát tán thư rác bom thư 2.2.2 Thực thi độc lập: a) Vi khuẩn máy tính (computer bacteria) Tạo nhiều sao, thực thi đa tiến trình làm tiêu hao tài ngun, suy giảm cơng hệ thống Các vi khuẩn thường không gây nguy hại liệu b) Sâu mạng (worm) rootkit Sâu mạng: tập mã lệnh khai thác nối kết mạng, thường trú nhớ máy đích, lây nhiễm lan truyền từ hệ thống sang hệ thống khác Hành vi lây lan giống virus, worm chứa mã sâu con, sâu đôi, injector, dropper, intruder… Cách thức lan truyền: email, chat room, Internet, P2P Một số sâu mạng tiêu biểu: Nimda Code Red (2001) công Microsoft’s Internet Information Server (IIS) Web Server: Quét mạng để tìm máy dễ tổn thương, Nimda tạo tài khoản guest với quyền quản trị máy nhiễm Code Red hủy hoại website, suy thoái hiệu hệ thống, gây ổn định sinh nhiều thread tiêu tốn băng thông c) Rootkit Bộ công cụ (kit) giúp hacker khống chế hệ thống mức cao (root) Rootkit sửa đổi khối sở OS kernel, driver liên lạc thay chương trình hệ thống dùng chung phiên bảnrootkit Một số rootkit cài đặt cơng cụ quản trị máy ảo, sau nạp OS nạn nhân vào máy ảo khiến anti-virus phát Hacker sử dụng rootkit để cài đặt chương trình điều khiển từ xa mạnh mẽ d) Backdoor key logger Backdoor (cửa hậu): loại mã độc thiết kế cho phép truy xuất hệ thống từ xa Key logger (thám báo bàn phím): ban đầu dùng giám sát trẻ sử dụng mạng, sau biến thái thành công cụ đánh cắp mật Trojans, rootkit chương trình hợp thức (như key logger) dùng để cài đặt backdoor e) Spyware adware Spyware (phần mềm gián điệp): đa dạng, thường không gây nguy hại mặt liệu - Tác hại spyware: + Rị rỉ thơng tin cá nhân + Tiêu thụ tài nguyên máy đích + Hệ thống ổn định + Spyware lây nhiễm qua download phần mềm Adware: spyware quảng cáo f) Companion link - Companion (đồng hành): tạo tập thực thi giả mạo chương trình hợp pháp tồn tại, sau lừa OS chạy chương trình companion để kích hoạt mã độc VD: svohost.exe # svchost.exe - Link (liên kết): cấu hình cho OS tìm đến liên kết thay đến chương trình 10 mong muốn VD: thay đường link/shortcut Windows trỏ đến file exe chứa mã độc folder bí mật g) Germ, constructor hacktool - Germ (mầm độc): tập mã độc gốc dùng sản sinh biến thể mã độc thứ cấp, sử dụng kèm constructor và/hoặc hacktool - Constructor (bộ kiến tạo): công cụ biên dịch mầm mã độc tập kết bí mật máy đích, âm thầm xây dựng lực lượng chỗ, chờ thời đồng loạt công - Hacktool (công cụ đục phá): phương tiện hỗ trợ constructor xây dựng lực lượng chỗ, đục phá hệ thống chuẩn bị công 11 CHƯƠNG 3: HOẠT ĐỘNG CỦA MÃ ĐỘC 3.1 Các trạng thái mã độc 3.1.1 Thực thể thụ động Phần lớn mã độc có định dạng exe (ne, pe) Các mã độc dll không tự chạy, cần host gọi (hoặc rundll32.exe Windows gọi) Dù exe hay dll, mã độc cần kích hoạt hoạt động gây hại Khi chưa hoạt động, file mã độc (.exe, dll…) bị xóa dễ dàng 3.1.2 Chương trình hoạt động Khi nạp vào thi hành, mã độc chuyển từ thực thể thụ động sang tiến trình hoạt động Do file chủ (.exe) tiến trình Windows bảo vệ: phải kết thúc tiến trình trước xố file Một số kỹ thuật bảo vệ tiến trình mã độc: - Ẩn tiến trình danh sách - Vơ hiệu API KillProcess, TerminateProcess - Tạo tiến trình giả mạo (companion) - Chạy nhiều tiến trình kiểm sốt lẫn nhau… 12 3.2 Các giai đoạn hoạt động mã độc 3.2.1 Giai đoạn thâm nhập: a) Thâm nhập máy đích - Nguồn phát tán mã độc: + Mạng Internet: hotlink, email attachment, spam, embedded webpage… + Máy trung gian: work station, zombie… + Thiết bị lưu trữ cá nhân: usb flash drive, mobile hdd… - Các hình thức thâm nhập mã độc: + Online: mạng >> máy (truy cập mạng, download phần mềm, share liệu…) + Offline: máy >> máy (sao chép/di chuyển liệu, trao đổi thiết bị lưu trữ cá nhân…) b) Lưu vào hệ thống lưu trữ - Thâm nhập online: Lưu system cache: C:\Documents and Settings\LocalService\ LocalSettings\ TemporaryInternet Files\Content.IE5\ Lưu user’s folder: C:\Documents and Settings\\ Documents\My Received Files… - Thâm nhập offline: Lưu vào system cache (vd, giải nén file chứa mã độc) Lưu vào folder đích (do user định lúc copy) c) Chuẩn bị điều kiện kích hoạt - Khai thác lổ hổng bảo mật 13 - Thi hành mã tích cực: ActiveX, Java Script… - Thi hành mã macro: VBA macro, Adobe macro… - Khai thác tâm lý người dùng - Thói quen thao tác: single click, favorite folders… - Tò mò, hiếu kỳ: hot links, hot pictures… - Khởi tạo kế hoạch kích hoạt - Đăng ký ứng dụng: registry, auto startup… - Đăng ký dịch vụ: service, device driver… 3.2.2 Giai đoạn hoạt động: a) Kích hoạt - Kích hoạt ngay: hệ thống lỏng lẻo, user vơ tâm - Kích hoạt sau: lợi dụng chế auto startup b) Ẩn náu - Tái định vị mã độc: root, system folder, recycle bin - Bảo vệ tiến trình: ẩn danh sách, vơ hiệu Task Manager, thực thi đa tiến trình c) Thi hành nhiệm vụ - Sục sạo máy đích, đánh cắp liệu - Gửi kết cho hacker, đón nhận thị 3.2.3 Giai đoạn phát tán: a) Củng cố, bám trụ - Vơ hiệu cấu hình hệ thống: registry editings, folder settings, task controlings… 14 - Cải thiện tình thế: dời địa điểm ẩn náu sang folder bí mật, tạo đồng hành(companion) gây nhiễu, vượt cấp đăng nhập (limited user>admin)… b) Phá hoại, lây lan - Khống chế hệ thống, tắt dịch vụ, vơ hiệu anti-virus, xố liệu - Lây sang hệ thống khác… 15 ... QUAN VỀ MÃ ĐỘC 1.1 1.2 1.3 1.4 Khái niệm mã độc .4 Mục tiêu mã độc Phân loại mã độc Lịch sử phát triển CHƯƠNG 2: TẤN CÔNG SỬ DỤNG MÃ ĐỘC 2.1 Các bước công/ thâm... kết nối bluetooth với nó… CHƯƠNG 2: TẤN CÔNG SỬ DỤNG MÃ ĐỘC 2.1 Các bước công/ thâm nhập mạng mã độc: - Hacker thiết kế mã độc - Hacker gửi mã độc đến máy đích - Mã độc đánh cắp liệu máy đích, gửi... mã độc u cầu có tính cấp thiết nhằm làm chủ công nghệ, kỹ thuật đảm bảo an ninh an tồn máy tính mạng Do báo cáo chúng tơi nghiên cứu hình thức công sử dụng mã độc giải pháp phát phòng chống mã