bài 2 phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội

Tấn công sử dụng phần mềm độc hạiPhần mềm độc hại malware Xâm nhập vào hệ thống máy tính: Không được sự hay biết hay đồng ý của chủ nhân Dùng để chỉ một loạt các phần mềm gây hại hoặc gâ

Bài 2:Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội

Củng cố lại bài 1

Những thử thách trong bảo mật thông tin

Những cuộc tấn công hiện nay, Những khó khăn

Bảo mật thông tin là gì?

Định nghĩa, Các thuật ngữ, Tầm quan trọng

Những kẻ tấn công là ai?

6 loại kẻ tấn công

Tấn công và Phòng thủ

5 bước của một cuộc tấn công

5 nguyên tắc cơ bản của phòng thủ

Những thử thách trong bảo mật thông tin

Những cuộc tấn công hiện nay, Những khó khăn

Bảo mật thông tin là gì?

Định nghĩa, Các thuật ngữ, Tầm quan trọng

Những kẻ tấn công là ai?

6 loại kẻ tấn công

Tấn công và Phòng thủ

5 bước của một cuộc tấn công

5 nguyên tắc cơ bản của phòng thủ

Mục tiêu của bài học

Mô tả sự khác nhau giữa vi rút và sâu máy tính

Liệt kê các kiểu phần mềm độc hại giấu mình

Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi

Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi

Mô tả các kiểu tấn công tâm lý sử dụng kỹ nghệ xã hội Giải thích các vụ tấn công vật lý sử dụng kỹ nghệ xã

hội

Tấn công sử dụng phần mềm độc hại

Phần mềm độc hại (malware)

Xâm nhập vào hệ thống máy tính:

Không được sự hay biết hay đồng ý của chủ nhân

Dùng để chỉ một loạt các phần mềm gây hại hoặc gây

Xâm nhập vào hệ thống máy tính:

Không được sự hay biết hay đồng ý của chủ nhân

Dùng để chỉ một loạt các phần mềm gây hại hoặc gây

Phần mềm độc hại lan truyền

Phần mềm độc hại lan truyền

Dạng phần mềm độc hại nhắm tới mục tiêu chủ yếu là lantruyền

Có hai dạng phần mềm độc hại lan truyền:

Vi rút (virus)

Sâu (worm)

Phần mềm độc hại lan truyền

- Vi rút

Vi rút (virus)

Là các mã máy tính nguy hiểm, có khả năng tái tạo trên

cùng máy tính

Các phương thức lây nhiễm vi rút

Lây nhiễm kiểu gắn kết phía sau

Lây nhiễm kiểu pho-mat Thụy Sĩ

Lây nhiễm kiểu phân tách

Vi rút (virus)

Là các mã máy tính nguy hiểm, có khả năng tái tạo trên

cùng máy tính

Các phương thức lây nhiễm vi rút

Lây nhiễm kiểu gắn kết phía sau

Lây nhiễm kiểu pho-mat Thụy Sĩ

Lây nhiễm kiểu phân tách

Phần mềm độc hại lan truyền

- Vi rút (tiếp)

Khi chương trình nhiễm vi rút được khởi động:

Tự nhân bản (lây lan sang các file khác trên máy tính)

Kích hoạt chức năng phá hoại

hiển thị một thông điệp gây phiền nhiễu thực hiện một hành vi nguy hiểm hơn

Các ví dụ về hoạt động của vi rút

Làm cho máy tính lặp đi lặp lại một sự cố

Xóa các file hoặc định dạng lại ổ cứng

Tắt các thiết lập bảo mật của máy tính

Khi chương trình nhiễm vi rút được khởi động:

Tự nhân bản (lây lan sang các file khác trên máy tính)

Kích hoạt chức năng phá hoại

hiển thị một thông điệp gây phiền nhiễu thực hiện một hành vi nguy hiểm hơn

Các ví dụ về hoạt động của vi rút

Làm cho máy tính lặp đi lặp lại một sự cố

Xóa các file hoặc định dạng lại ổ cứng

Tắt các thiết lập bảo mật của máy tính

Phần mềm độc hại lan truyền

- Vi rút (tiếp)

Hình 2-4 Một thông điệp phiền nhiễu do vi rút gây ra

Phần mềm độc hại lan truyền

- Vi rút (tiếp)

Vi rút không thể tự động lây lan sang máy tính khác

Nó phụ thuộc vào hành động của người dùng để lây lan

Các vi rút được đính kèm theo file

Vi rút lan truyền bằng cách truyền nhận các file bị nhiễm

vi rút

Phần mềm độc hại lan truyền

- Vi rút (tiếp)

Các loại vi rút máy tính

Vi rút chương trình (program virus)

Lây nhiễm các file thực thi

Vi rút macro (macro virus)

Thực thi một đoạn mã kịch bản

Vi rút thường trú (resident virus)

Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành

mở ra

Vi rút khởi động (boot virus)

Lây nhiễm vào Master Boot Record

Vi rút đồng hành (companion virus)

Chèn thêm các chương trình độc hại vào hệ điều hành

Các loại vi rút máy tính

Vi rút chương trình (program virus)

Lây nhiễm các file thực thi

Vi rút macro (macro virus)

Thực thi một đoạn mã kịch bản

Vi rút thường trú (resident virus)

Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành

mở ra

Vi rút khởi động (boot virus)

Lây nhiễm vào Master Boot Record

Vi rút đồng hành (companion virus)

Chèn thêm các chương trình độc hại vào hệ điều hành

Phần mềm độc hại lan truyền

- Sâu

Sâu (Worm)

Chương trình độc hại

Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành

Gửi các bản sao của chính mình sang các thiết bị mạng

khác

Sâu có thể:

Sử dụng các tài nguyên

Để lại một đoạn mã để làm hại hệ thống bị lây nhiễm

Các ví dụ về hoạt động của sâu

Xóa các file trên máy tính

Cho phép kẻ tấn công có thể điều khiển máy tính bị hại

từ xa

Sâu (Worm)

Chương trình độc hại

Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành

Gửi các bản sao của chính mình sang các thiết bị mạng

khác

Sâu có thể:

Sử dụng các tài nguyên

Để lại một đoạn mã để làm hại hệ thống bị lây nhiễm

Các ví dụ về hoạt động của sâu

Xóa các file trên máy tính

Cho phép kẻ tấn công có thể điều khiển máy tính bị hại

từ xa

Phần mềm độc hại lan truyền

Sử dụng hệ thống mạng để di chuyển sang máy tính khác Cách thức hoạt

động chèn mã của nó vào trongfile Khai thác các lỗ hổngcủa ứng dụng hoặc

Phần mềm độc hại giấu mình

Phần mềm độc hại giấu mình (concealing malware)

Dạng phần mềm độc hại có mục tiêu chính là che giấu sự

có mặt của chúng trước người dùng

Khác hẳn với việc lan truyền nhanh như vi rút và sâu

Các dạng phần mềm độc hại giấu mình bao gồm các

Trojan

Rootkit

Bom lôgíc (logic bomb)

Cửa hậu (backdoor)

Phần mềm độc hại giấu mình (concealing malware)

Dạng phần mềm độc hại có mục tiêu chính là che giấu sự

có mặt của chúng trước người dùng

Khác hẳn với việc lan truyền nhanh như vi rút và sâu

Các dạng phần mềm độc hại giấu mình bao gồm các

Trojan

Rootkit

Bom lôgíc (logic bomb)

Cửa hậu (backdoor)

Phần mềm độc hại giấu mình

- Trojan

Trojan (ngựa thành Troy)

Là chương trình thực hiện những mục đích nằm ngoài

những điều quảng cáo

Thường thực thi các chương trình

Chứa các mã ẩn để thực hiện việc tấn công

Đôi khi có thể ở dạng một file dữ liệu

Chuyển thông tin thu thập được cho kẻ tấn công qua mạng

Trojan (ngựa thành Troy)

Là chương trình thực hiện những mục đích nằm ngoài

những điều quảng cáo

Thường thực thi các chương trình

Chứa các mã ẩn để thực hiện việc tấn công

Đôi khi có thể ở dạng một file dữ liệu

Phần mềm độc hại giấu mình

- Rootkit

Rootkit (công cụ gốc)

Là các công cụ phần mềm được kẻ tấn công sử dụng để

che dấu các hành động hoặc sự hiện diện của các phần

mềm độc hại khác (trojan, sâu…)

Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mụcnhật ký

Có thể thay đổi hoặc thay thế các file của hệ điều hành

bằng các phiên bản sửa đổi:

Được thiết kế chuyên để che dấu các hành vi gây hại

Rootkit (công cụ gốc)

Là các công cụ phần mềm được kẻ tấn công sử dụng để

che dấu các hành động hoặc sự hiện diện của các phần

mềm độc hại khác (trojan, sâu…)

Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mụcnhật ký

Có thể thay đổi hoặc thay thế các file của hệ điều hành

bằng các phiên bản sửa đổi:

Được thiết kế chuyên để che dấu các hành vi gây hại

Việc loại bỏ rootkit có thể rất khó khăn

Khôi phục các file gốc của hệ điều hành

Định dạng và cài đặt lại hệ điều hành

Có thể phát hiện Rootkit bằng cách sử dụng các chương trình so sánh nội dung file với file gốc ban đầu

Rootkit hoạt động ở mức thấp trong hệ điều hành:

Có thể rất khó phát hiện

Việc loại bỏ rootkit có thể rất khó khăn

Khôi phục các file gốc của hệ điều hành

Định dạng và cài đặt lại hệ điều hành

Phần mềm độc hại giấu mình

- Bom lô gíc

Bom lôgic (logic bom)

Mã máy tính ở trạng thái “ngủ đông”

Được kích hoạt bởi một sự kiện lôgic xác định Sau đó thực hiện các hành vi phá hoại

Rất khó phát hiện cho tới khi được kích hoạt

Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp

sử dụng để đảm bảo việc chi trả cho phần mềm của họ.

Nếu việc chi trả không được thực hiện đúng hạn, bom

lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng

phần mềm nữa

Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏphần mềm, các file về khách hàng, cùng bảng chi trả

kèm theo

Bom lôgic (logic bom)

Mã máy tính ở trạng thái “ngủ đông”

Được kích hoạt bởi một sự kiện lôgic xác định Sau đó thực hiện các hành vi phá hoại

Rất khó phát hiện cho tới khi được kích hoạt

Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp

sử dụng để đảm bảo việc chi trả cho phần mềm của họ.

Nếu việc chi trả không được thực hiện đúng hạn, bom

lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng

phần mềm nữa

Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏphần mềm, các file về khách hàng, cùng bảng chi trả

kèm theo

Phần mềm độc hại giấu mình

(tiếp tục.)

Bom lôgic, phát tán trong

Bom lôgic đã phát nổ, nhân viên đó đã phải chịu mức án 8 năm tù,

và phải bồi thường 3.1 triệu đô la.

Bom lôgic đã được phát hiện và vô hiệu hóa; nhà thầu bị buộc tội giả mạo

và lừa đảo, bị phạt 5000

đô la.

Một bom logic đã phát

nổ tại công ty dịch vụ

sức khỏe vào đúng ngày

sinh nhật của nhân viên.

Nhân viên đó bực tức vì nghĩ mình có thể bị sa thải (mặc dù thực tế anh

ta không bị sa thải)

Nhân viên đó đã bị kết

án 30 tháng tù và phải bồi thường 81.200 đô la

Phần mềm độc hại giấu mình

- Cửa hậu

Cửa hậu (Backdoor)

Mã phần mềm có mục đích né tránh các thiết lập bảo mậtCho phép chương trình có thể truy cập nhanh chóng

Thường do các lập trình viên tạo ra

Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn công đã dùng chúng để qua mặt (bypass) bảo mật

Các phần mềm độc hại từ những kẻ tấn công cũng có

thể cài đặt cửa hậu lên máy tính.

Cách làm này cho phép những kẻ tấn công sau đó quaylại máy tính, và qua mặt mọi thiết lập bảo mật

Cửa hậu (Backdoor)

Mã phần mềm có mục đích né tránh các thiết lập bảo mậtCho phép chương trình có thể truy cập nhanh chóng

Thường do các lập trình viên tạo ra

Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn công đã dùng chúng để qua mặt (bypass) bảo mật

Các phần mềm độc hại từ những kẻ tấn công cũng có

thể cài đặt cửa hậu lên máy tính.

Cách làm này cho phép những kẻ tấn công sau đó quaylại máy tính, và qua mặt mọi thiết lập bảo mật

Phần mềm độc hại

nhằm kiếm lợi

Các kiểu phần mềm độc hại nhằm kiếm lợi

Botnet

Phần mềm gián điệp (Spyware)

Phần mềm quảng cáo (Adware)

Bộ ghi lưu bàn phím (KeyLogger)

Phần mềm độc hại nhằm kiếm lợi

- Botnet

Botnet

Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công

có thể điều khiển từ xa

Thường là các mã của Trojan, sâu, và vi rút

Máy tính bị lây nhiễm được gọi là thây ma (zombie)

Một nhóm các máy tính thây ma được gọi là botnet

Ban đầu, những kẻ tấn công sử phần mềm Internet

Relay Chat để điều khiển các máy tính thây ma

Hiện nay, chúng sử dụng HTTP

Botnet

Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công

có thể điều khiển từ xa

Thường là các mã của Trojan, sâu, và vi rút

Máy tính bị lây nhiễm được gọi là thây ma (zombie)

Một nhóm các máy tính thây ma được gọi là botnet

Ban đầu, những kẻ tấn công sử phần mềm Internet

Relay Chat để điều khiển các máy tính thây ma

Hiện nay, chúng sử dụng HTTP

Phần mềm độc hại nhằm kiếm lợi

- Botnet (tiếp)

Lợi ích của Botnet đối với những kẻ tấn công

Hoạt động ở chế độ nền:

Thường không có biểu hiện của sự tồn tại

Cung cấp phương tiện để che dấu hành vi của kẻ tấn công

Có thể duy trì hoạt động trong nhiều năm

Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiềuthây ma

Do sự gia tăng không ngừng của các dịch vụ trên Internet

Lợi ích của Botnet đối với những kẻ tấn công

Hoạt động ở chế độ nền:

Thường không có biểu hiện của sự tồn tại

Cung cấp phương tiện để che dấu hành vi của kẻ tấn công

Có thể duy trì hoạt động trong nhiều năm

Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiềuthây ma

Do sự gia tăng không ngừng của các dịch vụ trên Internet

Kiểu tấn công Mô tả

Thư rác Một botnet cho phép kẻ tấn công gửi một khối lượng lớn

thư rác; một số botnet có thể thu thập các địa chỉ e-mail

Phát tán phần

mềm độc hại Các botnet có thể được sử dụng để phát tán phần mềmđộc hại, tạo ra các zombie, botnet mới; các zombie có thể

tải và thực thi một file do kẻ tấn công gửi đến

Tấn công các

mạng IRC Botnet thường được dùng để tấn công mạng IRC; chươngtrình điều khiển ra lệnh cho mỗi botnet kết nối một số

lượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,

do đó không thể thực hiện chức năng của mình

Botnet thường được dùng để tấn công mạng IRC; chương trình điều khiển ra lệnh cho mỗi botnet kết nối một số

lượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,

do đó không thể thực hiện chức năng của mình

Thao túng bầu cử

trực tuyến Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tươngđương như “lá phiếu” của một cử tri thực; các trò chơi trực

tuyến có thể được thao túng theo cách tương tự Ngăn cản dịch vụ Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làm

server bị quá tải, không đáp ứng được yêu cầu hợp pháp

Phần mềm độc hại nhằm kiếm lợi

- Phần mềm gián điệp

Phần mềm gián điệp (spyware)

Phần mềm thu thập thông tin trái phép, không được sự

cho phép của người dùng

Thường được sử dụng với mục đích:

Quảng cáo Thu thập thông tin cá nhân Thay đổi cấu hình máy tính

Phần mềm gián điệp (spyware)

Phần mềm thu thập thông tin trái phép, không được sự

cho phép của người dùng

Thường được sử dụng với mục đích:

Quảng cáo Thu thập thông tin cá nhân Thay đổi cấu hình máy tính

Phần mềm độc hại nhằm kiếm lợi

- Phần mềm gián điệp (tiếp)

Những tác động tiêu cực của phần mềm gián điệp

Làm giảm hiệu năng máy tính

Làm cho hệ thống bất ổn định

Có thể cài đặt các menu trên thanh công cụ của trình

duyệt

Có thể tạo ra các đường dẫn mới (shortcut)

Chiếm đoạt trang chủ

Làm tăng các cửa sổ quảng cáo

Những tác động tiêu cực của phần mềm gián điệp

Làm giảm hiệu năng máy tính

Làm cho hệ thống bất ổn định

Có thể cài đặt các menu trên thanh công cụ của trình

duyệt

Có thể tạo ra các đường dẫn mới (shortcut)

Chiếm đoạt trang chủ

Làm tăng các cửa sổ quảng cáo

Công nghệ Mô tả Ảnh hưởng

Tự động tải

phần mềm Được dùng để tải và cài đặt phầnmềm, không cần tương tác của

người dùng

Có thể được sử dụng để cài đặt phần mềm trái phép

Các công

nghệ theo dõi

thụ động

Được sử dụng để thu thập thông tin

về các hoạt động của người dùng

mà không cần cài đặt bất cứ phần mềm nào

Có thể thu thập các thông tin riêng tư như các Web site mà người dùng truy cập

Phần mềm độc hại nhằm kiếm lợi

- Phần mềm quảng cáo

Phần mềm quảng cáo (adware)

Chương trình cung cấp các nội dung quảng cáo:

Theo cách người dùng không mong muốn

Thường hiển thị các biểu ngữ quảng cáo và các cửa sổ

quảng cáo

Có thể mở cửa sổ trình duyệt một cách ngẫu nhiên

Có thể theo dõi các hoạt động trực tuyến của người dùng

Phần mềm quảng cáo (adware)

Chương trình cung cấp các nội dung quảng cáo:

Theo cách người dùng không mong muốn

Thường hiển thị các biểu ngữ quảng cáo và các cửa sổ

quảng cáo

Có thể mở cửa sổ trình duyệt một cách ngẫu nhiên

Có thể theo dõi các hoạt động trực tuyến của người dùng

Phần mềm độc hại nhằm kiếm lợi

- Phần mềm quảng cáo (tiếp)

Yếu tố bất lợi đối với người dùng

Có thể hiển thị các nội dung chống đối

Thường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suấtlàm việc

Các cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiệntượng treo máy

Những quảng cáo không mong muốn gây ra sự phiền

nhiễu

Yếu tố bất lợi đối với người dùng

Có thể hiển thị các nội dung chống đối

Thường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suấtlàm việc

Các cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiệntượng treo máy

Những quảng cáo không mong muốn gây ra sự phiền

nhiễu

Phần mềm độc hại nhằm kiếm lợi

- Bộ ghi lưu bàn phím

Bộ ghi lưu bàn phím (keylogger)

Sao chụp lại các thao tác gõ phím của người dùng

Thông tin sau đó được truy xuất bởi kẻ tấn công

Kẻ tấn công có thể tìm ra những thông tin hữu ích

Mật khẩu

Số tài khoản tín dụng Thông tin cá nhân

Có thể là một thiết bị phần cứng gọn nhẹ

Được cài cắm vào giữa bàn phím máy tính và bộ kết nối Khó bị phát hiện

Kẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mới

có thể thu thập được thông tin

Bộ ghi lưu bàn phím (keylogger)

Sao chụp lại các thao tác gõ phím của người dùng

Thông tin sau đó được truy xuất bởi kẻ tấn công

Kẻ tấn công có thể tìm ra những thông tin hữu ích

Mật khẩu

Số tài khoản tín dụng Thông tin cá nhân

Có thể là một thiết bị phần cứng gọn nhẹ

Được cài cắm vào giữa bàn phím máy tính và bộ kết nối Khó bị phát hiện

Kẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mới

có thể thu thập được thông tin