Bài báo này bao gồm có 8 phần : - Phần I: Các khái niệm về malware và những tác động của nó - Phần II: Quá trình phát triển của malware trong lịch sử - Phần III: Quá trình xây dựng một m
Trang 1Đại học Quốc gia Hà Nội
Trường Đại học Công Nghệ
Bài báo cáo cuối kỳ Môn: An toàn và an ninh mạng
Chủ đề: Malware
Sinh viên thực hiện: Phan Văn Cơ
Mã sinh viên: 19020235
Lớp: INT3307 2
Trang 2Mục Lục
Lời nói đầu 1
I Giới thiệu về Malware 2
II Lịch sử của Malware 2
Lịch sử của phần mềm độc hại - những năm đầu 2
Lịch sử của phần mềm độc hại - Bộ công cụ và tỷ lệ lây nhiễm đáng kinh ngạc 3
Lịch sử của phần mềm độc hại - Nhà nước tài trợ, tinh vi và có lợi nhuận 4
Lịch sử của phần mềm độc hại - Đây mới chỉ là bước khởi đầu? 5
III Phát triển của Malware 5
1 Nhu cầu phát triển 5
2 Thiết kế 6
3 Lập trình 6
4 Kiểm thử 7
5 Triển khai 7
6 Bảo trì 7
IV Phân loại malware và cách thức lây lan 7
1 Virus 7
2 Worm 8
3 Trojan 8
4 Tính tương đối trong phân loại 9
Hình thức lây nhiễm: 9
V Tấn công có chủ đích APT 9
VI Phân tích Malware 10
1 Khái niệm cơ bản 10
1.1 Mục tiêu của việc phân tích malware 10
1.2 Các kĩ thuật phân tích malware 10
1.3 Những nguyên tắc cơ bản để phân tích malware 11
2 Kĩ thuật phân tích tĩnh cơ bản 11
2.1 Công cụ quét malware 11
2.2 Hashing, dấu vân tay của malware 12
Trang 32.3 Nội dụng file 12
2.4 Tìm kiếm chuỗi kí tự (String) 13
2.5 Kỹ thuật packing và obfuscation 14
2.6 Định dạng file thực thi Portable Executable (PE File) 14
2.7 Các header và section PE file 15
2.8 Tổng kết 15
3 Phân tích động cơ bản 15
3.1 Sandbox: Tiếp cận nhanh và đơn giản 16
3.2 Chạy mã độc 16
3.3 Giám sát các tiến trình sử dụng Process Monitor 16
3.4 Giám sát thay đổi hệ thống file và registry 17
4 Tổng kết 17
VII Demo malware 17
CVE-2017-11882 18
Demo mã độc từ file word thông qua CVE-2017-11882 18
Giải quyết toàn diện CVE-2017-11882 21
VIII Phòng chống malware 22
Tài liệu tham khảo 22
Trang 4Lời nói đầu
Đại dịch COVID-19 đã tạo ra những thách thức mới cho con người và các doanh nghiệpkhi họ thích ứng với một mô hình hoạt động trong đó làm việc tại nhà đã trở thành ‘điều bìnhthường mới’ Các công ty đang tăng tốc chuyển đổi kỹ thuật số và an ninh mạng hiện là mốiquan tâm lớn Các hạn chế do chính phủ đưa ra để đối phó với đại dịch đã khuyến khích ngườidân làm việc tại nhà, và thậm chí ‘ở nhà’ Từ đó người đã phải làm việc tại nhà, mua bán, giaodịch và thực hiện học trực tuyến từ xa do dịch bệnh Yêu cầu đối với những người này bao gồmmáy tính, Internet, phần mềm tường lửa, camera,… Các cuộc họp có thể được tiến hành thôngqua hội nghị truyền hình Mặc dù các cuộc gọi có thể được mã hóa để bảo mật, nhưng COVID-
19 đã tạo ra những thách thức mới trong an ninh mạng Làm việc và học tập tại nhà do
COVID-19 khiến việc sử dụng Internet tăng lên, lôi kéo nhiều người dành nhiều thời gian trực tuyến vàtạo ra nhiều cơ hội hơn cho tội phạm mạng Các mối đe dọa an ninh mạng chết người bao gồmphần mềm độc hại, email spam, trang web độc hại, ransomware, miền độc hại, tấn công DDoS,xâm nhập email doanh nghiệp, nhắn tin truyền thông xã hội độc hại, v.v Sự phát triển của việc
sử dụng CNTT-TT phải tuân theo các yêu cầu bảo mật Các yếu tố liên quan đến bảo mật baogồm nhận thức của nhân viên về bảo mật CNTT-TT, các hoạt động liên quan đến bảo mật CNTT-
TT, các chính sách liên quan đến bảo mật CNTT-TT, v.v
Tấn công mạng gây ra hậu quả vô cùng nặng nề cho các tổ chức, doanh nghiệp là nạnnhân của chúng Có nhiều hình thức tấn công mạng phổ biến hiện nay như tấn công giả mạo(Phishing Attack), tấn công trung gian (Man in the middle attack), tấn công từ chối dịch vụ (DoS
& DDoS), tấn công cơ sở dữ liệu (SQL Injection).vv Nhưng mức độ nguy hiểm và số lượng ảnhhưởng lớn nhất chính là tấn công mạng bằng phần mềm độc hại Malware Hàng triệu người sẽtrở thành nạn nhân của một số mối đe dọa phần mềm độc hại trong bất kỳ năm nào, bạn và nhânviên của bạn cũng không ngoại lệ Nhưng ít ai biết chính xác phần mềm độc hại là gì hoặc điều
gì xảy ra tiếp theo Phần mềm độc hại có thể lấy mật khẩu không? Xóa chương trình và tệp? Nóthực sự ảnh hưởng đến công việc kinh doanh hay cuộc sống của bạn như thế nào?
Malware hoạt động theo nhiều cách khác nhau và các loại khác nhau có các khả năngkhác nhau Và bài báo cáo này để hướng dẫn bạn malware là gì, cách malware ảnh hưởng đếnmáy tính của bạn, cách thức hoạt động, triệu chứng và cách bạn có thể giữ cho bản thân và doanhnghiệp của mình an toàn và tránh những tác hại mà malware mang lại
Bài báo này bao gồm có (8) phần :
- Phần I: Các khái niệm về malware và những tác động của nó
- Phần II: Quá trình phát triển của malware trong lịch sử
- Phần III: Quá trình xây dựng một malware
- Phần IV: Phân loại malware
- Phần V: Tấn công có chủ đích (APT)
- Phần VI: Một số cách phân tích malware
- Phần VII: Thực hiện demo malware
- Phần VIII: Nâng cao nhận thức và một số cách phòng chống malware
Trang 5I Giới thiệu về Malware
Malware hay còn gọi là mã độc được viết tắt từ “malicious” và “software” Thuật ngữnày đề cập đế phần mềm đó được triển khai với mục đích xấu như tấn công hệ thống, đánhcắp thông tin, hay xâm nhập vào hệ thống,… Malware dễ dàng được triển khai từ xa và đểtheo dõi và tìm kiếm ra nguồn gốc của malware là rất khó Sự kết hợp này đã cho phép cácnhà cung cấp malware thương mại cung cấp cho thị trường chợ đen các malware và cácthông tin mà nó khai thác được từ các nạn nhân Nhu cầu về malware chủ yêu là từ các tổchức tội phạm và các điệp viên gián điệp mà do nhà nước bảo trợ Ngành dịch vụ tài chínhnhư bảo hiểm, ngân hàng,… là mục tiêu chính cho các cuộc tấn công có sử dụng malware,ngoài những tổ chức tài chính thì những người dùng bình thường cũng bị các hacker tấn côngnhằm mục đích chiếm đoạn tài sản hoặc tống tiền với lượng lớn người dùng Một số tàinguyên malware thường khai thác đó là:
Dữ liệu
Đây là mỏ vàng thực sự của tin tặc Dữ liệu trên máy tính còn cso giá trị hơn nhiều chiếcmáy tính đó Từ những dữ liệu cá nhân như
- Thông tin đăng nhập, tài khoản: sử dụng để đánh cắp tiền, mạo danh
- Tên, tuổi, địa chỉ email, số điện thoại, lịch sử duyệt web: bán cho các bên làm quảngcáo
- Tài liệu làm việc, ảnh, video: mã hóa để yêu cầu tiền chuộc
- Tài sản trí tuệ như mã nguồn chương trình, bản thiết kế, ý tưởng kinh doanh
Hoạt động người dùng
Đặt quảng cáo hoặc chuyển hướng người dùng đến những trang quảng cáo để thu phíquảng cáo
Khả năng tính toán và kết nối
Máy tính là một cỗ máy điện toán, có kết nối mạng thậm chí là cấu hình mạnh với kết nốibăng thông rộng Khi chiếm được quyền điều khiển tin tặc hoàn toàn có thể sử dụng để thựchiện những tác vụ đòi hỏi tính toán như đào bitcoin, tấn công DdoS Nếu đó là máy servercung cấp dịch vụ thì khả năng khai thác còn lớn hơn rất nhiều
Để hiểu hơn về sự mạnh mẽ của malware chúng ta sẽ đi vào lịch sử của sự phát triển nó
II Lịch sử của Malware
Theo bài báo của lastline về lịch sử của phần mềm độc hại cho chúng ta thấy rằng mối đedọa độc hại này đã ở với chúng ta kể từ buổi bình minh của chính máy tính
Lịch sử của phần mềm độc hại - những năm đầu
Malware ban đầu là sơ khai, thường lây lan hoàn toàn ngoại tuyến thông qua đĩa mềm dobàn tay con người mang từ máy tính này sang máy khác Khi mạng và internet phát triển, cáctác giả phát triển malware đã nhanh chóng thích nghi với mã độc của họ và tận dụng lợi thếcủa phương tiện giao tiếp mới
Trang 6Dưới đây là danh sách đại diện về một số phiên bản đầu tiên quan trọng của phần mềmđộc hại và cách chúng tác động đến thế giới:
- 1971 Creeper: Một thí nghiệm được thiết kế để kiểm tra cách một chương trình có thể
di chuyển giữa các máy tính
- 1974 - Wabbit: Một chương trình tự sao chép đã tạo nhiều bản sao của chính nó trênmột máy tính cho đến khi nó làm hỏng hệ thống đến mức hiệu suất hệ thống bị giảm
và cuối cùng bị treo Các nhà nghiên cứu đặt tên cho loại virus này là "wabbit" (thỏ)
vì tốc độ nhân rộng của nó
- 1982 - Elk Cloner: Được viết bởi một thanh niên 15 tuổi, Elk Cloner là một trongnhững loại virus tự nhân bản, lan rộng sớm nhất và ảnh hưởng đến máy tính cá nhân.Elk Cloner đã hiển thị một bài thơ nhỏ thân thiện trên hệ thống bị nhiễm: " It will get
on all your disks; It will infiltrate your chips; Yes, it’s Cloner!"
- 1988 - Morris Worm: Loại sâu này đã lây nhiễm phần trăm đáng kể các máy tínhđược kết nối với ARPANET, tiền thân của Internet, về cơ bản khiến mạng phải hoạtđộng trong vòng 24 giờ Việc phát hành nó đã đánh dấu một bình minh mới cho phầnmềm độc hại Tác giả Robert Morris đã trở thành tác giả phần mềm độc hại đầu tiên
bị kết án vì tội ác của mình
- 1991 - Virus Michelangelo: Nó được đặt tên như vậy vì loại virus này được thiết kế
để xóa thông tin khỏi ổ cứng vào ngày 6 tháng 3, ngày sinh của nghệ sĩ nổi tiếng thờiPhục hưng Virus này đang là tâm điểm của một cơn bão truyền thông với các phóngviên hoảng sợ tuyên bố rằng nó đã lây nhiễm sang hàng triệu máy tính và thế giới sẽphải chứng kiến hậu quả thảm khốc vào ngày 6 tháng 3 Trên thực tế, virus chỉ ảnhhưởng đến khoảng 10.000 hệ thống, nhưng sự cường điệu hóa đã nâng cao đáng kểnhận thức của cộng đồng về virus máy tính
- 1999 - Virus Melissa: Thường được thừa nhận là virus gửi email hàng loạt đầu tiên,Melissa sử dụng sổ địa chỉ Outlook từ các máy bị nhiễm và tự gửi thư cho 50 ngườicùng một lúc
Lịch sử của phần mềm độc hại - Bộ công cụ và tỷ lệ lây nhiễm đáng kinh ngạc
Từ năm 2000 đến năm 2010, phần mềm độc hại đã phát triển đáng kể, cả về số lượng vàtốc độ lây lan của sự lây nhiễm Vào đầu thiên niên kỷ mới, Internet và worm email đã trởthành tiêu đề trên toàn cầu Sau đó, sự gia tăng đáng kể trong các bộ công cụ malware, baogồm cả bộ rootkit nổi tiếng hiện nay của Sony, công cụ hỗ trợ các tác giả phần mềm độc hạibao gồm rootkit trong hầu hết các phần mềm độc hại hiện đại Các bộ phần mềm tội phạmnhắm mục tiêu cụ thể vào các trang web cũng trở nên phổ biến và số lượng các trang web bịxâm nhập cũng tăng theo
Dưới đây là tóm tắt về một số phần mềm độc hại quan trọng được phát hành từ năm 2000đến năm 2010:
- 2000 - ILOVEYOU Worm: Phát tán qua một email được gửi với dòng tiêu đề có vẻlành tính, "ILOVEYOU", loại sâu này đã lây nhiễm ước tính 50 triệu máy tính Cácthiệt hại khiến các tập đoàn lớn và các cơ quan chính phủ, bao gồm cả các bộ phận
Trang 7của Lầu Năm Góc và Quốc hội Anh, phải đóng cửa các máy chủ email của họ Loạisâu này lây lan toàn cầu và gây thiệt hại hơn 5,5 tỷ USD
- 2003 - SQL Slammer Worm: Một trong những loại sâu lây lan nhanh nhất mọi thờiđại, SQL Slammer đã lây nhiễm gần 75.000 máy tính trong vòng 10 phút Con sâunày đã gây ra ảnh hưởng lớn trên toàn cầu, làm chậm lưu lượng truy cập Internet trêntoàn thế giới do từ chối dịch vụ (DDoS)
- 2004 - Virus Cabir: Mặc dù loại virus này ít gây ra thiệt hại, nhưng nó rất đáng chú ý
vì nó được nhiều người thừa nhận là loại virus đầu tiên trên điện thoại di động
- 2005 - Virus Koobface: Một trong những trường hợp phần mềm độc hại đầu tiên lâynhiễm vào PC và sau đó lan truyền đến các trang mạng xã hội Nếu bạn sắp xếp lạicác chữ cái trong "Koobface", bạn sẽ có "Facebook" Virus cũng nhắm mục tiêu vàocác mạng xã hội khác như MySpace và Twitter
- 2008 - Conficker Worm: Là sự kết hợp của từ "config" và "ficker", loại sâu phức tạpnày đã gây ra một số thiệt hại tồi tệ nhất kể từ khi Slammer xuất hiện vào năm 2003
Lịch sử của phần mềm độc hại - Nhà nước tài trợ, tinh vi và có lợi nhuận
Từ năm 2010 đến thời điểm hiện tại, một lần nữa chúng ta đã quan sát thấy sự tiến hóađáng kể về mức độ phức tạp của phần mềm độc hại Tội phạm có tổ chức và các nhà tài trợnhà nước đã nâng cao trò chơi một cách đáng kể với các nhóm phát triển lớn, được tài trợ tốt.Ngày nay, những nhóm làm việc độc hại này tiếp tục phát triển, phát triển malware tiên tiếnvới các chiến thuật trốn tránh vượt trội hơn nhiều hệ thống chống malware thông thường.Việc xâm nhập vào các nhà máy và hệ thống quân sự đã trở thành một thực tế phổ biến vàviệc kiếm tiền từ phần mềm độc hại đã phát triển nhanh chóng cùng với sự phát triển mạnh
mẽ của ransomware và các âm mưu bất hợp pháp khác
Dưới đây là một số loại phần mềm độc hại đáng chú ý đã có tác động lớn từ năm 2010đến nay:
- 2010 - Stuxnet Worm: Ngay sau khi phát hành, các nhà phân tích bảo mật đã côngkhai suy đoán rằng mã độc này được thiết kế với mục đích rõ ràng là tấn công chươngtrình hạt nhân của Iran và có khả năng tác động đến phần cứng cũng như phần mềm.Loại sâu này cực kỳ tinh vi được cho là thành quả của toàn bộ nhóm các nhà pháttriển, khiến nó trở thành một trong những phần mềm độc hại tiêu tốn nhiều tài nguyênnhất được tạo ra cho đến nay
- 2011 - Zeus Trojan: Mặc dù được phát hiện lần đầu tiên vào năm 2007, tác giả củaZeus Trojan đã phát hành mã nguồn ra công chúng vào năm 2011, mang đến chomalware một sức sống mới Đôi khi được gọi là Zbot, Trojan này đã trở thành mộttrong những phần mềm botnet thành công nhất trên thế giới, ảnh hưởng đến hàngtriệu máy Nó thường được sử dụng để đánh cắp thông tin ngân hàng bằng cách ghinhật ký tổ hợp phím trong trình duyệt và lấy mẫu
- 2013 - Cryptolocker: Một trong nhiều chương trình ransomware ban đầu,Cryptolocker đã có tác động đáng kể trên toàn cầu và giúp thúc đẩy kỷ nguyênransomware
Trang 82014 - Backoff: Phần mềm độc hại được thiết kế để xâm nhập hệ thống Điểm bánhàng (POS) để lấy cắp dữ liệu thẻ tín dụng
- 2016 - Cerber: Một trong những kẻ đứng đầu trong lĩnh vực ransomware Đây cũng làmột trong những mối đe dọa về phần mềm độc hại tiền điện tử phổ biến nhất Có thờiđiểm, Microsoft phát hiện nhiều PC doanh nghiệp bị nhiễm Cerber hơn bất kỳ dòngransomware nào khác
- 2017 - WannaCry Ransomware: Khai thác lỗ hổng lần đầu tiên được Cơ quan An ninhQuốc gia phát hiện, WannaCry Ransomware đã khiến các hệ thống máy tính lớn ởNga, Trung Quốc, Anh và Mỹ phải quỳ gối, khóa dữ liệu của mọi người và yêu cầu
họ trả tiền chuộc hoặc mất tất cả Virus đã ảnh hưởng đến ít nhất 150 quốc gia, baogồm bệnh viện, ngân hàng, công ty viễn thông, kho hàng và nhiều ngành công nghiệpkhác
Lịch sử của phần mềm độc hại - Đây mới chỉ là bước khởi đầu?
Báo cáo vừa được Mạng lưới Chống tội phạm tài chính (FinCEN), Bộ Tài chính Mỹ,công bố ngày 15/10 cho thấy chỉ riêng trong sáu tháng đầu năm nay, tổng số tiền các nạnnhân phải trả liên quan đến các vụ tấn công tống tiền bằng mã độc (ransomware) đã lên tới
590 triệu USD, và cho rằng nếu xu hướng hiện nay vẫn duy trì, số tiền mà tin tặc có đượctrong năm 2021 có thể cao hơn tổng số tiền trong các vụ tấn công của 10 năm Không chỉriêng Hoa Kỳ Việt Nam trong những năm gần đây đang đối mặt với nhiều thách thức nguy cơ
an ninh an toàn thông tin đến từ không gian mạng Theo Global Cybersecurity Index 2020 vềchỉ số An toàn không gian mạng toàn cầu, Việt Nam đứng thứ 25/194 quốc gia
Trong khi ngành công nghiệp an ninh mạng đang ráo riết làm việc để kiểm soát phầnmềm độc hại và thành công trên nhiều phương diện, tội phạm mạng không có dấu hiệu thấtbại, thậm chí còn chậm lại Khi tội phạm mạng bị cản trở ở một khu vực, chúng sẽ nhanhchóng phát triển các chiến thuật mới và tấn công ở khu vực khác Để báo trước cho những gì
có thể xảy ra trong tương lai gần, hãy chờ đợi thêm các hướng tấn công bằng malware vàđiều gì sẽ xảy ra trong năm 2022 Ở những phần tiếp theo chúng ta sẽ tìm hiểu thêm về mộtmalware sẽ được tạo ra như thế nào
III Phát triển của Malware
Quá trình phát triển phần mềm gồm 6 pha cơ bản và malware bản chất là một phần mềm
do đó cũng được phát triển tương tự như vậy, chúng ta sẽ tìm hiểu 6 pha cơ bản đó lần lượtlà
1 Nhu cầu phát triển
Mọi sản phẩm đều được phát triển dựa vào nhu cầu của thị trường
Phần mềm có thể được phát triển dựa vào nhìn nhận thị trường từ một công ty nên họ làm
ra sản phẩm và bán nó dưới bản quyền sử dụng Hoặc cũng có thể từ một doanh nghiệp họ cónhu cầu và họ đặt hàng cho một công ty phát triển phần mềm thực hiện thay cho họ Malwarecũng như vậy, có thể một nhóm tin tặc tự phát triển phục vụ riêng cho nhu cầu tấn công củariêng mình Hoặc cũng có thể từ một cá nhân hoặc một tổ chức nào đó đặt hàng để phát triểncho nhu cầu của họ Và hiện nay xu hướng Outsourcing (thuê hoặc mua các dịch vụ từ bên
Trang 9ngoài khi mà cá nhân hay doanh nghiệp không thể tự xây dựng hay chưa có nhu cầu tự xâydựng) đang phát triển, vì thế ngành công nghiệp malware ngày càng trở trên rộng rãi, cónhững nhóm chỉ chuyên phát triển malware và bán những malware đó, và những cá nhân tổchức khác (thường là các tội phạm mạng) sẽ chỉ mua sản phẩm có sẵn và mang về sử dụng.
Và cũng có một số loại malware không thể đặt hàng mà người sử dụng phải tự phát triển nó
Có một số ngoại lệ là những phần mềm, mã nguồn miễn phí, mã nguồn mở Những lậptrình viên dành thời gian rảnh để phát triển chúng cho công đồng và phát hành miễn phí Một
số lập trình viên còn công bố cả mã nguồn mở (source code) để những người dùng khác cóthể tùy chỉnh và phát triển thêm để phù hợp với mục đích sử dụng Vì thế có nhiều mã nguồncủa malware được phát hiện trên internet, nhưng chúng thường đã cũ và chỉ phục vụ cho mụcđích học tập
2 Thiết kế
Tại bước này, các mô hình tổng thể về phần mềm sẽ được đưa ra Ngoài ra, các tính năng
và thiết kế cơ sở dữ liệu cũng sẽ được đề cập đến Đây là giai đoạn quan trọng trong pháttriển phần mềm Và bản chất của của malware là một phần mềm nên nó cũng tương tự ởbước này Và bước này cũng là quan trọng nhất, nó định hình nên toàn bộ chức năng thànhphân của phần mềm
3 Lập trình
Có hai vấn đề quan trọng của bước này là môi trường hoạt động và ngôn ngữ lập trình.Khi chúng ta nhắc đến malware trên Linux, MacOS hay iOS không phải là vấn đề về vềmặt kỹ thuật mà quan trọng là vấn đề về kinh tế Không phải Linux hay MacOS bảo mật hơn,khó tấn công hơn,… mà là tin tặc không thấy lợi nhuận từ những người dùng trên nền tảng
đó Nếu cần thì phát triển malware trên Linux sẽ không khó hơn trên Windows Cơ bản vì ai
sẽ bỏ ra tài nguyên của mình như tiền, thời gian, công sức để viết malware cho những nêntảng như Linux Như Moore giải thích: "Linux là hệ điều hành an toàn nhất, nhưng đòi hỏingười dùng phải có kinh nghiệm" Vì vậy hệ điều hành này không phải dành cho tất cả ngườidùng Và khi mà số lượng người dùng và máy chủ không nhiều vì thế mà nguồn lợi mà tintặc có thể lấy được sẽ rất thấp và là mã nguồn mở nên sẽ được khắc phục nhanh chóng Đốivới Mac OS thì được coi là hệ điều hành an toàn, có rất ít lỗ hổng bảo mật, nhưng trongnhững năm gần đây chúng ta có thể thấy hacker đang dần chuyển sang thực hiện thêm cáccuộc tấn công trên hệ điều hành này Còn về Windows là hệ điều hành phổ biến, nhưng đểđánh giá nó là hệ điều hành an toàn hay không còn phụ thuộc vào nhiều yếu tố khác TheoTroy Wilkinson, Giám đốc điều hành Axiom Cyber Solutions, giải thích: "Windows luôn baogồm các tùy chọn bảo mật Lý do chủ yếu là số lượng người dùng Windows khá đông, cáchacker nhắm đến hệ điều hành này nhiều nhất" Các cuộc tấn công hệ điều hành Windowsphổ biến nhất phải kể đến Melissa, WannaCry, và phần lớn các cuộc tấn công phần mềm độchại khác cũng nhắm mục tiêu vào Windows
Và vấn đề thứ hai là ngôn ngữ lập trình Phần lớn các hệ điều hành cung cấp giao diện lậptrình bằng ngôn ngữ C/C++ Malware với nhu cầu hoạt động cần che dấu nên phải hoạt động
Trang 10nhanh, nhẹ, và kiểm soát được tài nguyên nên thường được viết bằng C/C++ để có thể tươngtác trực tiếp với hệ điều hành Và malware không chỉ được viết bằng mỗi C/C++ mà hoàntoàn có thể được viết bằng ngôn ngữ khác như Java, Javascript, VBScript,… và với ở mức độ
cơ bản thì khác biệt ngôn ngữ là không đáng kể
5 Triển khai
Quá tình phát tán, lây nhiễm malware cũng được thực hiện một cách rất kĩ lưỡng, cónhiều cách phát tán malware tới nạn nhân và trong thời đại Internet thì phát tán qua mạng làphương pháp nhanh nhất, đó có thể là gửi mail đính kèm malware, đường link tới websitechưa malware hay thậm chí tin tặc còn đặt những banner quảng cáo để dụ người dùng mởliên kết độc hại
6 Bảo trì
Vì phần mềm cần phải bảo trì để sửa lỗi phát sinh, nâng cấp giao diện, vì thế vớiMalware cũng cần phải có Và nguyên nhân quan trọng nhất của malware đó là khi bị cáctrình quét malware, untivirus phát hiện thì khổng chỉ thay đổi mẫu malware đó mà phải thayđổi cả thuật toán, tên miên liên kết,vvv
Tuy được tạo ra từ một mô hình qua các bước nhưng bản chất của mỗi malware lại có mỗihành vi và chức năng khác nhau Cụ thể hơn chúng ta sẽ đi vào phần tiếp theo, phân loại vàcách thức lây lan của malware
IV Phân loại malware và cách thức lây lan
Việc phân loại thành những dòng malware khác nhau sẽ cho một cái nhìn cơ bản về hành vicủa loại malware đó làm cho việc tìm hiểu về malware trở nên dễ dàng hơn
Hiện tại chưa có một tiểu chuẩn chung nào về việc phân loại malware Những công ty pháttriển phần mềm quét malware thường có những cách phân loại của riêng mình, cũng như có rấtnhiều tài liệu nnnphân loại theo những cách khác nhau Nhưng về cơ bản thì malware được phânthành virus, worm, trojan dựa trên hnahf vi của chúng trên máy tính của người dùng
1 Virus
Trang 11Đây là thuật ngữ xuất hiện đầu tiên về malware trên máy tính Từ những giai đoạn đầuphát triển của malware trong những năm 1980.
Virus máy tính là thuật ngữ được lấy từ virus sinh học Cũng như vius sinh học , virusmáy tính không tồn tại thành một thực thể độc lập, một file độc lập mà nó sẽ bám vào mộtfile thực thể, một file nào đó Quá trình lây nhiễm sẽ từ file này sang file khác , khi file bịnhiễm virus chuyển từ máy bị nhiễm sang máy sạch thì một tiến trình lây nhiễm mới đượclặp lại Trong giai đoạn internet chưa phổ biến như những năm đó thì đây gần như là cách lâynhiễm duy nhất
Hiện nay có nhiều người, không chỉ là người dùng bình thường mà cả những người làm
về công nghệ thông tin thường sử dụng sai thuật ngữ virus để chỉ malware Thực tế thì viruschỉ là một loại malware
2 Worm
Worm là sâu mà sâu thì tự bò được Worm dùng để chỉ những malware tồn tại một cáchđộc lập, một file đọc lập nhưng nó vẫn có khả năng tạo những bản sao của chính nó vào vị trícần thiết để tiến hành lây nhiễm Đơn giản nhất là tạo một bản sao vào các thiết bị lưu trữngoài (như USB), thư mục chia sẻ trong LAN rồi từ đó lây nhiễm sang các máy khác
3 Trojan
Trojan tồn tại đọc lập, là một file độc lập, không có khả năng lây nhiễm Thông thườngtrojan sẽ lừa người dùng mở nó bằng các kĩ thuật social engineering như đặt những biểutượng giông thư mục, file văn bản, file hình ảnh, đặt tên liên quan tới người dùng như
“Baocaotaichinh.docx”, “Thongtinyte.docx”
Do không được thiết kể để lây nhiễm nên trojan có thể được phát tán trực tiếp qua email,đường link, được các loại malware tải về, hoặc được virus và worm mang theo
Ở mức cụ thể, chi tiết hơn, trojan có thể được phân chia thành một số loại như sau:
- Backdoor: Lắng nghe những kết nối từ bên ngoài và thực hiện những lệnh nào đó đểthực hiện việc kết nối từ xa vào máy tính
- Banker: Được thiết kế để chuyên ăn cắp những thông tin thanh toán trực tuyến, dữliệu giao dịch
- Downloader: Tải về và chạy một malware mới trên máy tính Với downloader thì việcphát tán malware trở nên linh hoạt hơn, khi muốn chỉ cần thay thế file malware tươngứng trên server là xong
- FakeAV: Một chương trình mô phỏng những phần mềm quét malware trên máy tính,không có chức năng tìm và loại bỏ malware Thường nó sẽ đưa ra cảnh báo liên tụccho đến khi người dùng bỏ tiền ra mua bản quyền thì thôi
- GameThief: Là dòng malware được thiết kế chuyên để đánh cắp tài khoản gameonline
Trang 12Adware: Sẽ hiển thị quảng cáo, chuyển hướng truy cập đến những website quảng cá
và thu thập thông tin quảng cáo về người dùng (như địa chỉ website hay truy cập ,thời gian truy cập,…) để tối ưu quảng cáo
- Ransomware: Phát triển mạnh kể từ năm 2013 với CryptoLocker, nó đang trở thànhmột mối nguy hiểm lớn Khi thực thi, ransomaware sẽ mã hóa toàn bộ dữ liệu trênmáy tính và người dùng chỉ có một trong hai lựa chọn trả tiền để lấy khóa giải mã dữliệu, hoặc chấp nhận mất dữ liệu
4 Tính tương đối trong phân loại
Hiện nay việc phân loại rõ ràng một malware nào đó là tương đối khó khăn vì chúngthường được kết hợp một vài kỹ thuật để tăng hiệu quả lây nhiễm Ví dụ như Ramnit, mộtdòng malware mà vừa như worm khi nó tạo ra các bản sao trong nhiều khu vực, vừa bám vàovật chủ là file thực thi exe và file html, vừa là một botnet vì thế để xếp vào một loạimalware nào thì sẽ dựa vào mức độ ưu tiên Ví dụ thứ tự ưu tiên là virus-worm-trojan thìRamnit được xếp vào virus
- Qua phần mềm: malware loại này thường ẩn mình trong các phần mềm lưu hành lậu, cácphần mềm miễn phí (freeware, shareware) Thật ra không phải chương trình lậu haychương trình miễn phí nào cũng có malware nhưng một số kẻ đã lợi dụng tâm lý tham đồ
rẻ của người mua để ghép malware vào đấy
- Qua e-mail: Sự phát triển của Internet đã tạo ra một con đường phát tán virus máy tínhmới Đó là thư điện tử Kẻ tấn công gửi e-mail đến cho người sử dụng, người sử dụng mởe-mail ra và lập tức bị nhiễm malware Malware xâm nhập vào máy tính và tiếp tục côngviệc phá hoại hoặc đánh cắp dữ liệu, sau đó phát tán bằng cách mở sổ địa chỉ (Addressbook) trên trình duyệt e-mail (chẳng hạn Outlook) và tự gửi chính nó cho những địa chỉnày Với cách thức hoàn toàn tương tự trên những máy nạn nhân, malware có thể nhanhchóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ trong vòng vàitiếng đồng hồ chúng có thể lây lan tới hàng chục triệu máy tính
- Qua duyệt web: Khi nhận được một chat message hay một e-mail mời đến xem một trangweb nào đó, khả năng bạn đang bị tấn công không loại trừ Hãy thực sự cẩn thận, nhất là
từ những người, web site không quen biết Có rất nhiều người sử dụng luôn chọn 'yes'hay ‘OK’ khi có một thông báo trên màn hình mà không cần xem nội dung thông báo.Điều này thật nguy hiểm nếu bạn truy cập các trang web xấu và chúng hiện thông báomời chào bạn download và chạy một số phần mềm chứa malware
V Tấn công có chủ đích APT
Advanced Persistent Threat – APT hay còn gọi là các cuộc tấn công chủ đích đã ngày
càng phát triển với tốc độ chóng mặt và tinh vi hơn Để phát hiện và chống lại những cuộc
Trang 13tấn công này, cần sự phối hợp giữa nhiều biện pháp bảo vệ khác nhau Hiện nay, thị trường
an toàn thông tin cũng đã cung cấp các giải pháp đồng bộ nhằm chống lại các cuộc tấn công
có chủ đích Cùng với sự phát triển của công nghệ thông tin, các cuộc tấn công cũng thay đổivới các mục tiêu mới là trục lợi tài chính, cạnh tranh, dò thám và nhiều mục tiêu khác Mụctiêu tấn công cũng có những thay đổi: Nếu trước kia kẻ tấn công cố gắng phá hoại hạ tầng vàtấn công mang tính chất đại trà, thì ngày nay chúng chủ yếu thực hiện các cuộc tấn công chủđích APT
APT là tấn công có định hướng mục tiêu vào mạng hoặc các máy tính riêng lẻ Khác
với tấn công đại trà tập trung vào các máy tính cá nhân được bảo vệ kém nhất, tấn công chủđích tìm kiếm cơ hội xâm nhập hệ thống bất kể mức độ bảo vệ
Tấn công chủ đích nhằm vào một tổ chức, nhóm công ty, các ngành kinh tế hoặc các tổchức nhà nước nhất định Tấn công chủ đích có thể do một nhóm tội phạm máy tính hànhđộng theo đặt hàng, các tổ chức khủng bố và các cơ quan đặc vụ quốc gia thực hiện.Tấn công chủ đích vào doanh nghiệp hầu hết thường được thực hiện theo đặt hàng củađối thủ cạnh tranh hoặc cá nhân có khả năng kiếm tiền từ thông tin lấy được Tấn công vàocác tổ chức lớn (đặc biệt là các hệ thống điều khiển quy trình công nghệ, các ngành côngnghiệp và các tổ chức nhà nước thường do các cơ quan đặc vụ nước ngoài thực hiện.Khi thực hiện tấn công chủ đích, những kẻ tấn công sử dụng mọi phương tiện như mã độcđược thiết kế cho mục đích cụ thể, tấn công vào các máy chủ web và cơ sở hạ tầng mạng, kỹnghệ xã hội, nội gián… APT là loại tấn công phức tạp, trình độ cao và dai dẳng với mục đíchchiếm quyền kiểm soát hệ thống trong thời gian lâu nhất có thể APT thường được thực hiệntrên các đối tượng được bảo vệ tốt, khi những phương pháp đơn giản không có hiệu quả hoặc
dễ làm lộ kẻ tấn công
Chống lại các cuộc tấn công có chủ đích APT không có công thức chung, mà phải tiếnhành bảo vệ trên tất cả các mức, kể cả đào tạo nhân viên và kiểm tra nhân sự Về phươngtiện, thường sử dụng các phương tiện phần mềm và phần cứng chuyên dùng cho phép giảiquyết các vấn đề một cách đồng bộ và kết hợp nhiều lớp bảo vệ Mục đích chính của các giảipháp này là phát hiện các cuộc tấn công theo các dấu hiệu gián tiếp và bằng cách xác địnhnhững sai lệch trong công việc của người sử dụng và cơ sở hạ tầng mạng
VI Phân tích Malware
1 Khái niệm cơ bản.
1.1 Mục tiêu của việc phân tích malware
Mục tiêu của việc phân tích malware là thu thập thông tin về hành vi, hoạt động để tiếnhành xử lý, gỡ bỏ malware ra hỏi hệ thống, ứng khó khi sự cố malware đã xảy ra Thôngthường sẽ phải xác định chính xác những gì dã xảy ra trên hệ thống, đảm bảo xác định đượcnhững máy, những file bị lây nhiễm Khi phân tích mẫu malware nghi ngờ, phải xác địnhdược mẫu nghi ngờ đó làm gì từ đó tìm phương pháp để xác định nó trên hệ thống, ước tínhthiệt hại có thể xảy ra
Với những người phát triển phần mềm quét malware, IDS/IPS thì sẽ dựa trên kết quảphân tích đó để cập nhật những dấu hiệu (signature) vào phần mềm, hệ thống quét