Mã độc hay “Malicious software - Malware” là một loại phần mềm đượctạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, pháhoại hệ thống hoặc lấy cắp thông tin, làm gián đ
Trang 1TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI TP HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO MÔN HỌC
AN TOÀN THÔNG TIN
ĐỀ TÀI: TÌM HIỂU VỀ TẤN CÔNG MÃ ĐỘC &
CÁCH PHÒNG THỦ
Sinh viên thực hiện: NHÓM 08
(1) Huỳnh Văn Dương – 2051120101 – CN20A
(2) Phạm Dũng – 2051120095 – CN20A
(3) Phan Thanh Dương – 2051120102 – CN20A
(4) Huỳnh Nhật Duy – 2051120096 – CN20A
Giảng viên hướng dẫn: Th.S Hồ Đăng Thế
Thành phố Hồ Chí Minh, 04 2023
Trang 2MỤC LỤC
MỞ ĐẦU 1
NỘI DUNG 2
Chương 1: Tổng quan về mã độc 2
1.1 Khái niệm mã độc 2
1.2 Tình hình tấn công mã độc ở Việt Nam và trên thế giới 2
Chương 2: Phương pháp tấn công và dấu hiệu nhận biết máy tính bị nhiễm mã độc 3
2.1 Các phương pháp tấn công mã độc 3
2.1.1 Email 3
2.1.2 Trang web độc hại 4
2.1.3 Phần mềm giả mạo 5
2.1.4 Ứng dụng di động 6
2.1.5 Mạng xã hội 6
2.1.6 Thiết bị USB và các thiết bị ngoại vi khác 7
2.2 Dấu hiệu nhận biết máy tính bị nhiễm mã độc 7
Chương 3: Tác hại của mã độc đối với hệ thống máy tính 8
3.1 Mất dữ liệu 8
3.2 Làm giảm hiệu suất máy tính 8
3.3 Đánh cắp thông tin cá nhân 8
3.4 Chiếm quyền kiểm soát hệ thống 8
3.5 Tấn công vào mạng của tổ chức 9
Chương 4: Các loại mã độc phổ biến hiện nay 9
4.1 Virus, loại mã độc phố biến nhất 9
4.1.1 Bản chất của virus 9
4.1.2 Phân loại virus 9
4.2 Worm, sâu máy tính 10
4.2.1 Bản chất 10
Trang 34.2.2 Phân loại 11
4.3 Trojan horse 11
4.3.1 Bản chất 11
4.3.2 Phân loại 12
4.4 Spyware, phần mềm gián điệp 13
4.4.1 Bản chất 13
4.4.2 Phân loại 14
4.5 Backdoor 14
4.5.1 Bản chất 14
4.5.2 Phân loại 15
4.6 Ransomware, mã độc tống tiền 16
4.6.1 Bản chất 16
4.6.2 Phân loại 17
Chương 5: Cách phòng thủ trước các cuộc tấn công mã độc 17
5.1 Các nguyên tắc phòng thủ cơ bản 17
5.1.1 Cập nhật phần mềm định kỳ 17
5.1.2 Sử dụng phần mềm bảo mật 18
5.1.3 Không mở các tập tin và liên kết không rõ nguồn gốc 18
5.1.4 Tải phần mềm từ nguồn đáng tin cậy 18
5.1.5 Sao lưu dữ liệu 19
5.2 Công nghệ và giải pháp phòng chống mã độc 19
5.2.1 Hệ thống phát hiện xâm nhập (IDS) 19
5.2.2 Hệ thống phòng chống xâm nhập (IPS) 20
5.2.3 Hệ thống phát hiện độc hại (HIDS) 21
5.2.4 Phân tích động (Behavioral analysis) 21
5.2.5 Phân tích tĩnh (Static analysis) 22
5.2.6 Công cụ giám sát mạng (Network monitoring tools) 22
5.2.7 Hệ thống phòng chống email độc hại (Email security system) 23
5.2.8 Giáo dục và huấn luyện người dùng 24
Trang 4KẾT LUẬN 26 TÀI LIỆU THAM KHẢO 27
Trang 5Nhằm góp phần hiểu rõ về mã độc, cách thức phát tán mã độc cũng nhưtác hại của mã độc đối với các hệ thống máy tính và các biện pháp phòng thủ
để hạn chế hậu quả, Chúng em đã quyết định thực hiện đề tài “Tìm hiểu về tấn công mã độc và cách phòng thủ” trước các cuộc tấn công mã độc Vì kiến
thức và kinh nghiệm còn hạn chế nên không thể tránh khỏi những sai sót,mong thầy thông cảm bỏ qua!
Trang 6NỘI DUNG Chương 1: Tổng quan về mã độc.
1.1 Khái niệm mã độc.
Mã độc hay “Malicious software - Malware” là một loại phần mềm đượctạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, pháhoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật,tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân Mã độc được phânthành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá hoại: virus,worm, trojan, rootkit …
Mọi người hay bị nhầm lẫn với 1 khái niệm khác là Virus máy tính Thực
tế, virus máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc Virus máy tínhhiểu đơn thuần cũng là một dạng mã độc nhưng sự khác biệt ở chỗ virus máytính có khả năng tự lây lan
Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phươngpháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữacác loại mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sựkết hợp lẫn nhau để hiệu quả tấn công là cao nhất
1.2 Tình hình tấn công mã độc ở Việt Nam và trên thế giới.
Tình hình tấn công mã độc ở Việt Nam và trên thế giới đang diễn biếnphức tạp và ngày càng trở nên nguy hiểm hơn Tại Việt Nam, theo báo cáocủa Bộ Công An, số lượng các cuộc tấn công mạng đã tăng lên đáng kể trongnhững năm gần đây Nhiều đối tượng tấn công mạng đã sử dụng các kỹ thuậttinh vi để phá hoại hệ thống mạng của các doanh nghiệp và tổ chức, gây thiệthại nặng nề cho kinh tế và xã hội
Trên thế giới, các cuộc tấn công mạng cũng đang diễn ra với tần suất cao
và mức độ phức tạp ngày càng tăng Các nhà nghiên cứu an ninh mạng đã ghi
Trang 7nhận nhiều cuộc tấn công mạng đáng chú ý như cuộc tấn công WannaCry,Petya, NotPetya, hoặc SolarWind Những cuộc tấn công này gây thiệt hạihàng tỉ đô la và ảnh hưởng đến hàng triệu người dùng trên toàn thế giới.Điều này cho thấy rõ ràng tầm quan trọng của việc nâng cao nhận thức vàphòng chống mã độc cho các doanh nghiệp và cá nhân Cần thực hiện cácbiện pháp bảo mật mạng hiệu quả nhằm ngăn chặn các cuộc tấn công mạng vàgiảm thiểu thiệt hại.
Chương 2: Phương pháp tấn công và dấu hiệu nhận biết máy tính bị nhiễm mã độc.
Trang 8email chứa mã độc đến nạn nhân và khi nạn nhân mở email hoặc tải xuống tệpđính kèm, mã độc sẽ được kích hoạt và lây nhiễm vào hệ thống của nạn nhân.Trong những năm gần đây, tấn công mã độc thông qua email đã trở thànhmột mối đe dọa lớn ở Việt Nam và trên thế giới Các loại mã độc thông quaemail phổ biến bao gồm các chương trình độc hại, phần mềm gián điệp,keylogger, ransomware và botnet.
Các cuộc tấn công mã độc thông qua email thường được thực hiện bởi cácbăng nhóm tội phạm mạng chuyên nghiệp hoặc các nhà tình báo quốc gia Họ
sử dụng các kỹ thuật lừa đảo, mạo danh và kỹ thuật xâm nhập mạng để tạo racác email giả mạo nhằm lừa đảo người dùng hoặc nhắm vào các doanh nghiệp
và tổ chức lớn
Để phòng chống tấn công mã độc thông qua email, người dùng cần đượcgiáo dục về những dấu hiệu đánh dấu email giả mạo và cách phát hiện các tệpđính kèm độc hại Các công ty và tổ chức cần triển khai các hệ thống bảo mậtemail và các giải pháp an ninh mạng để ngăn chặn các cuộc tấn công từ emailgiả mạo
2.1.2 Trang web độc hại.
Mã độc có thể được cài đặt trên trang web độc hại và tự động tải xuốngkhi người dùng truy cập trang web đó
Tấn công mã độc thông qua trang web độc hại là một trong những cáchtấn công phổ biến nhất hiện nay Các hacker sử dụng các trang web độc hại đểtải xuống và cài đặt phần mềm độc hại lên máy tính của nạn nhân mà khôngcần sự cho phép của họ
Các trang web độc hại thường được thiết kế để lừa đảo người dùng bằngcách cam kết cung cấp các nội dung hấp dẫn hoặc đưa ra các thông báo giảmạo về việc cập nhật phần mềm Khi người dùng truy cập vào trang web đó,
Trang 9phần mềm độc hại sẽ được tải xuống và cài đặt lên máy tính của họ mà khôngcần sự cho phép của họ.
Các loại phần mềm độc hại thông qua trang web độc hại có thể gây ranhiều hậu quả nguy hiểm như chiếm quyền điều khiển của máy tính, lấy cắpthông tin cá nhân của người dùng, tấn công vào các hệ thống mạng và pháhoại dữ liệu
Để phòng chống tấn công mã độc thông qua trang web độc hại, ngườidùng nên tránh truy cập vào các trang web không rõ nguồn gốc, không tảixuống các phần mềm từ các trang web không tin cậy và cập nhật các phầnmềm và hệ điều hành của mình đều đặn Các công cụ bảo mật mạng cũng cóthể giúp phát hiện và chặn các trang web độc hại
Khi người dùng tải về và cài đặt phần mềm giả mạo, mã độc sẽ được càiđặt trên hệ thống của họ và bắt đầu thực hiện các hoạt động độc hại như lâynhiễm hoặc lấy cắp thông tin
Một dạng phổ biến của phần mềm giả mạo là các phiên bản crack của cácphần mềm phổ biến, nơi các hacker sẽ thêm mã độc vào bản crack để lừa đảongười dùng tải về và sử dụng thay vì mua bản phần mềm chính thức Tuy
Trang 10nhiên, việc sử dụng phiên bản crack có thể dẫn đến các vấn đề bảo mậtnghiêm trọng, vì nó có thể bao gồm các mã độc mà không được phát hiện bởiphần mềm diệt virus.
Do đó, việc tải về và sử dụng phần mềm giả mạo hoặc phiên bản crack cóthể rất nguy hiểm và cần được tránh Người dùng cần luôn tải phần mềm từnguồn tin cậy và sử dụng các phần mềm diệt virus để bảo vệ hệ thống củamình khỏi các mã độc
di động
2.1.5 Mạng xã hội.
Mã độc có thể được lan truyển qua các tin nhắn mạng xã hội, bài đăng vàliên kết độc hại
Mạng xã hội cũng là một trong những kênh truyền bá mã độc phổ biến
Kẻ tấn công thường sử dụng các trang web xã hội để phát tán mã độc và lừađảo người dùng Chúng có thể tạo ra các trang web giả mạo, các bài đăngchứa đường dẫn độc hại, hoặc nhắn tin độc hại cho các tài khoản người dùng
Trang 11Người dùng thường không nghi ngờ gì khi nhận được các thông tin như vậy
và dễ dàng bị lừa đảo để bấm vào các liên kết hoặc tải xuống các tệp tin độchại Để tránh bị tấn công qua mạng xã hội, người dùng cần kiểm tra kỹ trướckhi truy cập vào các trang web lạ, cẩn thận với các liên kết có nguồn gốckhông rõ ràng, và không mở các tệp tin đính kèm hoặc nhắn tin từ các nguồnkhông xác định
2.1.6 Thiết bị USB và các thiết bị ngoại vi khác.
Mã độc có thể được lưu trữ trên các thiết bị USB và lây nhiễm sang máytính khi kết nối
Thiết bị USB và các thiết bị ngoại vi khác có thể bị lây nhiễm mã độc khikết nối với máy tính chứa phần mềm độc hại Các loại mã độc phổ biến được
sử dụng trong các cuộc tấn công này bao gồm các phần mềm độc hại tự độngphát tán, mã độc trojan, phần mềm độc hại tấn công trực tiếp vào thiết bị USB
và các loại mã độc khác Các giải pháp bảo mật có thể bao gồm việc sử dụngcác chương trình diệt virus để quét các thiết bị ngoại vi trước khi kết nối vớimáy tính và hạn chế việc sử dụng thiết bị USB và các thiết bị ngoại vi khôngđáng tin cậy
2.2 Dấu hiệu nhận biết máy tính bị nhiễm mã độc.
Người dùng máy tính cần tìm hiểu những dấu hiệu cho thấy máy tính củabạn đang có nguy cơ bị mã độc xâm nhập hoặc đang ẩn nấp trên hệ thống Cụthể như:
Máy tính gặp vấn đề về hiệu suất mà không rõ lý do dù gần đâykhông tải bất kỳ phần mềm mới nào
Hệ thống máy tính thường xuyên xảy ra sự cố
Sự thay đổi bất thường của trang chủ của trình duyệt hoặc mật khẩutài khoản
Trang 12 Những chương trình lạ đang chạy trên thanh tác vụ hoặc xuất hiệnkhi khởi động hệ thống.
Việc phát hiện sớm các phần mềm độc hại trên máy tính là vô cùng cầnthiết nhưng việc này lại phức tạp hơn chúng ta nghĩ Doanh nghiệp hay cánhân cần phân tích tài sản mạng để bảo vệ dữ liệu là điều cần làm Các bạncần giám sát liên tục, thường xuyên kiểm tra nhật ký hệ thống và dùng cáccông cụ bảo mật chuyên nghiệp
Chương 3: Tác hại của mã độc đối với hệ thống máy tính.
bị đều bị mất
3.2 Làm giảm hiệu suất máy tính.
Mã độc có thể tiêu thụ tài nguyên hệ thống và làm giảm hiệu suất máytính Mã độc xâm nhập vào hệ thống, chiếm dụng tài nguyên và gây tê liệttoàn bộ hệ thống máy tính Các thiết bị khi bị nhiễm mã độc sẽ hoạt độngchậm hơn nhiều so với ban đầu Mã độc còn khiến máy tính bị vô hiệu hóa.Người dùng sẽ không thể sử dụng máy tính của mình Để sử dụng trở lại,người dùng phải bỏ ra một khoản chi phí lớn
3.3 Đánh cắp thông tin cá nhân.
Mã độc có thể trộm cắp thông tin cá nhân, như thông tin tài khoản, mậtkhẩu và thông tin thẻ tín dụng
3.4 Chiếm quyền kiểm soát hệ thống.
Trang 13Mã độc có thể cho phép kẻ tấn công kiểm soát máy tính của nạn nhân và
sử dụng nó để thực hiện các cuộc tấn công khác
3.5 Tấn công vào mạng của tổ chức.
Mã độc có thể lây nhiễm vào mạng của tổ chức và gây ra thiệt hại lớn cho
cả hệ thống
Chương 4: Các loại mã độc phổ biến hiện nay.
4.1 Virus, loại mã độc phố biến nhất.
4.1.1 Bản chất của virus.
Virus là một loại phần mềm độc hại được thiết kế để tự nhân bản và lâylan từ một máy tính sang máy tính khác thông qua các tệp tin bị nhiễm bởivirus Bản chất của virus là nó có thể gây nhiễm trùng và lây lan từ máy tínhnày sang máy tính khác, tương tự như virus trong sinh học
Virus thường được tạo ra bởi các hacker hoặc kẻ tấn công mạng để gâyhại cho máy tính của người dùng Các virus thường được phát tán thông quacác tệp tin tải xuống từ internet, email, đĩa cứng hoặc các thiết bị lưu trữ khác.Virus có thể gây hại cho máy tính bằng cách xóa hoặc làm hỏng dữ liệu, gâychậm hoặc làm ngừng hoạt động máy tính hoặc thực hiện các hoạt động xấukhác như trộm thông tin người dùng
Virus có thể được phân loại dựa trên cách chúng lây lan và hoạt động trênmáy tính Để bảo vệ máy tính khỏi virus, người dùng cần cài đặt và sử dụngphần mềm diệt virus chuyên nghiệp, cập nhật hệ điều hành và phần mềm bảomật thường xuyên và hạn chế truy cập vào các trang web hoặc tải xuống cáctệp tin không rõ nguồn gốc
4.1.2 Phân loại virus.
Boot virus và File virus là hai loại virus phổ biến nhất:
Trang 14 Boot virus (Nhiễm khởi động): Đây là loại virus lây nhiễm vàophần khởi động của hệ điều hành hoặc các tệp tin khởi động của ổcứng và có thể kích hoạt khi hệ thống được bật lên Virus này cókhả năng lan truyền sang các thiết bị lưu trữ khác, như ổ đĩa, đĩamềm, USB và CD Nếu bị nhiễm bởi Boot virus, hệ thống sẽ khởiđộng chậm hơn, hoặc không khởi động được, hoặc có những lỗikhác liên quan đến việc khởi động hệ thống.
File virus (Nhiễm File): Đây là loại virus lây nhiễm vào các tệp tintrên hệ thống hoặc các ứng dụng, và thường được phát tán qua cáctệp tin bị nhiễm trên các thiết bị lưu trữ hoặc qua email độc hại Filevirus có thể thay đổi nội dung của các tệp tin mục tiêu hoặc kíchhoạt các tác vụ độc hại khác như tắt các chương trình bảo mật, thuthập thông tin từ hệ thống hoặc tạo các tệp tin giả mạo Nếu bịnhiễm bởi File virus, hệ thống có thể chậm hơn hoặc xuất hiện cáclỗi khi sử dụng các ứng dụng hoặc các tệp tin bị nhiễm
Để bảo vệ máy tính khỏi các loại virus này, người dùng cần cài đặt phầnmềm diệt virus chuyên nghiệp và cập nhật thường xuyên các bản vá bảo mậtcủa hệ điều hành và phần mềm đang sử dụng Nên hạn chế truy cập vào cáctrang web hoặc tải xuống các tệp tin không rõ nguồn gốc để giảm thiểu nguy
cơ bị nhiễm virus
4.2 Worm, sâu máy tính.
4.2.1 Bản chất.
Bản chất của loại mã độc worm là sự lây lan và tự động sao chép chính nósang các hệ thống khác mà không cần sự tham gia của người dùng Wormđược thiết kế để tấn công các hệ thống mạng và có thể lây lan từ máy tính nàysang máy tính khác thông qua các kết nối mạng
Trang 15Một số worm còn có khả năng tự động tìm kiếm các lỗ hổng bảo mậttrong hệ thống và tận dụng chúng để lây lan Khi đã lây nhiễm vào một hệthống, worm có thể tiến hành các hành động độc hại như xóa hoặc thay đổi dữliệu, tắt hệ thống hoặc tạo một lối vào cho các hacker tấn công.
Email Worm: Lây lan qua email và chứa một đính kèm độc hại đểkhiến người dùng mở nó Một ví dụ nổi tiếng là wormILOVEYOU
File-Sharing Worm: Tìm kiếm các tệp chia sẻ trên mạng và chènđoạn mã độc hại vào chúng, khiến những người tải xuống tệp này bịlây nhiễm Worm phổ biến nhất trong loại này là worm Kazaa
IRC Worm: Lây lan thông qua kênh IRC (Internet Relay Chat) vàtải xuống các tệp độc hại trên máy tính của người dùng Worm phổbiến trong loại này là worm Pretty Park
Instant Messaging Worm: Lây lan thông qua các ứng dụng nhắn tintrực tuyến và chứa các đính kèm độc hại để tấn công máy tính củangười dùng Worm phổ biến trong loại này là worm Kelvir
4.3 Trojan horse.
4.3.1 Bản chất.
Bản chất của Trojan horse là một loại mã độc được thiết kế để xâm nhậpvào hệ thống máy tính của người dùng và thực hiện các hành động độc hại màngười dùng không hay biết Trojan horse thường được giấu kín trong các tệp