Khác với các mã độc khác khi tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, ransomware thì ngay lập tức tìm đến các file dữ liệu tr
Trang 113
BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI
LUẬN VĂN THẠC SỸ
CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN
PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN
RANSOMWARE
DƯƠNG VIỆT SƠN
HÀ NỘI - 2017
Trang 214
BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI
LUẬN VĂN THẠC SỸ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN
RANSOMWARE
DƯƠNG VIỆT SƠN
CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN
MÃ SỐ: 60.48.02.018
NGƯỜI HƯỚNG DẪN KHOA HỌC
TS ĐỖ XUÂN CHỢ
HÀ NỘI - 2017
Trang 3i
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác
Tác giả luận văn ký
và ghi rõ họ tên
Dương Việt Sơn
Trang 4ii
LỜI CẢM ƠN
Em xin bày tỏ lòng biết ơn và kính trọng sâu sắc nhất tới thầy giáo TS Đỗ Xuân Chợ giảng viên trường Học Viện Bưu Chính Viễn Thông, người đã trực tiếp hướng dẫn, tận tình giúp đỡ chỉ bảo, giúp đỡ em trong suốt thời gian qua với tất cả tấm lòng, tâm huyết của người thầy để em có được những định hướng đúng đắn trong quá trình hoàn thành luận văn tốt nghiệp
Em chân thành cảm ơn các thầy, cô trường Viện Đại học Mở Hà Nội với tri thức và tâm huyết của mình đã truyền đạt vốn kiến thức quý báu cho em trong suốt thời gian học tập tại trường Em chúc thầy, cô thật dồi dào sức khỏe, niềm tin để tiếp tục sứ mệnh cao đẹp của người nhà giáo Việt Nam truyền đạt kiến thức đến các thế hệ học sinh của trường
Do thời gian và kiến thức có hạn nên luận văn không thể tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp quý báu của quý thầy cô và các bạn để luận văn được hoàn thiện hơn
Em xin chân thành cảm ơn!
Hà Nội, Ngày 27 tháng 10 năm 2017
Học viên thực hiện
Dương Việt Sơn
Trang 5iii
MỤC LỤC
LỜI CAM ĐOAN i
LỜI CẢM ƠN ii
Danh mục kí hiệu và viết tắt v
Danh mục hình vẽ vi
DANH MỤC BẢNG BIỂU viii
DANH MỤC BIỂU ĐỒ ix
DANH MỤC SƠ ĐỒ x
MỞ ĐẦU 1
CHƯƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC 3
1.1 Tổng quan chung về mã độc 3
1.1.1 Định nghĩa về mã độc 3
1.1.2 Mục tiêu của mã độc 3
1.1.3 Phân loại mã độc 4
1.1.4 Xu hướng phát triển và sự cải tiến của mã độc 7
1.2 Các nguy cơ mất an toàn thông tin từ mã độc 8
1.2.1 Nguy cơ mất an toàn từ người dùng 8
1.2.2 Nguy cơ từ mã độc trên máy trạm 9
1.2.3 Nguy cơ đối với hệ thống mạng 10
1.2.4 Nguy cơ từ mạng xã hội 10
1.2.5 Nguy cơ từ thiết bị di động 11
1.3 Một số biện pháp phòng chống mã độc 11
1.3.1 Nâng cao nhận thức của người dùng 11
1.3.2 Chính sách an toàn 12
1.3.3 Backup và mã hóa dữ liệu 12
1.3.4 Cập nhật hệ điều hành, phần mềm 13
1.3.5 Sử dụng các phần mềm,giải pháp đầu cuối 13
1.3.6 Sử dụng xác thực hai bước để bảo vệ tài khoản 13
1.4 RANSOMWARE 14
1.4.1 Tổng quan chung về mã độc ransomware 14
1.4.2 Cách thức hoạt động của mã độc ransomware 26
1.4.3 Các biện pháp phòng chống ransomware 29
Kết luận chương 1: 31
CHƯƠNG II CÁC PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 33
2.1 Kĩ thuật phân tích tĩnh 33
2.1.1 Ưu nhược điểm của kĩ thuật phân tích tĩnh 33
2.1.2 Các kĩ thuật phân tích tĩnh 33
2.2 Kĩ thuật phân tích động 41
2.2.1 Ưu nhược điểm của kĩ phân tích động 41
2.2.2 Các kĩ thuật phân tích động 43
Trang 6iv
2.3 Phương pháp phát hiện mã độc ransomware 49
2.3.1.Các kĩ thuật phát hiện mã độc ransomware 49
2.3.2.Các kĩ thuật phân tích ransomware 51
Kết luận chương 2: 51
CHƯƠNG III THỰC NGHIỆM VÀ ĐÁNH GIÁ 52
3.1 Giới thiệu về công cụ hỗ trợ thực nghiệm 52
3.2 Điều tra viên tiếp nhận vụ án và tiến hành phân tích 53
Kết luận chương 3: 72
TÀI LIỆU THAM KHẢO 75
Trang 7v
DANH MỤC KÍ HIỆU VÀ VIẾT TẮT Viết tắt Tiếng Anh Tiếng việt
AES Advanced Encryption Standard Chuẩn Mã hóa dữ liệu
APT Advanced Persistent Threat Mối nguy hiểm cao thường trực
CPU Central Processing Unit Bộ vi xử lý trong máy tính
CRC Cyclic Redundancy Check Phương pháp kiểm tra dữ liệu máy
tính DDOS Distributed Denial Of Service Kiểu tấn công làm quá tải mạng
FBI Federal Bureau of Investigation Cục điều tra liên bang của Mỹ
cứng MD5 Message Digest Algorithm 5 Thuật toán mã hóa hàm băm
NHS National Health Service Dịch vụ y tế quốc gia
NIST National Institute of Standards and
Technology
Viện tiêu chuẩn và kỹ thuật quốc gia (Mỹ)
PID Proportional Integral Derivative Bộ điều khiển vi tích phân tỷ lệ
(thiết bị) ngoại vi
TCP Transmission Control Protocol Giao thức điều khiển truyển vận
Trang 8vi
DANH MỤC HÌNH VẼ
Hình 1 1 Phân loại mã độc theo hình thức lây nhiễm 5
Hình 1 2 Phân loại mã độc theo NIST 7
Hình 1 3 Các liên kết độc hại gửi từ facebook 9
Hình 1 4 Thông báo giả mạo của reveton 19
Hình 1 5 Thông báo đòi tiền chuộc của cryptolocker 20
Hình 1 6 Thông báo của wanacry trên máy nạn nhân 21
Hình 1 7 Phát tán rasomware qua thư điện tử 26
Hình 2 1 Giao diện virustotal khi quét tập tin đáng nghi 34
Hình 2 2 MD5 & SHA Checksum Utility 2.1 35
Hình 2 3 Dữ liệu của tập tin dưới dạng nguyên thủy 36
Hình 2 4 Sử dụng string.exe 37
Hình 2 5 Xác định packer bằng Detect It Easy 38
Hình 2 6 Giao diện đồ họa của IDA Pro 40
Hình 2 7 BinDiff 41
Hình 2 8 Thông tin sự kiện procmon bắt được 44
Hình 2 9 Giao diện hiển thị chính của Process hacker 44
Hình 2 10 Process hacker highlighting 45
Hình 2 11 Giao diện chính của systracer 47
Hình 2 12 Giao diện hiển thị gói tin của Wireshark Bắt gói tin bằng Wireshark 48
Hình 2 13 Cửa sổ Follow TCP Stream của Wireshark 49
Hình 2 14 Các công cụ theo dõi tài nguyên hệ thống 50
Hình 3 1 Thông báo của ransomware 53
Hình 3 2 Tập tin dữ liệu bị mã hóa bởi ransomware 54
Hình 3 3 Thông tin về thời gian mã độc mã hóa tập tin 54
Hình 3 4 Tập tin windows preftech 55
Hình 3 5 Tiến trình khởi chạy trên hệ thống 56
Hình 3 6 Tập tin nghi ngờ AntiWanaCry 56
Hình 3 7 Kết quả virustotal 57
Hình 3 8 Tải mã độc từ liên kết 58
Hình 3 9 Kết quả phân tích hybrid-analysis 59
Hình 3 10 Các tiến trình mã độc tạo ra và được ghi lại 59
Hình 3 11 Kết nối mạng tới 2 tên miền spora.bz và ru.wikipedia.org 59
Hình 3 12 Thông báo User Account Control 60
Trang 9vii
Hình 3 13 Cửa sổ CMD 60
Hình 3 14 Lệnh thực thi mã độc 61
Hình 3 15 Thư mục được ẩn đi bởi mã độc và shortcut do mã độc tạo ra 61
Hình 3 16 Tập tin do ransomware tạo ra 61
Hình 3 17 Giao diện thông báo tiền chuộc 62
Hình 3 18 Main chương trình của mã độc nhìn bằng IDA 62
Hình 3 19 Dòng lệnh thực hiện xóa tập tin trong mã độc 62
Hình 3 20 Dòng lệnh sửa đổi đường dẫn 63
Hình 3 21 Một số dạng văn bản được mã hóa 63
Hình 3 22 Ransomware tạo tập tin trên máy nạn nhân 64
Hình 3 23 Thông tin đã được mã hóa 64
Hình 3 24 Phần mở rộng của các tập tin 64
Hình 3 25 Dòng lệnh thực hiện nhập khóa 65
Hình 3 26 Lưu trữ khóa thực hiện trong quá trình mã hóa 66
Hình 3 27 Dòng lệnh thực hiện giải mã 67
Hình 3 28 Phiên bản Spora 67
Hình 3 29 Dòng lệnh tạo khóa RSA 67
Hình 3 30 Dòng lệnh mã hóa khóa bí mật bằng thuật toán mã hóa base64 68
Hình 3 31 Dòng lệnh lưu trữ khóa bí mật của mã độc ??? 69
Hình 3 32 Dòng lệnh mã hóa khóa trước khi truyền 69
Hình 3 33 Dòng lệnh tạo khóa mã hóa 70
Hình 3 34 Dòng lệnh mã hóa khóa bí mật 70
Hình 3 35 Thực hiện truyền khóa về máy chủ của kẻ tấn công 71
Hình 3 36 Dòng lệnh kiểm tra file để mã hóa 71
Hình 3 37 Ngăn chặn sự phát tán của mã độc spora 72
Trang 10viii
DANH MỤC BẢNG BIỂU
Bảng 1 1 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2014-2015 23 Bảng 1 2 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2015-2016 24 Bảng 1 3 Số lượng người dùng bị tấn công ransomware giai đoạn 2014-
2016 24
Trang 11
ix
DANH MỤC BIỂU ĐỒ
Biểu đồ 1 1 Thống kê số lượng người dùng bị tấn công phân loại theo nhóm mã độc tống tiền mã hóa năm 2014-2015 17 Biểu đồ 1 2 Thống kê số lượng người dùng bị tấn công phân loại theo nhóm mã độc tống tiền mã hóa năm 2015-2016 18
Trang 12x
DANH MỤC SƠ ĐỒ
Sơ đồ 3 1 quá trình người dùng bị nhiễm ransomware 58
Trang 131
MỞ ĐẦU
Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mạng toàn cầu Internet, an toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu Các kỹ thuật tấn công ngày càng tinh vi, phức tạp Các tổ chức và cá nhân, doanh nghiệp càng thêm lo lắng về các nguy cơ mất an toàn thông tin hơn khi có sự xuất hiện của mã độc tống tiền (ransomware) Khác với các mã độc khác khi tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, ransomware thì ngay lập tức tìm đến các file dữ liệu trong máy tính nạn nhân để mã hóa Sau khi mã hóa xong nếu nạn nhân không tự bỏ tiền ra mua khóa bí mật từ kẻ tấn công để giải mã thì toàn bộ
dữ liệu này không thể sử dụng được Tuy nhiên, gần đây một số biến thể mới của ransomware đã không yêu cầu tiên chuộc mà nó sẽ đưa ra danh sách các phần mềm
để bẻ khóa dữ liệu ở trên mạng Tất nhiên các phần mềm này đều yêu cầu trả phí khi tải về
Trong năm 2017 có 2 đợt tấn công của ransomware nổi trội lên nhất, một là chiều 12/5 theo giờ Việt Nam, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WanaCrypt0r (một biến thể của WannaCry) và ngày 28/6/2017 một vius khác mang tên Petrwrap, biến thể từ mã độc tống tiền có tên Petya từng được phát hiện từ tháng 3 năm 2017
Với việc kết hợp các công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn Do đó, việc nghiên cứu về cơ chế hoạt động của mã độc ransomware là điều rất quan trọng
và cần thiết hiện nay Để có thể phát hiện và phòng chống hiệu quả mã độc ransomware thì yêu cầu các cơ quan quản lý an toàn thông tin cần phải nắm rõ được
cơ chế phát tán, nguyên tắc hoạt động cũng như một số hành vi của loại mã độc này
Từ những lý do trên học viên với sự hướng dẫn của TS Đỗ Xuân Chợ lựa chọn đề tài: “Phương pháp phân tích mã độc tống tiền Ransomware” Kết quả nghiên cứu của đề tài sẽ là các hình vi của mã độc ransomware Các kết quả này phần nào sẽ giúp các nhà quản trị mạng hiểu rõ hơn về nguyên tắc làm việc của mã
Trang 14- Nghiên cứu về mã độc ransomware và biến thể của nó;
- Nghiên cứu về các phương pháp phân tích mã độc;
- Tìm hiểu về một số công cụ hỗ trợ phân tích mã độc
- Phương pháp và kỹ thuật phân tích mã độc;
- Các công cụ, công nghệ phân tích mã độc
Phạm vi nghiên cứu:
- Mã độc ransomware và các biến thể của nó
- Các kỹ thuật, các phương thức, các giải pháp, các công nghệ mới để phân tích mã độc ransomware
Phương pháp nghiên cứu:
- Cơ sở lý thuyết về mã độc và mã độc ransomware
- Cơ sở lý thuyết về phương pháp phân tích mã độc
- Nguyên lý làm việc của một số công cụ phân tích mã độc
Trang 153
CHƯƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC
Mã độc từ khi ra đời cho đến nay luôn tận dụng những kỹ thuật tiên tiến của công nghệ thông tin và truyền thông cũng như lợi dụng những lổ hổng nguy hiểm trong các hệ thống tin học để khuyếch trương ảnh hưởng của mình Mặc dù việc sử dụng các thiết bị và phần mềm bảo mật trở nên phổ biến nhưng mã độc vẫn tiếp tục phát triển mạnh mẽ và giờ đây chúng thường được viết ra có mục đích rõ ràng, phục vụ một đối tượng cụ thể và không ngừng cải tiến qua các phiên bản để đạt được phiên bản hiệu quả nhất Vậy để phát hiện và diệt được mã độc thì trước hết phải hiểu rõ bản chất của chúng Về nguyên tắc chung, công việc diệt mã độc đa phần là làm ngược lại những gì mà mã độc đã làm Vì vậy trong chương này tôi tập trung nghiên cứu những nội dung liên quan đến cơ chế hoạt động của các loại mã độc để làm rõ bản chất của chúng Từ đó có thể xây dựng chương trình tìm và diệt
1.1.2 Mục tiêu của mã độc
Các thống kê cho thấy, các cuộc tấn công của mã độc quy mô lớn chủ yếu nhắm vào chính phủ hoặc các tổ chức tài chính Tiếp đó là các công ty, dịch vụ về công nghệ thông tin Điều này lý giải cho mục tiêu của mã độc nhắm tới đó là lợi
nhuận và lây lan rộng [6]
Trang 164
1.1.3 Phân loại mã độc
Việc phân chia thành những loại mã độc khác nhau sẽ cho cái nhìn cơ bản về hành vi của mã độc làm cho việc tìm hiểu về mã độc trở nên dễ dàng hơn Hiện tại chưa có một tiêu chuẩn chung nào về việc phân loại mã độc, những công ty, tổ chức phát triển phần mềm quét mã độc thường có những cách phân loại riêng của mình Nhưng sự phân loại này cũng chỉ mang tính chất tương đối, ví dụ như ramit, một dòng mã độc mà vừa hoạt động như worm khi nó tạo ra các bản sao trong nhiều khu vực, vừa bám vào vật chủ là các tập tin thực thi exe và tập tin html, vừa là một botnet Để giải quyết vấn đề này thì nhiều công ty phát triển phần mềm sử dụng một thứ tự ưu tiên nhất định để đặt tên Nếu mã độc có thuộc tính ưu tiên cao hơn thì sẽ phân loại vào đó, nếu như thứ tự ưu tiên là virus – worm – trojan thì như vậy ramit
sẽ được xếp vào là virus, do virus có mức ưu tiên cao hơn Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại để đưa ra nhiều tiêu chí để phân loại
mã độc, nhưng hai tiêu chí được sử dụng nhiều nhất là phân loại theo hình thức lây nhiễm và theo phân loại của NIST (National Institute of Standart and Technology) [6]
a) Phân loại theo hình thức lây nhiễm
Dựa vào hình thức phân loại này thì mã độc gồm hai loại chính: một loại cần vật chủ để tồn tại và lây nhiễm, vật chủ ở đây có thể là các tập tin dữ liệu, các tập tin ứng dụng, hay các tập tin chương trình thực thi… và loại thứ hai chính là tồn tại độc lập không cần vật chủ để lây nhiễm [6]
Độc lập nghĩa là chương trình độc hại có thể được lập lịch và chạy trên hệ điều hành
Không độc lập (needs host program) là một đoạn chương trình đặc biệt thuộc một chương trình không thể thực thi độc lập như một chương trình thông thường hay tiện ích bất kì mà bắt buộc phải có bước kích hoạt chương trình chủ trước thì chương trình mới chạy được
Trang 17Đơn giản nhất là tạo một bản sao vào các thiết bị lưu trữ ngoài như USB, thư mục chia sẻ trong LAN rồi từ đây lây nhiễm qua các máy khác Sự nguy hiểm lớn nhất của worm là từ trong hệ thống có thể tự gửi chính mã độc này đến hàng chục, hàng trăm, thậm chí hàng ngàn máy khác và cứ thế nhân lên, làm cho các máy chủ web, máy chủ mạng ,và cả máy tính bị tràn bộ nhớ đến mức không thể hoạt động nữa
Zombie: Là chương trình độc hại bí mật liên kết với một máy tính khác
ngoài internet để nghe lệnh từ các máy tính Các zombie thường được sử dụng trong các cuộc tấn công từ chối dịch vụ DDOS để tấn công vào một website bất kì
Backdoor: Là một chương trình hoặc có liên quan đến chương trình, được
tin tặc sử dụng để cài đặt trên hệ thống nhằm mục đích cho sự trở lại hệ thống vào
Worm Zombie
Bombs Trojan Horse
Virus
Phân loại theo hình thức lây nhiễm
Trang 186
lần sau Mục đích của backdoor là xóa bỏ cách minh chứng hệ thống ghi nhật ký Đồng thời cũng giúp tin tặc cầm cự trạng thái truy cập khi bị quản trị viên phát hiện
và tìm cách khắc phục
Logic Bombs: Là đoạn mã độc được nhúng vào một chương trình hợp pháp
mà chúng có thể thực thi khi có một điều kiện nào đó xảy ra Các đoạn mã thường được chèn vào các ứng dụng hoặc các hệ điều hành để thực hiện việc phá hủy các chức năng an toàn của hệ thống
Trojan Horse: Trojan tồn tại độc lập, là một tập tin độc lập, không có khả
năng lây nhiễm Thông thường trojan sẽ lừa người dùng mở nó bằng các kĩ thuật (social engineering) như đặt những biểu tượng giống như thư mục, tập tin văn bản, tập tin hình ảnh, đặt tên có liên quan đến người dùng Do không được thiết kế để lây nhiễm nên trojan có thể phát tán trực tiếp qua email, đường link, được các loại mã độc tải về, hoặc được virus và worm mang theo
Virus: Đây là thuật ngữ xuất hiện đầu tiên về mã độc trên máy tính Từ
những giai đoạn đầu phát triển của mã độc trong những năm 1980 Virus máy tính
là thuật ngữ được lấy từ virus sinh học Cũng như virus sinh học, virus máy tính không tồn tại thành một thực thể, một tập tin Virus là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy tính khác dưới nhiều hình thức khác nhau
Trang 197
b) Phân loại theo NIST
Hình 1 2 Phân loại mã độc theo NIST
1.1.4 Xu hướng phát triển và sự cải tiến của mã độc
Theo dự báo của các nhà chuyên môn mã độc ngày càng có xu hướng phát triển mạnh mẽ, phức tạp và tinh vi hơn Đặc biệt là sự bùng nổ của mã độc mang tên ransomware trong những năm gần đây Các mẫu mã độc không phụ thuộc vào tập tin (tập tin-less mã độc) sẽ trở nên phổ biến hơn trong các cuộc tấn công APT do bản chất không phát hiện được bằng các chương trình chống virus truyền thống [6, 7]
Mã độc phát triển nhanh chóng theo xu hướng phát triển của công nghệ máy tính Càng ngày, mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân loại cũng như mục tiêu sử dụng Cùng với sự bùng nổ của mạng máy tính, thiết bị di động, mã độc cũng tăng trưởng với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứng với các công nghệ và nền tảng mới
Nếu như ban đầu mục tiêu của mã độc chỉ nhắm đến những máy tính đơn lẻ, thì ngày nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ chế lây lan phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ
Virus Worm
Malicious Mobie Code Trojan Horse
Tracking Cookie Phần mềm quảng cáo Phần mềm gián điệp
Attacker Tool Phishing Virus Hoax Phân loại
theo NIST
Trang 208
Nghiêm trọng hơn, mã độc có thể được phát triển phức tạp và thiết kế tinh vi với mục đích gián điệp, phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới, dẫn đến nguy cơ về một cuộc chiến tranh mạng Cyberwar lan rộng
1.2 Các nguy cơ mất an toàn thông tin từ mã độc
Ngày nay, với nền công nghệ, máy móc phát triển, gần như mọi người có thể mang theo cả thế giới thông tin trong người Công cuộc đảm bảo an toàn an ninh trở nên phức tạp hơn khi số lượng ứng dụng sử dụng trên thiết bị là vô cùng lớn, trong khi người dùng không có khả năng hoặc không có kiến thức thường trao hoàn toàn quyền hệ thống cho các ứng dụng dẫn tới khả năng mất an toàn thông tin trở nên dễ dàng hơn bao giờ hết Mặt khác, việc truy cập dữ liệu nhạy cảm thông qua các mạng internet công cộng hoặc đường truyền không được đảm bảo cũng làm tăng mức độ rủi ro mất mát dữ liệu Ngoài ra, bản thân hệ điều hành của thiết bị và những ứng dụng bản quyền cũng có nhiều lỗ hổng có thể bị khai thác cũng là một nguyên nhân dẫn tới mất an toàn thông tin [6, 7, 8]
1.2.1 Nguy cơ mất an toàn từ người dùng
Hiện nay mã độc chủ yếu lây nhiễm vào hệ thống thông tin bằng cách đánh vào nhận thức cũng như tâm lý của người dùng Mã độc có thể lây nhiễm vào máy tính người sử dụng thông qua các tập tin đính kèm thư Các tập tin này thường đính kèm các thư điện tử của người lạ gửi đến nạn nhân hoặc thư điện tử giả mạo một cơ quan tổ chức
Hay đơn giản hơn chỉ cần người dùng truy cập vào một trang web độc hại là người dùng đã có thể bị lây nhiễm mã độc vào máy tính của mình Các trang web này thường lừa người sử dụng truy cập thông qua các liên kết gửi qua mạng xã hội, thư điện tử hay tin nhắn Vì vậy, người sử dụng cần thật cẩn trọng khi truy cập vào các trang web lạ được gửi đến từ người khác trong quá trình sử dụng dịch vụ trên mạng internet cá nhân
Trang 219
Hình 1 3 Các liên kết độc hại gửi từ facebook
Qua một vài dẫn chứng được nêu trên có thể thấy được nguy cơ mất an toàn
từ mã độc đối với cá nhân người dùng là vô cùng đơn giản và dễ thực hiện và gây ra những hậu quả không thể lường trước được
1.2.2 Nguy cơ từ mã độc trên máy trạm
Các tổ chức ngiên cứu về bảo mật thông tin đã phát hiện ra rằng các máy trạm (máy đầu cuối – endpoint) là gót chân A-sin, một trong các nguyên nhân chính của những rủi ro về an toàn thông tin Máy trạm là bất kì thiết bị máy tính nào
có kết nối với mạng của tổ chức như các máy tính để bàn, máy laptop, hoặc các thiết bị điện tử có vùng lưu trữ, cổng vào ra, kết nối với địa chỉ ip… Các máy trạm
có thể gây ra ba rủi ro chính:
Thứ nhất, các tấn công đi qua vòng, thông qua kết nối của máy trạm truy cập vào các website chứa mã độc, né tránh các công cụ bảo vệ tại vành đai mạng để thâm nhập vào hệ thống công ty
Thứ hai, những người dùng di động (sử dụng máy tính xách tay, được dùng
cả bên trong và bên ngoài công ty) thường nằm ngoài kiểm soát của các công cụ an ninh
Thứ ba, số lượng các máy trạm rất lớn, việc triển khai và quản lý nhiều chương trình bảo mật trên từng máy trạm là thách thức lớn đối với người quản trị mạng Các máy trạm nếu không được kiểm soát an ninh chặt chẽ và triển khai đúng đắn sẽ tạo ra các nguy cơ cao như dữ liệu bị đánh cắp,…
Đặc biệt các máy trạm rất dễ bị tấn công, qua các điểm yếu trong các giao thức mạng cho phép truy cập thông qua các cổng được mở hoặc cổng không được
Trang 2210
mở kiểm soát Các tấn công khác nhằm vào lỗi lập trình, có thể tạo ra lỗi tràn vùng đệm cho phép thực thi mã độc
1.2.3 Nguy cơ đối với hệ thống mạng
Xu hướng tấn công vào các công ty có hệ thống thông tin nhạy cảm nhằm mục đích trục lợi đang có chiều hướng gia tăng Những doanh nghiệp tài chính, ngân hàng, thanh toán điện tử có rủi ro cao nhất Tin tặc không chỉ từ bên ngoài mà
có thể chính là nhân viên trong công ty Đây là dạng rủi ro tấn công an ninh nội mạng và có xu hướng nóng gần đây tại Việt Nam và trên thế giới
Tấn công mạng LAN không phải là phương thức mới mà đã từng xảy ra nhiều vụ việc tại Việt Nam Rất nhiều mã độc được phát tán lây lan qua mạng LAN, điển hình là sâu Connficker có khả năng lây qua cả usb và mạng LAN Thiệt hại có thể xảy ra là khiến cho hoạt động sản xuất của doang nghiệp bị ngừng trệ hoặc gây
rò rỉ, thất thoát dữ liệu nhạy cảm Trong mạng LAN, tin tặc dễ triển khai các hoạt động như nghe lén hay biến máy tính nhiễm virus thành một cổng giả mạo, từ đây tin tặc sẽ kiểm soát được các dữ liệu quan trọng Mặt khác, các máy tính trong cùng mạng LAN của công ty thường có chung chính sách về an ninh (security) và quan trọng nhất là có môi trường giống nhau (hệ điều hành, các phần mềm cài trên hệ điều hành), nếu xâm nhập được một máy thì dễ dàng đoán ra được các máy khác thế nào, vì thế dễ tấn công hơn so với việc xâm nhập từ xa ( không phải thăm dò thử nghiệm) [6]
1.2.4 Nguy cơ từ mạng xã hội
Hiện nay trên thế giới có hàng trăm mạng xã hội khác nhau như MySpace, Facebook, Zingme, YuMe, Zalo, Twitter Trong khi mạng xã hội được xem là phương tiện giao tiếp tốt với mọi người thì nó cũng trở thành mục đích cho tội phạm mạng Các hãng bảo mật lớn đã quan sát được làn sóng đe dọa trực tuyến ngày càng tăng lợi dụng mạng xã hội để đánh cắp thông tin, sử dụng cho mục đích kiếm tiền Những mối đe dọa này này càng phức tạp hơn, khó phát hiện hơn và thường nhắm vào lối sống “kết bạn trực tuyến” của mọi người Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin, các mạng xã hội bắt buộc người
sử dụng cung cấp một số thông tin nhất định các thông tin cá nhân Càng nhiều
Trang 2311
thông tin mà người sử dụng cung cấp lên mạng xã hội càng làm tăng nguy cơ bị kẻ xấu lợi dụng Hiện nay trên các mạng xã hội có rất nhiều ứng dụng cho người dùng nhưng trong đó có những ứng dụng đã cài kèm chương trình độc hại Khi sử dụng
mã độc sẽ được kích hoạt và gây ra những phiền phức, khó chịu Ví dụ như phần mềm vẽ ảnh “chibi” từng gây ra rất nhiều phiền phức, ảnh hưởng đến người dùng facebook [7]…
1.2.5 Nguy cơ từ thiết bị di động
Hiện nay sự bùng nổ của các thiết bị di động kéo theo nó là sự phát triển của các loại mã độc trên nền tảng này Các thiết bị di động thông minh đang phát triển nhanh chóng, đi cùng với nó là kho ứng dụng khổng lồ mà các lập trình viên phát triển Mã độc trên nền tảng này lây nhiểm chủ yếu thông qua ứng dụng được người dùng tải về và cài đặt ngay trên máy cá nhân Các dạng mã độc kiểu này có thể kiểm soát bởi chính người sử dụng hoặc bị chặn bởi nhà cung cấp hệ điều hành do chúng yêu cầu các hành vi có thể bị nhận dạng là nguy hiểm
Để bảo vệ người dùng, các thiết bị mobile được hỗ trợ bởi hệ điều hành trong việc kiểm soát các phần mềm được phép cài đặt trong máy Tuy nhiên đối với những thiết bị di động không còn chịu sự can thiệp từ phía nhà cung cấp việc cài đặt chương trình trở nên dễ dàng dàng hơn, không còn chịu sự kiểm soát, giới hạn từ nhà cung cấp hệ điều hành Chính điều này tạo điều kiện cho mã độc dễ dàng lây nhiễm Hành vi của mã độc trên các thiết bị di động này đa phần với động cơ tài chính, ví dụ ăn cắp thông tin người sử dụng, tự động quay số, nhắn tin… nhưng có thể phức tạp hơn trong tương lai [6, 7]
1.3 Một số biện pháp phòng chống mã độc
1.3.1 Nâng cao nhận thức của người dùng
Đây là việc cần làm đầu tiên và làm thường xuyên Bởi chỉ khi ý thức được nguy cơ ảnh hưởng thì mọi người mới cẩn trọng hơn, có ý thức tìm kiếm những giải pháp phòng chống Với người dùng cá nhân có thể chỉ cần thường xuyên cập nhật tin tức về mã độc, thông thường những tin tức này cũng kèm theo một vài giải pháp tương đối đơn giản để áp dụng Ở mức độ cao hơn của tổ chức thì có thể cần tổ chức những buổi nói chuyện, hội thảo, thậm chí là đào tạo nâng cao nhận thức cho
Trang 2412
người dùng Người sử dụng nên có thói quen thực hiện những thao tác để đảm bảo
an toàn trong quá trình sử dụng máy tính
Quét mã độc trên các thiết bị lưu trữ ngoài khi cắm vào máy tính
Kiểm tra cẩn thận nguồn gửi, nội dung, cũng như những tập tin đính kèm trong email, đặc biệt là email công khai
Hạn chế sử dụng phần mềm crack, nên tìm những phần mềm miễn phí cùng chức năng để thay thế
Nên tải phần mềm từ nguồn chính thống thay vì từ những trang ngoài
1.3.2 Chính sách an toàn
Xét ở mức tổng thể, khi mà những giải pháp kĩ thuật không đạt được mức độ
an toàn mong muốn thì áp dụng thêm một số chính sách an toàn sẽ làm tăng mức độ bảo mật của của toàn hệ thống mà không tốn thêm quá nhiều chi phí Những chính sách an toàn cần phải hướng tới tính đơn giản để người dùng bình thường cũng có thể thực hiện được Có thể kể đến một số chính sách đơn giản như:
Chỉ sử dụng những thiết bị lưu trữ di động (usb, ổ cứng động, ) của nội bộ có dãn nhãn, không được sử dụng những thiết bị lưu trữ di động mang từ ngoài vào
Không gửi những tập tin thực thi (.exe) qua email công việc
1.3.3 Backup và mã hóa dữ liệu
Backup dữ liệu không chỉ để phòng chống những loại mã độc phá hủy, xóa,
“bắt cóc” dữ liệu (ransomware) mà còn để phòng chống những nguy cơ mất dữ liệu nói chung như thiên tai, thảm họa Mã hóa dữ liệu để đảm bảo chỉ những người có quyền truy cập mới được tiếp cận đến nguồn dữ liệu Đây là giải pháp kĩ thuật đầu tiên cần phải áp dụng bởi hiện nay giá trị của dữ liệu còn lớn hơn cả chiếc máy tính Đặc biệt với những dữ liệu có giá trị rất lớn như chiến lược kinh doanh, phát minh, sáng chế, sở hữu trí tuệ,…
Quy trình áp dụng như sau: dữ liệu phải được mã hóa sau đó backup Việc
mã hóa rất đơn giản khi mà có rất nhiều phần mềm miễn phí nhưng chất lượng rất tốt Vấn đề back up phức tạp hơn một chút và cũng có rất nhiều giải pháp Có thể đơn giản chỉ cần mua một thiết bị lưu trữ ngoài (usb, ổ cứng đi động, …) và định kỳ
Trang 2513
sao chép dữ liệu đã mã hóa ra ngoài, cũng có thể sử dụng những dịch vụ backup dự liệu qua internet, phụ thuộc vào mức dung lượng thì có thể từ miễn phí tới có phí Cần phải tìm hiểu kỹ, cũng như lựa chọn thậm chí là tự xây dựng giải pháp phù hợp nhất với mình Ví dụ có một số dịch vụ backup dữ liệu sẽ không thực hiện mã hóa
dữ liệu trên server, trong trường hợp không mã hóa trước khi backup, dịch vụ backup khi bị tấn công thì hoàn toàn có nguy cơ bị lộ dữ liệu Nhưng một số dịch vụ backup dữ liệu lại có chức năng mã hóa, do đó cần tìm hiểu kĩ các công cụ đang sử dụng
Để có thể khai thác được lỗ hổng phần mềm cần điều kiện khá ngặt nghèo như phải đúng phiên bản hoặc một vài phiên bản phần mềm mới tồn tại lỗ hổng để khai thác Trong khi chỉ cần một thao tác cập nhật khá đơn giản là đã có thể loại bỏ lượng lớn lỗ hổng khỏi hệ thống
1.3.5 Sử dụng các phần mềm,giải pháp đầu cuối
Đây luôn là phương pháp đơn giản nhất để bảo vệ trước nguy cơ về mã độc Trên máy tính cần phải có một phần mềm antivirus, ngay cả phần mềm miễn phí cũng rất hữu dụng, công cụ rất đơn giản, dễ sử dụng nhưng có khả năng phòng chống mã độc tốt Tất nhiên phần mềm antivirus không chống lại được tất cả các loại mã độc cũng như các nguy cơ liên quan Mã độc luôn tìm được cách, nói đúng hơn là để tồn tại chúng phải tìm được cách vượt qua phần mềm antivirus, mặc dù chỉ có tỉ lệ nhỏ làm được việc này Nên cần phải áp dụng thêm nhiều giải pháp khác
để đảm bảo tính an toàn
1.3.6 Sử dụng xác thực hai bước để bảo vệ tài khoản
Dòng keyloger là một loại mã độc chuyên được sử dụng để đánh cắp thông tin đăng nhập, ngoài ra vẫn còn một vài phương pháp khác cũng thường được sử
Trang 2614
dụng Để đảm bảo an toàn ngay cả khi mã độc đã vượt qua nhiều lớp bảo vệ để có thể lấy được mật khẩu đăng nhập Mọi người cần sử dụng xác thực hai bước để tăng cường khả năng bảo mật trên tài khoản Hiện nay những tài khoản quan trọng nhất liên quan đến giao dịch trực tuyến (như internet banking), các dịch vụ lớn trên internet như google, facebook đều cung cấp tùy chọn xác thực hai bước Cách xác thực hai bước rất đơn giản, phổ biến nhất là gửi một tin nhắn SMS chứa một dãy số xác thực ngẫu nhiên về qua điện thoại Những dịch vụ đòi hỏi tính an toàn cao hơn
sẽ sử dụng những thiết bị vật lý chuyên dụng như Token Key để sinh mã xác thực
là Cryptolocker), còn một số loại ransomware khác lại dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker) Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng hệ thống [7]
1.4.1.2 Lịch sử phát triển ransomware
Ransomware đầu tiên trên thế giới, xuất hiện trên đĩa mềm vào năm 1989 Vào tháng 12 năm 1989, Eddy Willems lúc này đang làm việc tại một công ty bảo hiểm của Bỉ, cho đĩa mềm vào máy tính của công ty Ngay lập tức, nó đưa ra bảng câu hỏi về nguy cơ lây nhiễm HIV/AIDS Willems hoàn thành bảng câu hỏi và không nghĩ nhiều về nó Nhưng vài ngày sau, máy tính của anh ta bị khóa lại và yêu cầu gửi 189 USD vào một hộp thư bưu điện ở Panama, máy in thậm chí còn in ra một bản hóa đơn [7]
Tại Anh, những người đứng đằng sau thứ được gọi là ransomware AIDS đã gửi đĩa mềm chứa mã độc cho độc giả của tạp chí PC Business World Nó đã lén
Trang 27Nhiều năm sau, khoảng năm 2005-2006, hacker đã phát triển các mẫu khác
về ransomware như Gpcode, Krotten, và Cryzip Nhà nghiên cứu về phần mềm độc hại Vesselin Bontchev nói: "Kỷ nguyên mới của ransomware bắt đầu với
Cryptolocker vào năm 2013 và hacker đã chuyển sang sử dụng bitcoin cho phép thanh toán ở mức độ ẩn danh cao"
Các vụ tấn công ransomware trở nên nổi bật vào tháng 5 năm 2005 Đến giữa năm 2006, Trojans như Gpcode, Troj.Ransom.A, Archiveus, Krotten, Cryzip, và MayArchive bắt đầu sử dụng chương trình mã hóa RSA phức tạp hơn Gpcode.AG, được phát hiện vào tháng 6 năm 2006, đã được mã hóa với khóa công khai RSA 660-bit
Nguy hiểm hơn, có một số ransomware còn thâm nhập vào Master Boot Record (MBR) của một máy tính Bằng cách này, ransomware sẽ ngăn không cho
hệ điều hành khởi động, hay nói cách khác là làm tê liệt luôn cả hệ thống Để làm được điều này, ransomware đã sao chép phần MBR gốc, tiếp theo sẽ ghi đè lên MBR này bằng mã độc của chính nó trong nhiều lần Khi hệ thống bị buộc phải khởi động lại, mã độc sẽ bắt đầu phát huy tác dụng của mình Hệ điều hành sẽ không chạy lên, thay vào là một dòng đòi tiền bằng tiếng Nga
Vào tháng 6 năm 2008, một biến thể được gọi là Gpcode.AK đã được phát hiện sử dụng thuật toán mã hóa RSA 1024-bit Tại thời điểm này chưa xuất hiện công cụ nào đủ lớn để tính toán để giải mã trong thời gian ngắn
Tháng 8 năm 2010, chính quyền Nga đã bắt giữ chín người liên quan đến một ransomware gọi là WinLock, không giống như Trojan Gpcode, WinLock đã không sử dụng mã hóa WinLock đã hạn chế khả năng truy cập vào hệ thống bằng
Trang 2816
cách hiển thị các hình ảnh khiêu dâm và yêu cầu người dùng gửi tin nhắn SMS có tỷ
lệ phí (khoảng 10$) để nhận mã số có thể dùng để mở khóa máy.Vụ tấn công này gây ra nhiều khó khăn khiến người dùng bực mình diễn ra trên khắp nước Nga và các nước láng giềng – theo báo nhóm này đã thu được 16 triệu USD nhờ ransomware này
Trong năm 2011, một ransomware đã bắt đầu theo dõi thông báo kích hoạt sản phẩm Windows , và thông báo cho người dùng rằng việc cài đặt Windows của
hệ thống phải được kích hoạt lại do "là nạn nhân của gian lận" Một tùy chọn kích hoạt trực tuyến đã được cung cấp (như quá trình kích hoạt Windows thực tế), nhưng không có sẵn, yêu cầu người dùng gọi một trong sáu số quốc tế để nhập mã sáu chữ
số Trong khi các phần mềm độc hại tuyên bố rằng cuộc gọi này sẽ được miễn phí,
nó được chuyển qua một quốc gia có tỷ lệ điện thoại quốc tế cao, người đặt cuộc gọi
ở trạng thái giữ, khiến người sử dụng phải chịu lớn quốc tế đường dài phí
Năm 2012, ransomware TROJ_RANSOM.BOV từng bị "nhúng" vào một trang web bán hàng của Pháp, từ đây lây nhiễm xuống máy tính người dùng tại Pháp và Nhật (nơi hãng có một lượng lớn người dùng) Ransome này cũng hiển thị một thông báo giả từ cơ quan cảnh sát của Pháp để đe dọa Cũng trong năm 2012,
có một số ransomware không hiển thị "giấy đòi tiền" bằng chữ mà phát đoạn ghi âm bằng giọng nói theo ngôn ngữ địa phương Một số khác thì hiển thị logo chứng chỉ bảo mật giả để thu hút lòng tin của người dùng Một số khác thì can thiệp vào các tập tin quan trọng của hệ thống và khiến máy không thể hoạt động bình thường
Khoảng cuối năm 2013, ghi nhận một loại ransomware mới Những biến thể này giờ đây mã hóa tập tin thay vì khóa máy tính như lúc trước với tên gọi
"CryptoLocker" (chữ crypto có nghĩa gốc là bí mật, còn trong thế giới máy tính thì
nó là mã hóa) Bằng cách này, tin tặc có thể đảm bảo rằng người dùng vẫn phải trả tiền ngay cả khi họ đã dùng các công cụ bảo mật để xóa mã độc, cryptolocker - sử dụng tiền điện tử bitcoin để thanh toán tiền chuộc từ nạn nhân, vào tháng 12 năm
2013, ZDNet ước tính dựa trên thông tin giao dịch bitcoin từ ngày 15 tháng 10 đến ngày 18 tháng 12, các tin tặc phát tán ransomware CryptoLocker đã thu được 27 triệu USD từ các nạn nhân Trong các thông báo đòi tiền, CryptoLocker thường nói
Trang 2917
rằng cơ chế mã hóa sử dụng "RSA-2048", nhưng theo nghiên cứu của các hãng bảo mật như Symantec, Trend Micro hay McAfee thì mã độc kết hợp cả phương thức
mã hóa AES với RSA
Một số chủng ransomware đã sử dụng proxy gắn liền với các dịch vụ ẩn của Tor để kết nối với các máy chủ và điều khiển máy chủ của họ, làm tăng sự khó khăn trong việc tìm kiếm vị trí chính xác của tội phạm
Đặc biệt trong năm 2017 có 2 đợt tấn công của ransomware nổi trội lên nhất, một là chiều 12/5 theo giờ Việt Nam, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WanaCrypt0r (một biến thể của WannaCry) và ngày 28/6/2017 một vius khác mang tên Petrwrap, biến thể từ mã độc tống tiền có tên Petya từng được phát hiện từ tháng 3 năm 2017
1.4.1.3 Phân loại ransomware
Mã độc tống tiền ransomware không còn là mới mẻ – nó đã có lịch sử gần 30
năm hình thành và phát triển Ransomware có hai biến thể chính là: “blocker” khóa người dùng truy cập dữ liệu và „encryptor„ mã hóa dữ liệu người dùng Cả hai
đều yêu cầu nạn nhân tiền chuộc để lấy lại dữ liệu ban đầu Trong thực
tế, “blocker” không phải là một vấn đề quá mức nghiêm trọng Những vụ việc phát hiện “blocker” tại Nga và năm 2010 và sự xuất hiện của các dịch vụ mở khóa hệ
thống miễn phí đã khiến biến thể này ít nguy hiểm hơn và không mang về lợi nhuận cho tin tặc Dưới đây là báo cáo thống kê của Kaspersky trong hai giai đoạn 2014-
2015 và 2015-2016 [7]
Biểu đồ 1 1 Thống kê số lượng người dùng bị tấn công phân loại theo
nhóm mã độc tống tiền mã hóa năm 2014-2015
Trang 3018
Biểu đồ 1 2 Thống kê số lượng người dùng bị tấn công phân loại theo
nhóm mã độc tống tiền mã hóa năm 2015-2016
Trong giai đoạn 2014 – 2015 và 2015 – 2016 các biến thể của ransomware
đã phát triển cực kì nhanh chóng Từ hai thống kê trên cho thấy thay đổi lớn nhất khiến ransomware trở nên báo động là sự phát triển của mã độc tống tiền dạng mã hóa Số kiểu ransomware đã tăng lên 17,7% trong vòng hai năm Và số biến
thể encryptor tăng lên 5.5 lần (từ 131,111 biến thể vào năm 2014-2015 lên tới 718,536 biến thể vào năm 2015-2016) Cùng thời điểm, biến thể blocker giảm 13%
từ 1,836,673 xuống còn 1,597,395 biến thể Tại thời điểm 2014-2015, mã độc CryptoWall chiếm khoảng 59% các vụ tấn công Năm 2015-2016, TeslaCrypt đã thay thế vị trí dẫn đầu của CryptoWall với 49% các vụ tấn công Trong số các biến thể này có thể kể đến các đại diện tiêu biểu nhất như: reveton, cryptolocker, cryptolocker.f and torrentlocker, cryptowall, fusob, wanacry…
Reveton hay còn có tên gọi khác police ransomware vì các loại ransomware
dạng này khi xâm nhập vào máy tính của nạn nhân, sẽ hiển thị thông báo như một đơn vị luật pháp thực thụ Với nội dung đại loại như:"Xin chào, anh/chị đã bị bắt vì
vi phạm điều luật số abc xyz, đồng thời vi phạm hiến pháp của USA vì đã tham gia vào các hoạt động bất hợp pháp trực tuyến " đi cùng là hình ảnh, phù hiệu của luật pháp Tin tặc biết chính xác rằng nạn nhân - người dùng máy tính đang ở địa
Trang 3119
phương, thành phố nào để đưa ra nội dung mang tính chất de dọa tới người dùng bởi vì tin tặc dựa vào tính năng dò tìm vị trí địa lý theo cụm địa chỉ IP Ví dụ, với các nạn nhân ở Mỹ thì reveton sẽ cho hiển thị thông báo đi kèm với hình ảnh của FBI, còn ở Pháp sẽ là cơ quan Gendarmerie Nationale
Hình 1 4 Thông báo giả mạo của reveton
Các biến thể của reventon sử dụng nhiều tài khoản, cách thức thanh toán khác nhau để nhận tiền của nạn nhân, thông thường là các hệ thống như UKash, PaySafeCard, hoặc MoneyPak Tin tặc dùng những hình thức thanh toán này là vì
hệ thống này thường làm mờ (không để hiển thị) tên người nhận tiền, do vậy chúng
sẽ yên tâm khi thực hiện giao dịch qua UKash, PaySafeCard, và MoneyPak Đến năm 2012, reventon đã phát triển thêm hình thức, thủ đoạn mới, dùng các đoạn ghi
âm - recording (bằng giọng của người địa phương) để truyền tải thông tin đến nạn nhân thay vì cách thức thông báo cũ
Cryptolocker : Các cuộc tấn công của ransomware cryptolocker là một tấn
công mạng xảy ra từ 05 tháng 9 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào các máy tính chạy hệ điều hành microsoft windows Nó được phát tán qua các tập tin đính kèm email bị nhiễm, và thông qua một botnet Khi được kích hoạt, phần mềm độc hại mã hóa một số loại tệp tin được lưu trữ trên ổ đĩa mạng cục bộ và gắn kết bằng cách sử dụng mật mã khoá công khai RSA, với khóa riêng được lưu trữ chỉ
Trang 3220
trên các máy chủ điều khiển phần mềm độc hại Phần mềm độc hại sẽ hiển thị thông báo đưa ra giải mã dữ liệu nếu thanh toán (thông qua bitcoin hoặc chứng từ thanh toán trước) được thực hiện đúng thời hạn và sẽ đe dọa xóa khóa riêng nếu vượt qua thời hạn Mặc dù cryptolocker có thể được gỡ bỏ một cách dễ dàng nhưng các tập tin vẫn bị mã hóa mà theo các nhà nghiên cứu là không khả thi để giải mã
Hình 1 5 Thông báo đòi tiền chuộc của cryptolocker
Cryptolocker đã bị cô lập vào cuối tháng 5 năm 2014 nhờ chiến dịch Tovar –
cô lập mạng botnet Gameover ZeuS ( botnet đã được sử dụng để phân phối phần mềm độc hại) Trong chiến dịch này một số công ty bảo mật tham gia vào việc thu thập cơ sở dữ liệu của khóa cá nhân được sử dụng bởi cryptolocker đã xây dựng một công cụ trực tuyến mở khóa dữ liệu miễn phí cho người Các báo caoschir ra rằng nhóm tin tặc phát tán cryptolocker đã thu được khoảng 3 triệu USD từ các nạn nhân
Fusob là một trong những biến thể của ransomware trên di động Giữa tháng
4 năm 2015 và tháng 3 năm 2016, khoảng 56% số tiền chuộc di động là mã độc này gây ra Giống như phương thức tống tiền di động điển hình, fusob giả vờ là một cơ quan có thẩm quyền, yêu cầu nạn nhân phải trả tiền phạt từ 100 USD đến 200 USD nếu không sẽ bị buộc tội Đáng ngạc nhiên hơn, Fusob gợi ý sử dụng thẻ quà tặng iTunes để thanh toán Ngoài ra, một bộ đếm thời gian nhấp vào trên màn hình thêm vào sự lo lắng của người dùng là tốt Khi Fusob được cài đặt, đầu tiên nó sẽ kiểm
Trang 3321
tra ngôn ngữ được sử dụng trong thiết bị Nếu sử dụng tiếng Nga hoặc một số ngôn ngữ Đông Âu, Fusob không làm gì cả Nếu không, nó tiến hành khóa thiết bị và đòi hỏi tiền chuộc Trong số các nạn nhân, khoảng 40% là ở Đức đối với Anh và Hoa
Kỳ lần lượt là 14,5% và 11,4%
Wanacry (tạm dịch là "Muốn khóc") còn được gọi là wannadecryptor 2.0, là
một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng microsoft windows Vào ngày 12 tháng 5 năm 2017, wanacry bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới Đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến
là Ukraina, Ấn Độ và Đài Loan, Việt Nam cũng là một trong những nước bị tấn công nhiều nhất Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính và cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet, và các máy tính trên cùng mạng LAN Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các tập tin đã bị wanacry mã hóa Cách duy nhất
để người dùng lấy lại dữ liệu là trả tiền cho tin tặc từ 300 tới 600 Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảm bảo do tin tặc hoàn toàn có thể "trở mặt"
Hình 1 6 Thông báo của wanacry trên máy nạn nhân
Khi lây nhiễm vào một máy tính mới, Wanacry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web không thể truy cập được Nhưng nếu nó có thể kết nối được, Wanacry sẽ tự xóa bản thân –
Trang 3422
một chức năng có thể đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong trường hợp phần mềm trở nên không kiểm soát được Một chuyên gia công nghệ khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công tạm thời được ngăn chặn Ngay sau đó, các biến thể của Wanacry đã được sửa code lại nhanh chóng lây lan trở lại với phiên bản 2.0
Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh Vào ngày 12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầm trọng, và một số xe cứu thương phải đi nơi khác Vào năm 2016, hàng ngàn máy tính trong 42 chi nhánh NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP Nissan Motor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô hiệu quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệ thống của họ Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn chặn sự lây lan của ransomware Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, cũng bị nhiễm
Petrwrap: Mã độc này là biến thể của Petya, có tên Petrwrap, gây tê liệt
nhiều ngân hàng, sân bay, máy ATM và một số doanh nghiệp lớn tại châu Âu
Mã độc đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMBv1 tương tự như cách mã độc WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng 5-2017 Nguy hiểm hơn, mã độc này còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng
Nga và Ukraine là những quốc gia đầu tiên hứng chịu ảnh hưởng Tại Ukraine, hàng loạt máy tính của Chính phủ, các ngân hàng, công ty và sân bay đã đồng loạt bị dính mã độc Còn tại Nga, nhiều ngân hàng cũng bị tấn công mạng trong khi tập đoàn dầu khí Rosneft thậm chí đã phải chuyển sang mạng quản lý và điều hành dự phòng đối với các quy trình sản xuất Chỉ vài giờ sau đó, các vụ tấn công đã nhanh chóng lan ra phạm vi toàn cầu, với hàng loạt công ty đa quốc gia tại Tây Ban Nha, Hà Lan, Na Uy, Anh, Mỹ… bị ảnh hưởng
Petrwrap sẽ tự động mã hóa hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh Nếu muốn lấy lại các dữ liệu đó, người dùng cá
Trang 3523
nhân cũng như doanh nghiệp sẽ phải trả cho tin tặc 300 USD tiền ảo bitcoin để đổi lấy “chìa khóa giải mã” Tuy có một số điểm tương đồng với mã độc wannaCry và Petya nhưng Petrwrap có khả năng tấn công tinh vi hơn Petrwrap sử dụng nhiều
“xảo thuật” để phát tán trên cơ sở nhằm vào lỗ hổng EternalBlue Lỗ hổng EternalBlue khai thác trên các máy tính sử dụng hệ điều hành Windows,
1.4.1.4 Phân bố theo địa lí của mã độc ransomware
Số lượng người dùng bị tấn công phân loại theo địa lí được thống kê bởi khách hàng sử dụng sản phẩm bảo mật của Kaspersky trên toàn cầu Ấn Độ, Brazil
và Đức dẫn đầu danh sách với số lượng người dùng bị tấn công ngày một tăng, số lượng người dùng tại Hoa Kỳ, Việt Nam, Algeria, Ukraine và Kazakhstan giảm nhẹ
Bảng 1 1 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2014-2015 [7].
Quốc gia % người dùng bị tấn công ransomware trong
Trang 36Quốc gia 2014-2015 2015-2016 Thay đổi theo năm
Trang 371.4.1.5 Đối tượng tấn công của ransomware
Tin tặc tấn công đứng đằng sau ransomware thực sự không quan tâm tới mục tiêu tấn công của chúng là ai miễn sao nạn nhân trả tiền chuộc Chính vì lý do này, những tin tặc tấn công thường thực hiện một chiến dịch phát tán ransomware liên tục trên một phạm vi rộng lớn nhắm tới mọi người dùng máy tính Chỉ cần một phần nhỏ đối tượng đồng ý trả tiền chuộc cũng đủ để làm giàu túi tiền của tội phạm mạng
và là động cơ để tiếp tục thực hiện các lần tống tiền tiếp theo Đối tượng tấn công của ransomware được chia ra làm ba loại [7].:
Hộ gia đình
Ransomware có lẽ hiệu quả nhất đối với cá nhân không thông thạo với máy tính, hay không có nhận thức về ransomware và cách thức nó hoạt động Nhóm người dùng gia đình là nạn nhân phổ biến của ransomware do có ít kiến thức cơ bản
về bảo mật thông tin cũng như ít được tiếp cận với hỗ trợ kỹ thuật, dẫn tới việc không có khả năng giải quyết cùng với việc gia tăng áp lực khi cần dùng dữ liệu sẽ
dễ dàng trả tiền chuộc cho tội phạm
Khối doanh nghiệp
Thông tin và loại hình công nghệ sử dụng đã trở thành thứ quyết định sống còn của doanh nghiệp Giả định rằng một doanh nghiệp có hàng tỷ lượt giao dịch trên hệ thống và bị ransomware tấn công Toàn bộ dữ liệu giao dịch, thông tin khách hàng trên hệ thống bị mã hóa dẫn tới ngưng trệ hoặc tạm dùng hoạt động sẽ khiến cho doanh nghiệp thiệt hại nghiêm trọng Nhóm người dùng doanh nghiệp cũng có những dữ liệu quan trọng như tài liệu mật, tài sản trí tuệ, kế hoạch, số liệu tài chính…
Người dùng công cộng
Trang 3826
Các cơ quan công cộng như tổ chức giáo dục, chăm sóc sức khỏe, tổ chức thực thi pháp luật cũng không ngoại trừ khả năng bị tấn công của ransomware Trong quá khứ đã có một vài trường hợp cơ quan thực thi pháp luật bị tấn công bởi ransomware Cũng như nhóm doanh nghiệp, khả năng trả tiền chuộc của đối tượng này cũng không cao như nhóm hộ gia đình do có các kế hoạch lưu trữ định kỳ và bộ phận công nghệ thông tin để đảm bảo an toàn của hệ thống
1.4.2 Cách thức hoạt động của mã độc ransomware
1.4.2.1 Phương pháp lây nhiễm của ransomware
Hai phương pháp lây nhiềm chủ yếu của mã độc ransomware [7]. :
Gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng
Hình 1 7 Phát tán rasomware qua thư điện tử
Hoặc gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm
bị giả mạo bởi ransomware và đánh lừa người dùng truy cập vào đường dẫn này để yêu cầu người dùng tải về và cài đặt
Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ ngoài như USB, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm mã độc
Dấu hiệu của loại mã độc sau khi máy tính bị nhiễm là các tài liệu, văn bản
sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tập tin có định
Trang 3927
dạng: doc, docx, pdf, xls, xlsx, jpg, txt, ppt, pptx, một số loại còn khoá máy tính không cho sử dụng và đòi tiền chuộc
1.4.2.2 Cách thức hoạt động của ransomware
Hoạt động của ransomware được mô tả như một giao thức ba vòng được thực hiện giữa kẻ tấn công và nạn nhân [5, 6, 7].
Kẻ tấn công → nạn nhân: Người tấn công tạo ra một cặp khóa và đặt khoá công khai tương ứng vào phần mềm độc hại → Phần mềm độc hại được phát tán
Nạn nhân → kẻ tấn công: Để thực hiện mã hóa, phần mềm độc hại tạo ra một khóa đối xứng ngẫu nhiên và mã hóa dữ liệu của nạn nhân Ransomware sử dụng khóa công khai trong phần mềm độc hại để mã hóa khóa đối xứng, đây được gọi là
mã hóa bất đối xứng, tiếp theo sẽ gửi bản mã về máy chủ lưu trữ
Kẻ tấn công → nạn nhân: Kẻ tấn công nhận được thanh toán, giải mã các bản
mã bất đối xứng với khoá cá nhân của kẻ tấn công, và gửi khóa đối xứng tới nạn nhân để giải mã dữ liệu
Cách hoạt động của ransomware có thể tóm gọn lại thành các bước như sau:
- Lây lan tới máy tính cá nhân Thực hiện việc cài đặt các file thực thi
- Thực hiện liên hệ tới các web mà kẻ phát tán mã độc tạo ra cho tới khi có thể
- Thực hiện cung cấp cho máy chủ web một ID mà chỉ riêng máy tính cá nhân Máy chủ web của kẻ tấn công sẽ gửi lại khóa mã hóa dựa trên ID đặc trưng Chính vì vậy, khóa mã hóa cũng như khóa giải mã là đặc trưng cho từng máy tính cá nhân và không thể dùng khóa giải mã của máy này để giải mã cho một máy tính khác
- Chạy các file thực thi mã hóa dữ liệu trong máy tính các nhân mà nó có thể
mã hóa, sử dụng khóa mà máy chủ web gửi về
- Sau khi mã hóa xong sẽ gửi thông báo tơi chủ nhân máy tính để đòi tiền chuộc
Như vậy, để nạn nhân không thể tìm được khóa mã hóa cũng như không thể phát hiện ra quá trình mã hóa của ransomware thì việc truyền khóa giữa ransomware với máy chủ web phải đảm bảo bí mật tuyệt đối với nạn nhân và tốc
Trang 40Để dễ hiểu hơn, có thể lấy ví dụ về hệ mật RSA cho hệ mật khóa công khai và hệ mật AES-128 cho hệ mật khóa đối xứng Khi sử dụng hệ mật AES-
128 để mã hóa file, ransomware sẽ random một giá trị 16byte để làm khóa mã hóa Khi ransomware thực hiện liên hệ và gửi ID đặc trưng của nạn nhân về máy chủ, máy chủ sẽ nhờ giá trị đặc trưng mà sinh ra một cặp khóa RSA và gửi lại khóa công khai về cho ransomware Tiếp theo, ransomware sẽ dùng khóa công khai nhận được để mã hóa giá trị 16byte để gửi lại cho máy chủ, máy chủ có thể dùng khóa bí mật trong cặp khóa đã sinh để giải mã nhằm thu được giá trị khóa cần thiết nếu nạn nhân gửi tiền chuộc Khi xong tất cả các bước thì thông báo đòi tiền chuộc sẽ hiện lên Lưu ý rằng các bước đã nêu ở trên có thể thực hiện một cách đồng thời ví dụ như ransomware vừa thực hiện mã hóa vừa thực hiện tìm kiếm máy chủ của nó và chỉ cần nhận được khóa công khai gửi về từ máy chủ nó sẽ lập tức gửi lại khóa mã hóa Chính vì vậy mà khi đã nhiễm ransomware và mặc dù bạn đã ngắt kết nối internet ngay thì dữ liệu vẫn bị mã hóa [5, 6]
Về RSA [5, 6]
Thuật toán RSA có hai khóa: khóa công khai (hay khóa công cộng) và
khóa bí mật (hay khóa cá nhân) Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân (bí mật) mới có thể giải mã được Điều này đảm bảo an toàn cho thông tin được chia sẻ giữa 2 người