1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Phương pháp phân tích mã độc tống tiền ransomware

87 439 4

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 87
Dung lượng 2,5 MB

Nội dung

Khác với các mã độc khác khi tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, ransomware thì ngay lập tức tìm đến các file dữ liệu tr

Trang 1

13

BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ

CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN

PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN

RANSOMWARE

DƯƠNG VIỆT SƠN

HÀ NỘI - 2017

Trang 2

14

BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN

RANSOMWARE

DƯƠNG VIỆT SƠN

CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN

MÃ SỐ: 60.48.02.018

NGƯỜI HƯỚNG DẪN KHOA HỌC

TS ĐỖ XUÂN CHỢ

HÀ NỘI - 2017

Trang 3

i

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả luận văn ký

và ghi rõ họ tên

Dương Việt Sơn

Trang 4

ii

LỜI CẢM ƠN

Em xin bày tỏ lòng biết ơn và kính trọng sâu sắc nhất tới thầy giáo TS Đỗ Xuân Chợ giảng viên trường Học Viện Bưu Chính Viễn Thông, người đã trực tiếp hướng dẫn, tận tình giúp đỡ chỉ bảo, giúp đỡ em trong suốt thời gian qua với tất cả tấm lòng, tâm huyết của người thầy để em có được những định hướng đúng đắn trong quá trình hoàn thành luận văn tốt nghiệp

Em chân thành cảm ơn các thầy, cô trường Viện Đại học Mở Hà Nội với tri thức và tâm huyết của mình đã truyền đạt vốn kiến thức quý báu cho em trong suốt thời gian học tập tại trường Em chúc thầy, cô thật dồi dào sức khỏe, niềm tin để tiếp tục sứ mệnh cao đẹp của người nhà giáo Việt Nam truyền đạt kiến thức đến các thế hệ học sinh của trường

Do thời gian và kiến thức có hạn nên luận văn không thể tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp quý báu của quý thầy cô và các bạn để luận văn được hoàn thiện hơn

Em xin chân thành cảm ơn!

Hà Nội, Ngày 27 tháng 10 năm 2017

Học viên thực hiện

Dương Việt Sơn

Trang 5

iii

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

Danh mục kí hiệu và viết tắt v

Danh mục hình vẽ vi

DANH MỤC BẢNG BIỂU viii

DANH MỤC BIỂU ĐỒ ix

DANH MỤC SƠ ĐỒ x

MỞ ĐẦU 1

CHƯƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC 3

1.1 Tổng quan chung về mã độc 3

1.1.1 Định nghĩa về mã độc 3

1.1.2 Mục tiêu của mã độc 3

1.1.3 Phân loại mã độc 4

1.1.4 Xu hướng phát triển và sự cải tiến của mã độc 7

1.2 Các nguy cơ mất an toàn thông tin từ mã độc 8

1.2.1 Nguy cơ mất an toàn từ người dùng 8

1.2.2 Nguy cơ từ mã độc trên máy trạm 9

1.2.3 Nguy cơ đối với hệ thống mạng 10

1.2.4 Nguy cơ từ mạng xã hội 10

1.2.5 Nguy cơ từ thiết bị di động 11

1.3 Một số biện pháp phòng chống mã độc 11

1.3.1 Nâng cao nhận thức của người dùng 11

1.3.2 Chính sách an toàn 12

1.3.3 Backup và mã hóa dữ liệu 12

1.3.4 Cập nhật hệ điều hành, phần mềm 13

1.3.5 Sử dụng các phần mềm,giải pháp đầu cuối 13

1.3.6 Sử dụng xác thực hai bước để bảo vệ tài khoản 13

1.4 RANSOMWARE 14

1.4.1 Tổng quan chung về mã độc ransomware 14

1.4.2 Cách thức hoạt động của mã độc ransomware 26

1.4.3 Các biện pháp phòng chống ransomware 29

Kết luận chương 1: 31

CHƯƠNG II CÁC PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 33

2.1 Kĩ thuật phân tích tĩnh 33

2.1.1 Ưu nhược điểm của kĩ thuật phân tích tĩnh 33

2.1.2 Các kĩ thuật phân tích tĩnh 33

2.2 Kĩ thuật phân tích động 41

2.2.1 Ưu nhược điểm của kĩ phân tích động 41

2.2.2 Các kĩ thuật phân tích động 43

Trang 6

iv

2.3 Phương pháp phát hiện mã độc ransomware 49

2.3.1.Các kĩ thuật phát hiện mã độc ransomware 49

2.3.2.Các kĩ thuật phân tích ransomware 51

Kết luận chương 2: 51

CHƯƠNG III THỰC NGHIỆM VÀ ĐÁNH GIÁ 52

3.1 Giới thiệu về công cụ hỗ trợ thực nghiệm 52

3.2 Điều tra viên tiếp nhận vụ án và tiến hành phân tích 53

Kết luận chương 3: 72

TÀI LIỆU THAM KHẢO 75

Trang 7

v

DANH MỤC KÍ HIỆU VÀ VIẾT TẮT Viết tắt Tiếng Anh Tiếng việt

AES Advanced Encryption Standard Chuẩn Mã hóa dữ liệu

APT Advanced Persistent Threat Mối nguy hiểm cao thường trực

CPU Central Processing Unit Bộ vi xử lý trong máy tính

CRC Cyclic Redundancy Check Phương pháp kiểm tra dữ liệu máy

tính DDOS Distributed Denial Of Service Kiểu tấn công làm quá tải mạng

FBI Federal Bureau of Investigation Cục điều tra liên bang của Mỹ

cứng MD5 Message Digest Algorithm 5 Thuật toán mã hóa hàm băm

NHS National Health Service Dịch vụ y tế quốc gia

NIST National Institute of Standards and

Technology

Viện tiêu chuẩn và kỹ thuật quốc gia (Mỹ)

PID Proportional Integral Derivative Bộ điều khiển vi tích phân tỷ lệ

(thiết bị) ngoại vi

TCP Transmission Control Protocol Giao thức điều khiển truyển vận

Trang 8

vi

DANH MỤC HÌNH VẼ

Hình 1 1 Phân loại mã độc theo hình thức lây nhiễm 5

Hình 1 2 Phân loại mã độc theo NIST 7

Hình 1 3 Các liên kết độc hại gửi từ facebook 9

Hình 1 4 Thông báo giả mạo của reveton 19

Hình 1 5 Thông báo đòi tiền chuộc của cryptolocker 20

Hình 1 6 Thông báo của wanacry trên máy nạn nhân 21

Hình 1 7 Phát tán rasomware qua thư điện tử 26

Hình 2 1 Giao diện virustotal khi quét tập tin đáng nghi 34

Hình 2 2 MD5 & SHA Checksum Utility 2.1 35

Hình 2 3 Dữ liệu của tập tin dưới dạng nguyên thủy 36

Hình 2 4 Sử dụng string.exe 37

Hình 2 5 Xác định packer bằng Detect It Easy 38

Hình 2 6 Giao diện đồ họa của IDA Pro 40

Hình 2 7 BinDiff 41

Hình 2 8 Thông tin sự kiện procmon bắt được 44

Hình 2 9 Giao diện hiển thị chính của Process hacker 44

Hình 2 10 Process hacker highlighting 45

Hình 2 11 Giao diện chính của systracer 47

Hình 2 12 Giao diện hiển thị gói tin của Wireshark Bắt gói tin bằng Wireshark 48

Hình 2 13 Cửa sổ Follow TCP Stream của Wireshark 49

Hình 2 14 Các công cụ theo dõi tài nguyên hệ thống 50

Hình 3 1 Thông báo của ransomware 53

Hình 3 2 Tập tin dữ liệu bị mã hóa bởi ransomware 54

Hình 3 3 Thông tin về thời gian mã độc mã hóa tập tin 54

Hình 3 4 Tập tin windows preftech 55

Hình 3 5 Tiến trình khởi chạy trên hệ thống 56

Hình 3 6 Tập tin nghi ngờ AntiWanaCry 56

Hình 3 7 Kết quả virustotal 57

Hình 3 8 Tải mã độc từ liên kết 58

Hình 3 9 Kết quả phân tích hybrid-analysis 59

Hình 3 10 Các tiến trình mã độc tạo ra và được ghi lại 59

Hình 3 11 Kết nối mạng tới 2 tên miền spora.bz và ru.wikipedia.org 59

Hình 3 12 Thông báo User Account Control 60

Trang 9

vii

Hình 3 13 Cửa sổ CMD 60

Hình 3 14 Lệnh thực thi mã độc 61

Hình 3 15 Thư mục được ẩn đi bởi mã độc và shortcut do mã độc tạo ra 61

Hình 3 16 Tập tin do ransomware tạo ra 61

Hình 3 17 Giao diện thông báo tiền chuộc 62

Hình 3 18 Main chương trình của mã độc nhìn bằng IDA 62

Hình 3 19 Dòng lệnh thực hiện xóa tập tin trong mã độc 62

Hình 3 20 Dòng lệnh sửa đổi đường dẫn 63

Hình 3 21 Một số dạng văn bản được mã hóa 63

Hình 3 22 Ransomware tạo tập tin trên máy nạn nhân 64

Hình 3 23 Thông tin đã được mã hóa 64

Hình 3 24 Phần mở rộng của các tập tin 64

Hình 3 25 Dòng lệnh thực hiện nhập khóa 65

Hình 3 26 Lưu trữ khóa thực hiện trong quá trình mã hóa 66

Hình 3 27 Dòng lệnh thực hiện giải mã 67

Hình 3 28 Phiên bản Spora 67

Hình 3 29 Dòng lệnh tạo khóa RSA 67

Hình 3 30 Dòng lệnh mã hóa khóa bí mật bằng thuật toán mã hóa base64 68

Hình 3 31 Dòng lệnh lưu trữ khóa bí mật của mã độc ??? 69

Hình 3 32 Dòng lệnh mã hóa khóa trước khi truyền 69

Hình 3 33 Dòng lệnh tạo khóa mã hóa 70

Hình 3 34 Dòng lệnh mã hóa khóa bí mật 70

Hình 3 35 Thực hiện truyền khóa về máy chủ của kẻ tấn công 71

Hình 3 36 Dòng lệnh kiểm tra file để mã hóa 71

Hình 3 37 Ngăn chặn sự phát tán của mã độc spora 72

Trang 10

viii

DANH MỤC BẢNG BIỂU

Bảng 1 1 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2014-2015 23 Bảng 1 2 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2015-2016 24 Bảng 1 3 Số lượng người dùng bị tấn công ransomware giai đoạn 2014-

2016 24

Trang 11

ix

DANH MỤC BIỂU ĐỒ

Biểu đồ 1 1 Thống kê số lượng người dùng bị tấn công phân loại theo nhóm mã độc tống tiền mã hóa năm 2014-2015 17 Biểu đồ 1 2 Thống kê số lượng người dùng bị tấn công phân loại theo nhóm mã độc tống tiền mã hóa năm 2015-2016 18

Trang 12

x

DANH MỤC SƠ ĐỒ

Sơ đồ 3 1 quá trình người dùng bị nhiễm ransomware 58

Trang 13

1

MỞ ĐẦU

Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mạng toàn cầu Internet, an toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu Các kỹ thuật tấn công ngày càng tinh vi, phức tạp Các tổ chức và cá nhân, doanh nghiệp càng thêm lo lắng về các nguy cơ mất an toàn thông tin hơn khi có sự xuất hiện của mã độc tống tiền (ransomware) Khác với các mã độc khác khi tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, ransomware thì ngay lập tức tìm đến các file dữ liệu trong máy tính nạn nhân để mã hóa Sau khi mã hóa xong nếu nạn nhân không tự bỏ tiền ra mua khóa bí mật từ kẻ tấn công để giải mã thì toàn bộ

dữ liệu này không thể sử dụng được Tuy nhiên, gần đây một số biến thể mới của ransomware đã không yêu cầu tiên chuộc mà nó sẽ đưa ra danh sách các phần mềm

để bẻ khóa dữ liệu ở trên mạng Tất nhiên các phần mềm này đều yêu cầu trả phí khi tải về

Trong năm 2017 có 2 đợt tấn công của ransomware nổi trội lên nhất, một là chiều 12/5 theo giờ Việt Nam, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WanaCrypt0r (một biến thể của WannaCry) và ngày 28/6/2017 một vius khác mang tên Petrwrap, biến thể từ mã độc tống tiền có tên Petya từng được phát hiện từ tháng 3 năm 2017

Với việc kết hợp các công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn Do đó, việc nghiên cứu về cơ chế hoạt động của mã độc ransomware là điều rất quan trọng

và cần thiết hiện nay Để có thể phát hiện và phòng chống hiệu quả mã độc ransomware thì yêu cầu các cơ quan quản lý an toàn thông tin cần phải nắm rõ được

cơ chế phát tán, nguyên tắc hoạt động cũng như một số hành vi của loại mã độc này

Từ những lý do trên học viên với sự hướng dẫn của TS Đỗ Xuân Chợ lựa chọn đề tài: “Phương pháp phân tích mã độc tống tiền Ransomware” Kết quả nghiên cứu của đề tài sẽ là các hình vi của mã độc ransomware Các kết quả này phần nào sẽ giúp các nhà quản trị mạng hiểu rõ hơn về nguyên tắc làm việc của mã

Trang 14

- Nghiên cứu về mã độc ransomware và biến thể của nó;

- Nghiên cứu về các phương pháp phân tích mã độc;

- Tìm hiểu về một số công cụ hỗ trợ phân tích mã độc

- Phương pháp và kỹ thuật phân tích mã độc;

- Các công cụ, công nghệ phân tích mã độc

Phạm vi nghiên cứu:

- Mã độc ransomware và các biến thể của nó

- Các kỹ thuật, các phương thức, các giải pháp, các công nghệ mới để phân tích mã độc ransomware

Phương pháp nghiên cứu:

- Cơ sở lý thuyết về mã độc và mã độc ransomware

- Cơ sở lý thuyết về phương pháp phân tích mã độc

- Nguyên lý làm việc của một số công cụ phân tích mã độc

Trang 15

3

CHƯƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC

Mã độc từ khi ra đời cho đến nay luôn tận dụng những kỹ thuật tiên tiến của công nghệ thông tin và truyền thông cũng như lợi dụng những lổ hổng nguy hiểm trong các hệ thống tin học để khuyếch trương ảnh hưởng của mình Mặc dù việc sử dụng các thiết bị và phần mềm bảo mật trở nên phổ biến nhưng mã độc vẫn tiếp tục phát triển mạnh mẽ và giờ đây chúng thường được viết ra có mục đích rõ ràng, phục vụ một đối tượng cụ thể và không ngừng cải tiến qua các phiên bản để đạt được phiên bản hiệu quả nhất Vậy để phát hiện và diệt được mã độc thì trước hết phải hiểu rõ bản chất của chúng Về nguyên tắc chung, công việc diệt mã độc đa phần là làm ngược lại những gì mà mã độc đã làm Vì vậy trong chương này tôi tập trung nghiên cứu những nội dung liên quan đến cơ chế hoạt động của các loại mã độc để làm rõ bản chất của chúng Từ đó có thể xây dựng chương trình tìm và diệt

1.1.2 Mục tiêu của mã độc

Các thống kê cho thấy, các cuộc tấn công của mã độc quy mô lớn chủ yếu nhắm vào chính phủ hoặc các tổ chức tài chính Tiếp đó là các công ty, dịch vụ về công nghệ thông tin Điều này lý giải cho mục tiêu của mã độc nhắm tới đó là lợi

nhuận và lây lan rộng [6]

Trang 16

4

1.1.3 Phân loại mã độc

Việc phân chia thành những loại mã độc khác nhau sẽ cho cái nhìn cơ bản về hành vi của mã độc làm cho việc tìm hiểu về mã độc trở nên dễ dàng hơn Hiện tại chưa có một tiêu chuẩn chung nào về việc phân loại mã độc, những công ty, tổ chức phát triển phần mềm quét mã độc thường có những cách phân loại riêng của mình Nhưng sự phân loại này cũng chỉ mang tính chất tương đối, ví dụ như ramit, một dòng mã độc mà vừa hoạt động như worm khi nó tạo ra các bản sao trong nhiều khu vực, vừa bám vào vật chủ là các tập tin thực thi exe và tập tin html, vừa là một botnet Để giải quyết vấn đề này thì nhiều công ty phát triển phần mềm sử dụng một thứ tự ưu tiên nhất định để đặt tên Nếu mã độc có thuộc tính ưu tiên cao hơn thì sẽ phân loại vào đó, nếu như thứ tự ưu tiên là virus – worm – trojan thì như vậy ramit

sẽ được xếp vào là virus, do virus có mức ưu tiên cao hơn Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại để đưa ra nhiều tiêu chí để phân loại

mã độc, nhưng hai tiêu chí được sử dụng nhiều nhất là phân loại theo hình thức lây nhiễm và theo phân loại của NIST (National Institute of Standart and Technology) [6]

a) Phân loại theo hình thức lây nhiễm

Dựa vào hình thức phân loại này thì mã độc gồm hai loại chính: một loại cần vật chủ để tồn tại và lây nhiễm, vật chủ ở đây có thể là các tập tin dữ liệu, các tập tin ứng dụng, hay các tập tin chương trình thực thi… và loại thứ hai chính là tồn tại độc lập không cần vật chủ để lây nhiễm [6]

Độc lập nghĩa là chương trình độc hại có thể được lập lịch và chạy trên hệ điều hành

Không độc lập (needs host program) là một đoạn chương trình đặc biệt thuộc một chương trình không thể thực thi độc lập như một chương trình thông thường hay tiện ích bất kì mà bắt buộc phải có bước kích hoạt chương trình chủ trước thì chương trình mới chạy được

Trang 17

Đơn giản nhất là tạo một bản sao vào các thiết bị lưu trữ ngoài như USB, thư mục chia sẻ trong LAN rồi từ đây lây nhiễm qua các máy khác Sự nguy hiểm lớn nhất của worm là từ trong hệ thống có thể tự gửi chính mã độc này đến hàng chục, hàng trăm, thậm chí hàng ngàn máy khác và cứ thế nhân lên, làm cho các máy chủ web, máy chủ mạng ,và cả máy tính bị tràn bộ nhớ đến mức không thể hoạt động nữa

Zombie: Là chương trình độc hại bí mật liên kết với một máy tính khác

ngoài internet để nghe lệnh từ các máy tính Các zombie thường được sử dụng trong các cuộc tấn công từ chối dịch vụ DDOS để tấn công vào một website bất kì

Backdoor: Là một chương trình hoặc có liên quan đến chương trình, được

tin tặc sử dụng để cài đặt trên hệ thống nhằm mục đích cho sự trở lại hệ thống vào

Worm Zombie

Bombs Trojan Horse

Virus

Phân loại theo hình thức lây nhiễm

Trang 18

6

lần sau Mục đích của backdoor là xóa bỏ cách minh chứng hệ thống ghi nhật ký Đồng thời cũng giúp tin tặc cầm cự trạng thái truy cập khi bị quản trị viên phát hiện

và tìm cách khắc phục

Logic Bombs: Là đoạn mã độc được nhúng vào một chương trình hợp pháp

mà chúng có thể thực thi khi có một điều kiện nào đó xảy ra Các đoạn mã thường được chèn vào các ứng dụng hoặc các hệ điều hành để thực hiện việc phá hủy các chức năng an toàn của hệ thống

Trojan Horse: Trojan tồn tại độc lập, là một tập tin độc lập, không có khả

năng lây nhiễm Thông thường trojan sẽ lừa người dùng mở nó bằng các kĩ thuật (social engineering) như đặt những biểu tượng giống như thư mục, tập tin văn bản, tập tin hình ảnh, đặt tên có liên quan đến người dùng Do không được thiết kế để lây nhiễm nên trojan có thể phát tán trực tiếp qua email, đường link, được các loại mã độc tải về, hoặc được virus và worm mang theo

Virus: Đây là thuật ngữ xuất hiện đầu tiên về mã độc trên máy tính Từ

những giai đoạn đầu phát triển của mã độc trong những năm 1980 Virus máy tính

là thuật ngữ được lấy từ virus sinh học Cũng như virus sinh học, virus máy tính không tồn tại thành một thực thể, một tập tin Virus là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy tính khác dưới nhiều hình thức khác nhau

Trang 19

7

b) Phân loại theo NIST

Hình 1 2 Phân loại mã độc theo NIST

1.1.4 Xu hướng phát triển và sự cải tiến của mã độc

Theo dự báo của các nhà chuyên môn mã độc ngày càng có xu hướng phát triển mạnh mẽ, phức tạp và tinh vi hơn Đặc biệt là sự bùng nổ của mã độc mang tên ransomware trong những năm gần đây Các mẫu mã độc không phụ thuộc vào tập tin (tập tin-less mã độc) sẽ trở nên phổ biến hơn trong các cuộc tấn công APT do bản chất không phát hiện được bằng các chương trình chống virus truyền thống [6, 7]

Mã độc phát triển nhanh chóng theo xu hướng phát triển của công nghệ máy tính Càng ngày, mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân loại cũng như mục tiêu sử dụng Cùng với sự bùng nổ của mạng máy tính, thiết bị di động, mã độc cũng tăng trưởng với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứng với các công nghệ và nền tảng mới

Nếu như ban đầu mục tiêu của mã độc chỉ nhắm đến những máy tính đơn lẻ, thì ngày nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ chế lây lan phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ

Virus Worm

Malicious Mobie Code Trojan Horse

Tracking Cookie Phần mềm quảng cáo Phần mềm gián điệp

Attacker Tool Phishing Virus Hoax Phân loại

theo NIST

Trang 20

8

Nghiêm trọng hơn, mã độc có thể được phát triển phức tạp và thiết kế tinh vi với mục đích gián điệp, phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới, dẫn đến nguy cơ về một cuộc chiến tranh mạng Cyberwar lan rộng

1.2 Các nguy cơ mất an toàn thông tin từ mã độc

Ngày nay, với nền công nghệ, máy móc phát triển, gần như mọi người có thể mang theo cả thế giới thông tin trong người Công cuộc đảm bảo an toàn an ninh trở nên phức tạp hơn khi số lượng ứng dụng sử dụng trên thiết bị là vô cùng lớn, trong khi người dùng không có khả năng hoặc không có kiến thức thường trao hoàn toàn quyền hệ thống cho các ứng dụng dẫn tới khả năng mất an toàn thông tin trở nên dễ dàng hơn bao giờ hết Mặt khác, việc truy cập dữ liệu nhạy cảm thông qua các mạng internet công cộng hoặc đường truyền không được đảm bảo cũng làm tăng mức độ rủi ro mất mát dữ liệu Ngoài ra, bản thân hệ điều hành của thiết bị và những ứng dụng bản quyền cũng có nhiều lỗ hổng có thể bị khai thác cũng là một nguyên nhân dẫn tới mất an toàn thông tin [6, 7, 8]

1.2.1 Nguy cơ mất an toàn từ người dùng

Hiện nay mã độc chủ yếu lây nhiễm vào hệ thống thông tin bằng cách đánh vào nhận thức cũng như tâm lý của người dùng Mã độc có thể lây nhiễm vào máy tính người sử dụng thông qua các tập tin đính kèm thư Các tập tin này thường đính kèm các thư điện tử của người lạ gửi đến nạn nhân hoặc thư điện tử giả mạo một cơ quan tổ chức

Hay đơn giản hơn chỉ cần người dùng truy cập vào một trang web độc hại là người dùng đã có thể bị lây nhiễm mã độc vào máy tính của mình Các trang web này thường lừa người sử dụng truy cập thông qua các liên kết gửi qua mạng xã hội, thư điện tử hay tin nhắn Vì vậy, người sử dụng cần thật cẩn trọng khi truy cập vào các trang web lạ được gửi đến từ người khác trong quá trình sử dụng dịch vụ trên mạng internet cá nhân

Trang 21

9

Hình 1 3 Các liên kết độc hại gửi từ facebook

Qua một vài dẫn chứng được nêu trên có thể thấy được nguy cơ mất an toàn

từ mã độc đối với cá nhân người dùng là vô cùng đơn giản và dễ thực hiện và gây ra những hậu quả không thể lường trước được

1.2.2 Nguy cơ từ mã độc trên máy trạm

Các tổ chức ngiên cứu về bảo mật thông tin đã phát hiện ra rằng các máy trạm (máy đầu cuối – endpoint) là gót chân A-sin, một trong các nguyên nhân chính của những rủi ro về an toàn thông tin Máy trạm là bất kì thiết bị máy tính nào

có kết nối với mạng của tổ chức như các máy tính để bàn, máy laptop, hoặc các thiết bị điện tử có vùng lưu trữ, cổng vào ra, kết nối với địa chỉ ip… Các máy trạm

có thể gây ra ba rủi ro chính:

Thứ nhất, các tấn công đi qua vòng, thông qua kết nối của máy trạm truy cập vào các website chứa mã độc, né tránh các công cụ bảo vệ tại vành đai mạng để thâm nhập vào hệ thống công ty

Thứ hai, những người dùng di động (sử dụng máy tính xách tay, được dùng

cả bên trong và bên ngoài công ty) thường nằm ngoài kiểm soát của các công cụ an ninh

Thứ ba, số lượng các máy trạm rất lớn, việc triển khai và quản lý nhiều chương trình bảo mật trên từng máy trạm là thách thức lớn đối với người quản trị mạng Các máy trạm nếu không được kiểm soát an ninh chặt chẽ và triển khai đúng đắn sẽ tạo ra các nguy cơ cao như dữ liệu bị đánh cắp,…

Đặc biệt các máy trạm rất dễ bị tấn công, qua các điểm yếu trong các giao thức mạng cho phép truy cập thông qua các cổng được mở hoặc cổng không được

Trang 22

10

mở kiểm soát Các tấn công khác nhằm vào lỗi lập trình, có thể tạo ra lỗi tràn vùng đệm cho phép thực thi mã độc

1.2.3 Nguy cơ đối với hệ thống mạng

Xu hướng tấn công vào các công ty có hệ thống thông tin nhạy cảm nhằm mục đích trục lợi đang có chiều hướng gia tăng Những doanh nghiệp tài chính, ngân hàng, thanh toán điện tử có rủi ro cao nhất Tin tặc không chỉ từ bên ngoài mà

có thể chính là nhân viên trong công ty Đây là dạng rủi ro tấn công an ninh nội mạng và có xu hướng nóng gần đây tại Việt Nam và trên thế giới

Tấn công mạng LAN không phải là phương thức mới mà đã từng xảy ra nhiều vụ việc tại Việt Nam Rất nhiều mã độc được phát tán lây lan qua mạng LAN, điển hình là sâu Connficker có khả năng lây qua cả usb và mạng LAN Thiệt hại có thể xảy ra là khiến cho hoạt động sản xuất của doang nghiệp bị ngừng trệ hoặc gây

rò rỉ, thất thoát dữ liệu nhạy cảm Trong mạng LAN, tin tặc dễ triển khai các hoạt động như nghe lén hay biến máy tính nhiễm virus thành một cổng giả mạo, từ đây tin tặc sẽ kiểm soát được các dữ liệu quan trọng Mặt khác, các máy tính trong cùng mạng LAN của công ty thường có chung chính sách về an ninh (security) và quan trọng nhất là có môi trường giống nhau (hệ điều hành, các phần mềm cài trên hệ điều hành), nếu xâm nhập được một máy thì dễ dàng đoán ra được các máy khác thế nào, vì thế dễ tấn công hơn so với việc xâm nhập từ xa ( không phải thăm dò thử nghiệm) [6]

1.2.4 Nguy cơ từ mạng xã hội

Hiện nay trên thế giới có hàng trăm mạng xã hội khác nhau như MySpace, Facebook, Zingme, YuMe, Zalo, Twitter Trong khi mạng xã hội được xem là phương tiện giao tiếp tốt với mọi người thì nó cũng trở thành mục đích cho tội phạm mạng Các hãng bảo mật lớn đã quan sát được làn sóng đe dọa trực tuyến ngày càng tăng lợi dụng mạng xã hội để đánh cắp thông tin, sử dụng cho mục đích kiếm tiền Những mối đe dọa này này càng phức tạp hơn, khó phát hiện hơn và thường nhắm vào lối sống “kết bạn trực tuyến” của mọi người Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin, các mạng xã hội bắt buộc người

sử dụng cung cấp một số thông tin nhất định các thông tin cá nhân Càng nhiều

Trang 23

11

thông tin mà người sử dụng cung cấp lên mạng xã hội càng làm tăng nguy cơ bị kẻ xấu lợi dụng Hiện nay trên các mạng xã hội có rất nhiều ứng dụng cho người dùng nhưng trong đó có những ứng dụng đã cài kèm chương trình độc hại Khi sử dụng

mã độc sẽ được kích hoạt và gây ra những phiền phức, khó chịu Ví dụ như phần mềm vẽ ảnh “chibi” từng gây ra rất nhiều phiền phức, ảnh hưởng đến người dùng facebook [7]…

1.2.5 Nguy cơ từ thiết bị di động

Hiện nay sự bùng nổ của các thiết bị di động kéo theo nó là sự phát triển của các loại mã độc trên nền tảng này Các thiết bị di động thông minh đang phát triển nhanh chóng, đi cùng với nó là kho ứng dụng khổng lồ mà các lập trình viên phát triển Mã độc trên nền tảng này lây nhiểm chủ yếu thông qua ứng dụng được người dùng tải về và cài đặt ngay trên máy cá nhân Các dạng mã độc kiểu này có thể kiểm soát bởi chính người sử dụng hoặc bị chặn bởi nhà cung cấp hệ điều hành do chúng yêu cầu các hành vi có thể bị nhận dạng là nguy hiểm

Để bảo vệ người dùng, các thiết bị mobile được hỗ trợ bởi hệ điều hành trong việc kiểm soát các phần mềm được phép cài đặt trong máy Tuy nhiên đối với những thiết bị di động không còn chịu sự can thiệp từ phía nhà cung cấp việc cài đặt chương trình trở nên dễ dàng dàng hơn, không còn chịu sự kiểm soát, giới hạn từ nhà cung cấp hệ điều hành Chính điều này tạo điều kiện cho mã độc dễ dàng lây nhiễm Hành vi của mã độc trên các thiết bị di động này đa phần với động cơ tài chính, ví dụ ăn cắp thông tin người sử dụng, tự động quay số, nhắn tin… nhưng có thể phức tạp hơn trong tương lai [6, 7]

1.3 Một số biện pháp phòng chống mã độc

1.3.1 Nâng cao nhận thức của người dùng

Đây là việc cần làm đầu tiên và làm thường xuyên Bởi chỉ khi ý thức được nguy cơ ảnh hưởng thì mọi người mới cẩn trọng hơn, có ý thức tìm kiếm những giải pháp phòng chống Với người dùng cá nhân có thể chỉ cần thường xuyên cập nhật tin tức về mã độc, thông thường những tin tức này cũng kèm theo một vài giải pháp tương đối đơn giản để áp dụng Ở mức độ cao hơn của tổ chức thì có thể cần tổ chức những buổi nói chuyện, hội thảo, thậm chí là đào tạo nâng cao nhận thức cho

Trang 24

12

người dùng Người sử dụng nên có thói quen thực hiện những thao tác để đảm bảo

an toàn trong quá trình sử dụng máy tính

 Quét mã độc trên các thiết bị lưu trữ ngoài khi cắm vào máy tính

 Kiểm tra cẩn thận nguồn gửi, nội dung, cũng như những tập tin đính kèm trong email, đặc biệt là email công khai

 Hạn chế sử dụng phần mềm crack, nên tìm những phần mềm miễn phí cùng chức năng để thay thế

 Nên tải phần mềm từ nguồn chính thống thay vì từ những trang ngoài

1.3.2 Chính sách an toàn

Xét ở mức tổng thể, khi mà những giải pháp kĩ thuật không đạt được mức độ

an toàn mong muốn thì áp dụng thêm một số chính sách an toàn sẽ làm tăng mức độ bảo mật của của toàn hệ thống mà không tốn thêm quá nhiều chi phí Những chính sách an toàn cần phải hướng tới tính đơn giản để người dùng bình thường cũng có thể thực hiện được Có thể kể đến một số chính sách đơn giản như:

 Chỉ sử dụng những thiết bị lưu trữ di động (usb, ổ cứng động, ) của nội bộ có dãn nhãn, không được sử dụng những thiết bị lưu trữ di động mang từ ngoài vào

 Không gửi những tập tin thực thi (.exe) qua email công việc

1.3.3 Backup và mã hóa dữ liệu

Backup dữ liệu không chỉ để phòng chống những loại mã độc phá hủy, xóa,

“bắt cóc” dữ liệu (ransomware) mà còn để phòng chống những nguy cơ mất dữ liệu nói chung như thiên tai, thảm họa Mã hóa dữ liệu để đảm bảo chỉ những người có quyền truy cập mới được tiếp cận đến nguồn dữ liệu Đây là giải pháp kĩ thuật đầu tiên cần phải áp dụng bởi hiện nay giá trị của dữ liệu còn lớn hơn cả chiếc máy tính Đặc biệt với những dữ liệu có giá trị rất lớn như chiến lược kinh doanh, phát minh, sáng chế, sở hữu trí tuệ,…

Quy trình áp dụng như sau: dữ liệu phải được mã hóa sau đó backup Việc

mã hóa rất đơn giản khi mà có rất nhiều phần mềm miễn phí nhưng chất lượng rất tốt Vấn đề back up phức tạp hơn một chút và cũng có rất nhiều giải pháp Có thể đơn giản chỉ cần mua một thiết bị lưu trữ ngoài (usb, ổ cứng đi động, …) và định kỳ

Trang 25

13

sao chép dữ liệu đã mã hóa ra ngoài, cũng có thể sử dụng những dịch vụ backup dự liệu qua internet, phụ thuộc vào mức dung lượng thì có thể từ miễn phí tới có phí Cần phải tìm hiểu kỹ, cũng như lựa chọn thậm chí là tự xây dựng giải pháp phù hợp nhất với mình Ví dụ có một số dịch vụ backup dữ liệu sẽ không thực hiện mã hóa

dữ liệu trên server, trong trường hợp không mã hóa trước khi backup, dịch vụ backup khi bị tấn công thì hoàn toàn có nguy cơ bị lộ dữ liệu Nhưng một số dịch vụ backup dữ liệu lại có chức năng mã hóa, do đó cần tìm hiểu kĩ các công cụ đang sử dụng

Để có thể khai thác được lỗ hổng phần mềm cần điều kiện khá ngặt nghèo như phải đúng phiên bản hoặc một vài phiên bản phần mềm mới tồn tại lỗ hổng để khai thác Trong khi chỉ cần một thao tác cập nhật khá đơn giản là đã có thể loại bỏ lượng lớn lỗ hổng khỏi hệ thống

1.3.5 Sử dụng các phần mềm,giải pháp đầu cuối

Đây luôn là phương pháp đơn giản nhất để bảo vệ trước nguy cơ về mã độc Trên máy tính cần phải có một phần mềm antivirus, ngay cả phần mềm miễn phí cũng rất hữu dụng, công cụ rất đơn giản, dễ sử dụng nhưng có khả năng phòng chống mã độc tốt Tất nhiên phần mềm antivirus không chống lại được tất cả các loại mã độc cũng như các nguy cơ liên quan Mã độc luôn tìm được cách, nói đúng hơn là để tồn tại chúng phải tìm được cách vượt qua phần mềm antivirus, mặc dù chỉ có tỉ lệ nhỏ làm được việc này Nên cần phải áp dụng thêm nhiều giải pháp khác

để đảm bảo tính an toàn

1.3.6 Sử dụng xác thực hai bước để bảo vệ tài khoản

Dòng keyloger là một loại mã độc chuyên được sử dụng để đánh cắp thông tin đăng nhập, ngoài ra vẫn còn một vài phương pháp khác cũng thường được sử

Trang 26

14

dụng Để đảm bảo an toàn ngay cả khi mã độc đã vượt qua nhiều lớp bảo vệ để có thể lấy được mật khẩu đăng nhập Mọi người cần sử dụng xác thực hai bước để tăng cường khả năng bảo mật trên tài khoản Hiện nay những tài khoản quan trọng nhất liên quan đến giao dịch trực tuyến (như internet banking), các dịch vụ lớn trên internet như google, facebook đều cung cấp tùy chọn xác thực hai bước Cách xác thực hai bước rất đơn giản, phổ biến nhất là gửi một tin nhắn SMS chứa một dãy số xác thực ngẫu nhiên về qua điện thoại Những dịch vụ đòi hỏi tính an toàn cao hơn

sẽ sử dụng những thiết bị vật lý chuyên dụng như Token Key để sinh mã xác thực

là Cryptolocker), còn một số loại ransomware khác lại dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker) Ransomware buộc nạn nhân trả tiền để có lại quyền sử dụng hệ thống [7]

1.4.1.2 Lịch sử phát triển ransomware

Ransomware đầu tiên trên thế giới, xuất hiện trên đĩa mềm vào năm 1989 Vào tháng 12 năm 1989, Eddy Willems lúc này đang làm việc tại một công ty bảo hiểm của Bỉ, cho đĩa mềm vào máy tính của công ty Ngay lập tức, nó đưa ra bảng câu hỏi về nguy cơ lây nhiễm HIV/AIDS Willems hoàn thành bảng câu hỏi và không nghĩ nhiều về nó Nhưng vài ngày sau, máy tính của anh ta bị khóa lại và yêu cầu gửi 189 USD vào một hộp thư bưu điện ở Panama, máy in thậm chí còn in ra một bản hóa đơn [7]

Tại Anh, những người đứng đằng sau thứ được gọi là ransomware AIDS đã gửi đĩa mềm chứa mã độc cho độc giả của tạp chí PC Business World Nó đã lén

Trang 27

Nhiều năm sau, khoảng năm 2005-2006, hacker đã phát triển các mẫu khác

về ransomware như Gpcode, Krotten, và Cryzip Nhà nghiên cứu về phần mềm độc hại Vesselin Bontchev nói: "Kỷ nguyên mới của ransomware bắt đầu với

Cryptolocker vào năm 2013 và hacker đã chuyển sang sử dụng bitcoin cho phép thanh toán ở mức độ ẩn danh cao"

Các vụ tấn công ransomware trở nên nổi bật vào tháng 5 năm 2005 Đến giữa năm 2006, Trojans như Gpcode, Troj.Ransom.A, Archiveus, Krotten, Cryzip, và MayArchive bắt đầu sử dụng chương trình mã hóa RSA phức tạp hơn Gpcode.AG, được phát hiện vào tháng 6 năm 2006, đã được mã hóa với khóa công khai RSA 660-bit

Nguy hiểm hơn, có một số ransomware còn thâm nhập vào Master Boot Record (MBR) của một máy tính Bằng cách này, ransomware sẽ ngăn không cho

hệ điều hành khởi động, hay nói cách khác là làm tê liệt luôn cả hệ thống Để làm được điều này, ransomware đã sao chép phần MBR gốc, tiếp theo sẽ ghi đè lên MBR này bằng mã độc của chính nó trong nhiều lần Khi hệ thống bị buộc phải khởi động lại, mã độc sẽ bắt đầu phát huy tác dụng của mình Hệ điều hành sẽ không chạy lên, thay vào là một dòng đòi tiền bằng tiếng Nga

Vào tháng 6 năm 2008, một biến thể được gọi là Gpcode.AK đã được phát hiện sử dụng thuật toán mã hóa RSA 1024-bit Tại thời điểm này chưa xuất hiện công cụ nào đủ lớn để tính toán để giải mã trong thời gian ngắn

Tháng 8 năm 2010, chính quyền Nga đã bắt giữ chín người liên quan đến một ransomware gọi là WinLock, không giống như Trojan Gpcode, WinLock đã không sử dụng mã hóa WinLock đã hạn chế khả năng truy cập vào hệ thống bằng

Trang 28

16

cách hiển thị các hình ảnh khiêu dâm và yêu cầu người dùng gửi tin nhắn SMS có tỷ

lệ phí (khoảng 10$) để nhận mã số có thể dùng để mở khóa máy.Vụ tấn công này gây ra nhiều khó khăn khiến người dùng bực mình diễn ra trên khắp nước Nga và các nước láng giềng – theo báo nhóm này đã thu được 16 triệu USD nhờ ransomware này

Trong năm 2011, một ransomware đã bắt đầu theo dõi thông báo kích hoạt sản phẩm Windows , và thông báo cho người dùng rằng việc cài đặt Windows của

hệ thống phải được kích hoạt lại do "là nạn nhân của gian lận" Một tùy chọn kích hoạt trực tuyến đã được cung cấp (như quá trình kích hoạt Windows thực tế), nhưng không có sẵn, yêu cầu người dùng gọi một trong sáu số quốc tế để nhập mã sáu chữ

số Trong khi các phần mềm độc hại tuyên bố rằng cuộc gọi này sẽ được miễn phí,

nó được chuyển qua một quốc gia có tỷ lệ điện thoại quốc tế cao, người đặt cuộc gọi

ở trạng thái giữ, khiến người sử dụng phải chịu lớn quốc tế đường dài phí

Năm 2012, ransomware TROJ_RANSOM.BOV từng bị "nhúng" vào một trang web bán hàng của Pháp, từ đây lây nhiễm xuống máy tính người dùng tại Pháp và Nhật (nơi hãng có một lượng lớn người dùng) Ransome này cũng hiển thị một thông báo giả từ cơ quan cảnh sát của Pháp để đe dọa Cũng trong năm 2012,

có một số ransomware không hiển thị "giấy đòi tiền" bằng chữ mà phát đoạn ghi âm bằng giọng nói theo ngôn ngữ địa phương Một số khác thì hiển thị logo chứng chỉ bảo mật giả để thu hút lòng tin của người dùng Một số khác thì can thiệp vào các tập tin quan trọng của hệ thống và khiến máy không thể hoạt động bình thường

Khoảng cuối năm 2013, ghi nhận một loại ransomware mới Những biến thể này giờ đây mã hóa tập tin thay vì khóa máy tính như lúc trước với tên gọi

"CryptoLocker" (chữ crypto có nghĩa gốc là bí mật, còn trong thế giới máy tính thì

nó là mã hóa) Bằng cách này, tin tặc có thể đảm bảo rằng người dùng vẫn phải trả tiền ngay cả khi họ đã dùng các công cụ bảo mật để xóa mã độc, cryptolocker - sử dụng tiền điện tử bitcoin để thanh toán tiền chuộc từ nạn nhân, vào tháng 12 năm

2013, ZDNet ước tính dựa trên thông tin giao dịch bitcoin từ ngày 15 tháng 10 đến ngày 18 tháng 12, các tin tặc phát tán ransomware CryptoLocker đã thu được 27 triệu USD từ các nạn nhân Trong các thông báo đòi tiền, CryptoLocker thường nói

Trang 29

17

rằng cơ chế mã hóa sử dụng "RSA-2048", nhưng theo nghiên cứu của các hãng bảo mật như Symantec, Trend Micro hay McAfee thì mã độc kết hợp cả phương thức

mã hóa AES với RSA

Một số chủng ransomware đã sử dụng proxy gắn liền với các dịch vụ ẩn của Tor để kết nối với các máy chủ và điều khiển máy chủ của họ, làm tăng sự khó khăn trong việc tìm kiếm vị trí chính xác của tội phạm

Đặc biệt trong năm 2017 có 2 đợt tấn công của ransomware nổi trội lên nhất, một là chiều 12/5 theo giờ Việt Nam, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WanaCrypt0r (một biến thể của WannaCry) và ngày 28/6/2017 một vius khác mang tên Petrwrap, biến thể từ mã độc tống tiền có tên Petya từng được phát hiện từ tháng 3 năm 2017

1.4.1.3 Phân loại ransomware

Mã độc tống tiền ransomware không còn là mới mẻ – nó đã có lịch sử gần 30

năm hình thành và phát triển Ransomware có hai biến thể chính là: “blocker” khóa người dùng truy cập dữ liệu và „encryptor„ mã hóa dữ liệu người dùng Cả hai

đều yêu cầu nạn nhân tiền chuộc để lấy lại dữ liệu ban đầu Trong thực

tế, “blocker” không phải là một vấn đề quá mức nghiêm trọng Những vụ việc phát hiện “blocker” tại Nga và năm 2010 và sự xuất hiện của các dịch vụ mở khóa hệ

thống miễn phí đã khiến biến thể này ít nguy hiểm hơn và không mang về lợi nhuận cho tin tặc Dưới đây là báo cáo thống kê của Kaspersky trong hai giai đoạn 2014-

2015 và 2015-2016 [7]

Biểu đồ 1 1 Thống kê số lượng người dùng bị tấn công phân loại theo

nhóm mã độc tống tiền mã hóa năm 2014-2015

Trang 30

18

Biểu đồ 1 2 Thống kê số lượng người dùng bị tấn công phân loại theo

nhóm mã độc tống tiền mã hóa năm 2015-2016

Trong giai đoạn 2014 – 2015 và 2015 – 2016 các biến thể của ransomware

đã phát triển cực kì nhanh chóng Từ hai thống kê trên cho thấy thay đổi lớn nhất khiến ransomware trở nên báo động là sự phát triển của mã độc tống tiền dạng mã hóa Số kiểu ransomware đã tăng lên 17,7% trong vòng hai năm Và số biến

thể encryptor tăng lên 5.5 lần (từ 131,111 biến thể vào năm 2014-2015 lên tới 718,536 biến thể vào năm 2015-2016) Cùng thời điểm, biến thể blocker giảm 13%

từ 1,836,673 xuống còn 1,597,395 biến thể Tại thời điểm 2014-2015, mã độc CryptoWall chiếm khoảng 59% các vụ tấn công Năm 2015-2016, TeslaCrypt đã thay thế vị trí dẫn đầu của CryptoWall với 49% các vụ tấn công Trong số các biến thể này có thể kể đến các đại diện tiêu biểu nhất như: reveton, cryptolocker, cryptolocker.f and torrentlocker, cryptowall, fusob, wanacry…

Reveton hay còn có tên gọi khác police ransomware vì các loại ransomware

dạng này khi xâm nhập vào máy tính của nạn nhân, sẽ hiển thị thông báo như một đơn vị luật pháp thực thụ Với nội dung đại loại như:"Xin chào, anh/chị đã bị bắt vì

vi phạm điều luật số abc xyz, đồng thời vi phạm hiến pháp của USA vì đã tham gia vào các hoạt động bất hợp pháp trực tuyến " đi cùng là hình ảnh, phù hiệu của luật pháp Tin tặc biết chính xác rằng nạn nhân - người dùng máy tính đang ở địa

Trang 31

19

phương, thành phố nào để đưa ra nội dung mang tính chất de dọa tới người dùng bởi vì tin tặc dựa vào tính năng dò tìm vị trí địa lý theo cụm địa chỉ IP Ví dụ, với các nạn nhân ở Mỹ thì reveton sẽ cho hiển thị thông báo đi kèm với hình ảnh của FBI, còn ở Pháp sẽ là cơ quan Gendarmerie Nationale

Hình 1 4 Thông báo giả mạo của reveton

Các biến thể của reventon sử dụng nhiều tài khoản, cách thức thanh toán khác nhau để nhận tiền của nạn nhân, thông thường là các hệ thống như UKash, PaySafeCard, hoặc MoneyPak Tin tặc dùng những hình thức thanh toán này là vì

hệ thống này thường làm mờ (không để hiển thị) tên người nhận tiền, do vậy chúng

sẽ yên tâm khi thực hiện giao dịch qua UKash, PaySafeCard, và MoneyPak Đến năm 2012, reventon đã phát triển thêm hình thức, thủ đoạn mới, dùng các đoạn ghi

âm - recording (bằng giọng của người địa phương) để truyền tải thông tin đến nạn nhân thay vì cách thức thông báo cũ

Cryptolocker : Các cuộc tấn công của ransomware cryptolocker là một tấn

công mạng xảy ra từ 05 tháng 9 2013 đến cuối tháng năm 2014 mục tiêu nhằm vào các máy tính chạy hệ điều hành microsoft windows Nó được phát tán qua các tập tin đính kèm email bị nhiễm, và thông qua một botnet Khi được kích hoạt, phần mềm độc hại mã hóa một số loại tệp tin được lưu trữ trên ổ đĩa mạng cục bộ và gắn kết bằng cách sử dụng mật mã khoá công khai RSA, với khóa riêng được lưu trữ chỉ

Trang 32

20

trên các máy chủ điều khiển phần mềm độc hại Phần mềm độc hại sẽ hiển thị thông báo đưa ra giải mã dữ liệu nếu thanh toán (thông qua bitcoin hoặc chứng từ thanh toán trước) được thực hiện đúng thời hạn và sẽ đe dọa xóa khóa riêng nếu vượt qua thời hạn Mặc dù cryptolocker có thể được gỡ bỏ một cách dễ dàng nhưng các tập tin vẫn bị mã hóa mà theo các nhà nghiên cứu là không khả thi để giải mã

Hình 1 5 Thông báo đòi tiền chuộc của cryptolocker

Cryptolocker đã bị cô lập vào cuối tháng 5 năm 2014 nhờ chiến dịch Tovar –

cô lập mạng botnet Gameover ZeuS ( botnet đã được sử dụng để phân phối phần mềm độc hại) Trong chiến dịch này một số công ty bảo mật tham gia vào việc thu thập cơ sở dữ liệu của khóa cá nhân được sử dụng bởi cryptolocker đã xây dựng một công cụ trực tuyến mở khóa dữ liệu miễn phí cho người Các báo caoschir ra rằng nhóm tin tặc phát tán cryptolocker đã thu được khoảng 3 triệu USD từ các nạn nhân

Fusob là một trong những biến thể của ransomware trên di động Giữa tháng

4 năm 2015 và tháng 3 năm 2016, khoảng 56% số tiền chuộc di động là mã độc này gây ra Giống như phương thức tống tiền di động điển hình, fusob giả vờ là một cơ quan có thẩm quyền, yêu cầu nạn nhân phải trả tiền phạt từ 100 USD đến 200 USD nếu không sẽ bị buộc tội Đáng ngạc nhiên hơn, Fusob gợi ý sử dụng thẻ quà tặng iTunes để thanh toán Ngoài ra, một bộ đếm thời gian nhấp vào trên màn hình thêm vào sự lo lắng của người dùng là tốt Khi Fusob được cài đặt, đầu tiên nó sẽ kiểm

Trang 33

21

tra ngôn ngữ được sử dụng trong thiết bị Nếu sử dụng tiếng Nga hoặc một số ngôn ngữ Đông Âu, Fusob không làm gì cả Nếu không, nó tiến hành khóa thiết bị và đòi hỏi tiền chuộc Trong số các nạn nhân, khoảng 40% là ở Đức đối với Anh và Hoa

Kỳ lần lượt là 14,5% và 11,4%

Wanacry (tạm dịch là "Muốn khóc") còn được gọi là wannadecryptor 2.0, là

một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng microsoft windows Vào ngày 12 tháng 5 năm 2017, wanacry bắt đầu gây ảnh hưởng đến các máy tính trên toàn thế giới Đã có hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến

là Ukraina, Ấn Độ và Đài Loan, Việt Nam cũng là một trong những nước bị tấn công nhiều nhất Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính và cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet, và các máy tính trên cùng mạng LAN Do được mã hóa theo thuật toán RSA 2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải mã các tập tin đã bị wanacry mã hóa Cách duy nhất

để người dùng lấy lại dữ liệu là trả tiền cho tin tặc từ 300 tới 600 Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảm bảo do tin tặc hoàn toàn có thể "trở mặt"

Hình 1 6 Thông báo của wanacry trên máy nạn nhân

Khi lây nhiễm vào một máy tính mới, Wanacry sẽ liên lạc với một địa chỉ web từ xa và chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web không thể truy cập được Nhưng nếu nó có thể kết nối được, Wanacry sẽ tự xóa bản thân –

Trang 34

22

một chức năng có thể đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong trường hợp phần mềm trở nên không kiểm soát được Một chuyên gia công nghệ khám phá ra địa chỉ web không được đăng ký này và mua nó với giá chưa đến 10 Euro, vụ tấn công tạm thời được ngăn chặn Ngay sau đó, các biến thể của Wanacry đã được sửa code lại nhanh chóng lây lan trở lại với phiên bản 2.0

Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh Vào ngày 12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầm trọng, và một số xe cứu thương phải đi nơi khác Vào năm 2016, hàng ngàn máy tính trong 42 chi nhánh NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP Nissan Motor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô hiệu quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệ thống của họ Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn chặn sự lây lan của ransomware Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga và công ty viễn thông của Nga MegaFon, cũng bị nhiễm

Petrwrap: Mã độc này là biến thể của Petya, có tên Petrwrap, gây tê liệt

nhiều ngân hàng, sân bay, máy ATM và một số doanh nghiệp lớn tại châu Âu

Mã độc đang lan rộng nhanh chóng thông qua lỗ hổng Windows SMBv1 tương tự như cách mã độc WannaCry lây nhiễm 300.000 hệ thống và máy chủ trên toàn thế giới chỉ trong 72 giờ vào tháng 5-2017 Nguy hiểm hơn, mã độc này còn tận dụng các công cụ WMIC và PSEXEC để lây lan sang các máy tính khác trong mạng

Nga và Ukraine là những quốc gia đầu tiên hứng chịu ảnh hưởng Tại Ukraine, hàng loạt máy tính của Chính phủ, các ngân hàng, công ty và sân bay đã đồng loạt bị dính mã độc Còn tại Nga, nhiều ngân hàng cũng bị tấn công mạng trong khi tập đoàn dầu khí Rosneft thậm chí đã phải chuyển sang mạng quản lý và điều hành dự phòng đối với các quy trình sản xuất Chỉ vài giờ sau đó, các vụ tấn công đã nhanh chóng lan ra phạm vi toàn cầu, với hàng loạt công ty đa quốc gia tại Tây Ban Nha, Hà Lan, Na Uy, Anh, Mỹ… bị ảnh hưởng

Petrwrap sẽ tự động mã hóa hàng loạt các tập tin theo những định dạng mục tiêu như văn bản tài liệu, hình ảnh Nếu muốn lấy lại các dữ liệu đó, người dùng cá

Trang 35

23

nhân cũng như doanh nghiệp sẽ phải trả cho tin tặc 300 USD tiền ảo bitcoin để đổi lấy “chìa khóa giải mã” Tuy có một số điểm tương đồng với mã độc wannaCry và Petya nhưng Petrwrap có khả năng tấn công tinh vi hơn Petrwrap sử dụng nhiều

“xảo thuật” để phát tán trên cơ sở nhằm vào lỗ hổng EternalBlue Lỗ hổng EternalBlue khai thác trên các máy tính sử dụng hệ điều hành Windows,

1.4.1.4 Phân bố theo địa lí của mã độc ransomware

Số lượng người dùng bị tấn công phân loại theo địa lí được thống kê bởi khách hàng sử dụng sản phẩm bảo mật của Kaspersky trên toàn cầu Ấn Độ, Brazil

và Đức dẫn đầu danh sách với số lượng người dùng bị tấn công ngày một tăng, số lượng người dùng tại Hoa Kỳ, Việt Nam, Algeria, Ukraine và Kazakhstan giảm nhẹ

Bảng 1 1 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2014-2015 [7].

Quốc gia % người dùng bị tấn công ransomware trong

Trang 36

Quốc gia 2014-2015 2015-2016 Thay đổi theo năm

Trang 37

1.4.1.5 Đối tượng tấn công của ransomware

Tin tặc tấn công đứng đằng sau ransomware thực sự không quan tâm tới mục tiêu tấn công của chúng là ai miễn sao nạn nhân trả tiền chuộc Chính vì lý do này, những tin tặc tấn công thường thực hiện một chiến dịch phát tán ransomware liên tục trên một phạm vi rộng lớn nhắm tới mọi người dùng máy tính Chỉ cần một phần nhỏ đối tượng đồng ý trả tiền chuộc cũng đủ để làm giàu túi tiền của tội phạm mạng

và là động cơ để tiếp tục thực hiện các lần tống tiền tiếp theo Đối tượng tấn công của ransomware được chia ra làm ba loại [7].:

 Hộ gia đình

Ransomware có lẽ hiệu quả nhất đối với cá nhân không thông thạo với máy tính, hay không có nhận thức về ransomware và cách thức nó hoạt động Nhóm người dùng gia đình là nạn nhân phổ biến của ransomware do có ít kiến thức cơ bản

về bảo mật thông tin cũng như ít được tiếp cận với hỗ trợ kỹ thuật, dẫn tới việc không có khả năng giải quyết cùng với việc gia tăng áp lực khi cần dùng dữ liệu sẽ

dễ dàng trả tiền chuộc cho tội phạm

 Khối doanh nghiệp

Thông tin và loại hình công nghệ sử dụng đã trở thành thứ quyết định sống còn của doanh nghiệp Giả định rằng một doanh nghiệp có hàng tỷ lượt giao dịch trên hệ thống và bị ransomware tấn công Toàn bộ dữ liệu giao dịch, thông tin khách hàng trên hệ thống bị mã hóa dẫn tới ngưng trệ hoặc tạm dùng hoạt động sẽ khiến cho doanh nghiệp thiệt hại nghiêm trọng Nhóm người dùng doanh nghiệp cũng có những dữ liệu quan trọng như tài liệu mật, tài sản trí tuệ, kế hoạch, số liệu tài chính…

 Người dùng công cộng

Trang 38

26

Các cơ quan công cộng như tổ chức giáo dục, chăm sóc sức khỏe, tổ chức thực thi pháp luật cũng không ngoại trừ khả năng bị tấn công của ransomware Trong quá khứ đã có một vài trường hợp cơ quan thực thi pháp luật bị tấn công bởi ransomware Cũng như nhóm doanh nghiệp, khả năng trả tiền chuộc của đối tượng này cũng không cao như nhóm hộ gia đình do có các kế hoạch lưu trữ định kỳ và bộ phận công nghệ thông tin để đảm bảo an toàn của hệ thống

1.4.2 Cách thức hoạt động của mã độc ransomware

1.4.2.1 Phương pháp lây nhiễm của ransomware

Hai phương pháp lây nhiềm chủ yếu của mã độc ransomware [7]. :

Gửi tập tin đính kèm thư điện tử, khi người dùng mở tập tin thì mã độc sẽ tự động lây nhiễm vào máy tính người dùng

Hình 1 7 Phát tán rasomware qua thư điện tử

Hoặc gửi thư điện tử hoặc tin nhắn điện tử có chứa đường dẫn đến phần mềm

bị giả mạo bởi ransomware và đánh lừa người dùng truy cập vào đường dẫn này để yêu cầu người dùng tải về và cài đặt

Ngoài ra máy tính còn có thể bị lây nhiễm thông qua đường khác như qua các thiết bị lưu trữ ngoài như USB, qua quá trình cài đặt phần mềm không rõ nguồn gốc, sao chép dữ liệu từ máy bị nhiễm mã độc

Dấu hiệu của loại mã độc sau khi máy tính bị nhiễm là các tài liệu, văn bản

sẽ bị thay đổi nội dung và đổi tên phần mở rộng, phổ biến là các tập tin có định

Trang 39

27

dạng: doc, docx, pdf, xls, xlsx, jpg, txt, ppt, pptx, một số loại còn khoá máy tính không cho sử dụng và đòi tiền chuộc

1.4.2.2 Cách thức hoạt động của ransomware

Hoạt động của ransomware được mô tả như một giao thức ba vòng được thực hiện giữa kẻ tấn công và nạn nhân [5, 6, 7].

Kẻ tấn công → nạn nhân: Người tấn công tạo ra một cặp khóa và đặt khoá công khai tương ứng vào phần mềm độc hại → Phần mềm độc hại được phát tán

Nạn nhân → kẻ tấn công: Để thực hiện mã hóa, phần mềm độc hại tạo ra một khóa đối xứng ngẫu nhiên và mã hóa dữ liệu của nạn nhân Ransomware sử dụng khóa công khai trong phần mềm độc hại để mã hóa khóa đối xứng, đây được gọi là

mã hóa bất đối xứng, tiếp theo sẽ gửi bản mã về máy chủ lưu trữ

Kẻ tấn công → nạn nhân: Kẻ tấn công nhận được thanh toán, giải mã các bản

mã bất đối xứng với khoá cá nhân của kẻ tấn công, và gửi khóa đối xứng tới nạn nhân để giải mã dữ liệu

Cách hoạt động của ransomware có thể tóm gọn lại thành các bước như sau:

- Lây lan tới máy tính cá nhân Thực hiện việc cài đặt các file thực thi

- Thực hiện liên hệ tới các web mà kẻ phát tán mã độc tạo ra cho tới khi có thể

- Thực hiện cung cấp cho máy chủ web một ID mà chỉ riêng máy tính cá nhân Máy chủ web của kẻ tấn công sẽ gửi lại khóa mã hóa dựa trên ID đặc trưng Chính vì vậy, khóa mã hóa cũng như khóa giải mã là đặc trưng cho từng máy tính cá nhân và không thể dùng khóa giải mã của máy này để giải mã cho một máy tính khác

- Chạy các file thực thi mã hóa dữ liệu trong máy tính các nhân mà nó có thể

mã hóa, sử dụng khóa mà máy chủ web gửi về

- Sau khi mã hóa xong sẽ gửi thông báo tơi chủ nhân máy tính để đòi tiền chuộc

Như vậy, để nạn nhân không thể tìm được khóa mã hóa cũng như không thể phát hiện ra quá trình mã hóa của ransomware thì việc truyền khóa giữa ransomware với máy chủ web phải đảm bảo bí mật tuyệt đối với nạn nhân và tốc

Trang 40

Để dễ hiểu hơn, có thể lấy ví dụ về hệ mật RSA cho hệ mật khóa công khai và hệ mật AES-128 cho hệ mật khóa đối xứng Khi sử dụng hệ mật AES-

128 để mã hóa file, ransomware sẽ random một giá trị 16byte để làm khóa mã hóa Khi ransomware thực hiện liên hệ và gửi ID đặc trưng của nạn nhân về máy chủ, máy chủ sẽ nhờ giá trị đặc trưng mà sinh ra một cặp khóa RSA và gửi lại khóa công khai về cho ransomware Tiếp theo, ransomware sẽ dùng khóa công khai nhận được để mã hóa giá trị 16byte để gửi lại cho máy chủ, máy chủ có thể dùng khóa bí mật trong cặp khóa đã sinh để giải mã nhằm thu được giá trị khóa cần thiết nếu nạn nhân gửi tiền chuộc Khi xong tất cả các bước thì thông báo đòi tiền chuộc sẽ hiện lên Lưu ý rằng các bước đã nêu ở trên có thể thực hiện một cách đồng thời ví dụ như ransomware vừa thực hiện mã hóa vừa thực hiện tìm kiếm máy chủ của nó và chỉ cần nhận được khóa công khai gửi về từ máy chủ nó sẽ lập tức gửi lại khóa mã hóa Chính vì vậy mà khi đã nhiễm ransomware và mặc dù bạn đã ngắt kết nối internet ngay thì dữ liệu vẫn bị mã hóa [5, 6]

Về RSA [5, 6]

Thuật toán RSA có hai khóa: khóa công khai (hay khóa công cộng) và

khóa bí mật (hay khóa cá nhân) Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân (bí mật) mới có thể giải mã được Điều này đảm bảo an toàn cho thông tin được chia sẻ giữa 2 người

Ngày đăng: 03/09/2018, 16:22

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1]. Bill Nelson, Amelia Phillips and Christopher Steuart. Guide to Computer Forensics and Investigations, 4th Edition, 2009 Sách, tạp chí
Tiêu đề: Guide to Computer Forensics and Investigations
[4]. Michael Sikorski and Andrew Honig. Practical Malware Analysis: The Hands- On Guide to Dissecting Malicious Software.Tiếng Việt Sách, tạp chí
Tiêu đề: Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software
[5]. GS.TS Nguyễn Bình, TS.Trần Đức Sự. Cơ Sở Lý Thuyết Mật Mã, 2006 Sách, tạp chí
Tiêu đề: Cơ Sở Lý Thuyết Mật Mã
[6]. TS. Hoàng Xuân Dậu. Bài giảng an toàn bảo mật hệ thống thông tin. Học Viện công nghệ bưu chính viễn thông 2016.Internet Sách, tạp chí
Tiêu đề: TS. Hoàng Xuân Dậu. Bài giảng an toàn bảo mật hệ thống thông tin. Học Viện công nghệ bưu chính viễn thông 2016
[7]. Spotlight on Ransomware: How ransomware work, Inter Security Knowledgeby Sarah on May 1, 2017. (Truy cập ngày 10/5/2017) http://blog.emsisoft.com/2017/05/01/how-ransomware-works/ Sách, tạp chí
Tiêu đề: Spotlight on Ransomware: How ransomware work
[8]. Trần Quang Chiến, Aprli 5,2015 (Truy cập ngày 10/5/2017)http://securitydaily.net/cac-cong-cu-phan-tich-tinh-ma-doc/ Link
[3]. EC-Council. Computer Hacking Forensic Investigator v9, January 2017 Khác

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w