Tìm hiểu về IDS SNORT và Suricata

Trojan có thể lựa chọn một trong 3 phương thức để gây hại: Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt

MỤC LỤCCHƯƠNG 1 – TỔNG QUAN VỀ MALWARE MÁY TÍNH

1.1 Định nghĩa và phân loại Malware máy tính

1.1.1 Định nghĩa

1.1.2 Phân loại

1.2 Lược sử về Malware máy tính

CHƯƠNG 2 – NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM CỦA MALWARE MÁY TÍNH2.1 Các hình thức và đối tượng lây nhiễm của Malware máy tính

2.1.1 Hình thức lây nhiễm

2.1.1.1 Malware lây nhiễm theo cách cổ điển

2.1.1.2 Malware lây nhiễm qua thư điện tử

2.1.2 Đối tượng lây nhiễm

2.3 Các cơ chế lây nhiễm của Malware máy tính

2.3.3.3 Cách thức làm việc của Trojan

CHƯƠNG 3 - TÌM HIỂU VỀ IDS/IPS

1.1 Giới thiệu về IDS/IPS

1.1.1 Định nghĩa

1.1.2 Sự khác nhau giữa IDS và IPS

1.1.3 Quy trình hoạt động của IPS

1.2 Phân loại IPS

1.2.1 Cài đặt trên Ubuntu

1.2.2 Cài đặt trên Windows

PHẦN 2 - TÌM HIỂU VỀ SNORT

2.1 Giới thiệu về Snort

2.2 Kiến trúc của Snort

2.2.1 Module giải mã gói tin

2.2.2 Module tiền xử lý

2.2.3 Module phát hiện

2.2.4 Module log và cảnh báo

2.2.5 Module kết xuất thông tin

2.3 Bộ luật của Snort

2.3.1 Cấu trúc luật Snort

2.4 Chế độ ngăn chặn của Snort : Snort – Inline

2.4.1 Tích hợp khả năng ngăn chặn vào Snort

2.4.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode

2.5 Thử nghiệm khả năng phản ứng của SnortTÀI LIỆU THAM KHẢO

LỜI NÓI ĐẦU

CHƯƠNG 1 – TỔNG QUAN VỀ MALWARE

Luận văn trình bày hai phương pháp phân loại phần mềm độc hại: phân loại phần mềm độc hại của NIST và phân loại phần mềm độc hại của Peter Szor

Phân loại của NIST

Virus

Với cách định nghĩa, phân loại này, virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính Như vậy, theo cách định nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng)

để lây lan Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm

ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó

Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch để

nó có thể thực thi trực tiếp từ hệ điều hành Các loại boot virus như (Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể là pha trộn bởi cả boot virus va file virus trong cùng một phiên bản

Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ trợ của một ứng dụng

cụ thể hoặc một dịch vụ cụ thể trong hệ thống Một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi Macro virus, scripting virus là các virus nằm trong dạng này Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc tạo và mở file để thực thi và lây nhiễm Sự khác nhau giữa macro virus và scripting virus là: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lện chạy bằng một service của hệ điều hành Melisa là một ví dụ xuất sắc về macro virus, Love Stages là ví dụ cho scripting virus

Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên

nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống Như vậy, có thể thấy rằng chỉ dùng các chương trình quét file sẽ không diệtđược worm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng Mục tiêu của worm bao gồm cả làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger, Tấn công của worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, copy file hay đóng/mở file) Worm có thể chia làm 2 loại:

Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng Sasser là ví dụ cho loại sâu này

Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công

và lây nhiễm chứ không bám vào vật chủ là email Khi sâu này lây nhiễm vào hệ thống, nó thường

cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail Netsky, Mydoom là ví

dụ cho thể loại này

Trojan Horse là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa” Trojan horse không tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại Trojan có thể lựa chọn một trong 3 phương thức để gây hại:

Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh

đó là một chương trình đánh cắp password)

Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổi một số chức năng

để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khac (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống)

Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví

dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cầnkích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)

Malicious Mobile Code là một dạng mã phần mềm có thể được gửi từ xa vào để chạy trên một hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó không nhiễm vào file và không tìm cách tự phát tán Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụng JavaScript

Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn hợp (Blended Atatck) Cuộc tấn công có thể đi tới bằng một email khi người dùng mở một email độc bằng web-browser Sau khi nhiệm vào máy này, Nimda sẽ cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác Mặt khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển file nhiễm virus tới các máy đó Đồng thời Nimda cố gắng dò quét để phát hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft Khi tìm thấy, nó sẽ copy bản thân nó vào server Nếu một web client có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”) Quá trình nhiễm virus sẽ lantràn theo cấp số nhân

Tracking Cookie là một dạng lạm dụng cookie để theo dõi một số hành động duyệt web của người

sử dụng một cách bất hợp pháp Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trangweb cụ thể nào đó của web-client Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá nhân

Attacker Tool là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc hại vào trong

hệ thống Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào

hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm Ví dụ như một hệ thống đã bị nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống Attacker tool thường gặp là backdoor

và keylogger

Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP Một cách đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh, Backdoor cũng có thể được xem xét dưới 2 dạng: Zoombie và Remote Administration ToolZoombie (có thể đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng

Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép thực hiện quyền quản trị

từ xa Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống Tấn công kiểu này

có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình của hệ thống Ví dụ về công cụ RAT là: Back Orifice, SubSeven,

Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật, Ví dụ về keylogger như: KeySnatch, Spyster,

Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi các chức năng chuẩn của hệthống thành các chức năng tiềm ẩn các tấn công nguy hiểm Ví dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor,cài keylogger Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender

Web Browser Plug-in là phương thức cài mã độc hại thực thi cùng với trình duyệt web Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt web của người dùng ( ví dụ như tênweb site đã truy nhập) sau đó gửi thông tin ra ngoài Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại ngầm định mặc dù không được phép của chủ nhân

Email Generator là những chương trình cho phép tạo ra và gửi đi một số lượng lớn các email Mã độc hại có thể gieo rắc các email generator vào trong hệ thống Các chương trình gián điệp, spam,

mã độc hại có thể được đính kèm vào các email được sinh là từ email generator và gửi tới các địa chỉ có trong sổ địa chỉ của máy bị nhiễm

Attacker Toolkit là các bộ công cụ có thể được tải xuống và cài vào hệ thống khi hệ thống đã bị khống chế bởi phần mềm độc hại Các công cụ kiểu như các bộ dò quét cổng (port scanner), bộ phá mật khẩu (password cracker), bộ dò quét gói tin (Packet Sniffer) chính là các Attacker Toolkit thường hay được sử dụng

Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã độc hại Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho ngườidùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá

nhân, ) Kẻ tấn công phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các

trang web hoặc email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng, Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấpcác thông tin bí mật về tài khoản, về mật khẩu, Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác.

Virus Hoax là các cảnh báo giả về virus Các cảnh bảo giả này thường núp dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnhbáo càng nhiều càng tốt qua email Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ

1.2 Lược sử về Malware máy tính

Có thể nói virus máy tính có một quá trình phát triển khá dài, và nó luôn song hành cùng “người bạn đồng hành” của nó là những chiếc máy tính (tuy nhiên người bạn máy tính của nó chẳng thích thú gì) Khi mà công nghệ phần mềm cũng như phần cứng phát triển thì virus cũng phát triển theo

Hệ điều hành thay đổi thì virus máy tính cũng thay đổi để có thể ăn bám, ký sinh trên hệ điều hành mới Tất nhiên là virus máy tính không tự sinh ra Chúng do con người tạo ra nên chắc chắn sẽ diệt được

Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản chỉ là một thú đùa vui (nhiều khi ác ý Nhưng những bộ óc này khiến chúng ta phải đau đầu đối phó và cuộc chiến này không bao giờ chấm dứt, nó đã, đang và sẽ luôn luôn tiếp diễn

Có nhiều tài liệu khác nhau nói về xuất xứ của virus máy tính, điều này cũng dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra một "xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay Điều đó cũng có nghĩa là không nhiều người quan tâm tới chúng Chỉ khi chúng gây ra những hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu Tuy vậy,

đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít nhiều liên quan tới những

sự kiện sau:

1983 - Để lộ nguyên lý của trò chơi “Core War”

“Core War” là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2 lập trình viên viết ra Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo gọi là Organism vào bộ nhớ máy tính Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và tái tạo Organism của mình Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất Hiện trò chơi này vẫn còn được khá nhiều người quan tâm, bạn có thể tham khảo trên trang web http://www.corewars.org/.Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson người đã viết phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận một trong những giải thưởng danh dự của giới điện toán - Giải thưởng A.M Turing Trong bài diễn văn của mình ông đã đưa ra một ý tưởng về virus máy tính dựa trên trò chơi "Core War" Cũng năm 1983, tiến sỹ Frederik Cohen đã chứng minh được sự tồn tại của virus máy tính

Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả về "Core War" và cung cấpcho độc giả những thông tin hướng dẫn về trò chơi này Kể từ đó virus máy tính xuất hiện và đi kèmtheo nó là cuộc chiến giữa những kẻ viết ra virus và những chuyên gia diệt virus

1986 - Virus Brain

Có thể được coi là virus máy tính đầu tiên trên thế giới Tháng 1 năm 1986, Brain âm thầm đổ bộ từPakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware Một nơi khác trên thế giới cũng đã mô tả sự xuất hiện của virus, đó là Đại học Hebrew - Israel

1987 - Virus Lehigh xuất hiện

Lại một lần nữa liên quan tới một trường Đại học Lehigh - Tên trường Đại học - cũng chính là tên của virus xuất hiện năm 1987 tại trường Đại học này Trong thời gian này cũng có một số virus khácxuất hiện, đặc biệt Virus Worm (virus loại sâu), cơn ác mộng với các hệ thống máy chủ cũng xuất hiện Cái tên Jerusalem chắc sẽ làm cho công ty IBM nhớ mãi với tốc độ lây lan đáng nể: 500.000 nhân bản trong 1 giờ

1988 - Virus lây trên mạng

Ngày 2 tháng 11 năm 1988, Robert Morris phát tán virus vào mạng máy tính quan trọng nhất của

Mỹ, gây thiệt hại lớn Từ đó trở đi người ta mới bắt đầu nhận thức được tính nguy hại của virus máytính

1989 - AIDS Trojan

Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa" Chúng không phải là virus máy tính vì chúng không có khả năng “tự” lây lan, nhưng chúng luôn đi cùng với khái niệm virus Những “con ngựa thành Tơ-roa" này khi đã hoạt động trên máy tính thì nó sẽ lấy cắp thông tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này muốn vận chuyển đến, hoặc đơn giản chỉ là phá huỷ

dữ liệu trên máy tính

1991 - Virus Tequila

Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy tính

Đây thực sự là loại virus phức tạp và quả thật không dễ dàng gì để diệt chúng Chúng có khả năng

tự “thay hình đổi dạng” sau mỗi lần lây nhiễm, làm cho việc phát hiện ra chúng không hề dễ dàng

"kháng sinh" nào thì tại Việt Nam một sinh viên trường Đại học Bách Khoa Hà Nội đã đưa ra giải pháp rất đơn giản để diệt trừ loại virus này, đó cũng chính là thời điểm Bkav bắt đầu được mọi người sử dụng rộng rãi trên toàn quốc

Sau này, những virus theo nguyên lý của Concept được gọi chung là Virus macro Chúng tấn công vào các hệ soạn thảo văn bản của Microsoft Office (Word, Exel, Powerpoint) Tuy nhiên ngày nay, cùng với việc mọi người không còn sử dụng các macro trong văn bản của mình nữa thì các virus macro hầu như không còn tồn tại và đang dần bị quên lãng…

1996 - Virus Boza

Khi hãng Microsoft chuyển sang hệ điều hành Windows95, họ tuyên bố rằng virus không thể công phá thành trì của họ được, thì ngay năm 1996 xuất hiện virus lây trên hệ điều hành Windows95

1999 - Virus Melissa, BubbleBoy

Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới Sâu Melissa không những kết hợp các tính năng của sâu Internet và virus marco, mà nó còn biết khai thác một công cụ mà chúng

ta thường sử dụng hàng ngày là Microsoft Outlook Express để chống lại chính chúng ta Khi máy

tính bị nhiễm Mellisa, nó sẽ “phát tán” mình đi mà khổ chủ không hề hay biết Và người sử dụng sẽ rất bất ngờ khi bị mang tiếng là kẻ phát tán virus.

Chỉ từ ngày thứ Sáu tới ngày thứ Hai tuần sau, virus này đã kịp lây nhiễm 250.000 máy tính trên thếgiới thông qua Internet, trong đó có Việt Nam, gây thiệt hại hàng trăm triệu USD Một lần nữa cuộc chiến lại sang một bước ngoặt mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài giờ đồng hồ

BubbleBoy là sâu máy tính đầu tiên không dựa vào việc người nhận e-mail có mở file đính kèm haykhông Chỉ cần thư được mở ra, nó sẽ tự hoạt động

Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu, ngoài Melissa, BubbleBoy, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26 tháng 4 năm 1999

2000 - Virus DDoS, Love Letter

Có thể coi là một trong những vụ phá hoại lớn nhất của virus từ trước đến thời điểm đó Love Letter

có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vòng 6 tiếng đồng hồ virus đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ USD

Năm 2000 cũng là năm ghi nhớ cuộc "Tấn công Từ chối dịch vụ phân tán" - DDoS (Distributed Denial of Service ) qui mô lớn do virus gây ra đầu tiên trên thế giới, nạn nhân của đợt tấn công này

là Yahoo!, Amazon.com Tấn công "Từ chối dịch vụ" – DoS - là cách tấn công gây "ngập lụt" bằngcách từ một máy gửi liên tiếp các yêu cầu vượt mức bình thường tới một dịch vụ trên máy chủ, làm ngưng trệ, tê liệt khả năng phục vụ của dịch vụ hay máy chủ đó Những virus loại này phát tán đi khắp nơi và “nằm vùng” ở những nơi nó lây nhiễm Chúng sẽ đồng loạt tấn công theo kiểu DoS vàocác hệ thống máy chủ khi người điều hành nó phất cờ, hoặc đến thời điểm được định trước

2001 – Virus Winux (Windows/Linux), Nimda, Code Red

Virus Winux đánh dấu dòng virus có thể lây được trên các hệ điều hành Linux chứ không chỉ Windows Chúng ngụy trang dưới dạng file MP3 cho download

Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm ), làm cho việc phòng chống vô cùng khó khăn Cho đến tận cuối năm 2002, ở Việt Nam vẫn còn những cơ quan với mạngmáy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu Chúng cũng chỉ ra một xu hướng mới của các loại virus máy tính là "tất cả trong một", trong một virus bao gồm nhiều virus, nhiều nguyên

lý khác nhau

2002 - Sự ra đời của hàng loạt loại virus mới

Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời Virus này lây những file SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một loại công cụ giúp làm cho các trang Web thêm phong phú) Tháng 3 đánh dấu sự ra đời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft Con sâu Net này có tên SharpA và được viết bởi một người phụ nữ

Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL Tháng 6, có vài loại virus mới ra đời: Perrun lây qua Image JPEG (có lẽ người sử dụng máy tính nên cảnh giác với mọi thứ) Scalper tấn công các FreeBSD/Apache Web server

Người sử dụng máy tính trên thế giới bắt đầu phải cảnh giác với một loại chương trình độc hại mới mang mục đích quảng cáo bất hợp pháp - Adware - và thu thập thông tin cá nhân trái phép -

Spyware (phần mềm gián điệp) Lần đầu tiên các chương trình Spyware, Adware xuất hiện như là các chương trình độc lập, không đi kèm theo các phần mềm miễn phí như trước đó Chúng bí mật xâm nhập vào máy của người dùng khi họ vô tình “ghé thăm” những trang web có nội dung không

lành mạnh, các trang web bẻ khóa phần mềm…Và với nguyên lý như vậy, ngày nay Adware và Spyware đã thực sự trở thành những "bệnh dịch" hoành hành trên mạng Internet.

2003 - Các virus khai thác lỗ hổng phần mềm

Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ của các virus khai thác lỗ hổng phần mềm để cài đặt,lây nhiễm lên các máy tính từ xa - đây cũng chính là xu hướng phát triển hiện nay của virus trên thếgiới Đầu tiên là virus Slammer khai thác lỗ hổng phần mềm Microsoft SQL 2000 servers, chỉ trong vòng 10 phút đã lây nhiễm trên 75.000 máy tính trên khắp thế giới Tiếp đến là hàng loạt các virus khác như Blaster (MsBlast), Welchia (Nachi), Mimail, Lovgate khai thác lỗi tràn bộ đệm trong công nghệ DCOM - RPC trên hệ điều hành Window2K, XP Xuất hiện trên thế giới vào ngày 11/8, virus Blaster nhanh chóng lây lan hơn 300.000 máy tính trên khắp thế giới Những người sử dụng máy tính ở Việt Nam hẳn không quên được sự hỗn loạn vì hàng loạt máy tính bị Shutdown tự động trong ngày 12/8 khi virus Blaster đổ bộ vào các máy tính ở Việt Nam

Virus cũng bắt đầu được sử dụng như một công cụ để phát tán thư quảng cáo (spam) nhanh nhất Các virus họ Sobig nổi lên như những cỗ máy phát tán một lượng thư quảng cáo khổng lồ trên khắpthế giới Cũng trong năm này, thế hệ những virus mới như Lovgate, Fizzer đã bắt đầu sử dụng những mạng chia sẻ file ngang hàng peer to peer (như KaZaa) để phát tán virus qua các thư mục chia sẻ trên mạng

2004 - Cuộc chạy đua giữa Skynet và Beagle

Cuộc chạy đua giữa hai họ virus cùng có nguồn gốc từ Đức và lây nhiễm nhiều nhất trong năm này, bắt đầu bằng việc các biến thể mới của virus Skynet khi lây nhiễm vào một máy tính sẽ tìm cách loại bỏ các virus họ Beagle ra khỏi máy đó và ngược lại Mỗi biến thể của Skynet xuất hiện trên thế giới thì gần như ngay lập tức sẽ có một biến thể của Beagle được viết ra để chống lại nó và ngược lại Cuộc chạy đua này kéo dài liên tục trong mấy tháng đã làm cho số lượng virus mới xuất hiện trong năm 2004 tăng lên một cách nhanh chóng

Năm 2004 cũng là năm xuất hiện virus khai thác lỗ hổng của dịch vụ LSASS (Local Security Authority Subsystem Service) trên hệ điều hành Window 2K, Window XP để lây lan giữa các máy tính - virus Sasser Cũng giống như virus Blaster, virus Sasser nhanh chóng gây nên một tình trạng hỗn loạn trên mạng khi làm Shutdown tự động hàng loạt máy tính mà nó lây nhiễm

2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting

Các dịch vụ chatting trực tuyến như Yahoo!, MSN bắt đầu được virus lợi dụng như một công cụ để phát tán virus trên mạng Theo thống kê của Bkav thì trong vòng 6 tháng đầu năm này, đã có tới 7 dòng virus lây lan qua các dịch vụ chatting xuất hiện ở Việt Nam Trong thời gian tới những virus tấn công thông qua các dịch vụ chatting sẽ còn tiếp tục xuất hiện nhiều hơn nữa khi số người sử dụng dịch vụ này ngày càng tăng

2006 – Người dùng trong nước quen dần với sự hiện diện của virus

Mối lo ngại từ năm trước đã trở thành sự thật Năm 2006, những người dùng dịch vụ chatting Yahoo! Messenger ở Việt Nam đã có lúc rơi vào tình cảnh ngập lụt tin nhắn chứa link độc của virus

Kể từ khi mã nguồn virus Gaixinh được công bố, “phong trào” viết virus lây qua Yahoo! Messenger

đã thực sự “nở rộ” trong nước Người dùng với ý thức cảnh giác không cao đã vô tình gián tiếp tiếp tay cho đại dịch này

Năm 2006 cũng có thể coi là thời kỳ hoàng kim của virus lây lan qua “con đường giao lưu dữ liệu” quen thuộc của chúng ta: USB Trong hầu hết các thống kê của Bkav về tình hình lây lan của virus, các virus có cơ chế lây lan qua USB luôn chiếm vị trí cao nhất Thực tế cho thấy rằng đây là một cơ chế lây lan đơn giản nhưng rất hiệu quả vì dường như rất khỏ bỏ thói quen mở USB ngay khi chúngđược cho vào máy

Đến đây chúng ta đã nhìn nhận được phần nào lịch sử phát triển của virus máy tính, chúng cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao Đây cũng chính là lý do mà các phần mềm diệt virus luôn phải phát triển song hành để phòng chống, tiêu diệt chúng Và nếu bạn sử

dụng máy tính, chúng tôi khuyên bạn nên cảnh giác bởi như bạn đã thấy, dường như tất cả mọi thứ đều có thể bị nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ xâm nhập vào máy tính thông qua tất cả những con đường có thể.

Bạn hãy trang bị cho mình giải pháp xử lý, phòng chống virus hiệu quả, và nếu chúng tôi có thể làm

gì cho bạn, chúng tôi sẽ gắng hết sức mình như là những “bác sĩ máy tính” cho “bệnh nhân” uống kháng sinh vậy

CHƯƠNG 2 – NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM CỦA MALWARE MÁY TÍNH

2.1 Các hình thức và đối tượng lây nhiễm của Malware máy tính

2.1.1 Hình thức lây nhiễm

2.1.1.1 Malware lây nhiễm theo cách cổ điển

Lây lan qua USB

Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk… ), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước

Lây lan qua Yahoo!Messenger

Những loại virus kiểu này có một thời rất được thịnh hành ở Việt Nam vì khả năng lây lan với tốc

độ cao của nó Thỉnh thoảng bạn gặp một vài tin nhắn rất hấp dẫn của bạn bè gửi cho và sau đó là đường link đến một trang web lạ nào đó

Đại loại như: click vào đây đi, hay lắm http://[web link]…

Và nếu ai không cảnh giác sẽ vô tình click vào, đột nhiên cửa sổ IE của bạn bị đơ cứng lại trong vài giây Virus đã được tự động down về máy và kích hoạt, chỉ vài giây sau bạn sẽ gửi đi những tin nhắn vô tình gây hại cho người khác giống như bạn bè của bạn

Lây lan qua trình duyệt truy cập web

Giống như cách lây lan qua Yahoo Messenger, khi bạn truy cập vào đường link (một trang web) nào

đó, bạn sẽ vô tình vào phải các trang web bị nhiễm mã độc (dạng VBScript) Cách giải quyết giống như trên, sử dụng các trình duyệt có tính bảo mật tốt không hỗ trợ vbscript để truy cập web

2.1.1.2 Malware lây nhiễm qua thư điện tử

Tiện ích email thì chắc không ai còn lạ gì rồi, nhất là nếu bạn hay check mail, công việc khiến bạn phải tiếp xúc với email nhiều Bạn rất khó phân biệt được email nào có nội dung tốt, xấu hay chỉ là spam Hacker đã lợi dụng email để “giả dạng” một e mail với môt địa chỉ bất kì nào mà họ muốn, với nội dung là một tấm thiệp, một file attach hay đường link nào đó Đó đều là những file malware gây nguy hiểm cho máy tính Vậy làm sao để nhận dạng?

Cách ngăn chặn:

Phần này chủ yếu dựa trên kinh nghiệm hiểu biết của bạn Bạn nên cảnh giác với những bức mail cónội dung chung chung Giả sử như ở phần đầu của bức mail không có phần Gửi/Chào… Hoặc không ghi rõ tên: Gửi bạn/Chào bạn… những bức mail dạng này mà kèm theo attach file hay đườnglink nào đó thì bạn đừng nên down về, hoặc bạn nên quét virus cẩn thận trước khi chắc chắn mở nó

ra

Lây lan vào các tệp tin thực thi

Một ngày chủ nhật nào đó, bạn lướt web và tìm kiếm các phần mềm tiện ích để download về Những trang web bạn truy cập đều là các trang web sạch (không chứa mã độc, không có virus và cóthể là các trang web có uy tín) Nhưng dù vậy, bạn vẫn có nguy cơ bị dính virus mà không biết mình

Hacker sau khi download một ứng dụng nguyên bản từ trên mạng về, sẽ sử dụng một phần mềm

“exe joiner” nào đó để có thể đính 2 tệp exe vào với nhau Rồi tiếp tục đem lên các trang web khác phát tán ứng dụng đã được đính virus Nguyên lý của việc đính exe này có thể hiểu đơn giản như sau:

• Virus sẽ được quẳng vào cuối file của ứng dụng (hoặc một nơi nào đó không làm ảnh hưởng tới

• Sau khi chạy ứng dụng, virus sẽ được tự động extra ra thư mục temp (thư mục tạm của window)rồi tự động chạy tệp exe vừa được extra ra

Cách ngăn chặn việc này rất khó, vì hacker có trăm phương nghìn kế để che mắt chúng ta Ta chỉ có

Nếu bạn đã biết qua cấu trúc của một tệp exe chắc cũng biết phần MZ ở đầu một tệp exe, khi nóđược đính vào ứng dụng sẽ có một phần dấu hiệu nhận biết nào đó

Thông thường thì trong một tệp exe chỉ có một cụm chữ MZ, nếu có 2 cụm và ở phía trước có mộtdấu hiệu lạ nào đó thì tệp setup đã bị “dính virus” Bạn nên xóa tệp đó và báo cho nhà cung cấphoặc nơi lưu trữ ứng dụng biết để không làm nhiều người khác bị nhiễm

Trên thực tế thì các phần mềm diệt virus hiện nay đều có tính năng nhận dạng những kiểu “đính”virus lộ liễu như thế này Nhưng vì khả năng phòng thủ và tấn công luôn luôn song hành nên bạnkhó lòng có thể tránh khỏi Bài viết này giúp bạn nắm bắt qua một số nguyên nhân khiến máynhiễm virus, giúp bạn có chút kiến thức tự phòng tránh & ngăn chặn

2.1.2 Đối tượng lây nhiễm

Các tập tin trên hệ điều hành Windows mang đuôi

mở rộng sau có nhiều khả năng bị Malware tấn công:

.bat: Microsoft Batch File (tệp xử lý theo lô)

.chm: Compressed HTML Help File (tệp tài liệu

dưới dạng nén HTML)

.cmd: Command file for Windows NT (tệp thực thi

của Windows NT)

.com: Command file (program) (tệp thực thi).8

.cpl: Control Panel extension (tệp của Control

Panel)

.doc: Microsoft Word (tệp của chương trình

Microsoft Word)

.exe: Executable File (tệp thực thi)

.hlp: Help file (tệp nội dung trợ giúp người dùng)

.hta: HTML Application (ứng dụng HTML)

.js: JavaScript File (tệp JavaScript).

.jse: JavaScript Encoded Script File (tệp mã hóa

JavaScript)

.lnk: Shortcut File (tệp đường dẫn)

.msi: Microsoft Installer File (tệp cài đặt)

.pif: Program Information File (tệp thông tin

chương trình)

.reg: Registry File

.scr: Screen Saver (Portable Executable File)

.sct: Windows Script Component

.shb: Document Shortcut File

.shs: Shell Srap Object

.vb: Visual Basic File

.vbe: Visual Basic Encoded Script File.9

.vbs: Visual Basic File

.wsc: Windows Script Component

.wsf: Windows Script File

.wsh: Windows Script Host File

.{*}: Class ID (CLSID) File Extensions

2.3 Các cơ chế lây nhiễm của Malware máy tính

Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi động của bạn sẽ được thực thi Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix ) Sau khi nạp xong hệ điều hành, bạn mới có thể bắt đầu sử dụng máy Đoạn mã nói trên thường được để

ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là Boot sector

Virus Boot là tên gọi dành cho những virus lây vào Boot sector Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên

Virus File

Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ điều hành Windows, như các file có đuôi mở rộng com, exe, bat, pif, sys Khi bạn chạy một file chương trình đã bị nhiễmvirus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn

để lây vào Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi virus Macro cũng lây vào file, tại sao lại không gọi là virus File? Câu trả lời nằm ở lịch sử phát triển của virus máy tính Như bạn đã biết quaphần trên, mãi tới năm 1995 virus Macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File.

Tuy nhiên, bạn cũng không phải quá lo lắng về loại virus này vì thực tế các loại virus lây file ngày nay cũng hầu như không còn xuất hiện và lây lan rộng nữa Khi máy tính của bạn bị nhiễm virus lâyfile, tốt nhất bạn nên sử dụng phần mềm diệt virus mới nhất để quét toàn bộ ổ cứng của mình và liên hệ với nhà sản xuất để được tư vấn, hỗ trợ

Virus Macro

Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính (Microsoft Excel) hay các file trình diễn (Microsoft Power Point) trong bộ Microsoft Office Macro là tên gọi chung của những đoạn mã được thiết kế để bổ sung tính năng cho các file của Office Chúng ta có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tác giống nhau Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó bằng một yêu cầu duy nhất

Ngày nay, trên thực tế các loại virus Macro cũng gần như đã "tuyệt chủng" và hầu như không ai còn

sử dụng đến các macro nữa Bkav có một tuỳ chọn là diệt Xóa tất cả Macro, All Macros, khi chọn tuỳ chọn này, Bkav sẽ xoá tất cả các macro có trong máy mà không cần biết chúng có phải là virus hay không, điều này đồng nghĩa với việc tất cả các virus macro có trong máy cũng sẽ bị diệt theo Nếu bạn không dùng đến macro hay cũng chẳng để ý nó là cái gì thì bạn nên dùng tuỳ chọn này, nó

sẽ giúp bạn loại bỏ nỗi lo với những virus macro bất kể chúng vừa xuất hiện hay xuất hiện đã lâu Trong trường hợp bạn có sử dụng macro cho công việc của mình thì không nên chọn tuỳ chọn này (khi bạn không chọn tuỳ chọn Xóa tất cả Macro thì Bkav chỉ diệt những macro đã được xác minh chính xác là virus)

2.3.1.3 Cách thức làm việc của Virus

Dựa trên hành vi, Virus được chia thành 2 loại:

Nonresident viruses và Resident viruses

Nonresident viruses tìm kiếm các máy chủ có thể bị nhiễm và lây nhiễm sang các mục tiêu này và cuối cùng chuyển điều10 khiển tới chương trình ứng dụng mà chúng lây nhiễm Resident viruses không tìm kiếm các máy chủ mà thay vào đó, chúng tải vào bộ nhớ để thực thi và kiểm soát chươngtrình chủ Virus này được hoạt động ở chế độ nền và lây nhiễm vào các máy chủ mới khi các tập tin được truy cập bởi các chương trình hoặc hệ điều hành ở máy tính khác Nonsident viruses bao gồm một mô-đun tìm kiếm và một mô-đun nhân bản Các mô-đun tìm kiếm chịu trách nhiệm cho việc tìm kiếm các tập tin mới để lây nhiễm Với mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó

sẽ gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này Resident viruses gồm một mô-đun nhân bản hoạt động tương tự như mô-đun nhân bản của Nonsident viruses Tuy nhiên, mô-đun nhânbản này không được gọi bởi mô-đun tìm kiếm Virus tải mô-đun nhân bản vào trong bộ nhớ khi nó được kích hoạt và mô-đun này thực thi tại thời điểm hệ điều hành thực hiện một hoạt động nhất định nào đó

b Phân loại theo phương tiện lan truyền và cơ chế phân phối

Những phương tiện lây nhiễm cũng có thể ảnh hưởng tới tốc độ và kỹ thuật tàng hình của một con sâu Một con sâu có thể chủ động lây lan từ máy này sang máy khác, hoặc có thể được mang theo như là một phần của những giao tiếp bình thường

– Tự thực hiện

– Kênh thứ hai

– Nhúng

c Phân loại theo đối tượng kích hoạt

Phương tiện kích hoạt sâu trên một host lưu trữ ảnh hưởng đáng kể tới việc lây nhiễm

của sâu Một vài sâu có thể được kích hoạt để lây nhiễm ngay lập tức, nhưng cũng có những

sâu có thể phải chờ vài ngày hoặc vài tuần để được kích hoạt

– Kích hoạt bởi con người

– Kích hoạt dựa vào hoạt động của con người

– Quy trình kích hoạt theo lịch

– Tự kích hoạt

d Phân loại theo chức năng

Ngoài mục đích lan truyền trên Internet sâu còn có thể thực hiện các mục đích khác nhau phụ thuộc vào mục tiêu của cuộc tấn công hay ý định của kẻ viết ra sâu Các loại sâu khác nhau sẽ thực hiện nhiệm vụ khác nhau của những kẻ tấn công

– Tạo lưu lượng giả

– Điều khiển từ xa qua mạng Internet

– Phát tán thư rác

– Chuyển hướng trang web thông qua HTML-Proxies

– Tấn công từ chối dịch vụ DOS qua Internet

– Thu thập thông tin

– Phá hủy dữ liệu

– Điều khiển thiết bị vật lý từ xa

– Tấn công lớp vật lý

– Duy trì và cập nhật phiên bản mới

Phân biệt worm và các loại mã độc khác

Ngày nay các mã độc được thiết kế ít mang đặc điểm riêng biệt một loại cụ thể mà thường có nhiều khả năng, đặc điểm của nhiều loại khác nhau Ví dụ biến thể worm có thể có khả năng đánh cắp dữ liệu giống như spyware hoặc mở cổng hậu như backdoor…Cũng chính vì vậy người sử dụng thường khó phân biệt hoặc nhầm lẫn giữa các loại mã độc Một số đặc điểm chính sau đây để phân biệt giữa các loại mã độc:

– Virus thường phá hoại tệp tin: chiếu theo khái niệm virus, một loại virus là một chương trình tự nhân bản và lây nhiễm một máy tính, lây lan từ một tập tin khác, và sau đó từ một máy tính khác khi các tập tin được sao chép hoặc chia sẻ Vì vậy virus thường mang cơ chế mạnh để lây nhiễm filetrong hệ thống và chúng phá hoại, hỏng tệp tin bị nhiễm.

– Spyware đánh cắp thông tin: Spyware là bất kỳ phần mềm cài đặt trên máy tính của người sử dụng để thu thập thông tin mà người sử dụng không biết, và gửi thông tin lại tới mục tiêu xác định trước để có thể sử dụng thông tin cá nhân theo một cách bất chính Điều này có thể bao gồm

keylogging (ghi lại thao tác gõ bàn phím) để tìm mật khẩu, xem thói quen tìm kiếm, thay đổi địa chỉtrang chủ của trình duyệt và tìm kiếm lịch sử các trang web, hoặc đánh cắp mật khẩu và số thẻ tín dụng…

– Trojan dùng để cài đặt, mở cửa sau(backdoor): mã độc thuộc loại trojan là những phần mềm ứng dụng mà có hành vi bí mật tải về và cài đặt mã độc hại khác mà không hề hay biết Trong nhiều trường hợp, trojan sẽ tạo ra một backdoor, cho phép máy tính của bị kiểm soát từ xa, hoặc là trực tiếp hoặc là một phần của mạng botnet là một mạng lưới các máy tính cũng bị nhiễm một trojan hoặc phần mềm độc hại khác Sự khác biệt lớn giữa một vi rút và một trojan được rằng trojan không

tự nhân bản, họ phải được cài đặt bởi một người dùng vô tình

– Worm lây lan qua mạng: Sâu máy tính sử dụng mạng để nhân bản của chính mình đến các máy tính khác, thường khai thác sử dụng một lỗ hổng bảo mật nào đó để nhân bản tới một máy khác, sự nhân bản này mang tính tự động mà không cần sự can thiệp của người dùng Bởi vì chúng có thể lây lan rất nhanh trên mạng, lây nhiễm vào các máy tính vào trên con đường mà chúng nhằm tới, chúng có xu hướng trở thành loại mã độc nổi tiếng nhất, mặc dù nhiều người dùng vẫn nhầm lẫn gọichúng là virus

– Ransomware mã hóa dữ liệu, tống tiền: là loại malware sử dụng một hệ thống mật mã để mã hóa

dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại Đây là loại malware sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại Một trong những đại diện nổi tiếng nhất của loại malware này có tên là CryptoLocker, nó sẽ tiếnhành “bắt cóc” dữ liệu trên máy bị nhiễm của người dùng, và sử dụng dữ liệu bị mã hóa làm con tin

và yêu cầu người sử dụng chi trả hàng trăm USD để “chuộc” lại dữ liệu

2.3.2.3 Cách thức làm việc của Worm

Yếu tố ban đầu của Worm là một đoạn mã độc hại có vai trò như một công cụ xâm nhập các lỗ hổngbảo mật nằm trên máy tính và khai thác chúng Worm sẽ được truyền đi thông qua lỗ hổng này Mộtkhi các đoạn mã độc hại đã được lây nhiễm vào máy, Worm sẽ sử dụng một công cụ được thiết kế

để dò tìm, phát hiện các máy tính khác được kết nối vào mạng Từ đó, nó quét các máy tính trên mạng để xác định vị trí các lỗ hổng, sau đó Worm sẽ sử dụng công cụ xâm nhập để truy cập vào cácmáy tính này

Command shell Trojan

Lệnh Trojan Shell cho phép điều khiển từ xa lệnh Shell trên máy tính của nạn nhân

Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng để cho Attacker kết nối đến.

Một máy trạm được trên máy của Attacker, trong đó nó được sử dụng để chạy lênh shell trên máy tính của nạn nhân

Email Trojans

Attacker điều khiển tự xa máy tính của nạn nhân bằng cách gửi một email

Attacker có thể lấy file hoặc thư mục bằng cách gủi lệnh thông qua email

Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc

Proxy sever Trojans

Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy tính của nạn nhân như một Proxy để kết nối Internet

Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân

Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật nàyFTP Trojans

FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP

Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP để tải bất kỳ file nào tồntại trên máy tính của nạn nhân

VNC Trojans

VNC Trojan bắt đầu một VNC Server deamon trong hệ thông bị nhiễm Nó kết nối đến nạn nhân bằng cách sử dụng bất kỳ VNC viewer nào với mật khẩu “secret” Khi chương trình VNC được xemxét kỹ lưỡng, thì Trojan sẽ không bao giờ bị phát hiện bởi trình chống Virus

2.3.3.3 Cách thức làm việc của Trojan

Trojan thường gồm hai thành phần là client và server, khi máy tính của người sử dụng bị lây nhiễmTrojan thì chúng sẽ biến thành server và một cổng sẽ bị mở ra, chúng sẽ dùng client để kết nối tới IPcủa nạn nhân

Server sẽ ẩn trong bộ nhớ và nó tạo nên những thay đổi trong hệ thống

Trojan sẽ tạo thêm đường khởi động vào registry hoặc trong các file autoexec.bat, win.ini hoặc các file hệ thống khác, do vậy mà server sẽ tự khởi động khi Windows làm việc trong các phiên tiếp theo

CHƯƠNG 3 - TÌM HIỂU VỀ IDS/IPS

1.1 Giới thiệu về IDS/IPS

1.1.1 Định nghĩa

Hệ thống phát hiện và ngăn chặn xâm nhập IPS (Instrusion prevention systems) là

hệ thống có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như cáchành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việclàm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống

IPS được tích hợp bởi IDS và hệ thống ngăn cản xâm nhập.Các thành phần chính

của IDS gồm :

- Trung tâm điều khiển (The Command Console): là nơi mà IDS được giám sát và

quản lí Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm

điều khiển có thể được truy cập từ bất cứ nơi nào Tóm lại Trung tâm điều khiển

duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã

hóa, và nó là một máy chuyên dụng

- Bộ cảm biến (Network Sensor): là chương trình chạy trên các thiết bị mạng hoặc

máy chuyên dụng trên các đường mạng thiết yếu Vai trò của bộ cảm biến là dùng

để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên

quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ

- Bộ phân tích gói tin(Network Trap): là một thiết bị phần cứng được kết nối trên

mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi cảnh báo

khi phát hiện ra hành động xâm nhập

- Thành phần cảnh báo (Alert Notification): Thành phần cảnh báo có chức năng gửinhững cảnh báo tới người quản trị Trong các hệ thống IDS hiện ại, lời cảnh báo

có thể ở dưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP

1.1.2 Sự khác nhau giữa IDS và IPS

Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và

“ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnhbáo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong khi đó, một hệthống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theocác quy định được người quản trị thiết lập sẵn

Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng Một số hệ thống IDS đượcthiết kế với khả năng ngăn chặn như một chức năng tùy chọn Trong khi đó một số hệthống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo đúngnghĩa

Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy thuộcvào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách an ninh củanhững người quản trị mạng Trong trường hợp các mạng có quy mô nhỏ, với một máychủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữaphát hiện, cảnh báo và ngăn chặn của nó Tuy nhiên với các mạng lơn hơn thì chức năngngăn chặn thường được giao phó cho một sản phẩm chuyên dụng như một firewall chẳnghạn Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đếnmột hệ thống ngăn chặn khác Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo anninh cho mạng trở nên linh động và hiệu quả hơn

41.1.3 Quy trình hoạt động của IPS:

- Một host tạo ra một gói tin mạng

- Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó đượcgửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho nó có thể đọc tất

cả các gói tin)

- Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có dấuhiệu vi phạm hay không Khi có dấu hiệu vi phạm thì một cảnh báo sẽ được tạo ra

và gửi đến giao diện điều khiển

- Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một

người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa sổ popup,

trang web v.v )

- Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này

- Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộ hoặctrên cơ sở dữ liệu)

- Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra

- Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải là cuộctấn công hay không

- Nếu xác định được là có cuộc tấn công tín hiệu báo hiệu sẽ được gửi đến modul

phản ứng Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng

ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị Tại modul này, nếu chỉ

đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được

gọi là hệ thống phòng thủ bị động.Modul phản ứng này tùy theo hệ thống mà có

các chức nǎng và phương pháp ngǎn chặn khác nhau:

• Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin

nhằm phá huỷ tiến trình bị nghi ngờ

• Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn

đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn

công

5• Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản

trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về

• Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ

thống các tệp tin log Mục đích để các người quản trị có thể theo dõi các

luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn công

hoạt động

• Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản

trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra Sự cấu hình

lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi người dùng

đặc biệt trong khi cảnh báo tới người quản trị

1.2 Phân loại IPS

Cách thông thường nhất để phân loại các hệ thống IPS (cũng như IDS) là dựa vào

đặc điểm của nguồn dữ liệu thu thập được Trong trường hợp này, các hệ thống IPS đượcchia thành các loại sau:

1.2.1 NIPS

Network-based IPS (NIPS) được đặt giữa kết nối hệ thống mạng bên trong và

mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra Hệ thống IPS dựa trên mạng sẽkiểm tra các giao tiếp trên mạng với thời gian thực (real-time) Nó kiểm tra các giao tiếp,quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các6đoạn mã nguy hiểm hay các dạng tấn công khác nhau Một Network-Based IPS hoạt độngtin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vàobăng thông (bandwidth-based) của tấn công Denied of Service (DoS).Loại IPS này dùng

để ngăn chặn sự xâm nhập từ bên ngoài vào nội mạng

Ưu điểm:

- Quản lí được một mạng gồm nhiều host

- Trong suốt với người sử dụng lẫn kẻ tấn công

- Chi phí thấp : Do chỉ cần cài đặt NIPS ở những vị trí trọng yếu là có thể giám sát

lưu lượng toàn mạng nên hệ thống không cần phải nạp các phần mềm và quản lý

trên các máy toàn mạng

- Khó xoá bỏ dấu vết (evidence): Các thông tin lưu trong log file có thể bị kẻ đột

nhập sửa đổi để che dấu các hoạt động xâm nhập NIPS sử dụng lưu thông hiện

hành trên mạng để phát hiện xâm nhập Vì thế, kẻ đột nhập không thể xoá bỏ đượccác dấu vết tấn công Các thông tin bắt được không chỉ chứa cách thức tấn công

mà cả thông tin hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập

- Độc lập với OS: Lỗi hệ thống không có ảnh hưởng đáng kể nào đối với công việccủa các máy trên mạng Chúng chạy trên một hệ thống chuyên dụng dễ dàng càiđặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắmchúng vào trong mạng tại một vị trí cho phép nó kiểm soát các cuộc lưu thôngnhạy cảm

- Có thể xảy ra trường hợp báo động giả Không thể phân tích được các traffic đãđược mã hóa, lỗi này càng trở nên trầm trọng khi nhiều công ty và tổ chức đang ápdụng mạng riêng ảo VPN

7- Hạn chế về hiệu năng: NIPS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin trênmạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các cuộctấn công thực hiện vào lúc "cao điểm"

- Một số hệ thống NIPS cũng gặp khó khăn khi phát hiện các cuộc tấn công mạng

từ các gói tin phân mảnh Các gói tin định dạng sai này có thể làm cho NIPS hoạtđộng sai và đổ vỡ

- Tăng thông lượng mạng: Một hệ thống phát hiện xâm nhập có thể cần truyền mộtdung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có nghĩa là một gói tinđược kiểm soát sẽ sinh ra một lượng lớn tải phân tích Để khắc phục người tathường sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các lưuthông được truyền tải Họ cũng thường thêm các chu trình tự ra các quyết định vàocác bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị hiển thị trạng tháihoặc trung tâm truyền thông hơn là thực hiện các phân tích thực tế Điểm bất lợi là

nó sẽ cung cấp rất ít thông tin liên quan cho các bộ cảm biến; bất kỳ bộ cảm biếnnào sẽ không biết được việc một bộ cảm biến khác dò được một cuộc tấn công.Một hệ thống như vậy sẽ không thể dò được các cuộc tấn công hiệp đồng hoặcphức tạp

- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động Khi báo độngđược phát hiện, hệ thống có thể đã bị tổn hại

1.2.2 HIPS

Bằng cách cài đặt một phần mềm trên máy chủ, IPS dựa trên máy chủ quan sát tất cảnhững hoạt động về hệ thống và các file log, lưu lượng mạng thu thập Hệ thống dựa trênmáy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử và những thông điệp báo lỗitrên hệ thống máy chủ HIPS thường được cài đặt trên một máy tính nhất định thay vìgiám sát hoạt động của một network, HIPS chỉ giám sát các hoạt động trên một máy tính.HIDS thường được đặt trên các host quan trọng và các server Nhiệm vụ của HIPS là theodõi các thay đổi trên hệ thống gồm:

• Có khả năng xác định được user liên quan tới một sự kiện

• Giám sát được hoạt động cụ thể của hệ thống

• HIPS có khả năng phát hiện tấn công diễn ra trên một máy ,NPIS không làm được

việc này

• Có thể phân tích các dữ liệu mã hóa

• Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn

(FTP Server, WebServer) nên HIPS không yêu cầu phải cài đặt thêm các phần

cứng khác

Nhược điểm của HIPS:

• Chiếm tài nguyên hệ thống : Do cài đặt trên các máy cần bảo vệ nên HIPS phải sử

dụng các tài nguyên của hệ thống để hoạt động

• Thông tin từ HIPS là không tin cậy ngay khi sự tấn công vào host hành công

• HIPS phải được thiết lập trên từng host cần giám sát dẫn đến khó quản trị

• HIPS không có khả năng phát hiện các cuộc dò quét mạng

• Khi OS bị hạ do tấn công thì HIPS cũng bị hạ

PHẦN 1 - TÌM HIỂU VỀ SURICATA

1.1 Giới thiệu về Suricata

Nếu các bạn đã từng làm việc với Snort thì việc làm quen với Suricata là điều không hề khó khăn.Suricata là hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mã nguồn mở Suricata là công cụ IDS/IPS miễn phí, dựa trên luật để theo dõi lưu lượng mạng, đưa ra cảnh báo nếu có sự kiện bất thường xảy ra

Được thiết kế để tương thích với các thành phần an ninh mạng trong hệ thống hiện nay Suricata là công cụ giám sát đa luồng, tăng tốc độ xử lý trong việc phân tích lưu lượng mạng và được thiết kế

để tận dụng tốt nhất sức mạnh phần cứng

1.2 Cách cài đặt

1.2.1 Cài đặt trên Ubuntu

Đầu tên cập nhật sau đó cài những gói cần thiết cho việc cài đặt

#apt-get update

# apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4