TRƯỜNG ĐẠI HỌC KỸ THUẬT KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO CHUYÊN ĐỀ Học phần: An toàn dịch vụ mạng TÌM HIỂU VỀ TẤN CƠNG PHÁT TÁN MÃ ĐỘC QUA THƯ ĐIỆN TỬ, MƠ PHỎNG VÀ BIỆN PHÁP PHỊNG CHỐNG Nhóm học viên: Cao Hoang Nguyen Bắc Ninh, tháng 10 năm 2019 i TRƯỜNG ĐẠI HỌC KỸ THUẬT KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO CHUYÊN ĐỀ Học phần: An tồn dịch vụ mạng TÌM HIỂU VỀ TẤN CƠNG PHÁT TÁN MÃ ĐỘC QUA THƯ ĐIỆN TỬ, MÔ PHỎNG VÀ BIỆN PHÁP PHỊNG CHỐNG Nhóm học viên: Cao Hoang Nguyen Bắc Ninh, tháng 10 năm 2019 ii MỤC LỤC DANH MỤC HÌNH ẢNH v DANH MỤC BẢNG vii DANH MỤC TỪ VIẾT TẮT viii Mở đầu CHƯƠNG Tổng quan thư điện tử mã độc 1.1 Tổng quan thư điện tử 1.1.1 Khái niệm thư điện tử 1.1.2 Lịch sử phát triển thư tín 1.1.3 Kiến trúc hoạt động hệ thống thư điện tử 1.1.4 Các mô hình giao thức sử dụng thư điện tử 1.2 Tổng quan mã độc 14 1.2.1 Khái niệm mã độc 14 1.2.2 Phân loại mã độc 15 1.2.3 Mục đích mã độc 16 1.2.4 Tác hại mã độc 17 1.2.5 Cách thức lây nhiễm mã độc 18 1.2.6 Phân tích số dạng mã độc 20 1.2.7 Xu hướng phát triển mã độc tương lai 30 CHƯƠNG TẤN CÔNG PHÁT TÁN MÃ ĐỘC QUA THƯ ĐIỆN TỬ VÀ BIỆN PHÁP PHÒNG CHỐNG 34 2.1 Phương thức công phát tán mã độc qua thư điện tử 34 2.1.1 Lừa đảo thư điện tử 34 2.1.2 Giả mạo thư điện tử 37 iii 2.1.3 Phát tán qua thư rác 38 2.2 Phương thức lây nhiễm mã độc qua thư điện tử 42 2.2.1 Lây nhiễm vào tệp đính kèm theo thư điện tử (Attached mail) 42 2.2.2 Lây nhiễm mở liên kết thư điện tử 43 2.2.3 Lây nhiễm mở để xem thư điện tử 44 2.3 Biện pháp phòng chống 46 2.3.1 Phòng tránh email phishing 46 2.3.2 Phòng chống mã độc 47 2.3.3 Người dùng sử dụng thư điện tử 48 2.3.4 Sử dụng phần mềm diệt virus 53 CHƯƠNG MÔ PHỎNG TẤN CÔNG PHÁT TÁN MÃ ĐỘC VÀ CÁCH PHÒNG CHỐNG 58 3.1 Tấn công phát tán mã độc 58 3.2 Mô lọc thư rác dùng phần mềm VinaCIS AntiSPAM 63 3.2.1 Giới thiệu phần mềm VinaCIS AntiSAMP 63 3.2.2 Sử dụng phần mềm VinaCIS AntiSPAM 63 KẾT LUẬN 69 TÀI LIỆU THAM KHẢO iv DANH MỤC HÌNH ẢNH Trang Hình 1.1 Tổng quan thư điện tử Hình 1.2 Sự phát triển thư điện tử Hình 1.3 Các thành phần thư điện tử Hình 1.4 Truy vấn DNS thư điện tử Hình 1.5 Thư điện tử gửi qua trạm Hình 1.6 Quá trình xử lý mơ hình offline Hình 1.7 Quá trình xử lý SMTP 10 Hình 1.8 Quá trình xử lý POP 12 Hình 1.9 Các loại mã độc 15 Hình 1.10 Mã độc lấy cắp thông tin không bảo vệ 17 Hình 1.11 Virus máy tính 20 Hình 1.12 Cảnh báo Trojan 22 Hình 1.13 Cảnh báo Worm 24 Hình 1.14 Hacker cơng máy tính qua cửa sau Backdoor 26 Hình 1.15 Thơng báo đòi tiền chuộc Gandcrab 28 Hình 1.16 Nội dung email giả mạo “Goi Cong an Nhan dan Viet Nam” Mã độc tống tiền GandCrab 5.2 29 Hình 1.17 Thống kê số lượng mã độc Android 31 Hình 2.1 Lừa đảo thư điện tử 34 Hình 2.2 Liên kết email chứa mã độc 44 Hình 2.3 Microsoft Outlook 45 Hình 2.4 Email lừa đảo với tiêu đề “Quà tặng giáng sinh” 51 Hình 2.5 Mơ hình Firewall tích hợp ứng dụng qt virus 53 Hình 2.6 Mơ hình qt virus máy chủ thư 55 Hình 2.7 Quét virus thực trạm người sử dụng 56 v Hình 3.1 Emal có nội dung hấp dẫn 58 Hình 3.2 Người nhận email tải xuống file đính kèm 58 Hình 3.3 Nội dung file Word document 59 Hình 3.4 Mã độc chạy đến mã hóa xong liệu máy tính nạn nhân 60 Hình 3.5 Các tập tin sau bị mã hóa 61 Hình 3.6 Cửa sổ thông báo mã độc 61 Hình 3.7 Cửa sổ thông báo mã độc 62 Hình 3.8 Cửa sổ thơng báo mã độc 62 Hình 3.9 Giao diện phần mềm VinaCIS AntiSAMP 64 Hình 3.10 Thơng tin tài khoản dùng VinaCIS AntiSAMP 64 Hình 3.11 Danh sách thư rác 65 Hình 3.12 Danh sách email rác 65 Hình 3.13 Danh sách email 66 Hình 3.14 Danh sách tên miền rác 66 Hình 3.15 Danh mục thư rác email bạn 68 Hình 3.16 Thơng tin thư rác 68 vi DANH MỤC BẢNG Trang Bảng 1.1 So sánh đặc điểm mơ hình Bảng 1.2 Danh sách lệnh SMTP 11 Bảng 1.3 Danh sách lệnh giao thức POP3 13 vii DANH MỤC TỪ VIẾT TẮT Từ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt EMAIL Electronic Email Thư điện tử IMAP Internet Message Access Protocol Giao thức sử dụng để nhận mail (port 143) POP Post Office Protocol Giao thức sử dụng để nhận mail (port 110) SMTP Simple Mail Transfer Protocol MUA Mail User Agent Trạm người dùng gửi thư MDA Mail Tranfer Agent Trạm chuyển thư MTA Mail Delivery Agent Trạm nhận thư viii Giao thức sử dụng để gửi email (port 25) MỞ ĐẦU Thư điện tử (email) phương thức trao đổi tin nhắn người sử dụng thiết bị điện tử, hệ thống chuyển nhận thư từ qua mạng máy tính Sự đời thư điện tử đánh dấu bước đột phá q trình trao đổi thơng tin Thời gian nhận thư nhanh chóng, đính kèm nhiều định dạng ảnh, video, ghi âm… cách dễ dàng Phát tán mã độc (Malware) thực trở thành ngành “Công nghiệp” hoạt động gián điệp phá hoại hệ thống phần mềm Mã độc phát tán hầu hết quan quan trọng từ quan Chính phủ, Quốc hội, tới quan tài ngân hàng, viện nghiên cứu, trường đại học… Các phần mềm chứa mã độc tồn nhiều hình thức có khả lây lan vơ lớn Khơng dừng lại đó, mã độc lây lan đa tảng không giới hạn máy tính cá nhân mà lây lan sang thiết bị thông minh smartphone Trong thời gian gần đây, việc phát tán mã độc, lây lan phần mềm độc hại qua thư điện tử trở nên phổ biến hết Hiện phương pháp phòng chống vấn đề nhà quản trị hệ thống mạng quan tâm Nhiều phương pháp, công cụ đề xuất, nhiên nhìn chung cơng cụ tỏ chưa thực hiệu Chính lý đó, cần phải có biện pháp tổng thể để đảm bảo an toàn tất thành phần Từ lý thực tế chúng em chọn nghiên cứu đề tài “Tìm hiểu công phát tán mã độc qua thư điện tử, mô biện pháp phòng chống” với mục đích tiếp cận, tìm hiểu hiểm họa cũng phương pháp phòng chống tương ứng thư điện tử Bài báo cáo tập trung nghiên cứu tổng quan thư điện tử mã độc, tìm hiểu hiểm họa mã độc qua thư điện tử đặc biệt dạng công phát tán mã độc qua thư điện tử, phương thức lây nhiễm mã độc qua thư điện tử từ đưa biện pháp phòng chống Chương 1: Tổng quan thư điện tử mã độc Chương 2: Tấn công phát tán mã độc qua thư điện tử biện pháp phòng chống Chương 3: Mô công phát tán mã độc cách phòng chống CHƯƠNG TỔNG QUAN VỀ THƯ ĐIỆN TỬ VÀ MÃ ĐỘC 1.1 Tổng quan thư điện tử 1.1.1 Khái niệm thư điện tử Thư điện tử thơng điệp gửi từ máy tính đến máy tính khác mạng máy tính mang nội dung cần thiết từ người gửi đến người nhận Thư điện tử gọi tắt E-Mail (Electronic Mail) cách gửi điện thư phổ biến E-Mail có nhiều cấu trúc khác tùy thuộc vào hệ thống máy vi tính người sử dụng Mặc dù khác cấu trúc tất có mục đích chung gửi nhận thư điện tử từ nơi đến nơi khác nhanh chóng Ngày nay, nhờ phát triển mạnh mẽ Internet người ta gửi điện thư tới quốc gia tồn giới Với lợi ích nên thư điện tử trở thành nhu cầu cần phải có người sử dụng máy vi tính Hình 1.1 Tổng quan thư điện tử 1.1.2 Lịch sử phát triển thư tín ARPANET dự án ARPA Hoa Kỳ nhằm phát triển giao thức truyền thông để liên kết nguồn tài nguyên vùng địa lý khác Các ứng dụng xử lý thông báo cũng thiết kế hệ thống ARPANET, nhiên chúng sử dụng việc gửi thông báo tới người dùng nội hệ thống Tomlinson sửa đổi hệ thống xử lý thông báo để người sử dụng gửi thơng báo cho đối tượng nhận không hệ thống mà hệ thống ARPANET khác Tiếp theo cải tiến Tomlinson, nhiều cơng trình nghiên cứu khác tiến hành thư tín điện tử nhanh chóng trở thành ứng dụng sử dụng nhiều ARPANET trước Internet ngày Hình 2.7 Quét virus thực trạm người sử dụng Thách thức lớn việc thực quét vi rút trạm người sử dụng khó quản lý trình qt virus, đặc biệt việc quản lý tập trung việc cập nhật Tuy nhiên, có giải pháp hỗ trợ việc quản lý tập trung quét vi rút máy khác Một điểm yếu khác người sử dụng người kiểm sốt qt vi rút Như họ tự vơ hiệu hố số tất chức (có thể ngẫu nhiên hay vơ tình) - Lợi ích việc qt virus máy khách: + Không yêu cầu sửa đổi mail server + Có quét thư điện tử mã hoá người sử dụng giải mã chúng + Việc quét virus phân tán nhiều máy hạn chế tối đa ảnh hưởng việc quét máy chủ + Cung cấp khả bảo vệ cho người sử dụng bên chí nguồn gốc virus xuất phát từ người sử dụng bên - Các bất lợi quét vi rút máy khách sau: + Khó quản lý tập trung + Những người sử dụng cập nhật chậm quét vi rút, dẫn đến việc ảnh hưởng đến tập thể + Người sử dụng loại bỏ chức trình quét virus + Chỉ quét thông điệp vào 56 + Không xử lý virus tường lửa máy chủ thư điện tử trung tâm Sẽ hiệu thực hai phương án quét vi rút mà biết đến Lựa chọn an toàn thực quét vi rút trung tâm hoá (hoặc tường lửa, máy chủ thư) kết hợp với phương án quét virus máy người sử dụng đầu cuối Như có nhiều tầng bảo vệ kết hợp ưu điểm phương án 57 CHƯƠNG MÔ PHỎNG TẤN CÔNG PHÁT TÁN MÃ ĐỘC VÀ CÁCH PHỊNG CHỐNG 3.1 Tấn cơng phát tán mã độc Dưới mô công mã độc tống tiền qua thư điện tử mã độc Spider ransomware Giả sử người email có nội dung “Thơng báo trúng thưởng” kèm theo nội dung đánh vào tâm lý người nhận thư phần thưởng hấp dẫn Bên cạnh email đính kèm file Word document yêu cầu người nhận tải file Word document xuống Hình 3.1 Emal có nội dung hấp dẫn Vì file đính kèm file Word document nên số người cảnh giác tiến hành tải file xuống theo yêu cầu email Hình 3.2 Người nhận email tải xuống file đính kèm 58 Mọi thứ khơng có sảy người nhận tiến hành mở file Word document lên mà file Word document chứa marco độc hại Nếu người dùng click vào Enable Content, macro độc hại nhúng file word tải tệp tin cài đặt ransomware người nhận thức trở thành nạn nhân công Hình 3.3 Nội dung file Word document Macro độc hại Word document có chứa PowerShell script mã hóa Base64 Khi macro thực thi tải xuống tệp tin enc.exe dec.exe mã hóa XOR tại: http://yourjavascript.com/5118631477/javascript-dec-2-25-2.js http://yourjavascript.com/53103201277/javascript-enc-1-0-9.js PowerShell script sau thực thi enc.exe dec.exe theo lệnh sau: “%AppData%\Roaming\Spider\enc.exe” “%AppData%\Roaming\Spider\dec.exe” spider spider Lúc File Spider bắt đầu mã hóa máy tính nạn nhân 59 ktn 100 Hình 3.4 Mã độc chạy đến mã hóa xong liệu máy tính nạn nhân Dec.exe trình giải mã GUI ransomware, lặng lẽ chạy trình enc.exe mã hóa xong tập tin máy tính nạn nhân Trong enc.exe thực thi, scan cục máy tính nạn nhân mã hóa tập tin có phần mở rộng phù hợp mã hóa AES 128 bit AES key sau mã hóa RSA lưu lại Khi tập tin bị mã hóa, tập tin có thêm phần mở rộng spider Nạn nhân mở tập tin Tại thư mục có tập tin mã hóa cũng bao gồm tập tin có tên HOW TO DECRYPT FILES.url Khi người dùng click vào mở video hướng dẫn đường dẫn: https://vid.me/embedded/CGyDc?autoplay=1&stats=1 tập tin Desktop có tên DECRYPTER.url 60 Hình 3.5 Các tập tin sau bị mã hóa Sau hồn thành, enc.exe tạo tập tin %UserProfile%\AppData\Roaming\Spider\5p1d3r kết thúc Khi tiến trình dec.exe xác nhận tập tin 5p1d3r tạo ra, hiển thị GUI giải mã đây: Hình 3.6 Cửa sổ thơng báo mã độc 61 Hình 3.7 Cửa sổ thơng báo mã độc Hình 3.8 Cửa sổ thơng báo mã độc Nạn nhân yêu cầu truy cập đến trang toán ẩn danh http://spiderwjzbmsmu7y.onion Khi người dùng đến trang ẩn danh đó, họ sử dụng ID tìm thấy GUI giải mã để đăng nhập Một login vào, họ thấy trang hướng dẫn sử dụng 00726 bitcoins, khoảng $123.25 vào thời điểm viết này, để nhận khóa giải mã khơi phục tập tin mã hóa 62 3.2 Mơ lọc thư rác dùng phần mềm VinaCIS AntiSPAM 3.2.1 Giới thiệu phần mềm VinaCIS AntiSAMP VinaCIS AntiSPAM phần mềm chuyên dùng chống lại nạn thư rác dùng miễn phí cho Microsoft Outlook, Outlook Express, Windows Mail (phiên Standard) VinaCIS Corporation Việt hóa hồn tồn phần mềm Spamfighter chống lại nạn thư rác từ Spamfighter ApS VinaCIS AntiSPAM có chế lọc thư rác với đặc điểm ưu việt tạo nên thương hiệu phần mềm lọc thư rác chuyên dùng cho việc phòng chống thư rác hiệu VinaCIS AntiSPAM ngăn chặn hoàn toàn xâm nhập bất hợp pháp phần mềm Gián điệp, Thư lừa đảo, Thư chứa Virus Với chế hoạt động hồn tồn tự động lọc xác đến 99,9%, cộng với việc cài đặt sử dụng dễ dàng nên phần mềm VinaCIS AntiSPAM lựa chọn cho việc chống lại nạn thư rác hữu hiệu chuyên dùng cho người Việt + Một số tính đặc biệt VinaCIS AntiSPAM + Giao diện hoàn toàn tiếng Việt + Việc cài đặt đơn giản sử dụng dễ dàng + Tích hợp sử dụng lọc thư rác cho nhiều tài khoản máy ví tính + Tự động quản lý danh sách thư + Khả lọc tùy chọn theo ngôn ngữ + Không giới hạn danh sách thư rác thư + Tùy chọn việc di chuyển công cụ Microsoft Outlook + Khóa mở khóa thư rác điạ thư điện tử tên miền website 3.2.2 Sử dụng phần mềm VinaCIS AntiSPAM Khi cài đặt xong phần mềm VinaCIS AntiSAMP giao diện ứng dụng hình vẽ Trong giao diện gồm đề mục để người sử dụng lựa chọn cài đặt Như cấu hình máy trạm, cấu hình lọc, tài khoản, thống kê, giúpđỡ 63 Hình 3.9 Giao diện phần mềm VinaCIS AntiSAMP Trên giao diện ứng dụng VinaCIS AntiSAMP người sử dụng chọn mục Tài khoản Tại người dùng xem thơng tin tài khoản email, thay đổi sang địa email khác Hình 3.10 Thông tin tài khoản dùng VinaCIS AntiSAMP 64 Để cấu hình lọc thư rác, người sử dụng chọn mục cấu hình lọc Khi hiển thị danh sách thư rác Tại người dùng mở để xem danh sách email rác, danh sách email sạch, danh sách tên miền rác, danh sách tên miền Hình 3.11 Danh sách thư rác Để ngăn chặn thư rác từ địa email, người dùng vào mục danh sách email rác Kích chọn vào mục thêm vào sau nhập địa email muốn chặn Khi bạn đưa địa email danh sách rác, tất các thư đến từ địa email bị đẩy thư mục rác Hình 3.12 Danh sách email rác 65 Để đưa địa email danh sách email sạch, người dùng chọn vào danh sách email mục danh sách thư & rác Sau kích chọn thêm vào nhập địa email vào Nếu bạn đưa địa email vào danh sách tất thư đến từ địa email không coi thư rác trường hợp Hình 3.13 Danh sách email Để ngăn chặn thư rác đến từ tên miền người dùng chọ vào danh sách tên miền rác mục danh sách thư & rác Tại người dùng kích chọn thêm vào sau nhập tên miền địa ip tên miền Khi đưa tên miền vào danh sách rác, tất email đến từ tên miền bị đẩy vào thư mục thư rác Hình 3.14 Danh sách tên miền rác 66 Ngồi ứng dụng VinaCIS AntiSAMP hỗ trợ lọc thư rác qua ngơn ngữ Tại mục cấu hình lọc, người dùng chọn phân tích ngơn ngữ sau có hai lựa chọn cho người sử dụng nhận email với ngôn ngữ chọn từ chối email với ngôn ngữ chọn Và người dùng chọn ngôn ngữ mục ngôn ngư Lọc mail theo ngôn ngữ Ta tiến hành gửi mail từ địa với nội dung quảng cáo đến địa thư chuyển vào mục Spam cấu hình email danh mục email rác Tương tự tất thư đến từ email chuyển vào mục Spam 67 Hình 3.15 Danh mục thư rác email bạn Để xem thông tin thư rác kích chọn mục Spam, chọn đến thư rác xem thơng tin liên quan đến thư rác Hình 3.16 Thơng tin thư rác 68 KẾT LUẬN Sau thời gian nghiên cứu tích cực, nghiêm túc, nhóm hồn thành báo cáo “Tìm hiểu công phát tán mã độc qua thư điện tử, mơ biện pháp phòng chống”, đảm bảo yêu cầu nội dung chất lượng tiến độ đề Thông qua việc thực báo cáo, nhóm tìm hiểu kiến thức về: - Nắm bắt khái quát thư điện mã độc, hiểu mối hiểm họa thư điện tử, phương thức công phát tán mã độc qua thư điện tử - Đưa hệ thống giải pháp an toàn cho hệ thống thư điện tử, qua biết cách thức phòng chống mã độc thư điện tử - Mô công phát tán mã độc qua thư điện tử, cách lọc thư rác phần mềm VinaCIS AntiSpam Tuy nhiên, trình độ, khả thời gian hạn chế nên báo cáo số tồn sau: - Báo cáo tập trung nghiên cứu phạm vi thư điện tử chưa nói đến dạng phát tán khác mã độc qua lỗ hổng hệ thống, qua phần mềm cài đặt, qua trang web,… Hướng phát triển báo cáo Trong tương lai nhóm cố gắng tiếp tục tìm hiểu sâu biện pháp phòng chống mã độc phát tán mã độc qua thư điện tử Bên cạnh phát triển, mở rộng tìm hiểu loại công mã độc qua lỗ hổng hệ thống, qua phần mềm, qua trang mạng xã hội… từ đưa biện pháp phòng chống nhắm nâng cao hiệu đảm bảo an tồn thơng tin tình hình Trong q trình hồn thành báo cáo này, cố gắng, nỗ lực song thời gian nghiên cứu, trình độ thành viên có hạn điều kiện nghiên cứu nhiều khó khăn nên tránh khỏi khuyết thiếu hạn chế, nhóm mong nhận góp ý, nhận xét quý báu quý thầy cô bạn bè để kết báo cáo hoàn thiện 69 TÀI LIỆU THAM KHẢO Tài liệu [1] Hoàng Việt Long (2018), Giáo trình An tồn dịch vụ mạng, Trường Đại học kĩ thuật hậu cần Công An nhân dân, [2] Nguyễn Thành Cương (2005), “Hướng dẫn phòng diệt vi rút máy tính”, Nhà xuất thống kê [3] Quyển 2: Tổng hợp công nghệ đảm bảo an toàn cho mạng chuyên dùng Đề tài cấp nhà nước Ban yếu phủ Hà nội 2013 [4] Cẩm nang an tồn thơng tin cho cán bộ, công chức, viên chức (2015), Bộ thông tin truyền thông cục an toan thông tin, Hà Nội Website tham khảo [3] http://thegioitinhoc.vn/anti-virus/47498-cac-hinh-thuc-lay-nhiem-virus-vacach-phong-chong.html [4] https://voer.edu.vn/c/virus-lay-nhiem-qua-thu-dien-tu/31939e71/8eec62e2 [5] http://bb.com.vn/pro/virus-spyware/virus-antivirus/2409-bam-mo-hop-thuemail-ra-co-the-nhiem-virus-khong.html [6] https://securitybox.vn/6356/5-bien-phap-phong-tranh-su-co-ma-doc-tuchuyen-gia/ 70 ... hiểm họa mã độc qua thư điện tử đặc biệt dạng công phát tán mã độc qua thư điện tử, phương thức lây nhiễm mã độc qua thư điện tử từ đưa biện pháp phòng chống Chương 1: Tổng quan thư điện tử mã độc. .. Chương 2: Tấn công phát tán mã độc qua thư điện tử biện pháp phòng chống Chương 3: Mơ cơng phát tán mã độc cách phòng chống CHƯƠNG TỔNG QUAN VỀ THƯ ĐIỆN TỬ VÀ MÃ ĐỘC 1.1 Tổng quan thư điện tử 1.1.1... lây nhiễm mã độc 18 1.2.6 Phân tích số dạng mã độc 20 1.2.7 Xu hướng phát triển mã độc tương lai 30 CHƯƠNG TẤN CÔNG PHÁT TÁN MÃ ĐỘC QUA THƯ ĐIỆN TỬ VÀ BIỆN PHÁP PHÒNG CHỐNG