ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Thành Chung Nghiên cứu giải pháp an tồn an ninh thơng tin cho quan tổ chức dựa chuẩn ISO – 17799 LUẬN VĂN THẠC SỸ Hà Nội - 2011 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Thành Chung Nghiên cứu giải pháp an tồn an ninh thơng tin cho quan tổ chức dựa chuẩn ISO – 17799 Nghành : Công nghệ thông tin Chuyên nghành : Truyền liệu mạng máy tính Mã số : 60.48.15 LUẬN VĂN THẠC SĨ CÁN BỘ HƯỚNG DẪN KHOA HỌC : PGS.TS Trịnh Nhật Tiến Hà Nội - 2011 MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục Danh mục thuật ngữ từ viết tắt Danh mục hình vẽ MỞ ĐẦU Chương TỔNG QUAN VỀ AN TỒN AN NINH HỆ THỐNG THƠNG TIN 1.1 VẤN ĐỀ AN TOÀN AN NINH HỆ THỐNG THÔNG TIN 1.1.1 Khái niệm An tồn thơng tin 1.1.2 Khái niệm An tồn Hệ thống thơng tin 1.2 CÁC NGUY CƠ VỀ AN TỒN AN NINH THƠNG TIN 1.2.1 Nguy từ phía ngƣời 1.2.2 Nguy từ phía sách 11 1.2.3 Các nguy tầng mạng 11 1.2.4 Nguy tầng ứng dụng 14 1.3 TỔNG QUAN VỀ ISO 17799 16 1.3.1 Kiểm sốt sách an ninh 16 1.3.2 Kiểm sốt an tồn an ninh cho tổ chức .16 1.3.3 Kiểm soát việc phân loại tài nguyên 17 1.3.4 Kiểm sốt an tồn an ninh cá nhân 17 1.3.5 Kiểm sốt an tồn an ninh mặt vật lý mơi trƣờng 18 1.3.6 Kiểm sốt quản lý điều khiển, truyền thông 18 1.3.7 Kiểm soát truy cập 19 1.3.8 Kiểm soát việc phát triển, bảo trì hệ thống 20 1.2.9 Kiểm soát cố an ninh thơng tin……………………………20 1.3.10 Kiểm sốt việc quản lý kế hoạch bảo đảm hoạt động liên tục 20 1.3.11 Kiểm sốt tn thủ qui tắc an tồn, an ninh 21 Chương HIỆN TRẠNG VỀ AN TỒN AN NINH THƠNG TIN TẠI MỘT SỐ ĐƠN VỊ TẠI VIỆT NAM 22 2.1 VẤN ĐỀ AN TỒN AN NINH THƠNG TIN TẠI ĐƠN VỊ A 22 2.1.1 Hiện trạng hạ tầng mạng hệ thống bảo mật 22 2.1.2 Phân tích nguy an tồn anh ninh 25 2.2 VẤN ĐỀ AN TỒN AN NINH THƠNG TIN TẠI ĐƠN VỊ B 28 2.2.1 Hiện trạng hạ tầng mạng hệ thống bảo vệ thơng tin 28 2.2.2 Phân tích nguy 29 2.3 NHẬN XÉT CHUNG VỀ HỆ THỐNG BẢO MẬT TẠI CÁC ĐƠN VỊ ……………………………………………………………………….30 2.3.1 Kiểm soát truy cập: 30 2.3.2 Các biện pháp phòng chống mã độc hại: .30 2.3.3 Phƣơng án cập nhật lỗ hổng bảo mật Microsoft: 32 Chương PHƢƠNG HƢỚNG GIẢI QUYẾT VẤN ĐỀ AN TOÀN AN NINH THÔNG TIN TẠI CÁC ĐƠN VỊ 33 3.1 ĐỊNH HƢỚNG LỰA CHỌN GIẢI PHÁP, SẢN PHẨM GIẢM BỚT RỦI RO…… .33 3.1.1 Chọn lọc hợp lý sản phẩm ATAN 33 3.1.2 Nhận xét chung đầu tƣ cho hệ thống ATAN 34 3.1.3 Các sản phẩm ATAN điển hình 36 3.2 LỰA CHỌN GIẢI PHÁP NHẰM GIẢM NHẸ CÁC RỦI RO DO VIRUS GÂY RA TRÊN HỆ THỐNG CỦA ĐƠN VỊ A 68 3.2.1 Phƣơng án phòng chống mã độc hại cho mạng máy tính đơn vị A69 3.2.2 Rủi ro, nguy cần đƣợc loại bỏ, giảm nhẹ mạng đơn vị A triển khai hệ thống chống mã độc hại 70 3.2.3 Các đặc tính kỹ thuật giải pháp phịng chống mã độc hại 71 3.2.4 Đề xuất lựa chọn giải pháp phòng chống mã độc hại 73 3.2.5 Các sản phẩm đƣa vào thử nghiệm mạng đơn vị A 76 3.3 KẾT QUẢ THỬ NGHIỆM 81 3.3.1 Phòng chống mã độc hại Gateway cho hệ thống email 81 3.3.2 Phòng chống mã độc hại Máy chủ thƣ điện tử 83 3.3.3 Phòng chống mã độc hại máy chủ máy trạm 86 KẾT LUẬN………… 96 TÀI LIỆU THAM KHẢO 97 PHỤ LỤC…… 98 DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ADSL Asymmetric Digital Subscriber Line đƣờng dây thuê bao số bất đối xứng AD Active Directory AV Antivirus Phịng chống vi rút ATAN An tồn An ninh ATTT An tồn thơng tin Client Máy khách CSDL Cơ sở liệu CVE Common Vulnerabilities and Danh mục lỗ hổng khả Exposures DHCP Dynamic phơi nhiễm Host Configuration Giao thức cấu hình động máy chủ Protocol DMZ De-Militarized Zone Mạng vành đai DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DoS Denial-of-Service Tấn công từ chối dịch vụ IP Internet Protocol Giao thức Internet IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention System Hệ thống chống xâm nhập ISO 17799 FW Bộ tiêu chuẩn an ninh thông tin Firewall Tƣờng lửa HĐH LAN Hệ điều hành Local Area Network Mạng cục NIST National Institute of Standart and Viện Tiêu chuẩn Công nghệ Technology quốc gia Hoa kỳ PC Personal Computer Máy tính cá nhân PKI Public Key Infrastructure Hạ tầng mã khóa công khai POP3 Post Office Protocol Giao thức để lấy thƣ điện tử từ máy chủ thƣ điện tử thông qua kết nối TCP/IP Server Máy chủ SHA Secure Hash Algorithm Thuật giải băm an toàn SMTP Simple Mail Transfer Protocol Giao thức truyền thƣ đơn giản TM Trend Micro Hãng Trend Micro Vd Ví dụ RPC Remote Procedure Call Gọi thủ tục từ xa UTC Coordinated Universal Time Giờ phối hợp quốc tế USB Ổ USB User Ngƣời dùng VLAN Virtual Local Area Network Mạng cục ảo WAN Wide Area Network Mạng diện rộng WSUS Windows Server Update Services Hệ thống cập nhật triển khai tập trung miếng vá lỗ hổng Windows DANH MỤC HÌNH VẼ Hình 2-1 Sơ đồ mạng tổng qt đơn vị A 23 Hình 2-2 Sơ đồ mạng nội đơn vị A 24 Hình 2-3 Sơ đồ mạng tổng quát đơn vị B 28 Hình 3-1 Phân loại virus NIST 68 Hình 3-2 Mơ hình hình tháp 69 Hình 3-3 Đánh giá Gartner tháng 12 năm 2007 nhà cung cấp giải pháp bảo vệ Endpoint 75 Hình 3-4 Mơ hình triển khai thử nghiệm qt luồng mail từ ngồi gửi vào 77 HÌnh 3-5 Mơ hình triển khai thử nghiệm qt mailbox .77 Hình 3-6 Mơ hình kết nối TMCM với phần mềm khác 79 Hình 3-7 Mơ hình triển khai thử nghiệm giải pháp phịng chống mã độc hại tổng thể…………………………………………………………………………………….80 Hình 3-8 Thống kê số lƣợng thƣ điện tử đƣợc quét hệ thống IMSS 81 Hình 3-9 Kết quét virus Spam IMSS 82 Hình 3-10 Kết xử lý mã độc hại mailbox 83 Hình 3-11 Tổng quan mã độc hại mailbox 84 Hình 3-12 Các địa email có mã độc hại nhiều mạng 84 Hình 3-14 Kết xử lý mã độc hại máy trạm máy chủ 86 Hình 3-15 Biểu đồ số lƣợng file nhiễm mã độc hại phát theo ngày 87 Hình 3-16 Biểu đồ số lƣợng máy bị nhiễm mà độc hại theo ngày 88 Hình 3-17 25 loại mã độc hại lây nhiễm nhiều mạng 89 Hình 3-18 Chi tiết mã độc hại phát máy trạm 90 Hình 3-19 20 máy nhiễm mã độc hại nhiều 91 LỜI MỞ ĐẦU An tồn an ninh (ATAN) cho hệ thống thơng tin khái niệm bao hàm nhiều vấn đề lớn bao gồm ATAN cho tài nguyên phần cứng tài nguyên phần mềm hệ thống Việc đảm bảo ATAN thông tin không áp dụng giải pháp kỹ thuật công nghệ vào hệ thống thơng tin, cần phải có hành lang pháp lý làm sở cho việc triển khai, xây dựng quy định người, quy trình đáp ứng quy chế an toàn an ninh mạng Vấn đề đảm bảo tính bí mật đồng nghĩa với việc thơng tin q trình xử lý khơng bị xem trộm, liệu trao đổi đường truyền không bị lộ, bị đọc lén, liệu lưu trữ không bị khai thác trái phép… Hệ thống thông tin phải đảm bảo tính tồn vẹn Với ngun nhân chủ quan hay khách quan nào, liệu truyền từ nơi đến nới khác, hay lưu trữ phải đảm bảo không bị thay đổi, sửa chữa làm sai lệch nội dung thông tin Vấn đề đảm bảo tính sẵn sàng Hệ thống CNTT phải trạng thái phục vụ tốt nhất, sẵn sàng cung cấp thông tin, dịch vụ,… cho yêu cầu hợp pháp Với thiết bị phần cứng, việc đảm bảo thơng suốt đường truyền, hệ thống không bị tắc nghẽn, hỏng hóc,… Đối tượng tham gia hệ thống CNTT phải đảm bảo tính xác thực Việc xác thực thể yêu cầu: Xác thực người sử dụng tham gia hệ thống xác thực liệu người sử dụng luân chuyển hệ thống Phải có biện pháp tối ưu để chống lại việc lộ mật khẩu, xác định quyền hạn người tham gia giao dịch hệ thống, không để xảy tình trạng giả mạo bên tham gia trao đổi thơng tin Việc đảm bảo tính chống từ chối yếu tố quan trọng việc đảm bảo ATAN cho hệ thống CNTT Hệ thống phải có biện pháp giám sát, đảm bảo đối tượng tham gia trao đổi thơng tin khơng thể từ chối, phủ nhận việc phát hành hay sửa đổi thơng tin Ngồi việc đáp ứng yếu tố kể trên, hệ thống ATAN cần phải kiểm tra, đánh giá thường xuyên, định kỳ, qua có đánh giá xác khả ATAN hệ thống Cần phải đặt chiến lược cụ thể, song song với việc phát triển hạ tầng CNTT, với ứng dụng, dịch vụ hoạt động hạ tầng Hiện nay, hầu hết quan tổ chức trang bị cho hạ tầng mạng hệ thống công nghệ thông tin phục vụ yêu cầu tác nghiệp phù hợp với đặc thù công việc đơn vị Vấn đề đảm bảo an toàn an ninh mạng, bảo mật liệu nhiều đơn vị quan tâm sẵn sàng đầu tư kinh phí thực Các khuyến nghị nêu định hướng để lựa chọn giải pháp, đồng thời đưa kinh nghiệm thực tiễn phục vụ công tác quản lý ATAN hệ thống thông tin cho quan tổ chức, dựa tiêu chuẩn quốc tế ISO-17799 - tiêu chuẩn để đánh giá khả An tồn, An ninh cho hệ thống Cơng nghệ thông tin Luận văn gồm 03 chương: Chƣơng 1: Tổng quan An tồn an ninh hệ thống thơng tin Trình bày số khái niệm an tồn thơng tin chuẩn ISO 17799 Chƣơng 2: Hiện trạng an tồn an ninh thơng tin số đơn vị Việt Nam Khảo sát hạ tầng mạng, trạng hệ thống an toàn an ninh tạo số đơn vị phân tích nguy cơ/rủi ro Chƣơng 3: Phƣơng hƣớng giải vấn đề an ninh an toàn đơn vị Giới thiệu định hướng lựa chọn giải pháp, sản phẩm bao gồm: 1/ Cách phân cấp nguy điểm yếu 2/ Các định hướng lựa chọn giải pháp sản phẩm giảm bớt rủi ro 3/ Đề xuất giải pháp nhằm làm giảm nhẹ rủi ro mã độc hại gây hệ thống đơn vị khảo sát Cuối cùng, để có luận văn này, tơi xin bày tỏ lịng biết ơn sâu sắc tới thầy cô giáo Trường Đại học Công nghệ, Khoa Công nghệ Thông tin, Ban Giám hiệu Trường Đại học Công nghệ tạo điều kiện, động viên truyền thụ kiến thức bổ ích Đặc biệt tơi xin gửi lời cám ơn chân thành đến thầy giáo PGS.TS Trịnh Nhật Tiến đồng nghiệp Công ty Misoft, Công ty Mi2, Bộ Ngoại giao, Bộ Công thương, Bộ Nội vụ, Kiểm tốn nhà nước… tận tình giúp đỡ để tơi hồn thành luận văn Chương TỔNG QUAN VỀ AN TOÀN AN NINH HỆ THỐNG THƠNG TIN 1.1 VẤN ĐỀ AN TỒN AN NINH HỆ THỐNG THƠNG TIN 1.1.1 Khái niệm An tồn thơng tin An tồn thơng tin nghĩa thơng tin bảo vệ, hệ thống dịch vụ có khả chống lại tai họa, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống dừng mức nhỏ Hệ thống có đặc điểm sau khơng an tồn: - Các thơng tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thơng tin bị rị rỉ) - Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) 1.1.2 Khái niệm An toàn Hệ thống thơng tin An tồn an ninh (ATAN) cho hệ thống thông tin khái niệm bao hàm nhiều vấn đề lớn bao gồm ATAN cho tài nguyên phần cứng tài nguyên phần mềm hệ thống Một hệ thống CNTT đảm bảo ATAN thơng tin cần đảm bảo nội dung sau:  Đảm bảo tính bí mật (Confidentiality)  Đảm bảo tính tồn vẹn (Integrity)  Đảm bảo tính sẵn sàng (Availability)  Đảm bảo tính xác thực (Authentication)  Đảm bảo tính chống từ chối (Non-repudiation) An tồn hệ thống thông tin thực chất đảm bảo an ninh mức độ chấp nhận Muốn hệ thống thơng tin an tồn trước hết phải có đảm bảo thông tin sở mạng truyền liệu thơng suốt Hiện nay, khái niệm An tồn thông tin bao gồm khái niệm Bảo mật nội dung thơng tin Như vậy, an tồn bảo mật hệ thống thông tin đảm bảo hoạt động lưu thông bí mật nội dung thơng tin truyền tải cho thành phần hệ thống mức độ chấp nhận thể lựa chọn sách cho máy cập nhật định kỳ miếng vá bảo bảo mật theo hai phương thức sau: Xây dựng hệ thống cập nhật tập trung miếng vá cho hệ điều hành hệ thống máy trạm: sử dụng hệ thống WSUS Microsoft Hoặc: Thiết lập sách cập nhật định kỳ hàng ngày máy trạm thơng qua tính Windows Update sẵn có hệ điều hành Microsoft 95 KẾT LUẬN Trong nội dung luận văn trình bày vấn đề liên quan đến an toàn an ninh thông tin tổng quan ISO 17799 Để đánh giá hệ thống công nghệ thông tin đảm bảo mức độ an toàn khuyến cáo ISO 17799 toán lớn với đơn vị Việt nam khó khăn việc khơng biết phải làm để đạt tiêu chuẩn Qua khảo sát hạ tầng mạng trạng hệ thống An ninh bảo mật số đơn vị với việc lựa chọn dẫn NIST cách thực thi giải pháp, sách nhằm đảm bảo an tồn an ninh cho hệ thống Cơng nghệ thơng tin, luận văn đề xuất mơ hình cách lựa chọn giải pháp phòng chống mã độc hại, giảm nguy vi rút gây hệ thống Kết Luận văn gồm có: 1/ Nghiên cứu tài liệu thực tế để hệ thống lại vấn đề sau: + Tổng quan An tồn an ninh hệ thống thơng tin ISO 17799 + Khảo sát trạng đánh giá an tồn an ninh hệ thống thơng tin số đơn vị Việt Nam 2/ Đề xuất hướng giải việc an toàn an ninh hệ thống mã độc hại gây hệ thống dựa kết khảo sát + Lựa chọn giải pháp phù hợp (dựa vào hướng dẫn tài liệu NIST) + Triển khai thử nghiệm thực tế + Đánh giá kết triển khai Hƣớng phát triển đề tài: Luận văn có số hướng phát triển thời gian tới như: 1/ Ứng dụng số giải pháp phòng chống Sâu mạng 2/ Dựa vào dẫn NIST để tiếp tục có đánh giá việc sử dụng sản phẩm ATAN tường lửa, định danh xác thực, phát chống công xâm nhập…hướng tới giải pháp An tồn thơng tin tổng thể đáp ứng chuẩn ISO 17799 96 TÀI LIỆU THAM KHẢO Tiếng Việt http://www.misoft.com.vn/ http://www.mi2.com.vn/ http://www.bkav.com.vn/ Vương Trung Thắng (2008), Giải pháp McAfee Total Security, Công ty Mi2, tr 3, 5 Nguyễn Mạnh Cường (2007), Tổng thể giải pháp chống mã độc hại Trend Micro, Công ty Misoft, tr 1, 3, 5-7 Tiếng Anh John Wack, Ken Cutler , Jamie Pole, NIST Special Publication 800-41, Guidelines on Firewalls and Firewall Policy, 75 pages (Jan 2002), pp 3-19 Gary Stoneburner, Alice Goguen, and Alexis Feringa, NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Publ 800-30, 54 pages (July 2002), pp 8-24 Information technology – Security techniques – Code of Practice for information security management ISO/IEC17799:2005(E), Second edition 2005-06-15, pp 4, 7, 9-11, 14, 19, 23, 29, 31, 37, 42-46, 52, 60, 65-66, 77, 90, 95, 100 W.T.Polk & L.E.Bassaham, NIST-Antivirus-sp800-5, Anti-Virus Tool and Techniques, December 2, 1992 pp 3-4, 27, 35-37 Peter Mell , Karen Kent, Joseph Nusbaum, NIST Special Publication 80083, Guide to Malware Incident Prevention and Handling, November 2005 pp 2-11, 3-6, 3-18, 4-1 Trend Micro Incoporated, Interscan Messaging Security Suite 7.1 for Windows - Administrator’s Guides, November 2009 Trend Micro Incoporated, OfficeScan 10.5 - Administrator’s Guides, May 2011 Trend Micro Incoporated, ScanMail™ Suite for Microsoft™ Exchange 10.2 - Administrator’s Guides, September 2011 http://about-threats.trendmicro.com 10 http://www.microsoft.com 97 PHỤ LỤC THÔNG SỐ KỸ THUẬT CỦA MỘT SỐ LOẠI MÃ ĐỘC HẠI XUẤT HIỆN NHIỀU TRÊN HỆ THỐNG THỬ NGHIỆM Vi rút PE_SALITY.AZ Thông số kỹ thuật  Sử dụng chế tự khởi động File vi rút đăng ký dịch vụ hệ thống để có khả tự động kích hoạt hệ thống bật Nó tạo khóa Registry sau: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ abp470n5  Sửa đổi thông tin hệ thống - Thay đổi giá trị registry để vơ hiệu hóa tính Security Center: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center AntiVirusDisableNotify = AntiVirusOverride = FirewallDisableNotify "1" "1" = "1" FirewallOverride = "1" UacDisableNotify = "1" UpdatesDisableNotify = "1" Giá trị mặc định thông số hệ thống “0” - Thay đổi giá trị registry để vơ hiệu hóa tính Task Manager: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\policies\ system DisableRegistryTools = "1" HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\policies\ system DisableTaskMgr = "1" Giá trị mặc định thông số “0” 98 - Thay đổi giá trị registry để qua mặt phần mềm diệt vi rút tường lửa: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center\Svc AntiVirusDisableNotify = AntiVirusOverride = FirewallDisableNotify "1" "1" = "1" FirewallOverride = "1" UacDisableNotify = "1" UpdatesDisableNotify = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\System EnableLUA = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile DoNotAllowExceptions = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\ List {malware path and file name} = "{malware path and file name}:*:Enabled:ipsec" HKEY_CURRENT_USER\Software\Afuoupfa - Thay đổi giá trị registry để tắt tính Tường lửa: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile EnableFirewall = "0" (giá trị mặc định 1) 99 - Tự động xóa giá trị registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot AlternateShell = "cmd.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot\Network  Các file bị nhiễm: Vi rút PE_SALITY.AZ lây nhiễm vào tất các file thực thi có EXE - Lây nhiễm vào ổ cứng/Ổ di động/Đĩa mềm: thả file AUTORUN.INF vào ổ đĩa Khi người dùng truy cập ổ đĩa, file tự động thả vi rút PE_SALITY.AZ File AUTORUN.INF có cấu trúc sau: [AutoRun] ;{random characters} shell\opeN\defAUlt=1 ;{random characters} shEll\oPen\commaNd= {random SHELl\eXplore\CommaND = {random ;{random filename} filename} characters} open={random filename} sheLl\aUtoplay\cOmmand={random filename} - Tải mã độc hại máy tính từ Internet: máy tính bị nhiễm Vi rút PE_SALITY.AZ tự động kết nối đến URLs sau:  http://{BLOCKED}alingaindore.com/logo.gif Phát trojan TROJ_IFRAMER.AH  http://{BLOCKED}areindia.com/mainf.gif Phát trojan TROJ_SPAMBOT.BC Như vậy, máy tính tải máy tính loại vi rẳt mã độc hại khác theo phương thức 100  Vi rút tự tắt tiến trình sau hệ thống thấy:                              aswUpdSv avast! Antivirus avast! Mail Scanner avast! Web Scanner AVP BackWeb Plug-in - 4476822 bdss BGLiveSvc BlackICE CAISafe ccEvtMgr ccProxy ccSetMgr F-Prot Antivirus Update Monitor F-Secure Gatekeeper Handler Starter fsbwsys FSDFWD fshttps InoRPC InoRT InoTask ISSVC LavasoftFirewall LIVESRV McAfeeFramework McShield McTaskManager navapsvc NOD32krn OutpostFirewall PAVFIRES PAVFNSVR PavProt PavPrSrv PAVSRV PcCtlCom PersonalFirewal PREVSRV ProtoPort Firewall ser PSIMSVC RapApp SmcService SNDSrvc SPBBCSvc Symantec Core LC Tmntsrv TmPfw tmproxy UmxAgent UmxCfg UmxLU UmxPol vsmon VSSERV WebrootDesktopFirew WebrootFirewall XCOMM NPFMntor NSCService                                 Vi rút quét khóa registry liên quan đến phần mềm chống vi rút ứng dụng bảo mật Nếu phát ra, thực việc xóa khóa mà tìm thấy danh sách sau:    _AVPM A2GUARD AAVSHIEL D     BDSS BDSUBMIT BDSWITCH BLACKD 101     KAVSVCUI KMAILMON KPFWSVC KWATCH                                AVAST ADVCHK AHNSD AIRDEFEN SE ALERTSVC ALMON ALOGSER V ALSVC AMON ANTITROJAN ANTIVIR ANTS APVXDWI N ARMOR2N ET ASHAVAS T ASHDISP ASHENHC D ASHMAISV ASHPOPW Z ASHSERV ASHSIMPL ASHSKPC K ASHWEBS V ASWUPDS V ATCON ATUPDAT ER ATWATCH AUPDATE AUTODOW N AUTOTRA CE AUTOUPD ATE                                           BLACKICE CAFIX CCAPP CCEVTMGR CCPROXY CCSETMGR CFIAUDIT CLAMTRAY CLAMWIN CLAW95 CLAW95CF CLEANER CLEANER3 CLISVC CMGRDIAN CUREIT DEFWATCH DOORS DRVIRUS DRWADINS DRWEB32W DRWEBSCD DRWEBUPW ESCANH95 ESCANHNT EWIDOCTRL EZANTIVIRU SREGISTRAT IONCHECK F-AGNT95 FAMEH32 FAST FCH32 FILEMON FIRESVC FIRETRAY FIREWALL FPAVUPDM FSM32 FSMA32 FSMB32 FSPEX FSSM32 F-STOPW GCASDTSER V 102                                           LOCKDOWN 2000 LOGWATNT LUALL LUCOMSER VER LUUPDATE MCAGENT MCMNHDLR MCREGWIZ MCUPDATE MCVSSHLD MINILOG MYAGTSVC MYAGTTRY NAVAPSVC NAVAPW32 NAVLU32 NAVW32 NOD32 NEOWATCH LOG NEOWATCH TRAY NISSERV NISUM NMAIN NOD32 NORMIST NOTSTART NPAVTRAY NPFMNTOR NPFMSG NPROTECT NSCHED32 NSMDTR NSSSERV NSSTRAY NTRTSCAN NTXCONFIG NUPGRADE NVC95 NVCOD NVCTE NVCUT NWSERVICE                                AVCIMAN AVCONSO L AVENGIN E AVGAMSV R AVGCC AVGCC32 AVGCTRL AVGEMC AVGFWSR V AVGNT AVGNTDD AVGNTMG R AVGSERV AVGUARD AVGUPSV C AVINITNT AVKSERV AVKSERVI CE AVKWCTL AVP32 AVPCC AVPM AVPUPD AVSCHED 32 AVSYNMG R AVWUPD3 AVWUPSR V AVXMONI TOR9X AVXMONI TORNT AVXQUAR BACKWEB -4476822 BDMCON                                   GCASSERV GIANTANTIS PYWAREMAI N GIANTANTIS PYWAREUPD ATER GUARDGUI GUARDNT HREGMON HRRES HSOCKPE HUPDATE IAMAPP IAMSERV ICLOAD95 ICLOADNT ICMON ICSSUPPNT ICSUPP95 ICSUPPNT IFACE INETUPD INOCIT INORPC INORT INOTASK INOUPTNG IOMON98 ISAFE ISATRAY ISRV95 ISSVC KAVMM KAVPF KAVPFW KAVSTART KAVSVC 103       OFCPFWSVC OUTPOST PAVFIRES PAVFNSVR PAVKRE PAVPROT                                      BDNEWS BDOESRV F-PROT95 FRESHCL AM FSAV32 FSAVGUI FSBWSYS F-SCHED FSDFWD FSGK32 FSGK32ST FSGUIEXE PAVPROX Y PAVPRSRV PAVSRV51 PAVSS PCCGUIDE PCCIOMO N PCCNTMO N PCCPFW PCCTLCO M PCTAV PERSFW PERTSK PERVAC PNMSRV POP3TRAP POPROXY PREVSRV PSIMSVC QHM32 QHONLIN E QHONSVC QHPF QHWSCSV C RAVMON RAVTIMER                               SCHED SDHELP SHSTAT SITECLI SPBBCSVC SPHINX SPIDERML SPIDERNT SPIDERUI SPYBOTSD SPYXX SS3EDIT STOPSIGNAV SWAGENT SWDOCTOR SWNETSUP SYMLCSVC SYMPROXYS VC SYMSPORT SYMWSC SYNMGR TAUMON TBMON TDS-3 TEATIMER TFAK THAV THSM TMAS TMLISTEN 104                              VBSNTW VCHK VCRMON VETTRAY VIRUSKEEP ER VPTRAY VRFWSVC VRMONNT VRMONSVC VRRW32 VSECOMR VSHWIN32 VSMON VSSERV VSSTAT WATCHDOG WEBPROXY WEBSCANX WEBTRAP WGFE95 WINAW32 WINROUTE WINSS WINSSNOTI FY WRADMIN WRCTRL XCOMMSVR ZATUTOR ZAUINST             REALMON REALMON 95 RFWMAIN RTVSCAN RTVSCN95 RULAUNC H SAVADMI NSERVICE SAVMAIN SAVPROG RESS SAVSCAN SCAN32 SCANNIN GPROCES S           TMNTSRV TMPFW TMPROXY TNBUTIL TRJSCAN UP2DATE VBA32ECM VBA32IFS VBA32LDR VBA32PP3  105   ZLCLIENT ZONEALAR M Sâu WORM_DOWNAD  Phương thức lây nhiễm: Tự thả dạng file có cấu trúc sau: % System% \ {tên file ngẫu nhiên} Dll Lƣu ý: % System% thư mục hệ thống Windows, thường C: \ Windows \ System Windows 98, ME, C: \ WINNT \ System32 Windows NT 2000, C: \ Windows \ System32 Windows XP Server 2003 Sâu tự thả vào thư mục sau:        % Application Data% % Program Files% \ Internet Explorer %% Program Files \ Movie Maker % Program Files% \ Windows Media Player % Program Files% \ Windows NT % Temp% Thư mục mặc định hệ thống  Sử dụng chế tự khởi động Sâu WORM_DOWNAD đăng ký dịch vụ hệ thống để có khả tự động kích hoạt hệ thống bật Nó tạo khóa Registry sau:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\{random service name} Image Path = "%System Root%\system32\svchost.exe -k netsvcs" Lưu ý:% System% gốc thư mục gốc, mà thường C: \ ổ đĩa cài hệ điều hành  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Dịch vụ \ {dịch vụ tên ngẫu nhiên} \ Parameters ServiceDLL = "{phần mềm độc hại đường dẫn tên file}"  HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost  Các biến thể sâu WORM_DOWNAD thường thực hành động sau:  Ngăn máy tính truy cập trang web / URL liên quan đến chống virus 106  Vơ hiệu hố dịch vụ, chẳng hạn Windows Automatic Update Service (wuauserv)  Lưu lượng truy cập cao cổng bị ảnh hưởng hệ thống 445 khai thác thành công  Sự tồn dll {tên file ngẫu nhiên} Autorun.inf tất ổ đĩa ánh xạ  Sự tồn dll {tên file ngẫu nhiên} Autorun.inf Internet Explore thư mục Movie Macker thư mục Program Files  Nó ẩn file ẩn Folder Options  Nó cố gắng để kết nối đến URL nhiều để tải tập tin cho biết vị trí hệ thống bị ảnh hưởng  Người sử dụng đăng nhập cửa sổ tin bị khố  Xóa khóa registry để ngăn chặn hệ thống khởi động chế độ an toàn (Safe Mode)  Phương thức công/phát tán: - Lây lan qua lỗ hổng bảo mật: Sâu lợi dụng lỗ hổng RPC liên quan đến miếng vá MS08-067 máy chạy hệ điều hành Windows để thực thi việc mã độc từ xa - Máy bị lây nhiễm tự kết nối đến cách gọi URL sau: http:// {địa IP máy bị ảnh hưởng}: {cổng ngẫu nhiên} / {tên tập tin phần mềm độc hại bao gồm ký tự ngẫu nhiên} Trong trình khai thác này, lưu lượng truy cập cao cổng TCP 445 xem cổng mà biến thể sâu sử dụng Khi sâu tải từ hệ thống bị ảnh hưởng tới hệ thống dễ bị tổn thương, thay đổi tiêu đề gói tin để làm cho thân xuất tập tin JPEG vô hại, thực tế, thực tập tin thực thi Nó làm điều để tránh phát tường lửa mạng ứng dụng bảo mật hệ thống Nếu hệ thống chưa vá tiếp tục nhận gói tin độc hại, hệ thống cho biết cuối sụp đổ Tải sâu lưu X thư mục hệ thống Windows 107 Biến thể sâu có khả tuyên truyền qua Internet cách cố gắng để gửi mã khai thác địa Internet ngẫu nhiên Họ lần chương trình phát sóng cổng mở ngẫu nhiên mà phục vụ máy chủ HTTP để truy cập qua Internet Sau đó, họ có địa IP bên ngồi hệ thống để kiểm tra xem có kết nối trực tiếp với Internet Họ thực thói quen để khởi động mã khai thác Internet hệ thống bị ảnh hưởng có kết nối trực tiếp với Internet cách kiểm tra địa IP bên địa IP cấu hình trình điều khiển Ethernet modem Họ cố gắng để kết nối URL sau để xác định địa IP máy tính bị ảnh hưởng:    http://checkip.dyndns.org http://getmyip.co.uk http://www.getmyip.org Sau nhận địa IP hệ thống, biến thể sâu kiểm tra xem địa IP hợp lệ địa IP địa phương Họ kiểm tra địa IP bên giống với địa IP cấu hình hệ thống Lưu ý họ thực cổng ngẫu nhiên mà họ sử dụng có sẵn trực tuyến cách phát sóng cảng Internet thông qua yêu cầu Simple Service Discovery Protocol (SSDP) - Lây lan qua mạng chia sẻ: Một số biến thể sử dụng chức NetUserEnum để có danh sách có sẵn tên người dùng danh sách mật để kết nối với mạng chia sẻ 1/ Sau lây nhiễm thành công qua mạng chia sẻ, thả vào Admin $ \ system32 nhiệm vụ dự kiến (nằm tại% systemroot% \ nhiệm vụ ) 2/ Nhiệm vụ theo lịch trình thiết kế để tự động thực phần mềm độc hại giảm Admin $ \ system32 Do đó, máy tính mục tiêu với mật yếu liên tục bị công hệ thống bị nhiễm với WORM_DOWNAD Điều định phát thư mục hệ thống Windows - Lây lan qua thiết bị di động ổ đĩa mạng : 108 1/ Sau điều tra thành công ổ đĩa, DOWNAD biến thể thả với tập tin autorun.inf Autorun.inf thiết kế để tự động thực phần mềm độc hại giảm ổ đĩa liệt kê 2/ Một máy tính mục tiêu ánh xạ vào ổ đĩa bị nhiễm bệnh gặp phải phát lặp lặp lại ổ đĩa ánh xạ Đường dẫn tập tin giảm thường {Ổ đĩa} \ Recycler \ s-xxxxxxxxxxx Mục tiêu sâu gì? Có vẻ mục tiêu sâu tạo botnet lớn máy tính bị nhiễm để sáng tạo số điểm gửi thư rác, đánh cắp thông tin cá nhân (ID người dùng, mật khẩu, thơng tin thẻ tín dụng, vv) người sử dụng trực tiếp đến trang web độc hại sử dụng để lừa đảo trực tuyến tải phần mềm độc hại thêm 109