HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU VỀ VIRUS MÁY TÍNH MỤC LỤC LỜI MỞ ĐẦU Ngày nay, tốc độ phát triển chóng mặt cơng nghệ thơng tin, vấn đề đảm bảo cho an tồn thơng tin cá nhân, tổ chức doanh nghiệp kéo theo Trong nhiều vấn đề đó, có vấn đề đáng lo ngại cho an tồn người sử dụng mạng máy tính Virus máy tính Xuất từ năm 1949, Virus máy tính ngày đa dạng chủng loại, cách thức hoạt động gây thiệt hại lớn tới nhiều cá nhân, tổ chức, doanh nghiệp Hiểu tình hình đó, Nhóm 11 thực đề tài “Tìm hiểu Virus máy tính” để tìm kiếm bổ sung thêm thơng tin, kiến thức cho đặc điểm chung Virus số loại Virus cụ thể Từ tìm cách phòng chống, ngăn chặn chúng để đảm bảo an tồn cho thơng tin, liệu Nội dung báo cáo trình chương: Chương 1: Tổng quan Virus máy tính Chương 2: Cơ chế hoạt động số loại Virus máy tính Chương 3: Phịng chóng, ngăn chặn Virus máy tính Nhóm xin cảm ơn Cô Vũ Thị Vân tạo hội cho chúng em có hội bổ sung kiến thức Vì điều kiện thời gian khơng nhiều, kinh nghiệm chúng em cịn hạn chế, khơng thể tránh khỏi thiếu sót Nhóm chúng em hy vọng nhận ý kiến đóng góp từ Cơ để hồn thiện đề tài DANH MỤC HÌNH ẢNH CHƯƠNG TỔNG QUAN VỀ VIRUS MÁY TÍNH (1) 1.1 Định nghĩa Virus máy tính Virus loại mã độc hại (Malicious code) có khả tự nhân lây nhiễm vào file, chương trình máy tính Virus phải ln bám vào vật chủ (có thể file liệu file ứng dụng) để lây lan Các chương trình diệt virus dựa vào đặc tính để thực thi việc phịng chống diệt virus, để quét file thiết bị lưu, quét file trước lưu xuống ổ cứng,… Điều giải thích đơi phần mềm diệt virus PC đưa thông báo “phát virus không diệt được” thấy có dấu hiệu hoạt động virus PC, “vật mang virus” lại nằm máy khác nên khơng thể thực thi việc xóa đoạn mã độc hại Virus làm việc mà chương trình khác làm Virus khác điểm tự đính kèm vào chương trình thực thi bí mật chương trình mang virus thực thi Khi virus thực thi làm việc hệ thống xóa file, chương trình 1.2 Vịng đời Virus Vòng đời virus gồm giai đoạn: Dormant (nằm im): Trong giai đoạn virus khơng làm kích hoạt hay kiện Propagation (lây lan): Trong giao đoạn virus thực việc chép tới chương trình, vị trí khác ổ đĩa Triggering (kích hoạt): Trong giai đoạn virus kích hoạt để thực thi chức Execution (thực thi): Chức virus thực thi Chức vơ hại gửi thơng điệp tới hình, chức có hại phá hủy chương trình, file hệ thống Để tránh việc lây nhiễm nhiều lần lên chương trình, đoạn mã virus thường chứa phận gọi chữ ký (ví dụ: chuỗi ký tự đặc biệt) Trong pha lây lan, virus kiểm tra tồn chữ ký chương trình đích thực việc lây lan chương trình chưa có chữ ký 1.3 Phân loại Virus máy tính Hiện nay, chưa có cách phân loại thống cho loại virus Thơng thường, người ta phân loại virus theo hình thức lây nhiễm, theo cách virus che giấu thân, Dưới đây, trình bày phân loại theo hình thức lây nhiễm virus theo chuẩn NIST 1.3.1 Phân loại theo hình thức lây nhiễm Virus gồm loại chính: Hình 1 Phân loại virus máy tính theo hình thức lây nhiễm Memory – resident virus (virus trú nhớ chính): Cư trú nhớ phần chương trình hệ thống Theo virus gây ảnh hưởng chương trình thi Program file virus (virus lây file): Gây ảnh hưởng đến file chương trình exe/com/sys Polymorphic virus (virus đa hình): Loại virus tự thay đổi hình thức nó, gây khó khăn cho chương trình diệt virus Virus “Tequilla” loại virus đa hình xuất năm 1991 Boot Sector virus: Là loại virus giới phổ biến rộng rãi viết vào năm 1986 Boot virus lợi dụng tiến trình boot máy tính để thực việc kích hoạt Khi máy tính khởi động, ln tìm đến master boot record lưu trữ lại địa head 0, track 0, sector để đọc thông tin Boot Sector virus lây lan đĩa cứng khởi động hệ thống từ đĩa mềm bị nhiễm Stealth virus: Đây loại virus có khả tự che giấu khơng hệ điều hành phần mềm chống virus biết Nó nằm nhớ để ngăn chặn sử dụng hệ điều hành che giấu thay đổi kích thước tập tin Những virus bị phát chúng nhớ Có nhiều Boot Sector virus có khả Stealth Ví dụ virus “The Brain” tạo Pakistan Basit Amjad Chương trình nằm phần khởi động (boot sector) đĩa mềm 360Kb lây nhiễm tất ổ đĩa mềm Đây loại “stealth virus” Macro virus: Là tập lệnh thực thi ứng dụng Macro virus phổ biến ứng dụng Microsoft Office tận dụng khả kiểm soát việc tạo mở file để thực thi lây nhiễm Ví dụ: virus Baza, Laroux số virus Staog xuất năm 1996 công file hệ điều hành Windows 95, chương trình bảng tính Excel Linux Virus Melisa Macro virus tiếng Thư điện tử virus: Là virus phát tán qua thư điện tử Ví dụ virus Melissa đính kèm thư điện tử Nếu người dùng mở file đính kèm Macro kích hoạt sau thư điện tử virus tự động gửi tới tất hịm thư có danh sách thư người 1.3.2 Phân loại theo NIST: Theo Viện Tiêu chuẩn Kĩ thuật Quốc gia Hoa Kỳ (National Institute of Standards and Technology – NIST), virus máy tính gồm loại sau: Compiled Virus virus mà mã thực thi dịch hồn chỉnh trình biên dịch để thực thi trưc tiếp từ hệ điều hành Các loại boot virus (Michelangelo Stoned), file virus (như Jerusalem) phổ biến năm 80 virus thuộc nhóm này, compiled virus pha trộn boot virus file virus phiên Interpreted Virus tổ hợp mã nguồn mà thực thi hỗ trợ ứng dụng cụ thẻ dịch vụ cụ thể hệ thống Một cách đơn giản, virus kiểu tập lệnh, ứng dụng gọi thực thi Macro virus, scripting virus virus nằm dạng Macro virus phổ biến ứng dụng Microsoft Office tận dụng khả kiểm soát việc tạo mở file để thực thi lây nhiễm Sự khác macro virus scripting virus là: Macro virus tập lệnh thực thi ứng dụng cụ thể, scripting virus tập lệnh chạy service hệ điều hành Melisa ví dụ điển hình Macro virus, Love Stages ví dụ cho scripting virus 10 CHƯƠNG CƠ CHẾ HOẠT ĐỘNG CỦA MỘT SỐ LOẠI VIRUS 2.1 Virus đa hình (2) 2.1.1 Định nghĩa Virus đa hình (polymorphic virus) khác với virus máy tính thơng thường chỗ có khả tự biến đổi thân thành nhiều dạng khác Do virus đa hình liên tục biến đổi mã lệnh, nên thật khó để tìm đoạn mã đặc trưng nó, khó phát phương pháp so sánh mã truyền thống 2.1.2 Một số kỹ thuật ngụy trang virus đa hình 2.1.2.1 Mã hóa Một virus đa hình mã hố mã lệnh cách sử dụng giải thuật mã hoá Giải thuật mã hố thường đơn giản mục đích q trình khơng phải để giữ bí mật mà để biến đổi mã lệnh (giải thuật đơn giản tốc độ mã hố nhanh) Để tạo nhiều khác nhau, virus phải mã hố khố khác lây vào file khác Một kỹ thuật thường virus sử dụng sử dụng phép tốn XOR, phép tốn có đặc điểm (A XOR K) XOR K = A, tức sau hai lần XOR với khố K A trở giá trị ban đầu Trước tạo mới, virus tạo khoá K ngẫu nhiên (có thể dựa vào thời gian hệ thống đó) Sau XOR mã nguồn với khố này, byte để tạo virus mã hoá nằm file bị nhiễm Khoá K cất file Vì khố ngẫu nhiên nên sinh thời điểm khác khác Khi muốn chạy, virus phải giải mã nó, nên cần có hàm giải mã cất file (hàm giải mã thực XOR mã virus với khoá K lần thứ hai để thu mã nguồn ban đầu) 11 MOV AX, A NOP ADD AX, B NOP ADD AX, C NOP SUB AX, D NOP MOV E, AX NOP lệnh khơng làm cả, việc chèn vào lệnh khơng ảnh hưởng tới việc kết hoạt động đoạn mã Tuy nhiên ví dụ đơn giản, việc chèn lênh NOP liên tục, xen kẽ lệnh vậy, dễ khiến chương trình diệt virus nghi ngờ, trở thành đầu mối để phát virus Trên thực tế, người ta sử dụng nhiều kỹ • thuật chèn khác chèn hai lệnh, chèn nhiều lệnh, … Thay lệnh: Đơi thay lệnh đoạn mã vài lệnh khác tương đương Ví dụ như: 15 MOV AX, A ADD AX, B ADD AX, C SUB AX, D PUSH AX POP E Đoạn mã thực phép toán E = A + B + C – D Tuy nhiên, không trực tiếp chuyển giá trị ghi AX sang biến E mà đẩy giá trị vào stack, sau chuyển từ stack vào biến E Có nhiều kỹ thuật ngụy trang khác để thay đổi mã lệnh, tùy thuộc vào trình độ người viết virus độ phức tạp chương trình 2.2 Virus siêu đa hình Virus siêu đa hình (Super – polymorphic virus) hệ virus đa hình Thế hệ virus nâng cấp khả đa hình cách lai tạo, kết hợp nhiều loại kiểu kỹ thuật đa hình khác virus Virus siêu đa hình lây nhiễm tự động biến đổi, lai tạp, hình thành hệ virus F1, F2, … Fn với n số không xác định 16 Sau lần lai tạp, khả phát phần mềm diệt virus loại virus ngày giảm Chính thế, virus siêu đa hình tránh khỏi hầu hết phần mềm diệt virus khơng có chế quét sâu (deep scan) Nếu phần mềm sử dụng nhận diện cố định để tìm virus siêu đa hình khơng thể tìm đủ “hình thể” dẫn tới khơng diệt triệt để Về mức độ phá hoại, virus siêu đa hình khơng kém, chí cịn nguy hiểm so với virus truyền thống Chúng thể lấy cắp liệu, lấy cắp thông tin nạn nhân làm chậm hế thống làm giảm mức độ an ninh hệ thống hay lợi dụng tài nguyên máy tính để thực cơng mạng 2.3 Virus tàng hình 2.3.1 Định nghĩa Virus tàng hình (Stealth Virus) virus mà chúng chủ động thực kỹ thuật để che dấu lây nhiễm với hệ điều hành, phần mềm diệt virus Chúng chủ yếu thực hành động nhớ hệ điều hành 2.3.2 Kỹ thuật ngụy trang virus tàng hình (3) Vì vi rút tàng hình cần theo dõi truy cập vào tệp bị nhiễm để chặn yêu cầu đó, chúng phải "móc" vào lệnh ngắt (như Int 13h Int 21h) Các ứng dụng sử dụng phần mềm ngắt để giao tiếp với hệ điều hành Hệ điều hành có bảng địa trình xử lý ngắt phần mềm Bất ngắt phần mềm gọi, hệ điều hành xác định địa trình xử lý ngắt, nhảy đến địa bắt đầu thực trình xử lý n ngắt Virus bám vào ngắt cách thay đổi địa trình xử lý ngắt n-1 thành vị trí mã virus Sau đó, định phải làm với yêu cầu Ngắt n cuối sau trả kết chưa có xảy Hình bên cho thấy quy trình ngắt bị ảnh hưởng loại virus ẩn 17 Hình Sự can thiệp vào chuỗi xử lý ngắt virus Sau can thiệp vào chuỗi ngắt, virus thực số kỹ thuật sau: 2.3.2.1 Điều chỉnh kích thước Virus tàng hình lây nhiễm tiến hành lưu trữ tất thơng tin gốc (ví dụ: nội dung, kích thước tệp, dấu thời gian, ) Giả sử có yêu cầu kiểm tra kích thước, trước kích thước trả về, virus tàng hình trừ kích thước với kích thước virus Điều khiến cho kích thước tệp không bị thay đổi 2.3.2.2 Chỉnh mốc thời gian Cũng giống cách trên, sau thao tác vào tệp, virus khôi phục lại dấu thời gian ban đầu, chưa chỉnh sửa 18 2.3.2.3 Lưu chưa nhiễm Virus tàng hình chí cịn tự xóa khỏi tệp kiểm tra Sau kết thúc, tái lây nhiễm vào tệp 2.3.3 Một số loại virus tàng hình lịch sử 2.3.3.1 Virus Brain (3) Một ví dụ virus tàng hình Brain, loại vi rút DOS tạo từ thời kì virus Được phát vào năm 1986, Brain nhắm mục tiêu vào tảng PC IBM (và nói cách khác hệ điều hành MS-DOS) Bằng cách sử dụng kỹ thuật để che giấu tồn nó, loại virus tàng hình Brain nạp hệ thống bắt đầu cách giám sát đĩa vật lý Sau đó, chuyển hướng tất nỗ lực đọc khu vực bị nhiễm đến phần đĩa nơi chứa khu vực khởi động ban đầu, không bị nhiễm Hay nói tóm lại khơng thể chép với mục đích tránh vi phạm quyền phần mềm 19 Hình Virus Brain 2.3.3.2 Virus Fileless (4) (5) Là loại virus có xu hướng gia tăng lây nhiễm Theo thống kê hệ thống BKAV, 800.000 máy tính Việt Nam bị nhiễm loại mã độc năm 2020, tăng gấp đơi so với năm 2019 20 Hình Thống kê BKAV Virus Fileless Fileless loại mã độc khơng có file, thực thi thơng qua script Powershell, JS, VBS Cũng giống loại mã độc khác, Fileless phát tán thông qua đường khai thác lỗ hổng phần mềm, lỗ hổng hệ điều hành, email (4) Hình Ví dụ chế hoạt động Fileless Hình Virus Fileless 21 Như hình 2.7, loại virus hồn tồn khơng có file, chạy thơng qua script PowerShell lưu registry Đoạn lệnh bên có ý nghĩa: PowerShell.exe giải mã base64 thực thi script lưu registry HKCU:\Software\Classes\isbCkwI\wXXEsNt Data value có type REG_EXPAND_SZ sau : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\isbCkwI').wXXEsNt))); Registry: Windows Registry sở liệu thứ bậc chứa tất cấu hình cài đặt sử dụng thành phần, dịch vụ, ứng dụng, nhiều tất thứ Windows Registry có hai khái niệm cần lưu ý: Khóa (Key) Giá trị (Value) Khóa đối tượng mà giống thư mục, tồn windows registry, chứa giá trị Giá trị giống tập tin thư mục, chúng chứa thiết lập thực Hình Khóa (Key) Registry 22 Khóa hình HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run khiến giá trị thực người dùng đăng nhập (6) Quay trở lại với việc phân tích Fileless, tới registry lưu script, ta thấy lưu data dạng base64, giải mã đoạn script đẹp sau: Hình Mã powershell virus Đây cách để virus che dấu thân với trình diệt virus 23 CHƯƠNG PHỊNG CHỐNG, NGĂN CHẶN VIRUS MÁY TÍNH (3) Để khơng bị lây nhiễm virus giải pháp triệt để ngăn chặn kết nối thông tin vào thiết bị máy tính bao gồm ngắt kết nối mạng chia sẻ, không sử dụng ổ mềm, ổ USB copy file vào máy tính, đặc biệt dạng file có nguy cao Điều thực hiệu mà tăng trưởng số lượng virus hàng năm giới lớn Tuy nhiên, thời đại “bùng nổ thông tin”, đa số người có nhu cầu truy cập vào “không gian số”, khẳng định chắn bảo vệ an tồn 100% cho máy tính trước hiểm họa virus phần mềm không mong muốn, hạn chế đến tối đa với biện pháp bảo vệ liệu mình: 3.1.1 Sử dụng phần mềm diệt virus Bảo vệ cách trang bị thêm phần mềm diệt virus có khả nhận biết nhiều loại virus máy tính liên tục cập nhật liệu để phần mềm nhận biết virus Trên thị trường Việt Nam có nhiều tên tuổi phần mềm diệt virus như: • • Phát hành người Việt Nam: Bkav, D32, CMC,… Của nước ngoài: Norton – Symatec, Karpersky, Avira, AVG, ESET, • Avast!, BitDefender,… Phát hành Microsoft: Microsoft Security Essentials, Windows Defender (từ Windown trở đi) 3.1.2 Sử dụng tưởng lửa cá nhân Tường lửa cá nhân (Personal Firewall) khơng phải xa vời dành cho nhà cung cấp dịch vụ Internet (ISP) mà máy tính cá nhân cần phải sử dụng tường lừa để bảo vệ trước virus phầm mềm độc hại Khi sử dụng tường lửa, thông tin vào máy tính 24 kiểm sốt cách vơ thức có chủ ý Nếu phần mềm độc hại cài vào máy tính có hành động kết nối Internet tường lửa cảnh báo giúp người sử dụng loại bỏ vơ hiệu hố chúng Tường lửa giúp ngăn chặn kết nối đến không mong muốn để giảm nguy bị kiểm sốt máy tính ngồi ý muốn cài đặt vào chương trình độc hại hay virus máy tính Tường lửa chia hai loại: 3.1.2.1 Sử dụng tường lửa phần cứng: Nếu người sử dụng kết nối với mạng Internet thông qua modern card chun dụng có chức Thơng thường chế độ mặc định nhà sản xuất chức "tường lửa" bị tắt, người sử dụng truy cập vào modem phép hiệu lực (bật) Sử dụng tường lửa phần cứng tuyệt đối an toàn chúng thường ngăn chặn kết nối đến trái phép, kết hợp sử dụng tường lửa phần mềm 3.1.2.2 Sử dụng tường lửa phần mềm: Ngay hệ điều hành họ Windown ngày tích hợp sẵn tính tường lửa phần mềm, nhiên thông thường phần mềm hãng thứ ba làm việc tốt tích hợp nhiều cơng cụ so với tường lửa phần mềm sẵn có Windows Ví dụ phần mềm ZoneAlarm Security Suite hãng ZoneLab công cụ bảo vệ hữu hiệu trước virus, phần mềm độc hại, chống spam, tường lửa 3.1.3 Cập nhật vá lỗi hệ điều hành Hệ điều hành Windown (chiếm đa số) ln bị phát lỗi bảo mật thơng dụng nó, tin tặc lợi dụng lỗi bảo mật để chiếm quyền điều khiển phát tán virus phần mềm độc hại Người sử dụng cần cập nhật vá lỗi Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất phần mềm hãng Microsoft) Windows Update (chỉ cập nhật riêng cho Windows) Cách tốt đặt chế 25 độ nâng cấp (sửa chữa) tự động (Automatic Updates) Windows Tính hỗ trợ Windows mà Microsoft nhận thấy chúng hợp pháp 3.1.4 Vận dụng kinh nghiệm sử dụng máy tính Cho dù sử dụng tất phần mềm phương thức máy tính có khả bị lây nhiễm virus phần mềm độc hại mẫu virus chưa cập nhật kịp thời phần mềm diệt virus Người sử dụng máy tính cần sử dụng triệt để chức năng, ứng dụng sẵn có hệ điều hành kinh nghiệm khác để bảo vệ cho hệ điều hành liệu Một số kinh nghiệm tham khảo sau: • • • • Phát hoạt động khác thường máy tính Kiếm sốt ứng dụng hoạt động Loại bỏ số tính tự động hệ điều hành Quét virus trực tuyến 3.1.5 Bảo vệ liệu máy tính Nếu khơng chắn 100% khơng bị lây nhiễm virus máy tính phần mềm độc hại khác bạn nên tự bảo vệ tồn vẹn liệu trước liệu bị hư hỏng virus (hoặc nguy tiềm tàng khác hư hỏng thiết bị lưu trữ liệu máy tính) Trong phạm vi viết virus máy tính, bạn tham khảo ý tưởng sau: 3.1.5.1 Sao lưu liệu theo chu kỳ: Sao lưu liệu theo chu kỳ biện pháp đắn để bảo vệ liệu Bạn thường xuyên lưu liệu theo chu kỳ đến nơi an toàn như: thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi đĩa quang,…), hình thức thực theo chu kỳ hàng tuần khác tuỳ theo mức độ cập nhật, thay đổi liệu bạn 26 3.1.5.2 Tạo liệu phục hồi cho toàn hệ thống Tạo liệu phục hồi cho tồn hệ thống khơng dừng lại tiện ích sẵn có hệ điều hành (ví dụ System Restor Windows Me, Windows XP) mà cần đến phần mềm hãng thứ ba, ví dụ bạn tạo lưu hệ thống phần mềm ghost, phần mềm tạo ảnh ổ đĩa phân vùng khác Thực chất hành động không chắn liệu lưu không bị lây nhiễm virus, có virus phiên cập nhật phần mềm diệt virus tương lai loại bỏ chúng 27 TÀI LIỆU THAM KHẢO [1]-TS NGUYỄN ĐÌNH VINH, TS TRẦN ĐỨC SỰ, KS VŨ THỊ VÂN Giáo trình CƠ SỞ AN TỒN THƠNG TIN Hà Nội : s.n., 2013 [2]-CÁC KỸ THUẬT NGỤY TRANG CỦA VIRUS ĐA HÌNH Phạm Thanh Bình, Khoa Cơng nghê Thơng tin - Đại học Thủy lợi 2014 Hội nghị Khoa học thường niên pp 17-18 [3]-Microsoft Run and RunOnce Registry phân Virus Keys [Online] https://docs.microsoft.com/ [4]-HustReMw Hướng dẫn tích Powershell [Online] https://whitehat.vn/ [5]-Phân tích Virus Fileless [Online] https://whitehat.vn/ [6]-Aycock, John Computer virus and malware [7]-Wikipedia.[Online] https://vi.wikipedia.org/wiki/Virus_(m%C3%A1y_t %C3%ADnh)#C%C3%A1ch_ph%C3%B2ng_ch%E1%BB%91ng_virus_v %C3%A0_ng%C4%83n_ch%E1%BA%B7n_t%C3%A1c_h%E1%BA%A1i_c %E1%BB%A7a_n%C3%B3 28 29 ... ẢNH CHƯƠNG TỔNG QUAN VỀ VIRUS MÁY TÍNH (1) 1.1 Định nghĩa Virus máy tính Virus loại mã độc hại (Malicious code) có khả tự nhân lây nhiễm vào file, chương trình máy tính Virus phải ln bám vào vật... báo cáo trình chương: Chương 1: Tổng quan Virus máy tính Chương 2: Cơ chế hoạt động số loại Virus máy tính Chương 3: Phịng chóng, ngăn chặn Virus máy tính Nhóm xin cảm ơn Cơ Vũ Thị Vân tạo hội... mạng máy tính Virus máy tính Xuất từ năm 1949, Virus máy tính ngày đa dạng chủng loại, cách thức hoạt động gây thiệt hại lớn tới nhiều cá nhân, tổ chức, doanh nghiệp Hiểu tình hình đó, Nhóm 11