- Worm lây lan qua USB, ổ cứng di động: tƣ c̣đôngc̣ chaỵ khi cắm USB (Autorun.inf),
giả mạo icon (giả mạo thƣ mục, file ảnh, file văn bản), giả mạo shortcut ổ USB.
37 Trung tâm phân tích kỹ thuật tập đồn BKAV 38 Trung tâm phân tích kỹ thuật tập đoàn BKAV
- Worm AutoRun
Khi ta cắm USB vào máy và mở ổ USB đó lên, thì worm ngay lập tức đƣợc chạy, dù ta chƣa mở bất kỳ một file nào trong ổ USB. Loại worm này chỉ lây đƣợc trên các hệ điều hành từ Windows XP trở xuống. Trên Windows XP, nếu mở USB bằng cây thƣ mục bên trái của Explorer, thì sẽ khơng kích hoạt tính năng autorun này.
Hình 1.9: Worm auto run39 - Worm Fake Icon
Hình 1.10: Worm Fake Icon40
Là file thực thi nhƣng đƣợc giả mạo bằng icon của file word, excel, pdf… Chúng thƣờng ẩn thƣ mục, file văn bản ở USB đi, rồi tạo ra 1 file thực thi có tên với icon giống với file bị ẩn đó làm ngƣời dùng nhầm tƣởng đó là thƣ mục, văn bản thật. Khi mở file giả mạo đó, worm sẽ mở lại file gốc, nên ngƣời dùng khơng biết máy mình đã bị nhiễm worm.
- Worm Fake USB Drive
39 Trung tâm phân tích kỹ thuật tập đồn BKAV 40 Trung tâm phân tích kỹ thuật tập đồn BKAV
Hình 1.11: Worm Fake USB Drive41
Khi mở USB bị nhiễm Worm, ngƣời dùng thấy một ổ USB nữa và phải mở tiếp ổ này mới thấy đƣợc dữ liệu. Thực chất, ổ USB thứ hai chính là một shortcut trỏ đến file worm.
- Worm khai thác lỗ hổng phần mềm
Các phần mềm trên máy tính nhiều khi mắc những lỗi lập trình nghiêm trọng dẫn đến các mã độc có thể khai thác và cài malware lên máy. Các lỗi thƣờng gặp là của các phần mềm Windows, MS office, Adobe Flash, Java, Adobe… Nếu không cập nhật các bản vá lỗi của các phần mềm, thì nguy cơ bị nhiễm các dòng malware này là cực kỳ lớn kể cả khi máy có cài Antivirus.
Hình 1.12: Worm khai thác lỗ hổng phần mềm423. Trojan – Phần mềm gián điệp 3. Trojan – Phần mềm gián điệp
Trojan là thƣờng phần mềm gián điệp cao cấp, có điều khiển bằng C&C server, dùng để tấn cơng có chủ đích APT hoặc phát tán diện rộng. Hacker thƣờng cài Trojan vào Website, các phần mềm ứng dụng nhƣ Antivirus, Unikey, Adobe Flash Player…, để lừa ngƣời dùng tải về, làm lây lan trên diện rộng. Thủ đoạn tấn cơng APT nhằm cài Trojan vào máy tính của một ngƣời có nhiều dữ liệu quan trọng để lấy cắp dữ liệu.
Hình 1.13: Minh họa phát hiện Trojan43
Backdoor: Mởcổng kết nối trên máy nạn nhân để tin tăcc̣ truy nhâpc̣ vàđiều khiển tƣƣ̀ xa
42 Trung tâm phân tích kỹ thuật tập đồn BKAV 43 Internet
Hình 1.14: Backdoor cài vào file flashplayer lừa ngƣời dùng tải về máy tính444. Mã độc tấn công DDOS-Botnet 4. Mã độc tấn công DDOS-Botnet
Tấn công từ chối dịch vụ (DDOS-Botnet) là cách tấn công làm tắc nghẽn đƣờng truyền, làm cho ngƣời sử dụng không thể truy cập, hoặc chậm, hoặc chập chờn khi kết nối đến vào trang web bị tấn công.
Hacker cài mã độc vào phần mềm ứng dụng để ngƣời dùng tải về trên diện rộng hoặc dùng thủ đoạn gửi số lƣợng lớn email Phishing lừa đảo và vì vậy nhiều ngƣời bị nhiễm, tạo nên mạng máy tính ma – Botnet gồm hàng trăm nghìn đến hàng triệu máy tính. Mã độc trong những máy tính ma này liên tục kết nối lên C&C server để nhận lệnh tấn công lặp đi lặp lại vào một địa chỉ trang web đã định trƣớc làm tắc nghẽn đƣờng truyền. Mỗi website có một dung lƣợng nhất định, băng thơng (bandwidth) và tải (load: số lƣợng truy cập đƣợc xử lý đồng thời) nhất định, tùy thuộc vào gói dịch vụ và lƣu lƣợng chịu tải của server. Số lƣợng truy cập vào website càng nhiều, thì tải của server càng tăng và băng thông càng cạn, do vậy Server không thể cung cấp đƣợc các dịch vụ cho các yêu cầu của ngƣời dùng thông thƣờng. Lợi dụng điểm yếu này của hệ thống mạng, hacker sử dụng phƣơng pháp tấn công từ chối dịch vụ (Denial of Service- DoS) hoặc dạng cải tiến là tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDoS) theo mơ hình sau:
Hình 1.15: Mơ hình tấn cơng DDOS-Bonet45
44 Vụ tấn cơng VCCorp năm 2014, Giáo trình Hệ thống thơng tin và An ninh thơng tin – Đại tá, PGS.TS. Trần Văn Hòa, Khoa HSB, Đại học Quốc gia Hà Nội
5. Spyware
Spyware: là loại phần mềm chuyên thu thập dữ liệu từ các máy chủ, máy tính cá nhân, thiết bị số mà khơng có sự nhận biết hay cho phép của chủ máy. Dữ liệu có thể là thơng tin về tài khoản, mật khẩu, thông tin cá nhân, doanh nghiệp, các tài liệu mật của chính phủ hay bí mật cơng nghệ của các hãng sản xuất lớn…
Hình 1.16: Spyware tấn cơng các sân bay năm 2016466. Adware 6. Adware
Adware: thay đổi thơng số trình duyệt (home page, search engine), liên tục hiện các pop-up quảng cáo…
Hình 1.17: Hình ảnh Adware477. Fake AV 7. Fake AV
Fake AV: giả dạng phần mềm diệt virus lừa ngƣời dùng mua bản quyền . Khi bị nhiễm loại malware này, ngƣời sử dụng sẽ liên tục nhận đƣợc các cảnh báo hệ thống bị nhiễm virus nguy hiểm, cần mua bản quyền để gỡ bỏ. Nhƣng thực chất các cảnh báo này đều là giả và phần mềm đƣa ra cảnh báo này mới chính là malware.
46 Trung tâm phân tích kỹ thuật tập đồn BKAV 47 Trung tâm phân tích kỹ thuật tập đồn BKAV
Hình 1.18: Hình ảnh Fake AV48 8. Ransomeware
Khi máy tính bị nhiễm Ransomeware – mã độc tống tiền, mã độc sẽ tự động mã hoá các file ứng dụng quan trọng trên máy để ngƣời dùng khơng thể sử dụng đƣợc. Kèm theo đó, là một thơng báo rất chi tiết về cách liên hệ với đơn vị tấn công để trả tiền (thƣờng qua Bitcoin) mua lại cách giải mã các file dữ liệu hoặc ứng dụng này
Hình 1.29: Màn hình tống tiến của mã độc WannaCry49
48 Trung tâm phân tích kỹ thuật tập đồn BKAV 49 Trung tâm phân tích kỹ thuật tập đồn BKAV
9. Rootkit là Phần mềm can thiêpc̣ sâu vào hê c̣điều hành đểche giấu thơng tin
Ứng
dụng
Ro
otkit thớngHê
Hình 1.20: Sơ đồ Rootkit50
Hình 1.21: Mã Zeus update với thành phần đƣợc trang bị công nghệ Rootkit51
1.2.2.2. Xu hướng phát triển của các loại mã độc hiện nay
Việc phân loại mã độc thƣờng theo mục đích sử dụng và ít khi phân loại theo cách thức lây lan. Hiện nay, các loại mã độc đang phát triển mạnh theo hai xu hƣớng sau:
- Mã độc mã hóa tống tiền – Ransomware.
- Mã độc gián điệp – Spyware a. Ransomware
Ransomware là loại malware ngăn chặn hoặc giới hạn ngƣời dùng sử dụng thiết bị, hệ thống hoặc dữ liệu của mình. Một số mã hóa file khiến ngƣời dùng khơng thể mở đƣợc tài liệu quan trọng, một số khác dùng cơ chế khóa máy để khơng cho nạn nhân tiếp tục sử dụng.
Những trƣờng hợp đầu tiên bị dính ransomware mà đƣợc ghi nhận là tại Nga vào năm 2005 - 2006. Khi đó, một ransomware mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của ngƣời dùng lại thành một file zip rồi xóa đi các tập tin gốc. Để mở file zip này thì cần có password. TROJ_CRYZIP.A cịn tạo một file văn bản để làm "thƣ tống tiền" và yêu cầu ngƣời dùng muốn có password để mở file zip thì phải trả 300$.
50 Trung tâm phân tích kỹ thuật tập đồn BKAV 51 Trung tâm phân tích kỹ thuật tập đồn BKAV
Ban đầu ransomware chỉ hoành hành ở Nga, nhƣng nhờ vào cách kiếm lợi nhanh, nhiều và dễ, cùng với sự phát triển của các đồng tiền ảo, các hacker đã sử dụng mã độc này tấn cơng ngƣời dùng khắp thế giới, trong đó có Việt Nam. Tháng 1 năm 2015, hệ thống giám sát của Bkav phát hiện biến thể mới của dịng mã CryptoLocker có tên gọi CTB Locker, đang phát tán mạnh tại Việt Nam. Hàng loạt ngƣời dùng đã nhận đƣợc spam email đính kèm file .zip và khi mở file, máy tính sẽ bị mã hóa các file dữ liệu (Word, Excel), khơng thể giải mã đƣợc. Dữ liệu đã bị mã hóa sẽ khơng thể đƣợc khơi phục, vì hacker sử dụng thuật mã hóa cơng khai và khóa bí mật dùng để giải mã, chỉ đƣợc lƣu giữ trên server của hacker. Chỉ trong vòng10 ngày, 2.100 máy tính của ngƣời dùng trong nƣớc đã bị nhiễm CTB Locker.
Năm 2016, ghi nhận sự bùng nổ của mã độc mã hóa dữ liệu tống tiền ransomware. Thống kê từ hệ thống giám sát virus của Bkav cho thấy, có tới 16% lƣợng email lƣu chuyển trong năm 2016 là email phát tán Ransomware, nhiều gấp 20 lần năm 2015. Nhƣ vậy, trung bình 10 email trong năm 2016 có 1,6 email chứa ransomware, một con số rất đáng báo động52.
Ransomware mã hóa các file dữ liệu trên máy tính, yêu cầu ngƣời sử dụng phải trả tiền chuộc từ 0,5 đến 1 Bitcoin (từ 500 đến 1.000 USD) để mở file. Đặc biệt, mã độc Popcorn Time xuất hiện trong thời gian gần đây cho phép ngƣời dùng giải mã miễn phí các tập tin của mình nếu làm theo hƣớng dẫn để lây nhiễm cho hai ngƣời khác. Hình thức phát tán chủ yếu của ransomware trong năm 2016 là thơng qua file đính kèm từ các spam email. Khi ngƣời dùng mở file đính kèm, mã độc sẽ chạy trực tiếp hoặc đƣợc file đính kèm tải về từ máy chủ C&C của hacker. Một số hình thức phát tán khác mà ransomware sử dụng là khai thác lỗ hổng, giả mạo trang web, giả mạo các chƣơng trình thơng dụng…
Locky là dịng ransomware lây lan rộng nhất trong năm 2016 với những chiến dịch gửi spam email số lƣợng rất lớn đính kèm các file tài liệu dạng .doc, .xls hoặc script nhƣ .js hay .wsf. Tập tin bị mã hóa từng thời điểm sẽ có đi khác nhau nhƣ *.aesir hay *.odin… Mã độc tống tiền Cerber năm 2016 mã hóa các tập tin dữ liệu và đổi đuôi thành *.cerber, *.cerber2, *.cerber3. .cerber 4 và .cerber 5. mã hóa tống tiền
Tháng 5/2017, mã độc WannaCrypto đã lây nhiễm hàng trăm nghìn máy tính tại 74 quốc gia. Ngày13/5, Hệ thống giám sát virus của Bkav ghi nhận những trƣờng hợp lây nhiễm mã độc này tại Việt Nam. WannaCry tấn cơng máy nạn nhân qua file đính kèm email hoặc link độc hại, nhƣ các dòng ransomware khác, đồng thời đƣợc bổ sung khả năng lây nhiễm trên các máy tính ngang hàng. WannaCry qt tồn bộ máy tính trong cùng
mạng LAN để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows XP). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng, mà không cần ngƣời dùng phải thao tác trực tiếp với file đính kèm hay link độc hại. WannaCry có thể xếp vào mức nguy hiểm cao nhất, vì vừa lây lan cực nhanh vừa có tính phá hoại53.
Hình 1.22: Giao diện địi tiền chuộc của mã độc mã hóa tống tiền WannaCrypto54
Tại Việt Nam, cịn nhiều máy tính sử dụng hệ điều hành Windows XP tồn tại lỗ hổng EternalBlue, do chƣa vá lỗ hổng đã đƣợc Microsoft cập nhật lên mạng từ lâu, nên đã bị WannaCry khai thác để tấn cơng. Tới ngày 16/5/2017, tại Việt Nam đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền WannaCry, trong đó, khoảng 1.600 máy tính của
243 cơ quan, doanh nghiệp và khoảng 300 máy tính của ngƣời sử dùng cá nhân55. Đặc biệt, ransomware không chỉ nhắm đến ngƣời dùng Windows mà còn mở rộng sang các hệ điều hành khác nhƣ Linux hay Mac OS, thậm chí cả thiết bị di động chạy Android và smart TV.
b. Phần mềm gián điệp
Phát tán virus đã thực sự trở thành một ngành "công nghiệp" trong hoạt động gián điệp trong các năm gần đây. Hoạt động gián điệp này không chỉ tồn tại ở những nƣớc phát triển nhƣ Mỹ, Đức, Pháp… mà còn hiện hữu ngay tại Việt Nam. Phần mềm gián điệp đã đƣợc ghi nhận xuất hiện tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới Bộ Quốc phịng, Bộ Cơng an hay các ngân hàng, viện nghiên cứu, trƣờng đại học… Các phần mềm gián điệp này lợi dụng lỗ hổng bảo mật trong các hệ điều hành, các phần mềm ứng dụng, các Firmware để phát tán.
53 Trung tâm phân tích kỹ thuật tập đồn BKAV 54 Trung tâm phân tích kỹ thuật tập đồn BKAV
Chi tiết nổi bật về xu hƣớng phát triển phần mềm gián điệp mạng cũng là nội dung chính và đƣợc phân tích xuyên suốt đề tài luận văn.
1.2.2.3. Social engineering
Hacker liên tục cải tiến, phát triển mã độc với công nghệ mới nhất và trở nên ngày càng nguy hiểm. Nhƣng khó khăn nhất là làm cách nào cài đƣợc mã độc đó vào máy tính của nạn nhân đƣợc nhắm đến, vì phải tìm đƣợc lỗ hổng bảo mật của hệ điều hành và các phần mềm ứng dụng trong máy tính của nạn nhân, cũng nhƣ phải lừa cho nạn nhân tự tải về mã độc này và cho chạy trên máy tính. Social engineering chính là thủ đoạn lừa nạn nhân tin tƣởng và tự tải về file đã bị đính kèm mã độc bằng cách tạo ra các tình huống hoặc thơng tin hấp dẫn phù hợp với từng nạn nhân, dẫn đến nhầm lẫn hoặc tin tƣởng và tự tải xuống file chứa mã độc hoặc tự truy cập vào một đƣờng link có chứa mã độc. Hậu quả là máy tính bị nhiễm mã độc mà ngƣời dùng không biết. Phần mềm gián điệp ban đầu đƣợc cài vào máy thƣờng là các Back door có chức năng tự động kết nối lên C&C server để tải về các mã độc khác theo lệnh của hacker, thƣờng có các chức năng bí mật lấy cắp dữ liệu hoặc phá hoại dữ liệu. Đây là loại tấn cơng có chủ đích, dai dẳng, thân thiện, thƣờng kéo dài với nhiều thủ đoạn đƣợc tính tốn, nghiên cứu rất kỹ về nạn nhân, nên các cuộc tấn công kéo dài cho đến khi nạn nhân xập bẫy của hacker.
Thông thƣờng, ngƣời dùng không đủ kiến thức về bảo mật máy tính, nên rất dễ bị lừa. Hiện nay, hacker đã phát triển kĩ năng về Social Engineering với những tình huống không ngờ nhất, làm cho ngƣời dùng không hề nghi ngờ rằng họ đang bị lừa.
Để phịng chống mã độc, Chính phủ đã ban hành nhiều văn bản pháp qui, qui định về xây dựng Hạ tầng mạng an toàn, đầu tƣ cho bảo mật, an ninh mạng, phòng chống mã độc và khuyến cáo ngƣời dùng sử dụng máy tính an tồn, nhƣng phần lớn các doanh nghiệp và tổ chức vẫn chƣa nhận thức đƣợc đầy đủ nguy cơ và tổ chức bảo vệ hệ thống mạng máy tính cũng nhƣ máy tính của ngƣời dùng trong mạng.
1.2.2.4. Phương thức và xu hướng hoạt động của gián điệp mạng sử dụng mã độc tấn công doanh nghiệp
Hàng loạt các vụ tấn công mạng, mất tài khoản gần đây có nguyên nhân từ việc máy tính nạn nhân bị kiểm sốt, lấy cắp thơng tin bởi phần mềm gián điệp. Để phát tán, hacker gửi email đính kèm các file nhƣ Word, Excel, PDF, PowerPoint, Flashplayer… có nội dung hấp dẫn, bị cài virus dạng spyware. Hầu hết ngƣời nhận đƣợc email bị lừa vì tin vào “ngƣời gửi”, tin vào nội dung email, bị cuốn hút bởi file đính kèm…, đã mở file đính kèm và bị nhiễm spyware. Các phần mềm gián điệp này giúp hacker kiểm sốt, điều khiển
máy tính nạn nhân từ xa. Chúng cũng nhận lệnh hacker tải các virus khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp dữ liệu.
Hình 1.23: Email giả mạo có đính kèm mã độc56
So với các phƣơng thức hoạt động gián điệp truyền thống, có thể phải mất cả chục năm với rất nhiều công sức và rủi ro cho các “điệp viên”, sử dụng gián điệp mạng có thể thực hiện với chi phí rẻ hơn rất nhiều, thời gian thực hiện rất ngắn, không bị cản trở bới