BỘ GIÁO DỤC VÀ ĐÀO TẠO
VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ

CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN

PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN
RANSOMWARE

DƢƠNG VIỆT SƠN

HÀ NỘI - 2017

13


BỘ GIÁO DỤC VÀ ĐÀO TẠO
VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ
PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN
RANSOMWARE

DƢƠNG VIỆT SƠN

CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN
MÃ SỐ: 60.48.02.018

NGƢỜI HƢỚNG DẪN KHOA HỌC
TS. ĐỖ XUÂN CHỢ

HÀ NỘI - 2017

14


LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc ai
công bố trong bất kỳ công trình nào khác.
Tác giả luận văn ký
và ghi rõ họ tên

Dƣơng Việt Sơn

i


LỜI CẢM ƠN
Em xin bày tỏ lòng biết ơn và kính trọng sâu sắc nhất tới thầy giáo TS. Đỗ
Xuân Chợ giảng viên trƣờng Học Viện Bƣu Chính Viễn Thông, ngƣời đã trực tiếp
hƣớng dẫn, tận tình giúp đỡ chỉ bảo, giúp đỡ em trong suốt thời gian qua với tất cả
tấm lòng, tâm huyết của ngƣời thầy để em có đƣợc những định hƣớng đúng đắn
trong quá trình hoàn thành luận văn tốt nghiệp.
Em chân thành cảm ơn các thầy, cô trƣờng Viện Đại học Mở Hà Nội với tri
thức và tâm huyết của mình đã truyền đạt vốn kiến thức quý báu cho em trong suốt
thời gian học tập tại trƣờng. Em chúc thầy, cô thật dồi dào sức khỏe, niềm tin để
tiếp tục sứ mệnh cao đẹp của ngƣời nhà giáo Việt Nam truyền đạt kiến thức đến các
thế hệ học sinh của trƣờng.
Do thời gian và kiến thức có hạn nên luận văn không thể tránh khỏi những

thiếu sót, em rất mong nhận đƣợc ý kiến đóng góp quý báu của quý thầy cô và các
bạn để luận văn đƣợc hoàn thiện hơn.
Em xin chân thành cảm ơn!
Hà Nội, Ngày 27 tháng 10 năm 2017.
Học viên thực hiện

Dương Việt Sơn

ii


MỤC LỤC

LỜI CAM ĐOAN .......................................................................................... i
LỜI CẢM ƠN ............................................................................................... ii
Danh mục kí hiệu và viết tắt ......................................................................... v
Danh mục hình vẽ ........................................................................................ vi
DANH MỤC BẢNG BIỂU ....................................................................... viii
DANH MỤC BIỂU ĐỒ ............................................................................... ix
DANH MỤC SƠ ĐỒ .................................................................................... x
MỞ ĐẦU ....................................................................................................... 1
CHƢƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC ................................... 3
1.1. Tổng quan chung về mã độc ................................................................. 3
1.1.1. Định nghĩa về mã độc ................................................................. 3
1.1.2. Mục tiêu của mã độc ................................................................... 3
1.1.3. Phân loại mã độc ......................................................................... 4
1.1.4. Xu hƣớng phát triển và sự cải tiến của mã độc........................... 7
1.2. Các nguy cơ mất an toàn thông tin từ mã độc ...................................... 8
1.2.1. Nguy cơ mất an toàn từ ngƣời dùng .......................................... 8
1.2.2. Nguy cơ từ mã độc trên máy trạm ............................................ 9

1.2.3. Nguy cơ đối với hệ thống mạng .............................................. 10
1.2.4. Nguy cơ từ mạng xã hội .......................................................... 10
1.2.5. Nguy cơ từ thiết bị di động ...................................................... 11
1.3. Một số biện pháp phòng chống mã độc .............................................. 11
1.3.1. Nâng cao nhận thức của ngƣời dùng ....................................... 11
1.3.2. Chính sách an toàn ................................................................... 12
1.3.3. Backup và mã hóa dữ liệu ....................................................... 12
1.3.4. Cập nhật hệ điều hành, phần mềm........................................... 13
1.3.5. Sử dụng các phần mềm,giải pháp đầu cuối ............................. 13
1.3.6. Sử dụng xác thực hai bƣớc để bảo vệ tài khoản ...................... 13
1.4. RANSOMWARE ................................................................................. 14
1.4.1. Tổng quan chung về mã độc ransomware ................................ 14
1.4.2. Cách thức hoạt động của mã độc ransomware ......................... 26
1.4.3. Các biện pháp phòng chống ransomware ................................ 29
Kết luận chƣơng 1: ...................................................................................... 31
CHƢƠNG II CÁC PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC .................. 33
2.1. Kĩ thuật phân tích tĩnh .......................................................................... 33
2.1.1. Ƣu nhƣợc điểm của kĩ thuật phân tích tĩnh............................... 33
2.1.2. Các kĩ thuật phân tích tĩnh ........................................................ 33
2.2. Kĩ thuật phân tích động ........................................................................ 41
2.2.1. Ƣu nhƣợc điểm của kĩ phân tích động. ..................................... 41
2.2.2. Các kĩ thuật phân tích động ...................................................... 43
iii


2.3 Phƣơng pháp phát hiện mã độc ransomware ........................................ 49
2.3.1.Các kĩ thuật phát hiện mã độc ransomware ............................... 49
2.3.2.Các kĩ thuật phân tích ransomware ............................................ 51
Kết luận chƣơng 2: ...................................................................................... 51
CHƢƠNG III THỰC NGHIỆM VÀ ĐÁNH GIÁ ..................................... 52

3.1. Giới thiệu về công cụ hỗ trợ thực nghiệm ........................................... 52
3.2. Điều tra viên tiếp nhận vụ án và tiến hành phân tích ........................... 53
Kết luận chƣơng 3: ...................................................................................... 72
TÀI LIỆU THAM KHẢO ........................................................................... 75

iv


DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
Viết tắt
AES
APT
AV
C&C

Tiếng Anh
Advanced Encryption Standard
Advanced Persistent Threat
Antivirus
Command and Control

Tiếng việt
Chuẩn Mã hóa dữ liệu
Mối nguy hiểm cao thƣờng trực
Chống virus
Lệnh và kiểm soát

Central Processing Unit
Cyclic Redundancy Check


Bộ vi xử lý trong máy tính
Phƣơng pháp kiểm tra dữ liệu máy

DDOS

Distributed Denial Of Service

tính
Kiểu tấn công làm quá tải mạng

DLL

Dynamic Link Library

Thƣ viện liên kết động

FBI
IDA

Federal Bureau of Investigation
Interactive DisAssembler

Cục điều tra liên bang của Mỹ
Công cụ dịch ngƣợc mã máy

IP
LAN
MBR

Internet Protocol

Local Area Network
Master Boot Record

Giao thức Internet
Mạng máy tính cục bộ
Chuẩn quản lý phân vùng trên ổ

MD5

Message Digest Algorithm 5

cứng
Thuật toán mã hóa hàm băm

NHS
NIST

National Health Service
National Institute of Standards and
Technology
Operating system
Portable Executable
Proportional Integral Derivative
Universal Serial Bus

Dịch vụ y tế quốc gia
Viện tiêu chuẩn và kỹ thuật quốc gia
(Mỹ)
Hệ Điều Hành Máy tính
Định đạng tập tin thực thi

Bộ điều khiển vi tích phân tỷ lệ
Chuẩn truyền dữ liệu cho BUS

Secure Hash Algorithm
Short Message Services
Rivest Shamir Adelman
Transmission Control Protocol

(thiết bị) ngoại vi
Thuật toán gải băm an toàn
Dịch vụ tin nhắn ngắn
Thuật toán mã hóa công khai.
Giao thức điều khiển truyển vận

CPU
CRC

OS
PE
PID
USB
SHA
SMS
RSA
TCP

v


DANH MỤC HÌNH VẼ

Hình 1. 1. Phân loại mã độc theo hình thức lây nhiễm ...............................................5
Hình 1. 2. Phân loại mã độc theo NIST ......................................................................7
Hình 1. 3. Các liên kết độc hại gửi từ facebook ..........................................................9
Hình 1. 4. Thông báo giả mạo của reveton ...............................................................19
Hình 1. 5. Thông báo đòi tiền chuộc của cryptolocker .............................................20
Hình 1. 6. Thông báo của wanacry trên máy nạn nhân .............................................21
Hình 1. 7. Phát tán rasomware qua thƣ điện tử ......................................................... 26
Hình 2. 1. Giao diện virustotal khi quét tập tin đáng nghi ........................................34
Hình 2. 2. MD5 & SHA Checksum Utility 2.1 .........................................................35
Hình 2. 3. Dữ liệu của tập tin dƣới dạng nguyên thủy ..............................................36
Hình 2. 4. Sử dụng string.exe ....................................................................................37
Hình 2. 5. Xác định packer bằng Detect It Easy .......................................................38
Hình 2. 6. Giao diện đồ họa của IDA Pro .................................................................40
Hình 2. 7. BinDiff .....................................................................................................41
Hình 2. 8. Thông tin sự kiện procmon bắt đƣợc .......................................................44
Hình 2. 9. Giao diện hiển thị chính của Process hacker............................................44
Hình 2. 10. Process hacker highlighting ...................................................................45
Hình 2. 11 Giao diện chính của systracer .................................................................47
Hình 2. 12. Giao diện hiển thị gói tin của Wireshark Bắt gói tin bằng Wireshark ...48
Hình 2. 13. Cửa sổ Follow TCP Stream của Wireshark ...........................................49
Hình 2. 14 Các công cụ theo dõi tài nguyên hệ thống .............................................. 50
Hình 3. 1. Thông báo của ransomware .....................................................................53
Hình 3. 2. Tập tin dữ liệu bị mã hóa bởi ransomware ..............................................54
Hình 3. 3. Thông tin về thời gian mã độc mã hóa tập tin..........................................54
Hình 3. 4. Tập tin windows preftech .........................................................................55
Hình 3. 5. Tiến trình khởi chạy trên hệ thống ...........................................................56
Hình 3. 6. Tập tin nghi ngờ AntiWanaCry................................................................56
Hình 3. 7. Kết quả virustotal .....................................................................................57
Hình 3. 8. Tải mã độc từ liên kết...............................................................................58
Hình 3. 9. Kết quả phân tích hybrid-analysis ............................................................59

Hình 3. 10. Các tiến trình mã độc tạo ra và đƣợc ghi lại ..........................................59
Hình 3. 11. Kết nối mạng tới 2 tên miền spora.bz và ru.wikipedia.org ....................59
Hình 3. 12. Thông báo User Account Control ..........................................................60

vi


Hình 3. 13. Cửa sổ CMD ..........................................................................................60
Hình 3. 14. Lệnh thực thi mã độc..............................................................................61
Hình 3. 15. Thƣ mục đƣợc ẩn đi bởi mã độc và shortcut do mã độc tạo ra ..............61
Hình 3. 16. Tập tin do ransomware tạo ra .................................................................61
Hình 3. 17. Giao diện thông báo tiền chuộc..............................................................62
Hình 3. 18. Main chƣơng trình của mã độc nhìn bằng IDA .....................................62
Hình 3. 19. Dòng lệnh thực hiện xóa tập tin trong mã độc .......................................62
Hình 3. 20. Dòng lệnh sửa đổi đƣờng dẫn ................................................................63
Hình 3. 21. Một số dạng văn bản đƣợc mã hóa ........................................................63
Hình 3. 22. Ransomware tạo tập tin trên máy nạn nhân ...........................................64
Hình 3. 23. Thông tin đã đƣợc mã hóa......................................................................64
Hình 3. 24. Phần mở rộng của các tập tin .................................................................64
Hình 3. 25. Dòng lệnh thực hiện nhập khóa .............................................................65
Hình 3. 26. Lƣu trữ khóa thực hiện trong quá trình mã hóa .....................................66
Hình 3. 27. Dòng lệnh thực hiện giải mã ..................................................................67
Hình 3. 28. Phiên bản Spora......................................................................................67
Hình 3. 29. Dòng lệnh tạo khóa RSA .......................................................................67
Hình 3. 30. Dòng lệnh mã hóa khóa bí mật bằng thuật toán mã hóa base64 ............68
Hình 3. 31. Dòng lệnh lƣu trữ khóa bí mật của mã độc ???......................................69
Hình 3. 32. Dòng lệnh mã hóa khóa trƣớc khi truyền...............................................69
Hình 3. 33. Dòng lệnh tạo khóa mã hóa....................................................................70
Hình 3. 34. Dòng lệnh mã hóa khóa bí mật ..............................................................70
Hình 3. 35. Thực hiện truyền khóa về máy chủ của kẻ tấn công ..............................71

Hình 3. 36. Dòng lệnh kiểm tra file để mã hóa .........................................................71
Hình 3. 37. Ngăn chặn sự phát tán của mã độc spora ...............................................72

vii


DANH MỤC BẢNG BIỂU

Bảng 1. 1. Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong
năm 2014-2015................................................................................................ 23
Bảng 1. 2 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong
năm 2015-2016................................................................................................ 24
Bảng 1. 3. Số lƣợng ngƣời dùng bị tấn công ransomware giai đoạn
20142016 ................................................................................................................. 24

viii


DANH MỤC BIỂU ĐỒ
Biểu đồ 1. 1. Thống kê số lƣợng ngƣời dùng bị tấn công phân loại theo nhóm mã
độc tống tiền mã hóa năm 2014-2015 .......................................................................17
Biểu đồ 1. 2. Thống kê số lƣợng ngƣời dùng bị tấn công phân loại theo nhóm mã
độc tống tiền mã hóa năm 2015-2016 .......................................................................18

ix


DANH MỤC SƠ ĐỒ
Sơ đồ 3. 1. quá trình ngƣời dùng bị nhiễm ransomware ...........................................58


x


MỞ ĐẦU
Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức
phải hoà mình vào mạng toàn cầu Internet, an toàn và bảo mật thông tin là một
trong những vấn đề quan trọng hàng đầu. Các kỹ thuật tấn công ngày càng tinh vi,
phức tạp. Các tổ chức và cá nhân, doanh nghiệp càng thêm lo lắng về các nguy cơ
mất an toàn thông tin hơn khi có sự xuất hiện của mã độc tống tiền (ransomware).
Khác với các mã độc khác khi tấn công vào hệ thống máy tính thì tìm cách đánh cắp
các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, ransomware thì ngay lập tức tìm
đến các file dữ liệu trong máy tính nạn nhân để mã hóa. Sau khi mã hóa xong nếu
nạn nhân không tự bỏ tiền ra mua khóa bí mật từ kẻ tấn công để giải mã thì toàn bộ
dữ liệu này không thể sử dụng đƣợc. Tuy nhiên, gần đây một số biến thể mới của
ransomware đã không yêu cầu tiên chuộc mà nó sẽ đƣa ra danh sách các phần mềm
để bẻ khóa dữ liệu ở trên mạng. Tất nhiên các phần mềm này đều yêu cầu trả phí
khi tải về.
Trong năm 2017 có 2 đợt tấn công của ransomware nổi trội lên nhất, một là
chiều 12/5 theo giờ Việt Nam, tài khoản Twitter @MalwareHunterTeam bắt đầu
thông báo về tốc độ lan truyền đáng báo động của một ransomware mang
tên WanaCrypt0r (một biến thể của WannaCry) và ngày 28/6/2017 một vius khác
mang tên Petrwrap, biến thể từ mã độc tống tiền có tên Petya từng đƣợc phát hiện từ
tháng 3 năm 2017.
Với việc kết hợp các công nghệ mới và liên tục thay đổi phƣơng thức, thủ
đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn. Do đó,
việc nghiên cứu về cơ chế hoạt động của mã độc ransomware là điều rất quan trọng
và cần thiết hiện nay. Để có thể phát hiện và phòng chống hiệu quả mã độc
ransomware thì yêu cầu các cơ quan quản lý an toàn thông tin cần phải nắm rõ đƣợc
cơ chế phát tán, nguyên tắc hoạt động cũng nhƣ một số hành vi của loại mã độc này.
Từ những lý do trên học viên với sự hƣớng dẫn của TS. Đỗ Xuân Chợ lựa

chọn đề tài: “Phƣơng pháp phân tích mã độc tống tiền Ransomware”. Kết quả
nghiên cứu của đề tài sẽ là các hình vi của mã độc ransomware. Các kết quả này
phần nào sẽ giúp các nhà quản trị mạng hiểu rõ hơn về nguyên tắc làm việc của mã

1


độc ransomware cũng nhƣ cung cấp các tài liệu ban đầu cho cơ quan điều tra trong
việc truy tìm nguồn gốc phát tán của mã độc.
Mục tiêu thực hiện luận văn
- Nghiên cứu về mã độc;
- Nghiên cứu về mã độc ransomware và biến thể của nó;
- Nghiên cứu về các phƣơng pháp phân tích mã độc;
- Tìm hiểu về một số công cụ hỗ trợ phân tích mã độc.

Mục đích nghiên cứu:
1. Tìm hiểu về các phƣơng pháp phân tích mã độc và cách thức phân
tích mã độc ransomware.
2. Phân tích cách thức phát tán, tấn công và mã hóa thông tin của mã
độc ransomware.
Đối tƣợng nghiên cứu:
- Mã độc ransomware;
- Phƣơng pháp và kỹ thuật phân tích mã độc;
- Các công cụ, công nghệ phân tích mã độc.

Phạm vi nghiên cứu:
- Mã độc ransomware và các biến thể của nó
- Các kỹ thuật, các phƣơng thức, các giải pháp, các công nghệ mới để phân
tích mã độc ransomware...


Phƣơng pháp nghiên cứu:
- Cơ sở lý thuyết về mã độc và mã độc ransomware.
- Cơ sở lý thuyết về phƣơng pháp phân tích mã độc.
- Nguyên lý làm việc của một số công cụ phân tích mã độc.

2


CHƢƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC
Mã độc từ khi ra đời cho đến nay luôn tận dụng những kỹ thuật tiên tiến của
công nghệ thông tin và truyền thông cũng nhƣ lợi dụng những lổ hổng nguy hiểm
trong các hệ thống tin học để khuyếch trƣơng ảnh hƣởng của mình. Mặc dù việc sử
dụng các thiết bị và phần mềm bảo mật trở nên phổ biến nhƣng mã độc vẫn tiếp
tục phát triển mạnh mẽ và giờ đây chúng thƣờng đƣợc viết ra có mục đích rõ ràng,
phục vụ một đối tƣợng cụ thể và không ngừng cải tiến qua các phiên bản để đạt
đƣợc phiên bản hiệu quả nhất. Vậy để phát hiện và diệt đƣợc mã độc thì trƣớc hết
phải hiểu rõ bản chất của chúng. Về nguyên tắc chung, công việc diệt mã độc đa
phần là làm ngƣợc lại những gì mà mã độc đã làm. Vì vậy trong chƣơng này tôi tập
trung nghiên cứu những nội dung liên quan đến cơ chế hoạt động của các loại mã
độc để làm rõ bản chất của chúng. Từ đó có thể xây dựng chƣơng trình tìm và diệt
mã độc.
1.1. Tổng quan chung về mã độc
1.1.1. Định nghĩa về mã độc
Mã độc là chƣơng trình đƣợc cố ý thiết kế để thực hiện trái phép một số hành
động gây nguy hại cho hệ thống máy tính.
Trong tiếng Anh mã độc là từ viết tắt của “malicious software”, mã độc đề
cập đến những chƣơng trình phần mềm đƣợc thiết kế để gây hại hoặc làm những
hành động không mong muốn trên hệ thống máy tính. Mã độc bản chất là một phần
mềm nhƣ những phần mềm khác trên máy tính vẫn sử dụng hàng ngày và có đầy đủ
những đặc điểm, tính chất của một phần mềm bình thƣờng chỉ khác là có thêm tính

độc hại (malicious) [6, 7].
1.1.2. Mục tiêu của mã độc
Các thống kê cho thấy, các cuộc tấn công của mã độc quy mô lớn chủ yếu
nhắm vào chính phủ hoặc các tổ chức tài chính. Tiếp đó là các công ty, dịch vụ về
công nghệ thông tin. Điều này lý giải cho mục tiêu của mã độc nhắm tới đó là lợi
nhuận và lây lan rộng [6].

3


1.1.3. Phân loại mã độc
Việc phân chia thành những loại mã độc khác nhau sẽ cho cái nhìn cơ bản về
hành vi của mã độc làm cho việc tìm hiểu về mã độc trở nên dễ dàng hơn. Hiện tại
chƣa có một tiêu chuẩn chung nào về việc phân loại mã độc, những công ty, tổ chức
phát triển phần mềm quét mã độc thƣờng có những cách phân loại riêng của mình.
Nhƣng sự phân loại này cũng chỉ mang tính chất tƣơng đối, ví dụ nhƣ ramit, một
dòng mã độc mà vừa hoạt động nhƣ worm khi nó tạo ra các bản sao trong nhiều khu
vực, vừa bám vào vật chủ là các tập tin thực thi .exe và tập tin .html, vừa là một
botnet. Để giải quyết vấn đề này thì nhiều công ty phát triển phần mềm sử dụng một
thứ tự ƣu tiên nhất định để đặt tên. Nếu mã độc có thuộc tính ƣu tiên cao hơn thì sẽ
phân loại vào đó, nếu nhƣ thứ tự ƣu tiên là virus – worm – trojan thì nhƣ vậy ramit
sẽ đƣợc xếp vào là virus, do virus có mức ƣu tiên cao hơn. Tùy thuộc vào cơ chế,
hình thức lây nhiễm và phƣơng pháp phá hoại để đƣa ra nhiều tiêu chí để phân loại
mã độc, nhƣng hai tiêu chí đƣợc sử dụng nhiều nhất là phân loại theo hình thức lây
nhiễm và theo phân loại của NIST (National Institute of Standart and Technology)
[6].
a) Phân loại theo hình thức lây nhiễm
Dựa vào hình thức phân loại này thì mã độc gồm hai loại chính: một loại cần
vật chủ để tồn tại và lây nhiễm, vật chủ ở đây có thể là các tập tin dữ liệu, các tập
tin ứng dụng, hay các tập tin chƣơng trình thực thi… và loại thứ hai chính là tồn tại

độc lập không cần vật chủ để lây nhiễm [6].
Độc lập nghĩa là chƣơng trình độc hại có thể đƣợc lập lịch và chạy trên hệ
điều hành.
Không độc lập (needs host program) là một đoạn chƣơng trình đặc biệt thuộc
một chƣơng trình không thể thực thi độc lập nhƣ một chƣơng trình thông thƣờng
hay tiện ích bất kì mà bắt buộc phải có bƣớc kích hoạt chƣơng trình chủ trƣớc thì
chƣơng trình mới chạy đƣợc.

4


Phân loại theo hình thức lây nhiễm

Không độc lập

Độc lập

Worm

Virus

Zombie
Back Door

Trojan Horse

Logic
Bombs

Hình 1. 1. Phân loại mã độc theo hình thức lây nhiễm

Worm:
Sâu máy tính(worm) là một chƣơng trình máy tính có khả năng tự nhân bản
giống nhƣ virus máy tính. Trong khi virus máy tính bám vào và trở thành một phần
của mã máy tính để có thể thi hành thì sâu máy tính là một chƣơng trình độc lập
không nhất thiết phải là một phần của một chƣơng trình máy tính khác để có thể lây
nhiễm.
Đơn giản nhất là tạo một bản sao vào các thiết bị lƣu trữ ngoài nhƣ USB, thƣ
mục chia sẻ trong LAN rồi từ đây lây nhiễm qua các máy khác. Sự nguy hiểm lớn
nhất của worm là từ trong hệ thống có thể tự gửi chính mã độc này đến hàng chục,
hàng trăm, thậm chí hàng ngàn máy khác và cứ thế nhân lên, làm cho các máy chủ
web, máy chủ mạng ,và cả máy tính bị tràn bộ nhớ đến mức không thể hoạt động
nữa.
Zombie: Là chƣơng trình độc hại bí mật liên kết với một máy tính khác
ngoài internet để nghe lệnh từ các máy tính. Các zombie thƣờng đƣợc sử dụng trong
các cuộc tấn công từ chối dịch vụ DDOS để tấn công vào một website bất kì.
Backdoor: Là một chƣơng trình hoặc có liên quan đến chƣơng trình, đƣợc
tin tặc sử dụng để cài đặt trên hệ thống nhằm mục đích cho sự trở lại hệ thống vào

5


lần sau. Mục đích của backdoor là xóa bỏ cách minh chứng hệ thống ghi nhật ký.
Đồng thời cũng giúp tin tặc cầm cự trạng thái truy cập khi bị quản trị viên phát hiện
và tìm cách khắc phục.
Logic Bombs: Là đoạn mã độc đƣợc nhúng vào một chƣơng trình hợp pháp
mà chúng có thể thực thi khi có một điều kiện nào đó xảy ra. Các đoạn mã thƣờng
đƣợc chèn vào các ứng dụng hoặc các hệ điều hành để thực hiện việc phá hủy các
chức năng an toàn của hệ thống.
Trojan Horse: Trojan tồn tại độc lập, là một tập tin độc lập, không có khả
năng lây nhiễm. Thông thƣờng trojan sẽ lừa ngƣời dùng mở nó bằng các kĩ thuật

(social engineering) nhƣ đặt những biểu tƣợng giống nhƣ thƣ mục, tập tin văn bản,
tập tin hình ảnh, đặt tên có liên quan đến ngƣời dùng. Do không đƣợc thiết kế để lây
nhiễm nên trojan có thể phát tán trực tiếp qua email, đƣờng link, đƣợc các loại mã
độc tải về, hoặc đƣợc virus và worm mang theo.
Virus: Đây là thuật ngữ xuất hiện đầu tiên về mã độc trên máy tính. Từ
những giai đoạn đầu phát triển của mã độc trong những năm 1980. Virus máy tính
là thuật ngữ đƣợc lấy từ virus sinh học. Cũng nhƣ virus sinh học, virus máy tính
không tồn tại thành một thực thể, một tập tin. Virus là phần mềm có khả năng lây
nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy tính khác
dƣới nhiều hình thức khác nhau.

6


b) Phân loại theo NIST

Virus
Worm
Trojan Horse
Malicious Mobie Code

Tracking Cookie

Phân loại

Phần mềm quảng cáo

theo NIST

Phần mềm gián điệp

Attacker Tool
Phishing
Virus Hoax
Hình 1. 2. Phân loại mã độc theo NIST
1.1.4. Xu hướng phát triển và sự cải tiến của mã độc
Theo dự báo của các nhà chuyên môn mã độc ngày càng có xu hƣớng phát
triển mạnh mẽ, phức tạp và tinh vi hơn. Đặc biệt là sự bùng nổ của mã độc mang
tên ransomware trong những năm gần đây. Các mẫu mã độc không phụ thuộc vào
tập tin (tập tin-less mã độc) sẽ trở nên phổ biến hơn trong các cuộc tấn công APT do
bản chất không phát hiện đƣợc bằng các chƣơng trình chống virus truyền thống [6,
7].
Mã độc phát triển nhanh chóng theo xu hƣớng phát triển của công nghệ máy
tính. Càng ngày, mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân
loại cũng nhƣ mục tiêu sử dụng. Cùng với sự bùng nổ của mạng máy tính, thiết bị di
động, mã độc cũng tăng trƣởng với tốc độ chóng mặt và kẻ tấn công liên tục biến
đổi mã độc để thích ứng với các công nghệ và nền tảng mới.
Nếu nhƣ ban đầu mục tiêu của mã độc chỉ nhắm đến những máy tính đơn lẻ,
thì ngày nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ
chế lây lan phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ.

7


Nghiêm trọng hơn, mã độc có thể đƣợc phát triển phức tạp và thiết kế tinh vi với
mục đích gián điệp, phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới,
dẫn đến nguy cơ về một cuộc chiến tranh mạng Cyberwar lan rộng.
1.2. Các nguy cơ mất an toàn thông tin từ mã độc
Ngày nay, với nền công nghệ, máy móc phát triển, gần nhƣ mọi ngƣời có thể
mang theo cả thế giới thông tin trong ngƣời. Công cuộc đảm bảo an toàn an ninh trở
nên phức tạp hơn khi số lƣợng ứng dụng sử dụng trên thiết bị là vô cùng lớn, trong

khi ngƣời dùng không có khả năng hoặc không có kiến thức thƣờng trao hoàn toàn
quyền hệ thống cho các ứng dụng dẫn tới khả năng mất an toàn thông tin trở nên dễ
dàng hơn bao giờ hết. Mặt khác, việc truy cập dữ liệu nhạy cảm thông qua các mạng
internet công cộng hoặc đƣờng truyền không đƣợc đảm bảo cũng làm tăng mức độ
rủi ro mất mát dữ liệu. Ngoài ra, bản thân hệ điều hành của thiết bị và những ứng
dụng bản quyền cũng có nhiều lỗ hổng có thể bị khai thác cũng là một nguyên nhân
dẫn tới mất an toàn thông tin [6, 7, 8].
1.2.1. Nguy cơ mất an toàn từ người dùng
Hiện nay mã độc chủ yếu lây nhiễm vào hệ thống thông tin bằng cách đánh
vào nhận thức cũng nhƣ tâm lý của ngƣời dùng. Mã độc có thể lây nhiễm vào máy
tính ngƣời sử dụng thông qua các tập tin đính kèm thƣ. Các tập tin này thƣờng đính
kèm các thƣ điện tử của ngƣời lạ gửi đến nạn nhân hoặc thƣ điện tử giả mạo một cơ
quan tổ chức.
Hay đơn giản hơn chỉ cần ngƣời dùng truy cập vào một trang web độc hại là
ngƣời dùng đã có thể bị lây nhiễm mã độc vào máy tính của mình. Các trang web
này thƣờng lừa ngƣời sử dụng truy cập thông qua các liên kết gửi qua mạng xã hội,
thƣ điện tử hay tin nhắn. Vì vậy, ngƣời sử dụng cần thật cẩn trọng khi truy cập vào
các trang web lạ đƣợc gửi đến từ ngƣời khác trong quá trình sử dụng dịch vụ trên
mạng internet cá nhân.

8


Hình 1. 3. Các liên kết độc hại gửi từ facebook
Qua một vài dẫn chứng đƣợc nêu trên có thể thấy đƣợc nguy cơ mất an toàn
từ mã độc đối với cá nhân ngƣời dùng là vô cùng đơn giản và dễ thực hiện và gây ra
những hậu quả không thể lƣờng trƣớc đƣợc.
1.2.2. Nguy cơ từ mã độc trên máy trạm
Các tổ chức ngiên cứu về bảo mật thông tin đã phát hiện ra rằng các máy
trạm (máy đầu cuối – endpoint) là gót chân A-sin, một trong các nguyên nhân

chính của những rủi ro về an toàn thông tin. Máy trạm là bất kì thiết bị máy tính nào
có kết nối với mạng của tổ chức nhƣ các máy tính để bàn, máy laptop, hoặc các
thiết bị điện tử có vùng lƣu trữ, cổng vào ra, kết nối với địa chỉ ip…. Các máy trạm
có thể gây ra ba rủi ro chính:
Thứ nhất, các tấn công đi qua vòng, thông qua kết nối của máy trạm truy cập
vào các website chứa mã độc, né tránh các công cụ bảo vệ tại vành đai mạng để
thâm nhập vào hệ thống công ty.
Thứ hai, những ngƣời dùng di động (sử dụng máy tính xách tay, đƣợc dùng
cả bên trong và bên ngoài công ty) thƣờng nằm ngoài kiểm soát của các công cụ an
ninh.
Thứ ba, số lƣợng các máy trạm rất lớn, việc triển khai và quản lý nhiều
chƣơng trình bảo mật trên từng máy trạm là thách thức lớn đối với ngƣời quản trị
mạng. Các máy trạm nếu không đƣợc kiểm soát an ninh chặt chẽ và triển khai đúng
đắn sẽ tạo ra các nguy cơ cao nhƣ dữ liệu bị đánh cắp,…
Đặc biệt các máy trạm rất dễ bị tấn công, qua các điểm yếu trong các giao
thức mạng cho phép truy cập thông qua các cổng đƣợc mở hoặc cổng không đƣợc

9


mở kiểm soát. Các tấn công khác nhằm vào lỗi lập trình, có thể tạo ra lỗi tràn vùng
đệm cho phép thực thi mã độc.
1.2.3. Nguy cơ đối với hệ thống mạng
Xu hƣớng tấn công vào các công ty có hệ thống thông tin nhạy cảm nhằm
mục đích trục lợi đang có chiều hƣớng gia tăng. Những doanh nghiệp tài chính,
ngân hàng, thanh toán điện tử có rủi ro cao nhất. Tin tặc không chỉ từ bên ngoài mà
có thể chính là nhân viên trong công ty. Đây là dạng rủi ro tấn công an ninh nội
mạng và có xu hƣớng nóng gần đây tại Việt Nam và trên thế giới.
Tấn công mạng LAN không phải là phƣơng thức mới mà đã từng xảy ra
nhiều vụ việc tại Việt Nam. Rất nhiều mã độc đƣợc phát tán lây lan qua mạng LAN,

điển hình là sâu Connficker có khả năng lây qua cả usb và mạng LAN. Thiệt hại có
thể xảy ra là khiến cho hoạt động sản xuất của doang nghiệp bị ngừng trệ hoặc gây
rò rỉ, thất thoát dữ liệu nhạy cảm. Trong mạng LAN, tin tặc dễ triển khai các hoạt
động nhƣ nghe lén hay biến máy tính nhiễm virus thành một cổng giả mạo, từ đây
tin tặc sẽ kiểm soát đƣợc các dữ liệu quan trọng. Mặt khác, các máy tính trong cùng
mạng LAN của công ty thƣờng có chung chính sách về an ninh (security) và quan
trọng nhất là có môi trƣờng giống nhau (hệ điều hành, các phần mềm cài trên hệ
điều hành), nếu xâm nhập đƣợc một máy thì dễ dàng đoán ra đƣợc các máy khác thế
nào, vì thế dễ tấn công hơn so với việc xâm nhập từ xa ( không phải thăm dò thử
nghiệm) [6].
1.2.4. Nguy cơ từ mạng xã hội
Hiện nay trên thế giới có hàng trăm mạng xã hội khác nhau nhƣ MySpace,
Facebook, Zingme, YuMe, Zalo, Twitter... Trong khi mạng xã hội đƣợc xem là
phƣơng tiện giao tiếp tốt với mọi ngƣời thì nó cũng trở thành mục đích cho tội
phạm mạng. Các hãng bảo mật lớn đã quan sát đƣợc làn sóng đe dọa trực tuyến
ngày càng tăng lợi dụng mạng xã hội để đánh cắp thông tin, sử dụng cho mục đích
kiếm tiền. Những mối đe dọa này này càng phức tạp hơn, khó phát hiện hơn và
thƣờng nhắm vào lối sống “kết bạn trực tuyến” của mọi ngƣời. Mạng xã hội hoạt
động trên nguyên tắc kết nối và chia sẻ thông tin, các mạng xã hội bắt buộc ngƣời
sử dụng cung cấp một số thông tin nhất định các thông tin cá nhân. Càng nhiều

10


thông tin mà ngƣời sử dụng cung cấp lên mạng xã hội càng làm tăng nguy cơ bị kẻ
xấu lợi dụng. Hiện nay trên các mạng xã hội có rất nhiều ứng dụng cho ngƣời dùng
nhƣng trong đó có những ứng dụng đã cài kèm chƣơng trình độc hại. Khi sử dụng
mã độc sẽ đƣợc kích hoạt và gây ra những phiền phức, khó chịu. Ví dụ nhƣ phần
mềm vẽ ảnh “chibi” từng gây ra rất nhiều phiền phức, ảnh hƣởng đến ngƣời dùng
facebook [7]… .

1.2.5. Nguy cơ từ thiết bị di động
Hiện nay sự bùng nổ của các thiết bị di động kéo theo nó là sự phát triển của
các loại mã độc trên nền tảng này. Các thiết bị di động thông minh đang phát triển
nhanh chóng, đi cùng với nó là kho ứng dụng khổng lồ mà các lập trình viên phát
triển. Mã độc trên nền tảng này lây nhiểm chủ yếu thông qua ứng dụng đƣợc ngƣời
dùng tải về và cài đặt ngay trên máy cá nhân. Các dạng mã độc kiểu này có thể
kiểm soát bởi chính ngƣời sử dụng hoặc bị chặn bởi nhà cung cấp hệ điều hành do
chúng yêu cầu các hành vi có thể bị nhận dạng là nguy hiểm.
Để bảo vệ ngƣời dùng, các thiết bị mobile đƣợc hỗ trợ bởi hệ điều hành trong
việc kiểm soát các phần mềm đƣợc phép cài đặt trong máy. Tuy nhiên đối với
những thiết bị di động không còn chịu sự can thiệp từ phía nhà cung cấp việc cài đặt
chƣơng trình trở nên dễ dàng dàng hơn, không còn chịu sự kiểm soát, giới hạn từ
nhà cung cấp hệ điều hành. Chính điều này tạo điều kiện cho mã độc dễ dàng lây
nhiễm. Hành vi của mã độc trên các thiết bị di động này đa phần với động cơ tài
chính, ví dụ ăn cắp thông tin ngƣời sử dụng, tự động quay số, nhắn tin… nhƣng có
thể phức tạp hơn trong tƣơng lai [6, 7].
1.3. Một số biện pháp phòng chống mã độc
1.3.1. Nâng cao nhận thức của người dùng
Đây là việc cần làm đầu tiên và làm thƣờng xuyên. Bởi chỉ khi ý thức đƣợc
nguy cơ ảnh hƣởng thì mọi ngƣời mới cẩn trọng hơn, có ý thức tìm kiếm những giải
pháp phòng chống. Với ngƣời dùng cá nhân có thể chỉ cần thƣờng xuyên cập nhật
tin tức về mã độc, thông thƣờng những tin tức này cũng kèm theo một vài giải pháp
tƣơng đối đơn giản để áp dụng. Ở mức độ cao hơn của tổ chức thì có thể cần tổ
chức những buổi nói chuyện, hội thảo, thậm chí là đào tạo nâng cao nhận thức cho

11


ngƣời dùng. Ngƣời sử dụng nên có thói quen thực hiện những thao tác để đảm bảo
an toàn trong quá trình sử dụng máy tính.

 Quét mã độc trên các thiết bị lƣu trữ ngoài khi cắm vào máy tính.
 Kiểm tra cẩn thận nguồn gửi, nội dung, cũng nhƣ những tập tin đính
kèm trong email, đặc biệt là email công khai.
 Hạn chế sử dụng phần mềm crack, nên tìm những phần mềm miễn phí
cùng chức năng để thay thế.
 Nên tải phần mềm từ nguồn chính thống thay vì từ những trang ngoài.
1.3.2. Chính sách an toàn
Xét ở mức tổng thể, khi mà những giải pháp kĩ thuật không đạt đƣợc mức độ
an toàn mong muốn thì áp dụng thêm một số chính sách an toàn sẽ làm tăng mức độ
bảo mật của của toàn hệ thống mà không tốn thêm quá nhiều chi phí. Những chính
sách an toàn cần phải hƣớng tới tính đơn giản để ngƣời dùng bình thƣờng cũng có
thể thực hiện đƣợc. Có thể kể đến một số chính sách đơn giản nhƣ:
 Chỉ sử dụng những thiết bị lƣu trữ di động (usb, ổ cứng động,..) của
nội bộ có dãn nhãn, không đƣợc sử dụng những thiết bị lƣu trữ di
động mang từ ngoài vào.
 Không gửi những tập tin thực thi (.exe) qua email công việc.
1.3.3. Backup và mã hóa dữ liệu
Backup dữ liệu không chỉ để phòng chống những loại mã độc phá hủy, xóa,
“bắt cóc” dữ liệu (ransomware) mà còn để phòng chống những nguy cơ mất dữ liệu
nói chung nhƣ thiên tai, thảm họa. Mã hóa dữ liệu để đảm bảo chỉ những ngƣời có
quyền truy cập mới đƣợc tiếp cận đến nguồn dữ liệu. Đây là giải pháp kĩ thuật đầu
tiên cần phải áp dụng bởi hiện nay giá trị của dữ liệu còn lớn hơn cả chiếc máy tính.
Đặc biệt với những dữ liệu có giá trị rất lớn nhƣ chiến lƣợc kinh doanh, phát minh,
sáng chế, sở hữu trí tuệ,….
Quy trình áp dụng nhƣ sau: dữ liệu phải đƣợc mã hóa sau đó backup. Việc
mã hóa rất đơn giản khi mà có rất nhiều phần mềm miễn phí nhƣng chất lƣợng rất
tốt. Vấn đề back up phức tạp hơn một chút và cũng có rất nhiều giải pháp. Có thể
đơn giản chỉ cần mua một thiết bị lƣu trữ ngoài (usb, ổ cứng đi động, …) và định kỳ

12



sao chép dữ liệu đã mã hóa ra ngoài, cũng có thể sử dụng những dịch vụ backup dự
liệu qua internet, phụ thuộc vào mức dung lƣợng thì có thể từ miễn phí tới có phí.
Cần phải tìm hiểu kỹ, cũng nhƣ lựa chọn thậm chí là tự xây dựng giải pháp phù hợp
nhất với mình. Ví dụ có một số dịch vụ backup dữ liệu sẽ không thực hiện mã hóa
dữ liệu trên server, trong trƣờng hợp không mã hóa trƣớc khi backup, dịch vụ
backup khi bị tấn công thì hoàn toàn có nguy cơ bị lộ dữ liệu. Nhƣng một số dịch vụ
backup dữ liệu lại có chức năng mã hóa, do đó cần tìm hiểu kĩ các công cụ đang sử
dụng.
1.3.4. Cập nhật hệ điều hành, phần mềm
Nhƣ đã nêu trên, một phƣơng pháp để mã độc tiến hành lây nhiễm cũng nhƣ
khởi chạy trên máy tính nạn nhân là khai thác những lỗ hổng phần mềm. Với những
lỗ hổng đã biết, nhà phát triển sản phẩm sẽ thƣờng xuyên phát hành những bản vá
bảo mật cho ứng dụng cũng nhƣ hệ điều hành. Ngƣời sử dụng cần phải cập nhật
thƣờng xuyên, thậm chí là từng ngày từng giờ để phòng tránh bị khai thác.
Để có thể khai thác đƣợc lỗ hổng phần mềm cần điều kiện khá ngặt nghèo
nhƣ phải đúng phiên bản hoặc một vài phiên bản phần mềm mới tồn tại lỗ hổng để
khai thác. Trong khi chỉ cần một thao tác cập nhật khá đơn giản là đã có thể loại bỏ
lƣợng lớn lỗ hổng khỏi hệ thống.
1.3.5. Sử dụng các phần mềm,giải pháp đầu cuối
Đây luôn là phƣơng pháp đơn giản nhất để bảo vệ trƣớc nguy cơ về mã độc.
Trên máy tính cần phải có một phần mềm antivirus, ngay cả phần mềm miễn phí
cũng rất hữu dụng, công cụ rất đơn giản, dễ sử dụng nhƣng có khả năng phòng
chống mã độc tốt. Tất nhiên phần mềm antivirus không chống lại đƣợc tất cả các
loại mã độc cũng nhƣ các nguy cơ liên quan. Mã độc luôn tìm đƣợc cách, nói đúng
hơn là để tồn tại chúng phải tìm đƣợc cách vƣợt qua phần mềm antivirus, mặc dù
chỉ có tỉ lệ nhỏ làm đƣợc việc này. Nên cần phải áp dụng thêm nhiều giải pháp khác
để đảm bảo tính an toàn.
1.3.6. Sử dụng xác thực hai bước để bảo vệ tài khoản

Dòng keyloger là một loại mã độc chuyên đƣợc sử dụng để đánh cắp thông
tin đăng nhập, ngoài ra vẫn còn một vài phƣơng pháp khác cũng thƣờng đƣợc sử

13