Tải bản đầy đủ (.doc) (93 trang)

Luận văn thạc sĩ hệ thống thông tin: Nghiên cứu phương pháp phân tích động mã độc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.82 MB, 93 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-----------------------------------------------------------

NGUYỄN NGỌC QUÂN

NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH ĐỘNG MÃ ĐỘC

CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 60.48.01.04

BÁO CÁO LUẬN VĂN THẠC SĨ

HÀ NỘI – 2015


LỜI CẢM ƠN
Trước hết tôi xin cảm ơn sâu sắc tới TS. Nguyễn Trung Kiên, đã định hướng cho tôi
trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong
suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp.
Tôi xin cảm ơn các cán bộ Viện Công nghệ thông tin và truyền thông CDIT; các thầy
cô trong khoa Công nghệ thông tin, khoa Quốc tế và Đào tạo sau Đại học - Học viện Công
nghệ Bưu chính Viễn thông đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian
học tập nghiên cứu tại trường.
Tôi xin cảm ơn các cấp Lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia
sẻ, giúp đỡ, tạo điều kiện cho tôi hoàn thành khóa luận này.

Hà Nội, tháng năm 2015

Nguyễn Ngọc Quân



ii

LỜI CAM ĐOAN
Tôi xin cam đoan Luận văn này là công trình nghiên cứu khoa học nghiêm túc của cá
nhân, được thực hiện dưới sự hướng dẫn khoa học của TS. Nguyễn Trung Kiên.
Các số liệu, kết quả nghiên cứu và kết luận được trình bày trong Luận văn là trung
thực và chưa được công bố dưới bất kỳ hình thức nào.
Tôi xin chịu trách nhiệm về công trình nghiên cứu của mình.
TÁC GIẢ LUẬN VĂN

Nguyễn Ngọc Quân


iii

MỤC LỤC
LỜI CẢM ƠN....................................................................................................................... ii
LỜI CAM ĐOAN................................................................................................................... ii
MỤC LỤC.............................................................................................................................. ii
DANH MỤC CÁC TỪ VIẾT TẮT.........................................................................................ii
DANH MỤC HÌNH VẼ..........................................................................................................ii
MỞ ĐẦU................................................................................................................................ ii
CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC............................................................................2
1.1.

Tổng quan về mã độc...............................................................................................2

1.1.1.

Khái niệm về mã độc..........................................................................................2


1.1.2.

Tình hình mã độc tại Việt Nam và trên thế giới..................................................2

1.2.

Phân loại mã độc......................................................................................................2

1.2.1.

Virus máy tính....................................................................................................2

1.2.2.

Sâu máy tính......................................................................................................2

1.2.3.

Trojan hourse....................................................................................................2

1.2.4.

Phần mềm gián điệp (Spyware).........................................................................2

1.2.5.

Phần mềm tống tiền (Scareware).......................................................................2

1.2.6.


Phần mềm quảng cáo.........................................................................................2

1.2.7.

Downloader........................................................................................................2

1.2.8.

Backdoor............................................................................................................2

1.2.9.

Botnet.................................................................................................................2

1.2.10. Launcher............................................................................................................2
1.2.11. Rootkit................................................................................................................2
1.2.12. Keylogger............................................................................................................2
1.3.

Cách thức hoạt động và các hành vi của các loại mã độc.....................................2

1.3.1.

Mục đích của mã độc..........................................................................................2

1.3.2.

Hướng lây nhiễm của mã độc..............................................................................2


1.3.3.

Hành vi mã độc...................................................................................................2

1.3.4.

Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng........................2


iv

1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng..........2
1.4.

Phương thức lây nghiễm của mã độc.....................................................................2

1.4.1.

Phương thức lây nhiễm của Virus.....................................................................2

1.4.2.

Phương thức lây nhiễm của Worm (Sâu máy tính)...........................................2

1.4.3.

Phương thức lây nhiễm của Trojan...................................................................2

1.5.


Kết luận Chương 1...................................................................................................2

CHƯƠNG 2: NGHIÊN CỨU CÁC KỸ THUẬT VÀ PHƯƠNG PHÁP PHÂN TÍCH MÃ
ĐỘC........................................................................................................................................ 2
2.1.

Nghiên cứu các kỹ thuật phân tích mã độc............................................................2

2.1.1.

Mục đích kỹ thuật phân tích mã độc....................................................................2

2.1.2.

Các kỹ thuật phân tích mã độc..........................................................................2

2.2.

Nghiên cứu phương pháp phân tích tĩnh...............................................................2

2.2.1.

Basic static analysis............................................................................................2

2.2.2.

Advanced static analysis.....................................................................................2

2.3.


Nghiên cứu phương pháp phân tích động..............................................................2

2.4.

Môi trường thực hiện việc phân tích mã độc.........................................................2

2.4.1.

Môi trường tải mã độc........................................................................................2

2.4.2.

Môi trường phân tích mã độc............................................................................2

2.4.3.

Mô hình môi trường phân tích mã độc..............................................................2

2.5.

Quy trình thu thập và phân tích mã độc................................................................2

2.5.1.

Thu thập mã độc..................................................................................................2

2.5.2.

Quy trình phân tích mã độc.................................................................................2


2.6.

Nghiên cứu các công cụ hỗ trợ phân tích mã độc..................................................2

2.6.1.

Công cụ hỗ trợ phân tích tĩnh............................................................................2

2.6.2.

Công cụ hỗ trợ phân tích động..........................................................................2

2.7.

Kết luận Chương 2...................................................................................................2

CHƯƠNG 3: THỬ NGHIỆM PHÂN TÍCH MÃ ĐỘC...........................................................2
3.1.

Kiến trúc cơ bản của hệ thống................................................................................2

3.2.

Mô hình logic của hệ thống Malware analytics.....................................................2

3.3.

Mô hình vật lý của hệ thống....................................................................................2

3.4.


Giới thiệu hệ thống sử dụng cho việc phân tích hành vi của mã độc...................2


v

3.1.1.

Quy trình phân tích một tập tin.........................................................................2

3.1.2.

Quy trình phân tích địa chỉ URL độc hại..........................................................2

3.2.

Kết luận chương 3....................................................................................................2

KẾT LUẬN............................................................................................................................. 2
TÀI LIỆU THAM KHẢO.......................................................................................................2
PHỤ LỤC............................................................................................................................... 2


DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết tắt

Tiếng Anh

Tiếng Việt


AV-TEST

Tổ chức kiểm định và đánh giá độc
lập về các phần mềm diệt Virus cho
Windows và Android

BKAV

Công ty an ninh mạng BKAV

CPU

Central Processing Unit

Bộ xử lý trung tâm của máy tính

IPS

Intrusion prevention system

Hệ thống phát hiện xâm nhập

IDS

Intrusion detection system

Hệ thống ngăn ngừa xâm nhập

IIS


Internet Information Services

MD5

Message Digest Algorithm 5

Thuật toán băm mã hóa dữ liệu MD5

NIST

National Institute of Standards and
Technology

Viện tiêu chuẩn - công nghệ quốc
gia Hoa kỳ

P2P

Peer to peer

Mạng ngang hàng

PC

Personal computer

Máy tính cá nhân

PE File


Portable Executable File

SHA-1

Secure Hash Algorithm 1

Thuật toán băm mã hóa dữ liệu
SHA-1

VNCERT

Vietnam Computer Emergency
Response Team

Trung tâm ứng cứu khẩn cấp máy
tính Việt Nam

VNPT

Vietnam Posts and
Telecommunication Group

Tập đoàn Bưu chính Viễn thông Việt
Nam


vii

DANH MỤC HÌNH VẼ

Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST.................................................2
Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới............................................2
Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV.....................................................2
Hình 4: Virus đính kèm trong các tập tin thực thi....................................................................2
Hình 5: Mô tả mức độ lây lan của sâu mật mã đỏ năm 2001...................................................2
Hình 6: Trojan ẩn mình trong các phần mềm miễn phí...........................................................2
Hình 7: Hoạt động của người dùng Spyware ghi lại...............................................................2
Hình 8: Scareware mạo danh FBI tống tiền người dùng.........................................................2
Hình 9: Công dụng của một mạng Botnet...............................................................................2
Hình 10: Hash Netcat.............................................................................................................2
Hình 11: String khi tách từ mẫu Malware 1............................................................................2
Hình 12: String khi tách từ mẫu Malware 2............................................................................2
Hình 13: Chuỗi ASCII.............................................................................................................2
Hình 14: Chuỗi Unicode.........................................................................................................2
Hình 15: File Malware nc được giả dưới dạng file nén...........................................................2
Hình 16: Byte định dạng file thực thi......................................................................................2
Hình 17: Byte định dạng file zip.............................................................................................2
Hình 18: Chương trình Malware được biên dịch bằng Visual C++.........................................2
Hình 19: Hệ thống chạy khi chưa thực thi Malware................................................................2
Hình 20: Hệ thống xuất hiện tiến trình lạ thực thi Malware....................................................2
Hình 21: Malware tác động đến các file trên hệ thống............................................................2
Hình 22: Môi trường phân tích mã độc...................................................................................2
Hình 23: Mô hình thực hiện phân tích Malware......................................................................2
Hình 24: Thành phần môi trường phân tích mã độc................................................................2
Hình 25: Quy trình phân tích mã độc khi chưa có hệ thống phân tích tự động.......................2
Hình 26: Quy trình phân tích mã độc khi có hệ thống phân tích tự động................................2
Hình 27: Màn hình sử dụng PEiD...........................................................................................2
Hình 28: Rdg Packer Detector................................................................................................2
Hình 29: ExeInfo..................................................................................................................... 2
Hình 30: Giao diện đồ họa của IDA Pro..................................................................................2

Hình 31: BinDiff.....................................................................................................................2
Hình 32: Giao diện sử dụng của Process Monitor...................................................................2
Hình 33: Cửa sổ Filter của Process Monitor...........................................................................2
Hình 34: Mô hình logic hệ thống Malware analytics..............................................................2
Hình 35: Mô hình vật lý của hệ thống.....................................................................................2
vii


viii

Hình 36: Giao diện của trang phân tích hành vi mã độc..........................................................2
Hình 37: Quy trình phân tích một mã độc trên hệ thống.........................................................2
Hình 38: Giao diện mục nhập mã độc.....................................................................................2
Hình 39: Trang hiện thị thông tin về các mã độc đã phân tích................................................2
Hình 40: Thông tin sơ lược về mã độc....................................................................................2
Hình 41: Các thông tin chi tiết về hành vi mã độc (1).............................................................2
Hình 42: Các thông tin chi tiết về hành vi mã độc (2).............................................................2
Hình 43: Các thông tin chi tiết về hành vi mã độc (3).............................................................2
Hình 44: Giao diện nhập địa chỉ URL để phân tích.................................................................2
Hình 45: Trang hiển thị thông tin về các địa chỉ URL đã phân tích.........................................2
Hình 46: Các thông tin chi tiết về hành vi của website chứa mã độc......................................2
Hình 47: Tiến hành cài đặt Winpcap.......................................................................................2
Hình 48: Tiến hành cài đặt Wireshark.....................................................................................2
Hình 49: Giải nén BSA...........................................................................................................2
Hình 50: Giao diện sandboxie sau khi cài đặt xong................................................................2
Hình 51: Chỉnh sửa cấu hình Sandbox....................................................................................2
Hình 52: File cấu hình Sandbox trước khi chỉnh sửa..............................................................2
Hình 53: File cấu hình đã được chỉnh sửa...............................................................................2
Hình 54: Chạy thử process monitor trong môi trường sandbox..............................................2
Hình 55: Hoạt động của Buster Sandbox Analyzer.................................................................2

Hình 56: Thực thi netcat trong môi trường sandbox...............................................................2
Hình 57: Netcat load các file thư viện, tạo các tiến trình mới.................................................2
Hình 58: Thông tin trong file report........................................................................................2
Hình 59: Phân tích hành vi......................................................................................................2
Hình 60: Malware query DNS teredo.ipv6.microsoft.com.....................................................2
Hình 61: Malware query DNS teredo.ipv6.microsoft.com.....................................................2
Hình 62: Malware nhận trả lời từ việc query tên miền............................................................2
Hình 63: Malware nhận trả lời từ việc query tên miền............................................................2
Hình 64: Malware nhận trả lời từ việc query tên miền............................................................2
Hình 65: Kiểm tra Malware với Virus total.............................................................................2
Hình 66: Kết quả kiểm tra qua phần mềm anti Malware nổi tiếng..........................................2
Hình 67: Conficker thay đổi thuộc tính của Chrome...............................................................2
Hình 68: Web server hoạt động...............................................................................................2
Hình 69: Conficker lấy thông tin từ web server......................................................................2
Hình 70: Conficker truy vấn các tên miền...............................................................................2
Hình 71: Wireshark bắt bản tin conficker truy vấn tên miền...................................................2
Hình 72: Conficker download các file từ các website.............................................................2
Hình 73: Giao diện công cụ Armitage.....................................................................................2
viii


ix

Hình 74: Sử dụng Trojan được lưu dưới dạng file exe............................................................2
Hình 75: Upload Trojan lên webserver...................................................................................2
Hình 76: Khởi động dịch vụ apache........................................................................................2
Hình 77: Chọn launch để khởi động dịch vụ...........................................................................2
Hình 78: Người dùng vô tình cài Trojan lên máy tính của họ.................................................2
Hình 79: Kết nối được mở để hacker điều khiến máy tính của người dùng............................2
Hình 80: Thực hiện command trong cmd của máy tính người dùng.......................................2

Hình 81: Report hành vi của Trojan........................................................................................2
Hình 82: Wireshark capture bản tin do Trojan gửi..................................................................2

ix


x

MỞ ĐẦU

Phát tán mã độc (Malware) đã thực sự trở thành một ngành “công nghiệp ” trong các
hoạt động gián điệp và phá hoại hệ thống, phần mềm hiện nay. Theo thống kê từ các cơ
quan, tổ chức, doanh nghiệp chuyên về An ninh, an toàn thông tin, hoạt động phát tán mã
độc không chỉ tồn tại ở những nước phát triển mà ngay tại các nước đang phát triển như Việt
Nam cũng trở thành mảnh đất màu mỡ cho các Hacker tấn công. Mã độc được phát tán tại
hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới các cơ quan tài chính
như ngân hàng, viện nghiên cứu, trường đại học,…. Các phần mềm chứa mã độc được tồn
tại dưới rất nhiều hình thức và có khả năng lây lan vô cùng lớn.
Không dừng lại ở đó, mã độc hiện tại đã lây lan đa nền tảng và hiện tại không chỉ giới
hạn ở máy tính cá nhân mà còn lây lan sang các thiết bị thông minh như smartphone. Với
tốc độ phát triển của nền kinh tế, hiện nay hầu hết mọi cá nhân đều sở hữu một thiết bị thông
minh hay máy tính cá nhân, vì vậy môi trường hoạt động dành cho mã độc ngày càng rộng
lớn và thiệt hại chúng gây ra cho chúng ta là vô cùng lớn. Theo thống kê của Trung tâm ứng
cứu khẩn cấp máy tính Việt Nam (VNCERT) sự cố tấn công về mã độc đang có chiều hướng
gia tăng với thủ đoạn ngày càng tinh vi.
Nhằm góp phần hiểu rõ về hoạt động hành vi của mã độc cũng như tác hại của việc
phát tán mã độc trên hệ thống, các thiết bị thông minh,… Luận văn đã tìm hiểu và nghiên
cứu về “Phương pháp phân tích động mã độc”. Mục tiêu của Luận văn gồm các nội dung
chính:



Nghiên cứu tổng quan về mã độc, phân loại mã độc, cách thức hoạt

động, các hành vi của mã độc và phương thức lây nhiễm của chúng


Nghiên cứu sâu về kỹ thuật và các phương pháp phân tích mã độc. Các

phương pháp phân tích tĩnh, phương pháp phân tích động… Bên cạnh đó nghiên
cứu về các môi trường và công cụ phân tích mã độc


Đề xuất quy trình và ứng dụng phân tích động mã độc trong thực tế.

Phạm vi ứng dụng của nghiên cứu
Nghiên cứu các kỹ thuật phân tích nhận diện mã độc chính cùng với hành vi của nó và áp
dụng các kỹ thuật này để thử nghiệm phân tích mã độc.
x


1

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC
Chương 1 tập trung nghiên cứu những khái niệm cơ bản về mã độc, các loại mã độc
hiện nay cũng như cách thức hoạt động và phương thức lây nhiễm mã độc phổ biến.
1.1. Tổng quan về mã độc
1.1.1. Khái niệm về mã độc
Theo quan điểm của Viện tiêu chuẩn – công nghệ quốc gia Hoa Kỳ (NIST- National
Institute of Standart and Technology) về định nghĩa và phân loại trong lĩnh vực “Virus máy
tính”, mã độc (Malware) được định nghĩa là một chương trình được chèn một cách bí mật

vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của
hệ thống. Theo định nghĩa này mã độc bao hàm rất nhiều thể loại mà ở Việt Nam vẫn quen
gọi chung là Virus máy tính như Worm, Trojan, Spy-ware, … thậm chí là Virus hoặc các bộ
công cụ để tấn công hệ thống mà các hacker thường sử dụng như Backdoor, Rootkit, Keylogger.
1.1.2. Tình hình mã độc tại Việt Nam và trên thế giới
Kể từ khi mã độc đầu tiên xuất hiện vào năm 1984 đến năm 2013, theo viện nghiên
cứu độc lập về an toàn thông tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được phát
tán. Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng trên
toàn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho toàn bộ những người sử dụng
Internet trên toàn cầu.

1


2

Hình 1: Số lượng mã độc từ 2009 đến 6/2013 theo AV-TEST
Chủng loại mã độc cũng đa dạng và phong phú hơn về cả hành vi và mục đích phát
tán. Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tôn giáo và nhiều lĩnh vực
quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame và
Duqu, những Virus đánh cắp thông tin mật của các hệ thống điện toán khu vực Trung Đông.
Tại Việt Nam, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan,
doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia và đã xuất
hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc
mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận được email đã mở tập
tin văn bản đính kèm và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Microsoft Office
(bao gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, mã độc này âm thầm
kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển
máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để
ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.

2


3

Dưới đây là hình 2 mô tả số liệu thống kê từ hãng bảo mật Kaspersky, năm 2012, Việt
Nam nằm trong danh sách 15 nước có tỉ lệ phát tán mã độc nhiều nhất thế giới,

Hình 2: Danh sách 15 nước phát tán mã độc nhiều nhất thế giới
Trước sự gia tăng mạnh mẽ về số lượng và mục đích tấn công của mã độc cũng có
nhiều biện pháp nhằm ngăn chặn và phòng ngừa mã độc như sử dụng các chương trình diệt
Virus, sử dụng các hệ thống tường lửa, IDS, IPS để bảo vệ hệ thống,.. Tuy nhiên các biện
pháp này chỉ phần nào ngăn chặn được các loại Virus đã được biết đến rộng rãi, còn các biến
thể mã độc hoặc các mã độc mới được sinh ra ngày càng nhiều thì hầu như vô hình trước các
biện pháp bảo vệ trên.

Hình 3: Tình hình mã độc trong tháng 5/2013 theo BKAV
3


4

Tại Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để có thể truy ra
nguồn phát tán mã độc và cập nhật nhanh nhất các dấu hiệu về mã độc cho các hệ thống bảo
vệ, thông thường các chuyên viên phải tiến hành phân tích hành vi mã độc bằng phương
pháp thủ công. Nhưng với số lượng mã độc ngày càng nhiều thì việc chỉ dùng phương pháp
phân tích thủ công sẽ không theo kịp tiến độ, do vậy đề tài này nghiên cứu xây dựng một hệ
thống tự động phân tích hành vi mã độc nhằm hỗ trợ công tác chuyên môn, nhanh chóng
nhận diện và phát hiện hành vi của các loại mã độc mới xuất hiện để có biện pháp ứng cứu
sự cố theo đúng chức năng của VNCERT, đồng thời giúp rút ngắn thời gian phân tích mã

độc nhưng lại phân tích được nhiều mã độc hơn trước.
Theo thống kê của VNCERT và hiệp hội an toàn thông tin Việt Nam, trong năm 2012
đã có tới 2.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tin tặc tấn công và
chiếm quyền điều khiển. Sau khi đã kiểm soát thành công một hệ thống mạng hoặc website,
tin tặc thường sử dụng mã độc để duy trì sự điều khiển cũng như để dò tìm và tấn công qua
các hệ thống khác có liên quan đến mạng hiện tại. Bên cạnh đó mã độc cũng là công cụ để
phá hoại dữ liệu và đánh cắp thông tin cá nhân của người dùng, các công cụ diệt Virus phần
lớn thường không phát hiện hoặc phát hiện chậm các loại Virus mới xuất hiện.
1.2.

Phân loại mã độc

Trong tài liệu của NIST có một số khác biệt theo định nghĩa và cách hiểu thông
thường về Virus máy tính đang thông dụng. Ngay trong tên của tài liệu đã nêu lên sự khác
biệt, các tác giả nói tới “Malware” chứ không sử dụng thuật ngữ “Virus”. Tại Việt Nam hiện
nay, thuật ngữ “Virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã
độc hại trên mạng, trong máy tính cá nhân.... Khi nói đến “Virus máy tính”, một cách rất tự
nhiên tất cả mọi người đều nghĩ Virus bao gồm cả Worm, Trojan, Keylogger. Trong khi theo
định nghĩa của NIST (và gần như là của cả cộng đồng IT) Virus, Worm, Trojan horse,
Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit,.... chỉ là một dạng của mã độc hại.
Sự khác biệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc
tế về an toàn thông tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phòng chống Virus của
nước ngoài do không đồng nhất về định nghĩa. Phía Việt nam thông báo “bị Virus tấn công”,
đối tác sẽ gửi lại một chỉ dẫn để quét tập tin bị nhiễm trên PC, nhưng thực chất đó là một
cuộc tấn công của Worm và phải phòng chống trên toàn bộ mạng. Do vậy phần này sẽ tập
trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng và mục đích
hoạt động khác nhau.
1.2.1. Virus máy tính
4



5

Trong khoa học máy tính, Virus máy tính (thường được người sử dụng gọi tắt là
Virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính
nó vào các đối tượng lây nhiễm khác (tập tin, ổ đĩa, máy tính,...).
Trước đây, Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng
tỏ khả năng của mình nên thường Virus có các hành động phá hoại như làm chương trình
không hoạt động đúng như mong muốn, xóa dữ liệu, làm hỏng ổ cứng, ...
Những Virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa
hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy
cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng, tài khoản, tài liệu mật…) mở
cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác
nhằm có lợi cho người phát tán Virus.
Chiếm trên 90% số Virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều
hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới.
Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều
hơn là các hệ điều hành khác. Ngày nay ngoài những mẫu Virus thông thường thì đã xuất
hiện những biến thể Virus khác với các kỹ thuật tinh vi hơn cụ thể là Virus đa hình
(polymorphic) và siêu đa hình (meta-polymorphic).

Hình 4: Virus đính kèm trong các tập tin thực thi
Virus đa hình khác với các loại Virus thông thường ở chỗ Virus thông thường luôn
giữ nguyên mã lệnh của mình, chính vì vậy chúng dễ dàng bị phát hiện bởi các phần mềm
5


6

diệt Virus. Nhưng Virus đa hình có khả năng tự động biến đổi mã lệnh và tạo ra các dạng mã

độc khác nhau (sử dụng thuật toán dựa trên thời gian và đối tượng lây nhiễm) trong mỗi lần
lây nhiễm. Khả năng này giúp cho Virus đa hình có thể lẩn tránh khỏi sự truy quét của các
phần mềm diệt Virus. Virus siêu đa hình là thế hệ cao hơn của Virus đa hình, chúng cao cấp
hơn ở chỗ hình thức lai tạo và kết hợp nhiều kiểu đa hình khác nhau. Khi lây nhiễm chúng sẽ
tự động biến đổi, lai tạp và hình thành các thế hệ Virus con từ F1…Fn. Sau mỗi lần lai tạp
thì khả năng phát hiện ra chúng càng khó khăn, chính vì vậy Virus siêu đa hình hầu hết qua
mắt được các phần mềm diệt Virus không có cơ chế quét sâu và dẫn tới việc quét Virus
không triệt để. Một số Virus siêu đa hình như Vetor, Sality…
1.2.2. Sâu máy tính
Sâu máy tính (Worm): cũng là một dạng mã độc nhưng có khả năng tự nhân bản, tự
tấn công và tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử và
các lỗ hổng trong hệ điều hành). Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị
nhiễm, nhiệm vụ chính của Worm là phá các mạng thông tin, làm giảm khả năng hoạt động
hoặc có thể được dùng để đánh cắp thông tin nhạy cảm từ các mạng này.
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng
bất kì hệ điều hành UNIX nào trên Internet. Trong năm 2001, sâu mật mã đỏ xuất hiện và tấn
công vào các máy Windows để khai thác lỗ hổng trên máy chủ web IIS, sâu này đã tạo ra
một kỷ lục về tốc độ lây lan khi chỉ trong một ngày 19-07-2001 đã có hơn 359.000 máy tính
bị nhiễm.

Hình 5: Mô tả mức độ lây lan của sâu mật mã đỏ năm 2001
1.2.3. Trojan hourse
6


7

Trojan Horse, đây là loại chương trình cũng có tác hại tương tự như Virus máy tính
chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư
điện tử hoặc thông qua các phần mềm miễn phí có đính kèm Trojan. Thông thường, tính

năng chính của Trojan là nhắm đến những nhóm người dùng riêng để thu thập thông tin về
hành vi và thói quen sử dụng internet của họ sau đó gửi các thông tin này về cho tin tặc. Để
trừ loại này người dùng chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên,
không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những
kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con
trước khi phát tán lên mạng. Đây cũng là loại mã độc cực kỳ nguy hiểm, nó có thể hủy ổ
cứng, hủy dữ liệu.

Hình 6: Trojan ẩn mình trong các phần mềm miễn phí
1.2.4. Phần mềm gián điệp (Spyware)
Spyware hay còn gọi phần mềm gián điệp là một dạng mã độc nhằm theo dõi những
hoạt động của người dùng và gửi dữ liệu tới người điều khiển chúng để phục vụ cho mục
đích riêng của họ. Ví dụ, những người của những công ty Marketing cố gắng thu thập những
tin tức về người dùng để hỗ trợ cho việc bán hàng được tốt hơn. Ngày nay phần mềm gián
điệp còn được các công ty hay tổ chức chính phủ sử dụng để theo dõi người dùng thông qua
việc nghe lén các cuộc điện đàm hoặc các cuộc hội thảo truyền hình. Spyware thường được
cài đặt bí mật vào máy người dùng trong khi họ mở một tập tin văn bản hoặc cài đặt một ứng
7


8

dụng miễn phí nào đó. Nhiều chương trình Spyware có thể làm chậm kết nối Internet bằng
cách chiếm băng thông đường truyền mạng. Chúng cũng có thể làm cho máy tính của nạn
nhân bị chậm đi vì chiếm tài nguyên như RAM và chu kỳ làm việc của CPU.

Hình 7: Hoạt động của người dùng Spyware ghi lại
1.2.5. Phần mềm tống tiền (Scareware)
Phần mềm tống tiền hay còn gọi Scareware là loại phần mềm giả danh một tổ chức
chính phủ và sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân, chẳng

hạn như khóa máy tính người dùng lại và đòi tiền chuộc thì mới cho sử dụng lại.

8


9

Hình 8: Scareware mạo danh FBI tống tiền người dùng
1.2.6. Phần mềm quảng cáo
Phần mềm quảng cáo hay còn gọi Adware thường đính kèm với những mẩu quảng
cáo nhỏ, chúng thường được phân phát dưới hình thức phần mềm miễn phí hay phiên bản
dùng thử. Và chỉ khi bạn trả tiền cho sản phẩm dùng thử đó, các quảng cáo sẽ biến mất tùy
theo chính sách của hãng phần mềm đó. Tuy nhiên, phần mềm gián điệp cũng là một trong
các "biến thể" của phần mềm quảng cáo, chúng đuợc bí mật cài vào máy tính người sử dụng
khi họ đang duyệt web nhằm thu thập thông tin về hành vi duyệt web của người dùng để gửi
đến họ những mẫu quảng cáo thích hợp. Ngày nay bắt đầu xuất hiện nhiều những phần mềm
quảng cáo đính kèm Virus máy tính, sâu hoặc Trojan horse,… có thể gây tổn hại nghiêm
trọng cho một hoặc một hệ thống máy tính.
1.2.7. Downloader
Downloader là một dạng mã độc dùng để tải các mã độc khác về máy người dùng. Để
tải về được các mã độc, Downloader cần kết nối đến một máy chủ chứa mã độc, điều này
khác với thuật ngữ dropper là loại mã độc có chứa sẵn mã độc bên trong nó.
1.2.8. Backdoor
Backdoor là các đoạn mã độc được gài lên máy nạn nhân cho phép tin tặc kết nối để
điều khiển máy tính nạn nhân. Backdoor cho phép kẻ tấn công kết nối đến máy nạn nhân mà
9


10


không cần chứng thực, từ đó kẻ tấn công có thể thực thi các câu lệnh ngay trên máy nạn
nhân.
1.2.9. Botnet
Bot là những chương trình mã độc được cài lên các máy tính nạn nhân và các máy
tính này sẽ nằm trong một mạng lưới được điều khiển bởi tin tặc gọi là mạng Botnet. Tương
tự như backdoor, Botnet cũng cho phép kẻ tấn công truy cập và điều khiển hệ thống máy nạn
nhân. Tất cả các máy bị nhiễm cùng một loại Botnet sẽ cùng nhận một chỉ thị lệnh từ một
máy chủ điều khiển của kẻ tấn công thông qua các kênh như Internet Relay Chat (IRC) hoặc
hệ thống mạng ngang hàng peer-to-peer (P2P). Ngày nay khi đã có trong tay một mạng lưới
bonet, các tin tặc hoặc tổ chức điều khiển Botnet có thể sử dụng chúng như một công cụ
chiến tranh mạng, tiêu biểu là tấn công từ chối dịch vụ vào các mục tiêu cụ thể nhằm làm tê
liệt hệ thống mạng của một tổ chức hoặc thậm chí là hệ thống mạng của một quốc gia.

Hình 9: Công dụng của một mạng Botnet
1.2.10.Launcher
Launcher là những chương trình độc hại được dùng để khởi động các chường trình
độc hại khác. Launcher sử dụng những kỹ thuật phi truyền thống để khởi động những
chương trình độc hại khác nhằm mục đích đánh cắp thông tin hoặc điều khiển máy nạn
nhân.
10


11

1.2.11. Rootkit
Rootkit là những đoạn mã độc được thiết kế nhằm che dấu sự tồn tại của những đoạn
mã độc khác bên trong nó. Rootkit thường được dùng để kết hợp với một mã độc khác như
Backdoor, Keylogger để tin tặc có thể truy cập từ xa vào máy nạn nhân và làm hệ thống gặp
khó khăn trong việc phát hiện ra loại mã độc này. Ví dụ như trong hệ thống Windows,
Rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi

các lời gọi hàm của hệ điều hành.
1.2.12.Keylogger
Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn
phím rồi gửi tới Hacker. Keylogger có thể ghi lại nội dung của email, văn bản, tài khoản và
mật khẩu người dùng, thậm chí cả chụp ảnh màn hình máy tính nạn nhân... Một số
Keylogger phổ biến như KeySnatch, Spyster,…
1.3.

Cách thức hoạt động và các hành vi của các loại mã độc

1.3.1. Mục đích của mã độc
Mã độc ban đầu được tạo ra nhằm mục đích thí nghiệm, hoặc chỉ phá hoại một máy
tính đơn lẻ nào đó, nhưng theo thời gian đã có những biến thể mã độc được sử dụng chủ yếu
để ăn cắp các thông tin nhạy cảm của người dùng như tài khoản và mật khẩu, các tin tức về
tài chính hoặc thậm chí là các thông tin về quân sự quốc phòng để nhằm mang lại lợi ích cho
tin tặc.
Đôi khi mã độc được sử dụng như một công cụ chính trị chống lại các trang web của
chính phủ, các công ty công nghệ cao để thu thập thông tin được bảo vệ hoặc làm gián đoạn
hoạt động của họ trên môi trường mạng. Một vài cuộc tấn công từ chối dịch vụ sử dụng mã
độc có quy mô lớn như cuộc tấn công vào hệ thống website của Mỹ và Hàn Quốc vào tháng
7/2009 khiến hàng chục website của chính phủ Hàn Quốc và Mỹ bị tê liệt hoạt động. Tại
Việt Nam, năm 2011 trang web của Bộ ngoại giao bị tấn công từ chối dịch phải ngưng hoạt
động, hay gần đây nhất vào tháng 7-2013 một loạt các tờ báo mạng lớn tại cũng phải vất vả
ngăn cản tấn công từ chối dịch vụ.
1.3.2. Hướng lây nhiễm của mã độc
Mã độc có thể đến từ nhiều nguồn khác nhau để lây nhiễm vào máy tính người dùng.
Trong đó tựu trung lại trong ba hình thức sau: Hình thức cổ điển: mã độc lây nhiễm thông
qua các thiết bị lưu trữ di động, trước đây là các ổ đĩa mềm, ổ CD đến bây giờ là các thiết bị
11



12

lưu trữ USB, thẻ nhớ. Lây nhiễm qua thư điện tử: Khi mà thư điện tử được sử dụng rộng rãi
trên thế giới thì mã độc chuyển hướng lây nhiễm sang thư điện tử thay cho các hình thức lây
nhiễm cổ điển. Hình thức này đặc biệt nguy hiểm vì số lượng máy tính bị lây nhiễm sẽ tăng
theo cấp số nhân, khi một máy bị nhiễm thì mã độc sẽ gửi bản sao của nó đến tất cả các địa
chỉ email có trong máy bị nhiễm. Hình thức lây nhiễm qua thư điện tử bao gồm: Lây nhiễm
từ các tập tin đính kèm trong thư điện tử, lây nhiễm do click vào các liên kết trong thư điện
tử và lây nhiễm ngay khi mở để xem thư điện tử. Hình thức lây nhiễm cuối cùng đó là Lây
nhiễm thông qua mạng Internet: bao gồm lây nhiễm do các tập tin tài liệu, phần mềm miễn
phí hay bẻ khóa được chia sẽ trên mạng mà người dùng tải về và chạy trên máy tính, lây
nhiễm do truy cập vào các trang web có chứa mã độc (theo cách vô ý hoặc cố ý), cuối cùng
là lây nhiễm mã độc thông qua các lỗi bảo mật trên các hệ điều hành, các ứng dụng có sẵn
trên hệ điều hành hoặc phần mềm của hãng thứ ba.
1.3.3. Hành vi mã độc
Khi lây nhiễm vào một máy tính, mã độc thường thực hiện một số hành vi nhằm che
dấu sự hoạt động của chúng trước người dùng, đồng thời tạo ra các môi trường để có thể tự
khởi động cùng hệ thống cũng như tải về các mã độc khác. Sau đây là một số hành vi tiêu
biểu nhất mà người phân tích mã độc cần tìm hiểu:

-

Sự thay đổi về hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung

hay xóa các tập tin trên hệ thống.

-

Sự thay đổi trong hệ thống Registry: Bao gồm việc tạo ra hoặc sửa đổi


các giá trị trong khóa registry.

-

Tiêm nhiễm vào các tiến trình khác đang chạy trên hệ thống.

-

Tạo ra các Mutex nhằm tránh việc xung đột khi sử dụng tài nguyên trên

máy tính.

-

Tạo ra các hoạt động mạng đáng ngờ: Kết nối đến các trang web lạ để

tải về mã độc khác, kết nối đến các máy chủ IRC, thực hiện việc quét các hệ thống
bên ngoài,…

-

Khởi chạy hoặc cho dừng các dịch vụ trên Windows ví dụ dịch vụ của

trình diệt Virus.

12


13


1.3.4. Biện pháp để phát hiện mã độc trên máy tính và hệ thống mạng
Ngày nay, mã độc được ví như một dịch bệnh, lan truyền rất nhanh và cách thức hoạt
động cũng như hành vi của mã độc được thay đổi liên tục. Những mã độc ban đầu thường
được thiết kế nhằm làm chậm máy tính hoặc đưa ra các thông báo quảng cáo gây phiền
nhiễu, tuy nhiên bây giờ các phần mềm độc hại ngày càng kín đáo hơn khi nhiễm vào máy
người dùng. Bất kỳ ai cũng có thể bị nhiễm mã độc ngay lúc này mà không thể phát hiện ra.
Thông thường cách để phát hiện mã độc là sử dụng trình quét Virus để quét toàn bộ máy
tính, nhưng việc này thường tốn thời gian và làm máy tính hoạt động chậm đi. Thậm chí sau
khi quét xong, chúng ta cũng chưa chắc là máy tính là sạch, bởi vì các phần mềm diệt mã
độc chưa phát hiện được các mẫu mã độc mới.
Để có thể phát hiện được mã độc đang chạy trên máy tính, cần sử dụng kết hợp nhiều
công cụ hỗ trợ miễn phí khác nhau để tìm mã độc. Các công cụ này bao gồm: Công cụ giám
sát registry như Regshot, Autoruns, Comodo Autoruns. Công cụ theo dõi tiến trình và tập tin
đang thực thi trên máy như Process XP, KillSwitch. Công cụ theo dõi việc gửi, nhận lưu
lượng mạng như Wireshark, Tcpdump. Công cụ phát hiện Rootkit trên hệ thống như
Kaspersky TDSSKiller. Và cuối cùng để xác định một tập tin có phải là mã độc hay không,
người dùng có thể kiểm tra nó bằng các công cụ quét Virus khác nhau bằng việc sử dụng các
trang quét Virus trực tuyến như .
Với việc kết hợp các công cụ trên lại với nhau sẽ đem lại hiệu quả phát hiện mã độc
cao hơn là dựa vào các dấu hiệu bất thường trên máy hay sử dụng các trình quét Virus đơn
lẻ.
Đối với các hệ thống mạng, có thể sử dụng các công cụ phát hiện và ngăn ngừa xâm
nhập như IDS hay IPS hoặc tường lửa để phát hiện mã độc. Các công cụ bảo vệ này sẽ dựa
theo một số dấu hiệu được người dùng định nghĩa trước hoặc các dấu hiệu bất thường để
phát hiện các hành vi của mã độc trên hệ thống.
1.3.5. Một số biện pháp ngăn ngừa mã độc lây nhiễm vào máy và hệ thống mạng
1.3.5.1. Tránh chạy các phần mềm từ các nguồn không tin cậy
Trước khi chạy một chương trình nào, người dùng cần hiểu rõ về nó. Đối với các
phần mềm chưa rõ nguồn gốc cần quét nó bằng trình diệt Virus trên máy tính, kế đến kiểm

tra bằng các chương trình miễn phí chuyên quét mã độc như HitmanPro hay Malwarebytes
Anti-Malware. Cuối cùng có thể sử dụng các trang web quét mã độc trực tuyến như
13


14

hay sử dụng các công cụ sandbox để chắc chắn rằng phần mềm đang
định chạy là phần mềm sạch.
1.3.5.2. Tải phần mềm từ các nguồn an toàn và không sử dụng phần mềm đã bẻ khóa
Khi bắt đầu tìm kiếm và tải về các phần mềm, người dùng có thể phát hiện trang web
đang định tải có độc hại hay không bằng cách sử dụng các công cụ miễn phí như Web of
Trust hay Norton Safe Web. Gặp các trang web độc hại các công cụ sẽ đưa ra cảnh báo và
khuyên người dùng rời khỏi trang web.
Việc sử dụng các phần mềm có đính kèm Keygen, Cracks và Patches là con đường để
mã độc xâm nhập vào máy tính phổ biến nhất. Do vậy để an toàn, người dùng không nên sử
dụng các phần mềm này trên các hệ thống quan trọng.
1.3.5.3. Cảnh giác khi online trên môi trường mạng
Việc tìm kiếm một thông tin trên môi trường mạng không phải lúc nào thông tin đó
cũng đúng 100%. Ai cũng có thể cung cấp thông tin lên mạng, do vậy cần tỉnh táo để xác
nhận thông tin nào là đáng tin cậy. Đối với các Email lạ có đính kèm tập tin hay thông báo
về việc trúng thưởng hay nhận được tiền thưởng thường tiềm ẩn nhiều nguy cơ lừa đảo cao.
Do vậy sự cảnh giác của người dùng máy tính cũng là một phần quan trọng trong việc ngăn
ngừa mã độc tấn công.
1.3.5.4. Luôn để máy tính được cập nhật và bảo mật nhất có thể
Một điều quan trọng để tăng khả năng phòng mã độc đó là để hệ điều hành máy tính
cũng như các trình diệt Virus cần luôn được cài bản cập nhật mới nhất. Việc cập nhật các bản
vá lỗi kịp thời sẽ giúp máy tính không bị tấn công vào các lỗ hổng bảo mật đã được công bố.
Bên cạnh đó, đôi khi việc sử dụng một trình diệt Virus là không đủ và người dùng cần có
một hệ thống bảo vệ nhiều lớp để hỗ trợ cho nhau. Nên kết hợp giữa trình diệt Virus với hệ

thống phát hiện xâm nhập với tường lửa và một hệ thống sandbox như Sandboxie để mang
lại hiệu quả cao nhất.
1.4. Phương thức lây nghiễm của mã độc
Phương thức lây nhiễm của mã độc tùy thuộc các biến thể (hay các loại mã độc) phổ
biến như: Virus, Worm, Trojan…
1.4.1. Phương thức lây nhiễm của Virus
Dựa trên hành vi, Virus được chia thành 2 loại:

14


×