Tìm hiểu một số kỹ thuật phát triển mã độc phục vụ thu tin trên máy tính đối tượng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.2 MB, 82 trang )
LỜI CAM ĐOAN
Tơi xin cam đoan khóa luận tốt nghiệp “Tìm hiểu một số kỹ thuật phát
triển mã độc phục vụ thu tin trên máy tính đối tượng” là cơng trình nghiên
cứu của bản thân tơi; các số liệu trong khóa luận là trung thực, chính xác, các
tài liệu tham khảo có nguồn gốc trích dẫn rõ ràng; kết quả nghiên cứu không
sao chép vi phạm bản quyền của của bất kỳ cơng trình nào.
Tơi xin chịu trách nhiệm và hình thức kỷ luật theo quy định cho lời cam
đoan của tôi.
Hà Nội, tháng 7 năm 2019
Sinh viên
MỤC LỤC
MỞ ĐẦU...............................................................................................................1
CHƯƠNG 1: TỔNG QUAN VỀ TÌNH HÌNH AN NINH MẠNG...................7
1.1. An ninh mạng và một số vấn đề trong an ninh mạng..................................7
1.1.1. Một số khái niệm liên quan đến an ninh mạng....................................7
1.1.2. Các nguy cơ gây mất an ninh mạng.....................................................8
1.2. Một số loại mã độc và các hình thức tấn cơng mạng máy tính.................10
1.2.1. Một số loại mã độc thường gặp..........................................................10
1.2.2. Một số hình thức tấn cơng phổ biến trong mạng máy tính................13
1.3. Vấn đề thu thập thơng tin trên mạng.........................................................15
1.3.1. Thu thập thông tin công khai trên Internet.........................................15
1.3.2. Thu thập thơng tin bí mật...................................................................16
CHƯƠNG 2: CƠNG TÁC THU THẬP THƠNG TIN BÍ MẬT VÀ
MỘT SỐ CƠNG CỤ HỖ TRỢ.........................................................................18
2.1. Quy trình cài cắm mã độc thu tin vào máy tính của đối tượng.................18
2.2. Giới thiệu một số cơng cụ phục vụ thu tin bí mật.....................................20
2.2.1. Cơng cụ Perfect Keylogger................................................................20
2.2.2. Công cụ IExpress...............................................................................24
2.2.3. Công cụ Metasploit............................................................................30
CHƯƠNG 3: MỘT SỐ KỸ THUẬT SỬ DỤNG TRONG XÂY DỰNG
MÃ ĐỘC THU TIN TRÊN MÁY TÍNH..........................................................34
3.1. Các kỹ thuật lây nhiễm..............................................................................34
3.1.1. Kỹ thuật lây nhiễm qua các thiết bị lưu trữ di động...........................34
3.1.2. Kỹ thuật ký sinh vào các tập tin định dạng khác...............................35
3.1.3. Kỹ thuật lợi dụng lỗ hổng của Active X............................................36
3.1.4. Kỹ thuật lây nhiễm qua thư điện tử (Email)......................................37
3.2. Kỹ thuật ẩn nấp chống phần mềm AV.......................................................38
3.2.1. Kỹ thuật che giấu trong lập trình (Obfuscation)................................38
3.2.2. Khởi động cùng hệ thống...................................................................41
3.2.3. Kỹ thuật sử dụng cơ chế Hook để tự khởi động lại...........................44
3.2.4. Kỹ thuật sử dụng File Locking..........................................................45
3.3. Kỹ thuật thu thập thông tin.......................................................................46
3.3.1. Sử dụng kỹ thuật Hook để thu thập thao tác người dùng...................46
3.3.2. Sử dụng các hàm API hỗ trợ..............................................................48
CHƯƠNG 4: XÂY DỰNG MÃ ĐỘC THU TIN BÍ MẬT VÀ ỨNG
DỤNG TRONG CƠNG TÁC QN ĐỘI.......................................................51
4.1. Giới thiệu về phần mềm thu tin bí mật KeySpy........................................51
4.2. Các chức năng và kỹ thuật sử dụng trong lập trình...................................51
4.2.1. Chức năng thu tin bí mật từ máy đối tượng.......................................52
4.2.2. Chức năng gửi thông tin thu thập về máy chủ...................................54
4.2.3. Chức năng lây nhiễm sang các thiết bị lưu trữ di động......................55
4.2.4. Chức năng lây nhiễm từ các thiết bị lưu trữ di động sang máy tính
......................................................................................................................56
4.2.5. Chức năng giải mã bản thông tin thu được gửi về.............................56
4.3. Xây dựng tình huống sử dụng mã độc thu tin trên máy tính.....................57
4.4. Phương hướng quản lý tập trung thơng tin thu thập.................................60
KẾT LUẬN.........................................................................................................62
DANH MỤC TÀI LIỆU THAM KHẢO..........................................................64
PHỤ LỤC : Hướng dẫn cài đặt phần mềm Perfect Keylogger......................66
DANH MỤC HÌNH ẢNH
Hình 1.1. Tình hình tấn cơng thu thập thông tin tại Việt Nam (Quý 1 – 2019,
nguồn VNCERT)..................................................................................................17
Hình 2.1. Quy trình chung cài cắm mã độc thu tin bí mật..................................18
Hình 2.2. Giao diện của chương trình Perfect Keylogger...................................21
Hình 2.3. Tùy chọn Cài đặt từ xa trong Perfect Keylogger.................................22
Hình 2.4. Thiết lập trong mục Logging...............................................................22
Hình 2.5. Thiết lập trong mục Ảnh chụp màn hình..............................................23
Hình 2.6. Thiết lập trong mục Email...................................................................23
Hình 2.7. Thiết lập trong mục Phân phát............................................................24
Hình 2.8. Giao diện phần mềm IExpress.............................................................25
Hình 2.9. Tính năng Confirmation Prompt..........................................................26
Hình 2.10. Tính năng Lisence Agreement............................................................26
Hình 2.11. Danh sách Package Files...................................................................27
Hình 2.12. Tùy chọn các tập tin được kích hoạt..................................................27
Hình 2.13. Tùy chọn hiển thị cửa sổ cài đặt........................................................28
Hình 2.14. Tùy chọn thơng báo cài đặt đã thành cơng........................................28
Hình 2.15. Tùy chọn tên và nơi lưu gói cài đặt...................................................29
Hình 2.16. Tùy chọn yêu cầu khởi động lại.........................................................29
Hình 2.17. Khai thác thành cơng lỗ hổng MS17-010..........................................33
Hình 3.1. Sử dụng IExpress để ký sinh mã độc....................................................35
Hình 3.2. Hộp thoại nhắc cài đặt Active X ở spazbox.net...................................37
Hình 3.3. Cấu trúc của mã độc tự mã hóa...........................................................39
Hình 3.4. Chuyển vị các dịng lệnh dựa vào các nhánh và lệnh nhảy.................40
Hình 3.5. Chuyển vị các dịng lệnh dựa trên các dịng lệnh độc lập...................41
Hình 4.1. Sơ đồ hoạt động của mã độc KeySpy...................................................52
Hình 4.2. Các tập tin trong phần mềm thu tin KeySpy........................................57
Hình 4.3. Thiết bị USB bị phần mềm lây nhiễm (Shortcut 2+2=5 là tập tin để
đối tượng tò mò click vào kích hoạt lây nhiễm)...................................................58
Hình 4.4. Phần mềm thu tin được thêm vào mục StartUp khi khởi động............58
Hình 4.5. Phần mềm thu tin được lây nhiễm và tồn tại dưới dạng thư mục ẩn
tại đường dẫn “%AppData%”............................................................................59
Hình 4.6. Thơng tin thu thập được gửi về máy chủ.............................................59
Hình 4.7. Thơng tin thu thập được sau khi giải mã.............................................60
DANH MỤC TỪ VIẾT TẮT
AV
API
CRC
DLL
FTP
HTML
IP
:
:
:
:
:
:
:
Anti-Virus
Application Programming Interface
Cyclic Redundancy Check
Dynamic Link Library
File Tranfer Protocol
HyperText Markup Language
Internet Protocol
7
MỞ ĐẦU
1. Lý do nghiên cứu đề tài
Với sự phát triển của cơng nghệ hiện nay, máy tính và mạng máy tính
ngày càng có vai trị hết sức quan trọng trong tất cả các lĩnh vực. Sử dụng
máy tính giúp cho q trình xử lí, tính tốn được nhanh chóng để cho kết quả
tốt nhất, nâng cao năng suất lao động của con người. Sự phổ biến của máy
tính đã tạo tiền đề cho Internet ra đời đáp ứng cho nhu cầu tìm kiếm, chia sẻ
thơng tin trên tồn thế giới. Tuy nhiên, cùng với đó là các vấn đề về an toàn
mạng, an toàn dữ liệu và bảo mật thông tin, ngăn chặn sự xâm nhập, phá hoại
và đánh cắp thông tin quan trọng gây thiệt hại cho các cá nhân, doanh nghiệp
và tổ chức.
Hiện nay có rất nhiều phương pháp tấn công [9, 12] nhằm đánh cắp dữ
liệu, trong đó một hình thức phổ biến, có hiệu quả lâu dài và khó bị người
dùng phát hiện là tìm cách cài cắm các mã độc để thu thập thông tin trên máy
tính nạn nhân. Đây là một mối đe dọa lớn cho các tổ chức, doanh nghiệp có
những thơng tin bí mật ảnh hưởng đến q trình hoạt động và phát triển của
họ. Theo báo cáo của Bộ Thông tin và Truyền thông, 6 tháng đầu năm 2019
ghi nhận 3.159 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam.
Trong đó có 968 cuộc tấn cơng thay đổi giao diện (Deface), 635 cuộc tấn
công cài cắm mã độc (Malware), 1.556 cuộc tấn công lừa đảo (Phishing).
Không chỉ các máy tính kết nối mạng mới có nguy cơ bị kẻ tấn công cài cắm
các phần mềm thu tin mà các thiết bị khác như điện thoại di động, máy tính
nội bộ, các thiết bị mạng cũng là những đối tượng mà kẻ tấn cơng có thể
nhắm vào. Ngoài ra, việc sử dụng kỹ nghệ xã hội (Social Engineering) tấn
công vào ý thức bảo mật của người trong nội bộ đang dần phổ biến hơn bởi
hiệu quả thành cơng của nó.
8
Đối với ngành Qn đội, có tính chất là một lực lượng vũ trang trọng
yếu của Đảng Cộng sản Việt Nam, có vai trị nịng cốt trong sự nghiệp bảo vệ
an ninh quốc gia và giữ gin trật tự an tồn xã hội. Những thơng tin, tài liệu, dữ
liệu của ngành mang tính chất bí mật tuyệt đối khơng được để lộ lọt, sao chép,
đánh cắp. Ngoài những biện pháp để có thể bảo vệ tài liệu theo cách truyền
thống, các cơ quan tổ chức trong ngành cần có những hiểu biết về cách thức
thu thập thông tin của những kẻ tấn cơng để có thể nâng cao ý thức cảnh giác,
đồng thời đề ra những biện pháp phòng chống việc tấn công mã độc để thu
thập thông tin hiện nay. Ngồi ra, trong cơng tác đấu tranh chống tội phạm sử
dụng cơng nghệ cao, lực lượng qn đội cịn có nhiệm vụ thu thập thơng tin,
tài liệu, chứng cứ phục vụ cho công tác đấu tranh chống tội phạm nên cần có
những hiểu biết về các mã độc thu tin, sâu hơn là các kỹ thuật, thủ thuật mà
kẻ tấn công sử dụng vào trong phần mềm thu tin. Việc này giúp cho cơ quan
quân đội hiểu được vấn đề và có các biện pháp phịng chống cũng như đánh
chặn các âm mưu của đối tượng đồng thời cũng vận dụng những hiểu biết này
để phục vụ cho quá trình điều tra thu thập thơng tin, chứng cứ, đấu tranh
chống các loại tội phạm.
Vì những lý do trên tác giả đã chọn đề tài “Tìm hiểu một số kỹ thuật
phát triển mã độc phục vụ thu tin trên máy tính đối tượng” có ý nghĩa trong
việc tìm hiểu, nghiên cứu các kỹ thuật xây dựng mã độc thu tin, vận dụng
chúng phịng ngừa các cuộc tấn cơng cũng như điều tra thu thập tin trong
cơng tác qn đội.
2. Tình hình nghiên cứu liên quan đến đề tài
Việc xây dựng các mã độc thu tin bí mật đã có lịch sử từ khi con người
bắt đầu sử dụng máy tính, với nhiều kỹ thuật khác nhau được áp dụng trong
từng thời kỳ với các loại máy tính và nền tảng hệ điều hành. Các kỹ thuật này
thường tận dụng việc khai thác các lỗ hổng trên hệ điều hành, trình duyệt, các
9
giao thức và hiểu biết của người sử dụng. Tuy nhiên các phần mềm và hệ điều
hành luôn được cập nhật và sửa lỗi liên tục, cải thiện và vô hiệu hóa các lỗ
hổng cũ nhưng cũng có thể xuất hiện các lỗ hổng mới nên sẽ có những cải
tiến mới trong việc xây dựng mã độc thu tin bí mật ngày càng tinh vi và nguy
hiểm hơn.
Với sự phát triển của cơng nghệ thơng tin, ngày càng có nhiều cơng cụ
giúp việc thu thập thơng tin bí mật cho hiệu quả tốt hơn như Perfect
Keylogger, Ardamax Keylogger, Metasploit. Chúng có cập nhật những kỹ
thuật mới có thể khai thác hiệu quả việc thu tin một cách bí mật đồng thời có
thể khai thác các lỗ hổng bảo mật giúp cho việc cài cắm dễ dàng hơn. Tuy
nhiên, do sự phổ biến của các công cụ này, các phần mềm AV và hệ thống
phịng thủ hiện nay đã có những cải tiến để có thể đánh bại các cơng cụ này,
hơn nữa việc sử dụng công cụ khiến cho khả năng tùy biến của người sử dụng
không được cao, không thể kiểm sốt mã nguồn nên tiềm ẩn những khó khăn
và cả vấn để an ninh bảo mật. Với sự cập nhật và phát triển của công nghệ
hiện nay ngày càng có nhiều kỹ thuật giúp xây dựng thu tin bí mật tốt hơn. Vì
vậy, trong q trình nghiên cứu đề tài tác giả tiếp tục tìm hiểu, nghiên cứu, hệ
thống lại các kỹ thuật giúp nâng cao hiệu quả cho việc xây dựng mã độc thu
thập thơng tin bí mật trên máy tính đối tượng.
3. Mục tiêu, nhiệm vụ nghiên cứu
Mục tiêu nghiên cứu của khóa luận là tập trung nghiên cứu, tìm hiểu
các cơng cụ, các kỹ thuật được thường được sử dụng trong quá trình xây dựng
mã độc thu thập thơng tin bí mật và ứng dụng các kỹ thuật này để cụ thể hóa
bằng việc xây dựng một mã độc thu tin có ứng dụng trong thực tiễn ngành
Quân đội.
Về nhiệm vụ nghiên cứu:
10
- Tổng quát được các vấn đề an ninh, bảo mật thông tin hiện nay và
công tác thu thập thông tin bí mật.
- Tìm hiểu, giới thiệu các cơng cụ, phân tích các kỹ thuật được sử dụng
để xây dựng các mã độc thu tin bí mật trên máy tính.
- Vận dụng những kỹ thuật đã nghiên cứu, tìm hiểu để xây dựng một
mã độc thu thập thơng tin bí mật có ý nghĩa trong thực tế.
4. Đối tượng và phạm vi nghiên cứu đề tài
Việc xây dựng mã độc thu thập thơng tin bí mật khơng phải làm một
chủ đề mới mẻ. Tuy nhiên, với sự phát triển của cơng nghệ lập trình hiện nay,
ngày càng có thêm các công cụ hỗ trợ, kỹ thuật được cải tiến, kỹ thuật mới
được ứng dụng vào việc xây dựng các mã độc. Đây là một lĩnh vực có liên
quan đến lĩnh vực an ninh, bảo mật. Trong khn khổ khóa luận tốt nghiệp
này, tác giả chỉ tập trung tìm hiểu và nghiên cứu:
- Quy trình, cách thức để tiến hành thu thập thơng tin bí mật của đối
tượng.
- Các cơng cụ hỗ trợ trong việc thu tin và xây dựng phần mềm thu tin.
- Các kỹ thuật trong lập trình cũng như các kỹ thuật phục vụ thu tin để
xây dựng mã độc thu tin bí mật.
- Xây dựng mã độc thu thập thơng tin bí mật có sử dụng các kỹ thuật đã
tìm hiểu và tiến hành thử nghiệm các chức năng.
5. Phương pháp nghiên cứu
Trong khóa luận tốt nghiệp, để có được một hệ thống khoa học tìm hiểu
hợp lý nhất, tác giả đã sử dụng các phương pháp nghiên cứu như sau:
11
- Phương pháp phân tích, tổng hợp: tổng hợp, phân tích các bài báo,
cơng trình khoa học được kiểm chứng liên quan đến bài tốn của mình. Từ đó,
chọn lọc, đánh giá, tìm những dẫn chứng và các lý thuyết phù hợp cho khóa
luận. Các bài báo cơng trình khoa học được lấy từ các nguồn tin cậy như:
IEEE Xplore Digital Library: .
The ACM Digital Library: /> Google Scholar: .
ResearchGate: />- Phương pháp khảo sát thực tế.
- Phương pháp chuyên gia: học hỏi, trao đổi với các chun gia trong
lĩnh vực an ninh, an tồn thơng tin để có cái nhìn tổng quan về đề tài khóa
luận.
- Phương pháp thực nghiệm khoa học: tác giả sử dụng các phương pháp
đã có để áp dụng cho bài tốn đặt ra, phương pháp này giúp kiểm chứng tính
khả thi, những ưu điểm, nhược điểm của giải pháp.
6. Ý nghĩa khoa học, ý nghĩa thực tiễn của đề tài
- Ý nghĩa khoa học: Cung cấp cái nhìn tổng quan về thực trạng tình
hình an ninh, bảo mật thơng tin và vấn đề thu thập thông tin trên Internet cũng
như thu tin bí mật từ máy tính đối tượng.
Hệ thống hóa được các kỹ thuật trong xây dựng các phần mềm thu tin
bí mật, đơng thời đi sâu vào phân tích các kỹ thuật này và xem xét ưu, nhược
điểm của nó. Bên cạnh đó, tác giả cịn giới thiệu thêm một số cơng cụ có uy
tín có thể hỗ trợ trong việc áp dụng các kỹ thuật cũng như phục vụ thu tin bí
mật trên máy tính đối tượng.
12
- Ý nghĩa thực tiễn: Đánh giá được tình hình vấn đề thu thập thơng tin
bímật, rút ra được các kinh nghiệm trong xây dựng mã độc thu tin. Áp dụng
những hiểu biết tích lũy được về các kỹ thuật để xây dựng mã độc thu tin bí
mật KeySpy.
7. Kết cấu của đề tài
Ngoài phần Mở đầu và Kết luận, Danh mục tài liệu tham khảo và Phụ
lục, kết cấu của khóa luận gồm 4 chương:
Chương 1: Tổng quan về tình hình an ninh mạng
Chương này trình bày tình hình an ninh mạng hiện nay, những khái
niệm về an toàn, bảo mật thơng tin và tình hình diễn biến của vấn đề thu tin bí
mật.
Chương 2: Cơng tác thu thập thơng tin bí mật và một số cơng cụ hỗ
trợ
Trong chương này, tác giả đưa ra quy trình để thu thập thơng tin bí mật
từ máy tính đối tượng, đồng thời giới thiệu một số công cụ hỗ trợ cho việc thu
tin.
Chương 3: Một số kỹ thuật sử dụng trong xây dựng mã độc thu tin
trên máy tính
Chương này tập trung vào giới thiệu, phân tích các kỹ thuật trong xây
dựng phần mềm thu tin bí mật và đưa ra một số ví dụ minh họa cụ thể.
Chương 4: Xây dựng mã độc thu tin bí mật và ứng dụng trong
công tác quân đội
Chương này sẽ giới thiệu về mã độc thu tin bí mật KeySpy do tác giả
xây dựng; giới thiệu, giải thích các kỹ thuật và chức năng qua kịch bản tấn
cơng và thu thập thơng tin bí mật.
13
14
CHƯƠNG 1
TỔ
NG QUAN VỀ TÌNH HÌNH AN NINH MẠNG
1.1. An ninh mạng và một số vấn đề trong an ninh mạng
1.1.1. Một số khái niệm liên quan đến an ninh mạng
- An ninh mạng và không gian mạng
Theo Luật An ninh mạng [1] ta có khái niệm như sau:
An ninh mạng là sự đảm bảo hoạt động trên không gian mạng không
gây phương hại đến an ninh quốc gia, trật tự an tồn xã hội, quyền và lợi ích
hợp pháp của các cơ quan, tổ chức, cá nhân.
Không gian mạng là mạng lưới kết nối của các cơ sở hạ tầng công nghệ
thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính, hệ thống
thơng tin, hệ thống xử lí và điều khiển cơng nghệ thơng tin, cơ sở dữ liệu; là
nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian
và thời gian.
- Mơ hình bộ ba an ninh
Mơ hình bộ ba an ninh (tam giác CIA) là khái niệm cơ bản, cốt lỗi,
xun suốt lĩnh vực an tồn thơng tin. Đồng thời, đây cũng là những mục tiêu
cần hướng tới để đảm bảo an tồn cho một hệ thống thơng tin.
+ Tính bí mật (Confidentiality)
Tính bí mật của thơng tin là thơng tin chỉ có được bởi những truy cập
cho phép, khơng thể bị truy cập bởi những người khơng có thẩm quyền.
+ Tính tồn vẹn (Integrity)
Đây là tính chính xác, đầy đủ của thơng tin , bất kì sự thay đổi khơng
được
phép thơng tin nào dù là vơ tình hay cố ý đều xâm phạm đến tính tồn vẹn của
15
thông tin. Thông tin không thể bị sửa đổi, bị làm giả bởi những người khơng
có
thẩm quyền.
+ Tính sẵn sàng (Availability)
Thông tin luôn sẵn sàng để đáp ứng việc sử dụng của những người có
thẩm quyền. Bất cứ một sự chậm trễ nào vượt quá yêu cầu phục vụ của hệ
thống đều có thể được coi như là sự xâm phạm tính sẵn sàng.
1.1.2. Các nguy cơ gây mất an ninh mạng
- Do lỗi của người lập trình, sơ suất của người quản trị
Đây là nguy cơ được xếp vào hàng nguy hiểm nhất. Trong lập trình, các
cảnh báo (warnings) do trình biên dịch đưa ra thường bị bỏ qua từ đó tiềm ẩn
những lỗi như tràn bộ đệm, tràn heap. Khi người dùng vơ tình hay cố ý sử
dụng các đầu vào khơng hợp lý thì chương trình có thể xử lý sai dẫn đến bị
khai thác, gây treo hệ thống. Do đó, lập trình viên phải ln ln cập nhật
thông tin, các lỗi bị khai thác và cách phịng chống, sử dụng phương thức lập
trình an tồn và chính sách người dùng được xử lý, truy cập đến một số thông
tin nhất định.
- Lừa đảo và lấy cắp thơng tin
Việc lộ lọt thơng tin bí mật của các cơ quan, tổ chức doanh nghiệp là
mối nguy thường trực, đặc biệt là những công ty quân sự và cơ quan nhà
nước. Có nhiều tổ chức bị lộ thơng tin từ bên trong, rất khó phát hiện kẻ tấn
cơng.
Cách tốt nhất để phịng tránh nguy cơ này là phải có những chính sách
bảo mật được thiết kế tốt. Những chính sách có thể giúp người quản lý bảo
mật thơng tin thu thập thơng tin, điều tra và kết luận chính xác, nhanh chóng.
Ví dụ, với hình thức lấy cắp thơng tin số, nếu một nhân viên truy cập vào khu
16
vực đặt tài liệu bí mật, hệ thống sẽ ghi lại được thời gian, địa chỉ IP, tài liệu bị
lấy, các phần mềm được cài đặt.
- Các cuộc tấn công của Hacker
Trong khơng gian mạng, ln có những kẻ tấn cơng có khả năng thâm
nhập, chủ động tìm kiếm, khai thác các mục tiêu nhằm mục đích riêng. Mỗi
kẻ tấn cơng đều có những thủ thuật, cơng cụ, kiến thức, hiểu biết về hệ thống.
Bên cạnh đó cũng có vơ số các cuốn sách, diễn đàn đăng tải những nội dung
này.
Bước đầu, kẻ tấn công thu thập thông tin về hệ thống nhiều nhất có thể.
Càng nhiều thơng tin thì khả năng thành công của việc tấn công sẽ càng lớn.
Từ đó, họ lợi dụng các lỗ hổng tìm được hoặc sử dụng các tài khoản mặc định
nhằm chiếm quyền truy cập vào hệ thống. Khi đã thành công kẻ tấn công sẽ
cài đặt các phần mềm, mã độc để có thể xâm nhập vào hệ thống.
Để tránh nguy cơ này, các hệ thống thông tin tương tác với người dùng
cần giấu đi những thông tin quan trọng liên quan đến cấu hình hệ thống, sử
dụng các phần mềm phát hiện truy cập trái phép, rà soát hệ thống thường
xuyên, cấu hình tường lửa hợp lý, chính sách truy cập riêng của từng nhóm
người dùng.
- Sự lây lan của các loại mã độc
Có rất nhiều loại mã độc có thể kể đến như: vi-rút (Virus), sâu máy tính
(Worm), trojan horse, logic bomb, v.v. với khả năng gây thiệt hại lớn. Khi đã
xâm nhập vào các máy tính, mã độc có thể mở cửa hậu (Back Door) để thể
truy cập và làm mọi việc trên máy nạn nhân như theo dõi q trình sử dụng
máy tính. Facebook cũng từng bị tấn cơng do máy tính của một số nhân viên
bị cài cắm mã độc.
17
Mã độc có thể lây nhiễm vào máy tính qua nhiều con đường: lỗ hổng
phần mềm, hệ điều hành, ý thức người sử dụng hệ thống, sử dụng phần mềm
Crack, không rõ nguồn gốc. Cách tốt nhất để tránh nguy cơ này là luôn cập
nhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an ninh mạng, diệt
virus.
- Tấn công từ chối dịch vụ (Denial of Services) [9]
Khi mà kẻ tấn cơng khó có thể xâm nhập vào hệ thống hoặc khơng có ý
định xâm nhập để đánh cắp các thơng tin, chúng sẽ tìm cách tấn cơng vào tính
sẵn sàng của hệ thống, cụ thể là tấn công từ chối dịch vụ làm hệ thống không
thể phục vụ người dùng trong một khoảng thời gian dài bằng cách truy cập
đến hệ thống liên tục, với số lượng lớn, có tổ chức. Có 2 kiểu tấn cơng từ chối
dịch vụ như sau:
+ DoS (Denial of Services): kẻ tấn công sử dụng các công cụ (tấn công
Synfloods, Smurfs, Fraggles) để tấn cơng vào hệ thống, khiến nó khơng thể
xử lý được yêu cầu, làm nghẽn băng thông khiến người dùng khác khó mà
truy cập được.
+ DDoS (Distributed Denial of Services): một hình thức cao cấp của
DoS, các nguồn tấn công được điều khiển bởi một vài máy chủ khác cùng tấn
công vào hệ thống. Loại tấn công này khó phát hiện ra hơn cho các hệ thống
phát hiện tự động, giúp kẻ tấn cơng ẩn mình tốt hơn.
- Tấn công sử dụng kỹ nghệ xã hội (Social Engineering)
Đây là một kỹ thuật khai thác nhằm vào điểm yếu con người. Kỹ thuật
tấn công sử dụng kỹ nghệ xã hội là quá trình đánh lừa người dùng của hệ
thống, nhằm phá vỡ hệ thống an ninh, lấy cắp dữ liệu hoặc tống tiền. Nói một
cách khác, cách tấn cơng này là một trò lừa đảo rất tinh vi được thực hiện qua
mạng, với tỉ lệ thành công rất cao. Điển hình cho hình thức này là Hacker nổi
18
tiếng Kevin Mitnick [8]. Trong một lần, anh chỉ cần vài thông tin quan trọng
của tổng thống Mỹ, đã gọi điện cho thư ký của ơng và lấy được tồn bộ thơng
tin về thẻ tín dụng của tổng thống.
1.2. Một số loại mã độc và các hình thức tấn cơng mạng máy tính
1.2.1. Một số loại mã độc thường gặp
Mã độc (hay các phần mềm độc hại) là các đoạn mã, tập lệnh, chương
trình hay các phần mềm được tạo với mục đích làm ảnh hưởng các chức năng,
đánh cắp dữ liệu người dùng, chiếm quyền điều khiển, phá hoại các tài
ngun có trong máy tính. Bằng các tìm hiểu có liên quan [7, 14], tác giả xin
giới thiệu một số loại mã độc thường gặp hiện nay và các đặc trưng trong
chức năng của chúng.
- Vi-rút máy tính (Computer Virus)
Thuật ngữ vi-rút máy tính dùng để chỉ những chương trình tấn cơng và
lây nhiễm chính nó vào các tập tin có thể thực thi. Nếu được kích hoạt, vi-rút
sẽ tiến hành lây nhiễm chính nó sang các tập tin thực thi khác. Vi-rút có thể
thực hiện các hoạt động gây hại như tạo Back Door, phá hủy các tập tin, cơng
cụ có ích.
Vi-rút có đặc điểm phổ biến là tính bí mật, giúp cho chúng khó bị phát
hiện, do đó có thể bí mật thâm nhập vào máy tính người dùng và hoạt động.
Ngày càng có nhiều kỹ thuật giúp vi-rút máy tính ngày càng tiến hóa hơn,
biến đổi qua từng lần lây nhiễm, khiến cho các phần mềm AV khó có thể phát
hiện chúng.
- Sâu máy tính (Worms)
Giống như vi-rút, sâu máy tính được tạo ra để có thể tự sao chép và lây
nhiễm sang các hệ thống khác. Tuy nhiên, sâu máy tính khơng cần lây nhiễm
vào các tập tin thực thi để lây lan sang các máy khác mà chúng có thể tự nhân
19
bản chính mình, tạo ra khung chứa riêng để lây nhiễm. Sâu máy tính thường
được dùng để lây lan trên diện rộng, đặc biệt là trên môi trường Internet,
chúng khai thác các lỗ hổng trên hệ thống máy tính để có thể chiếm quyền
truy cập, đánh cắp hoặc xóa dữ liệu quan trọng.
- Trojan
Trojan là một chương trình độc hại hoạt động ẩn nấp dưới vỏ bọc của
các chương trình hữu ích mà người dùng có chủ đích cài đặt. Thuật ngữ
Trojan bắt nguồn từ câu chuyện Hy Lạp cổ đại về con ngựa gỗ được sử dụng
để xâm chiếm thành Troy. Trong thực tế, nhiều Trojan chứa đựng các phần
mềm gián điệp khiến máy tính bị thu thập thơng tin, điều khiển từ xa một
cách bí mật. Về mặt kỹ thuật so với vi-rút thì Trojan chỉ là một phần mềm
thơng thường và khơng có ý nghĩa tự lan truyền, chúng lừa đảo để thực hiện
các thao tác trái với quyền và mong muốn của người sử dụng.
- Rootkit
Rootkit là cơng cụ phần mềm độc hại có khả năng truy cập trái phép
vào máy tính, thay đổi và thực thi các tệp từ xa, tùy chỉnh, can thiệp sâu vào
cấu hình hệ thống trên máy tính. Rootkit khơng thể tự sao chép và lây lan, nơi
chúng hoạt động là các lớp thấp hơn của lớp ứng dụng, nhân hệ điều hành, hệ
thống BIOS với quyền truy cập đặc biệt nên rất khó phát hiện và ngăn chặn.
Khi một rootkit được phát hiện, các chun gia khun nên xóa tồn bộ ổ
cứng và cài đặt lại mọi thứ từ đầu.
- Phần mềm gián điệp (Spyware)
Phần mềm gián điệp được cài đặt hồn tồn bí mật trên máy tính người
dùng và trong q trình sử dụng rất khó để phát hiện hoạt động của nó. Các
phần mềm này có nhiệm vụ thu thập các thông tin từ các hoạt động của người
dùng như thói quen duyệt Web, các thơng tin nhạy cảm như tài khoản ngân
20
hàng, thẻ tín dụng thậm chí là các cuộc nói chuyện ghi âm, ghi hình. Ngày
nay, phần mềm gián điệp cịn có các chức năng tiên tiến hơn như thay đổi cài
đặt, làm chậm tốc độ mạng, thay đổi trang chủ.
- Phần mềm quảng cáo (Adware)
Đây là các chương trình được tạo ra với mục đích hiển thị quảng cáo
trên máy tính của nạn nhân, chuyển hướng các yêu cầu tìm kiếm đến các
trang Web quảng cáo, thậm chí thu thập cả dữ liệu cá nhân để hiển thị quảng
cáo với nội dung phù hợp. Việc này ảnh hưởng rất nhiều đến việc sử dụng
máy tính khi các pop-up quảng cáo liên tục hiện ra che mất màn hình và nguy
cơ thu thập các thông tin quan trọng như ngân hàng, mật khẩu của người
dùng.
- Mã độc tống tiền (Ransomware)
Mã độc tống tiền là một loại phần mềm độc hại khi lây nhiễm sang máy
tính nạn nhân sẽ tiến hành khóa dữ liệu, thường là mã hóa chúng và yêu cầu
tiền chuộc để nạn nhân có thể lấy lại thơng tin bị mã hóa. Động cơ của các
cuộc tấn cơng mã độc tống tiền là tiền tệ, nạn nhân sẽ được thông báo sau khi
việc khai thác đã xảy ra, u cầu thanh tốn bằng một loại tiền mã hóa,
thường là bằng Bitcoin.
1.2.2. Một số hình thức tấn cơng phổ biến trong mạng máy tính
Các hình thức tấn cơng trên mạng máy tính, theo tìm hiểu của một số
bài báo [11, 12] có thể được chia làm hai loại là chủ động và bị động. Hình
thức chủ động là khi kẻ xâm nhập mạng có được những phương pháp, câu
lệnh điều khiển để có thể làm gián đoạn việc hoạt động bình thường của hệ
thống. Ngược lại, hình thức bị động thì kẻ xâm nhập tiến hành chặn bắt và
phân tích các luồng dữ liệu lớn qua lại trên mạng.
21
1.2.2.1. Tấn công chủ động (Active Attack)
Tấn công giả mạo (Spoofing): Một cuộc tấn cơng giả mạo là tình huống
một người hoặc chương trình giả mạo thành cơng như một người khác bằng
cách làm sai lệch, làm giả dữ liệu để có thể tương tác, giao tiếp, sử dụng hệ
thống hợp lệ, từ đó xâm nhập và gây hại cho hệ thống một cách bất hợp pháp.
Hình thức giả mạo phổ biến của những kẻ tấn công hiện nay là giả mạo địa
chỉ IP, ARP và DNS.
Tấn công công sửa đổi thơng tin (Modification): là kiểu tấn cơng mà
trong đó kẻ tấn công thực hiện sửa đổi, làm trễ hoặc thay đổi trật tự các thông
tin để đạt được mục đích bất hợp pháp. Kẻ tấn cơng có thể chỉnh sửa đổi các
thông điệp, thay đổi các tập tin cấu hình để hệ thống hoạt động sai mục đích.
Tấn cơng sửa đổi thơng tin tập trung nhắm vào tính tồn vẹn của thông tin.
Tấn công từ chối dịch vụ DoS (Denial of Services): là kiểu tấn cơng
nhằm mục đích phá vỡ tính sẵn sàng của thơng tin. Kẻ tấn cơng thực hiện gửi
một lượng lớn các yêu cầu đến hệ thống đích và khiến nó khơng đủ khả năng
xử lí (tràn bộ đệm), những yêu cầu từ người dùng khác đến hệ thống sẽ khơng
được xử lí. Kiểu tấn cơng này thường dùng để tấn công vào các dịch vụ như
Web, Cloud, FTP, v.v.
Tấn công bằng cách phát lại (Replay): đây là kiểu tấn công mà kẻ tấn
công đọc được nội dung thơng điệp từ nơi gửi và sau đó gửi lại thông điệp
này đến nơi nhận. Việc gửi lại thơng điệp này có thể gây nhầm lẫn hoặc xác
thực nhầm cho bên nhận. Ngồi ra, kẻ tấn cơng cũng có thể thay đổi một số
thơng tin khi phát lại để thực hiện hành vi trái phép của mình lên hệ thống.
1.2.2.2. Tấn công bị động (Passive Attack)
Tấn công phân tích dữ liệu đường truyền (Traffic Analysis): kẻ tấn
cơng cố gắng theo dõi các lưu lượng mạng truyền qua lại giữa hai bên gửi và
22
bên nhận. Từ đó, kẻ tấn cơng có thể nắm bắt được tiêu đề, giao thức, tần số và
độ dài các thông điệp. Mặc dù không thể đọc được nội dung của các thơng
điệp, tuy nhiên kẻ tấn cơng có thể dự đốn được các tính chất quan trọng của
thơng tin trao đổi để có cơ sở tiến hành các bước tiếp theo trong cuộc tấn
công.
Tấn công giám sát, nghe lén (Eavesdropping): đây là kiểu tấn công mà
kẻ tấn công thực hiện tìm mọi cách để bắt chặn và đọc các thơng tin bí mật
trong việc truyền dữ liệu của người gửi và nhận như các cuộc điện thoại,
Email, tập tin được truyền. Các thông tin này sẽ không bị kẻ tấn công chỉnh
sửa, biên tập lại mà chị bị thất thốt ra ngồi, mất đi tính bí mật của thơng tin.
Việc chặn bắt thơng tin có thể được thực hiện trên tất cả các đường truyền,
nhờ vào các
công cụ mạng hay các thiết bị vật lý chuyên dụng để dị và chặn bắt thơng tin.
Trong thực tế việc tấn cơng một hệ thống thơng tin thường kết hợp
nhiều hình thức tấn công khác nhau để bổ sung và hỗ trợ cho nhau. Các hình
thức tấn cơng bị động thường là bước thu thập thông tin tạo cơ sở để triển
khai mạch lạc, điều chỉnh phù hợp cho các hình thức tấn công quyết định ở
các bước sau.
1.3. Vấn đề thu thập thông tin trên mạng
1.3.1. Thu thập thông tin công khai trên Internet
Từ cá nhân cho đến các tổ chức lớn khi tham gia vào môi trường mạng
với nhu cầu được kết nối, chia sẻ và nắm bắt thông tin cũng phải cung cấp
những thơng tin của mình lên mạng Internet. Điều này giúp các công ty, tổ
chức được biết đến và mở rộng tương tác. Tuy nhiên, từ những thông tin công
khai tiềm ẩn mối nguy trước những kẻ tấn cơng ln có ý đồ tìm cách khai
thác những thơng tin này nhằm mục đích xấu.
23
Thông qua các mạng xã hội như Facebook, Google, Zalo thì kẻ tấn
cơng đã có một số thơng tin cơ bản về đối tượng, đặc biệt là số điện thoại và
Email quản trị. Nhờ các thông tin này kẻ tấn cơng có thể lần đến các blog,
ngân hàng, cơng ty, trường học, v.v. để biết được thói quen, sở thích, thậm chí
cả những thơng tin bí mật, những sơ hở trong việc bảo mật tài khoản người
dùng. Việc mà mọi người để lộ một số thông tin cơ bản của mình hiện nay
dường như là một điều tất yếu phải chấp nhận khi tham gia vào khơng gian
mạng.
Để tìm hiểu sâu hơn, thu thập được nhiều thông tin hơn phục vụ mục
đích của kẻ tấn cơng, ngày càng có nhiều công cụ, thủ thuật giúp việc này trở
nên dễ dàng và hiệu quả. Google Hacking [6] là một công cụ nổi tiếng với
một cơ sở dữ liệu lớn như Google thì việc thực hiện truy vấn để lấy các thơng
tin của một máy chủ như tên Domain, hệ điều hành, các dịch vụ, v.v. là điều
khá dễ dàng. Ngoài ra, kẻ tấn cơng có thể dùng một số cơng cụ như Domain
Name Lookup, Whois, Nslookup, Sam Spade để thu thập các thơng tin, mỗi
cơng cụ có một thế mạnh riêng nên cần sử dụng tổng hợp các công cụ để có
thể thu được lượng thơng tin tốt nhất phục vụ cho mục đích. Việc thu thập
thơng tin cơng khai trên Internet ngày càng trở nên tất yếu và phổ biến, thơng
tin hiện nay có thể coi là một loại tiền tệ mới, là nguồn tài nguyên quý giá trên
tất cả lĩnh vực của đời sống xã hội.
1.3.2. Thu thập thông tin bí mật
Bên cạnh việc chú ý thu thập các thông tin công khai một cách hợp
pháp trên Internet, để có các thơng tin quan trọng, chun sâu và hữu ích hơn,
tồn tại các cá nhân, cơ quan, tổ chức có mục đích thu thập các thơng tin bí
mật của nhau để phục vụ cho mục đích riêng.
24
Trong q trình phát triển của máy tính cũng như các phần mềm máy
tính, sẽ cịn phát sinh những lỗi chương trình hay những lỗ hổng bảo mật do
lập trình viên hay người quản trị vơ tình hoặc cố ý gây ra. Nguy hiểm hơn khi
máy tính được kết nối vào mạng Internet nên có rất nhiều những kẻ có ý đồ
tấn cơng dị qt được các lỗi và lỗ hổng này để tiến hành khai thác, thu thập
thông tin nhằm mục đích xấu. Gần đây, một lỗ hổng bảo mật vô cùng nghiêm
trọng trên hệ điều hành Windows, một hệ điều hành phổ biến trên các máy
tính hiện nay được phát triển bởi Microsoft, đã được phát hiện và cơng bố
cùng với đó là bản vá bảo mật MS17 – 010 ở tài liệu [10]. Tuy nhiên, lỗ hổng
này đã sớm được các kẻ tấn công tận dụng và khai thác ăn cắp thông tin, tống
tiền, gây thiệt hại nặng nề cho các hệ thống máy tính trên tồn cầu bằng mã
độc Wanna Cry.
Hiện nay, kẻ tấn cơng có thể sử dụng nhiều cơng cụ để dị qt và khai
thác các lỗi và lổ hổng để thực hiện tấn cơng vào các hệ thống máy tính. Một
trong các cơng cụ phụ biến là Metasploit [18] với khả năng mạnh mẽ, dò quét
được rất nhiều các lỗ hổng bảo mật trên nhiều nền tảng hệ điều hành. Khi sử
dụng thành cơng cơng cụ này, kẻ tấn cơng có thể cài đặt các mã độc, tải dữ
liệu của nạn nhân về máy tính của mình. Một hướng khác là kẻ tấn cơng tiến
hành phát tán các chương trình có chứa mã độc, mồi nhử nạn nhân truy cập,
tải vể và vô tình kích hoạt phần mềm độc hại. Sau đó, phần mềm thu tin sẽ
tiến hành cơng việc của mình và gửi về máy chủ các thông tin thu thập được,
đồng thời cài thêm các cửa hậu để tiến hành truy cập từ xa, đánh cắp, theo dõi
cập nhật các thông tin khác.
25
Hình 1.1. Tình hình tấn cơng thu thập thơng tin tại Việt Nam (Quý 1 – 2019,
nguồn VNCERT)
Trong thực tế, việc thu thập thông tin thường kết hợp giữa việc thu thập
thông tin công khai và thu thập thông tin bí mật. Thu thập thơng tin cơng khai
thường là bước đầu và tạo tiền đề cho việc thu thập thông tin bí mật. Những
thơng tin thu thập được cơng khai sẽ giúp cho kẻ tấn cơng phân tích được đặc
điểm, tính chất, quy luật của đối tượng mình cần tấn cống từ đó thiết kế được
kế hoạch tấn cơng thu tin bí mật thực sự hiệu quả. Lấy ví dụ, khi kẻ tấn công
muốn lấy thông tin của một Website nào đó thì trước tiên cần biết được địa
chỉ IP, hệ điều hành, các Port mà máy chủ đang mở hoặc có thể là tấn cơng
vào thói quen của người quản trị viên, từ đó cài cắm mã độc khai thác các lỗ
hổng.
