Tải bản đầy đủ (.pdf) (25 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

NGHIÊN CỨU VỀ MALWARE VÀ PHƯƠNG PHÁP PHÒNG CHỐNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.24 MB, 25 trang )

------

CHỦ ĐỀ: NGHIÊN CỨU VỀ MALWARE VÀ PHƯƠNG PHÁP PHÒNG CHỐNG

Họ và tên: Hoàng Thế Kỳ
Email:
SĐT: 0973.608.148

Hà Nội, ngày 03 tháng 09 năm 2019

1


Nội dung
I: Cơ sở tổng quan về lý thuyết................................................................................................. 3
1.Tổng quan về Tấn công mạng............................................................................................ 3
- Tấn công mạng là gì ? .................................................................................................... 3
- Các đối tượng bị tấn cơng............................................................................................... 3
- Mục đích tấn cơng mạng ................................................................................................ 3
- Hacker........................................................................................................................... 4
Các hình thức tấn cơng mạng phổ biến.............................................................................. 4
Giải pháp chống tấn cơng mạng cơ bản ............................................................................. 6
2. Tìm hiểu về mã độc hại Malware ...................................................................................... 6
Định nghĩa. ...................................................................................................................... 6
Phân loại một số malware thông dụng. .............................................................................. 7
Cách thức lây nhiễm malware..........................................................................................11
3: Tổng quan về mã độc Malware ........................................................................................15
1. Phân tích mã độc malware ...........................................................................................15
2. Các loại mã nhận diện chính: .......................................................................................15
3. Cơng nghệ phân tích mã độc ........................................................................................15
4. Một số quy tắc chính khi phân tích mã độc Malware.....................................................17


4. Cơng nghệ phân tích mã độc............................................................................................18
1. Nhóm cơng cụ hỗ trợ phát hiện mã độc ........................................................................18
2. Công cụ quét Online và sanboxes.................................................................................18
3. Công cụ Deobfuscation ...............................................................................................19
4. Công cụ gỡ rối (Debugging) và dịch ngược (Reverse Engineering) ...............................19
5. Điều tra bộ nhớ ...........................................................................................................20
6. Phân tích gói tin ..........................................................................................................20
2


7. Phân tích website ........................................................................................................20
5: Phương pháp phân tích mã độc ........................................................................................21
+ Mơi trường phân tích mã độc........................................................................................21
6: Security Operation Center – SOC ....................................................................................24
Tài liệu tham khảo ..................................................................................................................25

I: Cơ sở tổng quan về lý thuyết.
1.Tổng quan về Tấn công mạng
- Tấn cơng mạng là gì ?
Tấn cơng mạng (hoặc tấn công không gian mạng) Cyber attack (hoặc Cyberattack)
Tấn công mạng là tất cả các hình thức xâm nhập trái phép vào một hệ thống máy tính, website, cơ
sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân hoặc tổ chức thơng qua mạng internet với những
mục đích bất hợp pháp.
Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu (đánh cắp, thay đổi,
mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống (gây gián đoạn, cản trở dịch vụ),
hoặc lợi dụng tài nguyên của nạn nhân (hiển thị quảng cáo, mã độc đào tiền ảo).
Tấn công mạng khác với pentest (kiểm thử xâm nhập). Mặc dù cả 2 đều chỉ việc xâm nhập vào
một hệ thống, tuy nhiên tấn công mạng là xâm nhập trái phép gây hại cho nạn nhân, còn pentest là
xâm nhập với mục đích tìm ra điểm yếu bảo mật trong hệ thống để khắc phục.
- Các đối tượng bị tấn cơng

Có thể là cá nhân, doanh nghiệp, các tổ chức chính phủ hoặc phi chính phủ, cơ quan nhà nước,
thậm chí đối tượng có thể là cả một quốc gia. Tuy nhiên, đối tượng phổ biến nhất của các cuộc tấn
cơng mạng là các doanh nghiệp. Đơn giản vì mục tiêu chính của những kẻ tấn cơng là vì lợi nhuận.
- Mục đích tấn cơng mạng
Bên cạnh những mục đích phổ biến như trục lợi phi pháp, tống tiền doanh nghiệp, hiện thị quảng
cáo kiếm tiền, thì cịn tồn tại một số mục đích khác phức tạp và nguy hiểm hơn: cạnh tranh không

3


lành mạnh giữa các doanh nghiệp, tấn công an ninh hoặc kinh tế của một quốc gia, tấn công đánh
sập một tổ chức tơn giáo, v.v.
Ngồi ra, một số hacker tấn công mạng chỉ để mua vui, thử sức, hoặc tò mò muốn khám phá các
vấn đề về an ninh mạng.
- Hacker
Những kẻ tấn công mạng được gọi là Cyber-crime (tội phạm mạng) Các hacker đều là những người
có kiến thức cực kỳ chuyên sâu về an ninh mạng, khoa học máy tính, khoa học mật mã, cơ sở dữ
liệu… kiến thức của hacker còn được đánh giá là sâu và rộng hơn các kỹ sư CNTT thông thường.
Hacker mũ đen và Hacker mũ trắng.
Hacker đều thực hiện tấn công các tổ chức với mục đích xấu, nên được gọi là Hacker mũ đen.
Hacker mũ trắng có mục đích tốt. Khi họ xâm nhập thành công vào hệ thống của một tổ chức, họ
thường cố gắng liên hệ với tổ chức để thơng báo về sự khơng an tồn của hệ thống.
Các hình thức tấn cơng mạng phổ biến
- Tấn công bằng phần mềm độc hại (Malware attack)
Tấn công malware là hình thức phổ biến nhất. Malware bao gồm spyware (phần mềm gián điệp),
ransomware (mã độc tống tiền), virus và worm (phần mềm độc hại có khả năng lây lan nhanh).
Thông thường, tin tặc sẽ tấn công người dùng thông qua các lỗ hổng bảo mật, cũng có thể là dụ dỗ
người dùng click vào một đường link hoặc email (phishing) để phần mềm độc hại tự động cài đặt
vào máy tính. Một khi được cài đặt thành cơng, malware sẽ gây ra:
-


Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng (ransomware)

-

Cài đặt thêm những phần mềm độc hại khác

-

Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware)

-

Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống.

-

Tấn công giả mạo (Phishing attack)

Phishing là hình thức giả mạo thành một đơn vị/cá nhân uy tín để chiếm lịng tin của người dùng,
thơng thường qua email. Mục đích của tấn cơng Phishing thường là đánh cắp dữ liệu nhạy cảm
như thông tin thẻ tín dụng, mật khẩu, đơi khi phishing là một hình thức để lừa người dùng cài đặt
malware vào thiết bị (khi đó, phishing là một cơng đoạn trong cuộc tấn công malware).
4


- Tấn công trung gian (Man-in-the-middle attack)
Tấn công trung gian (MitM), hay tấn công nghe lén, xảy ra khi kẻ tấn công xâm nhập vào một giao
dịch/sự giao tiếp giữa 2 đối tượng. Khi đã chen vào giữa thành công, chúng có thể đánh cắp dữ
liệu của giao dịch đó.

Loại hình này xảy ra khi:
Nạn nhân truy cập vào một mạng Wifi cơng cộng khơng an tồn, kẻ tấn cơng có thể “chen vào
giữa” thiết bị của nạn nhân và mạng Wifi đó. Vơ tình, những thơng tin nạn nhân gửi đi sẽ rơi vào
tay kẻ tấn công.
Khi phần mềm độc hại được cài đặt thành công vào thiết bị, một kẻ tấn cơng có thể dễ dàng xem
và điều chỉnh dữ liệu của nạn nhân.
- Tấn công từ chối dịch vụ (DoS và DDoS)
DoS (Denial of Service) là hình thức tấn công mà tin tặc “đánh sập tạm thời” một hệ thống, máy
chủ, hoặc mạng nội bộ. Để thực hiện được điều này, thường tạo ra một lượng traffic/request khổng
lồ ở cùng một thời điểm, khiến cho hệ thống bị q tải, từ đó người dùng khơng thể truy cập vào
dịch vụ trong khoảng thời gian mà cuộc tấn cơng DoS diễn ra.
Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): tin tặc sử dụng một
mạng lưới các máy tính (botnet) để tấn cơng nạn nhân. Điều nguy hiểm là chính các máy tính thuộc
mạng lưới botnet cũng không biết bản thân đang bị lợi dụng để làm công cụ tấn công.
- Tấn công cơ sở dữ liệu (SQL injection)
Tin tặc “tiêm” một đoạn code độc hại vào server sử dụng ngôn ngữ truy vấn có cấu trúc (SQL),
mục đích là khiến máy chủ trả về những thông tin quan trọng mà lẽ ra không được tiết lộ. Các cuộc
tấn công SQL injection xuất phát từ các lỗ hổng của website, đôi khi tin tặc có thể tấn cơng chỉ
bằng cách chèn một đoạn mã độc vào thanh cơng cụ “Tìm kiếm” là đã có thể tấn công website.
- Khai thác lỗ hổng Zero-day (Zero day attack)
Lỗ hổng Zero-day (0-day vulnerabilities) là các lỗ hổng bảo mật chưa được công bố, các nhà cung
cấp phần mềm chưa biết tới, và dĩ nhiên, chưa có bản vá chính thức. Chính vì thế, việc khai thác
những lỗ hổng “mới ra lị” này vơ cùng nguy hiểm và khó lường, có thể gây hậu quả nặng nề lên
người dùng và cho chính nhà phát hành sản phẩm.

5


Giải pháp chống tấn công mạng cơ bản
+ Đối với cá nhân

Bảo vệ mật khẩu cá nhân bằng cách: đặt mật khẩu phức tạp, bật tính năng bảo mật 2 lớp – xác
nhận qua điện thoại…
-

Hạn chế truy cập vào các điểm wifi công cộng

-

Không sử dụng phần mềm bẻ khóa (crack)

-

Ln cập nhật phần mềm, hệ điều hành lên phiên bản mới nhất.

-

Cẩn trọng khi duyệt email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo.

-

Tuyệt đối không tải các file hoặc nhấp vào đường link không rõ nguồn gốc.

-

Hạn chế sử dụng các thiết bị ngoại vi (USB, ổ cứng) dùng chung.

-

Sử dụng một phần mềm diệt Virus uy tín.


+ Đối với tổ chức, doanh nghiệp
-

Xây dựng một chính sách bảo mật với các điều khoản rõ ràng, minh bạch

-

Lựa chọn các phần mềm, đối tác một cách kỹ càng. Ưu tiên những bên có cam kết bảo mật
và cam kết cập nhật bảo mật thường xuyên.

-

Tuyệt đối không sử dụng các phần mềm crack

-

Luôn cập nhật phần mềm, firmware lên phiên bản mới nhất.

-

Sử dụng các dịch vụ đám mây cho mục đích lưu trữ.

-

Đánh giá bảo mật & Xây dựng một chiến lược an ninh mạng tổng thể cho doanh nghiệp,
bao gồm các thành phần: bảo mật website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ
thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hành…

-


Tổ chức các buổi đào tạo, training kiến thức sử dụng internet an tồn cho nhân viên.

2. Tìm hiểu về mã độc hại Malware
Định nghĩa.
- Mã độc hại (Malware) được định nghĩa là “một chương trình (program) được chèn một cách bí mật
vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn hoặc tính sẵn sàng của hệ thống”
Định nghĩa này sẽ bao hàm rất nhiều thể loại như: worm, trojan, spy-ware,... thậm chí là virus hoặc các
bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như: backdoor, rootkit, key-logger, kali
linux, shell ...

6


Phân loại một số malware thông dụng.
1. Virus
Virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các
file, chương trình hoặc máy tính. Như vậy virus ln ln bám vào một vật chủ (đó là file dữ liệu hoặc
file ứng dụng) để lây lan qua môi trường inetnet, thiết bị ngoại vi. Các chương trình diệt virus dựa vào
đặc tính này để thực thi việc phịng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file
trước khi lưu xuống ổ cứng, ... vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát
hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang
virus” lại nằm ở máy khác nên khơng thể thực thi việc xố đoạn mã độc hại đó.
2. Compiled Virus
Compiled Virus là virus mà mã thực thi của nó đã được dịch hồn chỉnh bởi một trình biên dịch để nó
có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus như (Michelangelo và Stoned), file virus
(như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể
là pha trộn bởi cả boot virus va file virus trong cùng một phiên bản.
3. Interpreted Virus
Interpreted Virus là một tổ hợp của mã nguồn, mã chỉ thực thi được dưới sự hỗ trợ của một ứng dụng
cụ thể hoặc một dịch vụ cụ thể trong hệ thống. virus này chỉ là một tập lệnh, cho đến khi ứng dụng gọi

thì nó mới được thực thi. Macro virus, scripting virus là các virus nằm trong dạng này.

7


Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc tạo
và mở file để thực thi và lây nhiễm. Sự khác nhau giữa macro virus và scripting virus là: macro virus là
tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lệnh chạy bằng một service của hệ
điều hành.
4. Worm
Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên nó
có khả năng “tự đóng gói”, có nghĩa là worm khơng cần phải có “file chủ” để mang nó khi nhiễm vào
hệ thống. Như vậy các chương trình qt file sẽ khơng diệt được worm trong hệ thống vì worm khơng
“bám” vào một file hoặc một vùng nào đó trên đĩa cứng. Mục tiêu của worm làm lãng phí nguồn lực
băng thơng của mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger...
Tấn cơng của worm có đặc trưng là lan rộng cực kỳ nhanh chóng do khơng cần tác động của con người
(như khởi động máy, copy file hay đóng/mở file).
Worm có thể chia làm 2 loại:
- Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành
hoặc của ứng dụng. Sasser là ví dụ cho loại sâu này.
- Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn cơng và
lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng
tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho toàn bộ
các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail. Netsky, Mydoom là ví.
5. Trojan Horse
Trojan Horse là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”. Trojan horse khơng tự nhân
bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ơn hồ nhưng thực chất bên trong có ẩn chứa các
đoạn mã với mục đích gây hại.
Trojan có thể lựa chọn một trong 3 phương thức để gây hại:
- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động

gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một
chương trình đánh cắp password).

8


- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổi một số chức năng để
gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động
phá hoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ
thống)
- Thực thi ln một chương trình gây hại bằng cách núp dưới danh một chương trình khơng có hại (ví
dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần
kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xố hết).
6. Attacker Tool
Attacker Tool là những bộ cơng cụ tấn cơng có thể sử dụng để đẩy các phần mềm độc hại vào trong hệ
thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn cơng có thể truy nhập bất hợp pháp vào hệ thống
hoặc làm cho hệ thống bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các đoạn mã độc
hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ
được tải vào hệ thống sau khi nhiễm.
7. Phishing
Phishing là một hình thức tấn cơng thường có thể xem là kết hợp với mã độc hại. Phishing là phương
thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho người dùng tiết lộ
các thơng tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thơng tin cá nhân...)
Kẻ tấn công phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc
email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng,
... Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thơng tin bí mật
về tài khoản, về mật khẩu,...Các thơng tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản
hoặc được sử dụng vào các mục đích bất hợp pháp khác.
8. Virus Hoax
Virus Hoax là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới dạng một yêu cầu khẩn

cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng
nhiều càng tốt qua email.
Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chứa
mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy

9


hại tới hệ thống. Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi
có quá nhiều người gọi đến và yêu cầu dịch vụ.
9. Adware
Adware là một loại phần mềm độc hại tải xuống hoặc hiển thị pop-up quảng cáo trên thiết bị của người
dùng. Thông thường, Adware không lấy cắp dữ liệu từ hệ thống, nhưng nó buộc người dùng phải xem
những quảng cáo mà họ không muốn trên hệ thống. Một số hình thức quảng cáo cực kì gây khó chịu
cho người dùng đó là tạo ra pop-up trên trình duyệt mà khơng thể đóng lại được. Đơi khi người dùng tự
lây nhiễm adware được cài đặt mặc định khi tải về những ứng dụng khác mà không hề hay biết.
10. Backdoor
Backdoor là một chương trình bí mật có thể truy cập thiết bị hay hệ thống mạng của người dùng. Thông
thường, các nhà sản xuất thiết bị hay phần mềm tạo ra backdoor trong sản phẩm của họ hoặc cố ý để
nhân viên công ty xâm nhập vào hệ thống thơng qua việc thực hành mã hóa. Backdoor cũng có thể được
cài đặt bởi các phần mềm độc hại khác như virus hoặc rootkit.
11. Browser hijacker
Browser hijacker, hay cịn được gọi là Hijackware có thể làm thay đổi hành vi trình duyệt web, Các
Attacker thường kiếm tiền từ loại phần mềm độc này qua việc nhận phí quảng cáo. Họ cũng có thể sử
dụng trình duyệt bị tấn công để chuyển hướng người dùng tới các trang web tải phần mềm độc hại hơn
vào hệ thống.
12. Keylogger
Keylogger là trình theo dõi thao tác bàn phím ghi lại tất cả các phím mà người dùng nhấn vào, bao gồm
email, các tài liệu và password đã nhập cho mục đích nhất định. Thơng thường, những kẻ tấn cơng
thường dùng loại phần mềm độc này để lấy mật khẩu và đột nhập vào hệ thống mạng hoặc account

người dùng. Tuy nhiên, các nhà tuyển dụng đôi khi cũng sử dụng keylogger để xác định xem nhân viên
của họ có bất kì hành vi phạm tội trong hệ thống của cơng ty.
13. Ransomware
Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phịng,
bởi nó sẽ mã hóa tồn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn
nhân khơng thể mở được file.

10


Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp
đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm. Tội phạm mạng đã lợi dụng công nghệ này và tạo ra
những chương trình độc hại để mã hóa dữ liệu của người dùng. Một khi dữ liệu đã bị mã hóa thì chỉ có
một chìa khóa đặc biệt bí mật mới có thể giải mã được. Và bọn chúng thường tống tiền người dùng để
trao đổi chìa khóa bí mật này. Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã
được và phục hồi dữ liệu.
14. Rootkit
Rootkit là một trong những loại malware nguy hiểm nhất bởi chúng cho phép những kẻ tấn cơng có
quyền truy cập cấp admin vào hệ thống mà người dùng không hay biết. Khi kẻ tấn công truy cập vào hệ
thống, chúng có thể làm bất cứ điều gì với hệ thống, gồm các hoạt động ghi âm, thay đổi cài đặt hệ
thống, truy cập dữ liệu và tấn công lên hệ thống khác. Các cuộc tấn công nổi tiếng như Stuxnet và Flame
là hai ví dụ điển hình của rootkit.
15. Spyware
Phần mềm gián điệp Spyware là những loại phần mềm thu thập thông tin về người dùng mà họ khơng
hề hay biết hoặc đồng ý. Ví dụ, website bật cookies theo dõi trình duyệt web của người dùng có thể
được coi là một hình thức của Spyware. Các loại phần mềm Spyware khác có thể ăn cắp thơng tin của
cá nhân hoặc doanh nghiệp. Đôi khi, các cơ quan chính phủ và lực lượng cảnh sát cũng sử dụng phần
mềm gián điệp này để điều tra nghi phạm hoặc chính phủ nước ngồi.
Cách thức lây nhiễm malware
1. Qua các thiết bị lưu trữ di động

USB, đĩa DVD, CD, thẻ nhớ, ổ cứng di động, điện thoại… là những thiết bị lưu trữ di động phổ
biến
Khi chúng ta kết nối các thiết bị số, thiết bị lưu trữ trực tiếp vào máy tính. Virus có sẵn trong các
thiết bị lưu trữ sẽ tự động sao chép sang máy tính của bạn theo cơ chế sau:
Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn. Khi
phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk… ), Window mặc định sẽ
kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dịng lệnh theo cấu trúc
được sắp xếp trước.
Tệp autorun.inf thơng thường sẽ có nội dung:
11


[autorun]
Open=virus.exe
Icon=diskicon.ico
Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa
là diskicon.ico. Những tệp này đều nằm ở thư mục gốc của thiết bị lưu trữ.
2. Qua thư điện tử
Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây
nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.
Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn
có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy. Nếu các chủ
nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào
máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể
tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm,
có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn.
Khi các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành
động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân
thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu
tập được trước đó.

Phương thức lây nhiễm qua thư điển tử bao gồm:
Lây nhiễm vào các file đính kèmtheo thư điện tử (attached mail). Khi đó người dùng sẽ khơng bị
nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc điểm này các virus
thường được “trá hình” bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm
với giá vô cùng rẻ)
Lây nhiễm do mở một liên kết trong thư điện tử. Các liên kết trong thư điện tử có thể dẫn đến một
trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều
hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm
virus.

12


Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vơ cùng nguy hiểm bởi chưa cần kích hoạt
các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này thường khai thác
các lỗi của hệ điều hành.
3. Quá trình duyệt web
Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus
qua Internet trở thành các phương thức chính của virus ngày nay. Có các hình thức lây nhiễm virus
và phần mềm độc hại thông qua Internet như sau:
Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng thay thế các
hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB…) bằng cách tải từ Internet, trao đổi,
thông qua các phần mềm…
Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vơ tình hoặc cố ý): Các
trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính
của người sử dụng khi truy cập vào các trang web đó.
Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thơng qua các lỗi bảo mật hệ điều hành,
ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba:
Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo
mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Windows Media Player) hoặc lỗi

bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm
quyền kiểm sốt máy tính nạn nhân khi mở các file liên kết với các phần mềm này.
4. Qua Email, Outlook Express
Hacker lợi dụng Email để giả dạng một Email với một địa chỉ bất kì nào họ muốn, với nội dung là
tấm thiệp, file attach hay đường link nào đó. Đó là những file mailware nguy hiểm cho máy tính.
Vậy để nhận dạng, ngăn chặn chủ yếu dựa trên kinh nghiệm hiểu biết cả người dung. Nên cảnh
giác với những Email có nội dung chung chung, những Email có dạng kèm theo attach file hay
đường link thì khơng nên tải về, hoặc nên quét virus cẩn thận trước khi chắc chắn mở nó ra.

13


5. Lây nhiễm vào các tệp tin thực thi
Khi tải các phần mềm tiện ích, hay chương trình gốc sau khi được chuyển dịch từ server này sang
server khác… đã bị đính kèm malware vào. Người dùng khơng biết mà bật ra, ngay lập tức malware
được extra và thực thi trên máy từ file cài đặt của ứng dụng.
Giải pháp ngăn chặn : Hacker sau khi download một ứng dụng nguyên bản từ trên mạng về, sẽ sử
dụng một phần mềm “exe joiner” nào đó để có thể đính 2 tệp exe vào với nhau. Rồi tiếp tục đem
lên các trang web khác phát tán ứng dụng đã được đính virus. Ngun lý của việc đính exe này có
thể hiểu đơn giản như sau:
Virus sẽ được nén vào cuối file của ứng dụng (hoặc một nơi nào đó khơng làm ảnh hưởng tới tiến
trình).
Sau khi chạy ứng dụng, virus sẽ được tự động extra ra thư mục temp (thư mục tạm của window)
rồi tự động chạy tệp exe vừa được extra ra.
Cách ngăn chặn việc này rất khó, vì hacker có trăm phương nghìn kế để che mắt chúng ta. Ta chỉ
có thể “xem qua” tính an tồn của ứng dụng.
6. Lây nhiễm từ smartphone sang máy tính
Các chương trình độc hại thường được viết để hoạt động trên một hệ điều hành nhất định, tuy
nhiên, một loại phần mềm gián điệp (spyware) vừa được phát hiện đang tấn công máy tính từ điện
thoại di động.

Trước tiên, malware ẩn trong các ứng dụng như DroidCleaner hay SuperClean sẽ lây nhiễm vào
smartphone chạy Android. Sau khi thâm nhập vào điện thoại, nó có thể tự động gửi đi và xóa tin
nhắn SMS, kích hoạt Wi-Fi, tập hợp thơng tin về thiết bị, mở link tùy ý trên trình duyệt, đăng tồn
bộ nội dung trong thẻ SD, SMS, danh bạ, ảnh… lên máy chủ của kẻ phát tán sâu.
Không những thế, malware tiếp tục tải về phần mã lệnh có thể lây trên máy tính dưới dạng các file
autorun và file thực thi khác. Chỉ chờ người sử dụng kết nối hai thiết bị với nhau, virus sẽ xâm
nhập từ smartphone sang máy tính chạy Windows nếu hệ thống đó bật chế độ autorun, hoặc khi
người sử dụng kích hoạt file trong quá trình mở các thư mục. Tại đây, malware nhắm vào các phần
mềm voice chat như Skype, Yahoo Messenger để ghi lại các đoạn hội thoại và gửi cho hacker.

14


3: Tổng quan về mã độc Malware
1. Phân tích mã độc malware
Phân tích mã độc là một bước quan trọng để có thể ngăn chặn và tiêu diệt hồn tồn mã độc ra
khỏi máy tính và hệ thống mạng; khơi phục lại hiện trạng của mạng như ban đầu; truy tìm nguồn
gốc tấn cơng.
Trước tiên cần xác định được chính xác chuyện gì đã xảy ra với tồn bộ hệ thống, tìm được tồn
bộ các thiết bị, tệp, ứng dụng đã bị lây nhiễm.
Khi quy trình phân tích mã độc, cần xác định được chính xác những gì mã độc có thể thực hiện,
cách thức phát hiện mã độc trong hệ thống mạng, phương pháp đo lường thiệt hại nó có thể gây
ra. Và quan trọng nhất cần tìm ra qui luật đặc trưng (Mã nhận diện – signatures) để nhận diện mã
độc, diệt mã độc và khôi phục hệ thống.
2. Các loại mã nhận diện chính:
+ Host-based signatures: Là các mã nhận diện được sử dụng để phát hiện mã độc trên máy tính.
+ Network signatures: Là các mã nhận diện được sử dụng để phát hiện mã độc khi giám sát hệ
thống mạng.
3. Cơng nghệ phân tích mã độc
Hầu hết mã độc ở dạng các chương trình, dịch vụ (dạng binary) khơng thể đọc thơng thường. Cách

phân tích mã độc chính là: sử dụng các cơng cụ và các kĩ thuật phân tích. Có hai kĩ thuật phân tích
chính:
+ Phân tích tĩnh: được thực hiện dưới sự hỗ trợ của các công cụ debugger, disassembler,
decompiler (như OllyDbg, IDA, WinDbg…).

15


[Cơ Bản]Phân tích tĩnh: Mục tiêu xác định một tệp/ứng dụng có phải mã độc hay khơng, cung cấp
các thơng tin cơ bản nhất về các hàm đặc trưng. Có thể hỗ trợ viết các mã nhận diện (Network
signatures) mức cơ bản.
[Nâng cao] Phân tích tĩnh: Thực hiện việc dịch ngược mã độc bằng các công cụ Disassembler,
xem nội dung và cấu trúc mã nguồn để xác định xem mã độc làm gì. Đặc trưng của phương pháp
này yêu cầu kiến thức về dịch ngược, hệ thống, tập lệnh.
+ Phân tích động: dựa vào các cơng cụ monitor hệ thống, mạng (như ProcessMon, network
monitor, TcpView, Autoruns…).

16


[Cơ bản] Phân tích động: Mục tiêu là chạy mã độc, theo dõi hành vi mã độc thực hiện trên hệ thống
từ đó có phương pháp loại bỏ mã độc và tạo ra các mã nhận diện. Tuy nhiên trước khi phân tích
cần thiết lập mơi trường phân tích riêng để tránh bị lây nhiễm vào hệ thống
[Nâng cao] Phân tích động: Sử dụng các trình debugger để nghiên cứu và xem cách thức thực thi
của mã độc trong môi trường thật. Từ đó trích xuất thơng tin chi tiết về mã độc: nguồn gốc, cách
thức lây nhiễm, các đoạn mã, các hàm quan trọng. Để có thể thực hiện được phương pháp này cần
trang bị kiến thức chuyên sâu về kĩ thuật, thành thạo việc sử dụng các công cụ và nhiều kĩ năng để
có thể vượt qua các kĩ thuật của mã độc.
=> Cả hai kĩ thuật này đều yêu cầu các mức phân tích cơ bản và phân tích nâng cao.
4. Một số quy tắc chính khi phân tích mã độc Malware

Hầu hết các mã độc đều có lượng mã nguồn rất lớn, phức tạp và có chứa nhiều mã rác. Do đó,
chúng ta nên tập trung vào các tính năng chính để tránh mất nhiều thời gian chi tiết hóa các thơng
tin khơng cần thiết.
Mỗi cơng cụ hỗ trợ phân tích có những chức năng riêng, cần vận dụng linh hoạt và hiệu quả dựa
trên điểm mạnh của từng cơng cụ để q trình phân tích nhanh hơn, chính xác hơn.

17


Có nhiều chiến thuật phân tích khác nhau, do đó cần thay đổi chiến thuật một cách linh hoạt để
hiệu quả phân tích tốt hơn.
Việc phân tích mã độc (malware analysis) giống như một trò chơi đuổi bắt, người viết mã độc thì
ln cố che giấu cịn người phân tích thì ln cố tìm ra các thơng tin chi tiết nhất. Các kĩ thuật mới
được tạo ra mỗi ngày, do đó cần ln ln cập nhật các kĩ thuật phân tích và cơng nghệ mới nhất,
ngồi ra cũng cần có sự sáng tạo để q trình phân tích nhanh, hiệu quả hơn.
4. Cơng nghệ phân tích mã độc
1. Nhóm cơng cụ hỗ trợ phát hiện mã độc
Bộ công cụ phát hiện và phân tích mã độc
AnalyzePE: Bao gồm rất nhiều công cụ hỗ trợ cảnh báo file PE trên Windows.
chkrootkit , Rootkit Hunter : Phát hiện rootkit trên Linux
Loki : Công cụ quét dựa trên một số nhận diện mã độc: chữ kí, hash MD5.
Detect-It-Easy: Công cụ phát hiện loại file.
totalhash.py: Script python tìm kiếm mã hash trên cơ sở dữ liệu của trang: totalhash.cymru.com
YARA : Cơng cụ qt, phân tích dựa trên các pattern.
2. Công cụ quét Online và sanboxes
VirusTotal : Công cụ phân tích online (File và URLs).
NVISO ApkScan, APK Analyzer : Phân tích động file APKs.
AndroTotal: Phân tích online file APK .
AVCaesar: Cơng cụ quét và phân tích mã độc online.
Crytam: Phân tích các file office nghi ngờ.

Cuckoo Sandbox: Hệ thống phân tích tự động mã nguồn mở.
Malwr: Hệ thống phân tích online sử dụng Cuckoo Sandbox.
JoseSandbox: Phát hiện và phân tích hành vi đa nền tảng cho cả file, URLs.

18


Firrmware.re: Cơng cụ giải nén (Unpack), qt và phân tích các firmware.
Jotti : Công cụ quét mã độc online.
Limon: Sandbox phân tích mã độc trên Linux.
PDF Examiner: Cơng cụ phân tích các file PDF nghi ngờ.
3. Công cụ Deobfuscation
Công cụ Deobfuscation
Balbuzard: Cơng cụ phân tích hỗ trợ làm rõ mã nguồn bị xáo trộn.
de4dot: Công cụ hỗ trợ obfucate và unpack.
FLOSS: Công cụ tự động deobfucate chuỗi từ tệp nhị phân.
PackerAttacker : Cơng cụ tìm ra các mã ẩn của mã độc (Windows).
unpacker: Công cụ tự động unpack mã độc trên Windows.
JS Beautifier , JS Deobfuscator: unpack và deobfucate mã nguồn Javascript.
4. Công cụ gỡ rối (Debugging) và dịch ngược (Reverse Engineering)
công cụ gỡ rối
IDA Pro: Công cụ disassembler và debugger.
OllyDbg: Công cụ debugger trên windows.
pestudio: Cơng cụ phân tích tĩnh cho Windows.
PPEE (puppy), PE Insider, CFF Explorer : Công cụ hỗ trợ xử lí PE file.
binnavi: IDE phân tích file nhị phân, hỗ trợ dịch ngược, được phát triển bởi Google.
Capstone : Disassembly framework phân tích và dịch ngược file nhị phân.
GDB : GNU debugger.
GEF : Bản nâng cao tính năng của GDB, hỗ trợ exploit và reverse.
angr : Framework phân tích file nhị phân.


19


BARF: Framework mã nguồn mở hỗ trợ phân tích và dịch ngược các loại file nhị phân.
dnSpy : Công cụ hỗ trợ debug, chỉnh sửa và đóng gói lại file nhị phân trên nền tảng .NET.
Fibratus: Công cụ hỗ trợ làm việc với Windows kernel.
ltrace , strace : Cơng cụ phân tích động trên Linux.
objdump: Cơng cụ phân tích tĩnh trên Linux.
Process Monitor : Công cụ giám sát ứng dụng Windows.
Process Explorer: Công cụ giám sát các tiến trình.
Process Hacker: Cơng cụ giám sát tài nguyên hệ thống.
FileInsight, Hex Editor Neo, FlexHex, 010 Editor: Công cụ xem và chỉnh sửa file nhị phân
5. Điều tra bộ nhớ
Điều tra bộ nhớ
Volatility: Framework hỗ trợ điều tra chứng cứ số.
evolve : Giao diện web cho Volatility.
WinDbg : Kernel debugger cho Windows.
6. Phân tích gói tin
Phân tích gói tin
Wireshark : Phân tích các giao thức.
Network Miner : Cơng cụ phân tích và điều tra mạng cho Windows.
NetworkTotal: Cơng cụ phân tích file pcap online để phát hiện mã độc.
PacketTotal: Công cụ phân tích online file .pcap và hiển thị các thơng tin.
7. Phân tích website
Whois: Cơng cụ hỗ trợ phân tích tên miền.
URLQuery : Công cụ quét URL

20



SenderBase : Tìm kiếm thơng tin IP, tên miền, người sở hữu.
Sucuri SiteCheck : Kiểm tra mã độc và quét an ninh cho website.
ZScalar Zulu: Phân tích địa chỉ URL.
5: Phương pháp phân tích mã độc
+ Mơi trường phân tích mã độc
Có hai phương pháp chính để triển khai mơi trường phân tích mã độc:
Sử dụng hệ thống vật lí: Thiết lập các máy tính và thiết bị vật lí tạo thành 1 mạng riêng biệt để
thực hiện theo dõi, giám sát, phân tích mã độc.

Ưu điểm: Mã độc hoạt động như q trình lây nhiễm thực tế, khơng bị giới hạn nếu mã độc có các
cơ chế chống mơi trường ảo.
Nhược điểm: Chi phí lớn, tốc độ phân tích rất lâu do thường xun phải gây dựng lại mơi trường
phân tích từ đầu.
Sử dụng máy ảo: Thiết lập hệ thống các máy ảo liên kết với nhau với đầy đủ các máy cần thiết
cho hệ thống mạng.

21


Ưu điểm: Tiện lợi, hỗ trợ phân tích nhanh do thời gian khôi phục hệ thống tốt, dễ triển khai các
cơng cụ giám sát, theo dõi.
Nhược điểm: Có thể khơng thực thi được toàn bộ chức năng của mã độc do mã độc có các module
phát hiện mơi trường ảo.
Máy ảo là một phần mềm giả lập toàn bộ hoạt động của một máy tính thơng thường. Trên một
thiết bị vật lí (PC, Laptop, Server…) có thể triển khai 1 hoặc nhiều máy ảo, các máy ảo có khả
năng liên kết với nhau trong và liên kết với các máy vật lí trong các vùng mạng được cấu hình.
Thiết lập các cấu hình giúp cơ lập mã độc cần phân tích trong một vùng mạng riêng độc lập và
khơng gây ảnh hưởng cho hệ thống thật.
Một số loại máy ảo phổ biến:

VirtualBox, VMWare Workstation, VMware vSphere Hypervisor, Microsoft Virtual Server
(Hyper)

 Sau khi cài đặt xong hệ điều hành, chúng ta cần cài đặt cơng cụ hỗ trợ q trình phân tích:
Cơng cụ theo dõi hệ thống và registry: Process Monitor, ProcDOT
Cơng cụ theo dõi các tiến trình: Process Explorer, Process Hacker
22


Công cụ theo dõi mạng: Wireshark
Công cụ phát hiện sự thay đổi trạng thái hệ thống trước và sau khi lây nhiễm: Regshot
Công cụ disassembler và debugger: OllyDBG, IDA Pro
Công cụ dump bộ nhớ: Scylla, OllyDumpEx
Cơng cụ phân tích khác: PPEE (puppy), PE Insider, CFF Explorer, File Analyzer, pestudio
Công cụ xem, chỉnh sửa file nhị phân: Hex Editor Neo
Công cụ soạn thảo: notepad++
Một phần quan trọng khơng thể kém đó là cài đặt các phần mềm làm môi trường hỗ trợ quá trình
phát hiện mã độc: Process Monitor, Process Explorer, 7z, wireshark, foxit reader
Phần mềm: notepad, CFF Explorer, cmd, caculator
Các phần mềm bẫy được đặt ở Desktop và thư mục C:\Atraps là nơi mà mã độc (Có khả năng lây
nhiễm) có thể tìm đến nhanh nhất.
 Cấu hình cơ lập mơi trường
Để đảm bảo an tồn cho mơi trường thực tế, thực hiện một số bước cấu hình để ngăn chặn tối đa
khả năng mã độc có thể xâm nhập ra hệ thống bên ngoài:
Cập nhật hệ điều hành máy vật lí thường xuyên.
Cập nhật thường xuyên bản vá của VMWare, đặc biệt các bản vá liên quan tới mạng.
Bật firewall ở máy vật lí, thiết lập chặn card ảo
Thiết lập mạng cho VMWare ở dạng host-only hoặc tắt mạng. Hạn chế bật mạng nếu không quá
cần thiết.
Ngắt các kết nối tới các thiết bị ngoại vi: CD-ROM, USB, Memory Card…

 Tạo snapshots

23


Ngay sau khi cài đặt và thiết lập chuẩn một máy ảo, cần tạo một snapshot để lưu lại trạng thái sẵn
sàng nhất của hệ thống cho việc phân tích mã độc.
Tạo các snapshot là khái niệm độc đáo của máy ảo. Các snapshot máy ảo của VMware cho phép
lưu lại trạng thái hiện tại của hệ thống và quay lại trạng thái này bất kì lúc nào, giống như restore
point của Windows.
6: Security Operation Center – SOC
Mơ hình hoạt động

24


CSOC là Trung Tâm Điều Hành An Ninh là nơi thu thập, phân tích và phân phối dữ liệu được
thu thập để hỗ trợ phân tích an ninh để phát hiện, phân tích, phản ứng, báo cáo, và ngăn chặn các
sự cố an ninh mạng.
• Phát hiện các cuộc tấn cơng dựa trên mạng
• Phát hiện các cuộc tấn cơng dựa trên máy chủ
• Loại bỏ các lỗ hổng bảo mật
• Hỗ trợ người dùng được ủy quyền
• Cung cấp các công cụ để giảm thiểu tổn thất và rủi ro.

Tài liệu tham khảo
1: />2: />3: />25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×