NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN MÃ ĐỘC TẤN CÔNG MẠNG XÃ HỘI

Công Nghệ Thông Tin, it, phầm mềm, website, web, mobile app, trí tuệ nhân tạo, blockchain, AI, machine learning - Công Nghệ Thông Tin, it, phầm mềm, website, web, mobile app, trí tuệ nhân tạo, blockchain, AI, machine learning - Công nghệ thông tin UBND TỈNH QUẢNG NAM TRƯỜNG ĐẠI HỌC QUẢNG NAM KHOA CÔNG NGHỆ THÔNG TIN ---------- ĐOÀN THỊ MỸ NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN MÃ ĐỘC TẤN CÔNG MẠNG XÃ HỘI KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC Quảng Nam, tháng 4 năm 2016 TRƯỜNG ĐẠI HỌC QUẢNG NAM KHOA CÔNG NGHỆ THÔNG TIN ---------- KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC Tên đề tài: NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN MÃ ĐỘC TẤN CÔNG MẠNG XÃ HỘI Sinh viên thực hiện ĐOÀN THỊ MỸ MSSV: 2112011012 CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN KHÓA 2012 – 2016 Giảng viên hướng dẫn ThS. NGUYỄN HÀ HUY CƯỜNG Quảng Nam, tháng 05 năm 2016 LỜI CẢM ƠN Tôi xin được bày tỏ lòng chân thành biết ơn tới các thầy cô giáo trường Đại học Quảng Nam nói chung và thầy cô Khoa Công Nghệ Thông Tin nói riêng. Trong suốt bốn năm qua thầy cô đã tận tình truyền đạt cho tôi những kiến thức vô cùng quý báu và động viên tôi trong học tập cũng như trong cuộc sống. Đặc biệt tôi xin cảm ơn sâu sắc tới Thầy giáo hướng dẫn Th.S Nguyễn Hà Huy Cường đã tận tình chỉ bảo định hướng cho tôi trong việc lựa chọn đề tài, tạo mọi điều kiện cho tôi hoàn thành khoá luận và sửa chữa những sai sót trong suốt quá trình tôi thực hiện đề tài. Luận văn có được một số kết quả nhất định, tuy nhiên không thể tránh khỏi sai sót và hạn chế, kính mong được sự cảm thông và đóng góp ý kiến của thầy cô và các bạn. Tôi xin chân thành cảm ơn Quảng Nam, tháng 05 năm 2016 Sinh viên Đoàn Thị Mỹ DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Ký hiệu Từ đầy đủ Nghĩa tiếng Việt LAN Local Area Network Mạng cục bộ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán IP Internet Protocol Giao thức liên mạng VPN Virtual Private Network Mạng riêng ảo VDC Vietnam Datacommunication Company Công ty Điện toán và truyền Số liệu IDS Intrusion Detection System Hệ thống phát hiện xâm nhập SQL Structured Query Language Ngôn ngữ truy vấn có cấu trúc IPS Intrusion Prevention system Hệ thống phát hiện xâm nhập BKAV Công ty an ninh mạng BKAV APPS Applications Ứng dụng FTP File Transfer Protocol Giao thức chuyển nhượng tập tin SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư điện tử POP3 Post Office Protocol phiên bản 3 Giao thức được sử dụng để lấy thư điện tử HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản CNTT Công nghệ thông tin UG Under Ground Thế giới ngầm ISP Internet Service Provider Nhà cung cấp dịch vụ Internet CSDL Cơ sở dữ liệu TP.HCM Thành phố Hồ Chí Minh MXH Mạng xã hội IRC Internet Relay Chat Chat chuyển tiếp Internet CoD Compact Disc Đĩa quang RAT Remote Administration Tool Điều khiển máy tính từ xa TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức hướng thông điệp USB Universal Serial Bus Thiết bị kết nối ngoại vi với máy tính PC Personal Computer Máy tính cá nhân PUI Program Under Inspection Kiểm tra chương trình dưới VNN Trang webmail của VNN TTTT Thông tin truyền thông CC Command Conquer Thương hiệu video game VNCER T Trung tâm ứng cứu khẩn cấp máy tính Việt Nam AV- TEST Tổ chức kiểm định và đánh giá độc lập về các phần mềm diệt Virus cho Window và Androi P2P peer-to-peer Mạng ngang hàng MỤC LỤC Phần 1. MỞ ĐẦU ............................................................................................................ 1 1.1. Lý do chọn đề tài ...................................................................................................... 1 1.2. Mục đích nghiên cứu ................................................................................................ 1 1.3. Đối tượng và phạm vi nghiên cứu ............................................................................ 1 1.4. Phương pháp nghiên cứu .......................................................................................... 1 1.5. Lịch sử nghiên cứu ................................................................................................... 1 1.6. Đóng góp của đề tài .................................................................................................. 2 1.7. Cấu trúc của khóa luận ............................................................................................. 2 Phần 2. NỘI DUNG NGHIÊN CỨU .............................................................................. 3 Chương 1: TỔNG QUAN VỀ KIỂU TẤN CÔNG ......................................................... 3 1.1. Giới thiệu về mã độc ................................................................................................ 3 1.1.1. Tình hình mã độc tại việt nam và trên thế giới...................................................... 4 1.1.2. Nguyên lý phát hiện mã độc .................................................................................. 6 1.2. Phân loại và hoạt động của mã độc .......................................................................... 9 1.2.1. Phân loại các mã độc ............................................................................................. 9 1.2.2. Cách thức hoạt động của mã độc ......................................................................... 16 1.3. Các kiểu tấn công và hành vi của các mã độc ........................................................ 18 1.3.1. Mục đích của mã độc ........................................................................................... 18 1.3.2. Các kiểu tấn công của mã độc ............................................................................. 18 1.3.3. Hành vi mã độc .................................................................................................... 20 1.4. Ảnh hưởng của mã độc ........................................................................................... 23 1.4.1 Ảnh hưởng của mã độc tấn công gây thiệt hại cho người sử dụng ...................... 23 1.4.2. Ảnh hưởng của mã độc tấn công mạng xã hội .................................................... 23 1.5. Kêt luận................................................................................................................... 24 Chương 2: CƠ SỞ NGHIÊN CỨU AN TOÀN BẢO MẬT MẠNG ............................ 25 2.1. An toàn bảo mật mạng ............................................................................................ 25 2.1.1. Tình hình an ninh mạng tại việt nam và trên thế giới. ........................................ 25 2.1.2. Những tài nguyên mạng cần bảo vệ .................................................................... 26 2.1.3. An toàn bảo mật mạng ......................................................................................... 26 2.2. Mối đe dọa về an ninh mạng .................................................................................. 27 2.2.1. Mối đe dọa vê từ người dùng .............................................................................. 27 2.2.2. Mối đe dọa từ lỗ hổng hệ thống........................................................................... 28 2.2.3. Mối đe dọa từ hacker ........................................................................................... 28 2.3 Các mức bảo vệ trên mạng ...................................................................................... 31 2.4. An toàn bảo mật trong mạng xã hội ....................................................................... 33 2.4.1. Sơ lược về mạng xã hội. ...................................................................................... 33 2.4.2. Các mối đe dọa về an toàn bảo mật trong mạng xã hội....................................... 34 2.4.3. Bảo mật trong mạng xã hội. ................................................................................ 35 2.5. Kết luận................................................................................................................... 35 Chương 3: GIẢI PHÁP NGĂN CHẶN TẤN CÔNG MẠNG XÃ HỘI....................... 36 3.1. Giải pháp bảo mật mạng xã hội. ............................................................................. 36 3.1.1. Giải pháp bảo mật khi chưa bị nhiễm mã độc. .................................................... 36 3.1.2. Giải pháp bảo mật khi bị nhiễm mã độc. ............................................................. 37 KẾT LUẬN ................................................................................................................... 45 TÀI LIỆU THAM KHẢO ............................................................................................. 46 DANH MỤC HÌNH ẢNH VÀ ĐỒ THỊ Hình 1.1. Sự xuất hiện của các loại mã độc mới theo từng năm. – Thống kê của AV- TEST ................................................................................................................................ 3 Hình 1.2 Việt Nam đứng thứ 2 về lượng lây nhiễm mã độc tấn công các giao dịch ngân hàng trực tuyến (2013) - Theo TrendMicro. ................................................................... 4 Hình 1.3 Số lượng mã độc từ năm 2009 đến tháng 32013 theo AV-TEST ................... 5 Hình 1.4. Sự phân chia về các kỹ thuật phát hiện mã độc ............................................... 6 Hình 1.5. Phát hiện mã độc dựa vào dấu hiệu đặc trưng ................................................. 7 Hình 1.6. Phân loại hành vi dựa vào đặc điểm bất thường.............................................. 8 Hình 1.7. Các mã độc tấn công mạng.............................................................................. 9 Hình 1.8. Virus đánh kèm trong các tập tin thực thi ..................................................... 10 Hình 1.9. Hoạt động của người dùng spyware ghi lại ................................................... 11 Hình 1.10. Troijan ẩn mình trong các phần mềm miễn phí........................................... 12 Hình 1.11. Mô tả mức độ lây lan của worms năm 2001 ............................................... 15 Hình 1.12. Công dụng của một mạng Botnet ................................................................ 16 Hình 1.13. Minh họa cách thức lây nhiễm mã độc qua thư điện tử .............................. 19 Hình 2.1. Biểu đồ thống kê các nguồn phát tán thư rác chính trong tháng 22013 ....... 25 Hình 2.2. Các mức bảo vệ mạng ................................................................................... 32 Hình 3.1. Cài đặt dòng thời gian ................................................................................... 36 Hình 3.2. Bị nhiễm mã độc trên facebook ..................................................................... 37 Hình 3.3. Yêu cầu đăng nhập lại để lấy thông tin ......................................................... 38 Hình 3.4. Ứng dụng trên rác trên facebook ................................................................... 38 Hình 3.5. Xóa bỏ ứng dụng rác ..................................................................................... 39 Hình 3.6. Cài đặt gắn thẻ lên dòng thời gian ................................................................. 39 Hình 3.7. Thông báo nhắc đến bình luận ...................................................................... 40 Hình 3.8. Thông báo có mã độc nguy hiểm .................................................................. 40 Hình 3.9. Cài đặt tiện ích độc ........................................................................................ 41 Hình 3.10. Gỡ bỏ tiện ích độc ....................................................................................... 41 Hình 3.11. Vào nhóm trong facebook ........................................................................... 42 Hình 3.12. Hướng dẫn rời khỏi nhóm rác ..................................................................... 43 DANH MỤC BẢNG Bảng 1.1. Kỹ thuật phát hiện mã độc dựa vào dấu hiệu đặt trưng .................................. 7 Bảng 1.2. Kỹ thuật phát hiện mã độc dựa vào đặc điểm bất thường............................... 8 1 Phần 1. MỞ ĐẦU 1.1. Lý do chọn đề tài Mạng xã hội ngày càng đi sâu vào cuộc sống của con người đây là mô hình mới nhất trong quá trình phát triển đương đại, đơn giản hoá các phương thức tương tác và kết nối giữa con người với nhau suốt chiều dài lịch sử. Theo quan điểm của nhiều nhà nghiên cứu, mạng xã hội mới ra đời trong thời gian gần đây nhưng nó đang trở thành món ăn tinh thần không thể thiếu của mọi người. Vì thế, nếu một ngày hệ thống mạng xã hội trở nên tê liệt thì mọi người trở nên khó chịu. Bây giờ, mọi tầng lớp người hầu như ai cũng có trang blog riêng. Bởi vì ngày nay có rất nhiều trang mạng xã hội như Facebook, Linkedin, Twitter hay MySpace. Trong đó Facebook là mạng xã hội chiếm đông đảo người sử dụng. Tuy nhiên gần đây nhiều trường hợp thông tin cá nhân bị đánh cắp và lừa đảo gây ra hậu quả nghiêm trọng cho người sử dụng. Được sự hướng dẫn của thầy Nguyễn Hà Huy Cường, tôi đã chọn đề tài “NGHIÊN CỨU MÃ ĐỘC TẤN CÔNG MẠNG XÃ HỘI” để làm luận văn tốt nghiệp. 1.2. Mục đích nghiên cứu  Nắm vững những kiến thức cơ bản về mã độc, đặc biệt là một số giải pháp ngăn chặn tấn công trong trong mạng xã hội.  Áp dụng kỹ thuật phân tích mã độc để ngăn chặn tấn công trong mạng xã hội 1.3. Đối tượng và phạm vi nghiên cứu  Các kỹ thuật phân tích mã độc  Giải pháp ngăn chặn tấn công mạng xã hội 1.4. Phương pháp nghiên cứu  Tìm đọc tài liệu, giáo trình, luận văn, bài báo, thông tin trên mạng.  Phân tích, tổng hợp tài liệu.  Thống kê, phân tích dữ liệu. 1.5. Lịch sử nghiên cứu Với vấn đề về bảo mật mạng xã hội, đặc biệt là bảo mật mạng xã hội facebook cũng đã được nhiều tác giả phân tích, nghiên cứu theo nhiều hướng khác nhau. Phần lớn các tác giả đều cho thấy một cách tổng quan về bảo mật mạng và cách để phòng tránh mã độc, mà ít hướng đến các biện pháp loại trừ chúng. 2 1.6. Đóng góp của đề tài Đề tài được nghiên cứu nhằm trình bày những kiến thức cơ bản và tổng quan về mã độc, phân loại và chỉ ra được hướng tấn công của mã độc để phòng tránh. Nội dung đề tài còn trình bày tổng quan về an toàn bảo mật mạng và các mối đe dọa của mã độc tấn công an ninh mạng xã hội. Giải pháp và xây dựng chương trình mô phỏng khắc phục tấn công của mã độc. 1.7. Cấu trúc của khóa luận Lời cảm ơn Mục lục Danh mục các ký hiệu, các chữ viết tắt Danh mục các bảng Danh mục các hình vẽ, đồ thị MỞ ĐẦU 1. Lý do chọn đề tài 2. Mục đích nghiên cứu 3. Đối tượng và phạm vi nghiên cứu 4. Phương pháp nghiên cứu 5. Lịch sử nghiên cứu 6. Đóng góp của đề tài NỘI DUNG Chương 1: Tổng quan về các kiểu tấ n công. Chương 2: Cơ sở nghiên cứ u an toàn thông tin. Chương 3: Giải pháp khắc phục tấn công của mã độc KẾT LUẬN TÀI LIỆU THAM KHẢO 3 Phần 2. NỘI DUNG NGHIÊN CỨU Chương 1: TỔNG QUAN VỀ KIỂU TẤN CÔNG 1.1. Giới thiệu về mã độc 0 20000000 40000000 60000000 80000000 100000000 120000000 140000000 160000000 Hình 1.1. Sự xuất hiện của các loại mã độc mới theo từng năm. – Thống kê của AV-TEST Mã độc hại (Malware hay Maliciuos code) là một chương trình được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. Theo định nghĩa này mã độc hại bao hàm rất nhiều thể loại mà ở Việt Nam vẫn quen gọi chung là virus máy tính như: worm, trojan, spy-ware, … thậm chí là virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như: backdoor, rootkit, key-logger. Như vậy chính xác thì virus máy tính chỉ là một dạng của mã độc hại.4 Mã độc còn được định nghĩa là loại mã máy tính có hại hay kịch bản web được thiết kế để tạo ra các lỗ hổng hệ thống hàng đầu để trở lại cửa ra vào, vi phạm an ninh, thông tin và đánh cắp dữ liệu, và thiệt hại tiềm năng khác của các tập tin và hệ thống máy tính. Mục đích chính của mã độc: Lây nhiễm qua các hệ thống, che giấu mục đích, thu lợi. 4 United States Vietnam Brazil India Japan Philippines Chile Turkey Indonesia Malaysia Others Hình 1.2 Việt Nam đứng thứ 2 về lượng lây nhiễm mã độc tấn công các giao dị ch ngân hàng trực tuyến (2013) - Theo TrendMicro. 1.1.1. Tình hình mã độc tại việt nam và trên thế giới. Mã độc xuất hiện đầu tiên vào năm 1984 đến 2013, theo viện nghiên cứu độc lập về an toàn thông tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được phát tán. Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng trên toàn thế giới đã đặt ra nhiều vấn đề về an ninh thông tin cho người sử dụng Internet trên toàn cầu 5 0 10000000 20000000 30000000 40000000 2009 2010 2011 2012 2013 Hình 1.3 Số lượng mã độc từ năm 2009 đến tháng 32013 theo AV-TEST Các mã độc cũng đa dạng và phong phú về cả hành vi và mục đích phát tán. Các lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tôn giáo và nhiều lĩnh vực quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame và Duqu, những Virus đánh cắp thông tin mật của các hệ thống điện Trung Đông. Tại Việt Nam, xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia và đã xuất hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận được mail đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khái thác lỗ hổng của phần mềm Microsoft Office. Khi xâm nhập vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.1 Từ 21122014 đến 21122015, Trung tâm VNCERT đã ghi nhận được 5898 sự cố Phishing (tăng gần 4 lần so với năm ngoái), gửi yêu cầu điều phối và xử lý được 5104 sự cố (tăng 4,5 lần so với năm ngoái); 8850 sự cố Deface (tăng 1,06 lần so với năm ngoái), gửi yêu cầu điều phối và đã xử lý được 6188 sự cố (trong đó có 252 sự cố liên quan đến các tên miền “gov.vn”); 16.837 sự cố Malware (tăng 1,7 lần so với năm ngoái), đã cảnh báo và khắc phục được 3885 sự cố (trong đó có 87 sự cố liên quan đến các tên miền “gov.vn”). Nhìn chung mã độc đa số là các liên kết ẩn được nhúng vào website thực hiện các thao tác không mong muốn. Ví dụ: Like fanpage facebook, ẩn link. Ghi nhận 1.451.997 lượt địa chỉ IP cả nước bị nhiễm mã độc và nằm trong các 6 mạng Botnet (tăng 1,6 lần so với năm ngoái) trong đó gửi cảnh báo cho 3779 lượt địa chỉ IP của các cơ quan nhà nước; điều phối, yêu cầu ngăn chặn 7.540 địa chỉ máy chủ CC server điều khiển mạng Botnet và bóc gỡ mã độc tại 1.200.000 địa chỉ IP tại các máy bị nhiễm thuộc quản lý của các doanh nghiệp ISP. Phối hợp với Cert quốc tế xử lý và ngăn chặn 200 website giả mạo (giả mạo giấy phép do Bộ TTTT cấp, giả mạo webmail của VNN, VDC,...11 1.1.2. Nguyên lý phát hiện mã độc Hình 1.4. Sự phân chia về các kỹ thuật phát hiện mã độc Như vậy, có thể thấy các kỹ thuật phát hiện mã độc được chia thành 2 nhóm chính là: - Signature-based: dựa vào dấu hiệu đặc trưng - Anomaly-based: dựa vào các điểm bất thường Các kỹ thuật phân tích được sử dụng trong các kỹ thuật phát hiện mã độc là:  Stactic: phân tích tĩnh  Dynamic: phân tích động  Hybrid: phân tích lai, là sử kết hợp giữa phân tích động và tĩnh.3 1.1.2.1. Phát hiện mã độc dựa vào dấu hiệu đặc trưng Là việc sử dụng một tập các mẫu nhận dạng được gọi là signature để làm căn cứ xác định mã độc. Tập các signature sẽ được xây dựng bằng việc cập nhật các mẫu mã độc đã được kiểm chứng, bằng việc sử dụng những mẫu được xây dựng chuyên biệt bởi các nhà nghiên cứu. Dựa vào dấu hiệu đặc trưng Dựa vào các điểm bất thường Tĩnh Động Lai Tĩnh Động Lai Phát hiện mã độc 7 Ưu thế:  Phát hiện chính xác các mã độc nếu như có các signature trùng khớp với các mẫu trong tập mẫu nhận dạng Hạn chế:  Vậy xây dựng tập các signature hoàn chỉnh là vô cùng khó khăn.  Tập mẫu nhận dạng sẽ chạy theo sau sự phát triển của mã độc, và sẽ không phát hiện được các mã độc mới, các zero-days.  Khi số lượng signature lớn thì việc lưu trữ và đối chiếu cũng sẽ gặp khó khăn.3 Hình 1.5. Phát hiện mã độc dựa vào dấu hiệu đặc trưng Bảng 1.1. Kỹ thuật phát hiện mã độc dựa vào dấu hiệu đặt trưng Kỹ thuật Nội dung Dynamic Xác định chính xác mã độc bằng việc chỉ sử dụng các thông tin thu thập được từ các chương trình có quyền kiểm tra (Program Under Inspection – PUI) và được đối chiếu với các tập mẫu. Static Bằng cách kiểm tra chương trình dưới các mã, các đoạn code hoặc kiểm tra hành vi bằng các chuỗi mã. Từ đó đối chiếu với tập mẫu để phân loại chương trình có chứa mã độc hay có phải là mã độc hay không. Điều này giúp việc xác định mã độc có xác suất rất cao, gần như là tuyệt đối mà không cần thực thi chương trình. Bù lại, cách thức này mất nhiều công sức, thời gian. Hybrid Cách thức xác định sử dụng cả 2 hình thức Dynamic và Static. 8 1.1.2.2. Phát hiện mã độc dựa vào đặc điểm bất thường Cách phát hiện dựa vào các điểm bất thường được chia thành 2 giai đoạn:  Giai đoạn Training  Learning: các detector sẽ cố gắng học những trạng thái bình thường. Có thể học các trạng thái từ các host,…  Giai đoạn Detection Monitoring: dựa vào các trạng thái bình thường đã được học, các detector sẽ xác định được trạng thái bất thường và đưa ra cảnh báo. Hình 1.6. Phân loại hành vi dựa vào đặc điểm bất thường Ưu điểm:  Là chìa khóa để có thể phát hiện ra các khai thác zero-day hay zero-attack. Hạn chế:  Sai số giữa trạng thái bình thường và bất thường - Sự phức tạp, rắc rối khi xác định những trạng thái được phép học.3 Bảng 1.2. Kỹ thuật phát hiện mã độc dựa vào đặc điểm bất thường Kỹ thuật Nội dung Dynamic Các thông tin thu được từ việc thực thi chương trình sẽ được sử dụng để phát hiện mã độc. Ở giai đoạn Detection, các detector thực hiện liên tục việc đối chiếu giữa các trạng thái mới với các trạng thái đã học được. Và giai đoạn Detection được triển khai trong suốt quá trình chương trình được thực thi. Static Các đặc trưng về cấu trúc tệp tin của chương trình sẽ được dùng để kiểm tra và xác định có phải là mã độc hay không. Đặc điểm nổi bật của cách này là có thể phát hiện mã độc nhưng không 9 cho chương trình mã độc thực thi. Hybrid Sử dụng một môi trường giả lập có cấu trúc giống với máy thật, có thể gọi đó là máy ảo để sử dụng phối hợp 2 kỹ thuật phân tích trên mà không làm ảnh hưởng đến máy thật. 1.2. Phân loại và hoạt động của mã độc 1.2.1. Phân loại các mã độc Malware (hay còn gọi là phần mềm độc hại) là bất kỳ loại phần mềm nào có thể làm hại máy tính của bạn, bao gồm tất cả những phần mềm độc hại được đề cập đến là: Hình 1.7. Các mã độc tấn công mạng  Virus Virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. Như vậy virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, … Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó. Virus thường cần phải được thực hiện thông qua tính năng Autorun, hệ thống khởi động hoặc bằng tay bởi người sử dụng. Các nguồn phổ biến nhất để lây nhiễm virus là ổ đĩa USB, Internet và file đính kèm trong email. Để ngăn 10 chặn virus lây lan từ USB, bạn nên làm cho nó an toàn bằng cách quét virus trước khi sử dụng trên máy tính.  Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus như (Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể là pha trộn bởi cả boot virus và file virus trong cùng một phiên bản.  Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống. Một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi. Macro virus, scripting virus là các virus nằm trong dạng này. Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc tạo và mở file để thực thi và lây nhiễm. Sự khác nhau giữa macro virus và scripting virus là: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lệnh chạy bằng một service của hệ điều hành. Melisa là một ví dụ xuất sắc về macro virus, Love Stages là ví dụ cho scripting virus.6 Hình 1.8. Virus đánh kèm trong các tập tin thực thi  Spyware Là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy. Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia 11 sẻ(shareware) mà người ta có thể tải về từ Internet. Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc). Khác với worm và virus, Spyware không có khả năng tự nhân bản. Phần mềm gián điệp được phát triển nhằm đánh cắp thông tin của bạn từ máy tính và gửi lại cho người viết ra nó. Một số thông tin dễ bị đánh cắp bởi phần mềm gián điệp bao gồm thông tin thẻ tín dụng, thông tin đăng nhập trang web, tài khoản email,... Phần mềm gián điệp sẽ không gây tổn hại cho hệ thống của bạn, chính vì vậy mà hầu hết người dùng không nhận thấy sự tồn tại của nó. Hiện nay, các phần mềm chống virus hiện đại cũng bao gồm công cụ chống phần mềm gián điệp.6 Hình 1.9. Hoạt động của người dùng spyware ghi lại  Trojan Trojan là một trong những mối đe dọa nguy hiểm nhất với máy tính. Chúng là một mã độc ẩn bên trong một phần mềm có vẻ hữu ích nhưng bí mật kết nối đến máy chủ độc hại và chạy nền nên bạn không hề hay biết. Trojan thường được sử dụng để điều khiển hoàn toàn máy tính từ xa. Nếu máy tính của bạn bị nhiễm trojan, bạn nên ngắt kết nối Internet và không kết nối lại cho đến khi trojan đó được loại bỏ hoàn toàn. Là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”. Trojan horse không tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực chất 12 bên trong có ẩn chứa các đoạn mã với mục đích gây hại. Trojan có thể lựa chọn một trong 3 phương thức để gây hại: Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp password). Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống). Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết) Hình 1.10. Troijan ẩn mình trong các phần mềm miễn phí 13  Backdoor Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,… Backdoor cũng có thể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool  Zoombie (có thể đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS. Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lệnh tấn công cùng một lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.  Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình của hệ thống. Ví dụ về công cụ RAT là: Back Orifice, SubSeven,…6  Adware Phần mềm quảng cáo sẽ phục vụ quảng cáo trên máy tính, có thể hoặc không có thể đóngvô hiệu hóa bởi người sử dụng. Phần mềm quảng cáo không có hại, nhưng chúng sẽ tiếp tục hiển thị quảng cáo trên máy tính, gây khó chịu cho người dùng. Phần mềm quảng cáo thường đi kèm với các ứng dụng hợp pháp. Cách tốt nhất để ngăn cản chúng cài vào máy tính của bạn là thận trọng mỗi khi đánh dấu "check" vào các tùy chọn lúc cài đặt ứng dụng. Ngày nay, phần mềm quảng cáo chủ yếu được cài đặt trên thanh công cụ của trình duyệt. Vì vậy, gỡ bỏ các thành phần bổ sung rác sẽ giúp bạn được thoát khỏi các quảng cáo khó ưa. Phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng.6  Ứng dụng scarewareransomwarerogue Scareware Đánh lừa bạn rằng, nó là một ứng dụng hợp pháp và yêu cầu bạn bỏ tiền mua một cái gì đó vô dụng. Ngụy trang phổ biến nhất của scareware là phần mềm chống virus, thông báo cho bạn biết máy tính bị nhiễm nhiều virus. Khi bạn cố gắng loại bỏ virus 14 thông qua phần mềm dọa nạt này, nó sẽ yêu cầu bạn mua phiên bản đầy đủ trước khi nó có thể làm sạch hệ thống cho bạn. Hầu hết các phần mềm chống virus miễn phí và hợp pháp sẽ không yêu cầu bạn mua phiên bản đầy đủ để loại bỏ các virus. Nếu một phần mềm yêu cầu nâng cấp như vậy, có lẽ là nó là một ứng dụng scareware.5  Worms Worms là một trong những loại hình nguy hiểm đe dọa máy tính. Chúng thường sử dụng các lỗ hổng bảo mật của một mạng lưới để trốn bên trong mỗi máy tính thuộc mạng này mà không cần sự can thiệp của người dùng. Chúng có thể phá hủy tất cả các máy tính trong mạng chỉ trong vòng vài phút. Sự khác biệt chính giữa một loại virus và worms chính là việc worms thực hiện sao chép chính nó qua mạng và nó là một chương trình độc lập riêng, trong khi virus có thể lây lan thông qua các phương tiện khác như thiết bị truyền thông di động, và chúng có thể gắn với các chương trình khác. Một số ví dụ nổi tiếng của worms như sâu Iloveyou, Conficker,... Nếu hệ thống mạng máy tính dính worms, bạn nên ngắt kết nối tất cả các máy tính trong mạng đó, sau đó quét toàn bộ với một phần mềm chống virus tốt, rồi kết nối chúng trở lại với mạng khi đã chắc chắn rằng không còn dấu vết nào của worms; nếu không worms sẽ tự tái tạo lại và khởi động lại toàn bộ chu kỳ. Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống. Như vậy, có thể thấy rằng chỉ dùng các chương trình quét file sẽ không diệt được worm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng. Mục tiêu của worm bao gồm cả làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger,… Tấn công của worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, copy file hay đóngmở file). Worm có thể chia làm 2 loại:  Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho loại sâu này.  Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây 15 quá tải cho mạng hoặc cho máy chủ mail. Netsky, Mydoom là ví dụ cho thể loại này.5 Hình 1.11. Mô tả mức độ lây lan của worms năm 2001  Keylogger Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật,..Ví dụ một số loại keylogger như: KeySnatch, Spyster, …1  Rootkit Rootkit là những đoạn mã độc được thiết kế nhằm che dấu sự tồn tại của những đoạn mã độc khác bên trong nó. Rootkit thường được dùng để kết hợp với một mã độc khác như Backdoor, Keylogger để tin tặc có thể truy cập từ xa vào máy tính nạn nhân và làm hệ thống gặp khó khăn trong việc phát hiện ra loại mã độc này. Ví dụ như trong hệ thống Window, Rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành.1  Launcher Launcher là những chương trình độc hại được dùng để khởi động các chương trình độc hại khác. Launcher sử dụng những kỹ thuật phi truyền thống để khởi động những chương trình độc hại khác nhằm mục đích đánh cắp thông tin hoặc điều khiển máy nạn nhân.1 16  Botnet Hình 1.12. Công dụng của một mạng Botnet Bot là những chương trình mã độc được cài lên các máy nạn nhân và các máy tính này sẽ nằm trong một mạng lưới được điều khiển bởi tin tặc gọi là mạng Botnet. Tương tự như backdoor, Botnet cũng cho phép kẻ tấn công truy cập và điều khiển hệ thống máy nạn nhân. Tất cả các máy bị nhiễm cùng một loại Botnet sẽ cùng nhận một chỉ thị lệnh từ một hệ thống mạng ngang hang peer-to-peer (P2P). Ngày nay khi đã có trong tay một mạng lưới botnet, các tin tặc hoặc tổ chức điều khiển Botnet có thể sử dụng chúng như một công cụ chiến tranh mạng, tiêu biểu là tấn công từ chối dịch vụ vào các mục tiêu cụ thể nhằm làm tê liệt hệ thống mạng của một tổ chức hoặc thậm chí là hệ thống mạng của một quốc gia. 1 1.2.2. Cách thức hoạt động của mã độc  Virus  Tự nhân bản (lây lan các file khác trên máy tính).  Kích hoạt chức năng phá hoại: Hiển thị một thông điệp gây phiền nhiễu hoặc thực hiện một hành vi nguy hiểm hơn.  Làm cho máy tính lặp đi lặp lại một sự cố.  Xóa các file hoặc định dạng lại ổ cứng.  Tắt các thiết lập bảo mật của máy tính.  Worm  Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành.  Gửi các bản sao của chính mình sang các thiết bị khác. 17  Để lại một đoạn mã để làm hại hệ thống bị lây nhiễm.  Xóa các file trên máy tính.  Cho phép kẻ tấn công có thể điều khiển máy tính bị hại từ xa.  Trojan  Là chương trình thực hiện mục đích nằm ngoài những điều quảng cáo.  Thường thực thi các chương trình: chứa các mã để thực hiện việc tấn công.  Đôi khi có thể ở dạng một file dữ liệu.  Backdoor  Mã phần mềm có mục đích né tránh các thiết lập bảo mật  Cho phép chương trình có thể truy cập nhanh chóng  Thường do các lập trình viên tạo ra: Ý định sẽ loại bỏ cửa hậu khi ứng dụng đã hoàn tất; Tuy nhiên, đôi khi cửa hậu được giữ lại và những kẻ tấn công đã dùng chúng để qua mặt bảo mật.  Rootkit  Là công cụ phần mềm được kẻ tấn công sử dụng để che giấu các hành động hoặc sự hiện diện của phần mềm độc hại khác( Trojan, Worm…)  Che giấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục nhật ký.  Có thể thay đổi hoặc thay thế các file của hệ điều hành bằng các phiên bản sửa đổi: được thiết kế chuyên để che giấu các hành vi gây hại.  Spyware  Phần mềm thu thập thông tin trái phép, không được sự cho phép của người dùng.  Thường được sử dụng với mục đích: Quản cáo, thu thập thông tin cá nhân, thay đổi cấu hình máy.  Adware  Chương trình cung cấp các nội dung quản cáo: Theo cách người dùng không mong muốn.  Thường hiển thị các biểu ngữ quảng cáo và các cửa sổ quản cáo.  Có thể mở cửa sổ trình duyệt một cách ngẫu nhiên  Có thể theo dõi các hoạt động trực tuyến của người dùng 18 1.3. Các kiểu tấn công và hành vi của các mã độc 1.3.1. Mục đích của mã độc Mã độc ban đầu được tạo ra nhằm mục đích thí nghiệm, hoặc chỉ phá hoại một máy tính đơn lẻ nào đó, nhưng theo thời gian đã có những biến thể mã độc được sử dụng chủ yếu để ăn cắp các thông tin nhạy cảm của người dùng như tài khoản và mật khẩu, các tin tức về tài chính hoặc thậm chí là các thông tin về quân sự quốc phòng để nhằm mang lại lợi ích cho tin tặc. Đôi khi mã độc được sử dụng như một công cụ chính trị chống lại các trang web của chính phủ, các công ty công nghệ cao để thu thập thông tin được bảo vệ hoặc làm gián đoạn hoạt động của họ trên môi trường mạng. Một vài cuộc tấn công từ chối dịch vụ sử dụng mã độc có quy mô lớn như cuộc tấn công vào hệ thống website của Mỹ và Hàn Quốc vào tháng 72009 khiến hàng chục website của chính phủ Hàn Quốc và Mỹ bị tê liệt hoạt động. Tại Việt Nam, năm 2011 trang web của Bộ ngoại giao bị tấn công từ chối dịch vụ phải ngưng hoạt động, hay gần đây nhất tháng 7-2013 một loạt các tờ báo mạng lớn cũng phải vất vả ngăn cản tấn công từ chối dịch vụ.1 1.3.2. Các kiểu tấn công của mã độc Mã độc tấn công bằng phương pháp lan truyền qua internet, kết nối giữa các máy tính, USB,…  Mã độc lây nhiễm theo cách cổ điển  Lây nhiễm thông qua các thiết bị lưu trữ: Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loại virus máy tính là thông qua các thiết bị lưu trữ di động. Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.  Lây nhiễm virus và phần mềm độc hại thông qua Internet  Lây nhiễm thông qua các file tài liệu, phần mềm cài đặt: Là cách lây nhiễm cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB...) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm...  Lây nhiễm khi đang truy cập các trang web được cài đặt virus: Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó. 19  Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Windows Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này.  Mã độc lây nhiễm qua thư điện tử Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống. Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn. Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó. Hình 1.13. Minh họa cách thức lây nhiễm mã độc qua thư điện tử 20  Lây nhiễm vào các file đính kèm theo thư điện tử: Khi đó người dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc điểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ).  Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này thường khai thác các lỗi của hệ điều hành.  Lây nhiễm do mở một liên kết trong thư điện tử: Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.  Biến thể Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó. Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán.  Virus có khả năng vô hiệu hoá phần mềm diệt virus Một số virus có khả năng vô hiệu hoá hoặc can thiệp vào hệ điều hành làm tê liệt các phần mềm diệt virus. Sau hành động này chúng mới tiến hành lây nhiễm và tiếp tục phát tán. Một số khác lây nhiễm chính vào phần mềm diệt virus (tuy khó khăn hơn) hoặc ngăn cản sự cập nhật của các phần mềm diệt virus. Kể cả cài lại HĐH và cài diệt sau đó nhưng đã quá trễ. Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế hoạt động của các phần mềm diệt virus và được lây nhiễm hoặc phát tác t...