Đang tải... (xem toàn văn)
Bài giảng An toàn và bảo mật hệ thống thông tin - Chương 2: Phần mềm mã độc cung cấp cho người học các kiến thức: Tổng quan về phần mềm mã độc, giải pháp tổng thể phòng chống phần mềm mã độc, phương pháp phát hiện và loại trừ phần mềm mã độc. Mời các bạn cùng tham khảo.
CHƯƠNG (TIẾP) PHẦN MỀM MÃ ĐỘC TỔNG QUAN NỘI DUNG Tổng quan phần mềm mã độc Giải pháp tổng thể phòng chống phần mềm mã độc Phương pháp phát loại trừ phần mềm mã độc Tổng quan phần mềm mã độc Tổng quan phần mềm mã độc Khái quát phần mềm mã độc Phân loại phần mềm mã độc tác hại phần mềm mã độc 1.1 Khái quát phần mềm mã độc Để công/thâm nhập mạng, hacker thường sử dụng ‘trợ thủ’ virus, worm, trojan horse, backdoor… Mã độc (malicious code): tập mã thực thi tự chủ, khơng địi hỏi can thiệp hacker Các bước công/thâm nhập mạng: Hacker thiết kế mã độc Hacker gửi mã độc đến máy đích Mã độc đánh cắp liệu máy đích, gửi cho hacker Hacker cơng hệ thống đích 1.2 Phân loại phần mềm mã độc – Tác hại Phân loại mã độc theo đặc trưng thi hành: Lệ thuộc ứng dụng chủ (need to host) Thực thi độc lập (standalone) Phân loại mã độc theo khả tự sao: Tự Không tự Cửa sập (Trap door) “Cửa vào” bí mật chương trình Cho phép người biết “cửa vào” truy cập, bỏ qua thủ tục an ninh thông thường Đã sử dụng phổ biến nhà phát triển Là mối đe dọa chương trình, cho phép khai thác kẻ công Rất khó để chặn HĐH Địi hỏi phát triển & cập nhật phần mềm tốt Bom hẹn (Logic bomb) Mã nhúng chương trình hợp lệ Đoạn mã tự kích hoạt thỏa điều kiện hẹn trước (ngày tháng, thời gian…) Trước thoát khỏi hệ thống, hacker thường cài lại bom hẹn nhằm xóa chứng cứ, dấu vết thâm nhập Khi kích hoạt, thường gây thiệt hại cho hệ thống: sửa đổi / xóa file / đĩa Kỹ thuật bom hẹn virus máy tính khai thác phổ biến: virus Friday, Chernobyl (24/04), Michelangelo (06/03), Valentine Ngựa thành Troa (Trojan) Chương trình có ẩn tác dụng phụ, thường bề ngồi hấp dẫn trị chơi, nâng cấp phần mềm Khi chạy thực số tác vụ bổ sung: Cho phép kẻ công truy cập gián tiếp Thường sử dụng để truyền bá virus/sâu cài đặt backdoor Hoặc đơn giản để phá hủy liệu 10 Quét trình điều khiển thiết bị đáng ngờ Trojan cài đặt với trình điều khiển thiết bị tải từ nguồn không tin cậy Quét xác minh trình điều khiển đáng ngờ xem có phải hãng khơng Cơng cụ: Driverview, Driverscanner 58 Quét dịch vụ đáng ngờ chạy hệ thống Trojan sinh dịch vụ Windows cho phép kẻ công truy cập điều khiển trái phép hệ thống từ xa Thông thường dịch vụ bị đổi tên giống dịch vụ bình thường hệ thống Sử dụng kỹ thuật rootkit để khóa registry để ẩn tiến trình độc hại Giám sát phát công cụ: SrvMan, Process Hacker 59 Các hoạt động quét khác Quét chương trình khởi động đáng ngờ Với công cụ Autorun, Starter Quét tập tin thư mục đáng ngờ Các công cụ kiểm tra tính tồn vẹn file thư mục Tripwire, Sigverif, WinMD5 Quét hoạt động mạng đáng ngờ Theo dõi hoạt động mạng đến địa đáng ngờ Theo dõi lưu lượng mạng đáng ngờ Các công cụ: Capsa Network Analyzer, 60 3.2 Phương pháp xử lý, loại trừ phần mềm mã độc Các pha xử lý phần mềm mã độc 61 Chuẩn bị Các tổ chức nên thực biện pháp chuẩn bị để đảm bảo họ có khả ứng phó hiệu với cố phần mềm độc hại Gồm công việc sau: Phát triển sách xử lý cố phần mềm độc hại cụ thể thủ tục xác định vai trò trách nhiệm tất cá nhân tập thể tham gia vào việc xử lý cố phần mềm độc hại Thường xuyên tổ chức đào tạo thực hành vấn đề liên quan đến phần mềm độc hại Xây dựng trì kỹ liên quan đến việc xử lý phần mềm độc hại, hiểu biết phương pháp lây nhiễm phần mềm độc hại công cụ phát phần mềm độc hại 62 Chuẩn bị (tiếp) Tạo điều kiện thông tin liên lạc phối hợp cách định trước vài cá nhân hay nhóm nhỏ chịu trách nhiệm điều phối phản ứng tổ chức cố phần mềm độc hại Thành lập số chế truyền thông để phối hợp xử lý cố, cán kỹ thuật, quản lý, người dùng trì kiện bất lợi Thiết lập điểm liên lạc để trả lời câu hỏi tính hợp pháp cảnh báo phần mềm độc hại Chuẩn bị công cụ phần cứng phần mềm cần thiết để hỗ trợ việc xử lý cố phần mềm độc hại 63 Phát phân tích Web server bị đánh sập Người dùng phàn nàn việc chậm truy cập vào máy chủ Internet, cạn kiệt tài nguyên hệ thống, truy cập đĩa chậm, hệ thống khởi động chậm Phần mềm diệt virus phát host bị nhiễm sâu tạo cảnh báo Quản trị viên hệ thống nhìn thấy tên tập tin với ký tự khác thường Host ghi lại thay đổi cấu hình kiểm tra nhật ký 64 Phát phân tích (tiếp) Bất người dùng cố gắng chạy trình duyệt Web, máy tính xách tay người dùng tự khởi động lại Người quản trị e-mail thấy số lượng lớn e-mail bị trả với nội dung đáng ngờ Các kiểm sốt an tồn phần mềm chống virus tường lửa cá nhân bị vơ hiệu hóa host Quản trị mạng thấy có độ lệch bất thường từ lưu lượng mạng điển hình 65 Phát phân tích (tiếp) Giám sát phần mềm có hại cơng cụ cảnh báo an tồn (ví dụ, phần mềm chống virus, IPS) để phát tiền thân cố phần mềm độc hại, cung cấp cho tổ chức hội ngăn chặn cố cách thay đổi biện pháp an ninh Xem xét liệu từ nguồn dẫn cố phần mềm độc hại, bao gồm báo cáo người dùng, báo cáo nhân viên IT, cơng cụ bảo mật (ví dụ, phần mềm chống virus, IDS), tương quan liệu nguồn để xác định hoạt động có hại liên quan 66 Phát phân tích (tiếp) Phân tích cố phần mềm độc hại nghi ngờ xác nhận phần mềm độc hại nguyên nhân vụ việc, khơng có báo hoàn toàn tin cậy Sử dụng nguồn liệu thứ cấp cần để xem xét hoạt động thu thập thêm thông tin Xây dựng công cụ tin cậy cập nhật thường xuyên để xác định phần mềm độc hại, danh sách tiến trình chạy thực hoạt động phân tích khác Thiết lập tập tiêu chí ưu tiên để xác định mức độ đáp ứng thích hợp với loại cố liên quan đến phần mềm độc hại khác 67 Ngăn chặn (Containment) Có hai thành phần chính: ngăn chặn lây lan phần mềm độc hại ngăn chặn thiệt hại thêm cho hệ thống Người sử dụng tham gia Việc cung cấp cho người dùng hướng dẫn cách xác định lây nhiễm biện pháp nhận biết máy bị nhiễm hữu ích; Tuy nhiên, tổ chức không phụ thuộc nhiều vào người dùng để xác định cố phần mềm độc hại Tự động phát Các công nghệ tự động, phần mềm chống virus, lọc e-mail, phần mềm phịng chống xâm nhập, thường chứa cố phần mềm độc hại Trong cố lớn, phần mềm độc hại xác định cập nhật phần mềm chống virus, tổ chức cần phải chuẩn bị để sử dụng công cụ bảo mật khác 68 Ngăn chặn (Containment) Vơ hiệu hóa dịch vụ Các tổ chức nên chuẩn bị để đóng khóa dịch vụ sử dụng phần mềm độc hại có chứa cố cần phải hiểu hậu việc làm Đồng thời cần chuẩn bị để đối phó với vấn đề gây tổ chức khác họ vơ hiệu hóa dịch vụ họ để ứng phó với cố phần mềm độc hại Vơ hiệu hóa kết nối Các tổ chức nên chuẩn bị để đặt hạn chế bổ sung kết nối mạng chứa cố phần mềm độc hại, nhận ảnh hưởng mà hạn chế có hoạt động tổ chức 69 Loại bỏ (Eradication) Mục tiêu xóa bỏ phần mềm mã độc khỏi hệ thống bị nhiễm Chuẩn bị biện pháp, kế hoạch loại bỏ khoảng thời gian hàng tuần với biện pháp khôi phục liệu, hệ thống hoạt động Sử dụng nhiều biện pháp đồng thời cho việc xóa bỏ Chuẩn bị cấu hình lại hệ thống: hệ điều hành, ứng dụng khôi phục liệu từ nguồn lưu trữ 70 Và khôi phục Hai khía cạnh việc khơi phục từ cố phần mềm độc hại khôi phục chức liệu hệ thống bị lây nhiễm; loại bỏ biện pháp ngăn chặn tạm thời Các tổ chức nên xem xét kịch xấu xác định phương pháp khơi phục nên thực Xác định loại bỏ biện pháp ngăn chặn tạm thời, chẳng hạn dịch vụ kết nối bị đình chỉ, thường định khó khăn cố phần mềm độc hại lớn Đội ứng phó cố nên cố gắng trì biện pháp ngăn chặn chỗ ước tính hệ thống bị lây nhiễm hệ thống dễ bị lây nhiễm đủ thấp mà cố không nghiêm trọng 71 Hoạt động sau cố Do việc xử lý cố phần mềm độc hại tốn nên việc tổ chức xem xét học cố phần mềm độc hại lớn đặc biệt quan trọng Nắm học sau việc xử lý cố phần mềm độc hại giúp cải thiện khả xử lý cố phòng chống phần mềm độc hại Thay đổi sách bảo mật Thay đổi cấu hình phần mềm Thay đổi việc phát phần mềm độc hại triển khai phần mềm phòng chống 72 ... {goto main; 123 4567; subroutine infect-executable := {loop: file := get-random-executable-file; if (first-line-of-file = 123 4567) then goto loop else prepend V to file; } subroutine do-damage :=... ( 0-6 5535) máy đích để thu thập thơng tin: danh sách cổng chuẩn, dịch vụ sử dụng, hệ điều hành sử dụng, ứng dụng sử dụng, tình trạng an ninh hệ thống? ?? Ví dụ: Nếu cổng 80 mở, máy tính kết nối vào... Thường nhắm vào Microsoft Outlook mail agent & tài liệu Word/Excel 20 Sâu (worm) Tập mã lệnh khai thác nối kết mạng, thường trú nhớ máy đích, lây nhiễm lan truyền từ hệ thống sang hệ thống khác