Luận văn: Nghiên cứu phương pháp phân tích phần mềm mã độc

Luận văn thạc sĩ: Nghiên cứu phương pháp phân tích phần mềm độc hại, đi sâu vào kỹ thuật và công cụ phát hiện, phòng chống mã độc hiệu quả.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2014

74
0
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT

DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG

1. CHƯƠNG 1: TỔNG QUAN VỀ MALWARE

1.1. Khái niệm về Malware

1.2. Phân loại Malware

1.3. Lược sử về Malware

1.4. Vai trò của việc phân tích Malware

2. CHƯƠNG 2: CƠ CHẾ HOẠT ĐỘNG CỦA MALWARE

2.1. Tìm hiểu về cấu trúc PE file

2.2. Hình thức lây nhiễm

2.2.1. Qua thiết bị lưu trữ

2.2.2. Qua mạng Internet

2.3. Đối tượng lây nhiễm

2.4. Một số loại tập tin khác:

2.5. Khởi động cùng hệ thống

2.6. Phá hoại và các hoạt động khác

2.7. Cơ chế tự bảo vệ của mã độc

2.7.1. Cơ chế tạo áo giáp (Armouring):

2.7.2. Cơ chế chống theo dõi (Anti Heuristic):

2.7.3. Cơ chế chống phần mềm phân tích (Anti-Analysis software)

2.7.4. Chống gỡ rối và ảo hóa (Anti debugger & Virtual Machine)

2.8. Kỹ thuật đóng gói để che giấu mã độc

2.9. Xu hướng phát triển của Malware

3. CHƯƠNG 3: PHƯƠNG PHÁP PHÂN TÍCH MALWARE

3.1. Qui trình phân tích Malware

3.2. Kiểm tra, phát hiện và lấy mẫu Malware

3.2.1. Kiểm tra các phần mềm khởi động cùng hệ thống

3.2.2. Tiến trình trong Windows

3.2.3. Kiểm tra chuỗi (string) của các tiến trình

3.3. Phát hiện che giấu mã độc với phương pháp phân tích Entropy

3.4. Sử dụng hàm băm (Hash) để xác định phần mềm độc hại

3.5. Lấy mẫu Malware

3.6. Thiết lập môi trường phân tích an toàn

3.7. Phân tích tĩnh

3.7.1. Phân tích các hàm Windows API để phát hiện phần mềm nghi vấn

3.8. Các thành phần của Windows API

3.9. Tại sao phải tìm hiểu Windows API

3.10. Dịch ngược và phân tích mã Assembly

3.11. Phân tích động

3.11.1. Sử dụng các công cụ Sandbox

3.11.2. Giám sát hoạt động của tiến trình

3.11.3. Sử dụng các chương trình gỡ rối (Debugger)

3.11.4. Sử dụng Volatility để rà quét, phân tích mã độc trên RAM

3.12. Một số tiêu chí đánh giá an ninh tiết trình

4. CHƯƠNG 4: HỆ THỐNG HỖ TRỢ PHÂN TÍCH MALWARE

4.1. Hệ thống phân tích Malware tự động Cuckoo Sandbox

4.1.1. Giới thiệu hệ thống

4.1.2. Cài đặt hệ thống

4.1.3. Sử dụng Cuckoo Sandbox để phân tích Malware

4.2. Xây dựng phần mềm đánh giá an ninh tiến trình

4.2.1. Giới thiệu phần mềm

4.2.2. Biểu đồ Use case

4.2.3. Một số kịch bản chính của phần mềm

4.2.4. Chương trình

TÀI LIỆU THAM KHẢO

PHỤ LỤC: MỘT SỐ HÀM WINDOWS CẦN CHÚ Ý KHI PHÂN TÍCH MALWARE

Tóm tắt

I. Tổng Quan Luận Văn Phân Tích Phần Mềm Mã Độc Malware

Luận văn thạc sĩ về phân tích phần mềm mã độc (Malware) đóng vai trò quan trọng trong bối cảnh an ninh mạng ngày càng phức tạp. Bài viết này nhằm mục đích giới thiệu tổng quan về chủ đề, nhấn mạnh tầm quan trọng của việc nghiên cứu và phân tích malware để đối phó với các mối đe dọa an ninh mạng. Luận văn tập trung vào việc nghiên cứu các phương pháp phân tích malware, từ đó đề xuất quy trình phân tích hiệu quả, đồng thời xây dựng công cụ hỗ trợ phân tích. Luận văn này dựa trên kiến thức về an toàn thông tin, lý thuyết về hệ điều hành và nhu cầu thực tế, hướng tới xây dựng một chương trình đánh giá an ninh tiến trình nhằm hỗ trợ quá trình phát hiện mã độc. Ngoài ra, luận văn còn có thể được phát triển để ứng dụng phục vụ cho các cơ quan chính phủ (an ninh, quốc phòng…) cũng như các tổ chức, cá nhân có nhu cầu. Luận văn xem xét các khái niệm cơ bản, cơ chế hoạt động, các phương pháp phân tích tĩnh và động, cũng như việc xây dựng hệ thống hỗ trợ phân tích malware. Theo Ngô Quang Hưng (2014), việc phân tích và vô hiệu hóa phần mềm độc hại trở thành nhu cầu tất yếu, đặc biệt khi phần mềm diệt virus không phải lúc nào cũng hiệu quả. Luận văn đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuật phân tích Malware, đưa ra được quy trình phân tích đồng thời xây dựng được một công cụ hỗ trợ phân tích hiệu quả.

1.1. Định Nghĩa và Phân Loại Phần Mềm Mã Độc Malware

Khái niệm Malware, hay Malicious software, được định nghĩa theo NIST là phần mềm được chèn bí mật vào hệ thống nhằm gây hại đến tính bảo mật, toàn vẹn hoặc khả dụng của hệ thống. Có nhiều cách phân loại mã độc, phổ biến nhất dựa vào đặc tính và hành vi. Luận văn đề cập đến các loại malware chính như virus, worm, trojan horse, rootkit, và spyware. Các biến thể như Network Service Worm, Mass Mailing Worm cũng được phân tích. Virus cần vật chủ để lây lan, trong khi worm có thể tự nhân bản và lây lan độc lập. Trojan Horse che giấu mục đích thực sự, còn rootkit ẩn các tiến trình độc hại khỏi sự phát hiện. Các khái niệm về Compiled Virus, Interpreted Virus, và các loại Malicious Mobile Code cũng được làm rõ. Sự khác biệt giữa macro virusscripting virus được nêu bật. Các công cụ tấn công như BackdoorKeylogger cũng được đề cập.

1.2. Lược Sử Phát Triển và Xu Hướng của Mã Độc Malware

Lịch sử malware bắt đầu từ những lý thuyết về phần mềm tự sao chép từ John von Neumann năm 1949. Malware có xu hướng phát triển tăng dần về độ phức tạp và mục tiêu. Hiện nay, đa phần mã độc được thiết kế nhắm đến các mục tiêu được xác định từ trước, đó có thể là một cá nhân hoặc một tổ chức. Xu hướng phát triển tập trung vào khả năng che giấu lâu dài, đánh cắp dữ liệu tinh vi, và sử dụng social engineering. Các ví dụ điển hình như Stuxnet cho thấy malware có thể được sử dụng như vũ khí ảo. Các cột mốc quan trọng bao gồm sự xuất hiện của Elk Cloner (1981), virus Brain (1986), virus Jerusalem (1988), sâu Melissa (1999), và sâu ILOVEYOU (2000). Sự phát triển của Polymorphic Malware (1991) gây khó khăn cho việc phát hiện. Theo Ngô Quang Hưng (2014) mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân loại cũng như mục đích sử dụng. Càng ngày, mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân loại cũng như mục đích sử dụng. Cùng với sự bùng nổ của mạng máy tính, thiết bị di động thông minh, mã độc cũng tăng trưởng với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứng với các công nghệ và nền tảng mới.

II. Cơ Chế Hoạt Động của Mã Độc Hướng Dẫn Phân Tích PE File

Để phân tích malware hiệu quả, việc hiểu rõ cơ chế hoạt động là rất quan trọng. Luận văn đi sâu vào cấu trúc PE file, hình thức lây nhiễm, và các kỹ thuật tự bảo vệ của mã độc. Malware có thể lây lan qua thiết bị lưu trữ, mạng Internet, thư điện tử, và các dịch vụ IM. Chúng có thể nhắm vào các định dạng file khác nhau như EXE, PIF, APPLICATION, và MSI. Kỹ thuật tự bảo vệ bao gồm tạo áo giáp, chống theo dõi (Anti Heuristic), chống phần mềm phân tích (Anti-Analysis software), và chống gỡ rối/ảo hóa (Anti debugger & Virtual Machine). Các cơ chế tạo áo giáp, cơ chế chống theo dõicơ chế chống phần mềm phân tích đóng vai trò quan trọng. Theo Ngô Quang Hưng (2014), Việc Malware nhiễm vào máy tính không có nghĩa là nó có thể “sống” trong máy tính ấy. Các Malware khi muốn tiếp tục hoạt động để tiếp tục lây lan thì bắt buộc chúng phải tìm cách để sau khi người dùng tắt máy, vào lần bật máy sau thì Malware ấy sẽ được kích hoạt và tiếp tục làm việc.

2.1. Cấu Trúc PE File Cách Mã Độc Lợi Dụng để Che Giấu

Hiểu cấu trúc PE file là thiết yếu để phân tích malware. Định dạng PE (Portable Executable) được sử dụng cho các file thực thi, mã đối tượng, và DLL của Windows. Cấu trúc PE bao gồm các thành phần quan trọng như header, section (code, data, resource), import table, và export table. Malware thường lợi dụng cấu trúc PE để che giấu mã độc, tiêm mã vào tiến trình, hoặc thay đổi các thông tin quan trọng. Việc nắm vững cấu trúc PE giúp người phân tích xác định các điểm đáng ngờ và phân tích sâu hơn. Cấu trúc PE có thể gồm nhiều section, trong đó tối thiểu cần 2 section: data và code. Một số section thông dụng hay được gặp ở các phần mềm: 1. Executable Code Section, có tên là . Data Sections, có tên là nh . Resources Section, có tên là . Export Data Section, có tên là . Import Data Section. Debug Information Section, có tên là .debug Cấu trúc các section trên bộ nhớ và trên ổ đĩa là như nhau, tuy nhiên khi được nạp lên bộ nhớ, các Windows loader sẽ quyết định thứ tự và vị trí nạp các phần, do đó vị trí các phần trên ổ đĩa và trên bộ nhớ sẽ có sự khác biệt.

2.2. Kỹ Thuật Lây Nhiễm và Khởi Động Cùng Hệ Thống của Malware

Các hình thức lây nhiễm của malware rất đa dạng. Qua thiết bị lưu trữ (USB, thẻ nhớ), malware có thể lợi dụng chức năng Autorun hoặc đánh lừa người dùng bằng cách ẩn thư mục và thay thế bằng file thực thi giả mạo. Qua mạng Internet, malware có thể lây nhiễm qua phần mềm độc hại, trang web độc hại, thư điện tử chứa file đính kèm hoặc liên kết độc hại, và các dịch vụ IM. Các phương thức lây nhiễm qua thư điện tử bao gồm: - Lây nhiễm vào các file đính kèm: Với cách này, người dùng sẽ không bị nhiễm mã độc đến khi phần mềm đính kèm đó được kích hoạt. Malware cũng không dại gì chỉ gửi đúng mã độc của mình, mà chúng thường ẩn dưới bỏ bọc là các phần mềm miễn phí hay những phần mềm có nội dung nhạy cảm. - Lây nhiễm do mở một liên kết trong thư điện tử: Liên kết trong thư điện tử có thể dẫn tới một trang web được cài sẵn mã độc, các này thường khai thác lỗ hổng của trình duyệt hoặc các plugin (thành phần cài đặt thêm) của trình duyệt, ví dụ như trình FlashPlayer. Để tồn tại, malware thường tìm cách khởi động cùng hệ thống bằng cách thêm giá trị vào registry (ví dụ: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run) hoặc tạo shortcut trong thư mục Startup.

2.3. Các Hoạt Động Phá Hoại Keylog Backdoor Rootkit Tống Tiền

Sau khi lây nhiễm, malware có thể thực hiện các hoạt động phá hoại. Keylogger ghi lại thao tác gõ phím để đánh cắp mật khẩu và thông tin cá nhân. Backdoor cho phép truy cập trái phép vào hệ thống từ xa. Rootkit ẩn các tiến trình và file độc hại để tránh bị phát hiện. Một số loại phần mềm ác tính sử dụng hệ thống mã hóa yếu (phá được) để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại. Phương thức thanh toán của kẻ điều khiển các loại virus này thường rất thông minh (Có một vài kẻ bắt buộc người dùng phải mua một số món hàng nhất định trên một địa chỉ nào đó mà kẻ điều khiển quy định).6 Cơ chế tự bảo vệ của mã độc 6.1 Cơ chế tạo áo giáp (Armouring): Cơ chế này dựa trên công nghệ mã hóa kết hợp với việc sử dụng các lệnh CALL, JMP, … một cách lộn xộn tạo cho Malware một vỏ bọc có khả năng kháng lại các phần mềm an ninh hay việc phân tích mã Malware [8].2 Cơ chế chống theo dõi (Anti Heuristic):

III. Phương Pháp Phân Tích Malware Bí Quyết Cho Người Mới Bắt Đầu

Luận văn trình bày chi tiết các phương pháp phân tích malware, bao gồm phân tích tĩnh và phân tích động. Phân tích tĩnh tập trung vào việc phân tích mã mà không cần thực thi malware, bao gồm kiểm tra các hàm Windows API, dịch ngược và phân tích mã Assembly, và giải đóng gói. Phân tích động yêu cầu thực thi malware trong môi trường an toàn và giám sát hành vi của chúng. Các công cụ và kỹ thuật phân tích bao gồm sử dụng sandbox, giám sát hoạt động tiến trình, và sử dụng chương trình gỡ rối (Debugger). Theo Ngô Quang Hưng (2014), quá trình phân tích Malware sẽ phát hiện được những phương thức lây lan, phá hoại, đánh cắp dữ liệu mới; đồng thời hạn chế sự lây lan, giảm thiểu thiệt hại do Malware gây ra bằng cách đưa các cảnh báo tới cộng đồng; là nguồn thông tin quan trọng để cập nhật mẫu cũng như chức năng cho phần mềm đảm bảo an ninh máy tính.

3.1. Phân Tích Tĩnh Malware Hướng Dẫn Kiểm Tra API Assembly

Phân tích tĩnh là bước quan trọng để hiểu chức năng của malware mà không cần thực thi. Kiểm tra các hàm Windows API cho phép xác định các hành vi nghi vấn (ví dụ: CreateProcess, WriteFile, RegSetValueEx). Dịch ngược mã Assembly giúp hiểu chi tiết cách malware hoạt động. Các công cụ như IDA Pro được sử dụng để dịch ngược mã và phân tích cấu trúc. Unpacking (giải đóng gói) là kỹ thuật quan trọng để loại bỏ lớp bảo vệ và phân tích mã gốc. PEID giúp xác định chương trình đóng gói. Sau khi nạp phần mềm đã được đóng gói vào OllyDbg, dùng phần mở rộng OllyDump của OllyDbg để lưu toàn bộ phần mềm gốc đã được giải đóng gói trên bộ nhớ.

3.2. Phân Tích Động Malware Sử Dụng Sandbox Debugger Hiệu Quả

Phân tích động cho phép quan sát hành vi thực tế của malware trong môi trường an toàn. Sử dụng sandbox (ví dụ: Cuckoo Sandbox) để cô lập malware và giám sát các hoạt động. Giám sát hoạt động tiến trình (file, registry, network) giúp xác định mục đích của malware. Các chương trình gỡ rối (Debugger) như OllyDbg cho phép theo dõi luồng thực thi và các biến. Phân tích động cho phép chúng ta quan sát Malware khi chúng hoạt động thực sự với những tính năng chúng được lập trình, đây là một cách hiệu quả để xác định tính năng của Malware. Ví dụ: Khi ta phân tích một phần mềm đánh cắp tài liệu và lưu qua USB, chúng ta có thể gặp khó khăn khi xác định tính năng này trong bước phân tích tĩnh, nhưng khi phân tích động, qua việc giám sát đọc ghi file của tiến trình chúng ta sẽ xác định ngay được chức năng đánh cắp tài liệu này của Malware.

3.3. Phát Hiện Che Giấu Bằng Entropy và Xác Định Hàm Băm Hash

Để tránh bị phát hiện, Malware thường che dấu mã bằng cách đóng gói, mã hóa, khiến phần mềm diệt virus và các công cụ phân tích khó nhận diện được. Phân tích Entropy kiểm tra mức độ ngẫu nhiên của dữ liệu, các file đã nén hoặc mã hóa sẽ có Entropy cao hơn các file thông thường. Sử dụng hàm băm (Hash) để xác định Malware, so sánh giá trị băm của phần mềm nghi vấn với cơ sở dữ liệu Malware đã được xác định trước đó (ví dụ: VirusTotal), hoặc sử dụng thư viện hàm băm của các phần mềm đã được chứng thực (ví dụ: NSRL). Ví dụ, nhìn vào một dòng chữ tiếng Việt, được mã hóa bởi các chữ cái, khoảng cách, và dấu câu, tổng quát là các ký tự. Dòng chữ có ý nghĩa sẽ không hiện ra một cách hoàn toàn hỗn loạn ngẫu nhiên. Một tập tin được nén cũng có thể bị phát hiện nhờ kỹ thuật tính toán entropy. Các dữ liệu nén hoặc mã hóa khá gần giống với các dữ liệu ngẫu nhiên, do đó nó có mức entropy cao.

IV. Hệ Thống Hỗ Trợ Phân Tích Malware Cuckoo Sandbox Ứng Dụng

Luận văn đề xuất việc xây dựng hệ thống hỗ trợ phân tích malware tự động, ví dụ như sử dụng Cuckoo Sandbox. Cuckoo Sandbox là một hệ thống phân tích malware tự động mã nguồn mở, cho phép thực thi malware trong môi trường cô lập và thu thập thông tin về hành vi của chúng. Luận văn cũng đề xuất xây dựng phần mềm đánh giá an ninh tiến trình để hỗ trợ quá trình phát hiện mã độc. Theo Ngô Quang Hưng (2014) lý thuyết đã đưa ra trong Chương 3 để xây dựng phần mềm hỗ trợ phân tích Malware. Giới thiệu hệ thống phân tích Malware tự động Cuckoo Sandbox. Phần Kết luận: trình bày tổng hợp các kết quả nghiên cứu của luận văn và định hướng nghiên cứu tiếp theo.

4.1. Cuckoo Sandbox Giới Thiệu Cài Đặt và Sử Dụng Thực Tế

Cuckoo Sandbox là hệ thống phân tích malware tự động. Nó cho phép thực thi malware trong môi trường ảo hóa và thu thập thông tin chi tiết về hành vi của chúng, bao gồm các file được tạo, registry key được sửa đổi, và các kết nối mạng. Hệ thống phân tích Malware tự động Cuckoo Sandbox .2 UC01 - Tổng quan.3 UC02 – Kiểm tra tiến trình .4 UC03 – Liệt kê kết nối mạng.5 UC04 – Kiểm tra Hash .6 UC05 – Kiểm tra các hàm API .7 Chức năng kiểm tra tiến trình .8 Xác định các kết nối mạng .9 Kiểm tra mã Hash của tập tin .10 Phân tích bảng Import Table và đưa ra các hàm nghi vấn.

4.2. Xây Dựng Phần Mềm Đánh Giá An Ninh Tiến Trình Các Bước

Xây dựng phần mềm đánh giá an ninh tiến trình là một hướng đi tiềm năng để hỗ trợ phân tích malware. Phần mềm có thể kiểm tra các tiến trình đang chạy, liệt kê các kết nối mạng, kiểm tra mã Hash của tập tin, và phân tích bảng Import Table để đưa ra các hàm nghi vấn. Các Use case của phần mềm có thể bao gồm tổng quan về tiến trình, kiểm tra tiến trình, liệt kê kết nối mạng, kiểm tra Hash, và kiểm tra các hàm API. Có thể dùng UC01 - Tổng quan. UC02 – Kiểm tra tiến trình . UC03 – Liệt kê kết nối mạng. UC04 – Kiểm tra Hash . UC05 – Kiểm tra các hàm API .7 Chức năng kiểm tra tiến trình .8 Xác định các kết nối mạng .9 Kiểm tra mã Hash của tập tin .10 Phân tích bảng Import Table và đưa ra các hàm nghi vấn.

V. Kết Luận Tương Lai Nghiên Cứu Phân Tích Phần Mềm Mã Độc

Luận văn đã trình bày tổng quan về phân tích phần mềm mã độc, từ các khái niệm cơ bản đến các phương pháp phân tích và xây dựng hệ thống hỗ trợ. Kết quả nghiên cứu cho thấy việc hiểu rõ cơ chế hoạt động của malware và áp dụng các phương pháp phân tích phù hợp là rất quan trọng để đối phó với các mối đe dọa an ninh mạng. Hướng nghiên cứu tiếp theo có thể tập trung vào việc phát triển các kỹ thuật phân tích malware tự động và hiệu quả hơn, cũng như nghiên cứu các phương pháp phòng ngừa và giảm thiểu thiệt hại do malware gây ra. Dựa vào thực tế sự phát triển mã độc hiện nay, một số dự đoán xu hướng phát triển của mã độc trong tương lai: - Các loại mã độc với các kỹ thuật chống phân tích được cải tiến. - Mã độc trong các thiết bị di động bùng phát do xu hướng di động đã và sẽ phát triển mạnh trong tương lai. - Mã độc với những kỹ thuật được cải tiến đảm bảo sao cho chúng có thể lây nhiễm trên diện rộng đồng thời trên nhiều nền tảng khác nhau. - Mã độc được sử dụng như là một công cụ quan trọng trong chiến tranh mạng giữa các tổ chức hay các quốc gia.

5.1. Tổng Hợp Kết Quả Nghiên Cứu và Đánh Giá Hiệu Quả

Luận văn đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuật phân tích malware, đưa ra được quy trình phân tích, và xây dựng một công cụ hỗ trợ phân tích hiệu quả. Tuy nhiên, vẫn còn nhiều hạn chế và cần tiếp tục nghiên cứu để hoàn thiện hơn. Ví dụ: Khi ta phân tích một phần mềm đánh cắp tài liệu và lưu qua USB, chúng ta có thể gặp khó khăn khi xác định tính năng này trong bước phân tích tĩnh, nhưng khi phân tích động, qua việc giám sát đọc ghi file của tiến trình chúng ta sẽ xác định ngay được chức năng đánh cắp tài liệu này của Malware.

5.2. Định Hướng Nghiên Cứu Tiếp Theo và Phát Triển Ứng Dụng

Hướng nghiên cứu tiếp theo có thể tập trung vào việc phát triển các kỹ thuật phân tích malware tự động và hiệu quả hơn, cũng như nghiên cứu các phương pháp phòng ngừa và giảm thiểu thiệt hại do malware gây ra. Cần có thêm nhiều nghiên cứu hơn nữa để đối phó với sự gia tăng của các hình thức cybersecurity research, ethical hacking research,

24/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1-TỔNG QUAN VỀ MALWARE Các khái niệm và cách phân loại sau đây đều được trích dẫn theo định nghĩa đưa ra bởi Viện Tiêu chuẩn và Công nghệ quốc gia Hoa kỳ - National Institute of Standards and Technology (NIST).1 Khái niệm về Malware Mã độc hại (Malware hay Maliciuos code) là một phần mềm được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống.2 Phân loại Malware Có nhiều cách phân loại mã độc khác nhau, dựa vào các tiêu chí khác nhau. Tuy nhiên, định nghĩa đưa ra bởi NIST là cách định nghĩa phổ biến nhất trong ngành khoa học máy tính ngày nay [7].1 Virus: Là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các file, phần mềm hoặc máy tính. Như vậy, có thể suy ra virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các phần mềm diệt virus dựa vào đặc tính này để thực thi việc phòng chống/diệt virus, để quét các file trên thiết bị lưu hoặc quét các file trước khi lưu xuống ổ cứng,.

Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó được.2 Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus (như Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể được pha trộn bởi cả boot virus va file virus trong cùng một phiên bản.3 Interpreted Virus là một tổ hợp của mã nguồn mà chỉ thực thi được dưới sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống. Một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi. Macro virus, scripting virus là các virus nằm trong dạng này.

Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng TIEU LUAN MOI download : skknchat@gmail.com 10 khả năng kiểm soát việc tạo và mở file để thực thi và lây nhiễm. Chúng ta phân biệt giữa macro virus và scripting virus như sau: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lện chạy bằng một service của hệ điều hành. Melisa là một ví dụ xuất sắc về macro virus, Love Stages là ví dụ cho scripting virus.4 Worm cũng là một phần mềm có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cần phải có “file chủ” để chứa nó khi đã nhiễm vào hệ thống. Như vậy, có thể thấy rằng chỉ dùng các phần mềm quét file sẽ không diệt được worm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng.

Mục tiêu của worm bao gồm cả việc làm lãng phí nguồn lực băng thông của mạng cũng như phá hoại hệ thống (xoá file, tạo backdoor, thả keylogger,. Worm có đặc trưng là khả năng tấn công lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, sao chép file hay đóng/mở file). Nhìn chung, Worm có thể chia làm 2 loại: - Network Service Worm: Lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho loại sâu này.

- Mass Mailing Worm: Là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail. Netsky, Mydoom là ví dụ cho thể loại này.5 Trojan Horse: Là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”.

Trojan horse không tự nhân bản. Nó lây vào hệ thống với biểu hiện ban đầu rất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại. Trojan có thể lựa chọn một trong 3 phương thức để gây hại như sau: - Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một phần mềm đánh cắp password). - Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che giấu các hành động phá hoại TIEU LUAN MOI download : skknchat@gmail.

- Thực thi luôn một phần mềm gây hại bằng cách núp dưới danh một phần mềm không có hại (ví dụ như một trojan được giới thiệu như là một trò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết).6 Malicious Mobile Code: Là một dạng mã phần mềm có thể được gửi từ xa vào một hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó. Malicious Mobile Code được coi là khác với virus, worm do đặc điểm không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa. Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho Malicious mobile code.

Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụng JavaScript. Kiểu tấn công của Nimda thường được biết đến như một tấn công hỗn hợp (Blended Atatck). Cuộc tấn công bắt đầu khi người dùng mở một email độc bằng web-browser. Sau khi nhiễm vào máy, Nimda sẽ cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác.

Mặt khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển file nhiễm virus tới các máy đó. Đồng thời Nimda cố gắng dò quét để phát hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảo mật của Microsoft. Khi tìm thấy, nó sẽ copy bản thân nó vào server. Nếu một web client có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm (lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”).

Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân.7 Tracking Cookie: Là một dạng lạm dụng cookie để theo dõi hành động duyệt web của người sử dụng một cách bất hợp pháp. Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client. Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client. Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá nhân.

TIEU LUAN MOI download : skknchat@gmail.8 Attacker Tool: Là những bộ công cụ tấn công có khả năng đẩy các phần mềm độc hại vào trong hệ thống. Các bộ công cụ này giúp kẻ tấn công truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các đoạn mã độc hại, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm. Attacker tool thường gặp là backdoor và keylogger Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP.

Phần lớn các backdoor cho phép kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,. Backdoor cũng có thể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool. - Zoombie (có thể đôi lúc gọi là bot): là một phần mềm được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của Zoombie là dùng các agent để tổ chức một cuộc tấn công DDoS.

Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lệnh tấn công cùng một lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng. - Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống.

Tấn công kiểu này có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình của hệ thống. Ví dụ về công cụ RAT là: Back Orifice, SubSeven,. Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật.Một số ví dụ về keylogger: KeySnatch, Spyster, .9 Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn sự tấn công nguy hiểm.

Ví dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ rồi thay thế, sửa đổi các lời gọi hàm của hệ điều hành. Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor, cài keylogger. Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender. TIEU LUAN MOI download : skknchat@gmail.10 Web Browser Plug-in: là phương thức cài mã độc hại thực thi cùng với trình duyệt web.

Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi thông tin ra ngoài.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ