Luận văn: Hệ thống phát hiện, cảnh báo và ngăn chặn mã độc dựa trên hành vi

Luận văn thạc sĩ: Nghiên cứu xây dựng hệ thống phát hiện, cảnh báo và ngăn chặn mã độc dựa trên phân tích hành vi, nâng cao bảo mật hệ thống.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2014

79
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI MỞ ĐẦU

MỤC LỤC

Danh mục các ký hiệu và và chữ viết tắt

Danh mục các bảng

Danh mục các hình vẽ và đồ thị

1. CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC HIỆN NAY

1.1. Định nghĩa mã độc và phân loại mã độc

1.1.1. Định nghĩa mã độc (malware)

1.1.2. Phân loại mã độc

1.2. Malicious Mobile Code

1.3. Con đường lây nhiễm của mã độc

1.4. Tác hại của mã độc

1.5. Định nghĩa máy phát hiện mã độc và phân loại các phương pháp phát hiện mã độc hiện nay

1.6. Phương pháp phát hiện mã độc theo chữ ký

1.6.1. Nội dung phương pháp

1.6.2. Quy trình tạo ra chữ ký mã độc

1.6.3. Sự gia tăng cơ sở dữ liệu chữ ký mã độc

1.6.4. Ưu điểm và nhược điểm của phương pháp diệt mã độc theo chữ ký

1.7. Phương pháp phát hiện mã độc dựa vào hành vi

1.7.1. Tổng quan phương pháp phát hiện mã độc dựa vào hành vi

1.7.2. Phương pháp phát hiện dựa trên mô phỏng (Simulation-based verification)

1.7.3. Phương pháp phát hiện dựa trên kiểm tra hình thức (Formal verification)

2. CHƯƠNG 2: CÁC KỸ THUẬT VƯỢT QUA CÁC CHƯƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC HIỆN NAY

2.1. Các kỹ thuật gây rối của mã độc

2.1.1. Chèn mã không có ý nghĩa

2.1.2. Thay đổi thanh ghi sử dụng (Register Reassignment)

2.1.3. Sắp xếp lại chương trình con

2.1.4. Thay thế chỉ lệnh

2.1.5. Hoán vị mã lệnh (Code Transposition)

2.2. Kỹ thuật phát hiện môi trường ảo

2.3. Kỹ thuật phát hiện môi trường thực thi hộp cát (Sandbox)

2.4. Kỹ thuật phát hiện môi trường thực thi máy ảo

3. CHƯƠNG 3: XÂY DỰNG PHƯƠNG PHÁP PHÁT HIỆN HÀNH VI TỰ SAO CHÉP CỦA MÃ ĐỘC TRÊN HĐH WINDOWS 7

3.1. Xây dựng phương pháp phát hiện hành vi tự sao chép vào hệ thống của mã độc

3.2. Khảo sát hành vi tự sao chép của mã độc và chương trình lành tính

3.2.1. Các bước thực hiện hành vi tự sao chép của mã độc

3.3. Phương pháp phát hiện hành vi tự sao chép của mã độc

3.4. Chương trình thử nghiệm và kết quả thực nghiệm

3.4.1. Mô hình chương trình mô phỏng

3.4.2. Kết quả thực nghiệm

TÀI LIỆU THAM KHẢO

DANH MỤC CÁC KÝ HIỆU VÀ CÁC CHỮ VIẾT TẮT

DANH MỤC CÁC BẢNG

DANH MỤC HÌNH VẼ VÀ ĐỒ THỊ

Tóm tắt

I. Tổng Quan Mã Độc Luận văn Thạc sĩ Phương pháp Phát Hiện

Trong bối cảnh công nghệ thông tin bùng nổ, an ninh mạng trở thành mối quan tâm hàng đầu. Mã độc (malware), với khả năng đánh cắp dữ liệu, can thiệp hệ thống, gây ra những thiệt hại nghiêm trọng. Luận văn này tổng quan về mã độc và các phương pháp phát hiện hiện nay, đánh giá hành vi tự sao chép trên Windows 7, xây dựng phương pháp phát hiện hành vi này và chương trình mô phỏng. Thử nghiệm cho thấy phương pháp này có thể phát hiện mã độc có hành vi sao chép, kể cả mã độc mớimã độc đã bị gây rối. Hiện nay có nhiều định nghĩa khác nhau về mã độc, nhưng đều có ý nghĩa chung là: Mã độc là “một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống”. Định nghĩa này xác định không chỉ những thể loại mà thường được nói đến nhiều như: virus, worm, Trojan, spyware …là mã độc, mà cả những công cụ dùng để tấn công hệ thống cũng đều là mã độc như: backdoor, rootkit, keylogger … Mã độc được phân thành các loại như sau: 1. Virus: Virus là một loại mã độc hại mà có khả năng tự nhận bản và lây nhiễm chính nó vào các tập tin trên máy tính. Như vậy, virus không tồn tại độc lập thành một tập tin mà luôn bám vào một tập tin khác để thực thi và lây lan. Worm: Worm là mã độc có hành vi giống virus là có thể tự nhân bản và tự lây nhiễm trong hệ thống, tuy nhiên khác với virus, worm có thể tồn tại độc lập thành một tập tin trước khi lây nhiễm vào hệ thống. Tùy theo phương thức lây nhiễm vào hệ thống mà có thể phân loại worm: Network Service Worm: là loại worm sử dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng để lây nhiễm vào hệ thống. Mass Mailing Worm: là loại worm sử dụng phương thức lây lan qua email. Khi worm lây nhiễm vào hệ thống thì nó tìm trong danh sách địa chỉ mail và gửi mail đến các địa chỉ đó để tiếp tục quá trình lây nhiễm. Với phương thức lây nhiễm này, worm có thể lây lan rất nhanh trên hệ thống mạng. Trojan Horse: Trojan horse là loại mã độc được đặt theo câu chuyện “Ngựa thành Troa”. Trojan horse không có hành vi tự nhân bản mà nó xuất hiện trong hệ thống như một chương trình lành tính, qua đó có thể đánh lừa được người sử dụng. Tuy nhiên Trojan horse có những hành vi gây hại ngầm mà người dùng không dễ dàng nhận biết được.

1.1. Các loại mã độc phổ biến Virus Worm Trojan Horse

Mã độc tồn tại dưới nhiều hình thức, mỗi loại có đặc điểm và cách thức lây lan riêng. Virus bám vào tập tin, Worm tự lây lan qua mạng, Trojan Horse ẩn mình như phần mềm lành tính. Việc phân loại giúp xác định phương pháp phòng chống phù hợp. Malicious Mobile Code là một dạng mã phần mềm có thể được gửi từ xa vào để chạy trên một hệ thống mà không cần đến lời gọi thực hiện của người dùng trên hệ thống đó. Cách tốt nhất để chống lại malicious mobile code là luôn cập nhật hệ thống và tất cả các chương trình phụ. Spyware là phần mềm được cài đặt trên hệ thống nhằm mục đích thu thập thông tin trên hệ thống đó và truyền đến địa chỉ của kẻ tấn công. Các thông tin quan trọng mà spyware thu thập có thể là: tài khoản và mật khẩu của người sử dụng, địa chỉ email, tài khoản ngân hàng… Logic Bomb là phần mềm cài đặt trên hệ thống và chỉ thực hiện hành vi gây hại khi có những điều kiện nhất định đáp ứng. Chẳng hạn như: logic bomb thực hiện xóa mọi dữ liệu trên hệ thống vào một thời điểm đã được cài đặt nhất định. Cấu trúc logic bomb thường được phân làm hai phần: Payload: là đoạn mã thực hiện các hành vi gây hại. Trigger: là đoạn mã kiểm tra những điều kiện nhất định, nếu điều kiện này đúng thì sẽ kích hoạt đoạn mã payload. Logic Bomb là một loại mã độc rất nguy hiểm vì nó không thể hiện hành vi gây hại ngay khi thâm nhập vào hệ thống. Vì vậy, người dùng thường không nhận ra khi Logic Bomb đã thâm nhập thành công vào hệ thống.

1.2. Con đường lây nhiễm mã độc USB Mạng Email

Mã độc có thể lây nhiễm qua nhiều con đường khác nhau, từ thiết bị ngoại vi (USB) đến kết nối mạng và email. Hiểu rõ các con đường này giúp người dùng nâng cao cảnh giác và thực hiện các biện pháp phòng ngừa. Mã độc có nhiều con đường lây nhiễm khác nhau và có thể phát tán rất nhanh. Sau đây là một số con đường chủ yếu mà hệ thống bình thường có thể bị lây nhiễm mã độc. Lây nhiễm qua thiết bị ngoại vi: Malware phát tán qua SB và các thiết bị lưu trữ ngoài theo một số cơ chế sau: - Cơ chế Autorun (tự chạy) : Cơ chế này chỉ xuất hiện với những loại mã độc trên hệ điều hành Windows XP trở về trước. Với cách phát tán này mã độc sẽ tạo ra một tập tin với tên là “autorun. Bên trong tập tin “autorun.inf” sẽ có một đường dẫn đến mã độc thực sự. Khi người sử dụng kết nối thiết bị lưu trữ ngoài với máy tính, mã độc lợi dụng thói quen sơ hở của người sử dụng để xâm nhập. Mã độc sau khi được thực thi tiến hành các hành vi gây hại và tiến hành phát tán bằng nhiều đường, lây lan ra toàn máy tính này cũng như các máy tính liên kết trong mạng. - Cơ chế giả biểu tượng: Mã độc máy tính muốn hoạt động được đòi hỏi phải có sự tương thích với môi trường hệ điều hành và những điều kiện cụ thể (trong trường hợp trên thì cơ chế Autorun đã thực thi mã độc). Còn trường hợp phổ biến thứ hai, một mã độc giả dạng làm một thư mục hay tập tin quen thuộc. Bằng cách này mã độc có thể đánh lừa người sử dụng và chờ đợi người sử dụng vô tình kích hoạt mã độc.

II. Thách Thức Phát Hiện Mã Độc Kỹ Thuật Trốn Tránh Tiên Tiến

Các phương pháp phát hiện mã độc truyền thống gặp nhiều khó khăn trước các kỹ thuật trốn tránh ngày càng tinh vi. Mã độc sử dụng các kỹ thuật như chèn mã vô nghĩa, mã hóa, đóng gói để che giấu bản chất thực sự, gây khó khăn cho việc phân tích và phát hiện. Hiểu rõ các kỹ thuật này giúp phát triển các biện pháp đối phó hiệu quả hơn. Do tính nguy hại của mã độc mà phát hiện và diệt mã độc luôn là một bài toán quan trọng hiện nay. Hiện nay có hai nhóm phương pháp chính được sử dụng để phát hiện mã độc là: Phương pháp phát hiện mã độc theo chữ ký (Signature Based Techniques). Phương pháp phát hiện mã độc theo hành vi (Behavior Based Techniques). Trong từng phương phát có những cách tiếp cận và phương pháp cụ thể khác nhau. Phương pháp diệt mã độc theo chữ ký xác định một chương trình thực thi là mã độc khi nội dung tập tin thập thi đó có chứa đoạn mã đã được xác định trước gọi là chữ ký. Đây là phương pháp ra đời đầu tiên và được sử dụng rộng rãi nhất hiện nay. Chữ ký mã độc thường là một chuỗi byte trong mã phần mềm độc hại. Chuỗi byte này đặc trưng cho một mã độc cụ thể mà không có ở trong các chương trình khác. Ví dụ chuỗi byte dùng để nhận diện mã độc “W32/Beast” là: 83EB 0274 1683 EBOE 740A 81EB 0301 0000 Thông thường một chuỗi byte dùng để xác định một mã độc 16bit là 16byte. Đối với mã độc khác thì con số này cao hơn, tùy thuộc vào chương trình diệt mã độc cụ thể.

2.1. Kỹ thuật gây rối mã độc Chèn mã vô nghĩa Thay đổi thanh ghi

Chèn mã vô nghĩa làm thay đổi chữ ký của mã độc mà không ảnh hưởng đến chức năng. Thay đổi thanh ghi sử dụng cũng gây khó khăn cho việc nhận diện. Do đó phương pháp dò quét theo chữ ký sẽ không thể phát hiện ra được biến thể mới của mã độc. Điều này cũng làm cho các chuyên gia phân tích cũng khó khăn hơn rất nhiều để phân tích hành vi của mã độc, vì trước khi tiến hành phân tích thì cần phải giải mã hoặc giải nén được thân chương trình của mã độc. Một trong những loại mã độc đầu tiên sử dụng kỹ thuật mã hóa là mã độc “Cascade” trên hệ điều hành DOS trước đây. Cấu trúc chung của mã độc được nén hoặc mã hóa bao gồm hai phần là: phần thân được nén hoặc mã hóa và phần chương trình dùng để giải nén hoặc giải mã.

2.2. Mã hóa và Đóng gói Che giấu mã độc khỏi phần mềm diệt virus

Mã hóa và đóng gói là các kỹ thuật phổ biến để che giấu mã độc khỏi các phần mềm diệt virus. Bằng cách nén hoặc mã hóa mã độc, các phần mềm diệt virus sẽ gặp khó khăn trong việc phát hiện và loại bỏ chúng. Theo [12], hơn 80% các loại mã độc xuất hiện sử dụng các kỹ thuật đóng gói. Hơn nữa, có nhiều thông tin khẳng định có hơn 50% mã độc mới chỉ đơn giản là đóng gói lại các biến thể mã độc cũ.

III. Phương Pháp Phát Hiện Mã Độc Dựa Trên Hành Vi Tổng Quan

Phương pháp phát hiện mã độc dựa trên hành vi tập trung vào việc xác định các hành động độc hại thay vì chỉ dựa vào chữ ký. Phương pháp này có khả năng phát hiện mã độc mới và các biến thể, khắc phục nhược điểm của phương pháp dựa trên chữ ký. Cần có một phương pháp mới ra đời để khắc phục những nhược điểm của phương pháp phát hiện mã độc dựa trên chữ ký. Phương pháp phát hiện mã độc dựa vào hành vi đã được phát triển để đáp ứng những nhu cầu đó. Một điều có thể nhận thấy là các loại mã độc tuy có hình thức khác nhau nhưng lại có những hành vi gây hại giống nhau. Phương pháp phát hiện mã độc dựa vào hành vi sẽ xây dựng những “chữ ký hành vi” để phát hiện những hành vi gây hại. Do đó, một “chữ ký hành vi” không chỉ phát hiện được một mã độc mà còn có thể phát hiện được nhiều biến thể của nó và nhiều loại mã độc có chung hành vi gây hại. Phương pháp này rõ ràng là linh hoạt hơn phương pháp phát hiện mã độc dựa vào chữ ký. Trong những năm gần đây, phương pháp này là trọng tâm nghiên cứu trong lĩnh vực phát hiện mã độc.

3.1. Giám sát động và Phân tích hành vi Nền tảng của phương pháp

Phương pháp này bao gồm việc giám sát các hoạt động của chương trình trong môi trường được kiểm soát và phân tích hành vi của nó để xác định xem có bất kỳ hoạt động độc hại nào không. Thu thập được hành vi của mã độc là bước đầu tiên và cũng là bước rất quan trọng để kiểm tra xem một chương trình đó có phải là mã độc được hay không. Để làm được điều này, mã độc đó sẽ được thực thi trên một môi trường mô phỏng. Bằng cách áp dụng những kỹ thuật giám sát trên môi trường mô phỏng có thể thu thập được những thông tin về hành vi của mã độc đó. Trên các hệ điều hành cũ, kỹ thuật được sử dụng là đánh chặn các nguồn thông tin đầu tiên về những tài nguyên được sử dụng bởi một chương trình. Trên hệ điều hành 32 bit và 64 bit, kỹ thuật khác được sử dụng là đánh chặn các cuộc gọi hàm hệ thống API. Để có thể thực hiện được một nhiệm vụ, bắt buộc các chương trình phải sử dụng các cuộc gọi hệ thống vì nếu không sử dụng thì hầu như chương trình đó không làm được gì.

3.2. Hệ chuyên gia và Thuật toán Heuristic Xác định mã độc dựa trên hành vi

Hệ chuyên gia sử dụng các quy tắc được xây dựng từ kinh nghiệm của chuyên gia để xác định hành vi độc hại. Thuật toán Heuristic xem xét nhiều hành vi cùng lúc để đưa ra quyết định chính xác hơn. Sử dụng hệ chuyên gia là phương pháp đơn giản nhất và dễ thực hiện nhất. Hệ chuyên gia là một hệ thống hoạt động dựa trên một bộ luật được xây dựng từ việc mô hình hóa các kinh nghiệm và kiến thức chuyên môn của các nhà phân tích mã độc[15]. Ưu điểm của hệ thống này là dễ thực hiện và thực hiện nhanh. Tuy nhiên, nhược điểm của hệ thống này là tỷ lệ dương tính giả cao. Vì các luật chỉ dựa vào một số ít thông tin để quyết định do vậy dễ bị nhầm lẫn giữa chương trình lành tính và mã độc. Hệ thống heuristic phát hiện mã độc dựa vào nhiều hành vi được thu thập từ một chương trình bị giám sát. Khác với hệ chuyên gia chỉ xem xét các hành vi một cách riêng biệt. Nhờ vậy, hệ thống này có thể phát hiện được mã độc với độ chính xác cao hơn hệ chuyên gia.

IV. Ứng Dụng Phát Hiện Hành Vi Sao Chép Mã Độc Trên Windows 7

Luận văn này xây dựng phương pháp phát hiện hành vi tự sao chép của mã độc trên Windows 7. Phương pháp này dựa trên việc khảo sát hành vi của cả chương trình lành tính và mã độc, từ đó xây dựng mô hình phát hiện và cảnh báo. Tác giả đánh giá, khảo sát hành vi tự sao chép trên các chương trình lành tính và các loại mã độc trên hệ điều hành Windows 7. Tác giả xây dựng phương pháp phát hiện hành vi tự sao chép của mã độc và xây dựng chương trình mô phỏng phát hiện, cảnh báo và ngăn chặn mã độc dựa trên việc phát hiện hành vi tự sao chép của mã độc. Qua thử nghiệm cho thấy, phương pháp này phát hiện được phần lớn những loại mã độc có hành vi sao chép và có thể phát hiện được những loại mã độc mới, những loại mã độc đã được gây rối. Bố cục của luận văn tuân theo mẫu của trường Đại học Công Nghệ - ĐHQGHN; Luận văn gồm 3 chương chính, ngoài ra còn có các phần mở đầu, kết luận và tài liệu tham khảo. Phần kết luận nêu tóm tắt các vấn đề đã trình bày trong các chương, đánh giá các kết quả đã đạt được.

4.1. Khảo sát Hành vi Sao chép Chương trình Lành tính vs Mã độc

Nghiên cứu so sánh hành vi tự sao chép của chương trình lành tính và mã độc để xác định các đặc điểm phân biệt. Từ đó có thể xây dựng các thuật toán phát hiện hiệu quả hơn. Các bước thực hiện hành vi tự sao chép của mã độc . Phương pháp phát hiện hành vi tự sao chép của mã độc . Chương trình thử nghiệm và kết quả thực nghiệm. Mô hình chương trình mô phỏng. Kết quả thực nghiệm .

4.2. Xây dựng Chương trình Mô phỏng Phát hiện và Cảnh báo Mã độc

Chương trình mô phỏng được xây dựng để phát hiện, cảnh báo và ngăn chặn mã độc dựa trên hành vi tự sao chép. Thử nghiệm cho thấy chương trình có khả năng phát hiện mã độc mớimã độc đã bị gây rối. Chương trình thử nghiệm và kết quả thực nghiệm. Mô hình chương trình mô phỏng. Kết quả thực nghiệm .

V. Kết Quả và Thảo Luận Ưu điểm và Hạn chế của phương pháp

Phương pháp phát hiện hành vi tự sao chép cho thấy nhiều hứa hẹn trong việc chống lại mã độc. Tuy nhiên, vẫn còn những hạn chế cần được giải quyết trong tương lai. Do đó tác giả xin chân thành cảm ơn PGS.TS Nguyễn Văn Tam, thầy đã gợi ý về đề tài, hướng dẫn, chỉ bảo tận tình và cung cấp nhiều tài liệu quý liên quan trong quá trình tác giả thực hiện luận văn này. Tác giả cũng chân thành cảm ơn các Thầy, Cô đã dạy, giúp đỡ và truyền cảm hứng học tập, nghiên cứu trong suốt quá trình học tập tại Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội. Xin trân trọng cảm ơn.

5.1. Phát hiện Mã độc Mới và Mã độc đã gây rối Ưu điểm vượt trội

Phương pháp này có khả năng phát hiện mã độc mớimã độc đã bị gây rối, vượt trội so với các phương pháp dựa trên chữ ký truyền thống. Hi vọng có thể áp dụng rộng rãi để đối phó với các mối đe dọa an ninh mạng ngày càng phức tạp.

5.2. Tương lai của Nghiên cứu Hướng phát triển và cải tiến

Nghiên cứu có thể được phát triển theo hướng kết hợp nhiều hành vi khác nhau để tăng độ chính xác và khả năng phát hiện mã độc một cách toàn diện hơn. Cần có các nghiên cứu sâu hơn để cải tiến và hoàn thiện hơn nữa.

24/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC HIỆN NAY 1. Định nghĩa mã độc và phân loại mã độc 1. Định nghĩa mã độc (malware). Hiện nay có nhiều định nghĩa khác nhau về mã độc, nhưng đều có ý nghĩa chung là: Mã độc là “một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống”.

Định nghĩa này xác định không chỉ những thể loại mà thường được nói đến nhiều như: virus, worm, Trojan, spyware …là mã độc, mà cả những công cụ dùng để tấn công hệ thống cũng đều là mã độc như: backdoor, rootkit, keylogger … 1. Phân loại mã độc Mã độc được phân thành các loại như sau: 1. Virus Virus là một loại mã độc hại mà có khả năng tự nhận bản và lây nhiễm chính nó vào các tập tin trên máy tính. Như vậy, virus không tồn tại độc lập thành một tập tin mà luôn bám vào một tập tin khác để thực thi và lây lan.

Worm Worm là mã độc có hành vi giống virus là có thể tự nhân bản và tự lây nhiễm trong hệ thống, tuy nhiên khác với virus, worm có thể tồn tại độc lập thành một tập tin trước khi lây nhiễm vào hệ thống. Tùy theo phương thức lây nhiễm vào hệ thống mà có thể phân loại worm: - Network Service Worm: là loại worm sử dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng để lây nhiễm vào hệ thống. - Mass Mailing Worm: là loại worm sử dụng phương thức lây lan qua email. Khi worm lây nhiễm vào hệ thống thì nó tìm trong danh sách địa chỉ mail và gửi mail đến các địa chỉ đó để tiếp tục quá trình lây nhiễm.

Với phương thức lây nhiễm này, worm có thể lây lan rất nhanh trên hệ thống mạng. TIEU LUAN MOI download : skknchat@gmail. Trojan Horse Trojan horse là loại mã độc được đặt theo câu chuyện “Ngựa thành Troa”. Trojan horse không có hành vi tự nhân bản mà nó xuất hiện trong hệ thống như một chương trình lành tính, qua đó có thể đánh lừa được người sử dụng.

Tuy nhiên Trojan horse có những hành vi gây hại ngầm mà người dùng không dễ dàng nhận biết được. Malicious Mobile Code Malicious mobile code là một dạng mã phần mềm có thể được gửi từ xa vào để chạy trên một hệ thống mà không cần đến lời gọi thực hiện của người dùng trên hệ thống đó. Cách tốt nhất để chống lại malicious mobile code là luôn cập nhật hệ thống và tất cả các chương trình phụ. Spyware Spyware là phần mềm được cài đặt trên hệ thống nhằm mục đích thu thập thông tin trên hệ thống đó và truyền đến địa chỉ của kẻ tấn công.

Các thông tin quan trọng mà spyware thu thập có thể là: tài khoản và mật khẩu của người sử dụng, địa chỉ email, tài khoản ngân hàng… 1. Logic Bomb Là phần mềm cài đặt trên hệ thống và chỉ thực hiện hành vi gây hại khi có những điều kiện nhất định đáp ứng. Chẳng hạn như: logic bomb thực hiện xóa mọi dữ liệu trên hệ thống vào một thời điểm đã được cài đặt nhất định. Cấu trúc logic bomb thường được phân làm hai phần: - Payload: là đoạn mã thực hiện các hành vi gây hại.

- Trigger: là đoạn mã kiểm tra những điều kiện nhất định, nếu điều kiện này đúng thì sẽ kích hoạt đoạn mã payload. Logic Bomb là một loại mã độc rất nguy hiểm vì nó không thể hiện hành vi gây hại ngay khi thâm nhập vào hệ thống. Vì vậy, người dùng thường không nhận ra khi Logic Bomb đã thâm nhập thành công vào hệ thống. Tracking Cookie Tracking Cookie là sử dụng cookie để theo dõi một số hành động duyệt web của người sử dụng một cách bất hợp pháp.

Cookie là một tập tin dữ liệu TIEU LUAN MOI download : skknchat@gmail.com 13 dùng để lưu dữ thông tin về việc sử dụng một trang web nào đó. Tuy nhiên tính năng này bị lạm dụng để theo dõi và thu thập thông tin về người dùng. Attacker Tool Attacker Tool là những bộ công cụ tấn công được sử dụng để đẩy bí mật các phần mềm độc hại vào hệ thống mà không được phép của người dùng. Attacker Tool được chia thành nhiều loại khác nhau: - Backdoor: là công cụ được cài đặt trên hệ thống sau khi bị xâm nhập bất hợp pháp nhằm giúp kẻ tấn công quay lại xâm nhập vào hệ thống mà không cần phải qua các kiểm soát an ninh trên hệ thống.

- Zoombie: là công cụ được cài đặt trên hệ thống sau khi bị xâm nhập bất hợp pháp và chờ đợi lệnh từ kẻ tấn công. Các nhiệm vụ phổ biến nhất cho zombie là gửi thư rác và thực hiện tấn công từ chối dịch vụ quy mô lớn. - Keylogger: là công cụ được cài đặt trên hệ thống nhằm thu thập các thông tin sự kiện gõ bàn phím của người sử dụng. Rootkits Rootkit thường được hiểu là một là công cụ được cài đặt trên hệ thống nhằm thay đổi các hoạt động bình thường của hệ thống nhằm mục đích nhất định.

Chẳng hạn như thay đổi hoạt động của các hàm hệ thống (API), sửa đổi tập tin hệ thống. Rootkit thường được sử dụng để ẩn dấu các hành vi của các mã độc khác như backdoor, keylogger…và làm cho người sử dụng không dễ dàng nhận biết được sự tồn tại của các phần mềm độc hại này trên hệ thống. Rootkit được phân làm những loại sau đây: - Rootkit tần ứng dụng (Application layer rootkit) Rootkit tầng ứng dụng là rootkit hoạt động ở tầng cao của hệ điều hành (tầng ứng dụng). Mục tiêu của loại rootkit này có thể là các tập tin, registry, hoặc là các ứng dụng cụ thể trên hệ thống.

Hành động phổ biến mà loại rootkit này thường hay thực hiện là xóa các tập tin nhật ký hệ thống và ẩn các tập tin mà người dùng không dễ dàng phát hiện ra. Tuy nhiên, nhược điểm của loại rootkit này là dễ bị phát hiện bằng các kỹ thuật tìm kiếm thông tin ở tầng dưới của hệ thống. TIEU LUAN MOI download : skknchat@gmail.com 14 - Rootkit tầng thư viện (Library layer rootkit) Là loại rootkit can thiệp trực tiếp vào các thư viện trong hệ thống. Chẳng hạn như các hàm được sử dụng trong các tập tin thư viện liên kết động (Dynamic Link Library - DLL) trong hệ thống.

Loại rootkit này can thiệp và làm thay đổi giá trị trả về của các hàm trong thư viện. Qua đó, rootkit có thể ẩn các tập tin mã độc để người dùng không nhận ra sự xuất hiện của mã độc trong hệ thống. Loại rootkit này cũng có thể phát hiện được bằng cách thực thi các ứng dụng từ các thiết bị lưu trữ ngoài mã không sử dụng các thư viện đã bị sửa đổi. Qua đó có thể phát hiện sự tồn tại của rootkit trong hệ thống.

- Rootkit tầng nhân hệ thống (Kernel-layer rootkit) Đây là loại rootkit có hành vi can thiệp trực tiếp vào nhân của hệ điều hành. Loại rootkit này làm thay đổi các cấu trúc trong hệ thống hoặc làm thay đổi giá trị trả về của các hàm trong nhân của hệ điều hành. Qua đó, rootkit có thể ẩn các tập tin độc hại hoặc ẩn sự hoạt động trong hệ thống… Loại rootkit này khó phát hiện hơn rất nhiều so với hai loại rootkit trên. - Rootkit tầng phần cứng (Hardware-layer rootkit) Đây là loại rootkit khó phát hiện nhất.

Loại rootkit này được cài đặt trong phần cứng của các thiết bị để thu thập thông tin hoặc thực hiện nhiều hành vi độc hại khác. Loại rootkit này không thể phát hiện được bằng các chương trình phần mềm bình thường mà phải sử dụng rất nhiều các công cụ khác nhau để có thể phát hiện. Con đường lây nhiễm của mã độc Mã độc có nhiều con đường lây nhiễm khác nhau và có thể phát tán rất nhanh. Sau đây là một số con đường chủ yếu mà hệ thống bình thường có thể bị lây nhiễm mã độc.

Lây nhiễm qua thiết bị ngoại vi Malware phát tán qua SB và các thiết bị lưu trữ ngoài theo một số cơ chế sau: - Cơ chế Autorun (tự chạy) : Cơ chế này chỉ xuất hiện với những loại mã độc trên hệ điều hành Windows XP trở về trước. Với cách phát tán này mã độc sẽ tạo ra một tập tin TIEU LUAN MOI download : skknchat@gmail.com 15 với tên là “autorun. Bên trong tập tin “autorun.inf” sẽ có một đường dẫn đến mã độc thực sự. Khi người sử dụng kết nối thiết bị lưu trữ ngoài với máy tính, mã độc lợi dụng thói quen sơ hở của người sử dụng để xâm nhập.

Mã độc sau khi được thực thi tiến hành các hành vi gây hại và tiến hành phát tán bằng nhiều đường, lây lan ra toàn máy tính này cũng như các máy tính liên kết trong mạng. - Cơ chế giả biểu tượng Mã độc máy tính muốn hoạt động được đòi hỏi phải có sự tương thích với môi trường hệ điều hành và những điều kiện cụ thể (trong trường hợp trên thì cơ chế Autorun đã thực thi mã độc). Còn trường hợp phổ biến thứ hai, một mã độc giả dạng làm một thư mục hay tập tin quen thuộc. Bằng cách này mã độc có thể đánh lừa người sử dụng và chờ đợi người sử dụng vô tình kích hoạt mã độc.

Lây nhiễm từ kết nối mạng Do nhu cầu công việc mà các máy tính hiện nay đều kết nối với nhau thông qua một hệ thống mạng và đây cũng là con đường mà mã độc tiến hành phát tán và lây nhiễm từ hệ thống này sang hệ thống khác. Thông thường mã độc sẽ tiến hành tấn công từ bên ngoài qua các lỗ hổng bảo mật để tiến hành lây nhiễm. Chẳng hạn như mã độc “Conficker” lợi dụng lỗ hổng “MS-08-067” để tiến hành lây nhiễm từ hệ thống này sang hệ thống khác, nếu các hệ thống không cập nhật bản vá cho lỗ hổng này. Ngoài ra, với sự phát triển rộng rãi của mạng Internet trên thế giới hiện nay mà các phương thức lây nhiễm các loại mã độc qua Internet trở thành phương thức chính của mã độc ngày nay.

Lây nhiễm qua thư điện tử Đây là một con đường lây nhiễm rất phổ biến của mã độc. Phương thức này đã xuất hiện từ lâu nhưng hiện nay vẫn là một phương thức lây nhiễm của mã độc. Khi đã lây nhiễm vào máy nạn nhân, mã độc có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt cho những địa chỉ tìm thấy.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ