1. Malware or virus? (định nghĩa lại phần mềm độc hại cho Việt Nam)
2. Phân loại Malware:
Worm có khả năng tạo ra 1 bản sao của chính nó và thực thi chính nó mà không cần người dùng phải tác động.
Chính điều này, mà attackers (những kẻ tấn công) ngày càng khoái worm hơn là virus, bởi vì một con sâu có khả năng lây nhiễm sang nhiều hệ thống hơn trong một khoảng thời gian ngắn hơn so với một thể virus.
Sâu tận dụng lợi thế của những lỗ hổng bảo mật (vulnerabilities) và những điểm yếu chết người về thiết đặt (configuration) để thâm nhập, chẳng hạn như thu thập những điểm yếu về bảo mật (unsecured) của Windows OS.
Trước đây, Worm được sinh ra chỉ để phá hoại hệ thống và làm lãng phí tài nguyên mạng, như những gì đã viết trong mục 1 của bài Lịch sử Virus. Ngày nay, loại worm này ngày càng ít đi (vẫn còn, do có nhiều tay script kiddies muốn 'thử tay nghề'), mà mục tiêu chủ yếu của worm ngày nay là tấn công phân tán từ chối dịch vụ (DDoS - Distributed Denial os Service) nhằm vào máy chủ khác, cài đặt backdoor (mở 'cửa sau' cho attacker, sẽ được thảo luận kỹ hơn tại mục 2.7.1 của bài này), hay thực hiện các hành vi nguy hiểm khác.
Sâu có 02 thể loại chính: Sâu dịch vụ mạng và sâu gửi thư hàng loạt:
Và bởi vì do chúng tự thực thi mà không cần tác động của user, nên thông thường, thể loại sâu này lây lan với tốc độ chóng mặt (nhanh hơn nhiều so với virus hay các thể loại malware khác).
Do sự lây nhiễm nhanh chóng, network service worm thường được attackers dùng để áp đảo, gây tê liệt mạng và các hệ thống an ninh (như cảm biến phát hiện sự thâm nhập mạng) cũng như các hệ thống đã bị nhiễm bệnh.
Ví dụ kinh điển cho network service worms là Sasser và Witty.
Một khi sâu thể loại này đã nhiễm vào hệ thống, chúng thường tìm kiếm trong hệ thống đó các địa chỉ email, sau đó tự động gửi bản sao của chính nó tới những địa chỉ email đó, sử dụng email client của hệ thống, hoặc một hệ thống tự gửi mail của chính nó (đã được built-in trong sâu).
Sâu thể loại này thường gửi thư (thường kèm theo cả bản sao chính nó) đến nhiều địa chỉ cùng 1 lúc. Bởi vậy, bên cạnh việc làm quá tải các máy chủ email và mạng lưới với 1 khối lượng lớn "bomb mail", sâu loại này thường gây ra vấn đề nghiêm trọng về hiệu suất cho hệ thống bị nhiễm bệnh.
Hiện nay, loại sâu này vẫn khả dụng để phát tán thư rác (thường là thư quảng cáo) bên cạnh những hiểm họa như đã nói ở mục chính 2.2.
Ví dụ điển hình cho mass mailing worms là Beagle, Mydoom và Netsky.
Được đặt theo con ngựa gỗ từ thần thoại Hy Lạp (con ngựa gỗ thành Tơ-roa <Troy>), Trojan hoạt động hơi khác so với các loại malware khác: Nó không có khả năng tự nhân bản, và lây nhiễm vào hệ thống với 1 biểu hiện ôn hòa.
Tuy nhiên, ẩn dưới lớp vỏ ôn hòa đó lại là các đoạn mã độc hại, "nằm vùng" chờ thời cơ, y hệt như những người lính nấp trong con ngựa gỗ thần thoại vậy.
Trojan thường có 3 phương thức gây hại phổ biến:
Trojan khó bị phát hiện, bởi lẽ (theo 2 phương thức gây hại đầu) chương trình bị lây nhiễm vẫn gần như hoạt động một cách bình thường không có gì khả nghi; hơn nữa, các trojan hiện nay cũng áp những thủ thuật ẩn thân như virus.
Việc sử dụng trojan để phát tán những chương trình gián điệp (spyware) ngày càng trở nên phổ biến: Ví dụ như khi bạn download các chương trình từ những nguồn chia sẻ không an toàn, hoặc là các giao thức chia sẻ ngang hàng (p2p, như Torrent chẳng hạn), sau khi bạn cài đặt những chương trình unsafe đó, spyware sẽ ngấm ngầm cài đặt cùng và bắt đầu thực thi nhiệm vụ gián điệp của mình trên máy victim.
Trojan cũng thường cung cấp các công cụ tấn công vào hệ thống (attacker tools), với khả năng cung cấp cho attacker sự truy cập trái phép, hoặc cho phép attacker sử dụng trái phép hệ thống của victim. Những công cụ này có thể đã được built-in luôn vào con trojan, hoặc là được âm thầm tải về sau khi trojan đã thâm nhập thành công. Mục 2.7 trong bài này sẽ nói về khoản này rõ hơn.
Những trojans nổi tiếng là SubSeven,Back Orifice, and Optix Pro.
Mobile code là tên gọi chung cho những cách thức dùng để truyền tải (dữ liệu) từ hệ thống điều khiển từ xa (remote system -ví dụ server) để thực thi trên hệ thống cục bộ (local system - ví dụ client) mà đôi lúc không có sự hướng dẫn rõ ràng cho người dùng.
Trình duyệt web (web browser) hay email client là 2 ví dụ hoàn hảo cho Mobile Code: Ví dụ: Khi bạn bật web browser và gõ vào http://gvehacker.blogspot.com, thì dịch vụ Blogger của Google sẽ truyền tải đến web browser của bạn trang Web của GVEhacker: Dữ liệu của GVEhacker đã nằm trên web browser của máy bạn.
Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa.
Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code.
Trò dụ mọi người cài ICONS trên facebook, làm loạn facebook trong thời gian vừa rồi, cũng chính là khai thác tính năng cho phép thực thi *.js (JavaScript) từ web browser của người dùng, sau khi những người dùng này vô tư ấn "install".
Một trong những ví dụ nổi tiếng của kiểu tấn công MMC là Nimda, sử dụng JavaScript. Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn hợp (Blended Attacks), mà sẽ được phân tích cụ thể trong mục 2.5 dưới đây.
Ngoài việc sử dụng các phương thức nêu trên, các cuộc tấn công hỗn hợp cũng lợi dụng thêm các dịch vụ khác như IM (Instant Messaging) hay chia sẻ ngang hàng p2p (peer-to-peer) để lây nhiễm.
Qua phân tích trên, ta thấy rằng Nimda không hẳn chỉ là Worm, mà Nimda = worm + virus + MMC.
Ngày nay, blended attacks ngày càng sử dụng nhiều thủ thuật tinh vi và những pha trộn phức tạp khác. Dựa vào độ mạnh của mã độc về mặt nào, người ta sẽ tạm xếp mã độc về mặt đó (như trường hợp của Nimda, được phân loại cho worm).
Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client. Có 2 loại cookies:
Thật không may, dạng persistent cookies cũng có thể bị lạm dụng như phần mềm gián điệp (spyware) để theo dõi và thu thập thông tin riêng tư về hành vi duyệt web của cá nhân, bởi 2 nguyên nhân: Do cookie không cần sự đồng ý của người dùng, mà web-browser vẫn tự tạo; nguyên nhân thứ 2 là do sự thiếu hiểu biết của user về mảng này.
2. Phân loại Malware:
2.1. Virus:
2.1.1. Compiled Virus: Multipartite virus = file infector virus + boot sector virus.
2.1.2. Interpreted Virus: Macro and Scripting Virus
2.1.3. Các kỹ thuật ẩn thân của virus (Virus Obfuscation Techniques):
Self-Encryption and Self-Decryption; Polymorphism; Metamorphism; Stealth; Armoring; Tunneling
2.2. Worm (sâu): Ở phần 1 chưa viết. */
2.2. Worm (Sâu):
 |
| Computer worm - ảnh minh họa: 123RF |
Worm cũng là một chương trình có khả năng tự sao chép và tự lây nhiễm trong hệ thống tuy nhiên bản thân của sâu đã là 1 chương trình hoàn chỉnh (self-contained), không giống như virus cần sống bám vào 'cơ thể vật chủ' (là các file bị nhiễm) mới có khả năng lây nhiễm cho hệ thống.
Worm cũng có khả năng tự nhân bản (self-propagating), tuy nhiên về mặt này, worm mạnh hơn so với virus: Virus cần 1 thao tác của người sử dụng để có thể tự sao chép và lây nhiễm (ví dụ: Mở file, hay khởi động máy với 1 thiết bị đã bị nhiễm boot sector virus...), nhưng worm thì không cần:Worm có khả năng tạo ra 1 bản sao của chính nó và thực thi chính nó mà không cần người dùng phải tác động.
Chính điều này, mà attackers (những kẻ tấn công) ngày càng khoái worm hơn là virus, bởi vì một con sâu có khả năng lây nhiễm sang nhiều hệ thống hơn trong một khoảng thời gian ngắn hơn so với một thể virus.
Sâu tận dụng lợi thế của những lỗ hổng bảo mật (vulnerabilities) và những điểm yếu chết người về thiết đặt (configuration) để thâm nhập, chẳng hạn như thu thập những điểm yếu về bảo mật (unsecured) của Windows OS.
 |
| Confliker worm |
Trước đây, Worm được sinh ra chỉ để phá hoại hệ thống và làm lãng phí tài nguyên mạng, như những gì đã viết trong mục 1 của bài Lịch sử Virus. Ngày nay, loại worm này ngày càng ít đi (vẫn còn, do có nhiều tay script kiddies muốn 'thử tay nghề'), mà mục tiêu chủ yếu của worm ngày nay là tấn công phân tán từ chối dịch vụ (DDoS - Distributed Denial os Service) nhằm vào máy chủ khác, cài đặt backdoor (mở 'cửa sau' cho attacker, sẽ được thảo luận kỹ hơn tại mục 2.7.1 của bài này), hay thực hiện các hành vi nguy hiểm khác.
Sâu có 02 thể loại chính: Sâu dịch vụ mạng và sâu gửi thư hàng loạt:
2.1.1. Network Service Worm (Sâu dịch vụ mạng):
Network service worm lây lan bằng cách khai thác một lỗ hổng bảo mật trong 1 dịch vụ mạng liên kết với hệ điều hành hoặc với 1 ứng dụng nào đó trên hệ thống. Khi thể loại sâu này đã lây nhiễm thành công vào hệ thống, thông thường, nó sẽ quét và phát hiện những hệ thống khác, cũng đang chạy dịch vụ kiểu đó (target service - dịch vụ mục tiêu: loại dịch vụ có lỗ hổng đã bị khai thác, như đã nói ở trên), để tiếp tục lây nhiễm cho các hệ thống đó.Và bởi vì do chúng tự thực thi mà không cần tác động của user, nên thông thường, thể loại sâu này lây lan với tốc độ chóng mặt (nhanh hơn nhiều so với virus hay các thể loại malware khác).
Do sự lây nhiễm nhanh chóng, network service worm thường được attackers dùng để áp đảo, gây tê liệt mạng và các hệ thống an ninh (như cảm biến phát hiện sự thâm nhập mạng) cũng như các hệ thống đã bị nhiễm bệnh.
Ví dụ kinh điển cho network service worms là Sasser và Witty.
2.2.2. Mass Mailing Worm (Sâu gửi điện thư hàng loạt):
Sâu gửi điện thư hàng loạt có cách thức hoạt động tương tự như e-mail-borne virus (khác biệt lớn nhất vẫn là: Sâu loại này, tự nó đã là self-contained chứ không như email-borne virus cần sống bám vào file đính kèm trong thư).Một khi sâu thể loại này đã nhiễm vào hệ thống, chúng thường tìm kiếm trong hệ thống đó các địa chỉ email, sau đó tự động gửi bản sao của chính nó tới những địa chỉ email đó, sử dụng email client của hệ thống, hoặc một hệ thống tự gửi mail của chính nó (đã được built-in trong sâu).
Sâu thể loại này thường gửi thư (thường kèm theo cả bản sao chính nó) đến nhiều địa chỉ cùng 1 lúc. Bởi vậy, bên cạnh việc làm quá tải các máy chủ email và mạng lưới với 1 khối lượng lớn "bomb mail", sâu loại này thường gây ra vấn đề nghiêm trọng về hiệu suất cho hệ thống bị nhiễm bệnh.
Hiện nay, loại sâu này vẫn khả dụng để phát tán thư rác (thường là thư quảng cáo) bên cạnh những hiểm họa như đã nói ở mục chính 2.2.
Ví dụ điển hình cho mass mailing worms là Beagle, Mydoom và Netsky.
2.3. Trojan Horse:
Tuy nhiên, ẩn dưới lớp vỏ ôn hòa đó lại là các đoạn mã độc hại, "nằm vùng" chờ thời cơ, y hệt như những người lính nấp trong con ngựa gỗ thần thoại vậy.
Trojan thường có 3 phương thức gây hại phổ biến:
- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp password);
- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống);
- Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt ứng dụng này là lập tức dữ liệu trên PC sẽ bị xoá hết, hoặc lập tức nó đánh cắp luôn ví tiền điện tử .wallet và private key trên máy của bạn)...
Trojan khó bị phát hiện, bởi lẽ (theo 2 phương thức gây hại đầu) chương trình bị lây nhiễm vẫn gần như hoạt động một cách bình thường không có gì khả nghi; hơn nữa, các trojan hiện nay cũng áp những thủ thuật ẩn thân như virus.
Việc sử dụng trojan để phát tán những chương trình gián điệp (spyware) ngày càng trở nên phổ biến: Ví dụ như khi bạn download các chương trình từ những nguồn chia sẻ không an toàn, hoặc là các giao thức chia sẻ ngang hàng (p2p, như Torrent chẳng hạn), sau khi bạn cài đặt những chương trình unsafe đó, spyware sẽ ngấm ngầm cài đặt cùng và bắt đầu thực thi nhiệm vụ gián điệp của mình trên máy victim.
Trojan cũng thường cung cấp các công cụ tấn công vào hệ thống (attacker tools), với khả năng cung cấp cho attacker sự truy cập trái phép, hoặc cho phép attacker sử dụng trái phép hệ thống của victim. Những công cụ này có thể đã được built-in luôn vào con trojan, hoặc là được âm thầm tải về sau khi trojan đã thâm nhập thành công. Mục 2.7 trong bài này sẽ nói về khoản này rõ hơn.
Những trojans nổi tiếng là SubSeven,Back Orifice, and Optix Pro.
2.4. Malicious Mobile Code (MMC):
 |
| malicious QR code |
Trình duyệt web (web browser) hay email client là 2 ví dụ hoàn hảo cho Mobile Code: Ví dụ: Khi bạn bật web browser và gõ vào http://gvehacker.blogspot.com, thì dịch vụ Blogger của Google sẽ truyền tải đến web browser của bạn trang Web của GVEhacker: Dữ liệu của GVEhacker đã nằm trên web browser của máy bạn.
Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa.
Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code.
Trò dụ mọi người cài ICONS trên facebook, làm loạn facebook trong thời gian vừa rồi, cũng chính là khai thác tính năng cho phép thực thi *.js (JavaScript) từ web browser của người dùng, sau khi những người dùng này vô tư ấn "install".
Một trong những ví dụ nổi tiếng của kiểu tấn công MMC là Nimda, sử dụng JavaScript. Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn hợp (Blended Attacks), mà sẽ được phân tích cụ thể trong mục 2.5 dưới đây.
2.5. Blended Attacks (tấn công hỗn hợp/pha trộn):
 |
| Blended attacks and defense - ảnh minh họa: khadijah |
Tấn công hỗn hợp chính là cách thức sử dụng nhiều phương thức lây nhiễm, hoặc nhiều phương thức truyền dẫn khác nhau. Sâu Nimda thực sự là một ví dụ kinh điển cho cách thức tấn công này: Nó sử dụng 4 phương thức sau:
- Email: Khi user ở 1 hệ thống có lỗ hổng bảo mật mở mở 1 file đính kèm (đã bị nhiễm) trên email, Nimda lập tức khai thác lỗ hổng đó để hiển thị trên web browser của victim để mở ra 1 trang html cơ bản để gửi/nhận mail mới. Sau đó, nó tìm kiếm toàn bộ địa chỉ điện thư trên máy victim để tiếp tục gửi những bản sao của nó tới các địa chỉ mà nó quét được.
- Windows Shares: Lợi dụng tính năng chia sẻ files của Windows, Nimda, sau khi thâm nhập vào máy victim, sẽ tìm kiếm trên hosts những file được chia sẻ và dùng NetBIOS như 1 cơ chế vận chuyển Nimda để lây nhiễm cho files. Nếu bạn mở file thì Bingo! Nimda đã chui trót lọt vào máy của bạn.
- Web Servers: Nimda sẽ quét các máy chủ sử dụng IIS (Internet Information Service của Microsoft) và tìm kiếm lỗ hổng bảo mật đã biết tới nhưng chưa được vá lỗi. Nếu tìm thấy lỗ hổng: Lập tức nó sao chép chính nó lên web servers đó và trên mọi files có thể lây nhiễm trên servers đó. Phương thức này cực kỳ hiệu quả, bởi sẽ có nhiều clients trỏ đến server bị nhiễm để lấy thông tin (chẳng hạn, đọc báo mạng, nhưng trang báo mạng đó trước đó đã bị nhiễm Nimda), nên phương thức này lây lan rất nhanh chóng.
- Web clients: Nếu victim sử dụng 1 trình duyệt web có lỗi bảo mật để truy cập tới infected web server nêu trên, thì lập tức, máy của victim sẽ bị lây nhiễm (nếu lỗ hổng bảo mật trên đã nằm trong list của Nimda khi lập trình).
Ngoài việc sử dụng các phương thức nêu trên, các cuộc tấn công hỗn hợp cũng lợi dụng thêm các dịch vụ khác như IM (Instant Messaging) hay chia sẻ ngang hàng p2p (peer-to-peer) để lây nhiễm.
Qua phân tích trên, ta thấy rằng Nimda không hẳn chỉ là Worm, mà Nimda = worm + virus + MMC.
Ngày nay, blended attacks ngày càng sử dụng nhiều thủ thuật tinh vi và những pha trộn phức tạp khác. Dựa vào độ mạnh của mã độc về mặt nào, người ta sẽ tạm xếp mã độc về mặt đó (như trường hợp của Nimda, được phân loại cho worm).
2.6. Tracking Cookies:
 |
| Tracking cookies protocol. Image: cs.bham.ac.uk |
- Session cookies: Loại tạm thời này chỉ có giá trị cho 1 phiên làm việc duy nhất. Khi bạn tắt trang web: session cookie mất hiệu lực;
- Persistent cookies: Là loại cookies lưu trữ mãi trên máy của bạn (cho tới khi bạn xóa). Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client, mục đích để phục vụ người dùng được tốt hơn.
Thật không may, dạng persistent cookies cũng có thể bị lạm dụng như phần mềm gián điệp (spyware) để theo dõi và thu thập thông tin riêng tư về hành vi duyệt web của cá nhân, bởi 2 nguyên nhân: Do cookie không cần sự đồng ý của người dùng, mà web-browser vẫn tự tạo; nguyên nhân thứ 2 là do sự thiếu hiểu biết của user về mảng này.
=> nếu thu thập được cookies, sẽ thu thập được kha khá thông tin cá nhân của người sử dụng đó.
Một cách khác để thu thập thông tin cá nhân là sử dụng web bugs. Ví dụ, viết 1 đoạn mã ngắn để thu thập cookie rồi tung lên trang web đó, nhưng diện tích chỉ chiếm khoảng 1 điểm ảnh (1px) ==> hầu như vô hình trước mắt user.
Thông tin thu thập được sẽ được bán cho bên thứ 3, từ đó họ sử dụng để đưa ra các quảng cáo theo thói quen của bạn. Như vậy, hiệu quả quảng cáo sẽ tăng lên rõ rệt.
Nếu không thu thập được cookies, thì sẽ thật ngớ ngẩn, nếu một kỹ sư cơ khí duyệt web, mà trang quảng cáo pop-up lại quảng cáo về ..thuốc giảm béo dành cho phụ nữ (trong khi trước kia, anh ta không hề tìm kiếm gì về loại thuốc đó, nên không có được cookie lưu lại).
Nếu một kẻ có ý đồ xấu (black-hat hacker chẳng hạn), thì nếu thu thập được cookies của victim, mọi việc họ làm không đơn giản chỉ là.. quảng cáo :)
/* Cookies thường lưu trữ trong những bản plain-text, tức không được mã hóa, khiến cho 1 truy cập trái phép vào cookies sẽ thu thập được thông tin cá nhân của bạn, hoặc thay đổi cookies đó nhằm mục đích phục vụ cho kế hoạch của attacker. Trước thảm họa này, nhiều web-site bây giờ đã sử dụng phương thức mã hóa cho cookies. Tuy nhiên, việc giải mã cookies vẫn có khả năng xảy ra bởi những attacker có kinh nghiệm. */
2.7. Attacker Tools:
 |
| Một ví dụ về attacker tools có những tool cần thiết. |
Là những bộ công cụ tấn công có thể sử dụng bởi attacker để tấn công vào hệ thống của victim. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như được built-in trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm.
Ví dụ: một hệ thống đã bị nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống.Có 6 thể loại thông dụng của những công cụ tấn công, được GVEhacker giới thiệu ngay sau đây:
2.7.1. Backdoor:
Ngoài ra, Backdoor cũng có những khả năng đặc biệt (thuận theo ý muốn đã được lập trình bởi attacker) sau:
2.7.1.1. Zoombies - thảm họa Bot-net:
Zombie (đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống của victim nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của Zoombie là dùng các máy tính nạn nhân để phục vụ cho các cuộc tấn công DDoS. Kẻ tấn công có thể cài bot vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc làm hết tài nguyên mạng (băng thông - bandwidth) và tê liệt hệ thống bị tấn công.
Trinoo và Tribe Flood Network là hai đại diện nổi tiếng cho thảm họa zombies.
/* Mặc dù đôi lúc zombie được gọi là bot, nhưng cách gọi đó là không chuẩn xác, bởi lẽ thuật ngữ 'bot' dùng để chỉ các chương trình thực hiện các chức năng 1 cách tự động (ví dụ, ta đổ chương trình vào các máy móc tự động hóa, thì những máy đó có thể gọi là robot). Một nhóm máy tính mà có cùng 1 loại bot thì ta gọi là botnet. Tuy nhiên, ngày nay, khi nghe tới thuật ngữ botnet là lập tức người ta lại liên tưởng đến các vụ tấn công mạng, do sự PR một cách thái quá nhưng lại nằm ngoài hiểu biết của các báo mạng lá cải ở Việt Nam. Bởi vậy GVEhacker viết rõ đoạn này, nhằm giúp các bạn phân biệt rõ 2 thuật ngữ là zombie và bot: Zombies chắc chắn là mã độc, còn bots thì có thể lành tính, có thể không. */
2.7.1.2. Remote Administration Tools (RAT):
Giống như tên gọi, RAT là các công cụ có sẵn của hệ thống cho phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình, điều khiển các thiết bị ngoại vi của victim theo ý muốn (ví dụ loa, webcam, micro, máy in...) cho đến tác động vào cấu hình của hệ thống. Ví dụ nổi tiếng cho RATs là: SubSeven, Back Orifice và NetBus.
2.7.2. Keystroke loggers:
Keystroke logger, còn gọi là keylogger, là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại toàn bộ hoặc có chọn lọc những thông tin mà victim đã nhập vào hệ thống, bao gồm việc ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật, etc.Các keylogger nổi tiếng là KeySnatch, Spyster và KeyLogger Pro.
/* Một số keyloggers có khả năng ghi lại các thông tin bổ sung khác, như ảnh chụp màn hình của victim */
2.7.3. Rootkits:
Rootkit là tập hợp của các files được cài đặt lên hệ thống nhằm biến đổi các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn các nguy cơ tấn công nguy hiểm:- Trên Unix và Linux, rootkit có thể sửa đổi, hoặc thay thế hoàn toàn hàng chục tới hàng trăm tập tin (bao gồm cả những tập tin hệ thống .bin - binary);
- Trên Windows, ngoài khả năng thay đổi những tập tin của hệ thống, rootkit còn có khả năng 'nằm vùng' thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành.
Rootkit cũng sử dụng những thủ thuật ngăn chặn, ẩn thân và xóa dấu vết, khiến cho rất khó để tìm ra những gì trên hệ thống đã bị thay đổi bởi rootkit, hay danh định được rootkit đã thâm nhập.
Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor, cài keylogger.
Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender.
2.7.4. Web Browser Plug-ins:
Là phương thức cài mã độc hại thực thi cùng với trình duyệt web. Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi thông tin ra ngoài.Bởi vì các plug-in được nạp tự động khi web browser khởi động, nên phương thức tấn công này rất dễ dàng dùng để giám sát hệ thống của nạn nhân.
Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại ngầm định mặc dù không được phép của chủ nhân (hay xảy ra vào hồi còn dùng mạng dial-up ngày trước, hoặc hoàn toàn có khả năng xảy ra thời nay trên những thiết bị vừa có khả năng vào mạng vừa có khả năng thực hiện cuộc gọi như smartphone hay tablet).
2.7.5. Email Generators:
Là những chương trình cho phép tạo ra và gửi đi một số lượng lớn các bức điện thư. Malware có thể gieo rắc các email generator vào trong hệ thống, nằm ngoài sự cho phép và tầm kiểm soát của người dùng thông thường. Các chương trình gián điệp, spam, mã độc hại có thể được đính kèm vào các email được sinh là từ email generator và gửi tới các địa chỉ định sẵn, hoặc tìm thêm trong sổ địa chỉ của máy bị nhiễm.2.7.6. Attacker Toolkits:
Nhiều tay tấn công sử dụng những bộ công cụ có sẵn (do họ download được trên các websites thuộc giới UG - Under-ground), hay chính họ tự lập trình nên trước đó (để tiện dùng cho những lần sau).Các toolkit này đã có sẵn những tiện ích và các đoạn mã viết sẵn để khai thác và tấn công victim.
Toolkit cũng được sử dụng để lợi dụng victim, cài đặt thêm các malware khác trên máy của victim và qua đó tấn công sang các hệ thống khác.
Trong 1 bộ toolkit, thường có sẵn các tools sau:
2.7.6.1. Packet sniffers:
Được thiết kế để giám sát lưu lượng trên mạng dây/không dây và nắm bắt các gói tin, packet sniffers có khả năng 'bắt' được hết các gói tin trao đổi của victim, hoặc 'tóm' có chọn lọc những gói tin của victim (ví dụ: Chỉ 'bắt' các gói tin vào/ra từ các cổng TCP định sẵn, hoặc 'bắt' các gói tin trao đổi với các IP đã định sẵn).
Hầu hết packet sniffers hiện nay đều được trang bị khả năng phân tích giao thức (protocol analyzer), tức là nó có khả năng ghép các gói tin mà nó cần bắt, và giải mã chúng thông qua hàng trăm, hàng ngàn giao thức sẵn có mà nó được trang bị.
2.7.6.2. Port scanners:
Port scanners được dùng để quét các cổng vào ra đang mở của victim (có thể là server lẫn client), để tìm ra cổng có tiềm năng dễ bị tấn công (mà nmap trên Linux - ubuntu là một ví dụ cực kỳ nổi tiếng, như những gì các bạn đã từng được nhìn trong bài giới thiệu về Tails - Hệ điều hành lướt web như hacker trên GVEhacker).
Khi nắm bắt được các mục tiêu tiềm năng, attacker sẽ tiến hành cố gắng dùng mọi thủ thuật để khai thác qua các cổng đó.
2.7.6.3. Vulnerability Scanners:
Attacker sẽ dùng nó để quét các lỗ hổng bảo mật khả dụng trên local system lẫn remote system. Vulnerability scanners giúp cho công việc của các attacker dễ dàng hơn so với việc dò thủ công bằng tay để tìm ra những lỗ hổng ở host.
2.7.6.4. Password Crackers:
Là bộ tổng hợp những tiện ích dùng để bẻ khóa mật khẩu.
Hầu hết các tiện ích này tập trung quanh 2 phương thức chính: Đoán mật khẩu (dictionary attack) hay dò mật khẩu (Brutte-force).
Thời gian để có được mật khẩu phụ thuộc vào rất nhiều thứ: Sức mạnh của các cỗ máy dùng huy động để bẻ khóa, độ dài của mật khẩu, độ khó của mật khẩu, sự đồ sộ của bộ từ điển (chứa những mật khẩu thông dụng mà người dùng hay đặt như 123456, iloveyou, qweasdzxc, !@#$%^&*()...) ....
2.7.6.5. Remote Login Programs:
Bộ công cụ này thường chứa SSH và telnet, là những chương trình dùng để đăng nhập hệ thống từ xa.
Kẻ tấn công có thể sử dụng các chương trình này cho nhiều mục đích, chẳng hạn như đánh cắp dữ liệu hay xóa bỏ dữ liệu trên hệ thống, kiểm soát các hệ thống bị thâm nhập, chuyển dữ liệu giữa các hệ thống...
2.7.6.6. Attacks:
Những bộ công cụ tấn công thường kèm theo các chương trình tấn công khả dĩ, có khả năng tấn công trên local lẫn remote system.
Những cuộc tấn công có nhiều mục đích khác nhau, mà phổ biến là gây ảnh hưởng lên hệ thống, hoặc gây ra 1 cuộc tấn công từ chối dịch vụ (DoS).
Những công cụ trong bộ attacker tools đều có khả năng sử dụng cho mục đích tốt hay xấu, tùy vào người sử dụng là black hat hay white hat trong thời điểm dùng, ví dụ như:
packet sniffers và protocol analyzers cũng được sử dụng bởi các chuyên viên bảo mật hệ thống mạng; nhưng cũng có thể được dùng bởi các black hat với mục đích nghe/xem lén xem victim đang làm gì;
password crackers cũng được dùng bởi những chuyên gia an ninh, để kiểm tra độ an toàn cho mật khẩu của hệ thống; còn khi rơi vào tay black hat, dĩ nhiên chúng sẽ sử dụng với mục đích vốn có của nó là ...bẻ khóa mật khẩu :)
2.8. Non-malware Threats (Những mối đe dọa khác không phải từ phần mềm độc hại):
 |
| Cửa sổ pop-up này chính là 1 dạng fishing. |
Hai hiểm họa này có tên gọi kỹ thuật chung gọi là Social Engineering, một thuật ngữ ám chỉ kẻ tấn công dùng các phương thức để lừa mọi người tiết lộ các thông tin nhạy cảm (thông tin cá nhân, mật khẩu thẻ tín dụng hay mật khẩu các cổng đăng nhập online...) hoặc thực hiện hành động nhất định, như tải về và mở/thực thi một file/chương trình có vẻ vô hại nhưng thực chất chứa mã độc.
Bởi vậy, nên 2 phương thức này sẽ được đề cập đến sau đây:
2.8.1. Phishing:
Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã độc hại. Phishing là phương thức dụ người dùng kết nối và sử dụng tới một hệ thống giả mạo (fake website chẳng hạn) nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá nhân, ...).Kẻ tấn công bằng hình thức phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng, ... Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu,... Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác.
Các cửa sổ pop-up giả mạo hoặc các banner giả mạo, hoặc chứa link đến nơi chứa phần mềm độc hại cũng là một hình thức phishing.
 |
| Phishing giả mạo instant message. |
2.8.2. Virus Hoaxes:
 |
| Một malware giả mạo chương trình antivirus, đưa ra các cảnh báo giả về virus khiến người dùng lo lắng |
Bản thân cảnh báo giả không gây nguy hiểm trực tiếp, nhưng những hành động xuẩn ngốc sau đó của người dùng thiếu kinh nghiệm mới chính là thảm họa: Ví dụ những thư gửi cho bạn bè để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống....
Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ (nâng cấp, đến tận nơi để sửa chữa...).
Nếu có thời gian đọc kỹ bài, tự bạn đã trang bị cho bạn các kiến thức cơ bản để tự mình phòng chống được các thảm họa khi lướt web, bởi "Any tool is a weapon if you hold it right".
Một số biến thể khác, mà tôi chưa đề cập đến trong bài, như Adwares (Advertising software), hay Ransomware:
- Adwares là loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng. Một số adware cũng chính là malware khi đi kèm thêm với các mã độc hại khác.
- Ransomware: Là loại phần mềm tống tiền sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại. Ransomware cũng có thể sử dụng các kỹ thuật ẩn thân, mạo danh 1 chương trình khác nhằm dụ bạn tải nó về để cài đặt.
Không có nhận xét nào:
Đăng nhận xét