Tài liệu Phương pháp phân tích mã độc tống tiền ransomware

BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN RANSOMWARE DƢƠNG VIỆT SƠN HÀ NỘI - 2017 13 BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TỐNG TIỀN RANSOMWARE DƢƠNG VIỆT SƠN CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60.48.02.018 NGƢỜI HƢỚNG DẪN KHOA HỌC TS. ĐỖ XUÂN CHỢ HÀ NỘI - 2017 14 LỜI CAM ĐOAN Tôi cam đoan đây là công trình nghiên cứu của riêng tôi. Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc ai công bố trong bất kỳ công trình nào khác. Tác giả luận văn ký và ghi rõ họ tên Dƣơng Việt Sơn i LỜI CẢM ƠN Em xin bày tỏ lòng biết ơn và kính trọng sâu sắc nhất tới thầy giáo TS. Đỗ Xuân Chợ giảng viên trƣờng Học Viện Bƣu Chính Viễn Thông, ngƣời đã trực tiếp hƣớng dẫn, tận tình giúp đỡ chỉ bảo, giúp đỡ em trong suốt thời gian qua với tất cả tấm lòng, tâm huyết của ngƣời thầy để em có đƣợc những định hƣớng đúng đắn trong quá trình hoàn thành luận văn tốt nghiệp. Em chân thành cảm ơn các thầy, cô trƣờng Viện Đại học Mở Hà Nội với tri thức và tâm huyết của mình đã truyền đạt vốn kiến thức quý báu cho em trong suốt thời gian học tập tại trƣờng. Em chúc thầy, cô thật dồi dào sức khỏe, niềm tin để tiếp tục sứ mệnh cao đẹp của ngƣời nhà giáo Việt Nam truyền đạt kiến thức đến các thế hệ học sinh của trƣờng. Do thời gian và kiến thức có hạn nên luận văn không thể tránh khỏi những thiếu sót, em rất mong nhận đƣợc ý kiến đóng góp quý báu của quý thầy cô và các bạn để luận văn đƣợc hoàn thiện hơn. Em xin chân thành cảm ơn! Hà Nội, Ngày 27 tháng 10 năm 2017. Học viên thực hiện Dương Việt Sơn ii MỤC LỤC LỜI CAM ĐOAN .......................................................................................... i LỜI CẢM ƠN ............................................................................................... ii Danh mục kí hiệu và viết tắt ......................................................................... v Danh mục hình vẽ ........................................................................................ vi DANH MỤC BẢNG BIỂU ....................................................................... viii DANH MỤC BIỂU ĐỒ ............................................................................... ix DANH MỤC SƠ ĐỒ .................................................................................... x MỞ ĐẦU ....................................................................................................... 1 CHƢƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC ................................... 3 1.1. Tổng quan chung về mã độc ................................................................. 3 1.1.1. Định nghĩa về mã độc ................................................................. 3 1.1.2. Mục tiêu của mã độc ................................................................... 3 1.1.3. Phân loại mã độc ......................................................................... 4 1.1.4. Xu hƣớng phát triển và sự cải tiến của mã độc........................... 7 1.2. Các nguy cơ mất an toàn thông tin từ mã độc ...................................... 8 1.2.1. Nguy cơ mất an toàn từ ngƣời dùng .......................................... 8 1.2.2. Nguy cơ từ mã độc trên máy trạm ............................................ 9 1.2.3. Nguy cơ đối với hệ thống mạng .............................................. 10 1.2.4. Nguy cơ từ mạng xã hội .......................................................... 10 1.2.5. Nguy cơ từ thiết bị di động ...................................................... 11 1.3. Một số biện pháp phòng chống mã độc .............................................. 11 1.3.1. Nâng cao nhận thức của ngƣời dùng ....................................... 11 1.3.2. Chính sách an toàn ................................................................... 12 1.3.3. Backup và mã hóa dữ liệu ....................................................... 12 1.3.4. Cập nhật hệ điều hành, phần mềm........................................... 13 1.3.5. Sử dụng các phần mềm,giải pháp đầu cuối ............................. 13 1.3.6. Sử dụng xác thực hai bƣớc để bảo vệ tài khoản ...................... 13 1.4. RANSOMWARE ................................................................................. 14 1.4.1. Tổng quan chung về mã độc ransomware ................................ 14 1.4.2. Cách thức hoạt động của mã độc ransomware ......................... 26 1.4.3. Các biện pháp phòng chống ransomware ................................ 29 Kết luận chƣơng 1: ...................................................................................... 31 CHƢƠNG II CÁC PHƢƠNG PHÁP PHÂN TÍCH MÃ ĐỘC .................. 33 2.1. Kĩ thuật phân tích tĩnh .......................................................................... 33 2.1.1. Ƣu nhƣợc điểm của kĩ thuật phân tích tĩnh............................... 33 2.1.2. Các kĩ thuật phân tích tĩnh ........................................................ 33 2.2. Kĩ thuật phân tích động ........................................................................ 41 2.2.1. Ƣu nhƣợc điểm của kĩ phân tích động. ..................................... 41 2.2.2. Các kĩ thuật phân tích động ...................................................... 43 iii 2.3 Phƣơng pháp phát hiện mã độc ransomware ........................................ 49 2.3.1.Các kĩ thuật phát hiện mã độc ransomware ............................... 49 2.3.2.Các kĩ thuật phân tích ransomware ............................................ 51 Kết luận chƣơng 2: ...................................................................................... 51 CHƢƠNG III THỰC NGHIỆM VÀ ĐÁNH GIÁ ..................................... 52 3.1. Giới thiệu về công cụ hỗ trợ thực nghiệm ........................................... 52 3.2. Điều tra viên tiếp nhận vụ án và tiến hành phân tích ........................... 53 Kết luận chƣơng 3: ...................................................................................... 72 TÀI LIỆU THAM KHẢO ........................................................................... 75 iv DANH MỤC KÍ HIỆU VÀ VIẾT TẮT Viết tắt AES APT AV C&C Tiếng Anh Advanced Encryption Standard Advanced Persistent Threat Antivirus Command and Control Tiếng việt Chuẩn Mã hóa dữ liệu Mối nguy hiểm cao thƣờng trực Chống virus Lệnh và kiểm soát Central Processing Unit Cyclic Redundancy Check Bộ vi xử lý trong máy tính Phƣơng pháp kiểm tra dữ liệu máy DDOS Distributed Denial Of Service tính Kiểu tấn công làm quá tải mạng DLL Dynamic Link Library Thƣ viện liên kết động FBI IDA Federal Bureau of Investigation Interactive DisAssembler Cục điều tra liên bang của Mỹ Công cụ dịch ngƣợc mã máy IP LAN MBR Internet Protocol Local Area Network Master Boot Record Giao thức Internet Mạng máy tính cục bộ Chuẩn quản lý phân vùng trên ổ MD5 Message Digest Algorithm 5 cứng Thuật toán mã hóa hàm băm NHS NIST National Health Service National Institute of Standards and Technology Operating system Portable Executable Proportional Integral Derivative Universal Serial Bus Dịch vụ y tế quốc gia Viện tiêu chuẩn và kỹ thuật quốc gia (Mỹ) Hệ Điều Hành Máy tính Định đạng tập tin thực thi Bộ điều khiển vi tích phân tỷ lệ Chuẩn truyền dữ liệu cho BUS Secure Hash Algorithm Short Message Services Rivest Shamir Adelman Transmission Control Protocol (thiết bị) ngoại vi Thuật toán gải băm an toàn Dịch vụ tin nhắn ngắn Thuật toán mã hóa công khai. Giao thức điều khiển truyển vận CPU CRC OS PE PID USB SHA SMS RSA TCP v DANH MỤC HÌNH VẼ Hình 1. 1. Phân loại mã độc theo hình thức lây nhiễm ...............................................5 Hình 1. 2. Phân loại mã độc theo NIST ......................................................................7 Hình 1. 3. Các liên kết độc hại gửi từ facebook ..........................................................9 Hình 1. 4. Thông báo giả mạo của reveton ...............................................................19 Hình 1. 5. Thông báo đòi tiền chuộc của cryptolocker .............................................20 Hình 1. 6. Thông báo của wanacry trên máy nạn nhân .............................................21 Hình 1. 7. Phát tán rasomware qua thƣ điện tử ......................................................... 26 Hình 2. 1. Giao diện virustotal khi quét tập tin đáng nghi ........................................34 Hình 2. 2. MD5 & SHA Checksum Utility 2.1 .........................................................35 Hình 2. 3. Dữ liệu của tập tin dƣới dạng nguyên thủy ..............................................36 Hình 2. 4. Sử dụng string.exe ....................................................................................37 Hình 2. 5. Xác định packer bằng Detect It Easy .......................................................38 Hình 2. 6. Giao diện đồ họa của IDA Pro .................................................................40 Hình 2. 7. BinDiff .....................................................................................................41 Hình 2. 8. Thông tin sự kiện procmon bắt đƣợc .......................................................44 Hình 2. 9. Giao diện hiển thị chính của Process hacker............................................44 Hình 2. 10. Process hacker highlighting ...................................................................45 Hình 2. 11 Giao diện chính của systracer .................................................................47 Hình 2. 12. Giao diện hiển thị gói tin của Wireshark Bắt gói tin bằng Wireshark ...48 Hình 2. 13. Cửa sổ Follow TCP Stream của Wireshark ...........................................49 Hình 2. 14 Các công cụ theo dõi tài nguyên hệ thống .............................................. 50 Hình 3. 1. Thông báo của ransomware .....................................................................53 Hình 3. 2. Tập tin dữ liệu bị mã hóa bởi ransomware ..............................................54 Hình 3. 3. Thông tin về thời gian mã độc mã hóa tập tin..........................................54 Hình 3. 4. Tập tin windows preftech .........................................................................55 Hình 3. 5. Tiến trình khởi chạy trên hệ thống ...........................................................56 Hình 3. 6. Tập tin nghi ngờ AntiWanaCry................................................................56 Hình 3. 7. Kết quả virustotal .....................................................................................57 Hình 3. 8. Tải mã độc từ liên kết...............................................................................58 Hình 3. 9. Kết quả phân tích hybrid-analysis ............................................................59 Hình 3. 10. Các tiến trình mã độc tạo ra và đƣợc ghi lại ..........................................59 Hình 3. 11. Kết nối mạng tới 2 tên miền spora.bz và ru.wikipedia.org ....................59 Hình 3. 12. Thông báo User Account Control ..........................................................60 vi Hình 3. 13. Cửa sổ CMD ..........................................................................................60 Hình 3. 14. Lệnh thực thi mã độc..............................................................................61 Hình 3. 15. Thƣ mục đƣợc ẩn đi bởi mã độc và shortcut do mã độc tạo ra ..............61 Hình 3. 16. Tập tin do ransomware tạo ra .................................................................61 Hình 3. 17. Giao diện thông báo tiền chuộc..............................................................62 Hình 3. 18. Main chƣơng trình của mã độc nhìn bằng IDA .....................................62 Hình 3. 19. Dòng lệnh thực hiện xóa tập tin trong mã độc .......................................62 Hình 3. 20. Dòng lệnh sửa đổi đƣờng dẫn ................................................................63 Hình 3. 21. Một số dạng văn bản đƣợc mã hóa ........................................................63 Hình 3. 22. Ransomware tạo tập tin trên máy nạn nhân ...........................................64 Hình 3. 23. Thông tin đã đƣợc mã hóa......................................................................64 Hình 3. 24. Phần mở rộng của các tập tin .................................................................64 Hình 3. 25. Dòng lệnh thực hiện nhập khóa .............................................................65 Hình 3. 26. Lƣu trữ khóa thực hiện trong quá trình mã hóa .....................................66 Hình 3. 27. Dòng lệnh thực hiện giải mã ..................................................................67 Hình 3. 28. Phiên bản Spora......................................................................................67 Hình 3. 29. Dòng lệnh tạo khóa RSA .......................................................................67 Hình 3. 30. Dòng lệnh mã hóa khóa bí mật bằng thuật toán mã hóa base64 ............68 Hình 3. 31. Dòng lệnh lƣu trữ khóa bí mật của mã độc ???......................................69 Hình 3. 32. Dòng lệnh mã hóa khóa trƣớc khi truyền...............................................69 Hình 3. 33. Dòng lệnh tạo khóa mã hóa....................................................................70 Hình 3. 34. Dòng lệnh mã hóa khóa bí mật ..............................................................70 Hình 3. 35. Thực hiện truyền khóa về máy chủ của kẻ tấn công ..............................71 Hình 3. 36. Dòng lệnh kiểm tra file để mã hóa .........................................................71 Hình 3. 37. Ngăn chặn sự phát tán của mã độc spora ...............................................72 vii DANH MỤC BẢNG BIỂU Bảng 1. 1. Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2014-2015................................................................................................ 23 Bảng 1. 2 Danh sách các quốc gia bị tấn công ransomware nhiều nhất trong năm 2015-2016................................................................................................ 24 Bảng 1. 3. Số lƣợng ngƣời dùng bị tấn công ransomware giai đoạn 20142016 ................................................................................................................. 24 viii DANH MỤC BIỂU ĐỒ Biểu đồ 1. 1. Thống kê số lƣợng ngƣời dùng bị tấn công phân loại theo nhóm mã độc tống tiền mã hóa năm 2014-2015 .......................................................................17 Biểu đồ 1. 2. Thống kê số lƣợng ngƣời dùng bị tấn công phân loại theo nhóm mã độc tống tiền mã hóa năm 2015-2016 .......................................................................18 ix DANH MỤC SƠ ĐỒ Sơ đồ 3. 1. quá trình ngƣời dùng bị nhiễm ransomware ...........................................58 x MỞ ĐẦU Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mạng toàn cầu Internet, an toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu. Các kỹ thuật tấn công ngày càng tinh vi, phức tạp. Các tổ chức và cá nhân, doanh nghiệp càng thêm lo lắng về các nguy cơ mất an toàn thông tin hơn khi có sự xuất hiện của mã độc tống tiền (ransomware). Khác với các mã độc khác khi tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, ransomware thì ngay lập tức tìm đến các file dữ liệu trong máy tính nạn nhân để mã hóa. Sau khi mã hóa xong nếu nạn nhân không tự bỏ tiền ra mua khóa bí mật từ kẻ tấn công để giải mã thì toàn bộ dữ liệu này không thể sử dụng đƣợc. Tuy nhiên, gần đây một số biến thể mới của ransomware đã không yêu cầu tiên chuộc mà nó sẽ đƣa ra danh sách các phần mềm để bẻ khóa dữ liệu ở trên mạng. Tất nhiên các phần mềm này đều yêu cầu trả phí khi tải về. Trong năm 2017 có 2 đợt tấn công của ransomware nổi trội lên nhất, một là chiều 12/5 theo giờ Việt Nam, tài khoản Twitter @MalwareHunterTeam bắt đầu thông báo về tốc độ lan truyền đáng báo động của một ransomware mang tên WanaCrypt0r (một biến thể của WannaCry) và ngày 28/6/2017 một vius khác mang tên Petrwrap, biến thể từ mã độc tống tiền có tên Petya từng đƣợc phát hiện từ tháng 3 năm 2017. Với việc kết hợp các công nghệ mới và liên tục thay đổi phƣơng thức, thủ đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn. Do đó, việc nghiên cứu về cơ chế hoạt động của mã độc ransomware là điều rất quan trọng và cần thiết hiện nay. Để có thể phát hiện và phòng chống hiệu quả mã độc ransomware thì yêu cầu các cơ quan quản lý an toàn thông tin cần phải nắm rõ đƣợc cơ chế phát tán, nguyên tắc hoạt động cũng nhƣ một số hành vi của loại mã độc này. Từ những lý do trên học viên với sự hƣớng dẫn của TS. Đỗ Xuân Chợ lựa chọn đề tài: “Phƣơng pháp phân tích mã độc tống tiền Ransomware”. Kết quả nghiên cứu của đề tài sẽ là các hình vi của mã độc ransomware. Các kết quả này phần nào sẽ giúp các nhà quản trị mạng hiểu rõ hơn về nguyên tắc làm việc của mã 1 độc ransomware cũng nhƣ cung cấp các tài liệu ban đầu cho cơ quan điều tra trong việc truy tìm nguồn gốc phát tán của mã độc. Mục tiêu thực hiện luận văn - Nghiên cứu về mã độc; - Nghiên cứu về mã độc ransomware và biến thể của nó; - Nghiên cứu về các phƣơng pháp phân tích mã độc; - Tìm hiểu về một số công cụ hỗ trợ phân tích mã độc. Mục đích nghiên cứu: 1. Tìm hiểu về các phƣơng pháp phân tích mã độc và cách thức phân tích mã độc ransomware. 2. Phân tích cách thức phát tán, tấn công và mã hóa thông tin của mã độc ransomware. Đối tƣợng nghiên cứu: - Mã độc ransomware; - Phƣơng pháp và kỹ thuật phân tích mã độc; - Các công cụ, công nghệ phân tích mã độc. Phạm vi nghiên cứu: - Mã độc ransomware và các biến thể của nó - Các kỹ thuật, các phƣơng thức, các giải pháp, các công nghệ mới để phân tích mã độc ransomware... Phƣơng pháp nghiên cứu: - Cơ sở lý thuyết về mã độc và mã độc ransomware. - Cơ sở lý thuyết về phƣơng pháp phân tích mã độc. - Nguyên lý làm việc của một số công cụ phân tích mã độc. 2 CHƢƠNG I TỔNG QUAN CHUNG VỀ MÃ ĐỘC Mã độc từ khi ra đời cho đến nay luôn tận dụng những kỹ thuật tiên tiến của công nghệ thông tin và truyền thông cũng nhƣ lợi dụng những lổ hổng nguy hiểm trong các hệ thống tin học để khuyếch trƣơng ảnh hƣởng của mình. Mặc dù việc sử dụng các thiết bị và phần mềm bảo mật trở nên phổ biến nhƣng mã độc vẫn tiếp tục phát triển mạnh mẽ và giờ đây chúng thƣờng đƣợc viết ra có mục đích rõ ràng, phục vụ một đối tƣợng cụ thể và không ngừng cải tiến qua các phiên bản để đạt đƣợc phiên bản hiệu quả nhất. Vậy để phát hiện và diệt đƣợc mã độc thì trƣớc hết phải hiểu rõ bản chất của chúng. Về nguyên tắc chung, công việc diệt mã độc đa phần là làm ngƣợc lại những gì mà mã độc đã làm. Vì vậy trong chƣơng này tôi tập trung nghiên cứu những nội dung liên quan đến cơ chế hoạt động của các loại mã độc để làm rõ bản chất của chúng. Từ đó có thể xây dựng chƣơng trình tìm và diệt mã độc. 1.1. Tổng quan chung về mã độc 1.1.1. Định nghĩa về mã độc Mã độc là chƣơng trình đƣợc cố ý thiết kế để thực hiện trái phép một số hành động gây nguy hại cho hệ thống máy tính. Trong tiếng Anh mã độc là từ viết tắt của “malicious software”, mã độc đề cập đến những chƣơng trình phần mềm đƣợc thiết kế để gây hại hoặc làm những hành động không mong muốn trên hệ thống máy tính. Mã độc bản chất là một phần mềm nhƣ những phần mềm khác trên máy tính vẫn sử dụng hàng ngày và có đầy đủ những đặc điểm, tính chất của một phần mềm bình thƣờng chỉ khác là có thêm tính độc hại (malicious) [6, 7]. 1.1.2. Mục tiêu của mã độc Các thống kê cho thấy, các cuộc tấn công của mã độc quy mô lớn chủ yếu nhắm vào chính phủ hoặc các tổ chức tài chính. Tiếp đó là các công ty, dịch vụ về công nghệ thông tin. Điều này lý giải cho mục tiêu của mã độc nhắm tới đó là lợi nhuận và lây lan rộng [6]. 3 1.1.3. Phân loại mã độc Việc phân chia thành những loại mã độc khác nhau sẽ cho cái nhìn cơ bản về hành vi của mã độc làm cho việc tìm hiểu về mã độc trở nên dễ dàng hơn. Hiện tại chƣa có một tiêu chuẩn chung nào về việc phân loại mã độc, những công ty, tổ chức phát triển phần mềm quét mã độc thƣờng có những cách phân loại riêng của mình. Nhƣng sự phân loại này cũng chỉ mang tính chất tƣơng đối, ví dụ nhƣ ramit, một dòng mã độc mà vừa hoạt động nhƣ worm khi nó tạo ra các bản sao trong nhiều khu vực, vừa bám vào vật chủ là các tập tin thực thi .exe và tập tin .html, vừa là một botnet. Để giải quyết vấn đề này thì nhiều công ty phát triển phần mềm sử dụng một thứ tự ƣu tiên nhất định để đặt tên. Nếu mã độc có thuộc tính ƣu tiên cao hơn thì sẽ phân loại vào đó, nếu nhƣ thứ tự ƣu tiên là virus – worm – trojan thì nhƣ vậy ramit sẽ đƣợc xếp vào là virus, do virus có mức ƣu tiên cao hơn. Tùy thuộc vào cơ chế, hình thức lây nhiễm và phƣơng pháp phá hoại để đƣa ra nhiều tiêu chí để phân loại mã độc, nhƣng hai tiêu chí đƣợc sử dụng nhiều nhất là phân loại theo hình thức lây nhiễm và theo phân loại của NIST (National Institute of Standart and Technology) [6]. a) Phân loại theo hình thức lây nhiễm Dựa vào hình thức phân loại này thì mã độc gồm hai loại chính: một loại cần vật chủ để tồn tại và lây nhiễm, vật chủ ở đây có thể là các tập tin dữ liệu, các tập tin ứng dụng, hay các tập tin chƣơng trình thực thi… và loại thứ hai chính là tồn tại độc lập không cần vật chủ để lây nhiễm [6]. Độc lập nghĩa là chƣơng trình độc hại có thể đƣợc lập lịch và chạy trên hệ điều hành. Không độc lập (needs host program) là một đoạn chƣơng trình đặc biệt thuộc một chƣơng trình không thể thực thi độc lập nhƣ một chƣơng trình thông thƣờng hay tiện ích bất kì mà bắt buộc phải có bƣớc kích hoạt chƣơng trình chủ trƣớc thì chƣơng trình mới chạy đƣợc. 4 Phân loại theo hình thức lây nhiễm Không độc lập Độc lập Worm Virus Zombie Back Door Trojan Horse Logic Bombs Hình 1. 1. Phân loại mã độc theo hình thức lây nhiễm Worm: Sâu máy tính(worm) là một chƣơng trình máy tính có khả năng tự nhân bản giống nhƣ virus máy tính. Trong khi virus máy tính bám vào và trở thành một phần của mã máy tính để có thể thi hành thì sâu máy tính là một chƣơng trình độc lập không nhất thiết phải là một phần của một chƣơng trình máy tính khác để có thể lây nhiễm. Đơn giản nhất là tạo một bản sao vào các thiết bị lƣu trữ ngoài nhƣ USB, thƣ mục chia sẻ trong LAN rồi từ đây lây nhiễm qua các máy khác. Sự nguy hiểm lớn nhất của worm là từ trong hệ thống có thể tự gửi chính mã độc này đến hàng chục, hàng trăm, thậm chí hàng ngàn máy khác và cứ thế nhân lên, làm cho các máy chủ web, máy chủ mạng ,và cả máy tính bị tràn bộ nhớ đến mức không thể hoạt động nữa. Zombie: Là chƣơng trình độc hại bí mật liên kết với một máy tính khác ngoài internet để nghe lệnh từ các máy tính. Các zombie thƣờng đƣợc sử dụng trong các cuộc tấn công từ chối dịch vụ DDOS để tấn công vào một website bất kì. Backdoor: Là một chƣơng trình hoặc có liên quan đến chƣơng trình, đƣợc tin tặc sử dụng để cài đặt trên hệ thống nhằm mục đích cho sự trở lại hệ thống vào 5 lần sau. Mục đích của backdoor là xóa bỏ cách minh chứng hệ thống ghi nhật ký. Đồng thời cũng giúp tin tặc cầm cự trạng thái truy cập khi bị quản trị viên phát hiện và tìm cách khắc phục. Logic Bombs: Là đoạn mã độc đƣợc nhúng vào một chƣơng trình hợp pháp mà chúng có thể thực thi khi có một điều kiện nào đó xảy ra. Các đoạn mã thƣờng đƣợc chèn vào các ứng dụng hoặc các hệ điều hành để thực hiện việc phá hủy các chức năng an toàn của hệ thống. Trojan Horse: Trojan tồn tại độc lập, là một tập tin độc lập, không có khả năng lây nhiễm. Thông thƣờng trojan sẽ lừa ngƣời dùng mở nó bằng các kĩ thuật (social engineering) nhƣ đặt những biểu tƣợng giống nhƣ thƣ mục, tập tin văn bản, tập tin hình ảnh, đặt tên có liên quan đến ngƣời dùng. Do không đƣợc thiết kế để lây nhiễm nên trojan có thể phát tán trực tiếp qua email, đƣờng link, đƣợc các loại mã độc tải về, hoặc đƣợc virus và worm mang theo. Virus: Đây là thuật ngữ xuất hiện đầu tiên về mã độc trên máy tính. Từ những giai đoạn đầu phát triển của mã độc trong những năm 1980. Virus máy tính là thuật ngữ đƣợc lấy từ virus sinh học. Cũng nhƣ virus sinh học, virus máy tính không tồn tại thành một thực thể, một tập tin. Virus là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy tính khác dƣới nhiều hình thức khác nhau. 6 b) Phân loại theo NIST Virus Worm Trojan Horse Malicious Mobie Code Tracking Cookie Phân loại Phần mềm quảng cáo theo NIST Phần mềm gián điệp Attacker Tool Phishing Virus Hoax Hình 1. 2. Phân loại mã độc theo NIST 1.1.4. Xu hướng phát triển và sự cải tiến của mã độc Theo dự báo của các nhà chuyên môn mã độc ngày càng có xu hƣớng phát triển mạnh mẽ, phức tạp và tinh vi hơn. Đặc biệt là sự bùng nổ của mã độc mang tên ransomware trong những năm gần đây. Các mẫu mã độc không phụ thuộc vào tập tin (tập tin-less mã độc) sẽ trở nên phổ biến hơn trong các cuộc tấn công APT do bản chất không phát hiện đƣợc bằng các chƣơng trình chống virus truyền thống [6, 7]. Mã độc phát triển nhanh chóng theo xu hƣớng phát triển của công nghệ máy tính. Càng ngày, mã độc càng trải qua những thay đổi đáng kể về đặc điểm, phân loại cũng nhƣ mục tiêu sử dụng. Cùng với sự bùng nổ của mạng máy tính, thiết bị di động, mã độc cũng tăng trƣởng với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứng với các công nghệ và nền tảng mới. Nếu nhƣ ban đầu mục tiêu của mã độc chỉ nhắm đến những máy tính đơn lẻ, thì ngày nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ chế lây lan phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ. 7 Nghiêm trọng hơn, mã độc có thể đƣợc phát triển phức tạp và thiết kế tinh vi với mục đích gián điệp, phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới, dẫn đến nguy cơ về một cuộc chiến tranh mạng Cyberwar lan rộng. 1.2. Các nguy cơ mất an toàn thông tin từ mã độc Ngày nay, với nền công nghệ, máy móc phát triển, gần nhƣ mọi ngƣời có thể mang theo cả thế giới thông tin trong ngƣời. Công cuộc đảm bảo an toàn an ninh trở nên phức tạp hơn khi số lƣợng ứng dụng sử dụng trên thiết bị là vô cùng lớn, trong khi ngƣời dùng không có khả năng hoặc không có kiến thức thƣờng trao hoàn toàn quyền hệ thống cho các ứng dụng dẫn tới khả năng mất an toàn thông tin trở nên dễ dàng hơn bao giờ hết. Mặt khác, việc truy cập dữ liệu nhạy cảm thông qua các mạng internet công cộng hoặc đƣờng truyền không đƣợc đảm bảo cũng làm tăng mức độ rủi ro mất mát dữ liệu. Ngoài ra, bản thân hệ điều hành của thiết bị và những ứng dụng bản quyền cũng có nhiều lỗ hổng có thể bị khai thác cũng là một nguyên nhân dẫn tới mất an toàn thông tin [6, 7, 8]. 1.2.1. Nguy cơ mất an toàn từ người dùng Hiện nay mã độc chủ yếu lây nhiễm vào hệ thống thông tin bằng cách đánh vào nhận thức cũng nhƣ tâm lý của ngƣời dùng. Mã độc có thể lây nhiễm vào máy tính ngƣời sử dụng thông qua các tập tin đính kèm thƣ. Các tập tin này thƣờng đính kèm các thƣ điện tử của ngƣời lạ gửi đến nạn nhân hoặc thƣ điện tử giả mạo một cơ quan tổ chức. Hay đơn giản hơn chỉ cần ngƣời dùng truy cập vào một trang web độc hại là ngƣời dùng đã có thể bị lây nhiễm mã độc vào máy tính của mình. Các trang web này thƣờng lừa ngƣời sử dụng truy cập thông qua các liên kết gửi qua mạng xã hội, thƣ điện tử hay tin nhắn. Vì vậy, ngƣời sử dụng cần thật cẩn trọng khi truy cập vào các trang web lạ đƣợc gửi đến từ ngƣời khác trong quá trình sử dụng dịch vụ trên mạng internet cá nhân. 8