BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HCM
ĐỒ ÁN CHUYÊN NGÀNH
TÌM HIỂU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC ĐỘNG BẰNG PHƯƠNG PHÁP
KERNEL DEBUGGING VỚI WINDBG
Ngành:
CÔNG NGHỆ THÔNG TIN
Chuyên ngành:
AN TOÀN THÔNG TIN
Giảng viên hướng dẫn
: VĂN THIÊN HOÀNG
Sinh viên thực hiện
: TRỊNH BẢO LONG
MSSV: 1711060183
Lớp: 17DTHB1
TP. Hồ Chí Minh, 2021
MỞ ĐẦU ........................................................................................................................ 5
Danh mục hình ảnh: ..................................................................................................... 6
Chương 1.TỔNG QUAN: ............................................................................................ 7
1.1.Tên đề tài: ............................................................................................................ 7
1.2.Tổng quan về đề tài:............................................................................................ 7
1.2.1.Các loại mã độc phổ biến: .............................................................................. 7
1.2.1.1 Virus : ........................................................................................................7
1.2.1.2 Trojan horse:..............................................................................................8
1.2.1.3 Spammer:...................................................................................................8
1.2.1.4 Flooder: .....................................................................................................8
1.2.1.5 Keylogger: .................................................................................................8
1.3.Nhiệm vụ của đồ án và cấu trúc của đồ án: ...................................................... 8
1.3.1 Thực trạng hiện nay: (nguồn: báo cáo từ website CyStack.net - 2018) ......... 8
1.3.2 Mục đích và ý nghĩa khoa học thực tiễn: ...................................................... 15
1.3.3 Mục tiêu, đối tượng và phạm vi nghiên cứu: ................................................ 15
1.4.Cấu trúc đồ án: .................................................................................................. 15
Chương 2. CƠ SỞ LÝ THUYẾT: ............................................................................. 17
2.1.Phân loại mã độc,cách thức tấn công và cấu trúc của từng loại mã độc: .... 17
2.1.1.Phân loại theo hình thức lây nhiễm: ............................................................. 17
2.1.1.1.Trap Door: ...............................................................................................17
2.1.1.2.Logic Bombs: ..........................................................................................17
2.1.1.3.Trojan Horses: .........................................................................................18
2.1.1.4.Virus: .......................................................................................................18
2.1.1.5.Worm: ......................................................................................................19
2.1.1.6.Zombie: ...................................................................................................19
2.1.2.Phân loại NIST (Nation Institute of Standards and Technology- Viện Tiêu
chuẩn và Công nghệ Quốc gia Mỹ): ...................................................................... 20
2.1.2.1.Virus: .......................................................................................................20
2.1.2.2.Worm: ......................................................................................................20
2.1.2.3.Trojan Horses: .........................................................................................21
2
2.1.2.4.Malicious Mobile Code: ..........................................................................21
2.1.2.5.Tracking Cookie: .....................................................................................22
2.1.2.6.Phần mềm gián điệp (Spyware): .............................................................22
2.1.2.7.Phần mềm quản cáo:(Adware) : ..............................................................23
2.1.2.8.Attacker Tool:..........................................................................................23
2.1.2.9.Phishing: ..................................................................................................24
2.1.2.10.Virus Hoax: ...........................................................................................25
2.2.Các phương pháp phát hiện mã độc: .............................................................. 25
2.2.1.Phương pháp phát hiện dựa vào chuỗi nhận dạng: ..................................... 26
2.2.2.Phương pháp phát hiện dựa trên hành vi: .................................................... 27
2.2.3.Phát hiện dựa trên ý định: ............................................................................ 27
2.3.Các phương pháp phòng chống mã độc: ........................................................ 27
2.4.Cơ bản về phân tích mã độc- phân tích mã độc động (Dynamic Analysis): 28
2.4.1.Khái niệm ...................................................................................................... 28
2.4.2.Phân loại:...................................................................................................... 28
2.4.2.1.Phân tích thông tin sơ bộ mã độc hại: .....................................................28
2.4.2.2.Phân tích thông tin chi tiết hoạt động của mã độc hại: ...........................29
2.4.3.Mục đích........................................................................................................ 31
2.4.4.Một số nguồn Malware: ................................................................................ 32
2.4.5.Môi trường và các công cụ hỗ trợ phân tích mã độc: .................................. 32
2.4.5.1Xây dựng môi trường phân tích. ..............................................................33
2.5.Các kỹ thuật phân tích mã độc: ....................................................................... 33
2.5.1.Phân tích mã nguồn tĩnh:.............................................................................. 33
2.5.1.1.Tìm các chuỗi dữ liệu ..............................................................................33
2.5.1.2.Đóng gói và xáo trộn ...............................................................................34
2.5.2.Phân tích mã nguồn động: ............................................................................ 35
2.6.Debugging: ......................................................................................................... 37
2.6.1.Debugger là gì?Được dùng làm gì? ............................................................. 37
2.6.2.Các loại Debug: ............................................................................................ 38
3
2.6.2.1. Các Debugger Mức Mã Nguồn và Mức Hợp Ngữ (source-level và
assembly-level) ....................................................................................................38
2.6.2.2. Debug Mức Nhân và Debug Mức Người Dùng .....................................38
2.6.3.Breakpoint: ................................................................................................... 39
Chương 3: KẾT QUẢ VÀ THỰC NGHIỆM (Kỹ thuật phân tích)....................... 42
3.1.VMWare Workstation. ..................................................................................... 42
3.1.1.Tổng quan: .................................................................................................... 42
3.1.2.Vì sao cẩn phải sử dụng VMWare : .............................................................. 42
3.2.Công cụ WinDbg (Windows Debugging): ....................................................... 42
3.2.1.Tổng quan: .................................................................................................... 42
3.2.2.Kernel ............................................................................................................ 44
3.2.2.1.Khái niệm: ...............................................................................................44
3.3. Thực nghiệm. .................................................................................................... 44
3.3.1.Phân tích Tĩnh (Static Analysis) ................................................................... 45
3.3.2.Phân tích Động (Dynamic Analysis). ........................................................... 49
3.3.3.Kernel Debugging with WinDbg................................................................... 52
Chương 4: Kết Luận................................................................................................... 57
4.1. Kết quả đạt được:............................................................................................. 57
4.2.Đánh giá: ............................................................................................................ 57
4.2.1.Những điều làm được: .................................................................................. 57
4.2.2.Những điều chưa làm được: ......................................................................... 57
4.3.Hướng phát triển: ............................................................................................. 57
Tài liệu tham khảo: .................................................................................................... 58
4
MỞ ĐẦU
Lời đầu tiên, em xin cảm ơn thầy Văn Thiên Hoàng và thầy Nguyễn Hoàng Duy
đã góp ý và giúp em hoàn thành cuốn đồ án này.
Ngày nay việc phổ cập công nghệ đã trở nên phổ biến đối với mọi người trong
chúng ta. Nhưng song song với đó kéo theo những hiểm họa về An toàn thông tin người
dùng ngày một tăng lên. Virus, phần mềm độc hại…. gọi chung là mã độc (Malware) là
hiểm họa lớn nhất đối với hệ thống máy tính chúng ta. Nó đến từ đâu, hoạt động như thế
nào, ngăn chặn ra sao thì rất ít người hiểu và làm được.
Việc phân tích mã độc trong điều tra số và thu thập thông tin trên máy tính là cực
kì quan trọng. Việc này giúp chúng ta xác định được tầm ảnh hưởng, mục tiêu, đối tượng
và phương thức xâm nhập hay cách lây lan của mã độc. Từ đó có thể tìm ra được cách
phỏng chống cũng như khoanh vùng và truy tìm ra thủ phạm đã sử dụng mã độc đó để
trục lợi cho bản thân.
Chính vì thế và mục tiêu của đồ án này là tìm hiểu về một số phương pháp phân
tích mã độc cụ thể hơn là kỹ thuật phân tích mã độc Động bằng các phương pháp khác
nhau thông qua các công cụ hỗ trợ nhằm hiểu rõ hơn về các thông tin từ mã độc cũng
như một số cách phân biệt và phòng chống.
Sinh Viên Thực Hiện:
Trịnh Bảo Long
5
Danh mục hình ảnh:
Hình
Tên
1.1
Malware
1.2
Bản đồ tấn công mạng theo thời gian thực – Cystack.net
1.3
Bản đồ tấn công mạng theo thời gian thực – Cystack.net
1.4
Security
1.5
Thực trạng an toàn thông tin tại Việt Nam
1.6
Biểu đồ Số vụ tấn công website tại Việt Nam và Thế
Giới
1.7
Bản đồ tấn công của WannaCry
2.1
Tiến trình Process
2.2
Process Explorer
2.3
Máy ảo chạy trong thiết bị vật lý
2.4
Chuỗi ASCII kết thúc bằng 1 byte NULL.
2.5
Chuỗi Unicode kết thúc bằng 2 byte NULL
2.6
Chương trình bên trái là một chương trình bình thường,
Chương trình bên phải là một chương trình sử dụng kỹ
thuật đóng gói để dấu dữ liệu.
2.7
Công cụ bắt gói tin WireShark.
3.1
VMWare Workstation
3.2
Giao diện WinDbg
3.3
Sử dụng WinDbg để phân tích RootKit
3.4
Sơ đồ khối mô tả Kernel trong Hệ Điều Hành
6
Chương 1.TỔNG QUAN:
1.1.Tên đề tài:
Tìm hiểu về kỹ thuật phân tích mã độc động bằng phương pháp Kernel Debugging với
WinDbg.
(Hình 1.1: Malware)
1.2.Tổng quan về đề tài:
Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào hệ
thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông
tin, làm gián đoạn , tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính
nạn nhân. Mã độc được phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm,
phá hoại: virus, worm, trojan, rootkit…
Chúng ta cùng sơ lược lại về Malware:
1.2.1.Các loại mã độc phổ biến:
1.2.1.1 Virus :
Là chương trình có khả năng phân tích nhân bản (replicate) chính bản thân nó ở nhiều
chương trình khác nhau thì sẽ được thực thi. Thông thường Virus sẽ được thêm vào đuôi
các chương trình máy tính bị lây nhiễm. Worm là một dạng đặc biệt của Virus với phạm
vi hoạt động trong môi trường mạng máy tính.
7
1.2.1.2 Trojan horse:
Đây là chương trình độc hại có khả năng bắt chước các chương trình thông thường.
Mục tiêu Trojan là đánh cắp thông tin và gửi dữ liệu về cho các hacker. Backdoor là một
dạng đặc biệt của Trojan với khả năng mở cổng hậu cho phép kết nối đến hệ thống.
1.2.1.3 Spammer:
Chương trình này gửi mail đến một nhóm lớn người dùng.
1.2.1.4 Flooder:
Tấn công hệ thống mạng máy tính với một lượng lớn gói tin, ví dụ như hình thức tấn
công từ chối dịch vụ (denial of service).
1.2.1.5 Keylogger:
Chương trình này có khả năng ghi lại tất cả các quá trình nhấn phím (Keystroke) trên
máy tính của nạn nhân, để thu thập các thông tin nhạy cảm.
….
Vì vậy để tìm được mã độc ta cần phải có phương pháp phân tích và kỹ thuật phân tích
các mã độc (Malware Analysis) khác nhau. Trong đó, phương pháp phân tích mã độc
Động (Dynamic Analysis) là một trong số đó.
1.3.Nhiệm vụ của đồ án và cấu trúc của đồ án:
1.3.1 Thực trạng hiện nay: (nguồn: báo cáo từ website CyStack.net - 2018)
Tình hình an ninh mạng thời gian qua có gì đáng chú ý?
600 tỉ đô la Mỹ, tương đương 0,8 phần trăm GDP toàn cầu bị tổn thất vì các cuộc tấn
công mạng chỉ riêng trong năm 2017
Mỗi phút trôi qua, sẽ có thêm 1 website bị tin tặc kiểm soát
Việt Nam đứng thứ 19 trong các quốc gia có số website bị tấn công nhiều nhất thế giới
trong quý 3/2018 với 1.183 website. Hơn 70% số website đó là website doanh nghiệp.
Malware đang “hot” hiện nay là coin-mining malware (Mã độc đào tiền ảo) – sự góp
mặt của dòng malware này đã khiến ransomware (mã độc tống tiền) phải “giảm giá”
xuống mức xấp xỉ $500 một lần mở khóa dữ liệu
8
Những số liệu an ninh mạng đó có ý nghĩa gì?
Trước hết, tất cả mọi con số đều trỏ chung về một viễn cảnh tương lai của thế giới mạng
– các cuộc tấn công mạng đã, đang và sẽ tăng với vận tốc chóng mặt cả về số lượng, độ
tinh vi cũng như sự phong phú trong hình thức tấn công.
Tuy nhiên, bạn chưa cần vội lo lắng. Hãy tận dụng thời gian để tìm hiểu về tình hình an
ninh mạng hiện tại và những vấn đề xoay quanh chủ đề rất nhức nhối này, bắt đầu
từ infographic về các cuộc tấn công mạng lớn nhất, những hậu quả của việc website bị
gián đoạn, hay infographic ngay bên dưới đây.
9
(Hình 1.2. Bản đồ tấn công mạng theo thời gian thực – Cystack.net)
10
(Hình 1.3. Bản đồ tấn công mạng theo thời gian thực – Cystack.net)
11
Tình hình an ninh mạng qua những số liệu:
Theo Báo cáo an ninh website Q3, 2018 của CyStack, trong quý 3 năm 2018 đã có
129.722 website trên thế giới bị tin tặc tấn công và chiếm quyền điều khiển.
Như vậy, cứ mỗi phút trôi qua lại có 1 website bị tin tặc kiểm soát. Con số này ở tháng
7 là 43.110, sau đó giảm còn 41.405 ở tháng 8 và tăng mạnh lên 45.207 vào tháng 9.
Tình trạng phục hồi:
Vào thời điểm cuối tháng 9/2018, có đến 21,48% website bị tấn công ở tháng 7 vẫn chưa
được khôi phục nguyên trạng; số liệu ở tháng 8 và tháng 9 lần lượt là 33,87% và 44,08%.
Cho đến thời điểm hiện tại, trong tổng số 41.405 website bị tấn công vào tháng 8, vẫn
còn tới còn 12.102 website chưa được khắc phục.
Điều này cho thấy rất nhiều chủ sở hữu đã không thực sự quan tâm đến bảo mật cho
website của mình, không biết mình đã bị tấn công hoặc không biết cách xử lý sự cố.
Tình hình trong nước:
(Hình 1.4: Security)
12
Việt Nam lọt vào top 20 quốc gia có số lượng website bị tấn công lớn nhất thế giới trong
quý 3 năm 2018, theo Báo cáo an ninh website quý 3 năm 2018 bởi CyStack. Ở vị trí
thứ 19, Việt Nam có 1.183 website bị tấn công, trong đó website doanh nghiệp là đối
tượng của đại đa số các tin tặc. Cụ thể, 71,51% số cuộc tấn công nhằm vào các website
doanh nghiệp, theo sau bởi website thương mại điện tử với 13,86%.
(Hình 1.5: Thực trạng an toàn thông tin tại Việt Nam -2017)
13
(Hình 1.6: Biểu đồ Số vụ tấn công website tại Việt Nam và Thế Giới (2019 -Baomoi.com)
(Hình 1.7: Bản đồ cuộc tấn công của WannaCry -Wikipedia)
Các xu hướng tấn công an ninh mạng hiện nay:
•
Mã độc tống tiền.
•
Mã độc đào tiền ảo (Coin mining malware- Tâm điểm an ninh mạng trong những
năm qua).
14
•
Tấn công nhằm vào đối tượng cụ thể nhằm các mục đích khác nhau (chủ yếu là
khai thách thông tin).
•
Malware trên thiết bị di động : Tăng nhanh!!!
Vì vậy mình khuyên mọi người rằng:
“Đừng tin bất kì ai trên Internet, hãy bảo vệ chính mình!”
1.3.2 Mục đích và ý nghĩa khoa học thực tiễn:
Với sự phát triển mạnh mẽ của Internet, vấn đề an ninh, bảo đảm an toàn chocác hệ
thống thông tin ngày càng trở nên cấp thiết khi các hệ thống thông tin được kếtnối với
nhau và kết nối với mạng Internet, chúng ta phải đối diện với nhiều nguy cơ bịtấn công
lấy cắp thông tin hoặc phá hoại hệ thống. Trong số các phương thức tấn công phá hoại
hệ thống thông tin và mạng, các phần mềm độc hại là một trong các dạng gây nhiều thiệt
hại
nhất
do
khả
lan
năng
truyền
nhanh
chóng.
Điều này khiến chúng ta càng phải tìm hiểu về Malware một cách đầy đủ và chi tiết
thông qua nhiều phương pháp phân tích mã độc (Malware Analysis) khác nhau.
Ở Đồ Án Chuyên Ngành lần này mục đích của em là tìm hiểu về kỹ thuật phân tích mã
độc Động (Dynamic Analysis) và thực nghiệm bằng phương pháp Kernel Debugging
với WinDbg
1.3.3 Mục tiêu, đối tượng và phạm vi nghiên cứu:
Mục tiêu: Sử dụng thành thạo các công cụ Tools để phân tích cơ bản được Malware trên
Windows bằng phương pháp phân tích Động.
: Thực hiện phân tích bằng phương pháp Kernel Debugging với WinDbg .
Đối tượng: Mọi người.
Phạm vi nghiên cứu: Phương pháp phân tích động Malware.
1.4.Cấu trúc đồ án:
• Chương 1: Tổng quan về đề tài :Sơ lược về đề tài, khái niệm cơ bản, nhiệm vụ,
mục tiêu đề tài.
• Chương 2: Cơ sở lý thuyết: Trình bày các khái niệm và phương pháp giải quyết
vấn đề bao gồm : Tìm hiểu sâu về các loại mã độc, mô hình, cấu trúc của từng
15
loại. Đưa ra so sánh giữa các loại mã độc với nhau, cách thức tấn công của chúng.
Nêu các biện pháp phòng tránh mã độc. Cuối cùng mô tả các kỹ thuật phân tích
mã độc.
• Chương 3: Kết quả thực nghiệm : Mô tả công việc thực nghiệm, đề tài tiến hành,
các kết quả nghiên cứu lý thuyết, kết quả đạt được, có demo sản phẩm.
• Chương 4: Kết luận và kiến nghị : Nêu những kết luận chung, khẳng định những
kết quả đạt được, những đóng góp, đề xuất mới và kiến nghị (nếu có) .
16
Chương 2. CƠ SỞ LÝ THUYẾT:
Để tìm hiểu kỹ thuật phân tích mã độc động (Dynamic Analysis), trước tiên chúng ta
cần tìm hiểu sâu vào các loại mã độc, cấu trúc, cách thức tấn công, so sánh và cách thức
phòng tránh mã độc.
2.1.Phân loại mã độc,cách thức tấn công và cấu trúc của từng loại mã độc:
2.1.1.Phân loại theo hình thức lây nhiễm:
Theo hình thức trên thì có 2 loại chính: Một loại cần vật chủ để lây nhiễm, vật chủ ở đây
là các file dữ liệu, các file ứng dụng, hay các file chương trình thực thi… và một loại
tồn tại độc lập.
Độc lập nghĩa là đó là chương trình độc hại mà có thể được lập lịch và chạy trên hệ điều
hành.
Không độc lập (needs host program ) là 1 đoạn chương trình đặc biệt thuộc 1 chương
trình nào đó không thể thực thi độc lập như 1 chương trình thông thường hay tiện ích
nào đó mà bắt buộc phải có bước kích hoạt tường chương trình chủ trước đó thì mã độc
mới bắt đầu chạy.
2.1.1.1.Trap Door:
(Còn được gọi là Back Door. )
Trap Door mang ý nghĩa là một “cánh cửa” để vào một tòa nhà. Trap Door là một điểm
bí mật trong chương trình, cho phép một ai đó có thể truy cập lại hệ thống mà không
phải vượt qua các hàng rào an ninh thông thường. Trap Door được sử dụng bởi các nhà
lập trình với mục đích dò lỗi, kiểm tra chương trình.
2.1.1.2.Logic Bombs:
Logic bomb là đoạn mã độc được nhúng vào một chương trình hợp pháp mà chúng có
thể thực thi khi có một sự kiện nào đó xảy ra. Các đoạn mã thường được chèn vào các
ứng dụng hoặc các hệ điều hành để thực hiện việc phá hủy hệ thống hoặc phá hủy các
chức năng an toàn của hệ thống.
Logic bomb có thể gửi thông báo tới kẻ tấn công khi người dùng truy nhập Internet và
sử dụng một chương trình đặc biệt nào đó như bộ xử lý văn bản. Từ đó attacker có thể
17
chuẩn bị cho các cuộc tấn công (chẳng hạn kết hợp với các máy tính khác bị nhiễm để
bắt đầu một cuộc tấn công từ chối dịch vụ).
2.1.1.3.Trojan Horses:
Trojan Horse là loại mã độc hại được đặt theo sự tích “Ngựa thành Troy”. Trojan horse
không có khả năng tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất bình
thường nhưng thực chất bên trong có ẩn chứa các đoạn mã với mục đích gây hại.
2.1.1.4.Virus:
Virus là một loại mã độc hại có khả năng tự nhân bản và lây nhiễm chính nó vào các
file, chương trình hoặc máy tính. Virus phải luôn bám vào vật chủ( có thể là file dữ liệu
hoặc file ứng dụng ) để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực
thi việc phòng chống và diệt virus, để quét các file trên các thiết bị lưu trữ, quét các file
trước khi lưu xuống ổ cứng. Vì vậy đôi khi các phần mềm diệt virus tại PC đưa thông
báo “phát hiện nhưng không diệt được” khi thấy có các dấu hiệu hoạt động của virus
trên PC vì “vật mang virus” lại nằm trên một máy khác nên không thể thực thi việc xóa
đoạn mã độc đó.
Virus có thể làm bất cứ việc gì mà các chương trình khác có thể làm. Virus chỉ khác ở
điểm nó tự đính kèm nó tới một chương trình và thực thi bí mật khi chương trình mang
virut được thực thi. Khi virus được thực thi nó có thể làm bất kỳ việc gì trên hệ thống
như xóa file, chương trình. Vòng đời virus gồm 4 giai đoạn:
Dormant (nằm im): Trong giai đoạn này virut không làm gì cho đến khi được kích hoạt
bởi một ai đó hay một sự kiện nào đó.
Propagation (lây lan): Trong giai đoạn này virus thực hiện việc copy chính nó tới các
chương trình, vị trí khác trong ổ đĩa.
Triggering: Trong giai đoạn này virus được kích hoạt để thực thi chức năng của nó.
Execution: Chức năng của virus được thực thi. Chức năng có thể là vô hại như gửi một
thông điệp nào đó tới màn hình, hoặc một chức năng có hại như phá hủy các chương
trình, các file hệ thống.
18
2.1.1.5.Worm:
Worm là chương trình độc hại có khả năng tự nhân bản và tự lây nhiễm trong hệ thống
mà không cần file chủ để mang nó khi nhiễm vào hệ thống. Như vậy Worm không bám
vào một file hoặc một vùng nào đó trên đĩa cứng, vì vậy không thể dùng các chương
trình quét file để diệt Worm.
Mục tiêu của Worm là làm lãng phí băng thông của mạng, phá hoại hệ thống như xóa
file, tạo back door, thả keylogger…
Tấn công của Worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác dụng
của con người( như khởi động máy, copy file hay đóng/mở file).
Worm có thể chia làm 2 loại:
Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng,
của hệ điều hành hoặc của ứng dụng.
Ví dụ Sasser (W32.Sasser.Worm) bắt đầu lây lan trên mạng vào 1/5/2004 có thể tự động
lây lan bất cứ máy tính nào kết nối internet. Nó lợi dụng lỗ hổng bảo mật Local Security
Authority Subsystem Service (LSASS - lỗi này đã được Microsoft công bố và phát hành
bản sửa lỗi ngày 13-4-2004) để tấn công các máy cài Windows 2000/ XP/ Server 2003.
Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói
để tấn công và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm
vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa
chỉ thu nhặt được. Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho
mạng hoặc cho máy chủ mail.
2.1.1.6.Zombie:
Zombie là chương trình độc hại bí mật liên kết với một máy tính khác ngoài internet để
nghe lệnh từ các máy tính đó. Các Zombie thường sử dụng trong các cuộc tấn công từ
chối dịch vụ DDoS để tấn công vào một website nào đó.
Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc tấn công
DDoS. Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lênh
tấn công cùng một lúc.
19
Ví dụ Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng được sử dụng như các
công cụ để thực hiện tấn công DDoS.
2.1.2.Phân loại NIST (Nation Institute of Standards and Technology- Viện Tiêu
chuẩn và Công nghệ Quốc gia Mỹ):
2.1.2.1.Virus:
Với cách định nghĩa, phân loại này, virus là một loại mã độc hại (Maliciuos code) có
khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính.
Như vậy virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file
ứng dụng) để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc
phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu
xuống ổ cứng… Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC
đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt
động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực
thi việc xoá đoạn mã độc hại đó.
2.1.2.2.Worm:
Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống
tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là Worm không cần phải có
“file chủ” để mang nó khi nhiễm vào hệ thống. Như vậy, có thể thấy rằng chỉ dùng các
chương trình quét file sẽ không diệt được Worm trong hệ thống vì Worm không “bám”
vào một file hoặc một vùng nào đó trên đĩa cứng. Mục tiêu của Worm bao gồm cả làm
lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá file, tạo backdoor,
thả keylogger,… Tấn công của Worm có đặc trưng là lan rộng cực kỳ nhanh chóng do
không cần tác động của con người (như khởi động máy, copy file hay đóng/mở file).
Worm có thể chia làm 2 loại:
Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng,
của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho loại sâu này.
Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói
để tấn công và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm
vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa
20
- Xem thêm -