Tài liệu Tìm hiểu kỹ thuật phân tích mã độc động bằng phương pháp kernel debugging với windbg

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HCM ĐỒ ÁN CHUYÊN NGÀNH TÌM HIỂU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC ĐỘNG BẰNG PHƯƠNG PHÁP KERNEL DEBUGGING VỚI WINDBG Ngành: CÔNG NGHỆ THÔNG TIN Chuyên ngành: AN TOÀN THÔNG TIN Giảng viên hướng dẫn : VĂN THIÊN HOÀNG Sinh viên thực hiện : TRỊNH BẢO LONG MSSV: 1711060183 Lớp: 17DTHB1 TP. Hồ Chí Minh, 2021 MỞ ĐẦU ........................................................................................................................ 5 Danh mục hình ảnh: ..................................................................................................... 6 Chương 1.TỔNG QUAN: ............................................................................................ 7 1.1.Tên đề tài: ............................................................................................................ 7 1.2.Tổng quan về đề tài:............................................................................................ 7 1.2.1.Các loại mã độc phổ biến: .............................................................................. 7 1.2.1.1 Virus : ........................................................................................................7 1.2.1.2 Trojan horse:..............................................................................................8 1.2.1.3 Spammer:...................................................................................................8 1.2.1.4 Flooder: .....................................................................................................8 1.2.1.5 Keylogger: .................................................................................................8 1.3.Nhiệm vụ của đồ án và cấu trúc của đồ án: ...................................................... 8 1.3.1 Thực trạng hiện nay: (nguồn: báo cáo từ website CyStack.net - 2018) ......... 8 1.3.2 Mục đích và ý nghĩa khoa học thực tiễn: ...................................................... 15 1.3.3 Mục tiêu, đối tượng và phạm vi nghiên cứu: ................................................ 15 1.4.Cấu trúc đồ án: .................................................................................................. 15 Chương 2. CƠ SỞ LÝ THUYẾT: ............................................................................. 17 2.1.Phân loại mã độc,cách thức tấn công và cấu trúc của từng loại mã độc: .... 17 2.1.1.Phân loại theo hình thức lây nhiễm: ............................................................. 17 2.1.1.1.Trap Door: ...............................................................................................17 2.1.1.2.Logic Bombs: ..........................................................................................17 2.1.1.3.Trojan Horses: .........................................................................................18 2.1.1.4.Virus: .......................................................................................................18 2.1.1.5.Worm: ......................................................................................................19 2.1.1.6.Zombie: ...................................................................................................19 2.1.2.Phân loại NIST (Nation Institute of Standards and Technology- Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ): ...................................................................... 20 2.1.2.1.Virus: .......................................................................................................20 2.1.2.2.Worm: ......................................................................................................20 2.1.2.3.Trojan Horses: .........................................................................................21 2 2.1.2.4.Malicious Mobile Code: ..........................................................................21 2.1.2.5.Tracking Cookie: .....................................................................................22 2.1.2.6.Phần mềm gián điệp (Spyware): .............................................................22 2.1.2.7.Phần mềm quản cáo:(Adware) : ..............................................................23 2.1.2.8.Attacker Tool:..........................................................................................23 2.1.2.9.Phishing: ..................................................................................................24 2.1.2.10.Virus Hoax: ...........................................................................................25 2.2.Các phương pháp phát hiện mã độc: .............................................................. 25 2.2.1.Phương pháp phát hiện dựa vào chuỗi nhận dạng: ..................................... 26 2.2.2.Phương pháp phát hiện dựa trên hành vi: .................................................... 27 2.2.3.Phát hiện dựa trên ý định: ............................................................................ 27 2.3.Các phương pháp phòng chống mã độc: ........................................................ 27 2.4.Cơ bản về phân tích mã độc- phân tích mã độc động (Dynamic Analysis): 28 2.4.1.Khái niệm ...................................................................................................... 28 2.4.2.Phân loại:...................................................................................................... 28 2.4.2.1.Phân tích thông tin sơ bộ mã độc hại: .....................................................28 2.4.2.2.Phân tích thông tin chi tiết hoạt động của mã độc hại: ...........................29 2.4.3.Mục đích........................................................................................................ 31 2.4.4.Một số nguồn Malware: ................................................................................ 32 2.4.5.Môi trường và các công cụ hỗ trợ phân tích mã độc: .................................. 32 2.4.5.1Xây dựng môi trường phân tích. ..............................................................33 2.5.Các kỹ thuật phân tích mã độc: ....................................................................... 33 2.5.1.Phân tích mã nguồn tĩnh:.............................................................................. 33 2.5.1.1.Tìm các chuỗi dữ liệu ..............................................................................33 2.5.1.2.Đóng gói và xáo trộn ...............................................................................34 2.5.2.Phân tích mã nguồn động: ............................................................................ 35 2.6.Debugging: ......................................................................................................... 37 2.6.1.Debugger là gì?Được dùng làm gì? ............................................................. 37 2.6.2.Các loại Debug: ............................................................................................ 38 3 2.6.2.1. Các Debugger Mức Mã Nguồn và Mức Hợp Ngữ (source-level và assembly-level) ....................................................................................................38 2.6.2.2. Debug Mức Nhân và Debug Mức Người Dùng .....................................38 2.6.3.Breakpoint: ................................................................................................... 39 Chương 3: KẾT QUẢ VÀ THỰC NGHIỆM (Kỹ thuật phân tích)....................... 42 3.1.VMWare Workstation. ..................................................................................... 42 3.1.1.Tổng quan: .................................................................................................... 42 3.1.2.Vì sao cẩn phải sử dụng VMWare : .............................................................. 42 3.2.Công cụ WinDbg (Windows Debugging): ....................................................... 42 3.2.1.Tổng quan: .................................................................................................... 42 3.2.2.Kernel ............................................................................................................ 44 3.2.2.1.Khái niệm: ...............................................................................................44 3.3. Thực nghiệm. .................................................................................................... 44 3.3.1.Phân tích Tĩnh (Static Analysis) ................................................................... 45 3.3.2.Phân tích Động (Dynamic Analysis). ........................................................... 49 3.3.3.Kernel Debugging with WinDbg................................................................... 52 Chương 4: Kết Luận................................................................................................... 57 4.1. Kết quả đạt được:............................................................................................. 57 4.2.Đánh giá: ............................................................................................................ 57 4.2.1.Những điều làm được: .................................................................................. 57 4.2.2.Những điều chưa làm được: ......................................................................... 57 4.3.Hướng phát triển: ............................................................................................. 57 Tài liệu tham khảo: .................................................................................................... 58 4 MỞ ĐẦU Lời đầu tiên, em xin cảm ơn thầy Văn Thiên Hoàng và thầy Nguyễn Hoàng Duy đã góp ý và giúp em hoàn thành cuốn đồ án này. Ngày nay việc phổ cập công nghệ đã trở nên phổ biến đối với mọi người trong chúng ta. Nhưng song song với đó kéo theo những hiểm họa về An toàn thông tin người dùng ngày một tăng lên. Virus, phần mềm độc hại…. gọi chung là mã độc (Malware) là hiểm họa lớn nhất đối với hệ thống máy tính chúng ta. Nó đến từ đâu, hoạt động như thế nào, ngăn chặn ra sao thì rất ít người hiểu và làm được. Việc phân tích mã độc trong điều tra số và thu thập thông tin trên máy tính là cực kì quan trọng. Việc này giúp chúng ta xác định được tầm ảnh hưởng, mục tiêu, đối tượng và phương thức xâm nhập hay cách lây lan của mã độc. Từ đó có thể tìm ra được cách phỏng chống cũng như khoanh vùng và truy tìm ra thủ phạm đã sử dụng mã độc đó để trục lợi cho bản thân. Chính vì thế và mục tiêu của đồ án này là tìm hiểu về một số phương pháp phân tích mã độc cụ thể hơn là kỹ thuật phân tích mã độc Động bằng các phương pháp khác nhau thông qua các công cụ hỗ trợ nhằm hiểu rõ hơn về các thông tin từ mã độc cũng như một số cách phân biệt và phòng chống. Sinh Viên Thực Hiện: Trịnh Bảo Long 5 Danh mục hình ảnh: Hình Tên 1.1 Malware 1.2 Bản đồ tấn công mạng theo thời gian thực – Cystack.net 1.3 Bản đồ tấn công mạng theo thời gian thực – Cystack.net 1.4 Security 1.5 Thực trạng an toàn thông tin tại Việt Nam 1.6 Biểu đồ Số vụ tấn công website tại Việt Nam và Thế Giới 1.7 Bản đồ tấn công của WannaCry 2.1 Tiến trình Process 2.2 Process Explorer 2.3 Máy ảo chạy trong thiết bị vật lý 2.4 Chuỗi ASCII kết thúc bằng 1 byte NULL. 2.5 Chuỗi Unicode kết thúc bằng 2 byte NULL 2.6 Chương trình bên trái là một chương trình bình thường, Chương trình bên phải là một chương trình sử dụng kỹ thuật đóng gói để dấu dữ liệu. 2.7 Công cụ bắt gói tin WireShark. 3.1 VMWare Workstation 3.2 Giao diện WinDbg 3.3 Sử dụng WinDbg để phân tích RootKit 3.4 Sơ đồ khối mô tả Kernel trong Hệ Điều Hành 6 Chương 1.TỔNG QUAN: 1.1.Tên đề tài: Tìm hiểu về kỹ thuật phân tích mã độc động bằng phương pháp Kernel Debugging với WinDbg. (Hình 1.1: Malware) 1.2.Tổng quan về đề tài: Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn , tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân. Mã độc được phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá hoại: virus, worm, trojan, rootkit… Chúng ta cùng sơ lược lại về Malware: 1.2.1.Các loại mã độc phổ biến: 1.2.1.1 Virus : Là chương trình có khả năng phân tích nhân bản (replicate) chính bản thân nó ở nhiều chương trình khác nhau thì sẽ được thực thi. Thông thường Virus sẽ được thêm vào đuôi các chương trình máy tính bị lây nhiễm. Worm là một dạng đặc biệt của Virus với phạm vi hoạt động trong môi trường mạng máy tính. 7 1.2.1.2 Trojan horse: Đây là chương trình độc hại có khả năng bắt chước các chương trình thông thường. Mục tiêu Trojan là đánh cắp thông tin và gửi dữ liệu về cho các hacker. Backdoor là một dạng đặc biệt của Trojan với khả năng mở cổng hậu cho phép kết nối đến hệ thống. 1.2.1.3 Spammer: Chương trình này gửi mail đến một nhóm lớn người dùng. 1.2.1.4 Flooder: Tấn công hệ thống mạng máy tính với một lượng lớn gói tin, ví dụ như hình thức tấn công từ chối dịch vụ (denial of service). 1.2.1.5 Keylogger: Chương trình này có khả năng ghi lại tất cả các quá trình nhấn phím (Keystroke) trên máy tính của nạn nhân, để thu thập các thông tin nhạy cảm. …. Vì vậy để tìm được mã độc ta cần phải có phương pháp phân tích và kỹ thuật phân tích các mã độc (Malware Analysis) khác nhau. Trong đó, phương pháp phân tích mã độc Động (Dynamic Analysis) là một trong số đó. 1.3.Nhiệm vụ của đồ án và cấu trúc của đồ án: 1.3.1 Thực trạng hiện nay: (nguồn: báo cáo từ website CyStack.net - 2018) Tình hình an ninh mạng thời gian qua có gì đáng chú ý? 600 tỉ đô la Mỹ, tương đương 0,8 phần trăm GDP toàn cầu bị tổn thất vì các cuộc tấn công mạng chỉ riêng trong năm 2017 Mỗi phút trôi qua, sẽ có thêm 1 website bị tin tặc kiểm soát Việt Nam đứng thứ 19 trong các quốc gia có số website bị tấn công nhiều nhất thế giới trong quý 3/2018 với 1.183 website. Hơn 70% số website đó là website doanh nghiệp. Malware đang “hot” hiện nay là coin-mining malware (Mã độc đào tiền ảo) – sự góp mặt của dòng malware này đã khiến ransomware (mã độc tống tiền) phải “giảm giá” xuống mức xấp xỉ $500 một lần mở khóa dữ liệu 8 Những số liệu an ninh mạng đó có ý nghĩa gì? Trước hết, tất cả mọi con số đều trỏ chung về một viễn cảnh tương lai của thế giới mạng – các cuộc tấn công mạng đã, đang và sẽ tăng với vận tốc chóng mặt cả về số lượng, độ tinh vi cũng như sự phong phú trong hình thức tấn công. Tuy nhiên, bạn chưa cần vội lo lắng. Hãy tận dụng thời gian để tìm hiểu về tình hình an ninh mạng hiện tại và những vấn đề xoay quanh chủ đề rất nhức nhối này, bắt đầu từ infographic về các cuộc tấn công mạng lớn nhất, những hậu quả của việc website bị gián đoạn, hay infographic ngay bên dưới đây. 9 (Hình 1.2. Bản đồ tấn công mạng theo thời gian thực – Cystack.net) 10 (Hình 1.3. Bản đồ tấn công mạng theo thời gian thực – Cystack.net) 11 Tình hình an ninh mạng qua những số liệu: Theo Báo cáo an ninh website Q3, 2018 của CyStack, trong quý 3 năm 2018 đã có 129.722 website trên thế giới bị tin tặc tấn công và chiếm quyền điều khiển. Như vậy, cứ mỗi phút trôi qua lại có 1 website bị tin tặc kiểm soát. Con số này ở tháng 7 là 43.110, sau đó giảm còn 41.405 ở tháng 8 và tăng mạnh lên 45.207 vào tháng 9. Tình trạng phục hồi: Vào thời điểm cuối tháng 9/2018, có đến 21,48% website bị tấn công ở tháng 7 vẫn chưa được khôi phục nguyên trạng; số liệu ở tháng 8 và tháng 9 lần lượt là 33,87% và 44,08%. Cho đến thời điểm hiện tại, trong tổng số 41.405 website bị tấn công vào tháng 8, vẫn còn tới còn 12.102 website chưa được khắc phục. Điều này cho thấy rất nhiều chủ sở hữu đã không thực sự quan tâm đến bảo mật cho website của mình, không biết mình đã bị tấn công hoặc không biết cách xử lý sự cố. Tình hình trong nước: (Hình 1.4: Security) 12 Việt Nam lọt vào top 20 quốc gia có số lượng website bị tấn công lớn nhất thế giới trong quý 3 năm 2018, theo Báo cáo an ninh website quý 3 năm 2018 bởi CyStack. Ở vị trí thứ 19, Việt Nam có 1.183 website bị tấn công, trong đó website doanh nghiệp là đối tượng của đại đa số các tin tặc. Cụ thể, 71,51% số cuộc tấn công nhằm vào các website doanh nghiệp, theo sau bởi website thương mại điện tử với 13,86%. (Hình 1.5: Thực trạng an toàn thông tin tại Việt Nam -2017) 13 (Hình 1.6: Biểu đồ Số vụ tấn công website tại Việt Nam và Thế Giới (2019 -Baomoi.com) (Hình 1.7: Bản đồ cuộc tấn công của WannaCry -Wikipedia) Các xu hướng tấn công an ninh mạng hiện nay: • Mã độc tống tiền. • Mã độc đào tiền ảo (Coin mining malware- Tâm điểm an ninh mạng trong những năm qua). 14 • Tấn công nhằm vào đối tượng cụ thể nhằm các mục đích khác nhau (chủ yếu là khai thách thông tin). • Malware trên thiết bị di động : Tăng nhanh!!! Vì vậy mình khuyên mọi người rằng: “Đừng tin bất kì ai trên Internet, hãy bảo vệ chính mình!” 1.3.2 Mục đích và ý nghĩa khoa học thực tiễn: Với sự phát triển mạnh mẽ của Internet, vấn đề an ninh, bảo đảm an toàn chocác hệ thống thông tin ngày càng trở nên cấp thiết khi các hệ thống thông tin được kếtnối với nhau và kết nối với mạng Internet, chúng ta phải đối diện với nhiều nguy cơ bịtấn công lấy cắp thông tin hoặc phá hoại hệ thống. Trong số các phương thức tấn công phá hoại hệ thống thông tin và mạng, các phần mềm độc hại là một trong các dạng gây nhiều thiệt hại nhất do khả lan năng truyền nhanh chóng. Điều này khiến chúng ta càng phải tìm hiểu về Malware một cách đầy đủ và chi tiết thông qua nhiều phương pháp phân tích mã độc (Malware Analysis) khác nhau. Ở Đồ Án Chuyên Ngành lần này mục đích của em là tìm hiểu về kỹ thuật phân tích mã độc Động (Dynamic Analysis) và thực nghiệm bằng phương pháp Kernel Debugging với WinDbg 1.3.3 Mục tiêu, đối tượng và phạm vi nghiên cứu: Mục tiêu: Sử dụng thành thạo các công cụ Tools để phân tích cơ bản được Malware trên Windows bằng phương pháp phân tích Động. : Thực hiện phân tích bằng phương pháp Kernel Debugging với WinDbg . Đối tượng: Mọi người. Phạm vi nghiên cứu: Phương pháp phân tích động Malware. 1.4.Cấu trúc đồ án: • Chương 1: Tổng quan về đề tài :Sơ lược về đề tài, khái niệm cơ bản, nhiệm vụ, mục tiêu đề tài. • Chương 2: Cơ sở lý thuyết: Trình bày các khái niệm và phương pháp giải quyết vấn đề bao gồm : Tìm hiểu sâu về các loại mã độc, mô hình, cấu trúc của từng 15 loại. Đưa ra so sánh giữa các loại mã độc với nhau, cách thức tấn công của chúng. Nêu các biện pháp phòng tránh mã độc. Cuối cùng mô tả các kỹ thuật phân tích mã độc. • Chương 3: Kết quả thực nghiệm : Mô tả công việc thực nghiệm, đề tài tiến hành, các kết quả nghiên cứu lý thuyết, kết quả đạt được, có demo sản phẩm. • Chương 4: Kết luận và kiến nghị : Nêu những kết luận chung, khẳng định những kết quả đạt được, những đóng góp, đề xuất mới và kiến nghị (nếu có) . 16 Chương 2. CƠ SỞ LÝ THUYẾT: Để tìm hiểu kỹ thuật phân tích mã độc động (Dynamic Analysis), trước tiên chúng ta cần tìm hiểu sâu vào các loại mã độc, cấu trúc, cách thức tấn công, so sánh và cách thức phòng tránh mã độc. 2.1.Phân loại mã độc,cách thức tấn công và cấu trúc của từng loại mã độc: 2.1.1.Phân loại theo hình thức lây nhiễm: Theo hình thức trên thì có 2 loại chính: Một loại cần vật chủ để lây nhiễm, vật chủ ở đây là các file dữ liệu, các file ứng dụng, hay các file chương trình thực thi… và một loại tồn tại độc lập. Độc lập nghĩa là đó là chương trình độc hại mà có thể được lập lịch và chạy trên hệ điều hành. Không độc lập (needs host program ) là 1 đoạn chương trình đặc biệt thuộc 1 chương trình nào đó không thể thực thi độc lập như 1 chương trình thông thường hay tiện ích nào đó mà bắt buộc phải có bước kích hoạt tường chương trình chủ trước đó thì mã độc mới bắt đầu chạy. 2.1.1.1.Trap Door: (Còn được gọi là Back Door. ) Trap Door mang ý nghĩa là một “cánh cửa” để vào một tòa nhà. Trap Door là một điểm bí mật trong chương trình, cho phép một ai đó có thể truy cập lại hệ thống mà không phải vượt qua các hàng rào an ninh thông thường. Trap Door được sử dụng bởi các nhà lập trình với mục đích dò lỗi, kiểm tra chương trình. 2.1.1.2.Logic Bombs: Logic bomb là đoạn mã độc được nhúng vào một chương trình hợp pháp mà chúng có thể thực thi khi có một sự kiện nào đó xảy ra. Các đoạn mã thường được chèn vào các ứng dụng hoặc các hệ điều hành để thực hiện việc phá hủy hệ thống hoặc phá hủy các chức năng an toàn của hệ thống. Logic bomb có thể gửi thông báo tới kẻ tấn công khi người dùng truy nhập Internet và sử dụng một chương trình đặc biệt nào đó như bộ xử lý văn bản. Từ đó attacker có thể 17 chuẩn bị cho các cuộc tấn công (chẳng hạn kết hợp với các máy tính khác bị nhiễm để bắt đầu một cuộc tấn công từ chối dịch vụ). 2.1.1.3.Trojan Horses: Trojan Horse là loại mã độc hại được đặt theo sự tích “Ngựa thành Troy”. Trojan horse không có khả năng tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất bình thường nhưng thực chất bên trong có ẩn chứa các đoạn mã với mục đích gây hại. 2.1.1.4.Virus: Virus là một loại mã độc hại có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. Virus phải luôn bám vào vật chủ( có thể là file dữ liệu hoặc file ứng dụng ) để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên các thiết bị lưu trữ, quét các file trước khi lưu xuống ổ cứng. Vì vậy đôi khi các phần mềm diệt virus tại PC đưa thông báo “phát hiện nhưng không diệt được” khi thấy có các dấu hiệu hoạt động của virus trên PC vì “vật mang virus” lại nằm trên một máy khác nên không thể thực thi việc xóa đoạn mã độc đó. Virus có thể làm bất cứ việc gì mà các chương trình khác có thể làm. Virus chỉ khác ở điểm nó tự đính kèm nó tới một chương trình và thực thi bí mật khi chương trình mang virut được thực thi. Khi virus được thực thi nó có thể làm bất kỳ việc gì trên hệ thống như xóa file, chương trình. Vòng đời virus gồm 4 giai đoạn: Dormant (nằm im): Trong giai đoạn này virut không làm gì cho đến khi được kích hoạt bởi một ai đó hay một sự kiện nào đó. Propagation (lây lan): Trong giai đoạn này virus thực hiện việc copy chính nó tới các chương trình, vị trí khác trong ổ đĩa. Triggering: Trong giai đoạn này virus được kích hoạt để thực thi chức năng của nó. Execution: Chức năng của virus được thực thi. Chức năng có thể là vô hại như gửi một thông điệp nào đó tới màn hình, hoặc một chức năng có hại như phá hủy các chương trình, các file hệ thống. 18 2.1.1.5.Worm: Worm là chương trình độc hại có khả năng tự nhân bản và tự lây nhiễm trong hệ thống mà không cần file chủ để mang nó khi nhiễm vào hệ thống. Như vậy Worm không bám vào một file hoặc một vùng nào đó trên đĩa cứng, vì vậy không thể dùng các chương trình quét file để diệt Worm. Mục tiêu của Worm là làm lãng phí băng thông của mạng, phá hoại hệ thống như xóa file, tạo back door, thả keylogger… Tấn công của Worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác dụng của con người( như khởi động máy, copy file hay đóng/mở file). Worm có thể chia làm 2 loại: Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Ví dụ Sasser (W32.Sasser.Worm) bắt đầu lây lan trên mạng vào 1/5/2004 có thể tự động lây lan bất cứ máy tính nào kết nối internet. Nó lợi dụng lỗ hổng bảo mật Local Security Authority Subsystem Service (LSASS - lỗi này đã được Microsoft công bố và phát hành bản sửa lỗi ngày 13-4-2004) để tấn công các máy cài Windows 2000/ XP/ Server 2003. Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail. 2.1.1.6.Zombie: Zombie là chương trình độc hại bí mật liên kết với một máy tính khác ngoài internet để nghe lệnh từ các máy tính đó. Các Zombie thường sử dụng trong các cuộc tấn công từ chối dịch vụ DDoS để tấn công vào một website nào đó. Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS. Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc. 19 Ví dụ Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng được sử dụng như các công cụ để thực hiện tấn công DDoS. 2.1.2.Phân loại NIST (Nation Institute of Standards and Technology- Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ): 2.1.2.1.Virus: Với cách định nghĩa, phân loại này, virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. Như vậy virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng… Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó. 2.1.2.2.Worm: Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là Worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống. Như vậy, có thể thấy rằng chỉ dùng các chương trình quét file sẽ không diệt được Worm trong hệ thống vì Worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng. Mục tiêu của Worm bao gồm cả làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger,… Tấn công của Worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, copy file hay đóng/mở file). Worm có thể chia làm 2 loại: Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho loại sâu này. Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa 20