Tải bản đầy đủ - 0 (trang)
CHƯƠNG 2: CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC

CHƯƠNG 2: CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC

Tải bản đầy đủ - 0trang

Hình 2.1. Cấu trúc cơ bản của PE

Cấu trúc PE có thể gồm nhiều section, trong đó tối thiểu cần 2 section: data và

code. Một số section thông dụng hay được gặp ở các phần mềm [3]:

1. Executable Code Section, có tên là .text (Microsoft).

2. Data Sections, có tên là .data, .rdata, .bss (Microsoft) hay DATA (Borland)

3. Resources Section, có tên là .rsrc

4. Export Data Section, có tên là .edata

5. Import Data Section. có tên là .idata

6. Debug Information Section, có tên là .debug

Cấu trúc các section trên bộ nhớ và trên ổ đĩa là như nhau, tuy nhiên khi được

nạp lên bộ nhớ, các Windows loader sẽ quyết định thứ tự và vị trí nạp các phần, do đó

vị trí các phần trên ổ đĩa và trên bộ nhớ sẽ có sự khác biệt.



16



2.2. Các hình thức tấn cơng của mã độc [3][5]

Hiện nay có rất nhiều hình thức phát tán mã độc hại, có thể thơng qua email,

thơng qua các phần mềm và gắn mã độc vào bên trong, thông qua các đường link

trang web, thông qua việc chia sẻ file USB…

2.2.1. Qua thiết bị lưu trữ

Cách phát tán phổ biến nhất của mã độc trước đây là qua các thiết bị lưu trữ di

động, dù là thời sử dụng đĩa mềm ngày xưa hay thẻ nhớ USB ngày nay. Hiện tại, thẻ

nhớ trong các thiết bị di động thơng minh, hay thiết bị ghi âm, ghi hình kỹ thuật số

cũng là một vật trung gian hiệu quả cho việc lan truyền mã độc. Các thiết bị di động

thơng minh thì hay phải nạp pin và phương thức nạp pin qua cổng USB lại rất tiện

dụng, điều này tiềm ẩn nguy cơ rất lớn cho việc lây truyền mã độc.

Một số dạng phát tán điển hình qua USB:

- Lợi dụng chức năng Autorun:

Khi thiết bị lưu trữ có sử dụng giao tiếp USB được cắm vào máy tính đã nhiễm

mã độc, mã độc sẽ phát hiện ra thiết bị có thể lây nhiễm được, sau đó tự sao chép bản

thân mình vào một vị trí bí mật trên thiết bị đó. Tiếp theo, nó ghi một file autorun.inf

có nội dung cơ bản như sau:

[Autorun]

OPEN = Đường dẫn virus trong đĩa USB

Từ Windows Vista trở về trước, Windows sẽ mặc nhiên kiểm tra tập tin autorun.inf

trong các thiết bị USB và thực thi các câu lệnh có trong đó.

- Đánh lừa người dùng:

Trong nhiều trường hợp, các lây nhiễm sử dụng tập tin Autorun khơng hiệu quả,

ví dụ như từ hệ điều hành Windows 7 trở về sau, chức năng này khơng còn hoạt động

nữa. Mã độc chuyển sang sử dụng cách đánh lừa người dùng để thực thi file mã độc

đã lây nhiễm trên thẻ nhớ USB. Có thể kể đến như:

• Ẩn thư mục trên USB và thay vào đó là các tập tin mã độc có hình thư mục

với tên tương tự các thư mục tồn tại ban đầu. Với cách này, mã độc dễ dàng lừa được

người dùng khởi chạy nó nếu trên hệ thống đang tắt chức năng hiển thị file ẩn và phần

mở rộng file.



17



• Chuyển các file .doc, .docx của người dùng vào vị trí bí mật trên thẻ nhớ USB

thay thế vào đó là các file mã độc có tên và hình đại diện (icon) là file doc, docx.

Đồng thời sử dụng các khoảng trắng để kéo dài tên file tối đa, làm người dùng có để

hiện tên file thì cũng có khả năng cao bị đánh lừa.

• Ví dụ:

Tập tin .doc gốc: Baocaothuctap.doc

Tập tin mã độc: Baocaothuctap.doc.exe

Vì tên tập tin quá dài nên Windows sẽ rút ngắn lại khi hiển thị và để dấu “..”

cuối cùng, thể hiện là tên văn bản còn tiếp tục. Nhưng người dùng sẽ dễ dàng bỏ qua

sự thể hiện này và chỉ nhìn lướt với tên hiển thị ngay đầu tiên nên dễ dàng bị đánh

lừa.

Cả 2 cách trên đối với người dùng thông thường đều rất khó nhận ra khi lỡ khởi

chạy nhầm phải mã độc, vì khi đã đạt được mục đích lây nhiễm, mã độc vẫn mở thư

mục hoặc tập tin như bình thường cho người dùng. Thậm chí, trong nhiều trường hợp,

mã độc còn khơi phục lại thẻ nhớ USB như chưa hề bị nhiễm để tránh sự phát hiện.



Hình 2.2: Mã độc phát tán qua USB



18



2.2.2. Qua mạng Internet

2.2.2.1. Phát tán qua các phần mềm

Các phần mềm được viết ra có chứa sẵn mã độc, hoặc các phần mềm chính

thống bị sửa đổi để thêm mã độc vào được phát tán tràn lan trên mạng Internet. Các

phần mềm Crack (bẻ khóa) có tỉ lệ chứa mã độc trong đó rất cao. Nhiều khi vì chủ

quan hay vì muốn dùng phần mềm mà không phải trả tiền, người dùng sẵn sàng bất

chấp mọi nguy cơ bị lây nhiễm mã độc để dùng những phần mềm này.



Hình 2.3: Phần mềm Keygen bẻ khố có nguy cơ lây nhiễm mã độc

2.2.2.2. Phát tán qua các trang web

Khi truy cập các trang web, hệ thống có thể bị nhiễm mã độc bất kỳ lúc nào,

nhất là khi truy cập vào các trang không đáng tin cậy. Điều này có thể xảy ra ngày cả

khi chúng ta chỉ mở trang web, vì các trình duyệt, đặc biệt là các thành phần của trình

duyệt được phát triển bởi hãng thứ 3 (plugin) ẩn chứa rất nhiều nguy cơ mất an tồn.

Mã độc có thể lợi dụng những lỗ hổng này để phát tán và lây nhiễm vào hệ thống.



19



Hình 2.4: Phát tán mã độc trên các trang web độc hại

2.2.2.3. Phát tán qua thư điện tử

Khi mà thư được sử dụng ngày càng rộng rãi thì đây là một nguồn lây nhiễm rất

hiệu quả. Khi đã lây nhiễm vào máy nạn nhân, mã độc có thể tự tìm ra danh sách các

địa chỉ thư điện tử trong máy tính và nó tự gửi đi hàng loạt những thư đánh lừa được

đính kèm bản thân nó hoặc các liên kết chứa mã độc. Khi người nhận khơng phát hiện

ra thư bị nhiễm mã độc thì khả năng cao sẽ bị nhiễm mã độc vào máy và từ máy này

mã độc lại tiếp tục lây nhiễm. Chính vì vậy, số lượng phát tán mã độc có thể theo cấp

số nhân khiến trong thời gian ngắn hàng triệu máy tính có thể bị lây nhiễm.

Ngày nay, khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt mã độc

có thể khắc phục được hành động tự nhân bản hàng loạt để phát tán qua các địa chỉ

thư điện tử trong danh bạ máy tính thì chủ nhân mã độc có thể chuyển qua hình thức

tự gửi thư phát tán mã độc bằng các nguồn địa chỉ sưu tập được, các địa chỉ này cũng

có thể là của chính mã độc đó gửi về.

Phương thức phát tán qua thư điện tử bao gồm:

- Phát tán vào các file đính kèm: Với cách này, người dùng sẽ khơng bị nhiễm

mã độc đến khi phần mềm đính kèm đó được kích hoạt. Mã độc cũng khơng dại

gì chỉ gửi đúng mã độc của mình, mà chúng thường ẩn dưới bỏ bọc là các phần

mềm miễn phí hay những phần mềm có nội dung nhạy cảm.

20



Hình 2.5: Nội dung email giả mạo Thủ tướng được gởi đến người dùng Việt Nam năm 2015

(Nguồn: nld.com.vn)

- Phát tán do mở một liên kết trong thư điện tử: Liên kết trong thư điện tử có

thể dẫn tới một trang web được cài sẵn mã độc, các này thường khai thác lỗ

hổng của trình duyệt hoặc các plugin (thành phần cài đặt thêm) của trình duyệt,

ví dụ như trình FlashPlayer.



21



Hình 2.6: Thư điện tử kèm liên kết độc hại

- Phát tán ngay khi mở để xem thư điện tử: Trường hợp này vô cùng nguy

hiểm bởi chưa cần kích hoạt các file hay mở liên kết gì hệ thống đã bị nhiễm

mã độc. Cách này thường là do mã độc khai thác lỗ hổng của hệ điều hành.

Mặc dù vây, cách khai thác này cũng khó thực hiện hơn, do lỗ hổng trên hệ điều

hành chưa bị phát hiện (zero day) sẽ ít hơn rất nhiều lỗ hổng trên trình duyệt và

các plugin của nó.

2.2.2.4. Phát tán qua mạng nội bộ

Mã độc sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (Của máy nạn nhân)

xem có thư mục nào chia sẻ (Share) và cho phép sửa chữa chúng hay không. Sau đó

chúng sẽ tự sao chép và chờ đợi một ai đó vơ ý chạy chúng.

2.2.2.5. Phát tán qua các dịch vụ IM

Nhắn tin nhanh (Instant Messaging), là dịch vụ cho phép hai người trở lên nói

chuyện trực tuyến với nhau qua một mạng máy tính. Tương tự như lây nhiễm qua thư

điện tử, mã độc lây nhiễm qua IM cũng có những phương thức tương tự như gửi file

hay gửi link chứa mã độc. Mã độc này có thể lây nhiễm với nhiều nền tảng IM từ

Google Talk, Facebook Chat, Skype cho đến MSN Messenger, Yahoo Messenger cho

đến những phần mềm như Pidgin và ICQ. Nói cách khác, khơng cơng cụ chat hiện

hành nào thốt khỏi phạm vi ảnh hưởng của mã độc nguy hiểm này.

22



Với lượng người dùng khổng lồ của mình, khơng ngạc nhiên khi Facebook

được xem là điểm bị lây nhiễm và phát tán đầu tiên. Mã độc nguy hiểm được phát

hiện lây lan bằng cách gửi đi một tập tin được đặt tên là “Video_xxx.zip” (trong đó

xxx là các số ngẫu nhiên). Khi người dùng tải về và giải nén sẽ được tập tin có phần

mở rộng .mp4.exe. Nếu tiếp tục bấm vào file này, người dùng sẽ bị nhiễm mã độc và

trở thành nguồn lây lan.



Hình 2.7: Mã độc trên Facebook Messenger được phát tán vào tháng 12/2017 (Nguồn:

Vietnamnet.vn)



23



2.4. Hành vi của mã độc

Khi lây nhiễm vào một máy tính, mã độc thường thực hiện một số hành vi

nhằm che dấu sự hoạt động của chúng trước người dùng, đồng thời tạo ra các mơi

trường để có thể tự khởi động cùng hệ thống cũng như tải về các mã độc khác. Sau

đây là một số hành vi tiêu biểu nhất mà người phân tích mã độc cần tìm hiểu:

- Sự thay đổi về hệ thống tập tin: Bao gồm việc tạo, thay đổi nội dung hay xóa

các tập tin trên hệ thống.

- Sự thay đổi trong hệ thống Registry: Bao gồm việc tạo ra hoặc sửa đổi các giá

trị trong khóa registry.

- Tiêm nhiễm vào các tiến trình khác đang chạy trên hệ thống.

- Tạo ra các Mutex nhằm tránh việc xung đột khi sử dụng tài nguyên trên máy

tính.

- Tạo ra các hoạt động mạng đáng ngờ: Kết nối đến các trang web lạ để tải về mã

độc khác, kết nối đến các máy chủ IRC, thực hiện việc quét các hệ thống bên

ngoài,…

- Khởi chạy hoặc cho dừng các dịch vụ trên Windows: ví dụ dịch vụ của trình

diệt Virus.

2.5. Xu hướng phát triển của mã độc

Có thể nhận thấy từ trước đến nay mã độc có xu hướng phát triển tăng dần cả

về độ phức tạp cũng như mục tiêu mà chúng nhắm đến. Hiện nay, đa phần mã độc

được thiết kế nhắm đến các mục tiêu được xác định từ trước, đó có thể là một cá nhân

hoặc một tổ chức. Xuất phát từ mục đích đó, mã độc hiện nay được thiết kế sao cho

có khả năng che dấu càng lâu càng tốt, sau đó chúng mới thực hiện các mục đích phá

hoại ăn cắp thơng tin hay gián điệp.

Một đặc tính nguy hiểm của mã độc hiện nay đó là được thiết kế với mục đích

lây nhiễm dài hạn trên mục tiêu, điều đó có nghĩa là khi lây nhiễm vào máy mục tiêu,

thay vì ngay lập tức có những hành vi phá hoại hay ăn cắp dữ liệu dễ bị phát hiện,

chúng sẽ thực hiện một loạt sự chuẩn bị để tồn tại trong hệ thống lâu dài. Sau đó, mới

thực thi các cuộc tấn cơng vào hệ thống lớn hơn, hay tấn cơng ra ngồi hệ thống đã bị

lây nhiễm với sự đảm bảo rằng nếu cuộc tấn cơng thất bại, kẻ tấn cơng có thể sử dụng

mã độc đó cho một cuộc tấn cơng khác vào thời gian sau đó với một hình thức hay

cách tiếp cận khác.

24



Trong những mã độc đã được phân tích, người ta còn nhận thấy xu hướng cải

tiến phức tạp trong việc đánh cắp dữ liệu – một trong những mục đích quan trọng của

mã độc. Cách thức mà mã độc sử dụng phải đảm bảo dữ liệu đánh cắp được không bị

chặn hay bị phát hiện nhưng hành vi đánh cắp vẫn đảm bảo tính bí mật, điều này đòi

hỏi kẻ tấn cơng phải sử dụng những kênh giao thức phổ biến cũng như mã hoá dữ liệu

khi truyền đi.

Mục tiêu của những loại mã độc nguy hiểm thời gian gần đây có thể bao gồm

qn sự, chính trị hay thu nhập các thơng tin tình báo kinh tế, làm gián đoạn các hoạt

động hoặc phá huỷ các thiế bị công nghiệp. Mã độc Stuxnet cho phép kẻ tấn cơng phá

vỡ các hệ thống kiểm sốt cơng nghiệp trong q trình làm giàu Uranium của một cơ

sở cơng nghiệp cụ thể là một điển hình cho xu hướng phát triển của mã độc trong

tương lai.

Social engineering - một kỹ thuật cho phép kẻ tấn công lợi dụng yếu tố con

người để đánh bại hệ thống an ninh cũng được sử dụng nhiều hiện nay (yếu tố con

người luôn là điểm yếu nhất trong mọi phương án phòng vệ). Nhờ kỹ thuật này, kẻ tấn

cơng có thể xâm nhập sâu vào hệ thống an ninh của đối tượng. Dựa vào các thông tin

thu thập thông qua mạng xã hội hay các trang web thông tin truyền thông, kẻ tấn cơng

có thể tập hợp thơng tin về mục tiêu cũng như một mạng lưới thông tin xung quanh

mục tiêu, từ đó các cuộc tấn cơng trở nên đáng tin cậy và có sức thuyết phục để dễ

dàng vượt qua hệ thống an ninh.

Ghi nhận đầu tiên về mã độc vào năm 1981 và phát triển nhanh chóng theo xu

hướng phát triển của cơng nghệ máy tính. Càng ngày, mã độc càng trải qua những

thay đổi đáng kể về đặc điểm, phân loại cũng như mục đích sử dụng. Cùng với sự

bùng nổ của mạng máy tính, thiết bị di động thơng minh, mã độc cũng tăng trưởng

với tốc độ chóng mặt và kẻ tấn công liên tục biến đổi mã độc để thích ứng với các

cơng nghệ và nền tảng mới.



25



Nếu như ban đầu mục tiêu của những đoạn mã độc chỉ nhằm đến những máy

tính đơn lẻ, cơ chế lây lan hầu như khơng có và tác hại mang tính trêu chọc thì ngày

nay mã độc có thể gây ra những thiệt hại lớn đối với hệ thống máy tính, cơ chế lây lan

phức tạp, phá hoại hoặc đánh cắp dữ liệu, tấn công từ chối dịch vụ. Nghiêm trọng

hơn, mã độc có thể được phát triển phức tạp và thiết kế tinh vi với mục đích gián điệp,

phá hoại trên diện rộng bởi các tổ chức, chính phủ trên thế giới. Từ đó dẫn tới nguy cơ

về một cuộc chiến tranh mạng Cyberwar lan rộng.

Dựa vào thực tế sự phát triển mã độc hiện nay, một số dự đoán xu hướng phát

triển của mã độc trong tương lai:

- Các loại mã độc với các kỹ thuật chống phân tích được cải tiến.

- Mã độc trong các thiết bị di động bùng phát do xu hướng di động đã và sẽ

phát triển mạnh trong tương lai.

- Mã độc với những kỹ thuật được cải tiến đảm bảo sao cho chúng có thể lây

nhiễm trên diện rộng đồng thời trên nhiều nền tảng khác nhau.

- Mã độc được sử dụng như là một công cụ quan trọng trong chiến tranh mạng

giữa các tổ chức hay các quốc gia.

Cùng với sự bùng nổ của mạng máy tính, thiết bị di động cũng như sự phát

triển không ngừng của công nghệ thông tin, mã độc cũng liên tục phát triển và biến

đổi để phù hợp.

Chúng không ngừng cải tiến để chống lại sự phát hiện từ phía người sử dụng,

biến đổi để thích nghi với mơi trường, nền tảng mới với mục tiêu lây nhiễm trên diện

rộng cho cùng một mục đích của người viết mã độc. Mã độc có thể coi là loại vũ khí

sắc bén của chiến tranh mạng trong tương lai.

2.6. Kết luận chương 2

Chương 2 của bài báo cáo đã trình bày mơ tả khái qt về cấu trúc file PE của

Windows, hình thức tấn cơng và hành vi phát tán của mã độc. Nội dung cũng trình

bày xu hướng phát triển của mã độc hiện nay.

Tiếp theo chương 3 sẽ trình bày phương pháp phân tích động trong phát hiện

mã độc với Sandbox.



26



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 2: CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC

Tải bản đầy đủ ngay(0 tr)

×