Tweet
Malware
Tác giả: Lâm Ngọc Hòa
Một trong những mối đe dọa nghiêm trọng đối với bảo mật máy tính là phần mềm độc hại (malware). Viết tắt của malicious software, các phần mềm độc hại lây nhiễm vào hệ thống máy tính và sau đó thực hiện các hành động như đánh cắp thông tin, làm hỏng dữ liệu hoặc làm gián đoạn việc sử dụng hệ thống.
Mỗi phần mềm độc hại sẽ có hai thành phần, cơ chế lan truyền (propagation mechanism) và payload. Cơ chế lan truyền là cách phần mềm độc hại lây lan từ hệ thống này sang hệ thống khác, cơ chế lan truyền khác nhau giữa các loại phần mềm độc hại. Payload là hành động độc hại mà phần mềm độc hại thực hiện. Ví dụ: payload của phần mềm độc hại có thể tìm kiếm ổ cứng của bạn để tìm báo cáo thẻ tín dụng và khai thuế, hoặc mã hóa dữ liệu cho đến khi bạn trả tiền chuộc, hoặc theo dõi các lần nhấn phím cho đến khi bạn đăng nhập vào tài khoản ngân hàng, đánh cắp tên người dùng và mật khẩu của bạn.
Phần mềm độc hại đầu tiên mà chúng ta cần nói đến là virus. Hầu hết người dùng máy tính đã quen thuộc với khái niệm về virus, nhưng họ thường dùng sai từ này để gọi tất cả các loại malware. Virus máy tính lấy tên từ virus sinh học. Đặc điểm xác định của virus là nó lây lan từ hệ thống này sang hệ thống khác dựa trên một số loại hành động của người dùng, có thể là mở tệp đính kèm email, nhấp vào liên kết đến trang web độc hại hoặc gắn ổ USB bị nhiễm vào hệ thống. Virus không lây lan trừ khi có ai đó giúp nó. Vì lý do này, một trong những cách tốt nhất bạn có thể bảo vệ chống lại virus là nâng cao nhận thức của người dùng.
Loại phần mềm độc hại tiếp theo là Worms, chúng có thể lây lan từ hệ thống này sang hệ thống khác mà không cần bất kỳ sự tương tác của người dùng. Worms tiếp cận và khai thác các lỗ hổng hệ thống, lây nhiễm các hệ thống mà không cần người dùng có bất cứ hành động nào. Khi worm đã lây nhiễm một hệ thống, nó sử dụng hệ thống đó làm cơ sở mới để lây lan sang các phần khác của mạng cục bộ hoặc mạng nội bộ rộng hơn. Worm sử dụng các hệ thống tồn tại các lỗ hổng để lây lan. Do đó, cách tốt nhất để chống lại Worm là giữ cho các hệ thống được cập nhật với các bản vá ứng dụng và hệ điều hành gần nhất.
Worm đã tồn tại trong nhiều năm. Trên thực tế, đợt lây lan worm đầu tiên xảy ra vào năm 1988. Được viết bởi Robert Tappan Morris, khi đó đang theo học tại Đại học Cornell, sâu RTM đã lây nhiễm gần 10% các hệ thống kết nối với internet. Cho đến thời điểm đó, quản trị viên của các hệ thống kết nối internet không quan tâm lắm đến bảo mật. Do hầu hết trong số họ đều biết nhau, và họ chưa bao giờ nghĩ rằng ai đó có thể tạo ra một con worm độc hại. Sự lây lan nhanh chóng của worm RTM đã thay đổi quan điểm đó một cách nhanh chóng và mang lại sự chú ý mới cho bảo mật internet. Worm tiếp tục lây nhiễm các hệ thống mới mỗi ngày. Năm 2010, một worm tinh vi được gọi là Stuxnet đã lây nhiễm các hệ thống máy tính tại một cơ sở làm giàu uranium ở Iran. Stuxnet trở nên rất nổi tiếng, bởi vì đây là worm đầu tiên vượt qua hàng rào vật lý ảo theo một cách chính thống. Stuxnet đã lây nhiễm các hệ thống máy tính điều khiển máy ly tâm chuyên dụng và khiến chúng mất kiểm soát. Vụ tấn công đã gây thiệt hại lớn cho cơ sở và giáng một đòn đáng kể vào chương trình hạt nhân của Iran.
Tiếp theo chúng ta sẽ tìm hiểu về Trojan horse. Bạn có thể đã biết câu chuyện về con ngựa thành Troia từ thế kỷ 12 B.C. Quân đội Hy Lạp, đã bao vây thành phố Troy trong 10 năm mà không đạt được mục đích, sau đó họ đã chế tạo một con ngựa gỗ khổng lồ và giấu những người lính bên trong nó. Phần còn lại của quân đội sau đó giả vờ đi thuyền rút quân, để lại con ngựa cho Trojans để như là chiến lợi phẩm. Người Trojans mở cửa thành phố của họ và mang con ngựa vào trong. Đêm đó, quân đội Hy Lạp từ trong bụng ngựa đã thoát ra và phá hủy thành phố. Trong thế giới của phần mềm độc hại, Trojan horse hoạt động theo cách tương tự. Chúng ẩn mình như là những phần mềm hợp pháp mà người dùng có thể muốn tải xuống và cài đặt. Khi người dùng chạy chương trình, nó sẽ hoạt động đúng như yêu cầu của người dùng, tuy nhiên, Trojan horse cũng mang theo một payload ẩn độc hại thực hiện các hành động không mong muốn đằng sau đó. Vì Trojan horse lây nhiễm vào hệ thống khi người dùng cài đặt phần mềm, giải pháp kiểm soát ứng dụng cung cấp khả năng phòng thủ tốt trước mối đe dọa này. Các giải pháp kiểm soát ứng dụng giới hạn phần mềm có thể chạy trên hệ thống đối với các tiêu đề và phiên bản được phê duyệt cụ thể bởi quản trị viên. Trojan horse truy cập từ xa, hoặc RAT, là một phần đặc biệt phục vụ một mục đích cụ thể, nó cung cấp cho tin tặc khả năng truy cập và kiểm soát các hệ thống bị nhiễm từ xa.
Chúng ta sẽ tiếp tục với phần mềm quảng cáo (adware). Quảng cáo là một nguồn tạo doanh thu trực tuyến rất phổ biến, giống như trên truyền hình, báo chí và các phương tiện truyền thông khác. Thông thường, quảng cáo trực tuyến là khá hợp pháp. Đó là cách để những người cung cấp nội dung tạo doanh thu từ nội dung đó. Nhưng nơi nào có cơ hội kiếm tiền, thì cũng có cơ hội cho phần mềm độc hại. Phần mềm quảng cáo được xem phần mềm độc hại có mục đích cụ thể là hiển thị quảng cáo, nhưng thay vì tạo doanh thu cho chủ sở hữu nội dung, phần mềm quảng cáo tạo doanh thu cho tác giả phần mềm độc hại. Phần mềm quảng cáo thay đổi dựa trên loại cơ chế mà nó sử dụng để hiển thị quảng cáo cho người dùng. Nó có thể chuyển hướng truy vấn tìm kiếm đến một công cụ tìm kiếm được kiểm soát bởi tác giả phần mềm độc hại hoặc tác giả phần mềm độc hại có sắp xếp quảng cáo liên kết. Nó có thể hiển thị quảng cáo bật lên trong khi duyệt web mà người dùng có thể đổ lỗi cho trang web họ đang truy cập hoặc thậm chí có thể thay thế quảng cáo hợp pháp và nội dung web bằng quảng cáo có lợi cho tác giả phần mềm độc hại. Phần mềm quảng cáo gây khó chịu hay nguy hiểm? Chà, điều đó thực sự phụ thuộc vào những gì quảng cáo và quan điểm của bạn. Nếu bạn là tác giả nội dung, phần mềm quảng cáo rất nguy hiểm. Nếu bạn là người dùng cuối, nó có thể vô hại hơn một chút.
Tiếp theo hãy tìm hiểu về phần mềm gián điệp (spyware). Phần mềm gián điệp là phần mềm độc hại thu thập thông tin trái phép, không có sự đồng ý của người dùng. Sau đó, nó gửi thông tin trở lại cho tác giả phần mềm độc hại, người có thể sử dụng nó cho bất kỳ mục đích nào, đó có thể là hành vi trộm cắp danh tính hoặc truy cập vào tài khoản tài, hoặc thậm chí trong một số trường hợp, thu thập thông tin gián điệp. Phần mềm gián điệp sử dụng nhiều kỹ thuật khác nhau, như ghi nhận bàn phím nắm bắt mọi phím mà người dùng nhấn và gửi lại cho tác giả phần mềm độc hại hoặc có thể theo dõi các lượt truy cập vào một số trang web và dò tìm tên người dùng và mật khẩu được sử dụng để truy cập vào ngân hàng hoặc các trang web nhạy cảm khác. Một số phần mềm gián điệp giám sát trình duyệt web. Điều này có thể được sử dụng để nhắm mục tiêu quảng cáo sau đó cho người dùng đó hoặc ghi nhận hoạt động của người dùng. Và cuối cùng, một số phần mềm độc hại thực sự xâm nhập vào bên trong một hệ thống và tìm kiếm ổ cứng và dịch vụ lưu trữ đám mây được người dùng đó sử dụng, tìm kiếm thông tin nhạy cảm. Nó có thể tìm kiếm các số an sinh xã hội hoặc các chi tiết khác có thể hữu ích trong việc đánh cắp danh tính.
Loại phần mềm độc hại phổ biến hiện nay là ransomware. Ransomware chặn người dùng sử dụng máy tính hoặc dữ liệu cho đến khi tiền chuộc được trả. Cách phổ biến nhất để làm điều này là mã hóa dữ liệu bằng một khóa bí mật và sau đó bán khóa đó để lấy tiền chuộc. Một ví dụ gần đây là ransomware CryptoLocker. CryptoLocker đã có một đợt bùng phát lớn bắt đầu vào năm 2014 và tiếp tục phổ biến ngày hôm nay. Nó thường xuất hiện trong hộp thư đến của người dùng dưới dạng file đính kèm với thư email. Khi người dùng mở tệp đính kèm đó, CryptoLocker sẽ mã hóa nhiều dữ liệu trên ổ cứng, sử dụng mã hóa RSA. Chúng có thể bao gồm các tài liệu văn phòng, hình ảnh hoặc bản vẽ CAD, một số file quan trọng nhất đối với người dùng cuối. Khóa giải mã cho các file đó được lưu trên máy chủ dưới sự kiểm soát của tác giả phần mềm độc hại và người dùng được đưa ra thời hạn để trả khoản tiền chuộc vài trăm đô la. Câu hỏi lớn khi xảy ra nhiễm ransomware, bạn có nên trả tiền không? Bây giờ phản hồi đầu tiên của bạn có thể là nói, không, bạn không muốn làm lợi cho tác giả phần mềm độc hại. Nhưng đó là một câu hỏi rất khó khi dữ liệu của bạn đã được mã hóa và không còn truy cập được nữa. Một cuộc khảo sát gần đây cho thấy hơn 40% những người bị nhiễm CryptoLocker thực sự đã trả tiền chuộc và một phân tích về thanh toán Bitcoin cho thấy các tác giả phần mềm độc hại đã nhận được hơn 27 triệu đô la cho đến nay.
May mắn thay, có những điều bạn có thể làm để ngăn ngừa nhiễm phần mềm độc hại trên các hệ thống dưới sự kiểm soát của bạn. Ba cách hàng đầu bạn có thể ngăn phần mềm độc hại là cài đặt và cập nhật các phần mêm anti malware hiện tại trên hệ thống của bạn. Cập nhật các bản vá bảo mật kịp thời. Và, nâng cao nhận thức của người dùng cuối về sự nguy hiểm của phần mềm độc hại. Payload phần mềm độc hại có thể khác nhau trong mục đích cụ thể của chúng, nhưng tất cả chúng đều làm suy yếu an ninh hệ thống. Là một chuyên gia Bảo mật, bạn sẽ phải bảo vệ tổ chức của mình trước mọi loại phần mềm độc hại.
Một trong những mối đe dọa nghiêm trọng đối với bảo mật máy tính là phần mềm độc hại (malware). Viết tắt của malicious software, các phần mềm độc hại lây nhiễm vào hệ thống máy tính và sau đó thực hiện các hành động như đánh cắp thông tin, làm hỏng dữ liệu hoặc làm gián đoạn việc sử dụng hệ thống.
Mỗi phần mềm độc hại sẽ có hai thành phần, cơ chế lan truyền (propagation mechanism) và payload. Cơ chế lan truyền là cách phần mềm độc hại lây lan từ hệ thống này sang hệ thống khác, cơ chế lan truyền khác nhau giữa các loại phần mềm độc hại. Payload là hành động độc hại mà phần mềm độc hại thực hiện. Ví dụ: payload của phần mềm độc hại có thể tìm kiếm ổ cứng của bạn để tìm báo cáo thẻ tín dụng và khai thuế, hoặc mã hóa dữ liệu cho đến khi bạn trả tiền chuộc, hoặc theo dõi các lần nhấn phím cho đến khi bạn đăng nhập vào tài khoản ngân hàng, đánh cắp tên người dùng và mật khẩu của bạn.
Phần mềm độc hại đầu tiên mà chúng ta cần nói đến là virus. Hầu hết người dùng máy tính đã quen thuộc với khái niệm về virus, nhưng họ thường dùng sai từ này để gọi tất cả các loại malware. Virus máy tính lấy tên từ virus sinh học. Đặc điểm xác định của virus là nó lây lan từ hệ thống này sang hệ thống khác dựa trên một số loại hành động của người dùng, có thể là mở tệp đính kèm email, nhấp vào liên kết đến trang web độc hại hoặc gắn ổ USB bị nhiễm vào hệ thống. Virus không lây lan trừ khi có ai đó giúp nó. Vì lý do này, một trong những cách tốt nhất bạn có thể bảo vệ chống lại virus là nâng cao nhận thức của người dùng.
Loại phần mềm độc hại tiếp theo là Worms, chúng có thể lây lan từ hệ thống này sang hệ thống khác mà không cần bất kỳ sự tương tác của người dùng. Worms tiếp cận và khai thác các lỗ hổng hệ thống, lây nhiễm các hệ thống mà không cần người dùng có bất cứ hành động nào. Khi worm đã lây nhiễm một hệ thống, nó sử dụng hệ thống đó làm cơ sở mới để lây lan sang các phần khác của mạng cục bộ hoặc mạng nội bộ rộng hơn. Worm sử dụng các hệ thống tồn tại các lỗ hổng để lây lan. Do đó, cách tốt nhất để chống lại Worm là giữ cho các hệ thống được cập nhật với các bản vá ứng dụng và hệ điều hành gần nhất.
Worm đã tồn tại trong nhiều năm. Trên thực tế, đợt lây lan worm đầu tiên xảy ra vào năm 1988. Được viết bởi Robert Tappan Morris, khi đó đang theo học tại Đại học Cornell, sâu RTM đã lây nhiễm gần 10% các hệ thống kết nối với internet. Cho đến thời điểm đó, quản trị viên của các hệ thống kết nối internet không quan tâm lắm đến bảo mật. Do hầu hết trong số họ đều biết nhau, và họ chưa bao giờ nghĩ rằng ai đó có thể tạo ra một con worm độc hại. Sự lây lan nhanh chóng của worm RTM đã thay đổi quan điểm đó một cách nhanh chóng và mang lại sự chú ý mới cho bảo mật internet. Worm tiếp tục lây nhiễm các hệ thống mới mỗi ngày. Năm 2010, một worm tinh vi được gọi là Stuxnet đã lây nhiễm các hệ thống máy tính tại một cơ sở làm giàu uranium ở Iran. Stuxnet trở nên rất nổi tiếng, bởi vì đây là worm đầu tiên vượt qua hàng rào vật lý ảo theo một cách chính thống. Stuxnet đã lây nhiễm các hệ thống máy tính điều khiển máy ly tâm chuyên dụng và khiến chúng mất kiểm soát. Vụ tấn công đã gây thiệt hại lớn cho cơ sở và giáng một đòn đáng kể vào chương trình hạt nhân của Iran.
Tiếp theo chúng ta sẽ tìm hiểu về Trojan horse. Bạn có thể đã biết câu chuyện về con ngựa thành Troia từ thế kỷ 12 B.C. Quân đội Hy Lạp, đã bao vây thành phố Troy trong 10 năm mà không đạt được mục đích, sau đó họ đã chế tạo một con ngựa gỗ khổng lồ và giấu những người lính bên trong nó. Phần còn lại của quân đội sau đó giả vờ đi thuyền rút quân, để lại con ngựa cho Trojans để như là chiến lợi phẩm. Người Trojans mở cửa thành phố của họ và mang con ngựa vào trong. Đêm đó, quân đội Hy Lạp từ trong bụng ngựa đã thoát ra và phá hủy thành phố. Trong thế giới của phần mềm độc hại, Trojan horse hoạt động theo cách tương tự. Chúng ẩn mình như là những phần mềm hợp pháp mà người dùng có thể muốn tải xuống và cài đặt. Khi người dùng chạy chương trình, nó sẽ hoạt động đúng như yêu cầu của người dùng, tuy nhiên, Trojan horse cũng mang theo một payload ẩn độc hại thực hiện các hành động không mong muốn đằng sau đó. Vì Trojan horse lây nhiễm vào hệ thống khi người dùng cài đặt phần mềm, giải pháp kiểm soát ứng dụng cung cấp khả năng phòng thủ tốt trước mối đe dọa này. Các giải pháp kiểm soát ứng dụng giới hạn phần mềm có thể chạy trên hệ thống đối với các tiêu đề và phiên bản được phê duyệt cụ thể bởi quản trị viên. Trojan horse truy cập từ xa, hoặc RAT, là một phần đặc biệt phục vụ một mục đích cụ thể, nó cung cấp cho tin tặc khả năng truy cập và kiểm soát các hệ thống bị nhiễm từ xa.
Chúng ta sẽ tiếp tục với phần mềm quảng cáo (adware). Quảng cáo là một nguồn tạo doanh thu trực tuyến rất phổ biến, giống như trên truyền hình, báo chí và các phương tiện truyền thông khác. Thông thường, quảng cáo trực tuyến là khá hợp pháp. Đó là cách để những người cung cấp nội dung tạo doanh thu từ nội dung đó. Nhưng nơi nào có cơ hội kiếm tiền, thì cũng có cơ hội cho phần mềm độc hại. Phần mềm quảng cáo được xem phần mềm độc hại có mục đích cụ thể là hiển thị quảng cáo, nhưng thay vì tạo doanh thu cho chủ sở hữu nội dung, phần mềm quảng cáo tạo doanh thu cho tác giả phần mềm độc hại. Phần mềm quảng cáo thay đổi dựa trên loại cơ chế mà nó sử dụng để hiển thị quảng cáo cho người dùng. Nó có thể chuyển hướng truy vấn tìm kiếm đến một công cụ tìm kiếm được kiểm soát bởi tác giả phần mềm độc hại hoặc tác giả phần mềm độc hại có sắp xếp quảng cáo liên kết. Nó có thể hiển thị quảng cáo bật lên trong khi duyệt web mà người dùng có thể đổ lỗi cho trang web họ đang truy cập hoặc thậm chí có thể thay thế quảng cáo hợp pháp và nội dung web bằng quảng cáo có lợi cho tác giả phần mềm độc hại. Phần mềm quảng cáo gây khó chịu hay nguy hiểm? Chà, điều đó thực sự phụ thuộc vào những gì quảng cáo và quan điểm của bạn. Nếu bạn là tác giả nội dung, phần mềm quảng cáo rất nguy hiểm. Nếu bạn là người dùng cuối, nó có thể vô hại hơn một chút.
Tiếp theo hãy tìm hiểu về phần mềm gián điệp (spyware). Phần mềm gián điệp là phần mềm độc hại thu thập thông tin trái phép, không có sự đồng ý của người dùng. Sau đó, nó gửi thông tin trở lại cho tác giả phần mềm độc hại, người có thể sử dụng nó cho bất kỳ mục đích nào, đó có thể là hành vi trộm cắp danh tính hoặc truy cập vào tài khoản tài, hoặc thậm chí trong một số trường hợp, thu thập thông tin gián điệp. Phần mềm gián điệp sử dụng nhiều kỹ thuật khác nhau, như ghi nhận bàn phím nắm bắt mọi phím mà người dùng nhấn và gửi lại cho tác giả phần mềm độc hại hoặc có thể theo dõi các lượt truy cập vào một số trang web và dò tìm tên người dùng và mật khẩu được sử dụng để truy cập vào ngân hàng hoặc các trang web nhạy cảm khác. Một số phần mềm gián điệp giám sát trình duyệt web. Điều này có thể được sử dụng để nhắm mục tiêu quảng cáo sau đó cho người dùng đó hoặc ghi nhận hoạt động của người dùng. Và cuối cùng, một số phần mềm độc hại thực sự xâm nhập vào bên trong một hệ thống và tìm kiếm ổ cứng và dịch vụ lưu trữ đám mây được người dùng đó sử dụng, tìm kiếm thông tin nhạy cảm. Nó có thể tìm kiếm các số an sinh xã hội hoặc các chi tiết khác có thể hữu ích trong việc đánh cắp danh tính.
Loại phần mềm độc hại phổ biến hiện nay là ransomware. Ransomware chặn người dùng sử dụng máy tính hoặc dữ liệu cho đến khi tiền chuộc được trả. Cách phổ biến nhất để làm điều này là mã hóa dữ liệu bằng một khóa bí mật và sau đó bán khóa đó để lấy tiền chuộc. Một ví dụ gần đây là ransomware CryptoLocker. CryptoLocker đã có một đợt bùng phát lớn bắt đầu vào năm 2014 và tiếp tục phổ biến ngày hôm nay. Nó thường xuất hiện trong hộp thư đến của người dùng dưới dạng file đính kèm với thư email. Khi người dùng mở tệp đính kèm đó, CryptoLocker sẽ mã hóa nhiều dữ liệu trên ổ cứng, sử dụng mã hóa RSA. Chúng có thể bao gồm các tài liệu văn phòng, hình ảnh hoặc bản vẽ CAD, một số file quan trọng nhất đối với người dùng cuối. Khóa giải mã cho các file đó được lưu trên máy chủ dưới sự kiểm soát của tác giả phần mềm độc hại và người dùng được đưa ra thời hạn để trả khoản tiền chuộc vài trăm đô la. Câu hỏi lớn khi xảy ra nhiễm ransomware, bạn có nên trả tiền không? Bây giờ phản hồi đầu tiên của bạn có thể là nói, không, bạn không muốn làm lợi cho tác giả phần mềm độc hại. Nhưng đó là một câu hỏi rất khó khi dữ liệu của bạn đã được mã hóa và không còn truy cập được nữa. Một cuộc khảo sát gần đây cho thấy hơn 40% những người bị nhiễm CryptoLocker thực sự đã trả tiền chuộc và một phân tích về thanh toán Bitcoin cho thấy các tác giả phần mềm độc hại đã nhận được hơn 27 triệu đô la cho đến nay.
May mắn thay, có những điều bạn có thể làm để ngăn ngừa nhiễm phần mềm độc hại trên các hệ thống dưới sự kiểm soát của bạn. Ba cách hàng đầu bạn có thể ngăn phần mềm độc hại là cài đặt và cập nhật các phần mêm anti malware hiện tại trên hệ thống của bạn. Cập nhật các bản vá bảo mật kịp thời. Và, nâng cao nhận thức của người dùng cuối về sự nguy hiểm của phần mềm độc hại. Payload phần mềm độc hại có thể khác nhau trong mục đích cụ thể của chúng, nhưng tất cả chúng đều làm suy yếu an ninh hệ thống. Là một chuyên gia Bảo mật, bạn sẽ phải bảo vệ tổ chức của mình trước mọi loại phần mềm độc hại.