Phần Một : Malware – Phân loại, rủi ro và cách phòng chống

1) Sự phát triển của mạng Internet (số người thế giới, tại VN), mạng thông tin, xã hội, giao thương, …). Mức gia tăng số mã độc trên thế giới. Trong phần 4 sẽ có chi tiết hơn.

Số người xử dụng mạng tăng từ 361 triệu (31/12/2000) lên đến 3,1 tỷ (31/3/2011).

(Nguồn: http://www.internetworldstats.com)

Riêng tại Việt Nam, có hơn 29,2 triệu người xử dụng Internet vào 31/3/2011. Về Facebook, có hơn 1,67 triệu người xử dụng.

Năm 2010, chuyên viên công ty an ninh điện toán sophos phân tích 95000 malware/mỗi ngày, nghĩa là 34,6 triệu malware

 (nguồn : http://www.sophos.com).

Theo threatexpert (nguồn http://www.threatexpert.com) Việt Nam là nơi xuất xứ của khoảng 0,01% tổng số malware trên thế giới (so với TQ, 31,3%, Nga 23,8%, Ba Tây, 5,8%, ..), có nghĩa là khoảng 30.000 malware có xuất xứ tại Việt Nam.

2) Tại sao gọi là virus (mã độc) có những đặc điểm gì è Mục tiêu là nhằm xâm nhập vào máy, lấy priviledge, lợi dụng, lũng đoạn hệ thống điều hành, cài dặt những chương trình không bị khám phá ra, thu thập những dữ kiện, mở ra các cổng, nhu liệu chuyển mail, hồ sơ ra bên ngoài.

Malware như software (phần mềm), hardware (phần cứng) được dùng để chỉ những chương trình (program, code) độc hại, có mức tàn phá nhất định, được cài kín đáo vào trong máy vi tính và có khả năng tự lây lan.

(nguồn : http://www.clusif.asso.fr,  Filiol (E.), Les virus informatiques: théorie, pratique et applications. Springer, 2004)

Định nghĩa rộng của malware :

  • Malware là một chương trình (program) nhỏ (độ dài trung bình dưới 100K) được chế tạo để cài vào trong máy vi tính mà người xử dụng không biết, có khả năng tự sao chép trên các đĩa, tự che dấu, tự mã hoá, tự thay đổi.
  • Malware có thể nhiễm các hồ sơ .EXE, .COM, .SYS, .BAT, … các hồ sơ thuộc hệ thống điều hành (Operating System), các hồ sơ .DOC, .PPT, .XLS, .PDF, .JPG, .. và những macros.

3) Phân loại các loại mã độc (trojan, worm, loại hồ sơ, loại khả thi,…) nhằm vào các mục tiêu lấy trộm các dự kiện quan trọng sensitive (mật khẩu, số thẻ tín dụng, dữ kiện cá nhân ,…) qua một số đặc tính.

(nguồn : http://www.cis.ohio-state.edu/hypertext/faq/usenet/computer-virus/faq/faq.html)

http://idou.chez.com/lesvirus)

A)     Malware loại hồ sơ (document):

B)     Malware loại khả thi (executable) :

C)    Malware loại khu khởi động (boot sector)

D)    Malware loại có những cách hoạt động đặc biệt :

E)     Malware loại đa hệ (multipartites) :

F)     Malware loại trùng (worm) :

G)    Malware đặc biệt loại trojan :

Cách lây lan (propagation)

Cách che dấu tông tích (dissimulation)

Cách khởi động (activation)

Cách nhiễm (contamination)

Cách tấn công (attack)

4)  Ai đặt hàng, ai chế tạo, ai xử dụng, để làm gì, nhằm vào những ai (những chế độ độc tài, tổ chức tội ác, ..)

(nguồn : http://www.darkreading.com)

Với hơn 19 triệu malware mới được phát giác vào năm 2010, và 13 triệu trong năm 2009, số lượng malware đã tăng gấp 2 lần so với khoảng thời gian 5 năm từ 2004 đến 2008, và gấp 16 lần so với 20 năm trước từ 1984 đến 2003.

Hacker gồm những thành phần muốn kiếm lợi nhuận qua các hành vi tội ác (cyber crime như tống tiền, thu thập dữ kiện mật về kỹ thuật để bán ra, làm sập một hãng, thu thập dự kiện về đời tư những nhân sự quan trọng).

Bắt đầu từ đầu năm 2000, và nhất là từ 2004, với sự phát triển của các nhóm mafia tội ác trên mạng và sự liên hệ mật thiết giữa các nhà cầm quyền độc tài và các tổ chức tội ác trên mạng (chi tiết được trình bày trong phần 4 CyberSpace), số lượng malware bùng nổ.

 (nguồn:  http://cme.mitre.org/index.html)

5) Chu kỳ hoạt động một malware và cơ cấu một malware

Thời kỳ 1 (conception)

Thời kỳ 2 (injection)

Thời kỳ 3 (reproduction)

Thời kỳ 4 (activation)

Thời kỳ 5 (detection)

Thời kỳ 6 (assimilation)

Thời kỳ 7 (eradication)

6) Những nguy hiểm của malware.

(nguồn : http://vaccin.sourceforge.net)

xâm nhập máy và đoạt lấy đặc quyền quản trị

Máy bị nhiễm malware biến thành một phần tử của một mạng botnet

lấy trộm dữ kiện quan trọng và chuyển ra ngoài để làm áp lực lên đối tượng hay được đem bàn trên thị trường underground,

trở thành một võ khí lợi hại để cho cảnh sát truy lùng ra tội phạm, hay chỉ điểm cho công an các chế độ độc tài truy lùng ra và bắt được các nhà hoạt động dân chủ và sách nhiễu gia đình họ.

Đối với các hãng xưởng về kỹ thuật tiền tiến, quốc phòng, các cơ quan công quyền, việc bị nhiễm malware không thể chấp nhận được vì sẽ kéo theo sự mất mát uy tín, dữ kiện tối mật lliên hệ đến sự sống còn của hãng, của cơ quan.

những malware giả (HOAX)

(nguồn http://www.hoaxbuster.com)

7) Máy Vi tính có thể bị nhiễm malware qua những nơi nào :

 

–          qua thẻ nhớ USB, đĩa bên ngoài, qua chức năng autorun, hay qua việc chép các hồ sơ bị nhiễm trên đĩa vào máy

–          khi lướt trên mạng, truy cập vào các trang mạng bị nhiễm (infected web site),

–          khi xử dụng khả năng nối không giây (wifi) tại những nơi công cộng

–          chia xẻ những dự kiện (sharing resources peer to peer), nhận hồ sơ qua file transfer, qua các dịch vụ tin nhanh (instant messaging), skype

–          bị tấn công (intrusion, attack), khi máy lúc nào cũng được nối vào mạng

–          nhận email có hồ sơ đính kèm bị nhiễm (infected attached file) hay thuộc loại câu nhử (spear phishing)

–          khi đem máy đi sửa tại những nơi không có sự tin cậy

–          khi thiết trí (install) những chương trình lạ không đáng tin cậy

–          cho người khác mượn máy

8) Làm sao dể phòng chống malware hữu hiệu

Để chống lại sự xâm nhập của malware, cần xây dựng một hệ thống phòng thủ gồm nhiều tầng (defense multi layer)

1) Cẩn thận về cách thức xử dụng (behavior), điện thư, lướt mạng, thẻ nhớ USB …

2) Cài đặt an toàn căn bản, (sẽ trình bày trong phần 2) security settings, update thường xuyên  về hệ thống điều hành, trình duyệt

3) Khi lướt mạng, tải xuống các hồ sơ (sẽ trình bày trong phần 3)

4) Khi xử dụng email, (sẽ trình bày trong phần 3)

5) Khi chuyển hồ sơ qua lại từ thẻ đĩa nhớ bên ngoài. (sẽ trình bày trong phần 2)

6) Tắt máy hay rút giây nối (network cable) viễn thông khỏi máy khi không còn xử dụng máy.

7) Cài đặt các nhu liệu phòng chống về an ninh điện tử

Nguyên tắc chung là ngăn ngừa (preventive), ngăn chặn, cô lập và diệt trừ.

Nếu cẩn thận qua cách hành xử (behavior), người xử dụng có thể giải quyết được 20% xác xuất rủi ro và 80% còn lại qua các biện pháp kỹ thuật.

 

  • Mức độ 1 :
    • Anti virus, cập nhật, quét thường xuyên  (để khám phá và diệt trừ, cô lập các malware)
    • Anti spyware, cập nhật, quét thường xuyên,
    • Cập nhật thường xuyên về an ninh để vá các lỗ hổng an ninh (patch security update).
  • Mức độ 2 :
    • Mức độ 1
    • Anti rootkit, (nhằm phá vỡ việc che dấu malware)
    • Firewall để ngăn chặn các liên lạc không được cho phép ra bên ngoài.
    • Mã hóa một phần (partition) đĩa cứng, mã hoá các hồ sơ lưu trữ, gởi đi
  • Mức độ 3 :
    • Mức độ 1 + 2
    • Thẩm định rõ rệt mức độ các rủi ro (Risks Analysis)
    • Quan tâm đến các cảnh báo (security alert) để phòng chống
    • Phòng chống malware “0 day “, khi chưa tìm ra được dấu ấn của malware
    • Khả năng chống xâm nhập (anti intrusion)
  • Mức độ 4 :
    • Mức độ 1 + 2 + 3
    • Xây dựng khả năng điều tra, truy tìm malware (forensic)
    • Xây dựng khả năng phân tích mã lệnh của malware để tìm ra mục tiêu, các thức hoạt động, nguồn gốc của người chế tạo ra malware (reverse engineering)

9) Những chỉ dấu bị nhiễm, những việc cần làm khi tình nghi bị nhiễm virus, làm sao khám

–          máy bổng nhiên bị chậm lại, chuột, bàn phím có những di chuyển lạ

–          hồ sơ bị biến mất hay bị đổi extension

–          nhận thấy có những process “ lạ “ hiện ra khi bấm vào CRTL+ALT+SUP

–          những chương trình áp dụng hay anti virus không chạy bình thường nữa

–          có những windows message chứa thông điệp hiện ra bất chợt

–          có những “cổng” (port) lạ được mở ra

–          những người quen thông báo là máy vi tính bị một số hiện tượng nêu trên

  • Không nối vào (connect) vào mạng, không sao chép ra đĩa bên ngoài
  • Quét các hồ sơ (Scan) từ đĩa bên ngoài bootable,
  • Cập nhật dấn ấn malware (signature),
  • Tải xuống dụng cụ (tools) đặc biệt nếu cần cho loại malware,
  • Diệt xong rồi scan lại lần thứ hai

Làm sao khám phá những chỉ dấu hoạt động của malware

1)      Qua việc theo dõi File system và registry

http://technet.microsoft.com/en-us/sysinternals/bb896645

Tải xuống và thiết trí phiên bản V2.96 Process Monitor

2)      Qua việc theo dõi các process độc hại

http://technet.microsoft.com/fr-fr/sysinternals/bb896653

Tải xuống và thiết trí phiên bản V11.02 Process Explorer

http://sourceforge.net/projects/processhacker/

Tải xuống và thiết trí Process Hacker  V2.24

3)      Qua việc theo dõi các thay đổi của registry trước và sau khi máy bị nhiễm

http://sourceforge.net/projects/regshot/

Tải xuống và thiết trí Regshot phiên bản V1.8.2

Advertisements

Lưu lại ý kiến đóng góp hay phản hồi vào ô dưới đây :

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

%d bloggers like this: