BÀI TẬP TUẦN 1

1. Giới thiệu về mã độc và phân tích mã độc:

1.1 Mã độc là gì?
Mã độc hay “Malicious software” chính là phần mềm độc hại được tạo ra
với mục đích xấu có thể lây lan và phát tán trên những hệ thống máy tính và hệ
thống internet, Việc này nhằm mục đích thực hiện những hành vi bất hợp pháp.
Mã độc có thể làm đơ máy hay xóa toàn bộ thông tin của bạn, hoặc nó có
thể ăn cắp toàn bộ thông tin có trong máy của bạn.
Thường những mã độc này nhắm đến các công ty, tổ chức, cá nhân, nhằm
chuộc lợi về mặt kinh tế, hoặc lập dị hơn là những người bất chấp phạm pháp
viết ra mã độc chỉ để thỏa mãn sở thích cá nhân.
Đa số những mã độc này đều có chung 1 điểm đó chính là được tạo ra để
thực hiện hành vi xấu không hợp pháp, tuy nhiên cũng có 1 số mã độc được
tính là hợp pháp ví dụ như: addon quảng cáo
1.2 Các thống kê liên quan mã độc
- Thiệt hại:
+ Theo ước tính của Bkav, trong năm 2019, thiệt hại do virus máy tính gây ra
cho người dùng Việt Nam đã lên tới 20.892 tỷ đồng (902 triệu USD), vượt xa
con số 14.900 tỷ đồng của năm 2018.
+ tỷ lệ máy tính bị nhiễm mã độc trong năm 2019 tại Việt Nam vẫn ở mức rất
cao, lên tới gần 58%.
+ Tổng số lượt máy tính bị nhiễm mã độc được ghi nhận trong năm 2019 lên
tới 85,2 triệu lượt, tăng 3,5% so với năm 2018.
+ Thống kê của Bkav cho thấy, 420.000 máy tính tại Việt Nam đã bị nhiễm
loại mã độc tấn công APT nguy hiểm W32.Fileless.
+ Năm 2019 vừa qua tiếp tục chứng kiến sự hoành hành của các loại mã độc
mã hóa dữ liệu tống tiền (ransomware). Theo thống kê của Bkav, số lượng máy
tính bị mất dữ liệu trong năm 2019 lên tới 1,8 triệu lượt, tăng 12% so với năm
2018. Nghiêm trọng hơn, trong số này có rất nhiều máy chủ (server) chứa dữ
liệu của các cơ quan. Không chỉ gây thiệt hại lớn, việc các máy chủ bị xóa dữ
liệu cũng gây đình trệ hoạt động của cơ quan, doanh nghiệp trong nhiều ngày
sau đó, thậm chí đến cả tháng.

+ Trung bình, cứ 10 máy tính cài các phần mềm tải về từ Internet thì có tới 8
máy tính sẽ bị nhiễm viurs, đây là một tỷ lệ rất cao. Để đảm bảo an toàn, người
sử dụng chỉ nên tải các phần mềm có nguồn gốc rõ ràng, từ nhà sản xuất tin
tưởng và từ các kho ứng dụng chính thống, không tải từ những nguồn trôi nổi
trên mạng.
+ Tỷ lệ lây nhiễm virus qua USB đã giảm mạnh, tuy vẫn ở mức cao 55%,
nhưng đã giảm tới 22% so với năm 2018. Ngược lại, virus lây nhiễm qua email
lại tăng, lên mức 20%, tăng 4% so với năm 2018.
+ Cũng theo thống kê của Bkav, vẫn tồn tại tới 41,04% máy tính tại Việt Nam
có chứa lỗ hổng SMB, từng bị virus Wanna Cry khai thác để lây nhiễm hơn
300.000 máy tính chỉ trong vài giờ. Đây vẫn là những nguy cơ rất lớn về mất
an ninh thông tin tại Việt Nam.
+ Đến năm 2021, thiệt hại an ninh mạng dự kiến lên tới 6 nghìn tỷ đô la
+ Các dữ kiện và thống kê về tội phạm mạng nói rằng kể từ năm 2016, hơn
4.000 cuộc tấn công ransomware xảy ra hàng ngày. Đó là mức tăng 300% so
với năm 2015 khi ít hơn 1.000 cuộc tấn công kiểu này được ghi nhận mỗi
ngày. Ransomware nhắm mục tiêu vào người dùng gia đình, doanh nghiệp và
mạng chính phủ và thường dẫn đến mất thông tin nhạy cảm vĩnh viễn.
+ Tiền chuộc thường được yêu cầu thanh toán bằng bitcoin, vì tiền điện tử
không thể theo dõi được. Số tiền trung bình mà những kẻ tấn công yêu cầu
tương đương với $ 1,077. Giá cao là lý do tại sao hầu hết người dùng bị ảnh
hưởng bởi ransomware quyết định từ bỏ dữ liệu bị đánh cắp.
+ Các ước tính cho thấy hơn 500 triệu PC đã vô tình bị nhiễm phần mềm khai
thác tiền điện tử.
+ Theo báo cáo vi phạm dữ liệu của Verizon và thống kê phần mềm độc hại có
sẵn trực tuyến, 92% tất cả các cuộc tấn công phần mềm độc hại xảy ra thông
qua email.
+ Một phần dữ liệu quan trọng liên quan đến các cuộc tấn công mạng năm
2018:
+ Phần mở rộng tệp MS Office cho Word, Excel và PowerPoint đại diện cho
các tệp đính kèm phổ biến nhất có phần mềm độc hại. Lý do đằng sau điều này
là thực tế là hầu hết mọi người nghĩ rằng các tệp đến từ đồng nghiệp hoặc đối
tác kinh doanh, không bao giờ nghi ngờ phần mềm độc hại ẩn sau một bảng
hoặc một tài liệu văn bản đơn giản.
+ 38% tất cả các tệp độc hại được đính kèm trong email có một trong các
định dạng MS Office.
+  Ngày nay, 77% các cuộc tấn công mạng quy mô lớn và nhỏ xảy ra ở dạng
tệp ít hơn hoặc ít nhất là trường hợp của năm 2017.
Các cuộc tấn công không lọc dựa trên phần mềm mà chúng ta đã cài đặt trên
máy tính của mình và chúng ít rõ ràng hơn nhiều so với các tệp thực thi đã
từng lây nhiễm vào thiết bị của chúng ta nhiều năm trước. Phần mềm độc hại
có thể ẩn trong các plug-in của trình duyệt, macro MS Office hoặc có thể khai
thác các lỗ hổng trong các chương trình máy chủ có thể dẫn đến đánh cắp dữ
liệu từ máy chủ.
Kaspersky Lab tuyên bố rằng phần mềm độc hại di động là thứ lớn tiếp theo
trong thế giới tội phạm mạng. Dữ liệu cho thấy 98% tất cả các cuộc tấn công
bằng phần mềm độc hại trên thiết bị di động nhắm vào thiết bị Android, nghĩa
là chỉ 2% là nhằm vào thiết bị iOS.
1.3 Vì sao phải học phân tích mã độc?
+ Với sự phát triển mạnh mẽ của Internet, vấn đề an ninh, bảo đảm an toàn
cho các hệ thống thông tin ngày càng trở nên cấp thiết khi các hệ thống thông
tin được kết nối với nhau và kết nối với mạng Internet, chúng ta phải đối diện
với nhiều nguy cơ bị tấn công lấy cắp thông tin hoặc phá hoại hệ thống.
+ Trong số các phương thức tấn công phá hoại hệ thống thông tin và mạng,
các phần mềm độc hại là một trong các dạng gây nhiều thiệt hại nhất do khả
năng lan truyền nhanh chóng. Câu hỏi đặt ra là liệu có cần phân tích mã độc
không khi càng ngày những phần mềm đảm bảo an ninh máy tính càng phát
triển. Câu trả lời luôn là có, vì các phần mềm độc hại được phát triển ngày
càng tinh vi và rất khó phát hiện.
+ Phần mềm đảm bảo an ninh mạnh nhất và được cập nhật cũng không thể
loại bỏ được hết mã độc. Kết quả của quá trình phân tích Malware sẽ phát hiện
được những phương thức lây lan, phá hoại, đánh cắp dữ liệu mới; đồng thời
hạn chế sự lây lan, giảm thiểu thiệt hại do Malware gây ra bằng cách đưa các
cảnh báo tới cộng đồng; là nguồn thông tin quan trọng để cập nhật mẫu cũng
như chức năng cho phần mềm đảm bảo an ninh máy tính.
+ Phân tích mã độc là một bước quan trọng trong để có thể ngăn chặn và tiêu
diệt hoàn toàn mã độc ra khỏi máy tính và hệ thống mạng; khôi phục lại hiện
trạng của mạng như ban đầu; truy tìm nguồn gốc tấn công.
 1.4 Làm phân tích mã độc là làm gì?
- Phân tích mã độc là một bước quan trọng trong để có thể ngăn chặn và tiêu diệt
hoàn toàn mã độc ra khỏi máy tính và hệ thống mạng; khôi phục lại hiện trạng của
mạng như ban đầu; truy tìm nguồn gốc tấn công.
Trước tiên cần xác định được chính xác chuyện gì đã xảy ra với toàn bộ hệ thống,
tìm được toàn bộ các thiết bị, tệp, ứng dụng đã bị lây nhiễm.
- Phân tích mã độc bao gồm:
Nghiên cứu hành vi của phần mềm độc hại
Phân tích nhị phân nghi ngờ trong một môi trường an toàn
Để xác định các đặc điểm và chức năng của nó
Bản chất và mục đích của phần mềm độc hại
Hệ thống đã bị xâm nhập như thế nào và các tác động của nó
Phương pháp đo lường thiệt hại nó có thể gây ra
Và quan trọng nhất cần tìm ra qui luật đặc trưng (Mã nhận diện – signatures) để
nhận diện mã độc
Có hai loại mã nhận diện chính:
Host-based signatures: Là các mã nhận diện được sử dụng để phát hiện mã độc
trên máy tính.
Network signatures: Là các mã nhận diện được sử dụng để phát hiện mã độc khi
giám sát hệ thống mạng.
Để phân tích mã độc người ta xây dựng các phương pháp phân tích mã độc sau:
* Phương pháp phân tích tĩnh:
- Phương pháp phân tích tĩnh là phương pháp trích xuất thông tin về các phần
mềm độc hại từ tập tin mã nhị phân của chúng mà không thực hiện các mã nhị
phân này.
- Phân tích tĩnh bao gồm việc kiểm tra danh sách các chuỗi, sinh chữ ký cho mỗi
phần mềm được phân tích, xác định thuộc tính và trình biên dịch được sử dụng và
một số đặc điểm khác
* Phương pháp phân tích động:
- Phương pháp phân tích động là phân tích, kiểm tra các phần mềm độc hại khi
chúng đang được thực thi.
- Phân tích động là bước thứ hai trong quá trình phân tích phần mềm độc hại. Phân
tích động thường được thực hiện sau khi hoàn tất quá trình phân tích tĩnh.
 - Phân tích động liên quan đến việc giám sát phần mềm độc hại khi chúng đang
được thực thi, kiểm tra các hệ thống sau khi đã thực hiện các phần mềm độc
hại.Khi phân tích một phần mềm độc hại bằng phương pháp phân tích động cần
thực hiện các bước sau :
+ Thiết lập môi trường phân tích.
+ Chạy phần mềm nghi ngờ độc hại.
+ Giám sát tiến trình của phần mềm nghi ngờ độc hại.
+ Giám sát mạng khi chạy phần mềm nghi ngờ độc hại.
* Phương pháp phân tích, nhận dạng phần mềm độc hại dựa trên hành vi
- Phương pháp phân tích phần mềm độc hại dựa trên hành vi là việc khai thác
thông tin liên quan về một chương trình bị nghi ngờ, bằng cách giám sát các hoạt
động, hành động của nó trong hệ thống .
- Mục đích của việc phân tích hành vi phần mềm độc hại giúp đánh giá các ảnh
hưởng, tác động đến hệ thống khi một phần mềm độc hại được thực thi.
- Do vậy, một hệ thống phân tích sử dụng phương pháp phân tích hành vi cần có 3
thành phần chính :
+ Giám sát hành vi ứng dụng ở mức thấp tổng hợp để hình thành hành vi cấp
cao.
+ Phân cụm các hành vi thu được ở phần giám sát.
+ Khắc phục các ảnh hưởng tới hệ thống bị nhiễm độc, dựa vào các dữ liệu hành
vi thu được
1.5 Phân tích xong thì làm gì?
Diệt mã độc và khôi phục hệ thống.
2 Phân loại mã độc, Các loại mã độc điển hình:
5.1. Virus: Tên gọi virus tin học (hay còn gọi virus máy tính) dùng để chỉ các
chương trình máy tính do con người tạo ra. Các chương trình này có khả năng bám
vào các chương trình khác như một vật thể ký sinh. Chúng cũng tự nhân bản để
tồn tại và lây lan. Do cách thức hoạt động của chúng giống virus sinh học nên
người ta không ngần ngại đặt cho chúng cái tên "virus" đầy ấn tượng này.
Virus tin học bắt đầu lịch sử lây nhiễm của nó trên máy tính lớn vào năm 1970.
Sau đó chúng xuất hiện trên máy PC vào năm 1986 và "liên tục phát triển" thành
một lực lượng hùng hậu cùng với sự phát triển của họ máy tính cá nhân. Người ta
thường thấy chúng thường xuất hiện ở các trường đại học, nơi tập trung các sinh
viên giỏi và hiếu động. Dựa vào các phương tiện giao tiếp máy tính (mạng, đĩa...),
chúng lan truyền và có mặt khắp nơi trên thế giới với số lượng đông không kể xiết.
Có thể nói rằng nơi nào có máy tính, nơi đó có virus tin học. Như vậy đủ thấy tầm
hoạt động của virus tin học là phổ biến vô cùng. Nói như các nhà quảng cáo thuốc
Fugacar: "Ai cũng có thể bị nhiễm...", thì "Máy tính nào cũng có thể bị nhiễm
virus."
Mô hình hoạt động của virus là :
* Nhiễm - Ðược kích hoạt - Thường trú - Tìm đối tượng để lây - Nhiễm
Người ta chia virus thành 2 loại chính là B-virus, loại lây vào các mẫu tin khởi
động (Boot record) và F-virus lây vào các tập tin thực thi (Executive file). Cách
phân loại này chỉ mang tính tương đối, bởi vì trên thực tế có những loại virus
lưỡng tính vừa lây trên boot record, vừa trên file thi hành. Ngoài ra, phiền một nỗi
là ta còn phải kể đến họ virus macro nữa. Chúng ta hãy cùng tìm hiểu từng "đứa"
một.
+ B-virus: Nếu boot máy từ một đĩa mềm nhiễm B-virus, bộ nhớ của máy sẽ bị
khống chế, kế tiếp là boot record của đĩa cứng bị lây nhiễm. Kể từ giờ phút này,
tất cả các đĩa mềm không được chống ghi sẽ bị nhiễm B-virus dù chỉ qua một tác
vụ đọc (như DIR A: chẳng hạn).
B-virus có ưu điểm là lây lan nhanh và có thể khống chế bất cứ hệ điều hành nào.
Chúng có nhược điểm là chỉ được kích hoạt khi hệ thống được khởi động từ đĩa
nhiễm.
+ F-virus: Nguyên tắc của F-virus là gắn lén vào file thi hành (dạng .COM và
.EXE) một đoạn mã để mỗi lần file thực hiện, đoạn mã này sẽ được kích hoạt,
thường trú trong vùng nhớ, khống chế các tác vụ truy xuất file, dò tìm các file thực
thi sạch khác để tự gắn chúng vào.
Ưu điểm của F-virus là dễ dàng được kích hoạt (do tần xuất chạy chương trình
COM, EXE của hệ thống rất cao). Nhược điểm của chúng là chỉ lây trên một hệ
điều hành xác định.
+ Macro virus: Dù mới xuất hiện, macro virus vẫn xứng đáng được nể mặt "hậu
sinh khả úy" vì tính "cơ hội" của chúng.
Lợi dụng nhu cầu trao đổi văn bản, thư từ, công văn, hợp đồng... trong thời đại
bùng nổ thông tin, kẻ thiết kế nên virus Concept (thủy tổ của họ virus macro) chọn
ngôn ngữ macro của Microsoft Word làm phương tiện lây lan trên môi trường
Winword khi tư liệu DOC nhiễm được Open. Từ văn bản nhiễm, macro virus sẽ
được đưa vào NORMAL.DOT, rồi từ đây chúng tự chèn vào các văn bản sạch
khác. Dạng thứ hai của virus macro là lây vào bảng tính của Microsoft Exel, ít phổ
biến hơn dạng thứ nhất.
Virus macro "độc" ở chỗ là nó làm cho mọi người nghi ngờ lẫn nhau. Hãy tưởng
tượng bạn nhận được file TOTINH.DOC từ người mà mình thầm thương trộm
nhớ, bạn sẽ làm gì đầu tiên? "Vớ vẩn! Dùng Winword để xem ngay chứ làm gì!"
Hẳn bạn sẽ tự nhủ như vậy. Nhưng dù có sốt ruột cách mấy, bạn cũng nên cẩn thận
dùng các chương trình diệt virus xem bức thư tình nồng cháy kia có tiềm ẩn một
chú macro virus nào không rồi hãy quyết định xem nội dung của tập tin này! Ðọc
đến đây chắc bạn sẽ càu nhàu: "Làm gì có vẻ hình sự quá dzậy, không lẽ tình yêu
trong thời đại vi tính không còn tính lãng mạn nữa hay sao?" Mặc dù người gửi
thư không cố tình hại bạn (tất nhiên), nhưng sự cẩn thận của bạn trong trường hợp
này là rất cần thiết, vì biết đâu bộ đếm nội của con virus trong bức thư đã đạt đến
ngưỡng, chỉ cần bạn mở file một lần nữa thôi, đúng cái lúc mà bạn hồi hộp chờ
Word in ra màn hình nội dung bức thư thì toàn bộ đĩa cứng của bạn đã bị xoá
trắng! Ðó chính là "độc chiêu" của macro virus NTTHNTA: xoá đĩa cứng khi số
lần mở các file nhiễm là 20 !
5.2. worm:

Là các chương trình phần mềm khi tiếp xúc với máy tính (hoặc các thiết bị lưu
thông tin khác) thì có khả năng lưu trú, tự nhân bản tức là tái tạo gấp nhiều lần
những bản sao giống hệt nó mặc dù bạn không thực hiện bất kì thao tác gì. 
Các bản sao tự tìm cách lan truyền qua các máy tính khác trong cùng hệ thống
mạng (thường là qua hệ thống thư điện tử) sử dụng cùng hệ điều hành mà người
sử dụng không hề hay biết. 

Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm như: xóa và/hoặc
thay đổi dữ liệu trong các máy tính đó, chiếm dung lượng bộ nhớ làm cho máy
hoạt động chậm hẳn lại hoặc bị "treo", nhiệm vụ chính của worm là phá các mạng
(network) thông tin, làm giảm khả năng hoạt động hay ngay cả hủy hoại các
mạng này. 

Có người cho rằng worm khác với virus, họ nhấn mạnh vào đặc tính phá hoại
mạng những ở đây ta xem worm cũng là một loại virus có một số đặc tính riêng
mà thôi. Sâu máy tính có thể xâm nhập vào hệ thống mail của bạn để tự gửi email
đến tất cả các địa chỉ trong contact list của bạn. 

Một số worm phổ biến là Conflicker, Sasser và Blaster. Một Worm nổi tiếng được
tạo bởi Robert Morris vào năm 1988, nó có thể làm hỏng bất kì hệ điều hành
UNIX nào trên Internet. 
Nhưng có lẽ nổi tiếng nhất là câu chuyện của Worm My Doom. MyDoom, còn có
tên là W32.MyDoom@mm, Novarg, Mimail.R and Shimgapi, là một sâu máy tính
chuyên tấn công vào hệ điều hành Microsoft Windows, được phát hiện lần đầu
tiên vào ngày 26/01/2004 và có lẽ là một sâu máy tính lan truyền rộng và nhanh
nhất từ trước đến nay.

Ngày 27/01/2004 tập đoàn máy tính SCO treo giải 250.000 USD cho ai cung cấp
được thông tin về tác giả My Doom nhưng không thu được kết quả nào và ngày
01/02/2004 đã có gần 1 triệu máy tính trên thế giới bị My Doom tấn công. 
5.3. trojan:

Theo truyền thuyết, người Hy Lạp đã giành chiến thắng trong cuộc chiến
thành Troy bằng cách ẩn trong một con ngựa khổng lồ bằng gỗ rỗng lẻn vào thành
Troy kiên cố. Trong thế giới máy tính ngày nay, một Trojan horse được định nghĩa
là một “chương trình độc hại ngụy trang như một cái gì đó được cho là lành
tính“. Ví dụ, bạn tải về những chương trình đơn giản như một bộ phim hay tập tin
âm nhạc, nhưng khi bạn click vào nó, bạn có thể mở ra một chương trình nguy
hiểm xóa đĩa cứng của bạn, gửi số thẻ tín dụng và mật khẩu của bạn với một người
lạ, hoặc cho phép người lạ chiếm quyền điều khiển máy tính của bạn hay trở thành
một phần tử trong mạng botnet để góp phần vào một cuộc tấn công DDoS.
* Các dạng Trojans cơ bản:
- Remote Access Trojans – Cho phép kẻ tấn công kiểm soát toàn bộ hệ thống từ
xa.
- Data-Sending Trojans – Trojans sẽ gửi những thông tin nhạy cảm của nạn nhân
cho kẻ tấn công
- Destructive Trojans – Loại Trojan phá hủy hệ thống
- Denied-of-Service – DoS Attack Trojan: Trojans phục vụ cho các cuộc tấn
công DoS.
- Proxy Trojans – là loại trojan được thiết kế để có thể sử dụng máy tính của nạn
nhân như một proxy server.
- HTTP, FTP Trojans – Trojan tự tạo thành HTTP hay FTP server để kẻ tấn công
khai thác lỗi.
- Security Software Disable Trojan – Có tác dụng tắt những tính năng bảo mật
trong máy tính của nạn nhân.
Một số Port được sử dụng bởi các Trojan phổ biến:
Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 và 31338
Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 và 3150
NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 và 12346
Whack-a-mole – Sử dụng TCP – Qua Port 12361 và 12362
Netbus 2 Pro – Sử dụng TCP – Qua Port 20034
GrilFriend – Sử dụng Protocol TCP – Qua Port 21544
Masters Paradise – Sử dụng TCP Protocol qua Port – 3129, 40421,40422, 40423 và
40426.

5.4. Backdoor/Remote Access Trojan (RAT):

Backdoor là một ứng dụng cho phép truy cập từ xa vào máy tính. Sự khác biệt
giữa loại phần mềm độc hại này và một ứng dụng hợp pháp có chức năng tương tự
là việc cài đặt được thực hiện mà người dùng không hề hay biết.
Chức năng backdoor điển hình bao gồm khả năng gửi tệp đến máy tính chủ và
thực thi các tệp và lệnh trên đó, đồng thời lọc (gửi) tệp và tài liệu trở lại kẻ tấn
công. Thông thường, chức năng này được kết hợp với chức năng ghi khóa và lấy
màn hình cho các mục đích gián điệp và đánh cắp dữ liệu.
Thuật ngữ “RAT” (Công cụ truy cập từ xa) có thể được coi là từ đồng nghĩa với
“cửa sau”, nhưng nó thường biểu thị một gói đầy đủ bao gồm ứng dụng khách
dùng để cài đặt trên hệ thống đích và thành phần máy chủ cho phép quản trị và
kiểm soát các 'bot' riêng lẻ hoặc hệ thống bị xâm phạm.
Có một số lượng lớn các RAT phổ biến như SubSeven, Back Orifice, ProRat,
Turkojan và Poison-Ivy. Và một số khác, chẳng hạn như CyberGate, DarkComet,
Optix, Shark và VorteX Rat có phân phối và sử dụng nhỏ hơn. Đây chỉ là một số
lượng nhỏ các RAT đã biết và một danh sách đầy đủ sẽ khá rộng và sẽ liên tục
phát triển.
Trojan Truy cập Từ xa có khả năng thu thập một lượng lớn thông tin chống lại
người dùng của một máy bị nhiễm. Nếu các chương trình Trojan Truy cập Từ xa
được tìm thấy trên một hệ thống, thì phải cho rằng bất kỳ thông tin cá nhân nào
(đã được truy cập trên máy bị nhiễm) đã bị xâm phạm. Người dùng phải cập nhật
ngay lập tức tất cả tên người dùng và mật khẩu từ một máy tính sạch và thông báo
cho quản trị viên thích hợp của hệ thống về khả năng xâm phạm. Theo dõi cẩn
thận các báo cáo tín dụng và báo cáo ngân hàng trong những tháng tiếp theo để
phát hiện bất kỳ hoạt động đáng ngờ nào đối với các tài khoản tài chính.
5.5 Adware (advertising-supported software): là phần mềm được thiết kế để
hiển thị quảng cáo lên màn hình thiết bị của người dùng, thường ngụy trang dưới
dạng một chương trình hợp pháp hoặc ẩn mình trong một chương trình khác để lừa
người dùng cài đặt nó.
Nhà phát triển Adware kiếm tiền bằng cách tự động hiển thị quảng cáo qua giao
diện người dùng hoặc trên màn hình chờ trong quá trình download phần mềm nào
đó (ví dụ chương trình giảm cân cấp tốc, bí quyết làm giàu nhanh chóng, cảnh báo
virus – mời bạn click vào,…). Khi xâm nhập thành công vào thiết bị, adware có
thể thực hiện các tác vụ không mong muốn như:
Tự động mở tab mới.
Thay đổi trang chủ tìm kiếm.
Thu thập thông tin người dùng để target quảng cáo.
Chuyển hướng người dùng đến trang web NSFW (not safe/suitable for work).

5.6 Botnet: Chữ botnet được sử dụng vì phần lớn chúng đều là những chương
trình tự động hóa được rải ra trong network. Thường thì những máy tính này sẽ
được điều khiển bởi 1 máy chủ, và trong trường hợp của botnet thì máy chủ này
được gọi bằng cái tên command hoặc control server. Sau này có thêm loại hình
botnet ngang hàng (P2P) nữa, lúc đó không cần server điều khiển ở giữa.
Cũng cần lưu ý là có 2 loại botnet:
một loại hợp pháp, thường được sử dụng cho những nghiên cứu khoa học như tình
huống của tiến sĩ Pande. Nó giúp các nhà khoa học tiết kiệm chi phí và tăng hiệu
năng xử lý cho nghiên cứu của mình, đương nhiên người dùng sẽ biết rõ rằng máy
mình đang chạy con bot do nhà nghiên cứu đó viết ra.
Loại thứ 2 bất hợp pháp, thường được sử dụng bởi kẻ xấu để làm chuyện xấu và
người dùng không biết mình đã bị cài bot lên máy. Trong bài này chúng ta chủ yếu
nói về loại phi pháp.
5.7. Information Stealer: là phần mềm độc hại tạo ra với mục đích đánh cắp các
dữ liệu thông tin người dùng.
Một số loại information Stealer phổ biến như:
Keylogger: Keylogger hay "trình theo dõi thao tác bàn phím" theo cách dịch ra
tiếng Việt là một chương trình máy tính ban đầu được viết nhằm mục đích theo
dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để
cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của
người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián
điệp. Về sau, khi keylogger phát triển cao hơn nó không những ghi lại thao tác bàn
phím mà còn ghi lại cả các hình ảnh hiển thị trên màn hình (screen) bằng cách
chụp (screen-shot) hoặc quay phim (screen-capture) thậm chí còn ghi nhận cách
con trỏ chuột trên máy tính di chuyển.
Sniffers: là những công cụ được sử dụng để chuẩn đoán và phát hiện lỗi hệ thống
mạng và các vấn đề liên quan. Các Hacker sử dụng Packet Sniffer với mục đích
nghe trộm trên những dữ liệu chưa được mã hóa và xem những thông tin được trao
đổi giữa 2 bên.
Form grabbing: hoạt động bằng cách truy xuất thông tin xác thực ủy quyền và
đăng nhập từ biểu mẫu dữ liệu web trước khi nó được chuyển qua Internet tới một
máy chủ an toàn. Điều này cho phép phần mềm độc hại tránh mã hóa HTTPS .
Phương pháp này hiệu quả hơn phần mềm keylogger vì nó sẽ lấy thông tin đăng
nhập của người dùng ngay cả khi họ nhập liệu bằng bàn phím ảo, tự động điền
hoặc sao chép và dán. [1] Sau đó, nó có thể sắp xếp thông tin dựa trên các tên biến
của nó, chẳng hạn như email , tên tài khoản và mật khẩu . Ngoài ra, trình lấy mẫu
sẽ ghi lại URL và tiêu đề của trang web mà dữ liệu được thu thập từ đó.
5.8. Spyware:
Spyware (phần mềm gián điệp) là thuật ngữ chỉ chung các phần mềm độc hại
xâm nhập vào PC hoặc thiết bị di động để thu thập thông tin cá nhân, thói quen sử
dụng Internet cũng như các dữ liệu khác của người dùng.
thường chạy ngầm trong hệ thống và âm thầm giám sát, thu thập thông tin nhằm
phá hoại máy tính cũng như quá trình truy cập Internet bình thường của người
dùng. Các hoạt động này bao gồm theo dõi thao tác bàn phím, ảnh chụp màn hình,
địa chỉ email, thẻ tín dụng, dữ liệu duyệt web và các thông tin cá nhân khác.
Spyware có thể lén lút xâm nhập vào hệ điều hành (HĐH) hoặc được chính người
dùng vô tình cài vào máy tính từ các chương trình hợp pháp mà họ tải xuống.
Trong trường hợp bạn phát hiện ra sự hiện diện của Spyware trong hệ thống thì
việc gỡ bỏ nó cũng không hề dễ dàng chút nào!
Spyware được phân loại theo mục đích sử dụng của hacker, tiêu biểu là:
Password stealers: Là các Spyware chuyên thu thập các loại mật khẩu như thông
tin đăng nhập được lưu trữ trong trình duyệt web, thông tin đăng nhập hệ thống và
các loại mật khẩu quan trọng khác.
Banking Trojans: Là các ứng dụng được thiết kế để thu thập thông tin đăng nhập
từ các tổ chức tài chính. Chúng lợi dụng các lỗ hổng bảo mật trong trình duyệt để
bí mật sửa đổi các trang web, sửa đổi nội dung giao dịch hoặc chèn thêm các giao
dịch khác. Người dùng và ứng dụng web lưu trữ đều khó có thể phát hiện được.
Banking Trojan có thể nhắm mục tiêu vào một loạt các tổ chức tài chính, bao gồm
ngân hàng, công ty môi giới, các cổng thanh toán tài chính trực tuyến hoặc ví kỹ
thuật số.
Infostealers: Là các ứng dụng quét các máy tính bị nhiễm Spyware và thu thập
thông tin, bao gồm tên người dùng, mật khẩu, địa chỉ email, lịch sử trình duyệt,
thông tin hệ thống và các tài liệu khác. Giống như banking Trojan, Infostealers
có thể khai thác lỗ hổng bảo mật của trình duyệt để thu thập thông tin cá nhân
trong các dịch vụ và diễn đàn trực tuyến.
Keylogger: Là các ứng dụng được thiết kế để theo dõi thao tác trên bàn phím của
người dùng nhằm thu thập các thông tin như dữ liệu duyệt web, nội dung email,
tin nhắn riêng, thông tin hệ thống, ảnh chụp màn hình, tài liệu được in, hình ảnh,
âm thanh, video và chuyển tới cho hacker.
5.9. Ransomware
Ransomware: là phần mềm gián điệp hay phần mềm tống tiền, nó là tên gọi
chung của 1 dạng phần mềm độc hại - Malware, có "tác dụng" chính là ngăn chặn
người dùng truy cập và sử dụng hệ thống máy tính hoặc các file tài liệu của họ
(chủ yếu phát hiện trên hệ điều hành Windows). Các biến thể Malware dạng này
thường đưa ra các thông điệp cho nạn nhân rằng họ phải nộp 1 khoản tiền kha khá
vào tài khoản của hacker nếu muốn lấy lại dữ liệu, thông tin cá nhân hoặc đơn giản
nhất là truy cập được vào máy tính của họ. Hầu hết các phần mềm Ransomware
đều chiếm quyền và mã hóa toàn bộ thông tin của nạn nhân mà nó tìm được
(thường gọi là Cryptolocker), còn một số loại Ransomware khác lại dùng TOR để
giấu, ẩn đi các gói dữ liệu C&C trên máy tính (tên khác là CTB Locker).
Cái giá mà Ransomware đưa ra cho nạn nhân cũng rất đa dạng, "nhẹ nhàng" thì cỡ
20$, "nặng đô" hơn có thể tới hàng ngàn $ (nhưng trung bình thì hay ở mức 500 -
600$), cũng có trường hợp chấp nhận thanh toán bằng Bitcoin.
5.10. Rootkit
Rootkit là một chương trình máy tính bí mật được thiết kế để cung cấp truy cập
đặc quyền liên tục vào máy tính, đồng thời chủ động che giấu sự hiện diện của nó.
Thuật ngữ rootkit là sự kết hợp của hai từ "root" và "kit". Ban đầu, rootkit là một
tập hợp các công cụ cho phép quyền truy cập ở mức admin vào máy tính hoặc
mạng. Root đề cập đến tài khoản admin trên các hệ thống Unix/Linux và kit đề
cập đến các thành phần phần mềm triển khai công cụ. Ngày nay, rootkit thường
được liên kết với phần mềm độc hại - như trojan, worm, virus - che giấu sự tồn tại
và hành động của chúng khỏi người dùng, cũng như những tiến trình hệ thống
khác.
Có một số loại rootkit khác nhau với cách lây nhiễm, vận hành hoặc tồn tại trên hệ
thống đích đặc trưng.
Kernel mode rootkit: được thiết kế để thay đổi chức năng của hệ điều hành. Loại
rootkit này thường thêm code riêng của nó - và đôi khi là cả cấu trúc dữ liệu - vào
các phần của kernel. Nhiều kernel mode rootkit khai thác thực tế là các hệ điều
hành cho phép driver thiết bị hoặc những mô-đun có thể load thực thi với cùng
mức đặc quyền hệ thống như kernel, vì vậy các rootkit được đóng gói dưới dạng
driver hoặc mô-đun để tránh bị phần mềm diệt virus phát hiện.
User mode rootkit: đôi khi còn được gọi là rootkit ứng dụng, thực thi theo cách
tương tự như một chương trình người dùng thông thường. User mode rootkit có
thể được khởi tạo như các chương trình thông thường khác trong quá trình khởi
động hệ thống, hoặc chúng có thể được đưa vào hệ thống bởi một dropper (chương
trình được thiết kế để cài đặt một số loại virus vào hệ thống muốn lây nhiễm).
Phương pháp phụ thuộc vào hệ điều hành. Ví dụ, một rootkit Windows thường tập
trung vào điều khiển chức năng cơ bản của các file DLL trong Windows, nhưng
trong một hệ thống Unix, toàn bộ ứng dụng có thể được thay thế hoàn toàn bởi
rootkit.
Bootkit hoặc bootloader rootkit, lây nhiễm vào Master Boot Record của ổ cứng
hoặc thiết bị lưu trữ khác được kết nối với hệ thống đích. Bootkit có thể phá hoại
quá trình khởi động và duy trì quyền kiểm soát hệ thống sau khi khởi động, do đó,
đã được sử dụng thành công để tấn công những hệ thống sử dụng mã hóa toàn bộ
ổ đĩa.
 Firmware rootkit tận dụng phần mềm được nhúng trong firmware hệ thống và tự
cài đặt trong image firmware, được sử dụng bởi card mạng, BIOS, router hoặc các
thiết bị ngoại vi khác.
Hầu hết các loại nhiễm rootkit có thể tồn tại trong hệ thống suốt một thời gian dài,
vì chúng tự cài đặt trên các thiết bị lưu trữ hệ thống vĩnh viễn, nhưng memory
rootkit lại tự load vào bộ nhớ máy tính (RAM). Memory rootkit chỉ tồn tại cho đến
khi RAM hệ thống bị xóa, thường là sau khi máy tính được khởi động lại.
5.11. Downloader/Dropper:
Được thiết kế để tải xuống hoặc cài đặt các thành phần phần mềm độc hại bổ sung
3 Dấu hiệu lây nhiễm mã độc:
- Ổ CD-ROM tự động mở ra đóng vào.
- Máy tính có những dấu hiệu lạ trên màn hình.
- Hình nền của các cửa sổ Windows bị thay đổi…
- Các văn bản tự động in
- Máy tinh tự động thay đổi font chữ và các thiết lập khác
- Hình nền máy tính tự động thay đổi và không thể đổi lại.
- Chuột trái, chuột phải lẫn lộn…
- Chuột không hiển thị trên màn hình.
- Nút Start không hiển thị.
- Một vài cửa sổ chat bật ra
- Quảng cáo không mong muốn xuất hiện.
- Trang chủ trình duyệt web tự động thay đổi.
- Các trang web thường truy cập không hiển thị đúng cách.
- Liên kết website chuyển hướng đến trang không được yêu cầu.
- Trình duyệt web chậm.
- Thanh công cụ, các addonshoặc plugin mới xuất hiện trên trình duyệt.
- Thiết bị tự động cài đặt phần mềm.
- Trình duyệt web gặp sự cố gián đoạn.
- Khi bạn thấy các pop-up quảng cáo bật lên trên màn hình máy tính ngay cả khi
bạn không vào web.
- Các trang xuất hiện đầu tiên đầu tiên khi bạn mở trình duyêt (Homepage) hoặc
những cài đặt các tìm kiếm mặc định trên trình duyệt bị thay đổi mà bạn không hề
biết.
- Bạn thấy một thanh công cụ mới trong trình duyệt của bạn mà bạn không muốn
và cảm thấy khó khăn để thoát khỏi nó.
- Máy tính của bạn chậm hơn bình thường, mất nhiều thời gian để thực hiện một
việc hơn bình thường
 - Kinh nghiệm cho thấy máy tính của bạn thường bị crash, màn hình xanh, hay
không thể vào được windows.
- Tự động mở tab mới.
- Thay đổi trang chủ tìm kiếm.
- Thu thập thông tin người dùng để target quảng cáo.
- Chuyển hướng người dùng đến trang web NSFW (not safe/suitable for work).
-Trình duyệt web chậm.
…
4 Các kỹ thuật lây lan mã độc:
Phương tiện vật lý
USB, đĩa DVD, CD, thẻ nhớ, ổ cứng di động, điện thoại… là những thiết bị lưu
trữ di động phổ biến

Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi
dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương
thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị
giải trí kỹ thuật số.
Khi chúng ta kết nối các thiết bị số, thiết bị lưu trữ trực tiếp vào máy tính. Virus có
sẵn trong các thiết bị lưu trữ sẽ tự động sao chép sang máy tính của bạn theo cơ
chế sau:

Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm
của bạn. Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy
Disk… ), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó
sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước.

Tệp autorun.inf thông thường sẽ có nội dung:

[autorun]
Open=virus.exe
Icon=diskicon.ico

Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập
icon của ổ đĩa là diskicon.ico. Những tệp này đều nằm ở thư mục gốc của thiết bị
lưu trữ. Giả sử ổ USB của bạn là ổ G thì tệp đó sẽ nẳm ở G:\virus.exe. Khi cắm
usb vào, máy tính sẽ mặc nhiên chạy tệp G:\virus.exe nếu chưa được config đúng
cách.
Qua thư điện tử: Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới
thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây
nhiễm truyền thống.
Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ
thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những
địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà
không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các
địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số
nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có
thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn.

Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có
thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ
khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình
thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.
Phương thức lây nhiễm qua thư điển tử bao gồm:
Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó người
dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích
hoạt (do đặc diểm này các virus thường được “trá hình” bởi các tiêu đề hấp dẫn
như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)
Lây nhiễm do mở một liên kết trong thư điện tử. Các liên kết trong thư điện tử
có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ
hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi
một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.
Lây nhiễm ngay khi mở để xem thư điện tử:Cách này vô cùng nguy hiểm bởi
chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm
virus. Cách này thường khai thác các lỗi của hệ điều hành.
Nhắn tin nhanh và trò chuyện
Cung cấp các liên kết độc hại trỏ đến miền phân phối phần mềm độc hại hoặc
trang web tải xuống từng ổ.
Lợi dụng lòng tin để gửi các liên kết hoặc tệp độc hại đến toàn bộ danh sách bạn
bè của nạn nhân đó.
Quá Trình duyệt web: Theo sự phát triển rộng rãi của Internet trên thế giới mà
hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức
chính của virus ngày nay. Có các hình thức lây nhiễm virus và phần mềm độc hại
thông qua Internet như sau:
Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển,
nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB…)
bằng cách tải từ Internet, trao đổi, thông qua các phần mềm…
Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô
tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm
virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các
trang web đó.
 Mạng xã hội
Khả năng gửi tin nhắn tức thì và đăng cập nhật dưới dạng nguồn cấp dữ liệu.
Universal resource locator (URL) links
Nó vừa là vectơ lây nhiễm vừa là gánh nặng của một vectơ lây nhiễm khác.
Chia sẻ tệp
Chia sẻ tệp P2P. Phần mềm độc hại sẽ thả một bản sao của chính nó vào các thư
mục chia sẻ tệp công khai.
Lỗ hổng phần mềm
Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo
mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của
hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin
tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều
hành (ví dụ Windows Media Player) hoặc lỗi bảo mật của các phần mềm của hãng
thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát
máy tính nạn nhân khi mở các file liên kết với các phần mềm này.
5 Các nguồn tài nguyên lấy mẫu mã độc:
Hybrid Analysis: https://www.hybrid-analysis.com/
KernelMode.info: http://www.kernelmode.info/forum/viewforum.php?f=16
VirusBay: https://beta.virusbay.io/
Contagio malware dump: http://contagiodump.blogspot.com/
AVCaesar: https://avcaesar.malware.lu/
Malwr: https://malwr.com/
VirusShare: https://virusshare.com/
theZoo: http://thezoo.morirt.com/