security bootcamp 2013 - tấn công bằng mã độc - trương minh nhật quang

Tấn công mạng bằng mã độcTấn công mạng bằng mã độc

Chương 2

Ts. Trương Minh Nhật Quang - 2013

Đơn vị tổ chức:

Đơn vị tài trợ:

Nội dung Chương 2

�Khái niệm về mã độc

�Phân loại mã độc

�Các mã độc lệ thuộc ứng dụng chủ

�Các mã độc thực thi độc lập

Khái niệm về mã độc

�Để tấn công/thâm nhập mạng, hacker thường sử dụng các ‘trợ thủ’ như virus, worm, trojan horse, backdoor…

�Mã độc (malicious code): tập mã thực thi tự chủ, không đòi hỏi sự can thiệp của hacker

�Các bước tấn công/thâm nhập mạng:

1.Hacker thiết kế mã độc

2.Hacker gửi mã độc đến máy đích

3.Mã độc đánh cắp dữ liệu máy đích, gửi về cho hacker

4.Hacker tấn công hệ thống đích

Phân loại mã độc

�Phân loại mã độc theo đặc trưng thi hành:

� Lệ thuộc ứng dụng chủ (need to host)

� Thực thi độc lập (stand alone)

�Phân loại mã độc theo đặc trưng hành vi:

� Ngăn cấm, thay đổi dữ liệu

� Khai thác dịch vụ hệ thống

Các hình thức tấn công mã độc

�Lệ thuộc ứng dụng chủ:� Cửa sập (trapdoors)

� Bom hẹn giờ (logic bomb)

� Virus máy tính (computer virus)

� Nội ứng ngựa gỗ (trojan horse)

�Thực thi độc lập:� Vi khuẩn máy tính (computer bacteria)

� Sâu mạng (worm) và rootkit

� Backdoor và key logger

� Spyware và adware

� Companion và link

� Germ, constructor và hacktool

Cửa sập (trapdoor)

�Trong quá trình thiết kế phần mềm, các lập trình

viên thường cài các đoạn chương trình (‘cửa’)

kiểm tra, sửa lỗi, chuyển giao kỹ thuật…

�Vô tình hay cố ý, các ‘cửa’ này vẫn chưa được

gỡ bỏ trước khi đóng gói phát hành

�Trong quá trình sử dụng, nếu thỏa điều kiện,

‘cửa’ sẽ ‘sập’ và không ai biết điều gì sẽ xảy ra

�Từ kỹ thuật kiểm lỗi trong công nghệ phần mềm,

trapdoor biến thái thành ‘hố tử thần’ cài bí mật

trong các phần mềm trôi nổi trên mạng

Bom hẹn giờ (logic bomb)

�Bomp hẹn giờ: đoạn mã tự kích hoạt khi thỏa

điều kiện hẹn trước (ngày tháng, thời gian…)

�Trước khi thoát khỏi hệ thống, hacker thường

cài lại bom hẹn giờ nhằm xóa mọi chứng cứ,

dấu vết thâm nhập

�Kỹ thuật bom hẹn giờ cũng được virus máy tính

khai thác phổ biến: virus Friday, Chernobyl

(24/04), Michelangelo (06/03), Valentine...

Virus máy tính (computer virus)

�Virus máy tính: đoạn mã thực thi ghép vào

chương trình chủ và giành quyền điều khiển khi

chương trình chủ thực thi

�Virus được thiết kế nhằm nhân bản, tránh né sựphát hiện, phá hỏng/thay đổi dữ liệu, hiển thị thông điệp hoặc làm cho hệ điều hành hoạt

động sai lệch

�Cấu trúc virus: pay-load, vir-code, vir-data

�Phân loại virus: F-virus, B-virus, D-virus

File virus (F-virus)

�Loại virus ký sinh (parasitic) vào các tập tin thi

hành (com, exe, pif, scr, dll...) trên hệ thống đích

�Ứng dụng chủ (host application) có thể bị nhiễm

virus vào đầu file, giữa file hoặc cuối file

�Khi hệ thống thi hành một ứng dụng chủ nhiễm:

� Pay-load nắm quyền sử dụng CPU

� Vir-code thực thi các thủ tục phá hoại, sử dụng dữ liệu trong Vir-data

� Trả quyền sử dụng CPU cho ứng dụng chủ

Boot virus (B-virus)

�Boot-virus: loại virus nhiễm vào mẫu tin khởi

động (boot record - 512 byte) của tổ chức đĩa

�Multi-partite: loại virus tổ hợp tính năng của F-

virus và B-virus, nhiễm cả file lẫn boot sector

Đĩa mềm có 1 boot record ởside 0, track 0, sector 0

Đĩa cứng có 1 master boot record ở side 0, track 0, sector 0 và các partition boot record ở sector đầu tiên của mỗi phân khu luận lý

Data virus (D-virus)

�Đính vào các tập tin dữ liệu có sử dụng macro, data virus tự động thực hiện khi tập dữ liệu nhiễm được mở bởi ứng dụng chủ

�Các data virus quen thuộc:

� Microsoft Word Document: doc macro virus

� Microsoft Excel Worksheet: xls macro virus

� Microsoft Power Point: ppt macro virus

� Adobe Reader: pdf script virus

� Visual Basic: vb script virus

� Java: java script virus

� Startup file: bat virus…

Nội ứng ngựa gỗ (trojan horse)

�Truyền thuyết: các chiến binh Hi Lạp nấp trong

bụng ngựa gỗ, nửa đêm làm nội ứng mở cửa

cho quân Hi Lạp ập vào phá thành Troie

�Trojan horse: các ứng dụng có vẻ hiền lành

nhưng bên trong chứa các thủ tục bí mật, chờthời cơ xông ra phá hủy dữ liệu

�Trojan horse là công cụ điều khiển từ xa đắc

lực, giúp hacker giám sát máy đích giống như

hắn đang ngồi trước bàn phím

Cổng truy nhập

�Trên mạng TCP/IP, cổng (port) đặc tả điểm cuối

nối kết giữa 2 hay nhiều máy tính

�Đối với máy khách, số hiệu cổng tiêu biểu cho

các ứng dụng/dịch vụ liên lạc với server

�Phân loại cổng theo số hiệu:

� Các cổng phổ biến: 0 - 1023

� Các cổng được đăng ký: 1024 - 49151

� Các cổng dành riêng: 49152 - 65535

Trojan horse và cổng

�Mỗi trojan horse sử dụng cổng trjPort(s) làm

dấu hiệu nhận dạng và liên lạc với hacker

�Quét cổng (0-65535) trên máy đích để thu thập

các thông tin: danh sách cổng chuẩn, dịch vụsử dụng, hệ điều hành sử dụng, các ứng dụng

đang sử dụng, tình trạng an ninh hệ thống…

Ví dụ: Nếu cổng 80 mở, máy tính đang connect

vào dịch vụ HTTP

Liên lạc trojan-hacker

�Báo cáo tình hình, thông tin hệ thống cho hacker

�Nhận nhiệm vụ từ hacker thông qua cổng trjPort(s)

�Các trojan tiêu biểu: Back Orifice, NetBus, QAZ...

Mã độc thực thi độc lập

�Vi khuẩn máy tính (computer bacteria):

� Tạo ra nhiều bản sao, thực thi đa tiến trình làm tiêu

hao tài nguyên, suy giảm công năng hệ thống

� Các vi khuẩn thường không gây nguy hại dữ liệu

�Sâu mạng (worm):

� Tập mã lệnh khai thác nối kết mạng, thường trú trong

bộ nhớ máy đích, lây nhiễm và lan truyền từ hệ thống này sang hệ thống khác

� Hành vi lây lan giống virus, worm có thể chứa mã sâu con, sâu đôi, injector, dropper, intruder…

� Cách thức lan truyền: email, chat room, Internet, P2P

Một số sâu mạng tiêu biểu

�Nimda và Code Red (2001) tấn công Microsoft’s

Internet Information Server (IIS) Web Server:

� Quét mạng để tìm các máy dễ tổn thương, Nimda tạo

ra tài khoản guest với quyền quản trị trên máy nhiễm

� Code Red hủy hoại các website, suy thoái hiệu năng

hệ thống, gây mất ổn định do sinh ra nhiều thread vàtiêu tốn băng thông

�SQL Slammer (2003) khai thác tràn buffer trong

Microsoft’s SQL Server và Microsoft SQL Server

Desktop Engine (MSDE), làm máy nhiễm sinh ra

lượng dữ liệu lưu thông khổng lồ

Một số sâu mạng tiêu biểu…

�Blaster (2003): khai thác tràn buffer trong

Microsoft Distributed Component Object Model

(DCOM), Remote Procedure Call (RPC) service,

gây mất ổn định và tự động boot máy

�Sasser (2004) khai thác tràn buffer trong

Microsoft’s LSAS service (port 139), làm máy

nhiễm tự động boot lại

�Zotob (2005) lợi dụng tính dễ tổn thương của

dịch vụ Plug-and-play của Microsoft Windows đểlan truyền qua mạng

Rootkit

�Rootkit: bộ công cụ (kit) giúp hacker khống chếhệ thống ở mức cao nhất (root)

�Rootkit có thể sửa đổi các khối cơ sở của một OS như kernel, các driver liên lạc hoặc thay thếcác chương trình hệ thống được dùng chung bởi các phiên bản rootkit

�Một số rootkit được cài đặt như công cụ quản trịmáy ảo, sau đó nạp OS nạn nhân vào máy ảo khiến anti-virus không thể phát hiện nó

�Hacker sử dụng rootkit để cài đặt các chương trình điều khiển từ xa mạnh mẽ

Backdoor và Key logger

�Backdoor (cửa hậu): loại mã độc được thiết kếcho phép truy xuất hệ thống từ xa

�Key logger (thám báo bàn phím): ban đầu dùng

giám sát trẻ con sử dụng mạng, về sau biến thái

thành công cụ đánh cắp mật khẩu

�Trojans, rootkit và các chương trình hợp thức

(như key logger) đều có thể được dùng để cài

đặt backdoor

Spyware và Adware

�Spyware (phần mềm gián điệp): rất đa dạng, thường không gây nguy hại về mặt dữ liệu

�Tác hại của spyware:

� Rò rỉ thông tin cá nhân

� Tiêu thụ tài nguyên máy đích

� Hệ thống mất ổn định

�Spyware lây nhiễm qua download phần mềm

�Adware: spyware quảng cáo

Companion và Link

�Companion (đồng hành): tạo tập thực thi giảmạo chương trình hợp pháp đang tồn tại, sau đó

lừa OS chạy chương trình companion để kích

hoạt mã độc

VD: svohost.exe # svchost.exe

�Link (liên kết): cấu hình cho OS tìm đến liên kết

thay vì đến chương trình mong muốn

VD: thay các đường link/shortcut của Windows trỏ đến file .exe chứa mã độc trong 1 folder bí mật

Germ, Constructor và Hacktool

�Germ (mầm độc): tập mã độc gốc dùng sản sinh

các biến thể mã độc thứ cấp, sử dụng kèm

constructor và/hoặc hacktool

�Constructor (bộ kiến tạo): công cụ biên dịch

mầm mã độc được tập kết bí mật ở máy đích,

âm thầm xây dựng lực lượng tại chỗ, chờ thời

cơ đồng loạt tấn công

�Hacktool (công cụ đục phá): phương tiện hỗ trợconstructor xây dựng lực lượng tại chỗ, đục phá

hệ thống chuẩn bị tấn công

TS. Trương Minh Nhật Quang - 2013

Chương 3Chương 3


Kiến thức cơ sở1

Mã độc và tiến trình2

Phát hiện mã độc3

Loại trừ mã độc4

Nội dung Chương 3Nội dung Chương 3


Kiến thức cơ sởKiến thức cơ sở

�Các định dạng thực thi của hệ điều hànhWindows

�Tiến trình (process), cơ chế thực thi ứngdụng của Windows


Các định dạng thực thi của WindowsCác định dạng thực thi của Windows

� Lược sử vấn đề:

� 8/1981, Microsoft phát hành MSDOS 1.0 (16 bit) sử dụng 2 địnhdạng thi hành chính là .com và .exe, hỗ trợ .bat thi hành theo lô

� 11-1985, Windows 1.0 (16 bit) sử dụng định dạng thi hành exe mới (NE-New Execution) và thư viện liên kết động .dll (dynamic link library)

� 9-1995, Windows 95 (32 bit) áp dụng .exe và .dll khả chuyển(PE-Portable Execution)

� Hiện nay, Windows 7/Vista có 2 dòng sản phẩm:

� Windows 7/Vista 32 bit: định dạng thực thi pe (32 bit)

� Windows 7/Vista 64 bit: định dạng thực thi pe+ (64 bit)


Các định dạng thực thi…Các định dạng thực thi…

�Để đảm bảo tính tương thích đi lên, các HĐH ra sauluôn hỗ trợ các định dạng thi hành của các HĐH trước đó

�Xét về tổ chức thi hành, các tập .pif, .scr, .cpl, .sys… vẫn thuộc các định dạng pe-exe hoặc pe-dll

�Các tập ứng dụng mở rộng – application extension (.dll, .ovl, .cpl, .sys…) không tự thi hành, chúng cầncác ứng dụng chủ - host application (.exe) nạp vàobộ nhớ để thực thi


Tiến trình (process)Tiến trình (process)

�Để hỗ trợ đa chương, máy tính phải có khả năngthực hiện nhiều tác vụ đồng thời

�Hạn chế phần cứng: phần lớn các máy tính chỉ có 1 CPU nên không thể xử lý song song triệt để

�Giải pháp phần mềm: chuyển đổi CPU qua lại giữa

các chương trình nhằm duy trì hoạt động của nhiềuứng dụng cùng lúc

�Mô hình tiến trình: xử lý song song giả lập


Phân biệt chương trình, tiến trìnhPhân biệt chương trình, tiến trình

� Chương trình: tập mã lệnh trong file exe (thực thể thụđộng lưu trên đĩa)

� Tiến trình: chương trình đang xử lý (thực thể hoạt độngđang chạy trong bộ nhớ)

� Mỗi tiến trình sở hữu 1 con trỏ lệnh, tập thanh ghi, các

biến và một số tài nguyên (CPU, RAM, Files, IO...) đểthực hiện công việc của nó

� Dưới sự điều phối của HĐH, CPU được chuyển đổi qua lại giữa các tiến trình, các tiến trình được lập lịch để khởi

tạo, chạy, dừng, chạy tiếp hoặc kết thúc


Chế độ xử lý của tiến trìnhChế độ xử lý của tiến trình

� Để đảm bảo hệ thống hoạt động đúng đắn, HĐH cần được

bảo vệ khỏi sự xâm phạm của các tiến trình

� Bản thân các tiến trình và dữ liệu cũng cần được bảo vệ đểtránh các tiến trình khác xâm phạm

� Giải pháp: tổ chức 2 chế độ xử lý đặc quyền (dành riêng cho HĐH) và không đặc quyền (dành cho ứng dụng/user)

� Khi tiến trình user phát lời gọi hệ thống, HĐH xử lý yêu cầu

trong chế độ đặc quyền, sau đó chuyển kết quả cho tiến trình

user trong chế độ không đặc quyền

� Trên các hệ thống đa người dùng, Windows chia chế độkhông đặc quyền thành 2 cấp administrator và limited user


Phân cấp xử lý lệnhPhân cấp xử lý lệnh

Người sử dụng

shell, editor

Hệ điều hành

Hardware

Chế độ không đặcquyền

Chế độ đặc quyền


Tạo lập tiến trìnhTạo lập tiến trình

� Tiến trình cha phát lời gọi hệ thống để tạo tiến trình con

� Nhận yêu cầu tạo tiến trình, HĐH sẽ:

� Định danh tiến trình mới

� Đưa tiến trình vào danh sách quản lý tiến trình

� Xác định độ ưu tiên của tiến trình

� Tạo PCB – Program Control Block cho tiến trình

� Cấp phát tài nguyên cho tiến trình

� Tiến trình con nhận tài nguyên do HĐH cấp phát, hoặc/và

thừa hưởng một phần tài nguyên từ tiến trình cha

� Sau khi tạo tiến trình, tiến trình cha tiếp tục xử lý cùng với tiến

trình con, hoặc chờ tiến trình con xử lý xong để xử lý tiếp


Kết thúc tiến trìnhKết thúc tiến trình

� Sau khi hoàn tất công việc, tiến trình phát lời gọi hệthống yêu cầu HĐH kết thúc nó

� Nhận yêu cầu kết thúc tiến trình, HĐH sẽ:

� Thu hồi các tài nguyên hệ thống đã cấp cho tiến trình

� Hủy tiến trình khỏi danh sách tiến trình

� Hủy PCB của tiến trình

� Khi tiến trình cha kết thúc, HĐH sẽ kết thúc các tiến trình

con của nó

� Tip: nếu được gọi bằng hàm WinExec (Win16 API), tiến

trình sẽ hoạt động cho đến khi nó tự kết thúc mà khôngphụ thuộc cha nó có kết thúc hay không


Tiểu trình (thread)Tiểu trình (thread)

�Tiểu trình là cơ chế xử lý cho phép nhiều dòng xử lýtrong cùng một tiến trình

�Một tiến trình có thể sở hữu nhiều tiểu trình, mộttiểu trình có thể tạo nhiều tiến trình con

�Các tiểu trình xử lý song song và cùng chia sẻkhông gian địa chỉ chung của tiến trình

�Trước khi kết thúc, tiến trình phải đảm bảo các tiểu

trình của nó ngưng hoạt động

�Khi kết thúc tiến trình, HĐH sẽ giải phóng các tiểu

trình của nó, kể cả các tiểu trình đang chạy


Mã độc và tiến trìnhMã độc và tiến trình

Thực thểthụ động

- com, exe (DOS)- ne-exe, ne-dll (Win16)- pe-exe, pe-dll (Win32)- …

Mã độc

Chương trìnhhoạt động

- Tiến trình- Tiểu trình- …


Thực thể thụ độngThực thể thụ động

�Phần lớn các mã độc có định dạng .exe (ne, pe)

�Các mã độc .dll không tự chạy, nó cần host của

nó gọi (hoặc rundll32.exe của Windows gọi)

�Dù .exe hay .dll, mã độc cần kích hoạt mới có

thể hoạt động và gây hại

�Khi chưa hoạt động, các file mã độc (.exe, .dll…)

có thể bị xóa dễ dàng


Chương trình hoạt độngChương trình hoạt động

�Khi được nạp vào thi hành, mã độc chuyển từthực thể thụ động sang tiến trình hoạt động

�Do file chủ (.exe) của tiến trình được Windows

bảo vệ: phải kết thúc tiến trình trước khi xoá file

�Một số kỹ thuật bảo vệ tiến trình của mã độc:

� Ẩn tiến trình trong danh sách

� Vô hiệu các API KillProcess, TerminateProcess

� Tạo các tiến trình giả mạo (companion)

� Chạy nhiều tiến trình kiểm soát lẫn nhau…


Các giai đoạn hoạt độngCác giai đoạn hoạt động

1. Giai đoạn thâm nhập:

� Thâm nhập máy đích

� Lưu vào hệ thống lưu trữ

� Chuẩn bị điều kiện kích hoạt

2. Giai đoạn hoạt động:

� Kích hoạt

� Ẩn náu

� Thi hành nhiệm vụ

3. Giai đoạn phát tán:

� Củng cố, bám trụ

� Phá hoại, lây lan


Thâm nhập vào máy đíchThâm nhập vào máy đích

�Nguồn phát tán mã độc:

� Mạng Internet: hotlink, email attachment, spam,

embedded webpage…

� Máy trung gian: work station, zombie…

� Thiết bị lưu trữ cá nhân: usb flash drive, mobile hdd…

�Các hình thức thâm nhập của mã độc:

� Online: mạng >> máy (truy cập mạng, download phần

mềm, share dữ liệu…)

� Offline: máy >> máy (sao chép/di chuyển dữ liệu, traođổi thiết bị lưu trữ cá nhân…)


Lưu vào hệ thống lưu trữLưu vào hệ thống lưu trữ

�Thâm nhập online:

� Lưu system cache: C:\Documents and

Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\...

� Lưu user’s folder: C:\Documents and Settings\<User name>\Documents\My Received Files…

�Thâm nhập offline:

� Lưu vào system cache (vd, giải nén file chứa mã độc)

� Lưu vào folder đích (do user chỉ định trong lúc copy)


Chuẩn bị điều kiện kích hoạtChuẩn bị điều kiện kích hoạt

�Khai thác các lổ hổng bảo mật

� Thi hành mã tích cực: ActiveX, Java Script…

� Thi hành mã macro: VBA macro, Adobe macro…

�Khai thác tâm lý người dùng

� Thói quen thao tác: single click, favorite folders…

� Tò mò, hiếu kỳ: hot links, hot pictures…

�Khởi tạo kế hoạch kích hoạt

� Đăng ký ứng dụng: registry, auto startup…

� Đăng ký dịch vụ: service, device driver…


Giai đoạn hoạt độngGiai đoạn hoạt động

�Kích hoạt� Kích hoạt ngay: do hệ thống lỏng lẻo, user vô tâm

� Kích hoạt sau: lợi dụng cơ chế auto startup

�Ẩn náu� Tái định vị mã độc: root, system folder, recycle bin…

� Bảo vệ tiến trình: ẩn danh sách, vô hiệu Task Manager, thực thi đa tiến trình…

�Thi hành nhiệm vụ� Sục sạo máy đích, đánh cắp dữ liệu…

� Gửi kết quả cho hacker, đón nhận chỉ thị…


Giai đoạn phát tánGiai đoạn phát tán

�Củng cố, bám trụ� Vô hiệu cấu hình hệ thống: registry editings, folder

settings, task controlings…

� Cải thiện tình thế: dời địa điểm ẩn náu sang các

folder bí mật, tạo đồng hành (companion) gây nhiễu, vượt cấp đăng nhập (limited user>admin)…

�Phá hoại, lây lan

� Khống chế hệ thống, tắt dịch vụ, vô hiệu anti-virus,

xoá dữ liệu…

� Lây sang các hệ thống khác…


Phát hiện mã độcPhát hiện mã độc

�Nguyên tắc chung:

� Sớm phát hiện, dễ loại trừ: phát hiện mã độc ở giai

đoạn 1 là tốt nhất

� Phân biệt người ngay, kẻ gian: có quản lý tốt danh

sách ứng dụng hợp thức mới phát hiện được mã độc

� Sử dụng trợ thủ am hiểu: cần trang bị các anti-virus

chuyên nghiệp, giám sát vào-ra thường xuyên

�Các vị trí phát hiện mã độc

� Trong vùng nhớ: process list, registry, auto startup

� Trên đĩa: root, fragile folders, personal storage media


Phát hiện trong vùng nhớPhát hiện trong vùng nhớ

� Quản lý tiến trình:

� Task Manager: TaskMgr (có sẵn trong Windows)

� Công cụ khác: D32 Task List, Rootkit Unhooker…

� Quản lý auto startup

� System Registry: Regedit (có sẵn trong Windows)

� Startup Programs: Start>All Programs>Startup

� System Initialization: Windows\win.ini, system.ini

� Quản lý dịch vụ:

� System Config: MsConfig (có sẵn trong Windows)

� System Services: Control Panel>Administrative Tools\Services


Phát hiện trên tổ chức đĩaPhát hiện trên tổ chức đĩa

� Bước 1 - Kiểm tra các tùy chọn hiển thị: � Tools> Folder Options > View…� Show hidden files and folders� Show extensions for known file types� Show protected operating system files

� Bước 2 - Quan sát các khu vực nhạy cảm: � Root: kiểm tra các file exe, com, dll, inf, pif… ở root � System folders: đề phòng các file thực thi ẩn thuộc nhánh

C:\Windows (system32, fonts, dllcache…)� Recycle bin: cảnh giác các phân khu có hơn 1 folder sọt rác (usb

không có sọt rác)

� Bước 3 – Xác định mã độc:� Offline: kiểm tra bằng anti-virus trên máy� Online: kiểm tra trực tuyến trên mạng (Jotti, Virus Total…)


Loại trừ mã độcLoại trừ mã độc

� Bước 1 – Vô hiệu mã độc� Ngắt (disconnect) liên lạc mạng

� Khởi động trong chế độ an toàn (safe mode)

� Kết thúc (finish) tiến trình mã độc, hoặc

� Dừng (stop) dịch vụ mã độc

� Bước 2 – Loại bỏ mã độc� Xóa file mã độc trên đĩa (rename/delete/quarantine…)

� Xóa mục kích hoạt (registry, auto startup, services…)

� Bước 3 – Tái lập hệ thống� Loại bỏ rác: empty recycle bin; delete cookies,

histories,favorites, temporary internet files…

� Khởi động lại hệ thống

LOGO

Chương 4Chương 4

TS. Trương Minh Nhật Quang

2/28Ts. Trương Minh Nhật Quang – 2013

Đặt vấn

đề

Chương 4Tình hình lây nhiễm

Các phần mềm hỗ trợ

Các giải pháp

Nội dung Chương 4Nội dung Chương 4


� Hiện trạng sử dụng các phòng máy Internet:

� Số lượng từ 20 đến 40 máy vi tính nối mạng cục bộ

� Sử dụng hệ điều hành Windows XP và các phần mềm

quản lý phòng máy chuyên dụng

� Cho phép sử dụng USB flash drive

� Khai thác Internet: chat, email, forum, games online...

�� Nguy cơ lây lan virus mNguy cơ lây lan virus mááy ty tíính nh -- sâu msâu mạạng, ng, ảảnh nh

hưhưởởng an tong an toààn dn dữữ liliệệu vu vàà an ninh han ninh hệệ ththốốngng

Đặt vấn đềĐặt vấn đề

Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp


Bước 1Bước 1

Nghiên cứu,

phân tích đặc

tính, kỹ thuật

lây nhiễm của

các loại virus -

sâu mạng phổbiến hiện nay

Bước 2Bước 2

Khảo sát một sốphần mềm phổbiến, nghiên cứu

vận dụng trong

công tác bảo vệan toàn dữ liệu

cho phòng máy

Bước 3Bước 3

Đề xuất một sốgiải pháp phòng

chống virus, đảm bảo an

toàn dữ liệu và

an ninh thông tin

cho phòng máy

Phương pháp tiếp cậnPhương pháp tiếp cận



� Trong thời đại CNTT, tình hình lây nhiễm virus máy tính/mã độc diễn biến ngày càng phức tạp

� Hình thức phát tán online:

� Nguồn: Internet (các trang web độc hại), thư rác điện tử (tập tin đính kèm)...

� Đích: tổ chức lưu trữ (đĩa) thi hành (bộ nhớ) của máy đích

� Hình thức phát tán offline:

� Khi cắm USB sạch vào máy nhiễm, virus tự chép vào USB

� Khi cắm USB nhiễm vào máy sạch, virus sẽ vào thường trútrong bộ nhớ, tự sao chép vào đĩa cứng và lây vào các USB sạch khác...

Tình hình lây nhiễm virusTình hình lây nhiễm virus



� Các tổ chức thi hành mã lệnh: .exe, .com, .pif, .scr, .bat...

� Cấu trúc lưu trữ: thư mục gốc (‘C:\’, ‘D:\’,...), thư mục hệthống ('C:\Windows’), sọt rác (‘E:\Recycler’)...

� Các tổ chức quản lý thi hành tự động: Windows Registry,

Windows Startup, System Service...

� Các trình điều khiển thiết bị như bàn phím, chuột (đểkích hoạt mã độc khi người dùng chạm vào thiết bị)

Các vị trí trú ẩn của mã độcCác vị trí trú ẩn của mã độc



Các kịch bản lây nhiễm offlineCác kịch bản lây nhiễm offline

� Kịch bản 1 - thay folder hệ thống bằng tập tin virus:

� Chọn icon của virus giống icon folder của hệ thống

� Tạo các .exe chứa virus có phần tên giống với tên folder

� Che đuôi .exe: ‘Hide extensions for known file types’

� Đặt thuộc tính ẩn cho các folder bị giả mạo

� Ẩn các folder: ‘Do not show hidden files and folders’

� Vô hiệu các lệnh thiết lập thông số hệ thống

� Khi người dùng mở các folder bị giả mạo, tập .exe chứa virus sẽ được kích hoạt và mở lại folder thực sự cho người dùng



� Kịch bản 2 – tạo cơ hội thi hành bằng link, shortcut

� Chọn/tạo thư mục bí mật lưu mã độc

� Thay đổi/hiệu chỉnh/chèn/ghép địa chỉ ứng dụng mởlink/shortcut bằng địa chỉ trỏ đến folder chứa mã độc

� Thay đổi hình thức thể hiện của link/shortcut

� Điều khiển/kế thừa chức năng của link/shortcut cũ

� Khi user mở link/shortcut (My Documents, My Favorites,

My Pictures…) mã độc sẽ được kích hoạt, thực thi nhiệm vụ và mở lại ứng dụng điều khiển link thật sự

Các kịch bản lây nhiễm…Các kịch bản lây nhiễm…



� Kịch bản 3 - tự thi hành bằng phương thức autorun:

� Tạo tập autorun.inf ở root chứa liên kết thực thi virus:

[Autorun]

Command=Path\VirusFile.exe

� Khởi tạo Path (root, system folder, recycler, sub-folder...)

� Chép virus vào Path, ẩn náu (giống kịch bản 1)

� Đăng ký autorun cho các thiết bị cắm thêm

� Khi người dùng cắm USB vào máy, phương thức autorun sẽ kích hoạt tập tin .exe chứa virus

Các kịch bản lây nhiễm…Các kịch bản lây nhiễm…



NSNSCCáác phc phầần mn mềềm Net Schoolm Net School

DFDFCác phần mềm ‘‘đđóóng băngng băng’’

VMVMCác phần mềm tạo mmááy y ảảoo

Các phần mềm hỗ trợCác phần mềm hỗ trợ

AVAVCác phần mềm ququéét virust virus



� Chức năng: canh phòng virus xâm nhập, bảo vệ an toàn dữ liệu, an ninh hệ thống

� Nguyên tắc hoạt động: nhận dạng loại trừ mã độc dựa vào tập mã đặc trưng cập nhật định kỳ

� Ký hiệu, phân loại sử dụng: � Home: chức năng tối thiểu, dành cho cá nhân và gia đình

� Professional: trang bị nhiều tính năng chuyên nghiệp

� SME (Small & Medium Enterprise): dành cho DN nhỏ và vừa

� Enterprise: dành cho doanh nghiệp lớn

� Nhà cung cấp:� Sản phẩm Việt Nam: BKAV, CMC, D32…

� Sản phẩm nước ngoài: Avira, Kaspersky, Panda, Norton…

Các phần mềm quét virusCác phần mềm quét virus



Phân hệ máy trạm- Quét kiểm tra, canh

phòng virus xâm nhập

- Cập nhật cơ sở dữliệu từ máy chủ- Báo cáo tình hình an

ninh máy trạm

Quét virus mạng LAN

Phân hệ máy chủ- Quét kiểm tra, canh

phòng virus xâm nhập

máy chủ- Quản trị, điều khiển

an ninh hệ thống

- Cập nhật, đồng bộ cơ sở dữ liệu hệ thống

Hệ quét virus mạng LANHệ quét virus mạng LAN



� Chức năng: hỗ trợ công tác quản lý thực hành trên mạng cục bộ

� Nguyên tắc: hoạt động theo mô hình client-server

� Các phân hệ chính:

� Teacher: cài trên máy chủ dành cho giáo viên

� Student: cài trên máy trạm dành cho học sinh

� Các phần mềm tiêu biểu:

� NetOp School

� NetSupport School

Các phần mềm Net SchoolCác phần mềm Net School



Các hoạt động trên máy chủCác hoạt động trên máy chủ

Kiểm soát hoạt động máy trạm

Quản lý cấu trúc đĩa máy trạm

Phân phối dữ liệu cho máy trạm

Thu hồi dữ liệu từ máy trạm

Yêu cầu máy trạm thực thi lệnh

Phân hệTeacher

Phân hPhân hệệTeacherTeacher



� Theo dõi thể hiện của virus, quan sát màn hình máy trạm, lưu ý các cửa sổ bật lên, các cảnh báo an ninh...

� Nắm bắt tình hình lây nhiễm, khảo sát cấu trúc đĩa máy trạm, chú ý các tập tin thực thi (.exe, .scr, .pif, .com) lạ ở thư mục hệthống và thư mục gốc các ổ đĩa máy trạm

� Thu nhận các tập thực thi nghi ngờ mã độc từ máy trạm về máy chủ để khảo sát

� Phân phối tập kịch bản diệt trừ sâu mạng cho các máy trạm

� Thực thi tập kịch bản diệt trừ virus cho các máy trạm

� Khởi động lại máy trạm sau khi chạy tập kịch bản để tái lập tình trạng ban đầu cho hệ thống

Kiểm soát an ninh mạng từ máy chủKiểm soát an ninh mạng từ máy chủ



� Chức năng: khôi phục hệ thống về trạng thái ban đầu sau khi máy tính khởi động lại

� Nguyên tắc hoạt động: System Restore, Check Point

�Ưu điểm: bảo vệ hệ thống, loại trừ virus máy tính

� Nhược điểm:

� Không bảo toàn dữ liệu người dùng

� Chiếm dụng tài nguyên, làm chậm máy

� Hệ thống kém linh hoạt

� Các phần mềm tiêu biểu:

� DF (Deep Freeze) của Faronics

� GoBack của Symantec

Các phần mềm ‘đóng băng’Các phần mềm ‘đóng băng’



� Máy ảo (VM-Virtual Machine) là môi trường phần mềm cho phép nhiều hệ điều hành và ứng dụng cùng hoạt động trên một máy tính

�Ưu điểm: dữ liệu máy thật luôn được bảo toàn

� Nhược điểm: � Chỉ thích hợp cho máy có cấu hình đủ mạnh

� Các ứng dụng lớn hoạt động không tốt như khi cài trên máy thật

� Tiềm ẩn nguy cơ virus lây lan qua cơ chế giao tiếp dữ liệu giữa máy ảo và máy thật (ổ đĩa chia sẻ, thư mục chia sẻ…)

� Các phần mềm tiêu biểu:� Virtual Box: Sun Microsystems

� Virtual PC: Microsoft

� VMware: VMware Inc.

Các phần mềm máy ảoCác phần mềm máy ảo



� Quy ước chia ổ đĩa cứng thành 2 phân khu:

� Phân khu C lưu hệ điều hành và các ứng dụng

� Phân khu D lưu dữ liệu người dùng

� Cài đặt hệ điều hành máy chủ, máy trạm

� Thiết lập chính sách liên lạc mạng, cấp quyền sử dụng...

� Cài đặt các phân hệ Net School (Teacher, Student)

� Tạo các folder C:\Autorun.inf và D:\Autorun.inf

� Cài anti-virus chạy thường trực trên tất cả các máy

Chuẩn bị hệ thốngChuẩn bị hệ thống



Các giải pháp an toàn dữ liệuCác giải pháp an toàn dữ liệu

Phối hợp DF và VM

Giải pháp máy ảo VM

Giải pháp đóng băng DF



� Đối với máy trạm:

� Biên tập kịch bản ‘C:\Autorun.inf\DelFiles.bat’:

Attrib –r –s –h +a D:\*.* /s /d

Del D:\*.* /s /q

� Đóng băng ổ C bằng DF

� Đối với máy chủ:

� Sử dụng module Teacher theo dõi an ninh máy trạm

� Khởi động máy trạm, chạy kịch bản DelFiles diệt virus cho máy trạm

Giải pháp 1: đóng băng (DF)Giải pháp 1: đóng băng (DF)



�Ưu điểm:

� Đơn giản, dễ cài đặt

� Phân khu hệ thống luôn được bảo toàn

� Đảm bảo loại trừ triệt để virus máy tính

� Thích hợp cho máy tính cấu hình trung bình


� Không bảo toàn dữ liệu người dùng khi máy treo hoặc mất điện

� Khi cần cài đặt thêm phần mềm, phải gỡ đóng băng

Phân tích giải pháp 1Phân tích giải pháp 1




� Tạo tài khoản người dùng hạn chế, login trực tiếp

� Cài máy ảo, hệ điều hành, các phần mềm vào máy ảo

� Lưu snapshot máy ảo dự phòng

� Lập chính sách chia sẻ dữ liệu ổ D

� Người dùng thao tác trên máy ảo, lưu dữ liệu vào ổchia sẻ

� Biên tập, lưu kịch bản DelFiles.bat (xem giải pháp 1)

� Đối với máy chủ: giống giải pháp 1

Giải pháp 2: máy ảo (VM)Giải pháp 2: máy ảo (VM)



�Ưu điểm:

� Khắc phục rủi ro mất dữ liệu người dùng của giải pháp 1

� Chỉ cần cài đặt ứng dụng trên máy ảo cho 1 máy rồi cập

nhật snapshot cho cả mạng


� Chỉ thích hợp cho các ứng dụng không cần cấu hình

máy mạnh

� Tiềm ẩn nguy cơ virus lưu trú ở folder người dùng của

hệ điều hành máy thật





� Cài đặt máy ảo, cài hệ điều hành và ứng dụng cho máy ảo

� Thiết lập cấu hình máy ảo đặt snapshot và virtual disk

image trên ổ D

� Đóng băng ổ C bằng DF

� Đối với máy chủ: thực hiện giống giải pháp 1 và 2

Giải pháp 3: phối hợp DF và VMGiải pháp 3: phối hợp DF và VM



�Ưu điểm:

� Khắc phục rủi ro mất dữ liệu tạm của giải pháp 1.

� Khắc phục nguy cơ virus tiềm ẩn trong phân khu hệthống của giải pháp 2

� Cài đặt bổ sung phần mềm dễ dàng


� Yêu cầu cấu hình máy mạnh (CPU P4, RAM 1GB,

HDD 80GB…)

� Không thích hợp cho các phần mềm đòi hỏi phần cứng (bộ điều hợp video, bộ nhớ, không gian lưu trữ…)



LOGOTS. Trương Minh Nhật Quang