security bootcamp 2013 - tấn công bằng mã độc - trương minh nhật quang
TRANSCRIPT
Tấn công mạng bằng mã độcTấn công mạng bằng mã độc
Chương 2
Ts. Trương Minh Nhật Quang - 2013
Đơn vị tổ chức:
Đơn vị tài trợ:
Nội dung Chương 2
�Khái niệm về mã độc
�Phân loại mã độc
�Các mã độc lệ thuộc ứng dụng chủ
�Các mã độc thực thi độc lập
Khái niệm về mã độc
�Để tấn công/thâm nhập mạng, hacker thường sử dụng các ‘trợ thủ’ như virus, worm, trojan horse, backdoor…
�Mã độc (malicious code): tập mã thực thi tự chủ, không đòi hỏi sự can thiệp của hacker
�Các bước tấn công/thâm nhập mạng:
1.Hacker thiết kế mã độc
2.Hacker gửi mã độc đến máy đích
3.Mã độc đánh cắp dữ liệu máy đích, gửi về cho hacker
4.Hacker tấn công hệ thống đích
Phân loại mã độc
�Phân loại mã độc theo đặc trưng thi hành:
� Lệ thuộc ứng dụng chủ (need to host)
� Thực thi độc lập (stand alone)
�Phân loại mã độc theo đặc trưng hành vi:
� Ngăn cấm, thay đổi dữ liệu
� Khai thác dịch vụ hệ thống
Các hình thức tấn công mã độc
�Lệ thuộc ứng dụng chủ:� Cửa sập (trapdoors)
� Bom hẹn giờ (logic bomb)
� Virus máy tính (computer virus)
� Nội ứng ngựa gỗ (trojan horse)
�Thực thi độc lập:� Vi khuẩn máy tính (computer bacteria)
� Sâu mạng (worm) và rootkit
� Backdoor và key logger
� Spyware và adware
� Companion và link
� Germ, constructor và hacktool
Cửa sập (trapdoor)
�Trong quá trình thiết kế phần mềm, các lập trình
viên thường cài các đoạn chương trình (‘cửa’)
kiểm tra, sửa lỗi, chuyển giao kỹ thuật…
�Vô tình hay cố ý, các ‘cửa’ này vẫn chưa được
gỡ bỏ trước khi đóng gói phát hành
�Trong quá trình sử dụng, nếu thỏa điều kiện,
‘cửa’ sẽ ‘sập’ và không ai biết điều gì sẽ xảy ra
�Từ kỹ thuật kiểm lỗi trong công nghệ phần mềm,
trapdoor biến thái thành ‘hố tử thần’ cài bí mật
trong các phần mềm trôi nổi trên mạng
Bom hẹn giờ (logic bomb)
�Bomp hẹn giờ: đoạn mã tự kích hoạt khi thỏa
điều kiện hẹn trước (ngày tháng, thời gian…)
�Trước khi thoát khỏi hệ thống, hacker thường
cài lại bom hẹn giờ nhằm xóa mọi chứng cứ,
dấu vết thâm nhập
�Kỹ thuật bom hẹn giờ cũng được virus máy tính
khai thác phổ biến: virus Friday, Chernobyl
(24/04), Michelangelo (06/03), Valentine...
Virus máy tính (computer virus)
�Virus máy tính: đoạn mã thực thi ghép vào
chương trình chủ và giành quyền điều khiển khi
chương trình chủ thực thi
�Virus được thiết kế nhằm nhân bản, tránh né sựphát hiện, phá hỏng/thay đổi dữ liệu, hiển thị thông điệp hoặc làm cho hệ điều hành hoạt
động sai lệch
�Cấu trúc virus: pay-load, vir-code, vir-data
�Phân loại virus: F-virus, B-virus, D-virus
File virus (F-virus)
�Loại virus ký sinh (parasitic) vào các tập tin thi
hành (com, exe, pif, scr, dll...) trên hệ thống đích
�Ứng dụng chủ (host application) có thể bị nhiễm
virus vào đầu file, giữa file hoặc cuối file
�Khi hệ thống thi hành một ứng dụng chủ nhiễm:
� Pay-load nắm quyền sử dụng CPU
� Vir-code thực thi các thủ tục phá hoại, sử dụng dữ liệu trong Vir-data
� Trả quyền sử dụng CPU cho ứng dụng chủ
Boot virus (B-virus)
�Boot-virus: loại virus nhiễm vào mẫu tin khởi
động (boot record - 512 byte) của tổ chức đĩa
�Multi-partite: loại virus tổ hợp tính năng của F-
virus và B-virus, nhiễm cả file lẫn boot sector
Đĩa mềm có 1 boot record ởside 0, track 0, sector 0
Đĩa cứng có 1 master boot record ở side 0, track 0, sector 0 và các partition boot record ở sector đầu tiên của mỗi phân khu luận lý
Data virus (D-virus)
�Đính vào các tập tin dữ liệu có sử dụng macro, data virus tự động thực hiện khi tập dữ liệu nhiễm được mở bởi ứng dụng chủ
�Các data virus quen thuộc:
� Microsoft Word Document: doc macro virus
� Microsoft Excel Worksheet: xls macro virus
� Microsoft Power Point: ppt macro virus
� Adobe Reader: pdf script virus
� Visual Basic: vb script virus
� Java: java script virus
� Startup file: bat virus…
Nội ứng ngựa gỗ (trojan horse)
�Truyền thuyết: các chiến binh Hi Lạp nấp trong
bụng ngựa gỗ, nửa đêm làm nội ứng mở cửa
cho quân Hi Lạp ập vào phá thành Troie
�Trojan horse: các ứng dụng có vẻ hiền lành
nhưng bên trong chứa các thủ tục bí mật, chờthời cơ xông ra phá hủy dữ liệu
�Trojan horse là công cụ điều khiển từ xa đắc
lực, giúp hacker giám sát máy đích giống như
hắn đang ngồi trước bàn phím
Cổng truy nhập
�Trên mạng TCP/IP, cổng (port) đặc tả điểm cuối
nối kết giữa 2 hay nhiều máy tính
�Đối với máy khách, số hiệu cổng tiêu biểu cho
các ứng dụng/dịch vụ liên lạc với server
�Phân loại cổng theo số hiệu:
� Các cổng phổ biến: 0 - 1023
� Các cổng được đăng ký: 1024 - 49151
� Các cổng dành riêng: 49152 - 65535
Trojan horse và cổng
�Mỗi trojan horse sử dụng cổng trjPort(s) làm
dấu hiệu nhận dạng và liên lạc với hacker
�Quét cổng (0-65535) trên máy đích để thu thập
các thông tin: danh sách cổng chuẩn, dịch vụsử dụng, hệ điều hành sử dụng, các ứng dụng
đang sử dụng, tình trạng an ninh hệ thống…
Ví dụ: Nếu cổng 80 mở, máy tính đang connect
vào dịch vụ HTTP
Liên lạc trojan-hacker
�Báo cáo tình hình, thông tin hệ thống cho hacker
�Nhận nhiệm vụ từ hacker thông qua cổng trjPort(s)
�Các trojan tiêu biểu: Back Orifice, NetBus, QAZ...
Mã độc thực thi độc lập
�Vi khuẩn máy tính (computer bacteria):
� Tạo ra nhiều bản sao, thực thi đa tiến trình làm tiêu
hao tài nguyên, suy giảm công năng hệ thống
� Các vi khuẩn thường không gây nguy hại dữ liệu
�Sâu mạng (worm):
� Tập mã lệnh khai thác nối kết mạng, thường trú trong
bộ nhớ máy đích, lây nhiễm và lan truyền từ hệ thống này sang hệ thống khác
� Hành vi lây lan giống virus, worm có thể chứa mã sâu con, sâu đôi, injector, dropper, intruder…
� Cách thức lan truyền: email, chat room, Internet, P2P
Một số sâu mạng tiêu biểu
�Nimda và Code Red (2001) tấn công Microsoft’s
Internet Information Server (IIS) Web Server:
� Quét mạng để tìm các máy dễ tổn thương, Nimda tạo
ra tài khoản guest với quyền quản trị trên máy nhiễm
� Code Red hủy hoại các website, suy thoái hiệu năng
hệ thống, gây mất ổn định do sinh ra nhiều thread vàtiêu tốn băng thông
�SQL Slammer (2003) khai thác tràn buffer trong
Microsoft’s SQL Server và Microsoft SQL Server
Desktop Engine (MSDE), làm máy nhiễm sinh ra
lượng dữ liệu lưu thông khổng lồ
Một số sâu mạng tiêu biểu…
�Blaster (2003): khai thác tràn buffer trong
Microsoft Distributed Component Object Model
(DCOM), Remote Procedure Call (RPC) service,
gây mất ổn định và tự động boot máy
�Sasser (2004) khai thác tràn buffer trong
Microsoft’s LSAS service (port 139), làm máy
nhiễm tự động boot lại
�Zotob (2005) lợi dụng tính dễ tổn thương của
dịch vụ Plug-and-play của Microsoft Windows đểlan truyền qua mạng
Rootkit
�Rootkit: bộ công cụ (kit) giúp hacker khống chếhệ thống ở mức cao nhất (root)
�Rootkit có thể sửa đổi các khối cơ sở của một OS như kernel, các driver liên lạc hoặc thay thếcác chương trình hệ thống được dùng chung bởi các phiên bản rootkit
�Một số rootkit được cài đặt như công cụ quản trịmáy ảo, sau đó nạp OS nạn nhân vào máy ảo khiến anti-virus không thể phát hiện nó
�Hacker sử dụng rootkit để cài đặt các chương trình điều khiển từ xa mạnh mẽ
Backdoor và Key logger
�Backdoor (cửa hậu): loại mã độc được thiết kếcho phép truy xuất hệ thống từ xa
�Key logger (thám báo bàn phím): ban đầu dùng
giám sát trẻ con sử dụng mạng, về sau biến thái
thành công cụ đánh cắp mật khẩu
�Trojans, rootkit và các chương trình hợp thức
(như key logger) đều có thể được dùng để cài
đặt backdoor
Spyware và Adware
�Spyware (phần mềm gián điệp): rất đa dạng, thường không gây nguy hại về mặt dữ liệu
�Tác hại của spyware:
� Rò rỉ thông tin cá nhân
� Tiêu thụ tài nguyên máy đích
� Hệ thống mất ổn định
�Spyware lây nhiễm qua download phần mềm
�Adware: spyware quảng cáo
Companion và Link
�Companion (đồng hành): tạo tập thực thi giảmạo chương trình hợp pháp đang tồn tại, sau đó
lừa OS chạy chương trình companion để kích
hoạt mã độc
VD: svohost.exe # svchost.exe
�Link (liên kết): cấu hình cho OS tìm đến liên kết
thay vì đến chương trình mong muốn
VD: thay các đường link/shortcut của Windows trỏ đến file .exe chứa mã độc trong 1 folder bí mật
Germ, Constructor và Hacktool
�Germ (mầm độc): tập mã độc gốc dùng sản sinh
các biến thể mã độc thứ cấp, sử dụng kèm
constructor và/hoặc hacktool
�Constructor (bộ kiến tạo): công cụ biên dịch
mầm mã độc được tập kết bí mật ở máy đích,
âm thầm xây dựng lực lượng tại chỗ, chờ thời
cơ đồng loạt tấn công
�Hacktool (công cụ đục phá): phương tiện hỗ trợconstructor xây dựng lực lượng tại chỗ, đục phá
hệ thống chuẩn bị tấn công
TS. Trương Minh Nhật Quang - 2013
Chương 3Chương 3
TS. Trương Minh Nhật Quang - 2013
Kiến thức cơ sở1
Mã độc và tiến trình2
Phát hiện mã độc3
Loại trừ mã độc4
Nội dung Chương 3Nội dung Chương 3
TS. Trương Minh Nhật Quang - 2013
Kiến thức cơ sởKiến thức cơ sở
�Các định dạng thực thi của hệ điều hànhWindows
�Tiến trình (process), cơ chế thực thi ứngdụng của Windows
TS. Trương Minh Nhật Quang - 2013
Các định dạng thực thi của WindowsCác định dạng thực thi của Windows
� Lược sử vấn đề:
� 8/1981, Microsoft phát hành MSDOS 1.0 (16 bit) sử dụng 2 địnhdạng thi hành chính là .com và .exe, hỗ trợ .bat thi hành theo lô
� 11-1985, Windows 1.0 (16 bit) sử dụng định dạng thi hành exe mới (NE-New Execution) và thư viện liên kết động .dll (dynamic link library)
� 9-1995, Windows 95 (32 bit) áp dụng .exe và .dll khả chuyển(PE-Portable Execution)
� Hiện nay, Windows 7/Vista có 2 dòng sản phẩm:
� Windows 7/Vista 32 bit: định dạng thực thi pe (32 bit)
� Windows 7/Vista 64 bit: định dạng thực thi pe+ (64 bit)
TS. Trương Minh Nhật Quang - 2013
Các định dạng thực thi…Các định dạng thực thi…
�Để đảm bảo tính tương thích đi lên, các HĐH ra sauluôn hỗ trợ các định dạng thi hành của các HĐH trước đó
�Xét về tổ chức thi hành, các tập .pif, .scr, .cpl, .sys… vẫn thuộc các định dạng pe-exe hoặc pe-dll
�Các tập ứng dụng mở rộng – application extension (.dll, .ovl, .cpl, .sys…) không tự thi hành, chúng cầncác ứng dụng chủ - host application (.exe) nạp vàobộ nhớ để thực thi
TS. Trương Minh Nhật Quang - 2013
Tiến trình (process)Tiến trình (process)
�Để hỗ trợ đa chương, máy tính phải có khả năngthực hiện nhiều tác vụ đồng thời
�Hạn chế phần cứng: phần lớn các máy tính chỉ có 1 CPU nên không thể xử lý song song triệt để
�Giải pháp phần mềm: chuyển đổi CPU qua lại giữa
các chương trình nhằm duy trì hoạt động của nhiềuứng dụng cùng lúc
�Mô hình tiến trình: xử lý song song giả lập
TS. Trương Minh Nhật Quang - 2013
Phân biệt chương trình, tiến trìnhPhân biệt chương trình, tiến trình
� Chương trình: tập mã lệnh trong file exe (thực thể thụđộng lưu trên đĩa)
� Tiến trình: chương trình đang xử lý (thực thể hoạt độngđang chạy trong bộ nhớ)
� Mỗi tiến trình sở hữu 1 con trỏ lệnh, tập thanh ghi, các
biến và một số tài nguyên (CPU, RAM, Files, IO...) đểthực hiện công việc của nó
� Dưới sự điều phối của HĐH, CPU được chuyển đổi qua lại giữa các tiến trình, các tiến trình được lập lịch để khởi
tạo, chạy, dừng, chạy tiếp hoặc kết thúc
TS. Trương Minh Nhật Quang - 2013
Chế độ xử lý của tiến trìnhChế độ xử lý của tiến trình
� Để đảm bảo hệ thống hoạt động đúng đắn, HĐH cần được
bảo vệ khỏi sự xâm phạm của các tiến trình
� Bản thân các tiến trình và dữ liệu cũng cần được bảo vệ đểtránh các tiến trình khác xâm phạm
� Giải pháp: tổ chức 2 chế độ xử lý đặc quyền (dành riêng cho HĐH) và không đặc quyền (dành cho ứng dụng/user)
� Khi tiến trình user phát lời gọi hệ thống, HĐH xử lý yêu cầu
trong chế độ đặc quyền, sau đó chuyển kết quả cho tiến trình
user trong chế độ không đặc quyền
� Trên các hệ thống đa người dùng, Windows chia chế độkhông đặc quyền thành 2 cấp administrator và limited user
TS. Trương Minh Nhật Quang - 2013
Phân cấp xử lý lệnhPhân cấp xử lý lệnh
Người sử dụng
shell, editor
Hệ điều hành
Hardware
Chế độ không đặcquyền
Chế độ đặc quyền
TS. Trương Minh Nhật Quang - 2013
Tạo lập tiến trìnhTạo lập tiến trình
� Tiến trình cha phát lời gọi hệ thống để tạo tiến trình con
� Nhận yêu cầu tạo tiến trình, HĐH sẽ:
� Định danh tiến trình mới
� Đưa tiến trình vào danh sách quản lý tiến trình
� Xác định độ ưu tiên của tiến trình
� Tạo PCB – Program Control Block cho tiến trình
� Cấp phát tài nguyên cho tiến trình
� Tiến trình con nhận tài nguyên do HĐH cấp phát, hoặc/và
thừa hưởng một phần tài nguyên từ tiến trình cha
� Sau khi tạo tiến trình, tiến trình cha tiếp tục xử lý cùng với tiến
trình con, hoặc chờ tiến trình con xử lý xong để xử lý tiếp
TS. Trương Minh Nhật Quang - 2013
Kết thúc tiến trìnhKết thúc tiến trình
� Sau khi hoàn tất công việc, tiến trình phát lời gọi hệthống yêu cầu HĐH kết thúc nó
� Nhận yêu cầu kết thúc tiến trình, HĐH sẽ:
� Thu hồi các tài nguyên hệ thống đã cấp cho tiến trình
� Hủy tiến trình khỏi danh sách tiến trình
� Hủy PCB của tiến trình
� Khi tiến trình cha kết thúc, HĐH sẽ kết thúc các tiến trình
con của nó
� Tip: nếu được gọi bằng hàm WinExec (Win16 API), tiến
trình sẽ hoạt động cho đến khi nó tự kết thúc mà khôngphụ thuộc cha nó có kết thúc hay không
TS. Trương Minh Nhật Quang - 2013
Tiểu trình (thread)Tiểu trình (thread)
�Tiểu trình là cơ chế xử lý cho phép nhiều dòng xử lýtrong cùng một tiến trình
�Một tiến trình có thể sở hữu nhiều tiểu trình, mộttiểu trình có thể tạo nhiều tiến trình con
�Các tiểu trình xử lý song song và cùng chia sẻkhông gian địa chỉ chung của tiến trình
�Trước khi kết thúc, tiến trình phải đảm bảo các tiểu
trình của nó ngưng hoạt động
�Khi kết thúc tiến trình, HĐH sẽ giải phóng các tiểu
trình của nó, kể cả các tiểu trình đang chạy
TS. Trương Minh Nhật Quang - 2013
Mã độc và tiến trìnhMã độc và tiến trình
Thực thểthụ động
- com, exe (DOS)- ne-exe, ne-dll (Win16)- pe-exe, pe-dll (Win32)- …
Mã độc
Chương trìnhhoạt động
- Tiến trình- Tiểu trình- …
TS. Trương Minh Nhật Quang - 2013
Thực thể thụ độngThực thể thụ động
�Phần lớn các mã độc có định dạng .exe (ne, pe)
�Các mã độc .dll không tự chạy, nó cần host của
nó gọi (hoặc rundll32.exe của Windows gọi)
�Dù .exe hay .dll, mã độc cần kích hoạt mới có
thể hoạt động và gây hại
�Khi chưa hoạt động, các file mã độc (.exe, .dll…)
có thể bị xóa dễ dàng
TS. Trương Minh Nhật Quang - 2013
Chương trình hoạt độngChương trình hoạt động
�Khi được nạp vào thi hành, mã độc chuyển từthực thể thụ động sang tiến trình hoạt động
�Do file chủ (.exe) của tiến trình được Windows
bảo vệ: phải kết thúc tiến trình trước khi xoá file
�Một số kỹ thuật bảo vệ tiến trình của mã độc:
� Ẩn tiến trình trong danh sách
� Vô hiệu các API KillProcess, TerminateProcess
� Tạo các tiến trình giả mạo (companion)
� Chạy nhiều tiến trình kiểm soát lẫn nhau…
TS. Trương Minh Nhật Quang - 2013
Các giai đoạn hoạt độngCác giai đoạn hoạt động
1. Giai đoạn thâm nhập:
� Thâm nhập máy đích
� Lưu vào hệ thống lưu trữ
� Chuẩn bị điều kiện kích hoạt
2. Giai đoạn hoạt động:
� Kích hoạt
� Ẩn náu
� Thi hành nhiệm vụ
3. Giai đoạn phát tán:
� Củng cố, bám trụ
� Phá hoại, lây lan
TS. Trương Minh Nhật Quang - 2013
Thâm nhập vào máy đíchThâm nhập vào máy đích
�Nguồn phát tán mã độc:
� Mạng Internet: hotlink, email attachment, spam,
embedded webpage…
� Máy trung gian: work station, zombie…
� Thiết bị lưu trữ cá nhân: usb flash drive, mobile hdd…
�Các hình thức thâm nhập của mã độc:
� Online: mạng >> máy (truy cập mạng, download phần
mềm, share dữ liệu…)
� Offline: máy >> máy (sao chép/di chuyển dữ liệu, traođổi thiết bị lưu trữ cá nhân…)
TS. Trương Minh Nhật Quang - 2013
Lưu vào hệ thống lưu trữLưu vào hệ thống lưu trữ
�Thâm nhập online:
� Lưu system cache: C:\Documents and
Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\...
� Lưu user’s folder: C:\Documents and Settings\<User name>\Documents\My Received Files…
�Thâm nhập offline:
� Lưu vào system cache (vd, giải nén file chứa mã độc)
� Lưu vào folder đích (do user chỉ định trong lúc copy)
TS. Trương Minh Nhật Quang - 2013
Chuẩn bị điều kiện kích hoạtChuẩn bị điều kiện kích hoạt
�Khai thác các lổ hổng bảo mật
� Thi hành mã tích cực: ActiveX, Java Script…
� Thi hành mã macro: VBA macro, Adobe macro…
�Khai thác tâm lý người dùng
� Thói quen thao tác: single click, favorite folders…
� Tò mò, hiếu kỳ: hot links, hot pictures…
�Khởi tạo kế hoạch kích hoạt
� Đăng ký ứng dụng: registry, auto startup…
� Đăng ký dịch vụ: service, device driver…
TS. Trương Minh Nhật Quang - 2013
Giai đoạn hoạt độngGiai đoạn hoạt động
�Kích hoạt� Kích hoạt ngay: do hệ thống lỏng lẻo, user vô tâm
� Kích hoạt sau: lợi dụng cơ chế auto startup
�Ẩn náu� Tái định vị mã độc: root, system folder, recycle bin…
� Bảo vệ tiến trình: ẩn danh sách, vô hiệu Task Manager, thực thi đa tiến trình…
�Thi hành nhiệm vụ� Sục sạo máy đích, đánh cắp dữ liệu…
� Gửi kết quả cho hacker, đón nhận chỉ thị…
TS. Trương Minh Nhật Quang - 2013
Giai đoạn phát tánGiai đoạn phát tán
�Củng cố, bám trụ� Vô hiệu cấu hình hệ thống: registry editings, folder
settings, task controlings…
� Cải thiện tình thế: dời địa điểm ẩn náu sang các
folder bí mật, tạo đồng hành (companion) gây nhiễu, vượt cấp đăng nhập (limited user>admin)…
�Phá hoại, lây lan
� Khống chế hệ thống, tắt dịch vụ, vô hiệu anti-virus,
xoá dữ liệu…
� Lây sang các hệ thống khác…
TS. Trương Minh Nhật Quang - 2013
Phát hiện mã độcPhát hiện mã độc
�Nguyên tắc chung:
� Sớm phát hiện, dễ loại trừ: phát hiện mã độc ở giai
đoạn 1 là tốt nhất
� Phân biệt người ngay, kẻ gian: có quản lý tốt danh
sách ứng dụng hợp thức mới phát hiện được mã độc
� Sử dụng trợ thủ am hiểu: cần trang bị các anti-virus
chuyên nghiệp, giám sát vào-ra thường xuyên
�Các vị trí phát hiện mã độc
� Trong vùng nhớ: process list, registry, auto startup
� Trên đĩa: root, fragile folders, personal storage media
TS. Trương Minh Nhật Quang - 2013
Phát hiện trong vùng nhớPhát hiện trong vùng nhớ
� Quản lý tiến trình:
� Task Manager: TaskMgr (có sẵn trong Windows)
� Công cụ khác: D32 Task List, Rootkit Unhooker…
� Quản lý auto startup
� System Registry: Regedit (có sẵn trong Windows)
� Startup Programs: Start>All Programs>Startup
� System Initialization: Windows\win.ini, system.ini
� Quản lý dịch vụ:
� System Config: MsConfig (có sẵn trong Windows)
� System Services: Control Panel>Administrative Tools\Services
TS. Trương Minh Nhật Quang - 2013
Phát hiện trên tổ chức đĩaPhát hiện trên tổ chức đĩa
� Bước 1 - Kiểm tra các tùy chọn hiển thị: � Tools> Folder Options > View…� Show hidden files and folders� Show extensions for known file types� Show protected operating system files
� Bước 2 - Quan sát các khu vực nhạy cảm: � Root: kiểm tra các file exe, com, dll, inf, pif… ở root � System folders: đề phòng các file thực thi ẩn thuộc nhánh
C:\Windows (system32, fonts, dllcache…)� Recycle bin: cảnh giác các phân khu có hơn 1 folder sọt rác (usb
không có sọt rác)
� Bước 3 – Xác định mã độc:� Offline: kiểm tra bằng anti-virus trên máy� Online: kiểm tra trực tuyến trên mạng (Jotti, Virus Total…)
TS. Trương Minh Nhật Quang - 2013
Loại trừ mã độcLoại trừ mã độc
� Bước 1 – Vô hiệu mã độc� Ngắt (disconnect) liên lạc mạng
� Khởi động trong chế độ an toàn (safe mode)
� Kết thúc (finish) tiến trình mã độc, hoặc
� Dừng (stop) dịch vụ mã độc
� Bước 2 – Loại bỏ mã độc� Xóa file mã độc trên đĩa (rename/delete/quarantine…)
� Xóa mục kích hoạt (registry, auto startup, services…)
� Bước 3 – Tái lập hệ thống� Loại bỏ rác: empty recycle bin; delete cookies,
histories,favorites, temporary internet files…
� Khởi động lại hệ thống
LOGO
Chương 4Chương 4
TS. Trương Minh Nhật Quang
2/28Ts. Trương Minh Nhật Quang – 2013
Đặt vấn
đề
Chương 4Tình hình lây nhiễm
Các phần mềm hỗ trợ
Các giải pháp
Nội dung Chương 4Nội dung Chương 4
3/28Ts. Trương Minh Nhật Quang – 2013
� Hiện trạng sử dụng các phòng máy Internet:
� Số lượng từ 20 đến 40 máy vi tính nối mạng cục bộ
� Sử dụng hệ điều hành Windows XP và các phần mềm
quản lý phòng máy chuyên dụng
� Cho phép sử dụng USB flash drive
� Khai thác Internet: chat, email, forum, games online...
�� Nguy cơ lây lan virus mNguy cơ lây lan virus mááy ty tíính nh -- sâu msâu mạạng, ng, ảảnh nh
hưhưởởng an tong an toààn dn dữữ liliệệu vu vàà an ninh han ninh hệệ ththốốngng
Đặt vấn đềĐặt vấn đề
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
4/28Ts. Trương Minh Nhật Quang – 2013
Bước 1Bước 1
Nghiên cứu,
phân tích đặc
tính, kỹ thuật
lây nhiễm của
các loại virus -
sâu mạng phổbiến hiện nay
Bước 2Bước 2
Khảo sát một sốphần mềm phổbiến, nghiên cứu
vận dụng trong
công tác bảo vệan toàn dữ liệu
cho phòng máy
Bước 3Bước 3
Đề xuất một sốgiải pháp phòng
chống virus, đảm bảo an
toàn dữ liệu và
an ninh thông tin
cho phòng máy
Phương pháp tiếp cậnPhương pháp tiếp cận
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
5/28Ts. Trương Minh Nhật Quang – 2013
� Trong thời đại CNTT, tình hình lây nhiễm virus máy tính/mã độc diễn biến ngày càng phức tạp
� Hình thức phát tán online:
� Nguồn: Internet (các trang web độc hại), thư rác điện tử (tập tin đính kèm)...
� Đích: tổ chức lưu trữ (đĩa) thi hành (bộ nhớ) của máy đích
� Hình thức phát tán offline:
� Khi cắm USB sạch vào máy nhiễm, virus tự chép vào USB
� Khi cắm USB nhiễm vào máy sạch, virus sẽ vào thường trútrong bộ nhớ, tự sao chép vào đĩa cứng và lây vào các USB sạch khác...
Tình hình lây nhiễm virusTình hình lây nhiễm virus
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
6/28Ts. Trương Minh Nhật Quang – 2013
� Các tổ chức thi hành mã lệnh: .exe, .com, .pif, .scr, .bat...
� Cấu trúc lưu trữ: thư mục gốc (‘C:\’, ‘D:\’,...), thư mục hệthống ('C:\Windows’), sọt rác (‘E:\Recycler’)...
� Các tổ chức quản lý thi hành tự động: Windows Registry,
Windows Startup, System Service...
� Các trình điều khiển thiết bị như bàn phím, chuột (đểkích hoạt mã độc khi người dùng chạm vào thiết bị)
Các vị trí trú ẩn của mã độcCác vị trí trú ẩn của mã độc
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
7/28Ts. Trương Minh Nhật Quang – 2013
Các kịch bản lây nhiễm offlineCác kịch bản lây nhiễm offline
� Kịch bản 1 - thay folder hệ thống bằng tập tin virus:
� Chọn icon của virus giống icon folder của hệ thống
� Tạo các .exe chứa virus có phần tên giống với tên folder
� Che đuôi .exe: ‘Hide extensions for known file types’
� Đặt thuộc tính ẩn cho các folder bị giả mạo
� Ẩn các folder: ‘Do not show hidden files and folders’
� Vô hiệu các lệnh thiết lập thông số hệ thống
� Khi người dùng mở các folder bị giả mạo, tập .exe chứa virus sẽ được kích hoạt và mở lại folder thực sự cho người dùng
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
8/28Ts. Trương Minh Nhật Quang – 2013
� Kịch bản 2 – tạo cơ hội thi hành bằng link, shortcut
� Chọn/tạo thư mục bí mật lưu mã độc
� Thay đổi/hiệu chỉnh/chèn/ghép địa chỉ ứng dụng mởlink/shortcut bằng địa chỉ trỏ đến folder chứa mã độc
� Thay đổi hình thức thể hiện của link/shortcut
� Điều khiển/kế thừa chức năng của link/shortcut cũ
� Khi user mở link/shortcut (My Documents, My Favorites,
My Pictures…) mã độc sẽ được kích hoạt, thực thi nhiệm vụ và mở lại ứng dụng điều khiển link thật sự
Các kịch bản lây nhiễm…Các kịch bản lây nhiễm…
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
9/28Ts. Trương Minh Nhật Quang – 2013
� Kịch bản 3 - tự thi hành bằng phương thức autorun:
� Tạo tập autorun.inf ở root chứa liên kết thực thi virus:
[Autorun]
Command=Path\VirusFile.exe
� Khởi tạo Path (root, system folder, recycler, sub-folder...)
� Chép virus vào Path, ẩn náu (giống kịch bản 1)
� Đăng ký autorun cho các thiết bị cắm thêm
� Khi người dùng cắm USB vào máy, phương thức autorun sẽ kích hoạt tập tin .exe chứa virus
Các kịch bản lây nhiễm…Các kịch bản lây nhiễm…
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
10/28Ts. Trương Minh Nhật Quang – 2013
NSNSCCáác phc phầần mn mềềm Net Schoolm Net School
DFDFCác phần mềm ‘‘đđóóng băngng băng’’
VMVMCác phần mềm tạo mmááy y ảảoo
Các phần mềm hỗ trợCác phần mềm hỗ trợ
AVAVCác phần mềm ququéét virust virus
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
11/28Ts. Trương Minh Nhật Quang – 2013
� Chức năng: canh phòng virus xâm nhập, bảo vệ an toàn dữ liệu, an ninh hệ thống
� Nguyên tắc hoạt động: nhận dạng loại trừ mã độc dựa vào tập mã đặc trưng cập nhật định kỳ
� Ký hiệu, phân loại sử dụng: � Home: chức năng tối thiểu, dành cho cá nhân và gia đình
� Professional: trang bị nhiều tính năng chuyên nghiệp
� SME (Small & Medium Enterprise): dành cho DN nhỏ và vừa
� Enterprise: dành cho doanh nghiệp lớn
� Nhà cung cấp:� Sản phẩm Việt Nam: BKAV, CMC, D32…
� Sản phẩm nước ngoài: Avira, Kaspersky, Panda, Norton…
Các phần mềm quét virusCác phần mềm quét virus
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
12/28Ts. Trương Minh Nhật Quang – 2013
Phân hệ máy trạm- Quét kiểm tra, canh
phòng virus xâm nhập
- Cập nhật cơ sở dữliệu từ máy chủ- Báo cáo tình hình an
ninh máy trạm
Quét virus mạng LAN
Phân hệ máy chủ- Quét kiểm tra, canh
phòng virus xâm nhập
máy chủ- Quản trị, điều khiển
an ninh hệ thống
- Cập nhật, đồng bộ cơ sở dữ liệu hệ thống
Hệ quét virus mạng LANHệ quét virus mạng LAN
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
13/28Ts. Trương Minh Nhật Quang – 2013
� Chức năng: hỗ trợ công tác quản lý thực hành trên mạng cục bộ
� Nguyên tắc: hoạt động theo mô hình client-server
� Các phân hệ chính:
� Teacher: cài trên máy chủ dành cho giáo viên
� Student: cài trên máy trạm dành cho học sinh
� Các phần mềm tiêu biểu:
� NetOp School
� NetSupport School
Các phần mềm Net SchoolCác phần mềm Net School
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
14/28Ts. Trương Minh Nhật Quang – 2013
Các hoạt động trên máy chủCác hoạt động trên máy chủ
Kiểm soát hoạt động máy trạm
Quản lý cấu trúc đĩa máy trạm
Phân phối dữ liệu cho máy trạm
Thu hồi dữ liệu từ máy trạm
Yêu cầu máy trạm thực thi lệnh
Phân hệTeacher
Phân hPhân hệệTeacherTeacher
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
15/28Ts. Trương Minh Nhật Quang – 2013
� Theo dõi thể hiện của virus, quan sát màn hình máy trạm, lưu ý các cửa sổ bật lên, các cảnh báo an ninh...
� Nắm bắt tình hình lây nhiễm, khảo sát cấu trúc đĩa máy trạm, chú ý các tập tin thực thi (.exe, .scr, .pif, .com) lạ ở thư mục hệthống và thư mục gốc các ổ đĩa máy trạm
� Thu nhận các tập thực thi nghi ngờ mã độc từ máy trạm về máy chủ để khảo sát
� Phân phối tập kịch bản diệt trừ sâu mạng cho các máy trạm
� Thực thi tập kịch bản diệt trừ virus cho các máy trạm
� Khởi động lại máy trạm sau khi chạy tập kịch bản để tái lập tình trạng ban đầu cho hệ thống
Kiểm soát an ninh mạng từ máy chủKiểm soát an ninh mạng từ máy chủ
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
16/28Ts. Trương Minh Nhật Quang – 2013
� Chức năng: khôi phục hệ thống về trạng thái ban đầu sau khi máy tính khởi động lại
� Nguyên tắc hoạt động: System Restore, Check Point
�Ưu điểm: bảo vệ hệ thống, loại trừ virus máy tính
� Nhược điểm:
� Không bảo toàn dữ liệu người dùng
� Chiếm dụng tài nguyên, làm chậm máy
� Hệ thống kém linh hoạt
� Các phần mềm tiêu biểu:
� DF (Deep Freeze) của Faronics
� GoBack của Symantec
Các phần mềm ‘đóng băng’Các phần mềm ‘đóng băng’
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
17/28Ts. Trương Minh Nhật Quang – 2013
� Máy ảo (VM-Virtual Machine) là môi trường phần mềm cho phép nhiều hệ điều hành và ứng dụng cùng hoạt động trên một máy tính
�Ưu điểm: dữ liệu máy thật luôn được bảo toàn
� Nhược điểm: � Chỉ thích hợp cho máy có cấu hình đủ mạnh
� Các ứng dụng lớn hoạt động không tốt như khi cài trên máy thật
� Tiềm ẩn nguy cơ virus lây lan qua cơ chế giao tiếp dữ liệu giữa máy ảo và máy thật (ổ đĩa chia sẻ, thư mục chia sẻ…)
� Các phần mềm tiêu biểu:� Virtual Box: Sun Microsystems
� Virtual PC: Microsoft
� VMware: VMware Inc.
Các phần mềm máy ảoCác phần mềm máy ảo
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
18/28Ts. Trương Minh Nhật Quang – 2013
� Quy ước chia ổ đĩa cứng thành 2 phân khu:
� Phân khu C lưu hệ điều hành và các ứng dụng
� Phân khu D lưu dữ liệu người dùng
� Cài đặt hệ điều hành máy chủ, máy trạm
� Thiết lập chính sách liên lạc mạng, cấp quyền sử dụng...
� Cài đặt các phân hệ Net School (Teacher, Student)
� Tạo các folder C:\Autorun.inf và D:\Autorun.inf
� Cài anti-virus chạy thường trực trên tất cả các máy
Chuẩn bị hệ thốngChuẩn bị hệ thống
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
19/28Ts. Trương Minh Nhật Quang – 2013
Các giải pháp an toàn dữ liệuCác giải pháp an toàn dữ liệu
Phối hợp DF và VM
Giải pháp máy ảo VM
Giải pháp đóng băng DF
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
20/28Ts. Trương Minh Nhật Quang – 2013
� Đối với máy trạm:
� Biên tập kịch bản ‘C:\Autorun.inf\DelFiles.bat’:
Attrib –r –s –h +a D:\*.* /s /d
Del D:\*.* /s /q
� Đóng băng ổ C bằng DF
� Đối với máy chủ:
� Sử dụng module Teacher theo dõi an ninh máy trạm
� Khởi động máy trạm, chạy kịch bản DelFiles diệt virus cho máy trạm
Giải pháp 1: đóng băng (DF)Giải pháp 1: đóng băng (DF)
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
21/28Ts. Trương Minh Nhật Quang – 2013
�Ưu điểm:
� Đơn giản, dễ cài đặt
� Phân khu hệ thống luôn được bảo toàn
� Đảm bảo loại trừ triệt để virus máy tính
� Thích hợp cho máy tính cấu hình trung bình
� Nhược điểm:
� Không bảo toàn dữ liệu người dùng khi máy treo hoặc mất điện
� Khi cần cài đặt thêm phần mềm, phải gỡ đóng băng
Phân tích giải pháp 1Phân tích giải pháp 1
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
22/28Ts. Trương Minh Nhật Quang – 2013
� Đối với máy trạm:
� Tạo tài khoản người dùng hạn chế, login trực tiếp
� Cài máy ảo, hệ điều hành, các phần mềm vào máy ảo
� Lưu snapshot máy ảo dự phòng
� Lập chính sách chia sẻ dữ liệu ổ D
� Người dùng thao tác trên máy ảo, lưu dữ liệu vào ổchia sẻ
� Biên tập, lưu kịch bản DelFiles.bat (xem giải pháp 1)
� Đối với máy chủ: giống giải pháp 1
Giải pháp 2: máy ảo (VM)Giải pháp 2: máy ảo (VM)
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
23/28Ts. Trương Minh Nhật Quang – 2013
�Ưu điểm:
� Khắc phục rủi ro mất dữ liệu người dùng của giải pháp 1
� Chỉ cần cài đặt ứng dụng trên máy ảo cho 1 máy rồi cập
nhật snapshot cho cả mạng
� Nhược điểm:
� Chỉ thích hợp cho các ứng dụng không cần cấu hình
máy mạnh
� Tiềm ẩn nguy cơ virus lưu trú ở folder người dùng của
hệ điều hành máy thật
Phân tích giải pháp 2Phân tích giải pháp 2
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
24/28Ts. Trương Minh Nhật Quang – 2013
� Đối với máy trạm:
� Cài đặt máy ảo, cài hệ điều hành và ứng dụng cho máy ảo
� Thiết lập cấu hình máy ảo đặt snapshot và virtual disk
image trên ổ D
� Đóng băng ổ C bằng DF
� Đối với máy chủ: thực hiện giống giải pháp 1 và 2
Giải pháp 3: phối hợp DF và VMGiải pháp 3: phối hợp DF và VM
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
25/28Ts. Trương Minh Nhật Quang – 2013
�Ưu điểm:
� Khắc phục rủi ro mất dữ liệu tạm của giải pháp 1.
� Khắc phục nguy cơ virus tiềm ẩn trong phân khu hệthống của giải pháp 2
� Cài đặt bổ sung phần mềm dễ dàng
� Nhược điểm:
� Yêu cầu cấu hình máy mạnh (CPU P4, RAM 1GB,
HDD 80GB…)
� Không thích hợp cho các phần mềm đòi hỏi phần cứng (bộ điều hợp video, bộ nhớ, không gian lưu trữ…)
Phân tích giải pháp 3Phân tích giải pháp 3
Đặt vấn đề | Tình hình lây nhiễm virus | Các phần mềm hỗ trợ | Các giải pháp
LOGOTS. Trương Minh Nhật Quang