Bài 2:
Phần mềm độc hại và các dạng
tấn công sử dụng kỹ nghệ xã hội
Củng cố lại bài 1
Những thử thách trong bảo mật thông tin
Những cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?
Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?
6 loại kẻ tấn công
Tấn công và Phòng thủ
5 bước của một cuộc tấn công
5 nguyên tắc cơ bản của phòng thủ
Những thử thách trong bảo mật thông tin
Những cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?
Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?
6 loại kẻ tấn công
Tấn công và Phòng thủ
5 bước của một cuộc tấn công
5 nguyên tắc cơ bản của phòng thủ
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
2
Mục tiêu của bài học
Mô tả sự khác nhau giữa vi rút và sâu máy tính
Liệt kê các kiểu phần mềm độc hại giấu mình
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
3
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi

Vi rút (virus)
Sâu (worm)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
5
Phần mềm độc hại lan truyền
- Vi rút
Vi rút (virus)
Là các mã máy tính nguy hiểm, có khả năng tái tạo trên
cùng máy tính
Các phương thức lây nhiễm vi rút
Lây nhiễm kiểu gắn kết phía sau
Lây nhiễm kiểu pho-mat Thụy Sĩ
Lây nhiễm kiểu phân tách
Vi rút (virus)
Là các mã máy tính nguy hiểm, có khả năng tái tạo trên
cùng máy tính
Các phương thức lây nhiễm vi rút
Lây nhiễm kiểu gắn kết phía sau
Lây nhiễm kiểu pho-mat Thụy Sĩ
Lây nhiễm kiểu phân tách
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
6
Phần mềm độc hại lan truyền
- Vi rút (tiếp)
Khi chương trình nhiễm vi rút được khởi động:
Tự nhân bản (lây lan sang các file khác trên máy tính)
Kích hoạt chức năng phá hoại
hiển thị một thông điệp gây phiền nhiễu
thực hiện một hành vi nguy hiểm hơn
Các ví dụ về hoạt động của vi rút

- Vi rút (tiếp)
Các loại vi rút máy tính
Vi rút chương trình (program virus)
Lây nhiễm các file thực thi
Vi rút macro (macro virus)
Thực thi một đoạn mã kịch bản
Vi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành
mở ra
Vi rút khởi động (boot virus)
Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)
Chèn thêm các chương trình độc hại vào hệ điều hành
Các loại vi rút máy tính
Vi rút chương trình (program virus)
Lây nhiễm các file thực thi
Vi rút macro (macro virus)
Thực thi một đoạn mã kịch bản
Vi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành
mở ra
Vi rút khởi động (boot virus)
Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)
Chèn thêm các chương trình độc hại vào hệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
10
Phần mềm độc hại lan truyền
- Sâu
Sâu (Worm)

khác
Do gười dùng truyền
những file bị lây nhiễm
sang máy tính khác
Sử dụng hệ thống
mạng để di chuyển
sang máy tính khác
Cách thức hoạt
động
chèn mã của nó vào trong
file
Khai thác các lỗ hổng
của ứng dụng hoặc
hệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
12
Bảng 2-1 Sự khác nhau giữa vi rút và sâu
Cách thức hoạt
động
chèn mã của nó vào trong
file
Khai thác các lỗ hổng
của ứng dụng hoặc
hệ điều hành
Cần tác động
từ phía người
dùng
Có Không
Khả năng điều
khiển từ xa

Ví dụ
Người dùng tải và sử dụng chương trình “free calendar
program”
Chương trình này sẽ quét hệ thống để tìm số tài khoản tín
dụng và mật khẩu
Chuyển thông tin thu thập được cho kẻ tấn công qua mạng
Trojan (ngựa thành Troy)
Là chương trình thực hiện những mục đích nằm ngoài
những điều quảng cáo
Thường thực thi các chương trình
Chứa các mã ẩn để thực hiện việc tấn công
Đôi khi có thể ở dạng một file dữ liệu
Ví dụ
Người dùng tải và sử dụng chương trình “free calendar
program”
Chương trình này sẽ quét hệ thống để tìm số tài khoản tín
dụng và mật khẩu
Chuyển thông tin thu thập được cho kẻ tấn công qua mạng
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
14
Phần mềm độc hại giấu mình
- Rootkit
Rootkit (công cụ gốc)
Là các công cụ phần mềm được kẻ tấn công sử dụng để
che dấu các hành động hoặc sự hiện diện của các phần
mềm độc hại khác (trojan, sâu…)
Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục
nhật ký
Có thể thay đổi hoặc thay thế các file của hệ điều hành
bằng các phiên bản sửa đổi:

Phần mềm độc hại giấu mình
- Bom lô gíc
Bom lôgic (logic bom)
Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác định
Sau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạt
Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp
sử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bom
lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng
phần mềm nữa.
Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ
phần mềm, các file về khách hàng, cùng bảng chi trả
kèm theo.
Bom lôgic (logic bom)
Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác định
Sau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạt
Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp
sử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bom
lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng
phần mềm nữa.
Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ
phần mềm, các file về khách hàng, cùng bảng chi trả
kèm theo.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
17

đô la.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
18
Bảng 2-2 Các bom lôgic nổi tiếng
Một nhà thầu quốc
phòng thiết kế một bom
lôgic nhằm xóa sạch các
dữ liệu quan trọng về tên
lửa
Bom lôgic đã được phát
hiện và vô hiệu hóa; nhà
thầu bị buộc tội giả mạo
và lừa đảo, bị phạt 5000
đô la.
Một bom logic đã phát
nổ tại công ty dịch vụ
sức khỏe vào đúng ngày
sinh nhật của nhân viên.
Nhân viên đó bực tức vì
nghĩ mình có thể bị sa
thải (mặc dù thực tế anh
ta không bị sa thải)
Nhân viên đó đã bị kết
án 30 tháng tù và phải
bồi thường 81.200 đô la
Phần mềm độc hại giấu mình
- Cửa hậu
Cửa hậu (Backdoor)
Mã phần mềm có mục đích né tránh các thiết lập bảo mật
Cho phép chương trình có thể truy cập nhanh chóng

Phần mềm độc hại nhằm kiếm lợi
- Botnet
Botnet
Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công
có thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rút
Máy tính bị lây nhiễm được gọi là thây ma (zombie)
Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm Internet
Relay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Botnet
Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công
có thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rút
Máy tính bị lây nhiễm được gọi là thây ma (zombie)
Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm Internet
Relay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
21
Phần mềm độc hại nhằm kiếm lợi
- Botnet (tiếp)
Lợi ích của Botnet đối với những kẻ tấn công
Hoạt động ở chế độ nền:
Thường không có biểu hiện của sự tồn tại
Cung cấp phương tiện để che dấu hành vi của kẻ tấn công
Có thể duy trì hoạt động trong nhiều năm
Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiều

trình điều khiển ra lệnh cho mỗi botnet kết nối một số
lượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,
do đó không thể thực hiện chức năng của mình
Thao túng bầu cử
trực tuyến
Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tương
đương như “lá phiếu” của một cử tri thực; các trò chơi trực
tuyến có thể được thao túng theo cách tương tự
Ngăn cản dịch vụ Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làm
server bị quá tải, không đáp ứng được yêu cầu hợp pháp
Phần mềm độc hại nhằm kiếm lợi
- Phần mềm gián điệp
Phần mềm gián điệp (spyware)
Phần mềm thu thập thông tin trái phép, không được sự
cho phép của người dùng
Thường được sử dụng với mục đích:
Quảng cáo
Thu thập thông tin cá nhân
Thay đổi cấu hình máy tính
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Phần mềm gián điệp (spyware)
Phần mềm thu thập thông tin trái phép, không được sự
cho phép của người dùng
Thường được sử dụng với mục đích:
Quảng cáo
Thu thập thông tin cá nhân
Thay đổi cấu hình máy tính
24
Phần mềm độc hại nhằm kiếm lợi
- Phần mềm gián điệp (tiếp)