Tổng Hợp cách hình thức tấn công mạng

Mục tiêu bài học

• Mô tả sự khác nhau giữa vi rút và sâu máy tính
• Liệt kê các kiểu phần mềm độc hại giấu mình
• Nhận dạng các loại phần mềm độc hại kiếm lợi
• Mô tả các kiểu tấn công tâm lý sử dụng kỹ nghệ xã hội
• Giải thích các vụ tấn công vật lý sử dụng kỹ nghệ xã hội

Tấn công sử dụng phần mềm độc hại

• Phần mềm độc hại (malware)
  • Xâm nhập vào hệ thống máy tính không được sự hay biết hay đồng ý của chủ nhân
  • Dùng để chỉ một loạt các phần mềm gây hại hoặc gây phiền nhiễu
• Mục đích chính của phần mềm độc hại
  • Lây nhiễm các hệ thống
  • Che dấu mục đích
  • Thu lợi bất chính

Phần mềm độc hại lan truyền

• Phần mềm độc hại lan truyền: Dạng phần mềm độc hại nhắm tới mục tiêu chủ yếu là lan truyền
• Có hai dạng phần mềm độc hại lan truyền:
  • Vi rút (virus)
  • Sâu (worm)
• Phần mềm độc hại lan truyền – Vi rút
  • Vi rút (virus): Là các mã máy tính nguy hiểm, có khả năng tái tạo trên cùng máy tính
  • Các phương thức lây nhiễm vi rút
    • Lây nhiễm kiểu nối thêm
    • Lây nhiễm kiểu pho mát Thụy Sĩ
    • Lây nhiễm kiểu chia tách
  • Khi chương trình nhiễm vi rút được khởi động:
    • Tự nhân bản (lây lan sang các file khác trên máy tính)
    • Kích hoạt chức năng phá hoại
      • Hiển thị một thông điệp gây phiền nhiễu
      • Thực hiện một hành vi nguy hiểm hơn
    • Các ví dụ về hoạt động của vi rút
      • Làm cho máy tính lặp đi lặp lại một sự cố
      • Xóa các file hoặc định dạng lại ổ cứng
      • Tắt các thiết lập bảo mật của máy tính
  • Vi rút không thể tự động lây lan sang máy tính khác. Nó phụ thuộc vào hành động của người dùng để lây lan
  • Các vi rút được đính kèm theo file
  • Vi rút lan truyền bằng cách truyền nhận các file bị nhiễm vi rút
  • Các loại vi rút máy tính
    • Vi rút chương trình (program virus): Lây nhiễm các file thực thi
    • Vi rút macro (macro virus): Thực thi một đoạn mã kịch bản
    • Vi rút thường trú (resident virus): Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành mở ra
    • Vi rút khởi động (boot virus): Lây nhiễm vào Master Boot Record
    • Vi rút đồng hành (companion virus): Chèn thêm các chương trình độc hại vào hệ điều hành
• Phần mềm độc hại lan truyền – Sâu
  • Sâu (worm)
    • Chương trình độc hại
    • Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành
    • Gửi các bản sao của chính mình sang các thiết bị mạng khác
  • Sâu có thể:
    • Sử dụng các tài nguyên
    • Để lại một đoạn mã làm hại hệ thống bị lây nhiễm
  • Các ví dụ về hoạt động của sâu
    • Xóa các file trên máy tính
    • Cho phép kẻ tấn công có thể điều khiển từ xa máy tính bị hại
• Khác biệt giữa vi-rút và sâu

Hành động	Vi-rút	Sâu
Lây lan sang các máy tính khác	Do người dùng truyền những file bị lây nhiễm sang máy tính khác	Sử dụng hệ thống mạng để di chuyển sang máy tính khác
Cách thức hoạt động	Chèn mã của nó vào trong file	Khai thác các lỗ hổng của ứng dụng hoặc hệ điều hành
Cần tác động từ phía người dùng	Có	Không
Khả năng điều khiển từ xa	Không	Có

• Phần mềm độc hại giấu mình
  • Phần mềm độc hại giấu mình (concealing malware)
    • Dạng phần mềm độc hại có mục tiêu chính là che giấu sự có mặt của chúng trước người dùng
    • Khác hẳn với việc lan truyền nhanh như vi rút và sâu.
  • Các dạng phần mềm độc hại giấu mình
    • Trojan
    • Rootkit
    • Bom lôgíc (logic bomb)
    • Cửa hậu (backdoor)
• Phần mềm độc hại giấu mình – Trojan
  • Trojan (ngựa thành Troy)
    • Là chương trình thực hiện những mục đích nằm ngoài những điều quảng cáo
    • Thường là chương trình có thể thực thi, chứa mã ẩn để thực hiện việc tấn công
    • Đôi khi có thể ngụy trang dưới dạng một file dữ liệu
  • Ví dụ về cách thức hoạt động:
    • Người dùng tải và sử dụng chương trình “free calendar program”
    • Chương trình này sẽ quét hệ thống để tìm số tài khoản tín dụng và mật khẩu
    • Chương trình chuyển thông tin thu thập được cho kẻ tấn công qua mạng
• Phần mềm độc hại giấu mình – Rootkit
  • Là các công cụ phần mềm được kẻ tấn công sử dụng để che dấu các hành động hoặc sự hiện diện của các phần mềm độc hại khác (trojan, sâu…)
  • Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục nhật ký
  • Có thể thay đổi hoặc thay thế các file của hệ điều hành bằng các phiên bản sửa đổi, được thiết kế chuyên để che dấu các hành vi gây hại
  • Có thể phát hiện rootkit bằng cách sử dụng các chương trình so sánh nội dung file với file gốc ban đầu
  • Rootkit hoạt động ở mức thấp trong hệ điều hành, có thể rất khó phát hiện
  • Việc loại bỏ rootkit có thể rất khó khăn
    • Khôi phục các file gốc của hệ điều hành
    • Định dạng và cài đặt lại hệ điều hành
• Phần mềm độc hại giấu mình – Bom lôgíc
  • Bom lôgíc (logic bom)
    • Mã máy tính ở trạng thái “ngủ đông”
      • Được kích hoạt bởi một sự kiện lôgic xác định
      • Sau đó thực hiện các hành vi phá hoại
    • Rất khó phát hiện cho tới khi được kích hoạt
  • Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp sử dụng để đảm bảo việc chi trả cho phần mềm của họ.
    • Nếu việc chi trả không được thực hiện đúng hạn, bom lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng phần mềm nữa.
    • Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ phần mềm, các file về khách hàng cùng các thông tin liên quan.

Mô tả	Lý do tấn công	Hậu quả
Bom lôgíc, phát tán trong mạng cung cấp dịch vụ tài chính, xóa sạch dữ liệu quan trọng của 1000 máy tính	Một nhân viên bất mãn muốn làm giảm giá trị cổ phiếu của công ty để kiếm lợi từ việc giảm giá đó.	Bom lôgíc đã phát nổ, nhân viên đó đã phải chịu mức án 8 năm tù, và phải bồi thường 3.1 triệu đô la.
Một nhà thầu quốc phòng thiết kế một bom lôgic nhằm xóa sạch các dữ liệu quan trọng về tên lửa	Nhà thầu đó muốn được thuê làm cố vấn với mức chi trả cao để sửa lỗi	Bom lôgíc đã được phát hiện và vô hiệu hóa; nhà thầu bị buộc tội giả mạo và lừa đảo, bị phạt 5000 đô la.
Một bom lôgíc đã phát nổ tại công ty dịch vụ sức khỏe vào đúng ngày sinh nhật của nhân viên.	Nhân viên đó bực tức vì nghĩ mình có thể bị sa thải (mặc dù thực tế anh ta không bị sa thải)	Nhân viên đó đã bị kết án 30 tháng tù và phải bồi thường 81.200 đô la

• Phần mềm độc hại giấu mình – Cửa hậu
  • Mã phần mềm có mục đích né tránh các thiết lập bảo mật
  • Cho phép chương trình có thể truy cập nhanh chóng
    • Thường do các lập trình viên tạo ra
    • Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất
  • Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn công đã dùng chúng để qua mặt (bypass)  bảo mật.
  • Các phần mềm độc hại từ những kẻ tấn công cũng có thể cài đặt cửa hậu lên máy tính. Cách làm này cho phép những kẻ tấn công sau đó quay lại máy tính và qua mặt mọi thiết lập bảo mật.
• Phần mềm độc hại nhằm kiếm lợi
  • Các kiểu phần mềm độc hại nhằm kiếm lợi
  • Botnet
  • Phần mềm gián điệp (Spyware)
  • Phần mềm quảng cáo (Adware)
  • Nhật ký bàn phím (KeyLogger)
  • Phần mềm độc hại nhằm kiếm lợi – Botnet
    • Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công có thể điều khiển từ xa. Thường là các mã của Trojan, sâu và vi rút
    • Máy tính bị lây nhiễm được gọi là thây ma (zombie)
    • Một nhóm các máy tính thây ma được gọi là botnet
    • Ban đầu, những kẻ tấn công sử phần mềm Internet Relay Chat để điều khiển các máy tính thây ma. Hiện nay, chúng thường sử dụng HTTP
    • Lợi ích của Botnet đối với những kẻ tấn công
      • Hoạt động ở chế độ nền: Thường không có biểu hiện của sự tồn tại
      • Cung cấp phương tiện để che dấu hành vi của kẻ tấn công
      • Có thể duy trì hoạt động trong nhiều năm
      • Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiều thây ma. Do sự gia tăng không ngừng của các dịch vụ trên Internet

Kiểu tấn công	Mô tả
Thư rác	Một botnet cho phép kẻ tấn công gửi một khối lượng lớn thư rác; một số botnet có thể thu thập các địa chỉ e-mail
Phát tán phần mềm độc hại	Các botnet có thể được sử dụng để phát tán phần mềm độc hại, tạo ra các zombie, botnet mới. Các zombie có thể tải và thực thi một file do kẻ tấn công gửi đến
Tấn công các mạng IRC	Botnet thường được dùng để tấn công mạng IRC; chương trình điều khiển ra lệnh cho mỗi botnet kết nối một số lượng lớn các zombie vào mạng IRC. Mạng IRC bị quá tải, do đó không thể thực hiện chức năng của mình
Thao túng bầu cử trực tuyến	Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tương đương như “lá phiếu” của một cử tri thực. Các trò chơi trực tuyến có thể được thao túng theo cách tương tự
Ngăn cản dịch vụ	Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làm server bị quá tải, không đáp ứng được yêu cầu hợp lệ

• Phần mềm độc hại nhằm kiếm lợi – Phần mềm gián điệp
  • Phần mềm thu thập thông tin trái phép, không được sự cho phép của người dùng
  • Thường được sử dụng với mục đích:
    • Quảng cáo
    • Thu thập thông tin cá nhân
    • Thay đổi cấu hình máy tính
  • Những tác động tiêu cực của phần mềm gián điệp
    • Làm giảm hiệu năng máy tính
    • Làm cho hệ thống bất ổn định
    • Có thể cài đặt các menu trên thanh công cụ của trình duyệt
    • Có thể tạo ra các đường dẫn (shortcut) mới
    • Chiếm đoạt trang chủ
    • Làm tăng các cửa sổ quảng cáo

Công nghệ	Mô tả	Ảnh hưởng
Tự động tải phần mềm	Được dùng để tải và cài đặt phần mềm, không cần tương tác của người dùng	Có thể được sử dụng để cài đặt phần mềm trái phép
Các công nghệ theo dõi thụ động	Được sử dụng để thu thập thông tin về các hoạt động của người dùng mà không cần cài đặt bất cứ phần mềm nào	Có thể thu thập các thông tin riêng tư như các Website mà người dùng truy cập
Phần mềm thay đổi hệ thống	Điều chỉnh hoặc thay đổi các cấu hình người dùng	Thay đổi các thiết lập cấu hình mà không có sự chấp thuận của người dùng
Phần mềm theo dõi	Được dùng để kiểm soát các hành vi của người dùng hoặc thu thập thông tin người dùng	Có thể thu thập những thông tin cá nhân được chia sẻ rộng rãi hoặclấy trộm, gây nên các vụ lừa đảo hoặc đánh cắp danh tính.

• Phần mềm độc hại nhằm kiếm lợi – Phần mềm quảng cáo
  • Chương trình cung cấp các nội dung quảng cáo: Theo cách người dùng không mong muốn
  • Thường hiển thị các biểu ngữ quảng cáo và các cửa sổ quảng cáo
  • Có thể mở cửa sổ trình duyệt một cách ngẫu nhiên
  • Có thể theo dõi các hoạt động trực tuyến của người dùng
  • Yếu tố bất lợi đối với người dùng
    • Có thể hiển thị các nội dung chống đối
    • Thường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suất làm việc, làm chậm máy tính hoặc gây ra hiện tượng treo máy
    • Những quảng cáo không mong muốn gây ra sự phiền nhiễu
• Phần mềm độc hại nhằm kiếm lợi – Nhật ký bàn phím
  • Sao chụp lại các thao tác gõ phím của người dùng
  • Thông tin sau đó được truy xuất bởi kẻ tấn công
  • Kẻ tấn công có thể tìm ra những thông tin hữu ích
    • Mật khẩu
    • Số tài khoản tín dụng
    • Thông tin cá nhân
• Có thể là một thiết bị phần cứng gọn nhẹ
  • Được cài cắm vào giữa bàn phím máy tính và bộ kết nối
  • Khó bị phát hiện
  • Kẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mới có thể thu thập được thông tin

Tấn công sử dụng kỹ nghệ xã hội

• Kỹ nghệ xã hội (social engineering)
  • Là phương tiện thu thập thông tin cho một cuộc tấn công bằng cách dựa trên những điểm yếu của các cá nhân
  • Không cần đến công nghệ
• Tấn công dùng kỹ nghệ xã hội có thể bao gồm
  • Các phương pháp tâm lý
  • Các phương pháp vật lý
• Ví dụ
  • Một kẻ tấn công gọi cho phòng nhân sự: Hỏi và có được tên của các nhân sự chủ chốt
  • Một nhóm những kẻ tấn công tiếp cận một tòa nhà: Bám sau nhân viên để thâm nhập các khu vực bảo mật
  • Do biết giám đốc tài chính không có mặt tại tòa nhà,kẻ tấn công đã
    • Đột nhập vào phòng giám đốc tài chính
    • Thu thập thông tin từ chiếc máy tính không được bảo vệ
  • Lục lọi thùng rác để tìm kiếm các tài liệu hữu ích
  • Một nhân viên gọi điện từ bàn giám đốc tài chính: Mạo danh giám đốc tài chính hỏi lấy mật khẩu
  • Nhóm tấn công đã rời khỏi tòa nhà và thực hiện thành công việc truy cập mạng
• Các phương pháp tâm lý
  • Phương pháp tâm lý (psychology)
    • Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vật chất.
    • Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc thuyết phục họ hành động.
  • Các phương pháp tâm lý thường được sử dụng
    • Thuyết phục (Persuasion)
    • Mạo danh (Impersonation)
    • Phishing (lừa đảo)
    • Thư rác (Spam)
    • Cảnh báo giả (Hoax)
• Các phương pháp tâm lý – Thuyết phục
  • Những phương pháp thuyết phục cơ bản bao gồm
    • Lấy lòng (tâng bốc hay giả vờ)
    • A dua (những người khác cũng đang làm vậy)
    • Giả vờ thân thiện
  • Kẻ tấn công sẽ hỏi một vài thông tin nhỏ: Tập hợp thông tin từ vài nạn nhân khác nhau
  • Đưa ra những yêu cầu đáng tin
  • Kẻ tấn công có thể “tạo vỏ bọc” để có được thông tin: Trước khi nạn nhân bắt đầu cảm thấy nghi ngờ
  • Kẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từ nạn nhân
• Các phương pháp tâm lý – Mạo danh
  • Mạo danh (impersonation): Tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân.
  • Những vai phổ biến thường được mạo danh
    • Trợ lý hỗ trợ kỹ thuật
    • Công nhân sửa chữa
    • Bên thứ ba đáng tin cậy
    • Các cá nhân có quyền lực: Nạn nhân khó có thể nói “không” với người có quyền lực.
• Các phương pháp tâm lý – Phishing
  • Phishing (lừa đảo)
    • Gửi thư điện tử tự xưng là một nguồn hợp pháp: Thư điện tử có thể chứa logo và lý lẽ hợp pháp
    • Cố gắng đánh lừa người dùng để họ cung cấp các thông tin riêng tư
    • Người dùng được yêu cầu
      • Trả lời e-mail
      • Cập nhật thông tin cá nhân trên một trang Web
        • Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tài khoản ngân hàng, hoặc các thông tin khác.
        • Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh và được lập nên nhằm đánh cắp thông tin của người sử dụng.
  • Những biến thể của Fishing
    • Pharming (nuôi cá): Tự động chuyển hướng tới một website giả mạo
    • Spear phishing (xiên cá): Gửi e-mail hoặc tin nhắn đến những người dùng xác định
    • Whaling (câu cá voi): Nhằm vào những người giàu có
    • Vishing (lừa đảo bằng gọi điện thoại)
      • Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía “ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điện thoại do hắn cung cấp
      • Nạn nhân sau đó gọi vào số điện thoại của kẻ tấn công và nhập các thông tin riêng tư
  • Một số cách nhận diện Phishing
    • Những liên kết Web: Thường có dấu @ ở chính giữa
    • Các biến thể của địa chỉ hợp pháp
    • Sự xuất hiện của logo nhà cung cấp trông giống hợp pháp
    • Những địa chỉ người gửi giả mạo
    • Những yêu cầu khẩn cấp
• Các phương pháp tâm lý – Thư rác
  • Thư rác (Spam)
    • Thư điện tử không mong muốn
    • Là phương tiện chủ yếu phát tán phần mềm độc hại
    • Gửi thư rác là một nghề béo bở
  • Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắn tin
  • Ảnh rác
    • Sử dụng các hình ảnh tạo thành từ văn bản
    • Né tránh các bộ lọc văn bản
    • Thường chứa những nội dung vô nghĩa
  • Các kỹ thuật được áp dụng bởi kẻ gửi thư rác
    • Lớp phủ GIF (GIF Layering)
      • Hình ảnh rác được phân chia thành nhiều ảnh khác nhau
      • Các lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng
    • Chia tách từ (Word spliting)
      • Phân tách các từ theo chiều ngang
      • Vẫn có thể đọc được bằng mắt thường
    • Biến đổi hình học (Geometric variance): Dùng speckling (điểm lốm đốm) và màu sắc khác nhau sao cho không có hai thư điện tử nào có hình thức giống nhau

• Các phương pháp tâm lý – Cảnh báo giả
  • Cảnh báo giả (Hoax)
    • Kẻ tấn công thường sử dụng cảnh báo giả như là bước đầu tiên trong tấn công.
    • Cảnh báo giả là một cảnh báo sai, thường có trong e-mail, tự nhận là đến từ phòng IT.
  • Cảnh báo giả có nội dung như có ”vi rút rất xấu” đang lan truyền trên Internet, và khuyên người dùng
    • Nên xóa những file tài liệu cụ thể. Việc xóa file có thể làm cho máy tính không ổn định.
    • Hoặc thay đổi cấu hình bảo vệ. Thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏng hệ thống.
• Các phương pháp vật lý
  • Lục lọi thùng rác (Dumpster Diving): Lục lọi thùng rác để tìm kiếm thông tin hữu ích
  • Bám đuôi chui cửa (Tailgating): Bám theo sau một cá nhân hợp lệ để vượt qua cửa truy cập
  • Nhìn qua vai (Shoulder surfing): Tình cờ quan sát thấy người dùng nhập mã bàn phím

Những thứ tìm được	Sự hữu dụng
Lịch trình	Một quyển lịch có thể tiết lộ thông tin thời gian các nhân viên ra vào tòa nhà
Phần cứng máy tính rẻ tiền, ví dụ như ổ USB hoặc một ổ cứng di động	Những thiết bị này thường được hủy không đúng quy cách và có thể chứa những thông tin giá trị
Bảng ghi nhớ	Có thể cung cấp những mẩu thông tin hữu dụng cho kẻ tấn công để thực hiện mục đích giả mạo
Biểu đồ tổ chức nhân sự	Cho phép xác định các cá nhân và vị trí quyền hạn của họ trong tổ chức
Danh mục điện thoại	Có thể cung cấp tên và số điện thoại của các cá nhân trong tổ chức để nhằm vào hoặc để mạo danh
Sổ tay chính sách	Có thể tiết lộ chính xác cấp độ an ninh trong tổ chức
Cẩm nang hệ thống	Có thể cho biết loại hệ thống máy tính đang dùng, kẻ tấn công có thể sử dụng chúng để xác định các lỗ hổng

• Các thủ đoạn bám đuôi chui cửa
  • Những kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”
  • Chờ đợi bên ngoài và đi vào bên trong khi một nhân viên hợp lệ đi ra
  • Nhân viên có âm mưu đưa người trái phép đi cùng để vượt qua cửa kiểm soát

Tóm tắt nội dung bài học

• Phần mềm độc hại là phần mềm xâm nhập hệ thống máy tính không được sự hay biết hoặc cho phép của chủ nhân
• Phần mềm độc hại lây lan gồm có vi rút và sâu máy tính
• Phần mềm độc hại giấu mình gồm có trojan, rootkit, bom lôgic và backdoor (cửa hậu)
• Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phần mềm gián điệp (spyware), phần mềm quảng cáo (adware), và phần mềm nhật ký bàn phím (keylogger)
• Kỹ nghệ xã hội là phương tiện thu thập thông tin phục vụ cho một vụ tấn công của cá nhân
• Các kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm: mạo danh (impersonation), phishing (lừa đảo), lục lọi thùng rác (dumpster diving) và bám đuôi chui cửa (tailgating).

Bài tập thực hành

• Bài thực hành số 1: Sử dụng công cụ Irongeek Thumbscrew để khoá chức năng ghi lên USB.
• Bài thực hành số 2: Sử dụng công cụ Wolfeye Keylogger để sao chụp các phím được gõ từ bàn phím.
• Bài thực hành số 3: Sử dụng công cụ Microsoft RookitRevealer để dò tìm Rookit
  
  Nguồn: giasutinhoc

Share on Google Plus

About thanh