Bài giảng An ninh mạng - Chương 3, Phần 1: Các phần mềm có hại - Nguyễn Đại Thọ

Chương 3: Các phần mềm có hại
 (Malicious Softwares)
 Virus máy tính là gì ?
• Virus là một đoạn chương trình hoặc chương trình có
 kích thước rất nhỏ dùng để phục vụ những mục đích
 không tốt.
• Cách phân loại:
 – Dựa vào cơ chế hoạt động:
 • Virus nhân bản (Worm)
 • Virus không nhân bản (logic boms, backdoor, zombie)
 – Dựa vào cách thức tồn tại:
 • Virus là đoạn chương trình “bám” ký sinh vào các chương
 trình ứng dụng, tiện ích và chương trình hệ thống (logic
 bombs, backdoor)
 • Virus là một chương trình tồn tại độc lập và có khả năng tự
 thực thi (worm, zombie)
 Tác hại của virus
• Sau khi lây nhiễm vào máy, virus có thể làm máy tính
 hoạt động chậm, làm hỏng các file bị lây nhiễm, làm mất
 dữ liệu, gây lỗi hệ thống
• Virus cũng có thể sử dụng máy tính của nạn nhân để
 quảng cáo bất hợp pháp, gửi thư rác, gây khó chịu cho
 người sử dụng, gây mất an ninh thông tin, đánh cắp
 thông tin cá nhân, thông tin tài khoản, số thẻ tín dụng
• Một số loại virus còn lợi dụng máy tính của nạn nhân để
 tạo mạng botnet (mạng máy tính ma), dùng để tấn công
 hệ thống máy chủ, website khác
 Virus máy tính lây lan như thế nào?
• Lây qua mạng nội bộ (mạng LAN),
• Lây qua các file tải về từ Internet
• Lây qua email
• Lây từ các ổ đĩa USB.
• Lợi dụng các lỗ hổng phần mềm, kể cả hệ điều hành để
 xâm nhập, lây nhiễm lên máy tính thông qua mạng.
 Dấu hiệu nhận biết máy tính bị nhiễm virus?
• Truy xuất tập tin, mở các chương trình ứng dụng chậm.
• Khi duyệt web có các trang web lạ tự động xuất hiện.
• Duyệt web chậm, nội dung các trang web hiển thị trên
 trình duyệt chậm.
• Các trang quảng cáo tự động hiện ra (pop up), màn hình
 Desktop bị thay đổi.
• Góc phải màn hình xuất hiện cảnh báo tam giác màu
 vàng: “Your computer is infected”, hoặc xuất hiện cửa sổ
 “Virus Alert”
• Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB.
• Xuất hiện các file có phần mở rộng .exe có tên trùng với
 tên các thư mục.
• vv.
 Con ngựa Thành Tơ-roa - Trojan Horse
• Điển tích: cuộc chiến giữa người Hy Lạp và người thành
 Tơ-roa.
• Phương pháp trên cũng chính là cách mà các Trojan
 máy tính áp dụng.
 – Khác với virus, Trojan là một đoạn mã chương
 trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN.
 • Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa đối
 phương sử dụng chương trình của mình hoặc ghép
 Trojan đi kèm với các virus (đặc biệt là các virus dạng
 Worm) để xâm nhập, cài đặt lên máy nạn nhân.
 • Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin
 quan trọng trên máy tính của nạn nhân như số thẻ tín
 dụng, mật khẩu... để gửi về cho chủ nhân của nó ở trên
 mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình
 trước.
 Con ngựa Thành Tơ-roa - Trojan Horse
• Bên cạnh các Trojan ăn cắp thông tin truyền thống, một
 số Trojan mang tính chất riêng biệt như sau:
 – Backdoor: Loại Trojan sau khi được cài đặt vào máy
 nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ
 tấn công (hacker) có thể kết nối từ xa tới máy nạn
 nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn
 công đưa ra.
 – Phần mềm quảng cáo bất hợp pháp (Adware) và
 phần mềm gián điệp (Spyware) : Gây khó chịu cho
 người sử dụng khi chúng cố tình thay đổi trang web
 mặc định (home page), các trang tìm kiếm mặc định
 (search page) hay liên tục tự động hiện ra (popup)
 các trang web quảng cáo khi bạn đang duyệt web.
 Sâu Internet – Worm
• Là loại chương trình có khả năng tự sao chép và tự gửi
 bản sao chép đó từ máy này sang máy khác thông qua
 đường truyền mạng. Tại máy nạn nhân, Worm sẽ thực
 thi các chức năng theo ý đồ “xấu” của người tạo ra nó.
• Worm kết hợp cả sức phá hoại của virus, đặc tính âm
 thầm của Trojan và hơn hết là sự lây lan đáng sợ mà
 những kẻ viết virus trang bị cho nó để trở thành một kẻ
 phá hoại với vũ khí tối tân.
 – VD: Mellisa hay Love Letter. Với sự lây lan đáng sợ
 theo cấp số nhân, trong vài tiếng đồng hồ, đã có thể
 lây lan tới hàng chục triệu máy tính trên toàn cầu
 làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc
 đường truyền Internet.
 Sâu Internet – Worm
• Cái tên của nó, Worm hay "Sâu Internet" cho ta hình
 dung ra việc những con virus máy tính "bò" từ máy tính
 này qua máy tính khác trên các "cành cây" Internet
• Để tự nhân bản, Worm sử dụng một số cơ chế mạng
 thông thường, VD:
 – E-mail: worm tự gửi bản copy của nó qua e-mail.
 – Khả năng thực thi từ xa: thực thi bản copy của nó
 trên một hệ thống khác.
 – Khả năng đăng nhập từ xa: đăng nhập từ xa vào một
 hê thống như một user, sau đó nó tự sử dụng lệnh để
 copy bản thân nó vào hệ thống nạn nhân
 Sâu Internet – Worm
• Worm thường được cài thêm nhiều tính năng đặc biệt.
 – khả năng định cùng một ngày giờ và đồng loạt từ các
 máy nạn nhân (hàng triệu máy) tấn công vào một địa
 chỉ nào đó.
 – Mang theo các BackDoor thả lên máy nạn nhân, cho
 phép chủ nhân của chúng truy nhập vào máy của nạn
 nhân và làm đủ mọi thứ như ngồi trên máy đó một
 cách bất hợp pháp.
• Ngày nay, khái niệm Worm đã được mở rộng, bao gồm:
 – Các virus lây lan qua mạng chia sẻ ngang hàng.
 – Các virus lây lan qua USB hay dịch vụ “chat”
 – Các virus khai thác các lỗ hổng phần mềm để lây lan.
 Các biện pháp phòng chống virus?
• “Phòng chống hơn là sửa chữa” là quy tắc vàng.
 – chọn một phần mềm diệt virus tốt để cài đặt và sử dụng
 thường xuyên, lâu dài cho máy tính của mình. Phần mềm
 diệt virus tốt phải đáp ứng 3 tiêu chí:
 • có bản quyền,
 • cập nhật phiên bản mới thường xuyên,
 • có hỗ trợ kỹ thuật trực tiếp từ nhà sản xuất khi có sự cố
 liên quan tới virus.
 – ???????????