Malware là gì? Lịch sử và các loại Malware phổ biến

0

[CapaPham.com] Các bạn đã quen với việc sử dụng thuật ngữ “Virus” trong máy tính, điện thoại… và vì thế thuật ngữ Virus này đã được đại diện cho hầu hết các phần mềm độc hại cho laptop/desktop (máy tính bàn) hoặc smartphone/tablet (máy tính bảng) của bạn. Nhưng bạn có biết rằng Virus chỉ là một dạng trong các phần mềm độc hại. Ngoài Virus ra còn có rất nhiều các phần mềm độc hại khác, mỗi phần mềm có hình thức hoạt động, cách kích hoạt và cách làm hại máy tính hoặc điện thoại của bạn khác nhau. 

Chúng có thể là phần mềm quảng cáo, có thể là phần mềm gián điệp đánh cắp thông tin, có thể “ăn” các tập tin (files) giá trị của bạn, thậm chí chúng có thể tống tiền bạn…

Hãy cùng chúng tôi tìm hiểu Malware là gì, lịch sử của malware, các loại malware phổ biến hiện nay. Ngoài ra chúng tôi còn giới thiệu một số phần mềm diệt virus, adware, spyware, trojan… chúng có thể là miễn phí (free) hoặc là bản có phí (premium)

MALWARES LÀ GÌ?

Hãy cùng tìm hiểu: Định nghĩa malwares, cơ chế hoạt động của malwares, các loại malwares phổ biến hiện nay…

Phần mềm độc hai Malwares là gì?

Khái niệm malwares

Malware hoặc phần mềm độc hại (viết tắt của cụm từ tiếng Anh: malicious software) là bất kỳ chương trình hoặc tệp nào có hại cho người dùng máy tính.

Malware bao gồm virus máy tính, worms, Trojan và phần mềm gián điệp (spyware)…

Các chương trình độc hại này có thể thực hiện nhiều chức năng, bao gồm ăn cắp, mã hóa hoặc xóa dữ liệu nhạy cảm, thay đổi hoặc chiếm đoạt các chức năng tính toán lõi và giám sát hoạt động máy tính của người dùng mà không được sự cho phép của họ.

Lịch sử của malwares

Vì sự phổ biến của Virus mà lịch sử của malware bắt đầu bằng virus

Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus:

Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính.

Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là “Pervading Animal” tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus.

Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.

Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay.

Năm 1986: Virus “the Brain”, virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây là loại “stealth virus” đầu tiên.

Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus “VirDem”. Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS.

Năm 1987: Virus đầu tiên tấn công vào command.com là virus “Lehigh”.

Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).

Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì “chán đời” (boresome).

Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.

Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus “Tequilla”. Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus.

Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ “Good Times” trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus_ là các cảnh báo giả về virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào “tinh thần trách nhiệm” của các người nhận được điện thư này để tạo ra sự luân chuyển.

Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook,…. Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point.

Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng “ILOVEYOU.txt.exe”. Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính.

Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.

Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút.

Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích.

Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ.

Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình…

Thuật ngữ malware lần đầu tiên được sử dụng bởi nhà khoa học máy tính và nghiên cứu bảo mật Yisrael Radai vào năm 1990. Tuy nhiên, phần mềm độc hại tồn tại lâu trước đó; một trong những ví dụ đầu tiên về phần mềm độc hại là vi rút Creeper vào năm 1971, được tạo ra như một thử nghiệm của kỹ sư BBN Technologies Robert Thomas.

Creeper được thiết kế để lây nhiễm các máy tính lớn trên ARPANET. Trong khi chương trình không thay đổi chức năng, hoặc lấy cắp hoặc xóa dữ liệu, chương trình chuyển từ mainframe này sang mainframe khác mà không được phép trong khi hiển thị một tin nhắn “I’m the creeper: Catch me if you can.”

Creeper sau đó bị thay đổi bởi nhà khoa học máy tính Ray Tomlinson, người đã bổ sung khả năng tự tái tạo virus và tạo ra con sâu máy tính đầu tiên được biết đến.

Khái niệm về phần mềm độc hại đã bắt nguồn từ ngành công nghiệp công nghệ và các ví dụ về virus và sâu bắt đầu xuất hiện trên các máy tính cá nhân của Apple và IBM vào đầu những năm 1980 trước khi được phổ biến rộng rãi sau sự ra đời của World Wide Web và internet thương mại vào những năm 1990.

Danh sách các đuôi tệp/tập tin (files) có khả năng di truyền và bị lây nhiễm malwares

Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm malwares:

Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công.

  • .bat: Microsoft Batch File (Tệp xử lí theo lô)
  • .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)
  • .cmd: Command file for Windows NT (Tệp thực thi của Windows NT)
  • .com: Command file (program) (Tệp thực thi)
  • .cpl: Control Panel extension (Tệp của Control Panel)
  • .doc: Microsoft Word (Tệp của chương trình Microsoft Word)
  • .exe: Executable File (Tệp thực thi)
  • .hlp: Help file (Tệp nội dung trợ giúp người dùng)
  • .hta: HTML Application (Ứng dụng HTML)
  • .js: JavaScript File (Tệp JavaScript)
  • .jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)
  • .lnk: Shortcut File (Tệp đường dẫn)
  • .msi: Microsoft Installer File (Tệp cài đặt)
  • .pif: Program Information File (Tệp thông tin chương trình)
  • .reg: Registry File
  • .scr: Screen Saver (Portable Executable File)
  • .sct: Windows Script Component
  • .shb: Document Shortcut File
  • .shs: Shell Scrap Object
  • .vb: Visual Basic File
  • .vbe: Visual Basic Encoded Script File
  • .vbs: Visual Basic File
  • .wsc: Windows Script Component
  • .wsf: Windows Script File
  • .wsh: Windows Script Host File
  • .{*}: Class ID (CLSID) File Extensions

Các hình thức lây nhiễm của malwares

Cơ chế hoạt động của malware:

Virus lây nhiễm theo cách cổ điển

Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.

Virus lây nhiễm qua thư điện tử

Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.

Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn.

Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.

Phương thực lây nhiễm qua thư điển tử bao gồm:

  • Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó ngưòi dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường được “trá hình” bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)
  • Lây nhiễm do mở một liên kết trong thư điện tử: Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.
  • Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này cũng thường khai thác các lỗi của hệ điều hành.

Virus lây nhiễm qua mạng Internet

Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay.

Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:

  • Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB…) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm…
  • Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó.
  • Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Winidow Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này.

Biến thể

Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó.

Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán.

MỘT SỐ MALWARE PHỔ BIẾN, CÁCH THỨC HOẠT ĐỘNG VÀ TÁC HẠI CỦA CHÚNG

Adware – Phần mềm quảng cáo

Adware - Phần mềm quảng cáo
Adware – Phần mềm quảng cáo

Adware là tên của một chương trình được thiết kế để hiển thị quảng cáo trên máy tính, điều hướng các yêu cầu tới website quảng cáo và thu thập các kiểu marketing data khác nhau. Ví dụ, các thông tin có thể là danh sách, thể loại website mà bạn thường truy cập để giúp phân phối hiển thị các quảng cáo tùy chỉnh.

Chúng ta sẽ cùng tìm hiểu làm cách nào để adware có thể xâm nhập vào máy tính của bạn, một số dấu hiệu máy tính của bạn bị nhiễm adware, tác hại của adware, và cách phòng chống cũng như cách xử lý khi máy tính của bạn bị nhiễm adware… tại bài viết sau.

Spyware – Phần mềm gián điệp

Spyware hay phần mềm gián điệp là thuật ngữ thường được sử dụng để chỉ các phần mềm thực hiện hành vi nhất định như quảng cáo, thu thập thông tin người dùng hoặc thay đổi cấu hình máy tính của bạn, nói chung là không có sự đồng thuận của người dùng.

Spyware - Phần mềm gián điệp
Spyware – Phần mềm gián điệp

 

Bạn gặp phần mềm gián điệp hay các phần mềm không mong muốn khi:

  1. Khi bạn thấy các pop-up quảng cáo bật lên trên màn hình máy tính ngay cả khi bạn không vào web.
  2. Các trang xuất hiện đầu tiên đầu tiên khi bạn mở trình duyêt (Homepage) hoặc những cài đặt các tìm kiếm mặc định trên trình duyệt bị thay đổi mà bạn không hề biết.
  3. Bạn thấy một thanh công cụ mới trong trình duyệt của bạn mà bạn không muốn và cảm thấy khó khăn để thoát khỏi nó.
  4. Máy tính của bạn chậm hơn bình thường, mất nhiều thời gian để thực hiện một việc hơn bình thường
  5. Kinh nghiệm cho thấy máy tính của bạn thường bị crash, màn hình xanh, hay không thể vào được windows.

Chúng ta sẽ cùng tìm hiểu làm cách nào để spyware có thể xâm nhập vào máy tính của bạn, một số dấu hiệu máy tính của bạn bị nhiễm spyware, tác hại của spyware, và cách phòng chống cũng như cách xử lý khi máy tính của bạn bị nhiễm spyware… tại bài viết sau.

Virus

Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính…).

Virus máy tinh
Virus máy tính

Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng bạn chỉ cần nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó thường dùng để phục vụ những mục đích không tốt.

Virus máy tính là do con người tạo ra. Quả thực cho đến ngày nay, chúng ta có thể coi virus máy tính như mầm mống gây dịch bệnh cho những chiếc máy tính, chúng ta là những người bác sĩ phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng. Như những vấn đề phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh mà chúng ta phải dày công nghiên cứu mới trị được hoặc cũng có những loại bệnh gây ra những hậu quả khôn lường. Chính vì vậy, “phòng hơn chống” là phương châm cơ bản và luôn đúng đối với virus máy tính.

Worm – Sâu máy tính

Worm - Sâu máy tính
Worm – Sâu máy tính

Worm Có khả năng tự nhân bản trên chính nó mà không cần cấy vào một tập tin lưu trữ. Chúng còn thường sử dụng Internet để lây lan, do đó gây thiệt hại nghiêm trọng cho một mạng lưới về tổng thể, trong khi virus thường chỉ nhắm vào các tập tin trên máy tính bị nhiễm. Worm lây lan chủ yếu là do các lỗ hổng bảo mật của hệ thống. Vì vậy, để phòng ngừa, bạn cần cài đặt các bản cập nhật an ninh mới nhất cho hệ điều hành của máy tính.

Trojan hay Trojan Horse – Phần mềm ngụy trang

Theo truyền thuyết, người Hy Lạp đã giành chiến thắng trong cuộc chiến thành Troy bằng cách ẩn trong một con ngựa khổng lồ bằng gỗ rỗng lẻn vào thành Troy kiên cố. Trong thế giới máy tính ngày nay, một Trojan horse được định nghĩa là một “chương trình độc hại ngụy trang như một cái gì đó được cho là lành tính“.

Trojan Horse - Phần mềm ngụy trang
Trojan Horse – Phần mềm ngụy trang

Ví dụ, bạn tải về những chương trình đơn giản như một bộ phim hay tập tin âm nhạc, nhưng khi bạn click vào nó, bạn có thể mở ra một chương trình nguy hiểm xóa đĩa cứng của bạn, gửi số thẻ tín dụng và mật khẩu của bạn với một người lạ, hoặc cho phép người lạ chiếm quyền điều khiển máy tính của bạn hay trở thành một phần tử trong mạng botnet để góp phần vào một cuộc tấn công DDoS.

Ransomware – Phần mềm tống tiền

Ransomware hay còn gọi là phần mềm tống tiền là một loại phần mềm độc hại có thể xuất hiện theo một vài cách khác nhau, ảnh hưởng đến các hệ thống cá nhân cũng như mạng lưới doanh nghiệp, bệnh viện, sân bay và cơ quan chính phủ.

Ransomware - Phần mềm tống tiền
Ransomware – Phần mềm tống tiền

Trong khi các định dạng đơn giản, thường là các ransomware không mã hóa, các ransomware hiện đại sử dụng các phương pháp mã hóa để mã hóa các tệp, khiến chúng không thể truy cập được. Ransomware mã hóa cũng có thể được sử dụng trên ổ đĩa cứng như một cách để khóa hoàn toàn hệ điều hành máy tính, ngăn chặn nạn nhân truy cập vào nó. Mục tiêu cuối cùng là thuyết phục các nạn nhân trả tiền chuộc giải mã – thường được yêu cầu bằng các loại tiền kỹ thuật số khó theo dõi (như Bitcoin hoặc các loại tiền điện tử khác). Tuy nhiên, không có đảm bảo rằng các khoản thanh toán sẽ được vinh danh bởi những kẻ tấn công.

Sự phổ biến của ransomware đã tăng đáng kể trong thập kỷ qua (đặc biệt là vào năm 2017) và là một cuộc tấn công mạng có động cơ tài chính, nó hiện là mối đe dọa phần mềm độc hại nổi bật nhất trên thế giới – theo báo cáo của Europol (IOCTA 2018).

Các nạn nhân bị tống tiền như thế nào?

Phishing (email và đường dẫn giả mạo)

Phishing - Tấn công giả mạo
Phishing – Tấn công giả mạo

Một hình thức lừa đảo sử dụng kỹ thuật xã hội thường gặp. Trong bối cảnh các phần mềm tống tiền, email phishing là một trong những hình thức phân phối phần mềm độc hại phổ biến nhất. Các nạn nhân thường bị lây nhiễm thông qua các tệp đính kèm email bị xâm nhập hoặc các liên kết giả mạo các liên kết hợp pháp. Trong một mạng lưới máy tính, chỉ cần một máy trở thành nạn nhân có thể kéo theo cả tổ chức.

Exploit Kit

Exploit Kit
Exploit Kit

Một gói được tạo từ nhiều công cụ độc hại khác nhau và mã khai thác được viết sẵn. Các bộ công cụ này được thiết kế để khai thác các vấn đề và lỗ hổng trong các ứng dụng phần mềm và hệ điều hành như một cách để lây lan phần mềm độc hại (các hệ thống không an toàn chạy phần mềm lỗi thời là các mục tiêu phổ biến nhất).

Malvertising (sử dụng mạng quảng cáo)

Malvertising - Quảng cáo độc hại

Kẻ tấn công sử dụng các mạng quảng cáo để lây lan phần mềm tống tiền.

Các vụ tấn công ransomware điển hình:

  • GrandCrab (2018)
  • WannaCry (2017)
  • Bad Rabbit (2017)
  • Locky (2016)

Rootkit – Phần mềm tàng hình

Rootkit Chủ động “tàng hình” khỏi cặp mắt của người dùng, hệ điều hành và các chương trình anti-virus/anti-malware, rootkit là phần mềm độc hại rất khó bị phát hiện. Rootkit có thể được cài đặt bằng nhiều cách bao gồm việc khai thác lỗ hổng trong hệ điều hành hoặc lấy quyền quản trị máy tính.

Rootkit - Phần mềm tàn hình
Rootkit – Phần mềm tàn hình

Sau khi được cài đặt và có quyền quản trị đầy đủ, rootkit sẽ tự ẩn đi và thay đổi hiện trạng của hệ điều hành cũng như các phần mềm nhằm ngăn chặn việc bị phát hiện trong tương lai. Rootkit sẽ tắt chương trình diệt virus hoặc tự cấy vào lõi của hệ điều hành, do đó có khi lựa chọn duy nhất của bạn là phải cài đặt lại toàn bộ hệ điều hành.

Nhiều dòng phần mềm độc hại hiện đại sử dụng rootkit để cố gắng tránh bị phát hiện và xóa bỏ, các dòng phần mềm đó là:

  • Alureon
  • Sirefef
  • Rustock
  • Sinowal
  • Cutwail

Keylogger – Trình theo dõi thao tác bàn phím

Giải thích một cách đơn giản, Keylogger (KL) là một công cụ được thiết kế để theo dõi mọi thao tác thực hiện trên bàn phím máy tính thông qua một chương trình phần mềm hoặc thiết bị phần cứng. Hoạt động ghi lại thao tác bàn phím này còn được gọi là keylogging hoặc keystroke logging (trình theo dõi thao tác bàn phím).

Keylogger - Trình theo dõi thao tác bàn phím
Keylogger – Trình theo dõi thao tác bàn phím

Trong nhiều trường hợp, Keylogger được các mã độc cài đặt âm thầm lên máy người dùng, sau khi thâm nhập thành công máy tính của người dùng. Đoạn mã độc này có thể mang sẵn trong mình chức năng của một phần mềm Keylogger nhỏ gọn – hoặc nó có thể hoạt động như một Trojan, tiến hành tải về và cài đặt gói Keylogger một cách âm thầm, thậm chí là kèm theo nhiều phần mềm độc hại khác. Thường thì các mã độc cũng sẽ tự động thiết lập một kênh để gửi thông tin mà Keylogger thu được về cho “chủ nhân”. Có thể nói Keylogger là một trong những công cụ được tin tặc ưa chuộng nhất bởi chúng có thể thu được mọi loại thông tin của người dùng bằng phương pháp này.

Ngoài kênh xâm nhập bằng mã độc, đa số các trường hợp máy nhiễm Keylogger còn lại xuất phát từ người thân muốn theo dõi nhau, hoặc người quản lý muốn theo dỗi nhân viên, và thường sử dụng các gói phần mềm quản lý (parental controls), trong đó thường không khó để tìm ra chức năng tương tự Keyloggers.

Malicious Cryptomining

Malicious Cryptomining hay còn được gọi là drive-by mining hoặc Cryptojacking là hai khái niệm đang khuấy động công đồng mạng toàn cầu vì nguy cơ lan truyền rất nhanh trong mạng lưới PC nhằm mục đích đào tiền ảo.

Đào tiền ảo – Crypto mining – là vận hành một thuật toán cao cấp sử dụng nguồn lực hệ thống có sẵn để tìm kiếm những đồng tiền ảo. Để tiết kiệm nguồn lực, những kẻ đào tiền ảo tìm cách lợi dụng những người sử dụng hệ thống và thiết bị mà họ không hề biết. Thông thường, các trình duyệt chính là công cụ để thực hiện công cuộc đào tiền ảo, và cũng từ đó chúng ta sẽ cùng nghiên cứu cách thức ngăn ngừa lợi dụng.

Malicious Cryptomining
Malicious Cryptomining

Hacker có thể sử dụng một vài website và trình duyệt PC để sử dụng cho crypto mining. Với bất kỳ laptop hay desktop nào, có những dấu hiệu cho thấy việc đào tiền ảo đang diễn ra. Trước hết, check  CPU usage của trình duyệt trong Task Manager hay Resource Monitor của Window, và Activity Monitor của Mac. Chỉ số này chỉ khoảng 1% – 10% nếu vào các website bình thường trừ game online.

Cryptojacking
Cryptojacking

Các mã độc đào tiền ảo bị lây nhiễm qua website, do đó nếu có sự tăng vọt trong hiệu suất CPU khi bạn ghé qua một vài đường link đặc biệt, bạn cần phải cẩn trọng. Không chỉ CPU, nếu nhận thấy sự thay đổi đang ngờ với GPU hệ thống, những động thái bên dưới cần được triển khai ngay.

Spoofing

IP spoofing là gì?

Khi một máy tính ở bên ngoài hệ thống mạng của bạn “giả vờ” là một máy tính đáng tin cậy trong hệ thống, hành động này của kẻ tấn công được gọi là IP Spoofing. Để truy cập vào hệ thống mạng của bạn, máy tính bên ngoài phải “giành” được một địa chỉ IP tin cậy trên hệ thống mạng. Vì vậy kẻ tấn công phải sử dụng một địa chỉ IP nằm trong phạm vi hệ thống mạng của bạn. Hoặc cách khác là kẻ tấn công có thể sử dụng một địa chỉ IP bên ngoài nhưng đáng tin cậy trên hệ thống mạng của bạn. Các địa chỉ IP có thể được hệ thống tin tưởng là bởi vì các địa chỉ này có các đặc quyền đặc biệt trên các nguồn tài nguyên quan trọng trên hệ thống mạng.

IP spoofing
IP spoofing

Một số cách tấn công khác nhau của IP Spoofing? – Tấn công dữ liệu hoặc thiết lập các lệnh tồn tại trên dòng dữ liệu đang được chuyển đổi giữa một client và ứng dụng Server (máy chủ). – Tấn công dữ liệu hoặc các lệnh trong kết nối mạng ngang hàng (peer-to-peer). Tuy nhiên kẻ tấn công cũng phải thay đổi bảng định tuyến (routing table) trên hệ thống mạng. Việc thay đổi bảng định tuyến (routing table) trên hệ thống mạng cho phép kẻ tấn công có được thông tin liên lạc 2 chiều . Với mục đích này, kẻ tấn công “nhắm” vào tất cả bảng định tuyến (routing table) thành địa chỉ IP giả mạo. Một khi bảng định tuyến (routing table) đã thay đổi, những kẻ tấn công bắt đầu nhận tất cả các dữ liệu được chuyển từ hệ thống mạng đến địa chỉ IP giả mạo. Thậm chí những kẻ giả mạo này có thể phản hồi lại các gói dữ liệu giống như một người dùng tin cậy.

DDoS

Denial of Service (DOS) (tấn công từ chối dịch vụ) là gì?

Bạn có thể nghĩ rằng cuộc tấn công từ chối dịch vụ (DoS) chính là phiên bản chỉnh sửa các địa chỉ IP Spoofing. Không giống như IP Spoofing, trong cuộc tấn công từ chối dịch vụ (DoS), kẻ tấn công không cần phải lo lắng về việc nhận được bất kỳ một phản hồi từ máy chủ mà họ nhắm đích đến. Kẻ tấn công sẽ tấn công hệ thống theo kiểu Flood bằng rất nhiều yêu cầu, khiến hệ thống trở nên “bận rộn” hồi đáp lại các yêu cầu.

Denial of Service (DOS)
Denial of Service (DOS)

Nếu bị tấn công theo dạng này, các máy chủ bị nhắm đích đến sẽ nhận được một TCP SYN và đáp lại một SYN-ACK. Sau khi gửi một SYN-ACK, kẻ tấn công chờ hồi đáp để hoàn thành việc bắt tay TCP – quá trình không bao giờ xảy ra. Do đó trong quá trình chờ hồi đáp, kẻ tấn công sẽ sử dụng các tài nguyên hệ thống và thậm chí là máy chủ không có quyền trả lời các yêu cầu hợp pháp khác.

Backdoor – Cửa hậu

Backdoor, gọi đầy đủ là crypto backdoor có nghĩa là “cửa hậu” hay lối vào phía sau. Trong một hệ thống máy tính, “cửa hậu” tức là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, cố gắng không bị phát hiện bởi việc giám sát thông thường.

Backdoor - Cửa hậu
Backdoor – Cửa hậu

Cửa hậu có thể ẩn mình dưới hình thức một chương trình được cài đặt (ví dụ: Back Orifice) hoặc có thể là một sửa đổi đối với một chương trình hợp pháp – đó là khi nó đi kèm với Trojan. Backdoor thường là một đoạn mã nằm trong phần mềm, hoặc phần mềm nằm trong một phần cứng cho phép truy cập hệ thống từ xa nhằm lấy thông tin, hỗ trợ, phân tích hoặc dùng cho các mục đích khác. Backdoor thường không được thông báo cho người dùng, vậy nên người dùng sẽ không hề biết đến sự tồn tại của backdoor cho đến khi bị phát hiện.

Các backdoor nguy hiểm nhất mọi thời đại:

– Back Orifice

– DSL Backdoor

– Backdoor mã hoá toàn bộ ổ đĩa dữ liệu

– Backdoor ẩn trong các plug-in lậu của WordPress

– Backdoor trong các plug-in của Joomla

– Backdoor ProFTPD

– “Cửa hậu” Borland Interbase

– Backdoor có trên cả Linux

– Mã cửa sau tcpdump

– Backdoor phần cứng TAO của NSA

– Windows _NSAKEY backdoor

– Dual Elliptic Curve backdoor

Bot, botnet

Botnet thuật ngữ đầy đủ là “Bots network” dùng để chỉ một mạng lưới các máy tính bị chi phối bởi ai đó và bị điều khiển bởi một con máy tính khác từ xa. Botnet là một phần mềm độc hại, đa phần các máy tính đều bị nhiễm bởi một Bot nào đó mà chúng ta không thể nào phát hiện được.

Bot, botnet
Bot, botnet

Các máy tính đang bị nhiễm Botnet nôm na đều gọi là các “Zombie”. Máy tính bị nhiễm sẽ bị chi phối bởi một Botmaster ở trên và điều khiển mọi hoạt động của máy tính đang dính mã độc làm cản trở hoạt động, gián đoán gây mất nhiều thời gian, giảm năng suất công việc của người dùng.

Cách chúng ta trở thành nạn nhân của nó giống như việc bị lây nhiễm malware, và cách thức chiếm và sử dụng dữ liệu đánh cắp cũng chỉ với mục đích riêng của hacker

Spam

Spam
Spam

Spam với tên gọi đầy đủ của nó là Stupid Pointless Annoying Messages với các ý nghĩa được hiểu thoáng qua là “Những bức thư ngu ngốc, phiền toái, không giá trị, …” để ám chỉ những thư gửi đi với số lượng nhiều và lặp đi lặp lại nhiều lần không có giá trị gây phiền toái đến người dùng cho dù muốn hay không cũng phải nhận lấy nó => những cái gửi đi hoàn toàn vô nghĩa.

Các dạng malware khác

Bên trên là tổng hợp một số malware phổ biến. Còn có nhiều malware khác đã, đang và sẽ xuất hiện và chúng luôn là mối nguy hiểm dành cho người dùng máy tính, điện thoại.

MỘT SỐ CHƯƠNG TRÌNH HẠN CHẾ, TÌM DIỆT MALWARES PHỔ BIẾN NHẤT HIỆN NAY

Bên dưới liệt kê một số phần mềm phổ biến diệt malware (virus, spyware, adware…) miễn phí (free) và có phí (premium):

  • Avast Free Antivirus
  • Kaspersky
  • Norton
  • Bitdefender
  • ESET Smart Security
  • Avira
  • Sophos Home
  • Windows Defender
  • BKAV
  • Malwarebytes

Bên trên là khái niệm malware, một số malware phổ biến và giới thiệu một số phần mềm diệt virus, trojan, spyware, adware,… phổ biến.

Liên Quan

BÌNH LUẬN

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây