Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo trình FPT

Bài 2:Phần mềm độc hại và các dạngtấn công sử dụng kỹ nghệ xã hội

Củng cố lại bài 1

Những thử thách trong bảo mật thông tinNhững cuộc tấn công hiện nay, Những khó khăn

Bảo mật thông tin là gì?Định nghĩa, Các thuật ngữ, Tầm quan trọng

Những kẻ tấn công là ai?6 loại kẻ tấn công

Tấn công và Phòng thủ5 bước của một cuộc tấn công5 nguyên tắc cơ bản của phòng thủ

Những thử thách trong bảo mật thông tinNhững cuộc tấn công hiện nay, Những khó khăn

Bảo mật thông tin là gì?Định nghĩa, Các thuật ngữ, Tầm quan trọng

Những kẻ tấn công là ai?6 loại kẻ tấn công

Tấn công và Phòng thủ5 bước của một cuộc tấn công5 nguyên tắc cơ bản của phòng thủ

Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 2

Mục tiêu của bài học

Mô tả sự khác nhau giữa vi rút và sâu máy tính

Liệt kê các kiểu phần mềm độc hại giấu mình

Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi


Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi

Mô tả các kiểu tấn công tâm lý sử dụng kỹ nghệ xã hội

Giải thích các vụ tấn công vật lý sử dụng kỹ nghệ xãhội

Tấn công sử dụngphần mềm độc hại

Phần mềm độc hại (malware)Xâm nhập vào hệ thống máy tính:

Không được sự hay biết hay đồng ý của chủ nhânDùng để chỉ một loạt các phần mềm gây hại hoặc gâyphiền nhiễu

Mục đích chính của phần mềm độc hạiLây nhiễm các hệ thốngChe dấu mục đíchThu lợi

Phần mềm độc hại (malware)Xâm nhập vào hệ thống máy tính:

Không được sự hay biết hay đồng ý của chủ nhânDùng để chỉ một loạt các phần mềm gây hại hoặc gâyphiền nhiễu

Mục đích chính của phần mềm độc hạiLây nhiễm các hệ thốngChe dấu mục đíchThu lợi


Phần mềm độc hại lan truyền

Phần mềm độc hại lan truyềnDạng phần mềm độc hại nhắm tới mục tiêu chủ yếu là lantruyền

Có hai dạng phần mềm độc hại lan truyền:Vi rút (virus)Sâu (worm)


Phần mềm độc hại lan truyền- Vi rút

Vi rút (virus)Là các mã máy tính nguy hiểm, có khả năng tái tạo trêncùng máy tính

Các phương thức lây nhiễm vi rútLây nhiễm kiểu gắn kết phía sauLây nhiễm kiểu pho-mat Thụy SĩLây nhiễm kiểu phân tách

Vi rút (virus)Là các mã máy tính nguy hiểm, có khả năng tái tạo trêncùng máy tính

Các phương thức lây nhiễm vi rútLây nhiễm kiểu gắn kết phía sauLây nhiễm kiểu pho-mat Thụy SĩLây nhiễm kiểu phân tách


Phần mềm độc hại lan truyền- Vi rút (tiếp)

Khi chương trình nhiễm vi rút được khởi động:Tự nhân bản (lây lan sang các file khác trên máy tính)Kích hoạt chức năng phá hoại

hiển thị một thông điệp gây phiền nhiễuthực hiện một hành vi nguy hiểm hơn

Các ví dụ về hoạt động của vi rútLàm cho máy tính lặp đi lặp lại một sự cốXóa các file hoặc định dạng lại ổ cứngTắt các thiết lập bảo mật của máy tính

Khi chương trình nhiễm vi rút được khởi động:Tự nhân bản (lây lan sang các file khác trên máy tính)Kích hoạt chức năng phá hoại

hiển thị một thông điệp gây phiền nhiễuthực hiện một hành vi nguy hiểm hơn

Các ví dụ về hoạt động của vi rútLàm cho máy tính lặp đi lặp lại một sự cốXóa các file hoặc định dạng lại ổ cứngTắt các thiết lập bảo mật của máy tính




Hình 2-4 Một thông điệp phiền nhiễu do vi rút gây ra© Cengage Learning 2012


Vi rút không thể tự động lây lan sang máy tính khácNó phụ thuộc vào hành động của người dùng để lây lan

Các vi rút được đính kèm theo fileVi rút lan truyền bằng cách truyền nhận các file bị nhiễmvi rút



Các loại vi rút máy tínhVi rút chương trình (program virus)

Lây nhiễm các file thực thiVi rút macro (macro virus)

Thực thi một đoạn mã kịch bảnVi rút thường trú (resident virus)

Vi rút lây nhiễm các file do người dùng hoặc hệ điều hànhmở ra

Vi rút khởi động (boot virus)Lây nhiễm vào Master Boot Record

Vi rút đồng hành (companion virus)Chèn thêm các chương trình độc hại vào hệ điều hành

Các loại vi rút máy tínhVi rút chương trình (program virus)

Lây nhiễm các file thực thiVi rút macro (macro virus)

Thực thi một đoạn mã kịch bảnVi rút thường trú (resident virus)

Vi rút lây nhiễm các file do người dùng hoặc hệ điều hànhmở ra

Vi rút khởi động (boot virus)Lây nhiễm vào Master Boot Record

Vi rút đồng hành (companion virus)Chèn thêm các chương trình độc hại vào hệ điều hành


Phần mềm độc hại lan truyền- Sâu

Sâu (Worm)Chương trình độc hạiKhai thác các lỗ hổng ứng dụng hoặc hệ điều hànhGửi các bản sao của chính mình sang các thiết bị mạngkhác

Sâu có thể:Sử dụng các tài nguyênĐể lại một đoạn mã để làm hại hệ thống bị lây nhiễm

Các ví dụ về hoạt động của sâuXóa các file trên máy tínhCho phép kẻ tấn công có thể điều khiển máy tính bị hạitừ xa

Sâu (Worm)Chương trình độc hạiKhai thác các lỗ hổng ứng dụng hoặc hệ điều hànhGửi các bản sao của chính mình sang các thiết bị mạngkhác

Sâu có thể:Sử dụng các tài nguyênĐể lại một đoạn mã để làm hại hệ thống bị lây nhiễm

Các ví dụ về hoạt động của sâuXóa các file trên máy tínhCho phép kẻ tấn công có thể điều khiển máy tính bị hạitừ xa


Phần mềm độc hại lan truyềnVirus và Sâu

Hành động vi rút Sâu

Lây lan sangcác máy tínhkhác

Do gười dùng truyềnnhững file bị lây nhiễmsang máy tính khác

Sử dụng hệ thốngmạng để di chuyểnsang máy tính khác

Cách thức hoạtđộng

chèn mã của nó vào trongfile

Khai thác các lỗ hổngcủa ứng dụng hoặchệ điều hành


Bảng 2-1 Sự khác nhau giữa vi rút và sâu

Cách thức hoạtđộng

chèn mã của nó vào trongfile

Khai thác các lỗ hổngcủa ứng dụng hoặchệ điều hành

Cần tác độngtừ phía ngườidùng

Có Không

Khả năng điềukhiển từ xa

Không Có

Phần mềm độc hại giấu mình

Phần mềm độc hại giấu mình (concealing malware)Dạng phần mềm độc hại có mục tiêu chính là che giấu sựcó mặt của chúng trước người dùngKhác hẳn với việc lan truyền nhanh như vi rút và sâu.

Các dạng phần mềm độc hại giấu mình bao gồm cácTrojanRootkitBom lôgíc (logic bomb)Cửa hậu (backdoor)

Phần mềm độc hại giấu mình (concealing malware)Dạng phần mềm độc hại có mục tiêu chính là che giấu sựcó mặt của chúng trước người dùngKhác hẳn với việc lan truyền nhanh như vi rút và sâu.

Các dạng phần mềm độc hại giấu mình bao gồm cácTrojanRootkitBom lôgíc (logic bomb)Cửa hậu (backdoor)


Phần mềm độc hại giấu mình- Trojan

Trojan (ngựa thành Troy)Là chương trình thực hiện những mục đích nằm ngoàinhững điều quảng cáoThường thực thi các chương trình

Chứa các mã ẩn để thực hiện việc tấn côngĐôi khi có thể ở dạng một file dữ liệuVí dụ

Người dùng tải và sử dụng chương trình “free calendarprogram”Chương trình này sẽ quét hệ thống để tìm số tài khoản tíndụng và mật khẩuChuyển thông tin thu thập được cho kẻ tấn công qua mạng

Trojan (ngựa thành Troy)Là chương trình thực hiện những mục đích nằm ngoàinhững điều quảng cáoThường thực thi các chương trình

Chứa các mã ẩn để thực hiện việc tấn côngĐôi khi có thể ở dạng một file dữ liệuVí dụ

Người dùng tải và sử dụng chương trình “free calendarprogram”Chương trình này sẽ quét hệ thống để tìm số tài khoản tíndụng và mật khẩuChuyển thông tin thu thập được cho kẻ tấn công qua mạng


Phần mềm độc hại giấu mình- Rootkit

Rootkit (công cụ gốc)Là các công cụ phần mềm được kẻ tấn công sử dụng đểche dấu các hành động hoặc sự hiện diện của các phầnmềm độc hại khác (trojan, sâu…)Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mụcnhật kýCó thể thay đổi hoặc thay thế các file của hệ điều hànhbằng các phiên bản sửa đổi:

Được thiết kế chuyên để che dấu các hành vi gây hại

Rootkit (công cụ gốc)Là các công cụ phần mềm được kẻ tấn công sử dụng đểche dấu các hành động hoặc sự hiện diện của các phầnmềm độc hại khác (trojan, sâu…)Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mụcnhật kýCó thể thay đổi hoặc thay thế các file của hệ điều hànhbằng các phiên bản sửa đổi:

Được thiết kế chuyên để che dấu các hành vi gây hại


Phần mềm độc hại giấu mình- Rootkit (tiếp)

Có thể phát hiện Rootkit bằng cách sử dụng các chươngtrình so sánh nội dung file với file gốc ban đầuRootkit hoạt động ở mức thấp trong hệ điều hành:

Có thể rất khó phát hiệnViệc loại bỏ rootkit có thể rất khó khăn

Khôi phục các file gốc của hệ điều hànhĐịnh dạng và cài đặt lại hệ điều hành

Có thể phát hiện Rootkit bằng cách sử dụng các chươngtrình so sánh nội dung file với file gốc ban đầuRootkit hoạt động ở mức thấp trong hệ điều hành:

Có thể rất khó phát hiệnViệc loại bỏ rootkit có thể rất khó khăn

Khôi phục các file gốc của hệ điều hànhĐịnh dạng và cài đặt lại hệ điều hành


Phần mềm độc hại giấu mình- Bom lô gíc

Bom lôgic (logic bom)Mã máy tính ở trạng thái “ngủ đông”

Được kích hoạt bởi một sự kiện lôgic xác địnhSau đó thực hiện các hành vi phá hoại

Rất khó phát hiện cho tới khi được kích hoạtĐôi khi, bom lôgíc được các hãng phần mềm hợp phápsử dụng để đảm bảo việc chi trả cho phần mềm của họ.

Nếu việc chi trả không được thực hiện đúng hạn, bomlôgíc sẽ được kích hoạt và ngăn chặn không cho dùngphần mềm nữa.Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏphần mềm, các file về khách hàng, cùng bảng chi trảkèm theo.

Bom lôgic (logic bom)Mã máy tính ở trạng thái “ngủ đông”

Được kích hoạt bởi một sự kiện lôgic xác địnhSau đó thực hiện các hành vi phá hoại

Rất khó phát hiện cho tới khi được kích hoạtĐôi khi, bom lôgíc được các hãng phần mềm hợp phápsử dụng để đảm bảo việc chi trả cho phần mềm của họ.

Nếu việc chi trả không được thực hiện đúng hạn, bomlôgíc sẽ được kích hoạt và ngăn chặn không cho dùngphần mềm nữa.Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏphần mềm, các file về khách hàng, cùng bảng chi trảkèm theo.


Phần mềm độc hại giấu mình(tiếp tục.)

Mô tả Lý do tấn công Hậu quả

Bom lôgic, phát tán trongmạng cung cấp dịch vụtài chính, xóa sạch dữliệu quan trọng của 1000máy tính

Một nhân viên bất mãnmuốn làm giảm giá trị cổphiếu của công ty; đểkiếm lợi từ việc giảm giáđó.

Bom lôgic đã phát nổ,nhân viên đó đã phảichịu mức án 8 năm tù,và phải bồi thường 3.1triệu đô la.

Một nhà thầu quốcphòng thiết kế một bomlôgic nhằm xóa sạch cácdữ liệu quan trọng về tênlửa

Nhà thầu đó muốn đượcthuê để phá bom lôgicvới mức lương cao

Bom lôgic đã được pháthiện và vô hiệu hóa; nhàthầu bị buộc tội giả mạovà lừa đảo, bị phạt 5000đô la.


Bảng 2-2 Các bom lôgic nổi tiếng

Một nhà thầu quốcphòng thiết kế một bomlôgic nhằm xóa sạch cácdữ liệu quan trọng về tênlửa

Bom lôgic đã được pháthiện và vô hiệu hóa; nhàthầu bị buộc tội giả mạovà lừa đảo, bị phạt 5000đô la.

Một bom logic đã phátnổ tại công ty dịch vụsức khỏe vào đúng ngàysinh nhật của nhân viên.

Nhân viên đó bực tức vìnghĩ mình có thể bị sathải (mặc dù thực tế anhta không bị sa thải)

Nhân viên đó đã bị kếtán 30 tháng tù và phảibồi thường 81.200 đô la

Phần mềm độc hại giấu mình- Cửa hậu

Cửa hậu (Backdoor)Mã phần mềm có mục đích né tránh các thiết lập bảo mậtCho phép chương trình có thể truy cập nhanh chóngThường do các lập trình viên tạo ra

Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tấtTuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấncông đã dùng chúng để qua mặt (bypass) bảo mật .

Các phần mềm độc hại từ những kẻ tấn công cũng cóthể cài đặt cửa hậu lên máy tính.

Cách làm này cho phép những kẻ tấn công sau đó quaylại máy tính, và qua mặt mọi thiết lập bảo mật.

Cửa hậu (Backdoor)Mã phần mềm có mục đích né tránh các thiết lập bảo mậtCho phép chương trình có thể truy cập nhanh chóngThường do các lập trình viên tạo ra

Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tấtTuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấncông đã dùng chúng để qua mặt (bypass) bảo mật .

Các phần mềm độc hại từ những kẻ tấn công cũng cóthể cài đặt cửa hậu lên máy tính.

Cách làm này cho phép những kẻ tấn công sau đó quaylại máy tính, và qua mặt mọi thiết lập bảo mật.


Phần mềm độc hạinhằm kiếm lợi

Các kiểu phần mềm độc hại nhằm kiếm lợiBotnetPhần mềm gián điệp (Spyware)Phần mềm quảng cáo (Adware)Bộ ghi lưu bàn phím (KeyLogger)


Phần mềm độc hại nhằm kiếm lợi- Botnet

BotnetMáy tính bị lây nhiễm chương trình cho phép kẻ tấn côngcó thể điều khiển từ xa

Thường là các mã của Trojan, sâu, và vi rútMáy tính bị lây nhiễm được gọi là thây ma (zombie)Một nhóm các máy tính thây ma được gọi là botnet

Ban đầu, những kẻ tấn công sử phần mềm InternetRelay Chat để điều khiển các máy tính thây ma

Hiện nay, chúng sử dụng HTTP

Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội

BotnetMáy tính bị lây nhiễm chương trình cho phép kẻ tấn côngcó thể điều khiển từ xa

Thường là các mã của Trojan, sâu, và vi rútMáy tính bị lây nhiễm được gọi là thây ma (zombie)Một nhóm các máy tính thây ma được gọi là botnet

Ban đầu, những kẻ tấn công sử phần mềm InternetRelay Chat để điều khiển các máy tính thây ma

Hiện nay, chúng sử dụng HTTP

21

Phần mềm độc hại nhằm kiếm lợi- Botnet (tiếp)

Lợi ích của Botnet đối với những kẻ tấn côngHoạt động ở chế độ nền:

Thường không có biểu hiện của sự tồn tạiCung cấp phương tiện để che dấu hành vi của kẻ tấn côngCó thể duy trì hoạt động trong nhiều nămTrong một thời điểm, kẻ tấn công có thể truy cập tới nhiềuthây ma

Do sự gia tăng không ngừng của các dịch vụ trên Internet


Lợi ích của Botnet đối với những kẻ tấn côngHoạt động ở chế độ nền:

Thường không có biểu hiện của sự tồn tạiCung cấp phương tiện để che dấu hành vi của kẻ tấn côngCó thể duy trì hoạt động trong nhiều nămTrong một thời điểm, kẻ tấn công có thể truy cập tới nhiềuthây ma

Do sự gia tăng không ngừng của các dịch vụ trên Internet

22

Kiểu tấn công Mô tả

Thư rác Một botnet cho phép kẻ tấn công gửi một khối lượng lớnthư rác; một số botnet có thể thu thập các địa chỉ e-mail

Phát tán phầnmềm độc hại

Các botnet có thể được sử dụng để phát tán phần mềmđộc hại, tạo ra các zombie, botnet mới; các zombie có thểtải và thực thi một file do kẻ tấn công gửi đến

Tấn công cácmạng IRC

Botnet thường được dùng để tấn công mạng IRC; chươngtrình điều khiển ra lệnh cho mỗi botnet kết nối một sốlượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,do đó không thể thực hiện chức năng của mình


Bảng 2-3 Những mục đích sử dụng của botnet

Botnet thường được dùng để tấn công mạng IRC; chươngtrình điều khiển ra lệnh cho mỗi botnet kết nối một sốlượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,do đó không thể thực hiện chức năng của mình

Thao túng bầu cửtrực tuyến

Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tươngđương như “lá phiếu” của một cử tri thực; các trò chơi trựctuyến có thể được thao túng theo cách tương tự

Ngăn cản dịch vụ Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làmserver bị quá tải, không đáp ứng được yêu cầu hợp pháp

Phần mềm độc hại nhằm kiếm lợi- Phần mềm gián điệp

Phần mềm gián điệp (spyware)Phần mềm thu thập thông tin trái phép, không được sựcho phép của người dùngThường được sử dụng với mục đích:

Quảng cáoThu thập thông tin cá nhânThay đổi cấu hình máy tính


Phần mềm gián điệp (spyware)Phần mềm thu thập thông tin trái phép, không được sựcho phép của người dùngThường được sử dụng với mục đích:

Quảng cáoThu thập thông tin cá nhânThay đổi cấu hình máy tính

24

Phần mềm độc hại nhằm kiếm lợi- Phần mềm gián điệp (tiếp)

Những tác động tiêu cực của phần mềm gián điệpLàm giảm hiệu năng máy tínhLàm cho hệ thống bất ổn địnhCó thể cài đặt các menu trên thanh công cụ của trìnhduyệtCó thể tạo ra các đường dẫn mới (shortcut)Chiếm đoạt trang chủLàm tăng các cửa sổ quảng cáo


Những tác động tiêu cực của phần mềm gián điệpLàm giảm hiệu năng máy tínhLàm cho hệ thống bất ổn địnhCó thể cài đặt các menu trên thanh công cụ của trìnhduyệtCó thể tạo ra các đường dẫn mới (shortcut)Chiếm đoạt trang chủLàm tăng các cửa sổ quảng cáo

25

Công nghệ Mô tả Ảnh hưởng

Tự động tảiphần mềm

Được dùng để tải và cài đặt phầnmềm, không cần tương tác củangười dùng

Có thể được sử dụng đểcài đặt phần mềm tráiphép

Các côngnghệ theo dõithụ động

Được sử dụng để thu thập thông tinvề các hoạt động của người dùngmà không cần cài đặt bất cứ phầnmềm nào

Có thể thu thập cácthông tin riêng tư nhưcác Web site mà ngườidùng truy cập

Phần mềmthay đổi hệthống

Điều chỉnh hoặc thay đổi các cấuhình người dùng

Thay đổi các thiết lậpcấu hình mà không có sựchấp thuận của ngườidùng


Bảng 2-4 Các công nghệ sử dụng trong phần mềm gián điệp

Phần mềmthay đổi hệthống

Điều chỉnh hoặc thay đổi các cấuhình người dùng

Thay đổi các thiết lậpcấu hình mà không có sựchấp thuận của ngườidùng

Phần mềmtheo dõi

Được dùng để kiểm soát các hành vicủa người dùng hoặc thu thập thôngtin người dùng

Có thể thu thập thông tincá nhân với mục đíchchia sẻ rộng rãi hoặcđánh cắp

Phần mềm độc hại nhằm kiếm lợi- Phần mềm quảng cáo

Phần mềm quảng cáo (adware)Chương trình cung cấp các nội dung quảng cáo:

Theo cách người dùng không mong muốnThường hiển thị các biểu ngữ quảng cáo và các cửa sổquảng cáoCó thể mở cửa sổ trình duyệt một cách ngẫu nhiênCó thể theo dõi các hoạt động trực tuyến của người dùng


Phần mềm quảng cáo (adware)Chương trình cung cấp các nội dung quảng cáo:

Theo cách người dùng không mong muốnThường hiển thị các biểu ngữ quảng cáo và các cửa sổquảng cáoCó thể mở cửa sổ trình duyệt một cách ngẫu nhiênCó thể theo dõi các hoạt động trực tuyến của người dùng

27

Phần mềm độc hại nhằm kiếm lợi- Phần mềm quảng cáo (tiếp)

Yếu tố bất lợi đối với người dùngCó thể hiển thị các nội dung chống đốiThường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suấtlàm việcCác cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiệntượng treo máyNhững quảng cáo không mong muốn gây ra sự phiềnnhiễu


Yếu tố bất lợi đối với người dùngCó thể hiển thị các nội dung chống đốiThường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suấtlàm việcCác cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiệntượng treo máyNhững quảng cáo không mong muốn gây ra sự phiềnnhiễu

28

Phần mềm độc hại nhằm kiếm lợi- Bộ ghi lưu bàn phím

Bộ ghi lưu bàn phím (keylogger)Sao chụp lại các thao tác gõ phím của người dùngThông tin sau đó được truy xuất bởi kẻ tấn côngKẻ tấn công có thể tìm ra những thông tin hữu ích

Mật khẩuSố tài khoản tín dụngThông tin cá nhân

Có thể là một thiết bị phần cứng gọn nhẹĐược cài cắm vào giữa bàn phím máy tính và bộ kết nốiKhó bị phát hiệnKẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mớicó thể thu thập được thông tin


Bộ ghi lưu bàn phím (keylogger)Sao chụp lại các thao tác gõ phím của người dùngThông tin sau đó được truy xuất bởi kẻ tấn côngKẻ tấn công có thể tìm ra những thông tin hữu ích

Mật khẩuSố tài khoản tín dụngThông tin cá nhân

Có thể là một thiết bị phần cứng gọn nhẹĐược cài cắm vào giữa bàn phím máy tính và bộ kết nốiKhó bị phát hiệnKẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mớicó thể thu thập được thông tin

29

Phần mềm độc hại nhằm kiếm lợi- Bộ ghi lưu bàn phím (tiếp)


Hình 2-6 Phần cứng theo dõi thao tác bàn phím© Cengage Learning 2012

Phần mềm độc hạinhằm kiếm lợi (tiếp tục)


Hình 2-7 Thông tin được chụp lại bởi phần mềm theo dõi thao tác bàn phím© Cengage Learning 2012

Tấn công sử dụngkỹ nghệ xã hội

Kỹ nghệ xã hội (social engineering)là phương tiện thu thập thông tin cho một cuộc tấn côngbằng cách dựa trên những điểm yếu của các cá nhân.Không cần đến công nghệ

Tấn công dùng kỹ nghệ xã hội có thể bao gồmcác phương pháp tâm lýcác phương pháp vật lý.

Kỹ nghệ xã hội (social engineering)là phương tiện thu thập thông tin cho một cuộc tấn côngbằng cách dựa trên những điểm yếu của các cá nhân.Không cần đến công nghệ

Tấn công dùng kỹ nghệ xã hội có thể bao gồmcác phương pháp tâm lýcác phương pháp vật lý.


Tấn công sử dụngkỹ nghệ xã hội – Ví dụ

Một kẻ tấn công gọi cho phòng nhân sựHỏi và có được tên của các nhân sự chủ chốt

Một nhóm những kẻ tấn công tiếp cận một tòa nhàBám sau nhân viên để thâm nhập các khu vực bảo mật

Do biết giám đốc tài chính không có mặt tại tòa nhàĐột nhập vào phòng giám đốc tài chínhThu thập thông tin từ chiếc máy tính không được bảo vệ

Lục lọi thùng rác để tìm kiếm các tài liệu hữu íchMột nhân viên gọi điện từ bàn giám đốc tài chính

Mạo danh giám đốc tài chính hỏi lấy mật khẩuNhóm tấn công đã rời khỏi tòa nhà và thực hiện thànhcông việc truy cập mạng

Một kẻ tấn công gọi cho phòng nhân sựHỏi và có được tên của các nhân sự chủ chốt

Một nhóm những kẻ tấn công tiếp cận một tòa nhàBám sau nhân viên để thâm nhập các khu vực bảo mật

Do biết giám đốc tài chính không có mặt tại tòa nhàĐột nhập vào phòng giám đốc tài chínhThu thập thông tin từ chiếc máy tính không được bảo vệ

Lục lọi thùng rác để tìm kiếm các tài liệu hữu íchMột nhân viên gọi điện từ bàn giám đốc tài chính

Mạo danh giám đốc tài chính hỏi lấy mật khẩuNhóm tấn công đã rời khỏi tòa nhà và thực hiện thànhcông việc truy cập mạng


Các phương pháp tâm lý

Phương pháp tâm lý (psychology).Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vậtchất.Nhằm thuyết phục nạn nhân cung cấp thông tin hoặcthuyết phục họ hành động.

Các phương pháp tâm lý thường được sử dụngThuyết phục (Persuasion)Mạo danh (Impersonation)Phishing (lừa đảo)Thư rác (Spam)Cảnh báo giả (Hoax)

Phương pháp tâm lý (psychology).Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vậtchất.Nhằm thuyết phục nạn nhân cung cấp thông tin hoặcthuyết phục họ hành động.

Các phương pháp tâm lý thường được sử dụngThuyết phục (Persuasion)Mạo danh (Impersonation)Phishing (lừa đảo)Thư rác (Spam)Cảnh báo giả (Hoax)


Các phương pháp tâm lý- Thuyết phục

Những phương pháp thuyết phục cơ bản bao gồmlấy lòng (tâng bốc hay giả vờ)a dua (những người khác cũng đang làm vậy)thân thiện

Kẻ tấn công sẽ hỏi một vài thông tin nhỏTập hợp thông tin từ vài nạn nhân khác nhau

Đưa ra những yêu cầu đáng tinKẻ tấn công có thể “tạo vỏ bọc” để có được thông tin

Trước khi nạn nhân bắt đầu cảm thấy nghi ngờKẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từnạn nhân

Những phương pháp thuyết phục cơ bản bao gồmlấy lòng (tâng bốc hay giả vờ)a dua (những người khác cũng đang làm vậy)thân thiện

Kẻ tấn công sẽ hỏi một vài thông tin nhỏTập hợp thông tin từ vài nạn nhân khác nhau

Đưa ra những yêu cầu đáng tinKẻ tấn công có thể “tạo vỏ bọc” để có được thông tin

Trước khi nạn nhân bắt đầu cảm thấy nghi ngờKẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từnạn nhân


Các phương pháp tâm lý- Mạo danh

Mạo danh (impersonation)tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân.

Những vai phổ biến thường được mạo danhTrợ lý hỗ trợ kỹ thuậtCông nhân sửa chữaBên thứ ba đáng tin cậyCác cá nhân có quyền lực

nạn nhân có thể nói “không” với người có quyền lực.

Mạo danh (impersonation)tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân.

Những vai phổ biến thường được mạo danhTrợ lý hỗ trợ kỹ thuậtCông nhân sửa chữaBên thứ ba đáng tin cậyCác cá nhân có quyền lực

nạn nhân có thể nói “không” với người có quyền lực.


Các phương pháp tâm lý- Phishing

Phishing (Lừa đảo)Gửi thư điện tử tự xưng là một nguồn hợp pháp

Thư điện tử có thể chứa logo và lý lẽ hợp phápCố gắng đánh lừa người dùng để họ cung cấp các thôngtin riêng tư

Người dùng được yêu cầutrả lời e-mailcập nhật thông tin cá nhân trên một trang Web

Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tàikhoản ngân hàng, hoặc các thông tin khác.Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh vàđược lập nên nhằm đánh cắp thông tin của người sử dụng.

Phishing (Lừa đảo)Gửi thư điện tử tự xưng là một nguồn hợp pháp

Thư điện tử có thể chứa logo và lý lẽ hợp phápCố gắng đánh lừa người dùng để họ cung cấp các thôngtin riêng tư

Người dùng được yêu cầutrả lời e-mailcập nhật thông tin cá nhân trên một trang Web

Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tàikhoản ngân hàng, hoặc các thông tin khác.Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh vàđược lập nên nhằm đánh cắp thông tin của người sử dụng.


Các phương pháp tâm lý- Phishing (tiếp)

Những biến thể của FishingPharming (nuôi cá)

Tự động chuyển hướng tới một website giả mạoSpear phishing (xiên cá)

Gửi e-mail hoặc tin nhắn đến những người dùng xác địnhWhaling (câu cá voi)

Nhằm vào những người giàu cóVishing (lừa đảo bằng gọi điện thoại)

Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía“ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điệnthoại do hắn cung cấpNạn nhân sau đó gọi vào số điện thoại của kẻ tấn công vànhập các thông tin riêng tư

Những biến thể của FishingPharming (nuôi cá)

Tự động chuyển hướng tới một website giả mạoSpear phishing (xiên cá)

Gửi e-mail hoặc tin nhắn đến những người dùng xác địnhWhaling (câu cá voi)

Nhằm vào những người giàu cóVishing (lừa đảo bằng gọi điện thoại)

Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía“ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điệnthoại do hắn cung cấpNạn nhân sau đó gọi vào số điện thoại của kẻ tấn công vànhập các thông tin riêng tư



Hình 2-8 Một tin nhắn lừa đảo© Cengage Learning 2012

Các phương pháp tâm lý- Phishing (tiếp)

Một số cách nhận diện PhishingNhững liên kết Web

Thường có dấu @ ở chính giữaCác biến thể của địa chỉ hợp phápSự xuất hiện của logo nhà cung cấp trông giống hợp phápNhững địa chỉ người gửi giả mạoNhững yêu cầu khẩn cấp

Một số cách nhận diện PhishingNhững liên kết Web

Thường có dấu @ ở chính giữaCác biến thể của địa chỉ hợp phápSự xuất hiện của logo nhà cung cấp trông giống hợp phápNhững địa chỉ người gửi giả mạoNhững yêu cầu khẩn cấp


Các phương pháp tâm lý- Thư rác

Thư rác (Spam)Thư điện tử không mong muốnLà phương tiện chủ yếu phát tán phần mềm độc hạiGửi thư rác là một nghề béo bở

Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắntinẢnh rác

Sử dụng các hình ảnh tạo thành từ văn bảnNé tránh các bộ lọc văn bảnThường chứa những nội dung vô nghĩa

Thư rác (Spam)Thư điện tử không mong muốnLà phương tiện chủ yếu phát tán phần mềm độc hạiGửi thư rác là một nghề béo bở

Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắntinẢnh rác

Sử dụng các hình ảnh tạo thành từ văn bảnNé tránh các bộ lọc văn bảnThường chứa những nội dung vô nghĩa


Các phương pháp tâm lý- Thư rác (tiếp)

Các kỹ thuật được áp dụng bởi kẻ gửi thư rácLớp phủ GIF (GIF Layering)

Hình ảnh rác được phân chia thành nhiều ảnh khác nhauCác lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng

Chia tách từ (Word spliting)Phân tách các từ theo chiều ngangVẫn có thể đọc được bằng mắt thường

Biến đổi hình học (Geometric variance)Dùng speckling (điểm lốm đốm) và màu sắc khác nhau saocho không có hai thư điện tử nào có hình thức giống nhau

Các kỹ thuật được áp dụng bởi kẻ gửi thư rácLớp phủ GIF (GIF Layering)

Hình ảnh rác được phân chia thành nhiều ảnh khác nhauCác lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng

Chia tách từ (Word spliting)Phân tách các từ theo chiều ngangVẫn có thể đọc được bằng mắt thường

Biến đổi hình học (Geometric variance)Dùng speckling (điểm lốm đốm) và màu sắc khác nhau saocho không có hai thư điện tử nào có hình thức giống nhau



Hình 2-10 Hình ảnh rác© Cengage Learning 2012

Các phương pháp tâm lý- Cảnh báo giả

Cảnh báo giả (Hoax)Kẻ tấn công thường sử dụng cảnh báo giả như là bướcđầu tiên trong tấn công.Cảnh báo giả là một cảnh báo sai, thường có trong e-mail,tự nhận là đến từ phòng IT.

Cảnh báo giả có nội dung như có ”vi rút rất xấu” đanglan truyền trên Internet, và khuyên người dùng

nên xóa những file tài liệu cụ thểViệc xóa file có thể làm cho máy tính không ổn định.

hoặc thay đổi cấu hình bảo vệ.thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏnghệ thống.

Cảnh báo giả (Hoax)Kẻ tấn công thường sử dụng cảnh báo giả như là bướcđầu tiên trong tấn công.Cảnh báo giả là một cảnh báo sai, thường có trong e-mail,tự nhận là đến từ phòng IT.

Cảnh báo giả có nội dung như có ”vi rút rất xấu” đanglan truyền trên Internet, và khuyên người dùng

nên xóa những file tài liệu cụ thểViệc xóa file có thể làm cho máy tính không ổn định.

hoặc thay đổi cấu hình bảo vệ.thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏnghệ thống.


Các phương pháp vật lý

Các phương pháp vật lýLục lọi thùng rác (Dumpster Diving)

Lục lọi thùng rác để tìm kiếm thông tin hữu íchBám đuôi chui cửa (Tailgating)

Bám theo sau một cá nhân hợp lệ để vượt qua cửa truy cậpNhìn qua vai (Shoulder surfing)

Tình cờ quan sát thấy người dùng nhập mã bàn phím

Các phương pháp vật lýLục lọi thùng rác (Dumpster Diving)

Lục lọi thùng rác để tìm kiếm thông tin hữu íchBám đuôi chui cửa (Tailgating)

Bám theo sau một cá nhân hợp lệ để vượt qua cửa truy cậpNhìn qua vai (Shoulder surfing)

Tình cờ quan sát thấy người dùng nhập mã bàn phím


Những thứ tìm được Sự hữu dụng

Lịch trình Một quyển lịch có thể tiết lộ thông tin thời gian các nhânviên ra vào tòa nhà

Phần cứng máy tính rẻtiền, ví dụ như ổ USBhoặc một ổ cứng di động

Những thiết bị này thường được hủy không đúng quy cáchvà có thể chứa những thông tin giá trị

Bảng ghi nhớ Có thể cung cấp những mẩu thông tin hữu dụng cho kẻ tấncông để thực hiện mục đích giả mạo

Biểu đồ tổ chức nhân sự Cho phép xác định các cá nhân và vị trí quyền hạn của họtrong tổ chức


Bảng 2-5 Những thành phần tìm được từ thùng rác và thông tin mà chúng mang lại

Cho phép xác định các cá nhân và vị trí quyền hạn của họtrong tổ chức

Danh mục điện thoại Có thể cung cấp tên và số điện thoại của các cá nhân trongtổ chức để nhằm vào hoặc để mạo danh

Sổ tay chính sách Có thể tiết lộ chính xác cấp độ an ninh trong tổ chức

Cẩm nang hệ thống Có thể cho biết loại hệ thống máy tính đang dùng, kẻ tấncông có thể sử dụng chúng để xác định các lỗ hổng

Các phương pháp vật lý (tiếp)

Các thủ đoạn bám đuôi chui cửaNhững kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”Chờ đợi bên ngoài và đi vào bên trong khi một nhân viênhợp lệ đi raNhân viên có âm mưu đưa người trái phép đi cùng để vượtqua cửa kiểm soát

Các thủ đoạn bám đuôi chui cửaNhững kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”Chờ đợi bên ngoài và đi vào bên trong khi một nhân viênhợp lệ đi raNhân viên có âm mưu đưa người trái phép đi cùng để vượtqua cửa kiểm soát


Tổng kết

Phần mềm độc hại là phần mềm xâm nhập hệ thốngmáy tính không được sự hay biết hoặc cho phép của chủnhânPhần mềm độc hại lây lan gồm có vi rút và sâu máy tínhPhần mềm độc hại giấu mình gồm có Trojan, rootkit,bom lôgic, và backdoor (cửa hậu)Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phầnmềm gián điệp (spyware), phần mềm quảng cáo(adware), và bộ ghi lưu bàn phím (keylogger)

Phần mềm độc hại là phần mềm xâm nhập hệ thốngmáy tính không được sự hay biết hoặc cho phép của chủnhânPhần mềm độc hại lây lan gồm có vi rút và sâu máy tínhPhần mềm độc hại giấu mình gồm có Trojan, rootkit,bom lôgic, và backdoor (cửa hậu)Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phầnmềm gián điệp (spyware), phần mềm quảng cáo(adware), và bộ ghi lưu bàn phím (keylogger)


Tổng kết (tiếp.)

Kỹ nghệ xã hội là phương tiện thu thập thông tin phụcvụ cho một vụ tấn công của cá nhânCác kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm:mạo danh (impersonation), phishing (lừa đảo), lục lọithùng rác (dumpster diving), và bám đuôi chui cửa(tailgating).

Kỹ nghệ xã hội là phương tiện thu thập thông tin phụcvụ cho một vụ tấn công của cá nhânCác kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm:mạo danh (impersonation), phishing (lừa đảo), lục lọithùng rác (dumpster diving), và bám đuôi chui cửa(tailgating).


Documents

Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo trình FPT