Code Malware
Ngày càng có nhiều loại malware mới tinh vi hơn, độc hại hơn xuất hiện. Ai cũng có thể biết đến những tác hại mà malware gây ra. Nhưng không phải ai cũng biết đến cách thức hoạt động của chúng. Bài viết này sẽ điểm ra những loại malware được cho là nguy hiểm nhất từ trước tới nay.
I. Code malware là gì ?
1. Malware là gì?
- Malware: là phần mềm độc hại chuyên dùng để xâm nhập, lấy cắp thông tin, phá hủy hệ thống máy tính mà người dùng không hề hay biết.
2. Code Malware là gì?
- Code malware: Hay còn gọi là malcode Là một mã lập trình độc hại được nhúng vào giai đoạn phát triển của một ứng dụng phần mềm. Thường nằm trong payload của malware. Dùng để thực hiện những hoạt động phá hoại, lấy cắp thông tin trên máy tính.
II. Một số loại malware, codemalware độc hại:
1. Malware dạng Vi-rút :
- Là một malware có thể lây nhiễm phát tán bằng cách đưa vào thông qua những phương tiện khác.
- Một loại virus thật sự có thể lây lan từ máy tính này sang máy tính khác. Bằng cách đính một mã vào file thực thi được truyền qua nhau.
Ví dụ: một virus có thể ẩn trong một file dreive được đính trong 1 gmail.
- Hầu hết virus đều gồm có 3 thành phần:
1.1 Replicator:
- Virus được kích hoạt và phát tán malcode khi kích hoạt chương trình chủ.
1.2 Concealer:
- Biện pháp để lẩn tránh anti-malware của virus.
1.3 Payload:
- Là malcode của một virus, sử dụng để vô hiệu hóa các chức năng và phá hủy dữ liệu của máy tính.
2. Malware dạng Worm:
- Tinh vi hơn nhiều so với virus. Chúng tự sao chép mà không cần sự can thiệp của người dùng. Nếu sử dụng internet để phát tán thì malware giống worm hơn là virus.
- Những thành phần chính của worm gồm:
2.1 Penetration tool:
- Malcode dành quyền truy cập trên máy tính của nạn nhân bằng cách khai thác những lỗ hổng.
2.2 Installer:
- Công cụ thâm nhập vượt qua hệ thống phòng thủ đàu tiên. Sau đó, sẽ tiếp nhận và chuyển thành phần chính của malcode vào máy tính của nạn nhân.
2.3 Discovery tool:
- Khi đã xâm nhập vào máy. Malware dạng Worm sử dụng cách thức để truy lục những dữ liệu. Tài khoản khác trên mạng gồm địa chỉ email, danh sách máy chủ và các truy vấn DNS.
2.4 Scanner:
- Worm sử dụng một công cụ kiểm tra để xác định mục tiêu mới trong penetration tool có lỗ hổng để khai thác. (Penetration tool: Một bài kiểm tra thâm nhập. Thông thường được gọi là kiểm tra bút, hack hay đạo đức. Là một cuộc tấn công mạng mô phỏng được ủy quyền trên hệ thống máy tính. Được thực hiện để đánh giá tính bảo mật của hệ thống. Không được nhầm lẫn)
2.5 Payload:
- Những malcode có thể là bất cứ thứ gì trên máy của nạn nhân, từ một ứng dụng truy cập từ xa đến một key logger được dùng để đánh cắp tên đăng nhập và mật khẩu của người dùng.
- Thật không may loại malware này lại sinh sôi rất nhanh. Khởi đầu với sâu Morris vào năm 1988 và hiện nay là sâu Conficker. Hầu hết sâu máy tính có thể gỡ bỏ bằng chương trình quét malware.
3. Malware dạng Trojan:
3.1 Nội dung:
- Là một chương trình độc hại được thiết kế như một chương trình hợp pháp. Được kích hoạt sau khi cài đặt. malware dạng Trojan có thể thực thi các chức năng độc hại của chúng. Trojan chứa đựng nhiều payload phá hoại trong khi cài đặt và chạy chương trình. Ngăn không cho malware nhận ra malcode.
3.2 Một số kĩ thuật che giấu bao gồm:
- Đổi tên malware thành những file giống với file bình thường trên hệ thống.
- Làm lỗi phần mềm diệt virus đã có trên máy tính. Nhằm không cho phản hồi khi phát hiện malware.
- Sử dụng nhiều loại code khác nhau để thay đổi đăng ký của malware nhanh hơn những phần mềm bảo mật.
4. Malware dạng Spyware:
- Là loại phần mềm độc hại được thiết kế để thu thập thông tin và dữ liệu về người dùng và quan sát hoạt động mà người dùng không hay.
5. Malware dạng Backdoor:
5.1 Nội dung:
- Giống những chương trình truy cập từ xa mà chúng ta hay sử dụng mọi ngày. Chúng được coi là malware nếu cài đặt mà không có sự cho phép.
5.2 Phương thức hoạt động:
- Khai thác những lỗ hổng trên máy tính của mục tiêu.
- Bẫy người dùng cài đặt backdoor thông qua một chương trình khác.
- Cài đặt xong. Backdoor cho phép hacker toàn quyền kiểm soát từ xa những máy tính bị tấn công.
5.3 Có những loại backdoor như:
- SubSeven, NetBus, Deep Throat, Back Orifice và Bionet được biết đến với phương thức này.
5. Malware dạng Adware/spyware:
+ Adware: là phần mềm tạo ra popup quảng cáo mà không hề được người dùng cho phép. Được cài đặt bởi một thành phần của phần mềm miễn phí. tá hại : làm phiền, làm giảm hiệu suất máy tính, làm chậm và treo máy tính,…
+ Spyware: là một phần mềm đánh cắp thông tin từ máy tính mà người dùng. Phần mềm mà được chia sẻ gọi là miễn phí thường có rất nhiều spyware, Vậy nên phải đọc kỹ thỏa thuận sử dụng trước khi cài đặt.
+ Đa số những chương trình chống spyware tốt sẽ nhanh chóng tìm ra và gỡ bỏ adware/spyware khỏi máy tính. Nên thường xuyên xóa những file tạm, cookies và history từ các trình duyệt Web để phòng nhừa nhóm malware này.
6. Malware dạng Malware stew:
- Tất cả các loại malware được biết đến đều khác nhau. Vì vậy ta có thể dễ dàng phân biệt được từng loại.
- Tuy nhiên, loại malware stew này không giống như vậy. Những người đã nghiên cứu nó đã nghĩ ra làm thể nào để kết hợp những đặc tính tốt nhất của nhiều loại malware khác nhau nhằm nâng cao khả năng của nó.
- Rootkit chính một ví dụ điển hình của loại malware này. Nó gồm các đặc tính của một Trojan và một Backdoor. Khi sử dụng kết hợp thì hacker có thể giành quyền kiểm soát máy tính từ xa mà không hề bị nghi ngờ.
7. Malware dạng Rootkits:
- Là loại hoàn toàn khác biệt với những loại khác. Chúng sửa đổi hệ điều hành hiện thời thay vì bổ sung phần mềm ở mức ứng dụng mà những loại malware khác hay làm. Điều này rất nguy hiểm bởi vì những chương trình chống malware khó có thể phát hiện được.
- Có nhiều loại rootkits, nhưng có 3 loại nguy hiểm nhất là: firmware rootkits, user-mode và kernel mode .
7.1 User-mode rootkits:
- User-mode gồm những đoạn mã giới hạn truy cập vào phần mềm và phần cứng trên máy tính. Những phá hủy trong user-mode là không thể phục hồi bởi vì truy cập bị giới hạn
- User-mode rootkit chạy trên máy tính với quyền admin:
User-mode rootkits có thể thay đổi mọi thứ: tiến trình, file, ổ hệ thống, cổng mạng và dịch vụ hệ thống
User-mode rootkit tự duy trì cài đặt bằng cách sao chép file yêu cầu vào ổ cứng máy tính, tự động khởi chạy khi hệ thống khởi động
7.2 Kernel-mode rootkits:
- Gồm những mã hủy giới hạn truy cập vào phần cứng và phần mềm trên máy tính. Thường dùng để lưu trữ những chức năng tin cậy nhất của hệ điều hành. Và cũng không thể phục hồi những gì mà kernel-mode hủy hoại.
- Từ thời điểm rootkit chạy chế độ user-mode bị phát hiện và gỡ bỏ. Những người lập trình đã thay đổi tư duy, phát triển kernel-mode rootkit. Rootkit có thể làm cho hệ thống không còn đáng tin cậy nữa vì Kernel-mode được cài đặt đồng mức với hệ thống và những chương trình phát hiện rootkit.
- kenel-mode rootkit khiến hệ thống không ổn định. Có dấu hiệu sa sút, dẫn đến sự hủy hoại không rõ nguyên nhân hay treo màn hình.
7.3 Firmware rootkits:
- Là loại rootkit cài đặt tinh vi. Vì được nghiên cứu phương pháp lưa trữ malcode của rootkit trong firmware. Mọi firmware đều có thể bị thay đổi, từ mã vi xử lý cho tới firmware của khe cắm mở rộng:
Khi tắt máy, rootkit ghi malcode vào những firmware khác nhau.
Rootkit có thể tự thực hiện cài đặt lại khi máy tính khởi động.
- Thậm chí rằng có chương trình phát hiện và gỡ bỏ được firmware rootkit. Thì lần khởi động máy tính sau, firmware rootkit này vẫn xuất hiện hoạt động trở lại bình thường.
8. Malware dạng Malicious mobile code (Mã độc di động – MMC):
- Nhanh chóng trở thành phương pháp cài đặt malware vào máy tính hiệu quả nhất MMC có thể:
Chiếm quyền máy chủ từ xa.
Di chuyển trong mạng.
Tải, cài đặt trên một hệ thống cục bộ.
- MMC gồm Javascript, VBScript, ActiveX Controls và Flash Animations. Qua cách thức hoạt động có thể nhận ra mục đích chính của MMC. Nó làm nội dung trang của trình duyệt web trở nên tương tác hơn.
- Vì việc cài đặt nó không cần người dùng cho phép. Gây ra hiểu lầm cho nguời dùng nên nó bị coi là độc hại. Nó chính là là bước đệm cho một cuộc tấn công kết hợp giống như công cụ xâm nhập mà Trojan malware sử dụng. Sau cùng, cá hacker tin tặc có thể thực hiện cài đặt thêm nhiều malware.
- Cách tốt nhất để chống lại MMC hệ điều hành. Và các chương trình phụ luôn cập nhật mới.
9. Malware dạng Blended threat (Mối đe dọa hỗn hợp):
- Khi nó gây ra những độc hại lớn. Phát tán nhanh chóng thông qua những phần kết hợp của nhiều malcode có mục tiêu riêng. Xứng đáng là mối lo ngại đặc biệt vì nhiều chuyên gia bảo mật cho rằng chúng là chuyên gia trong mảng công việc của chúng.
- Một blended threat:
1. Tạo ra nhiều lỗ hổng và khai thác chúng.
2. Tái tạo khác nhau bằng nhiều phương thức.
3. Chạy mã hủy can thiệp của người dùng 1 cách tự động
- Blended threat malware có thể gửi một email dạng HTML nhúng Trojan cùng với một file PDF đính kèm chứa một loại Trojan khác. Một số loại blended threat khá quen thuộc là Nimda, CodeRed và Bugbear. Để gỡ bỏ chúng ra khỏi máy tính cần đến nhiều chương trình chống malware. Cũng như sử dụng chương trình quét malware được cài đặt chạy trực tiếp từ đĩa CD.
10. Malware dạng Bots:
- Robot được tự động thực thi hay bots khá phổ biến trong Internet hiện đại. Chúng thường được sử dụng để tự động hóa các tác vụ nhàm chán. Lặp đi lặp lại, hay gặp nhất là trong những cuộc đấu giá trực tuyến, kiểm tra trực tuyến, chat và chơi game.
- Có một mặt tối khác là bots bị sử dụng cho những mục đích xấu như gửi thư spam. Phát tán phần mềm độc hại khác cũng như tham gia vào mạng lưới botnet:
Một mạng máy tính khổng lồ, đã bị nhiễm malware và dùng để thực hiện những vụ tấn công mạng quy mô lớn.
- Bạn có thể đọc thêm về botnet tại: Botnet là gì, nó dùng để tấn công ai và bạn có thể ngừa botnet ra sao?
- Phần mềm diệt virus có thể bảo vệ máy tính khỏi những malware dạng bots này. Nhưng có vài trường hợp mà rootkit được cài đặt trước, ngăn chặn phần mềm diệt virus phát hiện bots. Nên việc quét rootkit thường xuyên là biện pháp phòng ngừa tốt nhất.
11. Malware dạng Ransomware:
- Ransomware là một trong những công cụ kiếm tiền lớn nhất của hacker. Về bản chất, nó mã hóa dữ liệu trên máy tính, yêu cầu một khoản tiền chuộc để mở khóa dữ liệu. Một số ransomware “lởm” thì chỉ khóa máy tính (cho phép gỡ bỏ dễ dàng trong chế độ Safe Mode). Trong khi những loại nguy hiểm hơn sẽ mã hóa toàn bộ ổ cứng, chặn quyền truy cập của người dùng cho đến khi kẻ tấn công nhận được tiền. (thường dưới dạng Bitcoin hoặc thông qua chuyển khoản ẩn danh như Western Union)
- Hacker thường đe dọa người dùng rằng chúng phát hiện tài liệu hoặc hình ảnh nhạy cảm, phạm pháp trên máy tính.
- Để tạo lòng tin của người dùng, hacker sử dụng webcam chụp hình nạn nhân. Việc làm này của hacker có thể gây hoảng loạn. Khiến nạn nhân sợ hãi và phải bỏ tiền ra để chuộc lại hoặc làm theo những việc mà hacker nói.
- Ransomware lây nhiễm vào một máy tính theo cách thức thông qua việc tải file về và chạy file giống hệt Trojan. Nó còn thông qua lỗ hổng hay rootkit để lây nhiễm vào máy tính.