Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang

T n công m
b ng mã

ng
c

Chương 2

Ts. Trương Minh Nh t Quang - 2013

Đơn vị tổ chức:

Đơn vị tài trợ:

N i dung Chương 2
Khái ni m v mã đ c
Phân lo i mã đ c
Các mã đ c l thu c ng d ng ch
Các mã đ c th c thi đ c l p

Khái ni m v mã đ c
Đ t n công/thâm nh p m ng, hacker thư ng
s d ng các ‘tr th ’ như virus, worm, trojan
horse, backdoor…
Mã đ c (malicious code): t p mã th c thi t ch ,
không đòi h i s can thi p c a hacker
Các bư c t n công/thâm nh p m ng:
1. Hacker thi t k mã đ c
2. Hacker g i mã đ c đ n máy đích
3. Mã đ c đánh c p d li u máy đích, g i v cho hacker
4. Hacker t n công h th ng đích

Phân lo i mã đ c
Phân lo i mã đ c theo đ c trưng thi hành:
L thu c ng d ng ch (need to host)
Th c thi đ c l p (stand alone)

Phân lo i mã đ c theo đ c trưng hành vi:
Ngăn c m, thay đ i d li u
Khai thác d ch v h th ng

Các hình th c t n công mã đ c
L thu c ng d ng ch :
C a s p (trapdoors)
Bom h n gi (logic bomb)
Virus máy tính (computer virus)
N i ng ng a g (trojan horse)

Th c thi đ c l p:
Vi khu n máy tính (computer bacteria)
Sâu m ng (worm) và rootkit
Backdoor và key logger
Spyware và adware
Companion và link
Germ, constructor và hacktool

C a s p (trapdoor)
Trong quá trình thi t k ph n m m, các l p trình
viên thư ng cài các đo n chương trình (‘c a’)
ki m tra, s a l i, chuy n giao k thu t…
Vô tình hay c ý, các ‘c a’ này v n chưa đư c
g b trư c khi đóng gói phát hành
Trong quá trình s d ng, n u th a đi u ki n,
‘c a’ s ‘s p’ và không ai bi t đi u gì s x y ra
T k thu t ki m l i trong công ngh ph n m m,
trapdoor bi n thái thành ‘h t th n’ cài bí m t
trong các ph n m m trôi n i trên m ng

Bom h n gi (logic bomb)
Bomp h n gi : đo n mã t kích ho t khi th a
đi u ki n h n trư c (ngày tháng, th i gian…)
Trư c khi thoát kh i h th ng, hacker thư ng
cài l i bom h n gi nh m xóa m i ch ng c ,
d u v t thâm nh p
K thu t bom h n gi cũng đư c virus máy tính
khai thác ph bi n: virus Friday, Chernobyl
(24/04), Michelangelo (06/03), Valentine...

Virus máy tính (computer virus)
Virus máy tính: đo n mã th c thi ghép vào
chương trình ch và giành quy n đi u khi n khi
chương trình ch th c thi
Virus đư c thi t k nh m nhân b n, tránh né s
phát hi n, phá h ng/thay đ i d li u, hi n th
thông đi p ho c làm cho h đi u hành ho t
đ ng sai l ch
C u trúc virus: pay-load, vir-code, vir-data
Phân lo i virus: F-virus, B-virus, D-virus

File virus (F-virus)
Lo i virus ký sinh (parasitic) vào các t p tin thi
hành (com, exe, pif, scr, dll...) trên h th ng đích
ng d ng ch (host application) có th b nhi m
virus vào đ u file, gi a file ho c cu i file
Khi h th ng thi hành m t ng d ng ch nhi m:
Pay-load n m quy n s d ng CPU
Vir-code th c thi các th t c phá ho i, s d ng
d li u trong Vir-data
Tr quy n s d ng CPU cho ng d ng ch

Boot virus (B-virus)
Boot-virus: lo i virus nhi m vào m u tin kh i
đ ng (boot record - 512 byte) c a t ch c đĩa
Multi-partite: lo i virus t h p tính năng c a Fvirus và B-virus, nhi m c file l n boot sector
Đĩa m m có 1
boot record
side 0, track 0,
sector 0

Đĩa c ng có 1
master boot
record side 0,
track 0, sector 0
và các partition
boot record
sector đ u tiên
c a m i phân
khu lu n lý

Data virus (D-virus)
Đính vào các t p tin d li u có s d ng macro,
data virus t đ ng th c hi n khi t p d li u
nhi m đư c m b i ng d ng ch
Các data virus quen thu c:
Microsoft Word Document: doc macro virus
Microsoft Excel Worksheet: xls macro virus
Microsoft Power Point: ppt macro virus
Adobe Reader: pdf script virus
Visual Basic: vb script virus
Java: java script virus
Startup file: bat virus…

N i ng ng a g (trojan horse)
Truy n thuy t: các chi n binh Hi L p n p trong
b ng ng a g , n a đêm làm n i ng m c a
cho quân Hi L p p vào phá thành Troie
Trojan horse: các ng d ng có v hi n lành
nhưng bên trong ch a các th t c bí m t, ch
th i cơ xông ra phá h y d li u
Trojan horse là công c đi u khi n t xa đ c
l c, giúp hacker giám sát máy đích gi ng như
h n đang ng i trư c bàn phím

C ng truy nh p
Trên m ng TCP/IP, c ng (port) đ c t đi m cu i
n i k t gi a 2 hay nhi u máy tính
Đ i v i máy khách, s hi u c ng tiêu bi u cho
các ng d ng/d ch v liên l c v i server
Phân lo i c ng theo s hi u:
Các c ng ph bi n: 0 - 1023
Các c ng đư c đăng ký: 1024 - 49151
Các c ng dành riêng: 49152 - 65535

Trojan horse và c ng
M i trojan horse s d ng c ng trjPort(s) làm
d u hi u nh n d ng và liên l c v i hacker
Quét c ng (0-65535) trên máy đích đ thu th p
các thông tin: danh sách c ng chu n, d ch v
s d ng, h đi u hành s d ng, các ng d ng
đang s d ng, tình tr ng an ninh h th ng…
Ví d : N u c ng 80 m , máy tính đang connect
vào d ch v HTTP

Liên l c trojan-hacker
Báo cáo tình hình, thông tin h th ng cho hacker
Nh n nhi m v t hacker thông qua c ng trjPort(s)
Các trojan tiêu bi u: Back Orifice, NetBus, QAZ...

Mã đ c th c thi đ c l p
Vi khu n máy tính (computer bacteria):
T o ra nhi u b n sao, th c thi đa ti n trình làm tiêu
hao tài nguyên, suy gi m công năng h th ng
Các vi khu n thư ng không gây nguy h i d li u

Sâu m ng (worm):
T p mã l nh khai thác n i k t m ng, thư ng trú trong
b nh máy đích, lây nhi m và lan truy n t h th ng
này sang h th ng khác
Hành vi lây lan gi ng virus, worm có th ch a mã sâu
con, sâu đôi, injector, dropper, intruder…
Cách th c lan truy n: email, chat room, Internet, P2P

M t s sâu m ng tiêu bi u
Nimda và Code Red (2001) t n công Microsoft’s
Internet Information Server (IIS) Web Server:
Quét m ng đ tìm các máy d t n thương, Nimda t o
ra tài kho n guest v i quy n qu n tr trên máy nhi m
Code Red h y ho i các website, suy thoái hi u năng
h th ng, gây m t n đ nh do sinh ra nhi u thread và
tiêu t n băng thông

SQL Slammer (2003) khai thác tràn buffer trong
Microsoft’s SQL Server và Microsoft SQL Server
Desktop Engine (MSDE), làm máy nhi m sinh ra
lư ng d li u lưu thông kh ng l

M t s sâu m ng tiêu bi u…
Blaster (2003): khai thác tràn buffer trong
Microsoft Distributed Component Object Model
(DCOM), Remote Procedure Call (RPC) service,
gây m t n đ nh và t đ ng boot máy
Sasser (2004) khai thác tràn buffer trong
Microsoft’s LSAS service (port 139), làm máy
nhi m t đ ng boot l i
Zotob (2005) l i d ng tính d t n thương c a
d ch v Plug-and-play c a Microsoft Windows đ
lan truy n qua m ng

Rootkit
Rootkit: b công c (kit) giúp hacker kh ng ch
h th ng m c cao nh t (root)
Rootkit có th s a đ i các kh i cơ s c a m t
OS như kernel, các driver liên l c ho c thay th
các chương trình h th ng đư c dùng chung
b i các phiên b n rootkit
M t s rootkit đư c cài đ t như công c qu n tr
máy o, sau đó n p OS n n nhân vào máy o
khi n anti-virus không th phát hi n nó
Hacker s d ng rootkit đ cài đ t các chương
trình đi u khi n t xa m nh m

Backdoor và Key logger
Backdoor (c a h u): lo i mã đ c đư c thi t k
cho phép truy xu t h th ng t xa
Key logger (thám báo bàn phím): ban đ u dùng
giám sát tr con s d ng m ng, v sau bi n thái
thành công c đánh c p m t kh u
Trojans, rootkit và các chương trình h p th c
(như key logger) đ u có th đư c dùng đ cài
đ t backdoor

Spyware và Adware
Spyware (ph n m m gián đi p): r t đa d ng,
thư ng không gây nguy h i v m t d li u
Tác h i c a spyware:
Rò r thông tin cá nhân
Tiêu th tài nguyên máy đích
H th ng m t n đ nh

Spyware lây nhi m qua download ph n m m
Adware: spyware qu ng cáo

Companion và Link
Companion (đ ng hành): t o t p th c thi gi
m o chương trình h p pháp đang t n t i, sau đó
l a OS ch y chương trình companion đ kích
ho t mã đ c
VD: svohost.exe # svchost.exe

Link (liên k t): c u hình cho OS tìm đ n liên k t
thay vì đ n chương trình mong mu n
VD: thay các đư ng link/shortcut c a Windows tr
đ n file .exe ch a mã đ c trong 1 folder bí m t

Germ, Constructor và Hacktool
Germ (m m đ c): t p mã đ c g c dùng s n sinh
các bi n th mã đ c th c p, s d ng kèm
constructor và/ho c hacktool
Constructor (b ki n t o): công c biên d ch
m m mã đ c đư c t p k t bí m t máy đích,
âm th m xây d ng l c lư ng t i ch , ch th i
cơ đ ng lo t t n công
Hacktool (công c đ c phá): phương ti n h tr
constructor xây d ng l c lư ng t i ch , đ c phá
h th ng chu n b t n công

Chương 3

TS. Trương Minh Nh t Quang - 2013

N i dung Chương 3
1

Ki n th c cơ s

2

Mã đ c và ti n trình

3

Phát hi n mã đ c

4

Lo i tr mã đ c


Ki n th c cơ s
Các đ nh d ng th c thi c a h đi u hành
Windows
Ti n trình (process), cơ ch th c thi ng
d ng c a Windows


Các đ nh d ng th c thi c a Windows
Lư c s v n đ :
8/1981, Microsoft phát hành MSDOS 1.0 (16 bit) s d ng 2 đ nh
d ng thi hành chính là .com và .exe, h tr .bat thi hành theo lô
11-1985, Windows 1.0 (16 bit) s d ng đ nh d ng thi hành exe
m i (NE-New Execution) và thư vi n liên k t đ ng .dll (dynamic
link library)
9-1995, Windows 95 (32 bit) áp d ng .exe và .dll kh chuy n
(PE-Portable Execution)

Hi n nay, Windows 7/Vista có 2 dòng s n ph m:
Windows 7/Vista 32 bit: đ nh d ng th c thi pe (32 bit)
Windows 7/Vista 64 bit: đ nh d ng th c thi pe+ (64 bit)


Các đ nh d ng th c thi…
Đ đ m b o tính tương thích đi lên, các HĐH ra sau
luôn h tr các đ nh d ng thi hành c a các HĐH
trư c đó
Xét v t ch c thi hành, các t p .pif, .scr, .cpl,
.sys… v n thu c các đ nh d ng pe-exe ho c pe-dll
Các t p ng d ng m r ng – application extension
(.dll, .ovl, .cpl, .sys…) không t thi hành, chúng c n
các ng d ng ch - host application (.exe) n p vào
b nh đ th c thi


Ti n trình (process)
Đ h tr đa chương, máy tính ph i có kh năng
th c hi n nhi u tác v đ ng th i
H n ch ph n c ng: ph n l n các máy tính ch có 1
CPU nên không th x lý song song tri t đ
Gi i pháp ph n m m: chuy n đ i CPU qua l i gi a
các chương trình nh m duy trì ho t đ ng c a nhi u
ng d ng cùng lúc
Mô hình ti n trình: x lý song song gi l p


Phân bi t chương trình, ti n trình
Chương trình: t p mã l nh trong file exe (th c th th
đ ng lưu trên đĩa)
Ti n trình: chương trình đang x lý (th c th ho t đ ng
đang ch y trong b nh )
M i ti n trình s h u 1 con tr l nh, t p thanh ghi, các
bi n và m t s tài nguyên (CPU, RAM, Files, IO...) đ
th c hi n công vi c c a nó
Dư i s đi u ph i c a HĐH, CPU đư c chuy n đ i qua
l i gi a các ti n trình, các ti n trình đư c l p l ch đ kh i
t o, ch y, d ng, ch y ti p ho c k t thúc

Ch đ x lý c a ti n trình
Đ đ m b o h th ng ho t đ ng đúng đ n, HĐH c n đư c
b o v kh i s xâm ph m c a các ti n trình
B n thân các ti n trình và d li u cũng c n đư c b o v đ
tránh các ti n trình khác xâm ph m
Gi i pháp: t ch c 2 ch đ x lý đ c quy n (dành riêng cho
HĐH) và không đ c quy n (dành cho ng d ng/user)
Khi ti n trình user phát l i g i h th ng, HĐH x lý yêu c u
trong ch đ đ c quy n, sau đó chuy n k t qu cho ti n trình
user trong ch đ không đ c quy n
Trên các h th ng đa ngư i dùng, Windows chia ch đ
không đ c quy n thành 2 c p administrator và limited user

Phân c p x lý l nh

Người sử dụng
shell, editor
Hệ điều hành

Chế độ không đặc
quyền
Chế độ đặc quyền

Hardware


T o l p ti n trình
Ti n trình cha phát l i g i h th ng đ t o ti n trình con
Nh n yêu c u t o ti n trình, HĐH s :
Đ nh danh ti n trình m i
Đưa ti n trình vào danh sách qu n lý ti n trình
Xác đ nh đ ưu tiên c a ti n trình
T o PCB – Program Control Block cho ti n trình
C p phát tài nguyên cho ti n trình

Ti n trình con nh n tài nguyên do HĐH c p phát, ho c/và
th a hư ng m t ph n tài nguyên t ti n trình cha
Sau khi t o ti n trình, ti n trình cha ti p t c x lý cùng v i ti n
trình con, ho c ch ti n trình con x lý xong đ x lý ti p


K t thúc ti n trình
Sau khi hoàn t t công vi c, ti n trình phát l i g i h
th ng yêu c u HĐH k t thúc nó
Nh n yêu c u k t thúc ti n trình, HĐH s :
Thu h i các tài nguyên h th ng đã c p cho ti n trình
H y ti n trình kh i danh sách ti n trình
H y PCB c a ti n trình

Khi ti n trình cha k t thúc, HĐH s k t thúc các ti n trình
con c a nó
Tip: n u đư c g i b ng hàm WinExec (Win16 API), ti n
trình s ho t đ ng cho đ n khi nó t k t thúc mà không
ph thu c cha nó có k t thúc hay không

Ti u trình (thread)
Ti u trình là cơ ch x lý cho phép nhi u dòng x lý
trong cùng m t ti n trình
M t ti n trình có th s h u nhi u ti u trình, m t
ti u trình có th t o nhi u ti n trình con
Các ti u trình x lý song song và cùng chia s
không gian đ a ch chung c a ti n trình
Trư c khi k t thúc, ti n trình ph i đ m b o các ti u
trình c a nó ngưng ho t đ ng
Khi k t thúc ti n trình, HĐH s gi i phóng các ti u
trình c a nó, k c các ti u trình đang ch y

Mã đ c và ti n trình
Mã đ c

Chương trình
ho t đ ng

Th c th
th đ ng
- com, exe (DOS)
- ne-exe, ne-dll (Win16)
- pe-exe, pe-dll (Win32)
-…

- Ti n trình
- Ti u trình
-…


Th c th th đ ng
Ph n l n các mã đ c có đ nh d ng .exe (ne, pe)
Các mã đ c .dll không t ch y, nó c n host c a
nó g i (ho c rundll32.exe c a Windows g i)
Dù .exe hay .dll, mã đ c c n kích ho t m i có
th ho t đ ng và gây h i
Khi chưa ho t đ ng, các file mã đ c (.exe, .dll…)
có th b xóa d dàng


Chương trình ho t đ ng
Khi đư c n p vào thi hành, mã đ c chuy n t
th c th th đ ng sang ti n trình ho t đ ng
Do file ch (.exe) c a ti n trình đư c Windows
b o v : ph i k t thúc ti n trình trư c khi xoá file
M t s k thu t b o v ti n trình c a mã đ c:
n ti n trình trong danh sách
Vô hi u các API KillProcess, TerminateProcess
T o các ti n trình gi m o (companion)
Ch y nhi u ti n trình ki m soát l n nhau…

Các giai đo n ho t đ ng
1. Giai đo n thâm nh p:
Thâm nh p máy đích
Lưu vào h th ng lưu tr
Chu n b đi u ki n kích ho t

2. Giai đo n ho t đ ng:
Kích ho t
n náu
Thi hành nhi m v

3. Giai đo n phát tán:
C ng c , bám tr
Phá ho i, lây lan

Thâm nh p vào máy đích
Ngu n phát tán mã đ c:
M ng Internet: hotlink, email attachment, spam,
embedded webpage…
Máy trung gian: work station, zombie…
Thi t b lưu tr cá nhân: usb flash drive, mobile hdd…

Các hình th c thâm nh p c a mã đ c:
Online: m ng >> máy (truy c p m ng, download ph n
m m, share d li u…)
Offline: máy >> máy (sao chép/di chuy n d li u, trao
đ i thi t b lưu tr cá nhân…)

Lưu vào h th ng lưu tr
Thâm nh p online:
Lưu system cache: C:Documents and
SettingsLocalServiceLocal SettingsTemporary
Internet FilesContent.IE5...
Lưu user’s folder: C:Documents and Settings<User
name>DocumentsMy Received Files…

Thâm nh p offline:
Lưu vào system cache (vd, gi i nén file ch a mã đ c)
Lưu vào folder đích (do user ch đ nh trong lúc copy)


Chu n b đi u ki n kích ho t
Khai thác các l h ng b o m t
Thi hành mã tích c c: ActiveX, Java Script…
Thi hành mã macro: VBA macro, Adobe macro…

Khai thác tâm lý ngư i dùng
Thói quen thao tác: single click, favorite folders…
Tò mò, hi u kỳ: hot links, hot pictures…

Kh i t o k ho ch kích ho t
Đăng ký ng d ng: registry, auto startup…
Đăng ký d ch v : service, device driver…

Giai đo n ho t đ ng
Kích ho t
Kích ho t ngay: do h th ng l ng l o, user vô tâm
Kích ho t sau: l i d ng cơ ch auto startup

n náu
Tái đ nh v mã đ c: root, system folder, recycle bin…
B o v ti n trình: n danh sách, vô hi u Task Manager,
th c thi đa ti n trình…

Thi hành nhi m v
S c s o máy đích, đánh c p d li u…
G i k t qu cho hacker, đón nh n ch th …

Giai đo n phát tán
C ng c , bám tr
Vô hi u c u hình h th ng: registry editings, folder
settings, task controlings…
C i thi n tình th : d i đ a đi m n náu sang các
folder bí m t, t o đ ng hành (companion) gây nhi u,
vư t c p đăng nh p (limited user>admin)…

Phá ho i, lây lan
Kh ng ch h th ng, t t d ch v , vô hi u anti-virus,
xoá d li u…
Lây sang các h th ng khác…

Phát hi n mã đ c
Nguyên t c chung:
S m phát hi n, d lo i tr : phát hi n mã đ c giai
đo n 1 là t t nh t
Phân bi t ngư i ngay, k gian: có qu n lý t t danh
sách ng d ng h p th c m i phát hi n đư c mã đ c
S d ng tr th am hi u: c n trang b các anti-virus
chuyên nghi p, giám sát vào-ra thư ng xuyên

Các v trí phát hi n mã đ c
Trong vùng nh : process list, registry, auto startup
Trên đĩa: root, fragile folders, personal storage media

Phát hi n trong vùng nh
Qu n lý ti n trình:
Task Manager: TaskMgr (có s n trong Windows)
Công c khác: D32 Task List, Rootkit Unhooker…

Qu n lý auto startup
System Registry: Regedit (có s n trong Windows)
Startup Programs: Start>All Programs>Startup
System Initialization: Windowswin.ini, system.ini

Qu n lý d ch v :
System Config: MsConfig (có s n trong Windows)
System Services: Control Panel>Administrative ToolsServices


Phát hi n trên t ch c đĩa
Bư c 1 - Ki m tra các tùy ch n hi n th :
Tools> Folder Options > View…
Show hidden files and folders
Show extensions for known file types
Show protected operating system files

Bư c 2 - Quan sát các khu v c nh y c m:
Root: ki m tra các file exe, com, dll, inf, pif… root
System folders: đ phòng các file th c thi n thu c nhánh
C:Windows (system32, fonts, dllcache…)
Recycle bin: c nh giác các phân khu có hơn 1 folder s t rác (usb
không có s t rác)

Bư c 3 – Xác đ nh mã đ c:
Offline: ki m tra b ng anti-virus trên máy
Online: ki m tra tr c tuy n trên m ng (Jotti, Virus Total…)

Lo i tr mã đ c
Bư c 1 – Vô hi u mã đ c
Ng t (disconnect) liên l c m ng
Kh i đ ng trong ch đ an toàn (safe mode)
K t thúc (finish) ti n trình mã đ c, ho c
D ng (stop) d ch v mã đ c

Bư c 2 – Lo i b mã đ c
Xóa file mã đ c trên đĩa (rename/delete/quarantine…)
Xóa m c kích ho t (registry, auto startup, services…)

Bư c 3 – Tái l p h th ng
Lo i b rác: empty recycle bin; delete cookies,
histories,favorites, temporary internet files…
Kh i đ ng l i h th ng

Chương 4
TS. Trương Minh Nh t Quang

LOGO

N i dung Chương 4

Đ

tv

nđ

i
lây nh
nh
ình hì
T

m

Chương 4
Các ph n m m h tr
Các
g

Ts. Trương Minh Nh t Quang – 2013

i ip
háp

2/28

Đ t v n đ | Tình hình lây nhi m virus | Các ph n m m h tr | Các gi i pháp

Đ tv nđ
Hi n tr ng s d ng các phòng máy Internet:
S lư ng t 20 đ n 40 máy vi tính n i m ng c c b
S d ng h đi u hành Windows XP và các ph n m m
qu n lý phòng máy chuyên d ng
Cho phép s d ng USB flash drive
Khai thác Internet: chat, email, forum, games online...

Nguy cơ lây lan virus máy tính - sâu m ng, nh
hư ng an toàn d li u và an ninh h th ng


3/28


Phương pháp ti p c n
Bư c 1
Bư c 1

Bư c 2
Bư c 2

Bư c 3
Bư c 3

Nghiên c u,
phân tích đ c
tính, k thu t
lây nhi m c a
các lo i virus sâu m ng ph
bi n hi n nay

Kh o sát m t s
ph n m m ph
bi n, nghiên c u
v n d ng trong
công tác b o v
an toàn d li u
cho phòng máy

Đ xu t m t s
gi i pháp phòng
ch ng virus,
đ m b o an
toàn d li u và
an ninh thông tin
cho phòng máy


4/28


Tình hình lây nhi m virus
Trong th i đ i CNTT, tình hình lây nhi m virus máy
tính/mã đ c di n bi n ngày càng ph c t p
Hình th c phát tán online:
Ngu n: Internet (các trang web đ c h i), thư rác đi n t (t p
tin đính kèm)...
Đích: t ch c lưu tr (đĩa) thi hành (b nh ) c a máy đích

Hình th c phát tán offline:
Khi c m USB s ch vào máy nhi m, virus t chép vào USB
Khi c m USB nhi m vào máy s ch, virus s vào thư ng trú
trong b nh , t sao chép vào đĩa c ng và lây vào các USB
s ch khác...


5/28


Các v trí trú n c a mã đ c
Các t ch c thi hành mã l nh: .exe, .com, .pif, .scr, .bat...
C u trúc lưu tr : thư m c g c (‘C:’, ‘D:’,...), thư m c h
th ng ('C:Windows’), s t rác (‘E:Recycler’)...
Các t ch c qu n lý thi hành t đ ng: Windows Registry,
Windows Startup, System Service...
Các trình đi u khi n thi t b như bàn phím, chu t (đ
kích ho t mã đ c khi ngư i dùng ch m vào thi t b )


6/28


Các k ch b n lây nhi m offline
K ch b n 1 - thay folder h th ng b ng t p tin virus:
Ch n icon c a virus gi ng icon folder c a h th ng
T o các .exe ch a virus có ph n tên gi ng v i tên folder
Che đuôi .exe: ‘Hide extensions for known file types’
Đ t thu c tính n cho các folder b gi m o
n các folder: ‘Do not show hidden files and folders’
Vô hi u các l nh thi t l p thông s h th ng

Khi ngư i dùng m các folder b gi m o, t p .exe ch a
virus s đư c kích ho t và m l i folder th c s cho
ngư i dùng


7/28


Các k ch b n lây nhi m…
K ch b n 2 – t o cơ h i thi hành b ng link, shortcut
Ch n/t o thư m c bí m t lưu mã đ c
Thay đ i/hi u ch nh/chèn/ghép đ a ch ng d ng m
link/shortcut b ng đ a ch tr đ n folder ch a mã đ c
Thay đ i hình th c th hi n c a link/shortcut
Đi u khi n/k th a ch c năng c a link/shortcut cũ

Khi user m link/shortcut (My Documents, My Favorites,
My Pictures…) mã đ c s đư c kích ho t, th c thi nhi m
v và m l i ng d ng đi u khi n link th t s


8/28


Các k ch b n lây nhi m…
K ch b n 3 - t thi hành b ng phương th c autorun:
T o t p autorun.inf root ch a liên k t th c thi virus:
[Autorun]
Command=PathVirusFile.exe
Kh i t o Path (root, system folder, recycler, sub-folder...)
Chép virus vào Path, n náu (gi ng k ch b n 1)
Đăng ký autorun cho các thi t b c m thêm

Khi ngư i dùng c m USB vào máy, phương th c
autorun s kích ho t t p tin .exe ch a virus


9/28


Các ph n m m h tr

Các ph n m m quét virus

AV

Các ph n m m Net School

NS

Các ph n m m ‘đóng băng’

DF

Các ph n m m t o máy o

VM

10/28


Các ph n m m quét virus
Ch c năng: canh phòng virus xâm nh p, b o v an toàn
d li u, an ninh h th ng
Nguyên t c ho t đ ng: nh n d ng lo i tr mã đ c d a
vào t p mã đ c trưng c p nh t đ nh kỳ
Ký hi u, phân lo i s d ng:
Home: ch c năng t i thi u, dành cho cá nhân và gia đình
Professional: trang b nhi u tính năng chuyên nghi p
SME (Small & Medium Enterprise): dành cho DN nh và v a
Enterprise: dành cho doanh nghi p l n

Nhà cung c p:
S n ph m Vi t Nam: BKAV, CMC, D32…
S n ph m nư c ngoài: Avira, Kaspersky, Panda, Norton…

11/28


H quét virus m ng LAN
Quét virus
m ng LAN

Phân h máy ch

Phân h máy tr m

- Quét ki m tra, canh

- Quét ki m tra, canh
phòng virus xâm nh p
- C p nh t cơ s d
li u t máy ch
- Báo cáo tình hình an
ninh máy tr m

phòng virus xâm nh p
máy ch
- Qu n tr , đi u khi n
an ninh h th ng
- C p nh t, đ ng b
cơ s d li u h th ng


12/28


Các ph n m m Net School
Ch c năng: h tr công tác qu n lý th c hành trên
m ng c c b
Nguyên t c: ho t đ ng theo mô hình client-server
Các phân h chính:
Teacher: cài trên máy ch dành cho giáo viên
Student: cài trên máy tr m dành cho h c sinh

Các ph n m m tiêu bi u:
NetOp School
NetSupport School


13/28


Các ho t đ ng trên máy ch
Ki m soát ho t đ ng máy tr m
Qu n lý c u trúc đĩa máy tr m

Phân h
Teacher

Phân ph i d li u cho máy tr m
Thu h i d

li u t máy tr m

Yêu c u máy tr m th c thi l nh


14/28


Ki m soát an ninh m ng t máy ch
Theo dõi th hi n c a virus, quan sát màn hình máy tr m, lưu ý
các c a s b t lên, các c nh báo an ninh...
N m b t tình hình lây nhi m, kh o sát c u trúc đĩa máy tr m,
chú ý các t p tin th c thi (.exe, .scr, .pif, .com) l
thư m c h
th ng và thư m c g c các đĩa máy tr m
Thu nh n các t p th c thi nghi ng mã đ c t máy tr m v máy
ch đ kh o sát
Phân ph i t p k ch b n di t tr sâu m ng cho các máy tr m
Th c thi t p k ch b n di t tr virus cho các máy tr m
Kh i đ ng l i máy tr m sau khi ch y t p k ch b n đ tái l p tình
tr ng ban đ u cho h th ng


15/28


Các ph n m m ‘đóng băng’
Ch c năng: khôi ph c h th ng v tr ng thái ban đ u
sau khi máy tính kh i đ ng l i
Nguyên t c ho t đ ng: System Restore, Check Point
Ưu đi m: b o v h th ng, lo i tr virus máy tính
Như c đi m:
Không b o toàn d li u ngư i dùng
Chi m d ng tài nguyên, làm ch m máy
H th ng kém linh ho t

DF (Deep Freeze) c a Faronics
GoBack c a Symantec

16/28


Các ph n m m máy o
Máy o (VM-Virtual Machine) là môi trư ng ph n m m
cho phép nhi u h đi u hành và ng d ng cùng ho t
đ ng trên m t máy tính
Ưu đi m: d li u máy th t luôn đư c b o toàn
Như c đi m:
Ch thích h p cho máy có c u hình đ m nh
Các ng d ng l n ho t đ ng không t t như khi cài trên máy th t
Ti m n nguy cơ virus lây lan qua cơ ch giao ti p d li u gi a
máy o và máy th t ( đĩa chia s , thư m c chia s …)

Virtual Box: Sun Microsystems
Virtual PC: Microsoft
VMware: VMware Inc.

17/28


Chu n b h th ng
Quy ư c chia

đĩa c ng thành 2 phân khu:

Phân khu C lưu h đi u hành và các ng d ng
Phân khu D lưu d li u ngư i dùng

Cài đ t h đi u hành máy ch , máy tr m
Thi t l p chính sách liên l c m ng, c p quy n s d ng...
Cài đ t các phân h Net School (Teacher, Student)
T o các folder C:Autorun.inf và D:Autorun.inf
Cài anti-virus ch y thư ng tr c trên t t c các máy


18/28


Các gi i pháp an toàn d li u
Gi i pháp đóng băng DF

Gi i pháp máy o VM

Ph i h p DF và VM


19/28


Gi i pháp 1: đóng băng (DF)
Đ i v i máy tr m:
Biên t p k ch b n ‘C:Autorun.infDelFiles.bat’:
Attrib –r –s –h +a D:*.* /s /d
Del D:*.* /s /q

Đóng băng

C b ng DF

Đ i v i máy ch :
S d ng module Teacher theo dõi an ninh máy tr m
Kh i đ ng máy tr m, ch y k ch b n DelFiles di t virus
cho máy tr m


20/28


Phân tích gi i pháp 1
Ưu đi m:
Đơn gi n, d cài đ t
Phân khu h th ng luôn đư c b o toàn
Đ m b o lo i tr tri t đ virus máy tính
Thích h p cho máy tính c u hình trung bình

Như c đi m:
Không b o toàn d li u ngư i dùng khi máy treo ho c
m t đi n
Khi c n cài đ t thêm ph n m m, ph i g đóng băng


21/28


Gi i pháp 2: máy o (VM)
Đ i v i máy tr m:
T o tài kho n ngư i dùng h n ch , login tr c ti p
Cài máy o, h đi u hành, các ph n m m vào máy o
Lưu snapshot máy o d phòng
L p chính sách chia s d li u D
Ngư i dùng thao tác trên máy o, lưu d li u vào
chia s
Biên t p, lưu k ch b n DelFiles.bat (xem gi i pháp 1)

Đ i v i máy ch : gi ng gi i pháp 1


22/28


Ưu đi m:
Kh c ph c r i ro m t d li u ngư i dùng c a gi i pháp 1
Ch c n cài đ t ng d ng trên máy o cho 1 máy r i c p
nh t snapshot cho c m ng

Như c đi m:
Ch thích h p cho các ng d ng không c n c u hình
máy m nh
Ti m n nguy cơ virus lưu trú folder ngư i dùng c a
h đi u hành máy th t


23/28


Gi i pháp 3: ph i h p DF và VM
Đ i v i máy tr m:
Cài đ t máy o, cài h đi u hành và ng d ng cho máy o
Thi t l p c u hình máy o đ t snapshot và virtual disk
image trên D
Đóng băng C b ng DF

Đ i v i máy ch : th c hi n gi ng gi i pháp 1 và 2


24/28


Ưu đi m:
Kh c ph c r i ro m t d li u t m c a gi i pháp 1.
Kh c ph c nguy cơ virus ti m n trong phân khu h
th ng c a gi i pháp 2
Cài đ t b sung ph n m m d dàng

Như c đi m:
Yêu c u c u hình máy m nh (CPU P4, RAM 1GB,
HDD 80GB…)
Không thích h p cho các ph n m m đòi h i ph n c ng
(b đi u h p video, b nh , không gian lưu tr …)


25/28

TS. Trương Minh Nh t Quang

LOGO

Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang

Similar to Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang (20)

More from Security Bootcamp

More from Security Bootcamp (20)

Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang