bài 2: phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội -...
Post on 24-Jun-2015
1.980 Views
Preview:
DESCRIPTION
TRANSCRIPT
Bài 2:Phần mềm độc hại và các dạngtấn công sử dụng kỹ nghệ xã hội
Củng cố lại bài 1
Những thử thách trong bảo mật thông tinNhững cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?6 loại kẻ tấn công
Tấn công và Phòng thủ5 bước của một cuộc tấn công5 nguyên tắc cơ bản của phòng thủ
Những thử thách trong bảo mật thông tinNhững cuộc tấn công hiện nay, Những khó khăn
Bảo mật thông tin là gì?Định nghĩa, Các thuật ngữ, Tầm quan trọng
Những kẻ tấn công là ai?6 loại kẻ tấn công
Tấn công và Phòng thủ5 bước của một cuộc tấn công5 nguyên tắc cơ bản của phòng thủ
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 2
Mục tiêu của bài học
Mô tả sự khác nhau giữa vi rút và sâu máy tính
Liệt kê các kiểu phần mềm độc hại giấu mình
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 3
Nhận dạng các loại phần mềm độc hại nhằm kiếm lợi
Mô tả các kiểu tấn công tâm lý sử dụng kỹ nghệ xã hội
Giải thích các vụ tấn công vật lý sử dụng kỹ nghệ xãhội
Tấn công sử dụngphần mềm độc hại
Phần mềm độc hại (malware)Xâm nhập vào hệ thống máy tính:
Không được sự hay biết hay đồng ý của chủ nhânDùng để chỉ một loạt các phần mềm gây hại hoặc gâyphiền nhiễu
Mục đích chính của phần mềm độc hạiLây nhiễm các hệ thốngChe dấu mục đíchThu lợi
Phần mềm độc hại (malware)Xâm nhập vào hệ thống máy tính:
Không được sự hay biết hay đồng ý của chủ nhânDùng để chỉ một loạt các phần mềm gây hại hoặc gâyphiền nhiễu
Mục đích chính của phần mềm độc hạiLây nhiễm các hệ thốngChe dấu mục đíchThu lợi
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 4
Phần mềm độc hại lan truyền
Phần mềm độc hại lan truyềnDạng phần mềm độc hại nhắm tới mục tiêu chủ yếu là lantruyền
Có hai dạng phần mềm độc hại lan truyền:Vi rút (virus)Sâu (worm)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 5
Phần mềm độc hại lan truyền- Vi rút
Vi rút (virus)Là các mã máy tính nguy hiểm, có khả năng tái tạo trêncùng máy tính
Các phương thức lây nhiễm vi rútLây nhiễm kiểu gắn kết phía sauLây nhiễm kiểu pho-mat Thụy SĩLây nhiễm kiểu phân tách
Vi rút (virus)Là các mã máy tính nguy hiểm, có khả năng tái tạo trêncùng máy tính
Các phương thức lây nhiễm vi rútLây nhiễm kiểu gắn kết phía sauLây nhiễm kiểu pho-mat Thụy SĩLây nhiễm kiểu phân tách
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 6
Phần mềm độc hại lan truyền- Vi rút (tiếp)
Khi chương trình nhiễm vi rút được khởi động:Tự nhân bản (lây lan sang các file khác trên máy tính)Kích hoạt chức năng phá hoại
hiển thị một thông điệp gây phiền nhiễuthực hiện một hành vi nguy hiểm hơn
Các ví dụ về hoạt động của vi rútLàm cho máy tính lặp đi lặp lại một sự cốXóa các file hoặc định dạng lại ổ cứngTắt các thiết lập bảo mật của máy tính
Khi chương trình nhiễm vi rút được khởi động:Tự nhân bản (lây lan sang các file khác trên máy tính)Kích hoạt chức năng phá hoại
hiển thị một thông điệp gây phiền nhiễuthực hiện một hành vi nguy hiểm hơn
Các ví dụ về hoạt động của vi rútLàm cho máy tính lặp đi lặp lại một sự cốXóa các file hoặc định dạng lại ổ cứngTắt các thiết lập bảo mật của máy tính
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 7
Phần mềm độc hại lan truyền- Vi rút (tiếp)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 8
Hình 2-4 Một thông điệp phiền nhiễu do vi rút gây ra© Cengage Learning 2012
Phần mềm độc hại lan truyền- Vi rút (tiếp)
Vi rút không thể tự động lây lan sang máy tính khácNó phụ thuộc vào hành động của người dùng để lây lan
Các vi rút được đính kèm theo fileVi rút lan truyền bằng cách truyền nhận các file bị nhiễmvi rút
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 9
Phần mềm độc hại lan truyền- Vi rút (tiếp)
Các loại vi rút máy tínhVi rút chương trình (program virus)
Lây nhiễm các file thực thiVi rút macro (macro virus)
Thực thi một đoạn mã kịch bảnVi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hànhmở ra
Vi rút khởi động (boot virus)Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)Chèn thêm các chương trình độc hại vào hệ điều hành
Các loại vi rút máy tínhVi rút chương trình (program virus)
Lây nhiễm các file thực thiVi rút macro (macro virus)
Thực thi một đoạn mã kịch bảnVi rút thường trú (resident virus)
Vi rút lây nhiễm các file do người dùng hoặc hệ điều hànhmở ra
Vi rút khởi động (boot virus)Lây nhiễm vào Master Boot Record
Vi rút đồng hành (companion virus)Chèn thêm các chương trình độc hại vào hệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 10
Phần mềm độc hại lan truyền- Sâu
Sâu (Worm)Chương trình độc hạiKhai thác các lỗ hổng ứng dụng hoặc hệ điều hànhGửi các bản sao của chính mình sang các thiết bị mạngkhác
Sâu có thể:Sử dụng các tài nguyênĐể lại một đoạn mã để làm hại hệ thống bị lây nhiễm
Các ví dụ về hoạt động của sâuXóa các file trên máy tínhCho phép kẻ tấn công có thể điều khiển máy tính bị hạitừ xa
Sâu (Worm)Chương trình độc hạiKhai thác các lỗ hổng ứng dụng hoặc hệ điều hànhGửi các bản sao của chính mình sang các thiết bị mạngkhác
Sâu có thể:Sử dụng các tài nguyênĐể lại một đoạn mã để làm hại hệ thống bị lây nhiễm
Các ví dụ về hoạt động của sâuXóa các file trên máy tínhCho phép kẻ tấn công có thể điều khiển máy tính bị hạitừ xa
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 11
Phần mềm độc hại lan truyềnVirus và Sâu
Hành động vi rút Sâu
Lây lan sangcác máy tínhkhác
Do gười dùng truyềnnhững file bị lây nhiễmsang máy tính khác
Sử dụng hệ thốngmạng để di chuyểnsang máy tính khác
Cách thức hoạtđộng
chèn mã của nó vào trongfile
Khai thác các lỗ hổngcủa ứng dụng hoặchệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 12
Bảng 2-1 Sự khác nhau giữa vi rút và sâu
Cách thức hoạtđộng
chèn mã của nó vào trongfile
Khai thác các lỗ hổngcủa ứng dụng hoặchệ điều hành
Cần tác độngtừ phía ngườidùng
Có Không
Khả năng điềukhiển từ xa
Không Có
Phần mềm độc hại giấu mình
Phần mềm độc hại giấu mình (concealing malware)Dạng phần mềm độc hại có mục tiêu chính là che giấu sựcó mặt của chúng trước người dùngKhác hẳn với việc lan truyền nhanh như vi rút và sâu.
Các dạng phần mềm độc hại giấu mình bao gồm cácTrojanRootkitBom lôgíc (logic bomb)Cửa hậu (backdoor)
Phần mềm độc hại giấu mình (concealing malware)Dạng phần mềm độc hại có mục tiêu chính là che giấu sựcó mặt của chúng trước người dùngKhác hẳn với việc lan truyền nhanh như vi rút và sâu.
Các dạng phần mềm độc hại giấu mình bao gồm cácTrojanRootkitBom lôgíc (logic bomb)Cửa hậu (backdoor)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 13
Phần mềm độc hại giấu mình- Trojan
Trojan (ngựa thành Troy)Là chương trình thực hiện những mục đích nằm ngoàinhững điều quảng cáoThường thực thi các chương trình
Chứa các mã ẩn để thực hiện việc tấn côngĐôi khi có thể ở dạng một file dữ liệuVí dụ
Người dùng tải và sử dụng chương trình “free calendarprogram”Chương trình này sẽ quét hệ thống để tìm số tài khoản tíndụng và mật khẩuChuyển thông tin thu thập được cho kẻ tấn công qua mạng
Trojan (ngựa thành Troy)Là chương trình thực hiện những mục đích nằm ngoàinhững điều quảng cáoThường thực thi các chương trình
Chứa các mã ẩn để thực hiện việc tấn côngĐôi khi có thể ở dạng một file dữ liệuVí dụ
Người dùng tải và sử dụng chương trình “free calendarprogram”Chương trình này sẽ quét hệ thống để tìm số tài khoản tíndụng và mật khẩuChuyển thông tin thu thập được cho kẻ tấn công qua mạng
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 14
Phần mềm độc hại giấu mình- Rootkit
Rootkit (công cụ gốc)Là các công cụ phần mềm được kẻ tấn công sử dụng đểche dấu các hành động hoặc sự hiện diện của các phầnmềm độc hại khác (trojan, sâu…)Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mụcnhật kýCó thể thay đổi hoặc thay thế các file của hệ điều hànhbằng các phiên bản sửa đổi:
Được thiết kế chuyên để che dấu các hành vi gây hại
Rootkit (công cụ gốc)Là các công cụ phần mềm được kẻ tấn công sử dụng đểche dấu các hành động hoặc sự hiện diện của các phầnmềm độc hại khác (trojan, sâu…)Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mụcnhật kýCó thể thay đổi hoặc thay thế các file của hệ điều hànhbằng các phiên bản sửa đổi:
Được thiết kế chuyên để che dấu các hành vi gây hại
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 15
Phần mềm độc hại giấu mình- Rootkit (tiếp)
Có thể phát hiện Rootkit bằng cách sử dụng các chươngtrình so sánh nội dung file với file gốc ban đầuRootkit hoạt động ở mức thấp trong hệ điều hành:
Có thể rất khó phát hiệnViệc loại bỏ rootkit có thể rất khó khăn
Khôi phục các file gốc của hệ điều hànhĐịnh dạng và cài đặt lại hệ điều hành
Có thể phát hiện Rootkit bằng cách sử dụng các chươngtrình so sánh nội dung file với file gốc ban đầuRootkit hoạt động ở mức thấp trong hệ điều hành:
Có thể rất khó phát hiệnViệc loại bỏ rootkit có thể rất khó khăn
Khôi phục các file gốc của hệ điều hànhĐịnh dạng và cài đặt lại hệ điều hành
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 16
Phần mềm độc hại giấu mình- Bom lô gíc
Bom lôgic (logic bom)Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác địnhSau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạtĐôi khi, bom lôgíc được các hãng phần mềm hợp phápsử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bomlôgíc sẽ được kích hoạt và ngăn chặn không cho dùngphần mềm nữa.Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏphần mềm, các file về khách hàng, cùng bảng chi trảkèm theo.
Bom lôgic (logic bom)Mã máy tính ở trạng thái “ngủ đông”
Được kích hoạt bởi một sự kiện lôgic xác địnhSau đó thực hiện các hành vi phá hoại
Rất khó phát hiện cho tới khi được kích hoạtĐôi khi, bom lôgíc được các hãng phần mềm hợp phápsử dụng để đảm bảo việc chi trả cho phần mềm của họ.
Nếu việc chi trả không được thực hiện đúng hạn, bomlôgíc sẽ được kích hoạt và ngăn chặn không cho dùngphần mềm nữa.Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏphần mềm, các file về khách hàng, cùng bảng chi trảkèm theo.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 17
Phần mềm độc hại giấu mình(tiếp tục.)
Mô tả Lý do tấn công Hậu quả
Bom lôgic, phát tán trongmạng cung cấp dịch vụtài chính, xóa sạch dữliệu quan trọng của 1000máy tính
Một nhân viên bất mãnmuốn làm giảm giá trị cổphiếu của công ty; đểkiếm lợi từ việc giảm giáđó.
Bom lôgic đã phát nổ,nhân viên đó đã phảichịu mức án 8 năm tù,và phải bồi thường 3.1triệu đô la.
Một nhà thầu quốcphòng thiết kế một bomlôgic nhằm xóa sạch cácdữ liệu quan trọng về tênlửa
Nhà thầu đó muốn đượcthuê để phá bom lôgicvới mức lương cao
Bom lôgic đã được pháthiện và vô hiệu hóa; nhàthầu bị buộc tội giả mạovà lừa đảo, bị phạt 5000đô la.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 18
Bảng 2-2 Các bom lôgic nổi tiếng
Một nhà thầu quốcphòng thiết kế một bomlôgic nhằm xóa sạch cácdữ liệu quan trọng về tênlửa
Bom lôgic đã được pháthiện và vô hiệu hóa; nhàthầu bị buộc tội giả mạovà lừa đảo, bị phạt 5000đô la.
Một bom logic đã phátnổ tại công ty dịch vụsức khỏe vào đúng ngàysinh nhật của nhân viên.
Nhân viên đó bực tức vìnghĩ mình có thể bị sathải (mặc dù thực tế anhta không bị sa thải)
Nhân viên đó đã bị kếtán 30 tháng tù và phảibồi thường 81.200 đô la
Phần mềm độc hại giấu mình- Cửa hậu
Cửa hậu (Backdoor)Mã phần mềm có mục đích né tránh các thiết lập bảo mậtCho phép chương trình có thể truy cập nhanh chóngThường do các lập trình viên tạo ra
Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tấtTuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấncông đã dùng chúng để qua mặt (bypass) bảo mật .
Các phần mềm độc hại từ những kẻ tấn công cũng cóthể cài đặt cửa hậu lên máy tính.
Cách làm này cho phép những kẻ tấn công sau đó quaylại máy tính, và qua mặt mọi thiết lập bảo mật.
Cửa hậu (Backdoor)Mã phần mềm có mục đích né tránh các thiết lập bảo mậtCho phép chương trình có thể truy cập nhanh chóngThường do các lập trình viên tạo ra
Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tấtTuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấncông đã dùng chúng để qua mặt (bypass) bảo mật .
Các phần mềm độc hại từ những kẻ tấn công cũng cóthể cài đặt cửa hậu lên máy tính.
Cách làm này cho phép những kẻ tấn công sau đó quaylại máy tính, và qua mặt mọi thiết lập bảo mật.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 19
Phần mềm độc hạinhằm kiếm lợi
Các kiểu phần mềm độc hại nhằm kiếm lợiBotnetPhần mềm gián điệp (Spyware)Phần mềm quảng cáo (Adware)Bộ ghi lưu bàn phím (KeyLogger)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 20
Phần mềm độc hại nhằm kiếm lợi- Botnet
BotnetMáy tính bị lây nhiễm chương trình cho phép kẻ tấn côngcó thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rútMáy tính bị lây nhiễm được gọi là thây ma (zombie)Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm InternetRelay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
BotnetMáy tính bị lây nhiễm chương trình cho phép kẻ tấn côngcó thể điều khiển từ xa
Thường là các mã của Trojan, sâu, và vi rútMáy tính bị lây nhiễm được gọi là thây ma (zombie)Một nhóm các máy tính thây ma được gọi là botnet
Ban đầu, những kẻ tấn công sử phần mềm InternetRelay Chat để điều khiển các máy tính thây ma
Hiện nay, chúng sử dụng HTTP
21
Phần mềm độc hại nhằm kiếm lợi- Botnet (tiếp)
Lợi ích của Botnet đối với những kẻ tấn côngHoạt động ở chế độ nền:
Thường không có biểu hiện của sự tồn tạiCung cấp phương tiện để che dấu hành vi của kẻ tấn côngCó thể duy trì hoạt động trong nhiều nămTrong một thời điểm, kẻ tấn công có thể truy cập tới nhiềuthây ma
Do sự gia tăng không ngừng của các dịch vụ trên Internet
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Lợi ích của Botnet đối với những kẻ tấn côngHoạt động ở chế độ nền:
Thường không có biểu hiện của sự tồn tạiCung cấp phương tiện để che dấu hành vi của kẻ tấn côngCó thể duy trì hoạt động trong nhiều nămTrong một thời điểm, kẻ tấn công có thể truy cập tới nhiềuthây ma
Do sự gia tăng không ngừng của các dịch vụ trên Internet
22
Kiểu tấn công Mô tả
Thư rác Một botnet cho phép kẻ tấn công gửi một khối lượng lớnthư rác; một số botnet có thể thu thập các địa chỉ e-mail
Phát tán phầnmềm độc hại
Các botnet có thể được sử dụng để phát tán phần mềmđộc hại, tạo ra các zombie, botnet mới; các zombie có thểtải và thực thi một file do kẻ tấn công gửi đến
Tấn công cácmạng IRC
Botnet thường được dùng để tấn công mạng IRC; chươngtrình điều khiển ra lệnh cho mỗi botnet kết nối một sốlượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,do đó không thể thực hiện chức năng của mình
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 23
Bảng 2-3 Những mục đích sử dụng của botnet
Botnet thường được dùng để tấn công mạng IRC; chươngtrình điều khiển ra lệnh cho mỗi botnet kết nối một sốlượng lớn các zombie vào mạng IRC, mạng IRC bị quá tải,do đó không thể thực hiện chức năng của mình
Thao túng bầu cửtrực tuyến
Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tươngđương như “lá phiếu” của một cử tri thực; các trò chơi trựctuyến có thể được thao túng theo cách tương tự
Ngăn cản dịch vụ Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làmserver bị quá tải, không đáp ứng được yêu cầu hợp pháp
Phần mềm độc hại nhằm kiếm lợi- Phần mềm gián điệp
Phần mềm gián điệp (spyware)Phần mềm thu thập thông tin trái phép, không được sựcho phép của người dùngThường được sử dụng với mục đích:
Quảng cáoThu thập thông tin cá nhânThay đổi cấu hình máy tính
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Phần mềm gián điệp (spyware)Phần mềm thu thập thông tin trái phép, không được sựcho phép của người dùngThường được sử dụng với mục đích:
Quảng cáoThu thập thông tin cá nhânThay đổi cấu hình máy tính
24
Phần mềm độc hại nhằm kiếm lợi- Phần mềm gián điệp (tiếp)
Những tác động tiêu cực của phần mềm gián điệpLàm giảm hiệu năng máy tínhLàm cho hệ thống bất ổn địnhCó thể cài đặt các menu trên thanh công cụ của trìnhduyệtCó thể tạo ra các đường dẫn mới (shortcut)Chiếm đoạt trang chủLàm tăng các cửa sổ quảng cáo
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Những tác động tiêu cực của phần mềm gián điệpLàm giảm hiệu năng máy tínhLàm cho hệ thống bất ổn địnhCó thể cài đặt các menu trên thanh công cụ của trìnhduyệtCó thể tạo ra các đường dẫn mới (shortcut)Chiếm đoạt trang chủLàm tăng các cửa sổ quảng cáo
25
Công nghệ Mô tả Ảnh hưởng
Tự động tảiphần mềm
Được dùng để tải và cài đặt phầnmềm, không cần tương tác củangười dùng
Có thể được sử dụng đểcài đặt phần mềm tráiphép
Các côngnghệ theo dõithụ động
Được sử dụng để thu thập thông tinvề các hoạt động của người dùngmà không cần cài đặt bất cứ phầnmềm nào
Có thể thu thập cácthông tin riêng tư nhưcác Web site mà ngườidùng truy cập
Phần mềmthay đổi hệthống
Điều chỉnh hoặc thay đổi các cấuhình người dùng
Thay đổi các thiết lậpcấu hình mà không có sựchấp thuận của ngườidùng
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 26
Bảng 2-4 Các công nghệ sử dụng trong phần mềm gián điệp
Phần mềmthay đổi hệthống
Điều chỉnh hoặc thay đổi các cấuhình người dùng
Thay đổi các thiết lậpcấu hình mà không có sựchấp thuận của ngườidùng
Phần mềmtheo dõi
Được dùng để kiểm soát các hành vicủa người dùng hoặc thu thập thôngtin người dùng
Có thể thu thập thông tincá nhân với mục đíchchia sẻ rộng rãi hoặcđánh cắp
Phần mềm độc hại nhằm kiếm lợi- Phần mềm quảng cáo
Phần mềm quảng cáo (adware)Chương trình cung cấp các nội dung quảng cáo:
Theo cách người dùng không mong muốnThường hiển thị các biểu ngữ quảng cáo và các cửa sổquảng cáoCó thể mở cửa sổ trình duyệt một cách ngẫu nhiênCó thể theo dõi các hoạt động trực tuyến của người dùng
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Phần mềm quảng cáo (adware)Chương trình cung cấp các nội dung quảng cáo:
Theo cách người dùng không mong muốnThường hiển thị các biểu ngữ quảng cáo và các cửa sổquảng cáoCó thể mở cửa sổ trình duyệt một cách ngẫu nhiênCó thể theo dõi các hoạt động trực tuyến của người dùng
27
Phần mềm độc hại nhằm kiếm lợi- Phần mềm quảng cáo (tiếp)
Yếu tố bất lợi đối với người dùngCó thể hiển thị các nội dung chống đốiThường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suấtlàm việcCác cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiệntượng treo máyNhững quảng cáo không mong muốn gây ra sự phiềnnhiễu
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Yếu tố bất lợi đối với người dùngCó thể hiển thị các nội dung chống đốiThường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suấtlàm việcCác cửa sổ quảng cáo làm chậm máy tính hoặc gây ra hiệntượng treo máyNhững quảng cáo không mong muốn gây ra sự phiềnnhiễu
28
Phần mềm độc hại nhằm kiếm lợi- Bộ ghi lưu bàn phím
Bộ ghi lưu bàn phím (keylogger)Sao chụp lại các thao tác gõ phím của người dùngThông tin sau đó được truy xuất bởi kẻ tấn côngKẻ tấn công có thể tìm ra những thông tin hữu ích
Mật khẩuSố tài khoản tín dụngThông tin cá nhân
Có thể là một thiết bị phần cứng gọn nhẹĐược cài cắm vào giữa bàn phím máy tính và bộ kết nốiKhó bị phát hiệnKẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mớicó thể thu thập được thông tin
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội
Bộ ghi lưu bàn phím (keylogger)Sao chụp lại các thao tác gõ phím của người dùngThông tin sau đó được truy xuất bởi kẻ tấn côngKẻ tấn công có thể tìm ra những thông tin hữu ích
Mật khẩuSố tài khoản tín dụngThông tin cá nhân
Có thể là một thiết bị phần cứng gọn nhẹĐược cài cắm vào giữa bàn phím máy tính và bộ kết nốiKhó bị phát hiệnKẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mớicó thể thu thập được thông tin
29
Phần mềm độc hại nhằm kiếm lợi- Bộ ghi lưu bàn phím (tiếp)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 30
Hình 2-6 Phần cứng theo dõi thao tác bàn phím© Cengage Learning 2012
Phần mềm độc hạinhằm kiếm lợi (tiếp tục)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 31
Hình 2-7 Thông tin được chụp lại bởi phần mềm theo dõi thao tác bàn phím© Cengage Learning 2012
Tấn công sử dụngkỹ nghệ xã hội
Kỹ nghệ xã hội (social engineering)là phương tiện thu thập thông tin cho một cuộc tấn côngbằng cách dựa trên những điểm yếu của các cá nhân.Không cần đến công nghệ
Tấn công dùng kỹ nghệ xã hội có thể bao gồmcác phương pháp tâm lýcác phương pháp vật lý.
Kỹ nghệ xã hội (social engineering)là phương tiện thu thập thông tin cho một cuộc tấn côngbằng cách dựa trên những điểm yếu của các cá nhân.Không cần đến công nghệ
Tấn công dùng kỹ nghệ xã hội có thể bao gồmcác phương pháp tâm lýcác phương pháp vật lý.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 32
Tấn công sử dụngkỹ nghệ xã hội – Ví dụ
Một kẻ tấn công gọi cho phòng nhân sựHỏi và có được tên của các nhân sự chủ chốt
Một nhóm những kẻ tấn công tiếp cận một tòa nhàBám sau nhân viên để thâm nhập các khu vực bảo mật
Do biết giám đốc tài chính không có mặt tại tòa nhàĐột nhập vào phòng giám đốc tài chínhThu thập thông tin từ chiếc máy tính không được bảo vệ
Lục lọi thùng rác để tìm kiếm các tài liệu hữu íchMột nhân viên gọi điện từ bàn giám đốc tài chính
Mạo danh giám đốc tài chính hỏi lấy mật khẩuNhóm tấn công đã rời khỏi tòa nhà và thực hiện thànhcông việc truy cập mạng
Một kẻ tấn công gọi cho phòng nhân sựHỏi và có được tên của các nhân sự chủ chốt
Một nhóm những kẻ tấn công tiếp cận một tòa nhàBám sau nhân viên để thâm nhập các khu vực bảo mật
Do biết giám đốc tài chính không có mặt tại tòa nhàĐột nhập vào phòng giám đốc tài chínhThu thập thông tin từ chiếc máy tính không được bảo vệ
Lục lọi thùng rác để tìm kiếm các tài liệu hữu íchMột nhân viên gọi điện từ bàn giám đốc tài chính
Mạo danh giám đốc tài chính hỏi lấy mật khẩuNhóm tấn công đã rời khỏi tòa nhà và thực hiện thànhcông việc truy cập mạng
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 33
Các phương pháp tâm lý
Phương pháp tâm lý (psychology).Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vậtchất.Nhằm thuyết phục nạn nhân cung cấp thông tin hoặcthuyết phục họ hành động.
Các phương pháp tâm lý thường được sử dụngThuyết phục (Persuasion)Mạo danh (Impersonation)Phishing (lừa đảo)Thư rác (Spam)Cảnh báo giả (Hoax)
Phương pháp tâm lý (psychology).Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vậtchất.Nhằm thuyết phục nạn nhân cung cấp thông tin hoặcthuyết phục họ hành động.
Các phương pháp tâm lý thường được sử dụngThuyết phục (Persuasion)Mạo danh (Impersonation)Phishing (lừa đảo)Thư rác (Spam)Cảnh báo giả (Hoax)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 34
Các phương pháp tâm lý- Thuyết phục
Những phương pháp thuyết phục cơ bản bao gồmlấy lòng (tâng bốc hay giả vờ)a dua (những người khác cũng đang làm vậy)thân thiện
Kẻ tấn công sẽ hỏi một vài thông tin nhỏTập hợp thông tin từ vài nạn nhân khác nhau
Đưa ra những yêu cầu đáng tinKẻ tấn công có thể “tạo vỏ bọc” để có được thông tin
Trước khi nạn nhân bắt đầu cảm thấy nghi ngờKẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từnạn nhân
Những phương pháp thuyết phục cơ bản bao gồmlấy lòng (tâng bốc hay giả vờ)a dua (những người khác cũng đang làm vậy)thân thiện
Kẻ tấn công sẽ hỏi một vài thông tin nhỏTập hợp thông tin từ vài nạn nhân khác nhau
Đưa ra những yêu cầu đáng tinKẻ tấn công có thể “tạo vỏ bọc” để có được thông tin
Trước khi nạn nhân bắt đầu cảm thấy nghi ngờKẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từnạn nhân
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 35
Các phương pháp tâm lý- Mạo danh
Mạo danh (impersonation)tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân.
Những vai phổ biến thường được mạo danhTrợ lý hỗ trợ kỹ thuậtCông nhân sửa chữaBên thứ ba đáng tin cậyCác cá nhân có quyền lực
nạn nhân có thể nói “không” với người có quyền lực.
Mạo danh (impersonation)tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân.
Những vai phổ biến thường được mạo danhTrợ lý hỗ trợ kỹ thuậtCông nhân sửa chữaBên thứ ba đáng tin cậyCác cá nhân có quyền lực
nạn nhân có thể nói “không” với người có quyền lực.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 36
Các phương pháp tâm lý- Phishing
Phishing (Lừa đảo)Gửi thư điện tử tự xưng là một nguồn hợp pháp
Thư điện tử có thể chứa logo và lý lẽ hợp phápCố gắng đánh lừa người dùng để họ cung cấp các thôngtin riêng tư
Người dùng được yêu cầutrả lời e-mailcập nhật thông tin cá nhân trên một trang Web
Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tàikhoản ngân hàng, hoặc các thông tin khác.Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh vàđược lập nên nhằm đánh cắp thông tin của người sử dụng.
Phishing (Lừa đảo)Gửi thư điện tử tự xưng là một nguồn hợp pháp
Thư điện tử có thể chứa logo và lý lẽ hợp phápCố gắng đánh lừa người dùng để họ cung cấp các thôngtin riêng tư
Người dùng được yêu cầutrả lời e-mailcập nhật thông tin cá nhân trên một trang Web
Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tàikhoản ngân hàng, hoặc các thông tin khác.Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh vàđược lập nên nhằm đánh cắp thông tin của người sử dụng.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 37
Các phương pháp tâm lý- Phishing (tiếp)
Những biến thể của FishingPharming (nuôi cá)
Tự động chuyển hướng tới một website giả mạoSpear phishing (xiên cá)
Gửi e-mail hoặc tin nhắn đến những người dùng xác địnhWhaling (câu cá voi)
Nhằm vào những người giàu cóVishing (lừa đảo bằng gọi điện thoại)
Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía“ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điệnthoại do hắn cung cấpNạn nhân sau đó gọi vào số điện thoại của kẻ tấn công vànhập các thông tin riêng tư
Những biến thể của FishingPharming (nuôi cá)
Tự động chuyển hướng tới một website giả mạoSpear phishing (xiên cá)
Gửi e-mail hoặc tin nhắn đến những người dùng xác địnhWhaling (câu cá voi)
Nhằm vào những người giàu cóVishing (lừa đảo bằng gọi điện thoại)
Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía“ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điệnthoại do hắn cung cấpNạn nhân sau đó gọi vào số điện thoại của kẻ tấn công vànhập các thông tin riêng tư
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 38
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 39
Hình 2-8 Một tin nhắn lừa đảo© Cengage Learning 2012
Các phương pháp tâm lý- Phishing (tiếp)
Một số cách nhận diện PhishingNhững liên kết Web
Thường có dấu @ ở chính giữaCác biến thể của địa chỉ hợp phápSự xuất hiện của logo nhà cung cấp trông giống hợp phápNhững địa chỉ người gửi giả mạoNhững yêu cầu khẩn cấp
Một số cách nhận diện PhishingNhững liên kết Web
Thường có dấu @ ở chính giữaCác biến thể của địa chỉ hợp phápSự xuất hiện của logo nhà cung cấp trông giống hợp phápNhững địa chỉ người gửi giả mạoNhững yêu cầu khẩn cấp
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 40
Các phương pháp tâm lý- Thư rác
Thư rác (Spam)Thư điện tử không mong muốnLà phương tiện chủ yếu phát tán phần mềm độc hạiGửi thư rác là một nghề béo bở
Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắntinẢnh rác
Sử dụng các hình ảnh tạo thành từ văn bảnNé tránh các bộ lọc văn bảnThường chứa những nội dung vô nghĩa
Thư rác (Spam)Thư điện tử không mong muốnLà phương tiện chủ yếu phát tán phần mềm độc hạiGửi thư rác là một nghề béo bở
Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắntinẢnh rác
Sử dụng các hình ảnh tạo thành từ văn bảnNé tránh các bộ lọc văn bảnThường chứa những nội dung vô nghĩa
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 41
Các phương pháp tâm lý- Thư rác (tiếp)
Các kỹ thuật được áp dụng bởi kẻ gửi thư rácLớp phủ GIF (GIF Layering)
Hình ảnh rác được phân chia thành nhiều ảnh khác nhauCác lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng
Chia tách từ (Word spliting)Phân tách các từ theo chiều ngangVẫn có thể đọc được bằng mắt thường
Biến đổi hình học (Geometric variance)Dùng speckling (điểm lốm đốm) và màu sắc khác nhau saocho không có hai thư điện tử nào có hình thức giống nhau
Các kỹ thuật được áp dụng bởi kẻ gửi thư rácLớp phủ GIF (GIF Layering)
Hình ảnh rác được phân chia thành nhiều ảnh khác nhauCác lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng
Chia tách từ (Word spliting)Phân tách các từ theo chiều ngangVẫn có thể đọc được bằng mắt thường
Biến đổi hình học (Geometric variance)Dùng speckling (điểm lốm đốm) và màu sắc khác nhau saocho không có hai thư điện tử nào có hình thức giống nhau
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 42
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 43
Hình 2-10 Hình ảnh rác© Cengage Learning 2012
Các phương pháp tâm lý- Cảnh báo giả
Cảnh báo giả (Hoax)Kẻ tấn công thường sử dụng cảnh báo giả như là bướcđầu tiên trong tấn công.Cảnh báo giả là một cảnh báo sai, thường có trong e-mail,tự nhận là đến từ phòng IT.
Cảnh báo giả có nội dung như có ”vi rút rất xấu” đanglan truyền trên Internet, và khuyên người dùng
nên xóa những file tài liệu cụ thểViệc xóa file có thể làm cho máy tính không ổn định.
hoặc thay đổi cấu hình bảo vệ.thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏnghệ thống.
Cảnh báo giả (Hoax)Kẻ tấn công thường sử dụng cảnh báo giả như là bướcđầu tiên trong tấn công.Cảnh báo giả là một cảnh báo sai, thường có trong e-mail,tự nhận là đến từ phòng IT.
Cảnh báo giả có nội dung như có ”vi rút rất xấu” đanglan truyền trên Internet, và khuyên người dùng
nên xóa những file tài liệu cụ thểViệc xóa file có thể làm cho máy tính không ổn định.
hoặc thay đổi cấu hình bảo vệ.thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏnghệ thống.
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 44
Các phương pháp vật lý
Các phương pháp vật lýLục lọi thùng rác (Dumpster Diving)
Lục lọi thùng rác để tìm kiếm thông tin hữu íchBám đuôi chui cửa (Tailgating)
Bám theo sau một cá nhân hợp lệ để vượt qua cửa truy cậpNhìn qua vai (Shoulder surfing)
Tình cờ quan sát thấy người dùng nhập mã bàn phím
Các phương pháp vật lýLục lọi thùng rác (Dumpster Diving)
Lục lọi thùng rác để tìm kiếm thông tin hữu íchBám đuôi chui cửa (Tailgating)
Bám theo sau một cá nhân hợp lệ để vượt qua cửa truy cậpNhìn qua vai (Shoulder surfing)
Tình cờ quan sát thấy người dùng nhập mã bàn phím
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 45
Những thứ tìm được Sự hữu dụng
Lịch trình Một quyển lịch có thể tiết lộ thông tin thời gian các nhânviên ra vào tòa nhà
Phần cứng máy tính rẻtiền, ví dụ như ổ USBhoặc một ổ cứng di động
Những thiết bị này thường được hủy không đúng quy cáchvà có thể chứa những thông tin giá trị
Bảng ghi nhớ Có thể cung cấp những mẩu thông tin hữu dụng cho kẻ tấncông để thực hiện mục đích giả mạo
Biểu đồ tổ chức nhân sự Cho phép xác định các cá nhân và vị trí quyền hạn của họtrong tổ chức
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 46
Bảng 2-5 Những thành phần tìm được từ thùng rác và thông tin mà chúng mang lại
Cho phép xác định các cá nhân và vị trí quyền hạn của họtrong tổ chức
Danh mục điện thoại Có thể cung cấp tên và số điện thoại của các cá nhân trongtổ chức để nhằm vào hoặc để mạo danh
Sổ tay chính sách Có thể tiết lộ chính xác cấp độ an ninh trong tổ chức
Cẩm nang hệ thống Có thể cho biết loại hệ thống máy tính đang dùng, kẻ tấncông có thể sử dụng chúng để xác định các lỗ hổng
Các phương pháp vật lý (tiếp)
Các thủ đoạn bám đuôi chui cửaNhững kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”Chờ đợi bên ngoài và đi vào bên trong khi một nhân viênhợp lệ đi raNhân viên có âm mưu đưa người trái phép đi cùng để vượtqua cửa kiểm soát
Các thủ đoạn bám đuôi chui cửaNhững kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”Chờ đợi bên ngoài và đi vào bên trong khi một nhân viênhợp lệ đi raNhân viên có âm mưu đưa người trái phép đi cùng để vượtqua cửa kiểm soát
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 47
Tổng kết
Phần mềm độc hại là phần mềm xâm nhập hệ thốngmáy tính không được sự hay biết hoặc cho phép của chủnhânPhần mềm độc hại lây lan gồm có vi rút và sâu máy tínhPhần mềm độc hại giấu mình gồm có Trojan, rootkit,bom lôgic, và backdoor (cửa hậu)Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phầnmềm gián điệp (spyware), phần mềm quảng cáo(adware), và bộ ghi lưu bàn phím (keylogger)
Phần mềm độc hại là phần mềm xâm nhập hệ thốngmáy tính không được sự hay biết hoặc cho phép của chủnhânPhần mềm độc hại lây lan gồm có vi rút và sâu máy tínhPhần mềm độc hại giấu mình gồm có Trojan, rootkit,bom lôgic, và backdoor (cửa hậu)Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phầnmềm gián điệp (spyware), phần mềm quảng cáo(adware), và bộ ghi lưu bàn phím (keylogger)
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 48
Tổng kết (tiếp.)
Kỹ nghệ xã hội là phương tiện thu thập thông tin phụcvụ cho một vụ tấn công của cá nhânCác kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm:mạo danh (impersonation), phishing (lừa đảo), lục lọithùng rác (dumpster diving), và bám đuôi chui cửa(tailgating).
Kỹ nghệ xã hội là phương tiện thu thập thông tin phụcvụ cho một vụ tấn công của cá nhânCác kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm:mạo danh (impersonation), phishing (lừa đảo), lục lọithùng rác (dumpster diving), và bám đuôi chui cửa(tailgating).
Bài 2 - Phần mềm độc hại và các dạng tấn công dùng kỹ nghệ xã hội 49
top related