Malware, còn được gọi là malicious code, đề cập đến một chương trình được chèn một cách bí mật vào chương trình khác với mục đích phá hủy dữ liệu, chạy các chương trình phá hoại hoặc xâm nhập hoặc làm tổn hại đến tính bảo mật, tính toàn vẹn hoặc tính khả dụng của dữ liệu, ứng dụng hoặc hệ điều hành của nạn nhân. Malware là mối đe dọa bên ngoài phổ biến nhất đối với hầu hết các máy chủ, gây ra thiệt hại và gián đoạn trên diện rộng và đòi hỏi các nỗ lực phục hồi rộng rãi trong hầu hết các tổ chức.
Các bài viết liên quan:
Phần này cung cấp thông tin cơ bản về các dạng Malware khác nhau. Nó xác định thuật ngữ phổ biến được sử dụng trong suốt phần còn lại của tài liệu và nó trình bày các khái niệm cơ bản về Malware. Nó không cố gắng giải thích cách thức hoạt động của các loại Malware khác nhau một cách chi tiết, nhưng thay vào đó, nó làm nổi bật những điều cơ bản
đặc điểm của từng loại Malware. Phần này trước tiên thảo luận về các công cụ của kẻ tấn công, chúng thường được gửi đến các máy chủ được nhắm mục tiêu thông qua Malware và bộ công cụ Malware, được những kẻ tấn công sử dụng để xây dựng Malware. Phần còn lại của phần này kiểm tra các dạng Malware: traditional, phishing, web-based malware, và advanced persistent threats.
Các dạng Malware
Malware đã trở thành mối đe dọa lớn nhất từ bên ngoài đối với hầu hết các máy chủ, gây ra thiệt hại và yêu cầu mở rộng nỗ lực phục hồi trong hầu hết các tổ chức. Sau đây là các loại Malware cổ điển:
- Virus. Virus tự nhân bản bằng cách chèn các bản sao của chính nó vào các chương trình máy chủ hoặc tệp dữ liệu. Virus thường được kích hoạt thông qua tương tác của người dùng, chẳng hạn như mở một tệp hoặc chạy một chương trình. Virus có thể được chia thành hai loại phụ sau:
- Virus tổng hợp. Một vi rút đã biên dịch được thực thi bởi một hệ điều hành. Các loại biên dịch vi-rút bao gồm vi-rút trình nạp tệp, chúng tự gắn vào các chương trình thực thi; khởi động vi rút sector, lây nhiễm các bản ghi khởi động chính của ổ đĩa cứng hoặc các lĩnh vực khởi động của phương tiện di động; và vi rút đa chủng, kết hợp các đặc điểm của trình nạp tệp và vi rút khu vực khởi động.
- Vi rút được thông dịch. Các vi rút được thông dịch được thực thi bởi một ứng dụng. Trong khoảng này danh mục con, vi rút macro tận dụng khả năng của macro ứng dụng ngôn ngữ lập trình để lây nhiễm các tài liệu ứng dụng và các mẫu tài liệu, trong khi vi rút kịch bản lây nhiễm các tập lệnh được hiểu bởi các ngôn ngữ kịch bản được xử lý bởi các dịch vụ trên hệ điều hành.
- Worms. Worms là một chương trình tự sao chép, khép kín, thường tự thực thi mà không cần sự can thiệp của người dùng. Giun được chia thành hai loại:
- Worms dịch vụ mạng. Sâu dịch vụ mạng lợi dụng lỗ hổng trong dịch vụ mạng để tự lan truyền và lây nhiễm sang các máy chủ khác.
- Worms gửi thư hàng loạt. Một loại sâu gửi thư hàng loạt tương tự như một loại vi-rút lây qua email nhưng có khả năng tự kiểm soát, thay vì lây nhiễm vào một tệp hiện có.
- Trojan Horses. Trojan Horses là một chương trình khép kín, không trùng lặp, trong khi xuất hiện để được lành tính, thực sự có một mục đích xấu ẩn. Trojan Horse hoặc thay thế các tệp hiện có với các phiên bản độc hại hoặc thêm các tệp độc hại mới vào máy chủ. Họ thường cung cấp những kẻ tấn công khác công cụ cho máy chủ.
- Malicious Mobile Code. Malicious Mobile Code là phần mềm có mục đích xấu được truyền từ máy chủ từ xa đến máy chủ cục bộ và sau đó thực thi trên máy chủ cục bộ, thường là mà không có hướng dẫn rõ ràng của người dùng. Các ngôn ngữ phổ biến cho mã di động độc hại bao gồm Java, ActiveX, JavaScript và VBScript.
- Blended Attacks. Một Blended Attacks sử dụng nhiều phương thức lây nhiễm hoặc lây truyền. Vì Ví dụ, một cuộc tấn công hỗn hợp có thể kết hợp các phương pháp lây lan của virus và worms.
Nhiều, nếu không muốn nói là hầu hết các trường hợp Malware ngày nay là các cuộc tấn công hỗn hợp. Malware hiện tại cũng chủ yếu dựa vào kỹ thuật xã hội, là một thuật ngữ chung để chỉ những kẻ tấn công cố gắng lừa mọi người tiết lộ thông tin hoặc thực hiện các hành động nhất định, chẳng hạn như tải xuống và thực thi các tệp có vẻ như lành tính nhưng thực chất là độc hại. Bởi vì rất nhiều trường hợp Malware có nhiều loại Malware. Các danh mục Malware cổ điển được liệt kê ở trên (vi rút, sâu, v.v.) ít hữu ích hơn đáng kể so với trước đây để xử lý sự cố Malware. Tại một thời điểm, có phần lớn các thủ tục khác nhau để xử lý các sự cố của từng loại Malware; bây giờ phần lớn có một bộ thủ tục để xử lý tất cả các sự cố Malware, do đó vô hiệu hóa nhu cầu chính về việc có các danh mục.
Một vấn đề khác với các danh mục cổ điển là các dạng Malware mới hơn không phù hợp với chúng.
Ví dụ: trong xu hướng ngày càng tăng của Malware dựa trên web, còn được gọi là từng lần tải xuống, người dùng duyệt web được chuyển hướng đến một trang web bị nhiễm, thường ít hoặc không sử dụng kỹ thuật xã hội kỹ thuật. Sau đó, trang web bị nhiễm sẽ cố gắng khai thác các lỗ hổng trên máy chủ của người dùng và cuối cùng để cài đặt rootkit hoặc các công cụ tấn công khác vào máy chủ, do đó làm ảnh hưởng đến máy chủ.
Mặc dù trang web bị nhiễm, Malware của nó không lây nhiễm sang máy chủ của người dùng; thay vào đó, nó hoạt động như một công cụ tấn công và cài đặt các công cụ tấn công khác trên máy chủ. Malware dựa trên web là một cuộc tấn công hỗn hợp của nhiều loại, nhưng các thành phần của nó không ánh xạ đến các danh mục Malware khác.
Các danh mục Malware cổ điển không bao gồm lừa đảo, đề cập đến việc sử dụng máy tính lừa đảo dựa trên có nghĩa là lừa các cá nhân tiết lộ thông tin cá nhân nhạy cảm.
Để thực hiện một cuộc tấn công lừa đảo, kẻ tấn công tạo ra một trang web hoặc email trông như thể nó đến từ một tổ chức nổi tiếng, chẳng hạn như doanh nghiệp trực tuyến, công ty thẻ tín dụng hoặc tổ chức tài chính. Các email và trang web lừa đảo là nhằm đánh lừa người dùng tiết lộ dữ liệu cá nhân, thường là thông tin tài chính. Ví dụ, những kẻ lừa đảo có thể tìm kiếm tên người dùng và mật khẩu cho các trang web ngân hàng trực tuyến, cũng như số tài khoản ngân hàng.
Một số cuộc tấn công lừa đảo trùng lặp với Malware dựa trên web, vì chúng cài đặt trình ghi nhật ký tổ hợp phím hoặc các kẻ tấn công công cụ vào máy chủ để thu thập thông tin cá nhân bổ sung.
Các tổ chức nên tránh tiêu tốn thời gian và tài nguyên đáng kể để phân loại từng Malware sự cố dựa trên các loại thể loại được trình bày ở trên.
Công cụ của kẻ tấn công
Nhiều loại công cụ tấn công khác nhau có thể được Malware phân phối đến máy chủ. Những công cụ này cho phép những kẻ tấn công có quyền truy cập hoặc sử dụng trái phép các máy chủ bị nhiễm và dữ liệu của chúng hoặc để khởi động các cuộc tấn công bổ sung.
Các loại công cụ tấn công phổ biến như sau:
Backdoors. Backdoors là một chương trình độc hại nghe lệnh trên một TCP nhất định hoặc Cổng udp. Hầu hết các cửa hậu đều cho phép kẻ tấn công thực hiện một số hành động nhất định trên máy chủ, chẳng hạn như có được mật khẩu hoặc thực hiện các lệnh tùy ý. Các loại cửa hậu bao gồm Zoombie (hay còn gọi là bot), được cài đặt trên một máy chủ để khiến nó tấn công các máy chủ khác và điều khiển từ xa các công cụ quản trị, được cài đặt trên máy chủ để cho phép kẻ tấn công từ xa có quyền truy cập vào các chức năng và dữ liệu của máy chủ lưu trữ nếu cần.
Keystroke Loggers. Trình ghi nhật ký tổ hợp phím sẽ giám sát và ghi lại việc sử dụng bàn phím. Một số yêu cầu kẻ tấn công để lấy dữ liệu từ máy chủ lưu trữ, trong khi những người ghi nhật ký khác chủ động chuyển dữ liệu đến máy chủ lưu trữ khác thông qua email, chuyển tệp hoặc các phương tiện khác.
Rootkit. Rootkit là một tập hợp các tệp được cài đặt trên máy chủ để thay đổi tiêu chuẩn của nó chức năng theo cách độc hại và lén lút. Rootkit thường thực hiện nhiều thay đổi đối với máy chủ lưu trữ ẩn sự tồn tại của rootkit, làm cho rất khó xác định rằng rootkit đang tồn tại và xác định những gì rootkit đã thay đổi.
Web Browser Plug-Ins. Plugin trình duyệt web cung cấp một cách thức để một số loại nội dung hiển thị hoặc thực thi thông qua trình duyệt web. Các plug-in của trình duyệt web độc hại có thể giám sát tất cả sử dụng trình duyệt.
E-Mail Generators. Một chương trình tạo email có thể được sử dụng để tạo và gửi số lượng lớn email, chẳng hạn như Malware và thư rác, đến các máy chủ khác mà người dùng không biết hoặc cho phép.
Attacker Toolkits. Nhiều kẻ tấn công sử dụng các bộ công cụ có chứa một số loại tiện ích khác nhau và các tập lệnh có thể được sử dụng để thăm dò và tấn công các máy chủ, chẳng hạn như trình dò tìm gói tin, trình quét cổng, trình quét lỗ hổng bảo mật, trình bẻ khóa mật khẩu và các chương trình và tập lệnh tấn công.
Bởi vì phần mềm chống vi-rút có thể phát hiện các công cụ của kẻ tấn công, một số người coi chúng như các dạng Malware. Tuy nhiên, các công cụ của kẻ tấn công không có khả năng lây nhiễm; họ dựa vào Malware hoặc các cơ chế tấn công khác để cài đặt chúng vào máy chủ đích. Nói một cách chính xác, các công cụ của kẻ tấn công không Malware, nhưng vì chúng có mối liên hệ chặt chẽ với Malware và thường được phát hiện và xóa bằng cách sử dụng cùng một các công cụ, công cụ của kẻ tấn công sẽ được đề cập khi thích hợp trong suốt ấn phẩm này.
Bản chất của Malware ngày nay
Đặc điểm của Malware ngày nay giúp phân biệt rõ nhất với các thế hệ Malware trước đó là mức độ tùy biến của nó. Việc những kẻ tấn công tạo ra Malware của riêng họ bằng cách mua lại đã trở nên tầm thường.
Bộ công cụ Malware, chẳng hạn như Zeus, SpyEye và Poison Ivy, và tùy chỉnh Malware được tạo ra bởi những bộ công cụ để đáp ứng nhu cầu cá nhân của họ. Nhiều bộ công cụ trong số này có sẵn để mua, trong khi những bộ khác mã nguồn mở và hầu hết đều có giao diện thân thiện với người dùng giúp những kẻ tấn công không có kinh nghiệm dễ dàng tạo Malware tùy chỉnh, khả năng cao.
Dưới đây là một ví dụ về những gì một bộ công cụ Malware có thể làm, được minh họa bằng cách thức hoạt động của cuộc tấn công kết quả.
- Bộ công cụ gửi thư rác đến người dùng, cố gắng lừa họ truy cập vào một trang web cụ thể.
- Người dùng truy cập trang web có nội dung độc hại do bộ công cụ cung cấp.
- Web lây nhiễm vào máy tính của người dùng bằng Trojan Horse (được cung cấp bởi bộ công cụ) bằng cách khai thác lỗ hổng trong hệ điều hành của máy tính.
- Những con ngựa thành Troy cài đặt các công cụ của kẻ tấn công, chẳng hạn như trình ghi nhật ký tổ hợp phím và rootkit (được cung cấp bởi bộ công cụ).
Nhiều kẻ tấn công tùy chỉnh thêm Malware của họ bằng cách điều chỉnh từng phiên bản Malware thành một một người hoặc một nhóm nhỏ người. Ví dụ: nhiều kẻ tấn công thu thập thông tin thông qua mạng xã hội mạng, sau đó sử dụng thông tin liên kết và mối quan hệ đó để tạo ra các cuộc tấn công kỹ thuật xã hội vượt trội.
Các ví dụ khác là việc sử dụng thường xuyên các cuộc tấn công lừa đảo trực tuyến, là các cuộc tấn công lừa đảo có chủ đích và các cuộc tấn công săn cá voi, là các cuộc tấn công lừa đảo trực tiếp nhắm vào các giám đốc điều hành và các cá nhân khác có quyền truy cập thông tin quan tâm hoặc giá trị cụ thể.
Tùy chỉnh Malware gây ra các vấn đề đáng kể cho việc phát hiện Malware, vì nó tăng lên đáng kể nhiều loại Malware mà phần mềm chống vi-rút và các biện pháp kiểm soát bảo mật khác cần phát hiện và chặn. Khi nào những kẻ tấn công có khả năng gửi một cuộc tấn công duy nhất cho mỗi nạn nhân của tôi, không có gì phải ngạc nhiên khi phần lớn các biện pháp kiểm soát bảo mật dựa trên chữ ký, chẳng hạn như phần mềm chống vi-rút, không thể theo kịp chúng.
Giảm thiểu bao gồm cách tiếp cận phòng thủ theo chiều sâu, sử dụng một số kỹ thuật phát hiện khác nhau để tăng tỷ lệ cược rằng ít nhất một trong số chúng có thể phát hiện ra hành vi nguy hiểm của Malware tùy chỉnh.
Ngoài khả năng tùy chỉnh, một đặc điểm quan trọng khác của Malware ngày nay là tính chất lén lút của nó.
Không giống như hầu hết các Malware cách đây vài năm, có xu hướng dễ nhận thấy, phần lớn Malware ngày nay là được thiết kế đặc biệt để âm thầm, chậm rãi lan truyền đến các máy chủ khác, thu thập thông tin trong thời gian dài theo thời gian và cuối cùng dẫn đến việc lọc dữ liệu nhạy cảm và các tác động tiêu cực khác. Thời hạn các mối đe dọa liên tục nâng cao (APT) thường được sử dụng để chỉ các loại Malware như vậy. Cuộc tấn công tình huống nêu trong hộp trên có thể là một ví dụ về một mối đe dọa dai dẳng nâng cao nếu nó lén lút.
Các APT có thể tiến hành giám sát trong nhiều tuần, nhiều tháng hoặc thậm chí nhiều năm, có khả năng gây ra thiệt hại lớn cho một tổ chức chỉ với một thỏa hiệp. APT cũng nổi tiếng là khó xóa khỏi máy chủ, thường yêu cầu cài đặt lại hệ điều hành và ứng dụng của máy chủ lưu trữ và khôi phục tất cả dữ liệu từ sao lưu tốt được biết đến.
Tóm lại, Malware ngày nay thường khó phát hiện hơn, gây hại hơn và khó xóa hơn các thế hệ Malware trước đó. Và không có dấu hiệu nào cho thấy quá trình tiến hóa này đã kết thúc. Khi hôm nay là các vấn đề khó khăn nhất về Malware trở thành thông lệ cần giải quyết, mong đợi những thách thức mới sẽ xuất hiện.
