Mã hóa và an ninh mạng ( Chapter 19)

Chương 19: Phần mềm có hại Malicious Software Fourth Editionby William Stallings Lecture slides by Lawrie BrownVirus và nội dung có hại khácViruses and Other Malicious ContentVirus máy tính đã được công bố rất nhiềuLà một trong những phần mềm có hạiTác động mọi người đều biếtĐược nêu trong các báo cáo, viễn tưởng và phim ảnhGây nhiều chú ý hơn là tán thưởngĐược quan tâm nhiềuMalicious Software Cửa sau hoặc cửa sậpBackdoor or TrapdoorĐiểm vào chương trình bí mậtCho phép những người biết truy cập mà bỏ qua các thủ tục an toàn thông thườngCó thể được sử dụng chung bởi những người phát triểnLà mối đe doạ khi để trong chương trình sản phẩm cho phép khai thác bởi các kẻ tấn công Rất khó ngăn chặn trong hệ điều hànhĐòi hỏi sự phát triển và cập nhật phần mềm tốt Bom logic - Logic BombMột trong những phần mềm có hại kiểu cổCode được nhúng trong chương trình hợp phápĐược kích hoạt khi gặp điều kiện xác địnhCó mặt hoặc vắng mặt một số fileNgày tháng/thời gian cụ thểNgười sử dụng nào đó Khi kích hoạt thông thường làm hỏng hệ thốngBiến đổi/xoá file/đĩa, làm dừng máy,…Ngựa thành Tơ roa -Trojan HorseChương trình với các tác động phụ được dấu kínMà thông thường rất hấp dẫn Như trò chơi hoặc phần mềm nâng cấpKhi chạy thực hiện những nhiệm vụ bổ sungCho phép kẻ tấn công gián tiếp dành quyền truy cập mà họ không thể trực tiếpThường sử dụng lan truyền virrus/sâu (worm) hoặc cài đặt cửa sauHoặc đơn giản phá hoại dữ liệuZombieChương trình bí mật điều khiển máy tính của mạng khácVà sử dụng nó để gián tiếp tiến hành các tấn côngThông thường sử dụng để khởi động tấn công từ chối các dịch vụ phân tán (DD0S)Khai thác các lỗ hổng trong các hệ thốngVirusesLà đoạn code tự sinh lặp đính kèm với code khácNhư virus sinh họcCả hai đều lan truyền tự nó và mang đi bộ tảiMang theo code để tạo các bản sao của chính nóVà cũng như mọi code nó cũng thực hiện nhiệm vụ ngầm nào đó Thao tác của virusVirus OperationNằm im - chờ sự kiện kích hoạtLan truyền – lặp sinh ra chương trình/đĩaKích hoạt - bởi sự kiện để thực hiện bộ tảiThực hiện bộ tảiCụ thể thông thường mang tính chất chuyên biệt của các máy và hệ điều hànhKhai thác các tính chất/điểm yếu Cấu trúc Virus - Virus Structureprogram V := {goto main; 1234567; subroutine infect-executable := {loop: file := get-random-executable-file; if (first-line-of-file = 1234567) then goto loop else prepend V to file; } subroutine do-damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if condition holds} main: main-program := {infect-executable; if trigger-pulled then do-damage; goto next;} next:} Các kiểu Virus Types of VirusesCó thể phân loại dựa trên kiểu tấn côngVirus ăn bám Virus cư trú ở bộ nhớVirus ở sector khởi độngLén lútVirus nhiều hình tháiVirus biến hoáMarco Virus - Macro VirusMarco code đính kèm file dữ liệuĐược dịch bởi chương trình sử dụng fileNhư marco của Word/ExcelSử dụng lệnh tự động và lệnh marcoĐoạn code là độc lập với nền tảngLà đoạn nguồn chính của sự lan nhiễm virusSự khác biệt không rõ ràng giũa dữ liệu và file chương trìnhSự thoả hiệp truyền thống: “dễ dàng sử dụng” và “an toàn”Có sự cải thiện an toàn trong WordKhông trội hơn sự đe doạ của virusEmail VirusLan truyền sử dụng email được đính kèm chứa marco virusMelissaKích hoạt khi người sử dụng mở file đính kèmHoặc kém hơn khi mail được xem khi sử dụng một tính chất script của tác nhân mailSuy ra sẽ lan truyền rất nhanhThông thường đích là tacs nhân mail Microsoft Outlook hoặc tài liệu Word /ExcelCần an toàn ứng dụng và hệ điều hành tốt hơnSâu - WormsChương trình sinh lặp nhưng không có tác động Thường lan truyền trên mạngNhư sâu Internet Morris 1988Dẫn đến việc tạo ra các đội ứng cứu khẩn cấp máy tính CERTDùng đặc quyền phân tán hoặc khai thác các điểm yếu hệ thốngĐược sử dụng rộng rãi bởi Hackers để tạo zombie PC, kéo theo sử dụng các tấn công khác, đặc biệt từ chối dich vụ DoSVấn đề chính là mất sự an toàn của hệ thống kết nối thường xuyên như PC Thao tác của sâuWorm OperationCác giai đoạn của sâu giống như virus:Nằm inLan truyềnTìm hệ thống khác để tác độngThiết lập kết nội với hệ thống đích từ xaTự sinh lặp mình cho hệ thống từ xaKích hoạtThực hiện Sâu Morrris - Morris WormĐược biết như sâu cổ điểnĐược tạo bởi Robert Morris vào 1988Các hệ thống Unix đíchSử dụng một số kỹ thuật lan truyềnPhá mật khẩu đơn giản trong file mật khẩu cục bộKhai thác lỗ hổng Tìm lỗi cửa sập trong hệ thống mailMọi tấn công thành công sẽ sinh lặp mình Tấn công của sâu đương thờiRecent Worm AttacksLàn sóng tấn công mới từ giữa 2001Code Red - sử dụng lỗ hổng MS IISThử IP ngẫu nhiên cho hệ thống chạy IISCó kích hoạt thời gian cho tấn công từ chối dịch vụLàn sóng thứ hai tác động đến 360000 máy chủ trong vòng 14 giờCode Red 2 – cài đặt cửa sập Công nghệ sâuWorm TechologyĐa nền tảngKhai thác nhiều chiềuLan truyền cực nhanhNhiều kiểu tác độngBiến hoáCơ độngKhai thác zero day Các biện pháp chống VirusVirus CountermeasuresBiện pháp tốt nhất là ngăn ngừaNhưng nói chung là không thểSuy ra cần phải có một trong nhiều biện pháp sau:Phát hiện virus nhiễm trong hệ thốngĐịnh danh loại virus nhiễmLoại bỏ khôi phục hệ thống về trạng thái sạch Phần mềm chống Virus Anti-Virus SoftwareThế hệ đầu tiênQuét sử dụng chữ ký của virus để định danhHoặc phát hiện sự thay đổi độ dài của chương trìnhThế hệ thứ haiSử dụng các qui tắc trực quan để phát hiện nhiễm virusSử dụng mã hash của chương trình để phát hiện sự thay đổi Thế hệ thứ baChương trình thường trú trong bộ nhớ định danh virus theo hành độngThê hệ thứ tưĐóng gói với rất nhiều kiểu kỹ thuật chống virusQuét và lần vết tích cực, kiểm soát truy cậpDiệt bằng tay vẫn được dùngKỹ thuật chống Virus nâng cao Advanced Anti-Virus TechniquesGiải mã mẫuSử dụng mô phỏng CPU kiểm tra chương trình, chữ ký và hành vi trước khi chạy chúngHệ thống miễn dịch số (IBM)Hành động đa muc tiêu và chống VirusMọi virus nhập vào tổ chức được nắm bắt, phân tích, phát hiện/tấm chắn tạo ra chống nó và loại bỏ Hệ miễn dịch sốDigital Immune SystemPhần mềm ngăn chặn hành vi Behavior-Blocking SoftwareTích hợp với hệ điều hành của máy chủChương trình theo dõi hành vi trong thời gian thựcChẳng hạn truy cập file, định dạng đĩa, các chế độ thực hiện, thay đổi tham số hệ thống, truy cập mạngĐối với các hành động có khả năng có hạiNếu phát hiện thì ngăn chặn, chấm dứt hoặc tìm kiếmCó ưu điểm so với quétNhưng code có hại chạy trước khi phát hiện Tấn công từ chối dịch vụ từ xa Distributed Denial of Service Attacks (DDoS)Tấn công từ chối dịch vụ từ xa (DDoS) tạo thanhf đe dọa đáng kểLàm cho hệ thống không sẵn sàngLàm tràn bởi sự vận chuyển vô íchSử dụng một số lớn các “zombies”Tăng độ khó của các tấn côngCông nghệ bảo vệ đương đầu chống lại Distributed Denial of Service Attacks (DDoS)Xây dựng mạng lưới tấn công từ chối dịch vụ từ xa Contructing the DDoS Attack NetworkCần nhiễm rất nhiều “zombies”Cần:Phần mềm cài đặt tấn công từ chối dịch vụ từ xaCác lỗ hổng không vá được trong nhiều hệ thốngChiến lược quét để tìm lỗ hổng hệ thốngNgẫu nhiên, danh sách va chạm, cấu trúc topo, mạng con cục bộ Chống tấn công từ chối dịch vụ từ xa DDoS CountermeasuresBa cách bảo vệ được dùng rộng rãiNgăn ngừa tấn công và chiếm lĩnh trước (trước) Phát hiện tấn công và lọc (trong quá trình)Lần vết nguồn tấn công và định danh (sau) Phạm vi rộng các khả năng tấn côngVì vậy phải có nhiều biện pháp chốngSummaryhave considered:various malicious programstrapdoor, logic bomb, trojan horse, zombieviruseswormscountermeasuresdistributed denial of service attacks