1 / 26

Viruses, Worms, Trojans, Attacks

Viruses, Worms, Trojans, Attacks. Thông tin và bảo mật thông tin Khoa Khoa Học Máy Tính. Contents. Phần mềm độc hại Viruses Worms Trojan horses Ví dụ Phòng vệ Các cuộc tấn công thông thường Mục tiêu bảo mật. Ví dụ: Email Worm. Email chứa đính kèm Đính kèm chứa một file, như là

charity-mccarty
Download Presentation

Viruses, Worms, Trojans, Attacks

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Viruses, Worms, Trojans, Attacks Thông tin và bảo mật thông tin Khoa Khoa Học Máy Tính

  2. Contents • Phần mềm độc hại • Viruses • Worms • Trojan horses • Ví dụ • Phòng vệ • Các cuộc tấn công thông thường • Mục tiêu bảo mật Security Aspects

  3. Ví dụ: Email Worm • Email chứa đính kèm • Đính kèm chứa một file, như là • File chương trình • Macros, trong các tài liệu • Cũng có thể là ZIP, JPEG, PNG (gây tràn bộ đệm) • Mở các đính kèm sẽ làm cho các mã nguồn khởi động • Thỉnh thoảng mail chứa các nội dung độc hại (ví dụ HTML chứa các mã kịch bản) • Mã tự sinh worm và có thể phá hủy hệ thống Security Aspects

  4. Tổng quan • Phần mềm độc hại - Malicious software (malware) • Có khả năng tự sinh sản • Thường gây ra một số dạng phá hoại như sau: • Các biến thể • Viruses • Worms • Trojan horses • Xuất hiện đầu tiên năm 70ies • Cơ chế phòng vệ phải hoạt động nhanh hơn virus • Tất cả các hệ điều hành đều có nguy cơ bị tấn công. Security Aspects

  5. Virus • Định nghĩa • Mã nguồn tự sinh sản • Tự động chèn nó vào các chương trình thực thi khác • Chứa một chức năng độc hại, được gọi là tải. • Thông dụng nhất • Mã độc ảnh hưởng đến các file thực thi. • Macros trong tài liệu • Phân phối qua • Email • Chia sẻ File • Thường đòi hỏi sự theo dõi từ phía người dùng. • e.g. chạy một chương trình bị nhiễm phần mềm độc hại • Virus thường được dùng chung cho thuật ngữ malware. Security Aspects

  6. Boot Sector Virus • Chèn mã virus vào boot sector của đĩa cứng hay các thiết bị khởi động khác. • Khởi động trước hệ điều hành • e.g. Có thể truy cập đĩa trước khi bất kì OS nào truy cập điều khiển hay phần mềm chống virus được kích hoạt. • Dạng này phổ biến trong thời điểm mọi người sử dụng ổ đĩa mềm để chia sẻ phần mềm và dữ liệu. Security Aspects

  7. Virus nhiễm các file chương trình • Chèn mã virus vào file thực thi hệ thống • Trong file *.exe • Có thể đứng trước, sau hoặc xen kẽ Chèn trước Virus Application Code Chèn sau(surround) Application Code Virus Xen kẽ A V A V A V A V A Security Aspects

  8. Virus độc lập và không độc lập • Không độc lập • Thực thi (nhân bản, ...) khi ứng dụng bị nhiễm được thực thi • Kết thúc khi thoát khỏi ứng dụng • Độc lập • Khởi động với ứng dụng • Tự cài đặt vào hệ thống • e.g. thủ tục thực thi ứng dụng của hệ thống • Tồn tại trên hệ thống sau khi ứng dụng thoát Security Aspects

  9. Worms • Xuất hiện lần đầu vào thập niên 1988 • Khác với virus • Một chương trình độc lập • Không nhiễm vào bất kì ứng dụng nào • Lây lan qua mạng một cách tự động • Thường lây lan nhanh hơn virus • Worms sử dụng các lỗ hổng để tự sinh sản • SQL Slammer – MS SQL Server • Slapper - Apache/Mod-SSL • Code Red – MS Internet Information Server Security Aspects

  10. Trojan Horses • Phần mềm được xem như là vô hại • Có tác động ẩn và độc hại • Thường ẩn dưới các phần mềm khác • e.g. login dialog • Thường được sử dụng để ăn cắp thông tin • e.g. mật khẩu, TANs, khóa, xem lưu lượng mạng • Không có khả năng tự sinh sản Security Aspects

  11. Động lực • Tiêu khiển – với các đoạn mã hài hước • Phá hoại • Ăn cắp • Mật khẩu hay thông tin quan trọng khác • Tài liệu kinh tế được quan tâm • Fame • Trong giới hacker • Money Security Aspects

  12. Nguyên nhân – Kiểm soát truy cập không hiệu quả • Bất kì ứng dụng nào có cùng các quyền hệ thống (quyền hệ thống của người dùng khi khởi động) • Phần mềm không được yêu cầu nhiều hơn quyền hệ thống được yêu cầu • Ví dụ các phần mềm cần quyền administrator để chạy • Phần mềm bỏ qua tất cả các quyền hệ thống nó không cần thiết • Hầu hết các hệ điều hành hỗ trợ nó • e.g. ứng dụng server (e.g. apache) có thể mất quyền root sau khi mở socket server • Thường người dùng (mã) có thể cài đặt và chỉnh sửa các file thực thi này • Vì nguyên nhân nào? • Một số hệ thống có thể hỗ trợ các khả năng • Có thể gán quyền hệ thống cho ứng dụng một cách độc lập • Ứng dụng có thể chuyển các khả năng này cho các thành phần khác. Security Aspects

  13. Nguyên nhân – Người dùng bất cẩn • Làm việc với quyền ưu tiên – root • Sử dụng truy cập mặc định cho các file • Tải và sử dụng các ứng dụng từ các nguồn không rõ ràng • Không sử dụng các phần mềm diệt virus • Làm việc không có firewall. Security Aspects

  14. Nguyên nhân – kĩ thuật • Không tách biệt rõ ràng giữa dữ liệu và mã nguồn • Mã kịch bản trong tài liệu, email, web sites … • Trong hệ thống • Mã nguồn và dữ liệu (stack, heap) trong cùng bộ nhớ • Ngăn xếp có khả năng thực thi • Thiết lập mặc định không bảo mật • Các bảo mật bổ sung Security Aspects

  15. Các thành phần cao cấp khác • Kĩ thuật để tránh bị phát hiện • Mã nguồn đa hình • Thay đổi tập lệnh của nó • Chuyển các thành phần • Chèn các hành động • Chia thành các mảnh nhỏ hơn • Mã hóa mã nguồn • Mã hóa một phần mã nguồn • Giải mã trong thực tế trước khi thực thi • Chỉnh sửa module file hệ thống • Chỉ chứa mã nguồn độc hại khi thực thi • Không thể hiên mã nguồn khi file được mở để đọc Security Aspects

  16. Malware trong thực tế • Thường là kết hợp giữa virus, worm và Trojan horse • Lây lan như worm • Nhiễm vào file như là virus • Ăn cắp thông tin mật như là trojan • Ngày nay, email, WWW và các điểm yếu (lỗ hổng trên mạng) là môi trường phân phối thông dụng nhất Security Aspects

  17. Ví dụ: MyDoom (Worm) • Lây lan qua email và chia sẻ file ngang hàng KaZaA • Giống như là truyền mail bị lỗi • Phần đính kèm có thể thực thi • Gửi chính nó qua email đến tất cả người nhận từ sổ địa chỉ • Sao chép chính nó đến thư mục chia sẻ của KaZaA • Hàng triệu bản sao trong vài ngày • Làm chậm lưu lượng Internet (vài phần trăm) • Lên đến gấn 10 lũy thừa email trên Internet bắt nguồn từ worm này. • Hai hình thức • Cài đặt cửa hậu backdoor trên TCP port 3127 • Tấn công từ chối dịch vụ vào web site SCO Group’s • 100.000 .. 1 million máy bị nhiễm khi truy cập web đồng thời. • Chuyển website www.sco.com sang www.thescogroup.com • Biến thể • Tấn công các trang khác (e.g. Microsoft, Google, AltaVista, Lycos) • Khóa truy cập đến hệ thống và trang cập nhật virus Security Aspects

  18. Phòng ngừa • Không cài đặt hay chạy các phần mềm từ các nguồn không tin cậy • Giữ cho hệ thống cập nhật với các gói vá lỗi • Sử dụng phần mềm chống virus trên mọi hệ thống • Cập nhật cơ sở dụng liệu virus • Ít nhất mỗi lần một ngày • Sử dụng tường lửa • Một tường lửa bên ngoài mạng • Một tường lửa cá nhận trên tất cả máy con • Không cho kết nối đến nói chung. • Chỉ cho phép những gì thực sự cần thiết Security Aspects

  19. Phần mềm độc hại và tấn công • Phần mềm độc hại thường lây lan theo kiểu không có kiểm soát. • Một tấn công thông thường • Có một mục tiêu được xác định rõ ràng. • e.g. một công ty, một server. • Và có một mục đích • e.g. deface một trang web, làm cho server không hoạt động, lấy quyền truy cập hệ thống, lấy cắp tài liệu Security Aspects

  20. Tấn công có thể sử dụng malware • Kẻ tấn công có thể cài đặt Trojan Horse • Kẻ tấn công có thể kiểm soát các host bị nhiễm • Những host như vậy được gọi là Zombie • Sử dụng host đã bị kiểm soát để tấn công • e.g. tấn công từ chối dịch vụ phân tán (DDoS) • Làm cho những kẻ tấn công thực sự khó bị theo dõi Security Aspects

  21. Các tấn công thông thường • Lấy cắp • Tài liệu, thông điệp, mật khẩu,... • Man-in-the-middle • Nghe lén truyền thông • Tampering • Hiệu chỉnh hệ thống chỉnh sửa dữ liệu • Spoofing • Giả mạo địa chỉ, giả mạo nội dung • Hijacking • Chiếm phiên làm việc (e.g. Telnet), máy tính (zombie) • Capture – replay • Bắt giữ và chuyển tiếp các thông điệp lệnh • Denial of service • Phá hoại hay gây quá tải server với nhiều yêu cầu đồng thời Security Aspects

  22. Tấn công server hay mạng • Thu thập thông tin về mục tiêu • Hệ điều hành, dịch vụ, người dùng, ... • Tìm các điểm yếu • Các gói vá lỗi thiếu, mật khẩu yếu, ... • Khai phá điểm yếu • Cài đặt cửa hậu, tạo tài khỏan, ... • Ẩn các con đường • Gỡ bỏ các nhật kí, giấu file, ... Security Aspects

  23. Phòng ngừa: Thu thập thông tin • Đừng để lộ thông tin không cần thiết • Server và phiên bản phần mềm • e.g. thông tin server trong tiêu đề HTTP • User names • Dịch vụ finger • Các thông điệp lỗi • e.g. Các thông điệp ngoại lệ trong phản hồi HTTP Security Aspects

  24. Phòng ngừa: Tìm điểm yếu • Triển khai các gói vá lỗi quan trọng • Kiểm tra bản vá trước khi cài đặt • Đảm bảo mật khẩu mạnh • Triển khai chính sách mật khẩu tốt • Giảm thiểu tấn công bề mặt • Bỏ các dịch vụ không cần thiết • Cấu hình giới hạn firewall Security Aspects

  25. Phòng ngừa: Tìm điểm yếu • Cơ chế bảo vệ xâm nhập • Cơ chế ngăn ngừa tràn bộ đệm • Phần mềm bảo mật chống virus • Máy ảo • VMware, Java, .NET,... • Cấu hình hệ thống một cách an toàn • Các quyền ưu tiên ít nhất có thể • Giảm thiểu cài đặt Security Aspects

  26. Phòng ngừa: Giấu theo dõi • Ghi nhận tất cả truy cập hệ thống • Các lần thử đăng nhập, chỉnh sửa thông tin cấu hình. • Bảo mật file nhật kí khỏi việc chỉnh sửa • Không cần thiết chỉnh sửa file nhật kí • Cho phép ghi mà khôgn được chỉnh sửa • Lưu trữ dưới các file tách biệt • Phân tích nhật kí thông thường Security Aspects

More Related