Sunday, January 17, 2010

Virus

Một ngày đẹp trời. Bạn mở email, và nhận được email với nội dung về báo cáo một tổ chức. Trong ấy có một file .ppt đính kèm. Bạn download và mở file ấy, đương nhiên. Và sau đó, máy tính của bạn có vấn đề. Đó là gì?
Hình thức tấn công bằng mã độc nói chung, virus nói riêng từ khi ra đời đã phát triển rất nhanh. Và cũng tỷ lệ thuận với sức tàn phá mà chúng gây ra cho hệ thống của khổ chủ. Biến thể của chúng cũng đc sản sinh ra nhanh chóng, sớm đưa virus trở thành mũi nhọn tấn công phổ biến của attacker. Ngày ngay, cùng với botnet, zoombie, đã sánh bước đưa malicious code thành vũ khí lợi hại nhất.
Malicious code – Mã độc: Được hiểu là những đoạn mã được viết ra nhằm gây hại cho hệ thống máy tính. Trên cơ sở cách thức phát tán, gây hại, tồn tại, ta chia ra làm các loại:
Virus
Worm
Trojan hores
Logic boom
Trong đó nổi bật hơn cả là Virus. Được định nghĩa là những chương trình được thiết kế để làm hại máy tính của bạn, có khả năng tự nhân bản và sao chép chính bản thân nó.
Một số đặc điểm của Virus:
Bản thân Virus không thể tự chạy đc chính nó. Nó cần được kích hoạt bằng một chương trình. Chính vì vậy mà Virus thường được gắn vào các chương trình để phát tán. Virus sau khi được kích họat sẽ tồn tại trong bộ nhớ và đương nhiên phải tự nhân bản nó.
Chương trình bị ngắt, virus sẽ ngắt theo
Đa phần virus là có hại. Mục tiêu của chúng là dữ liệu trên HDD, các thiế bị lưu trữ, phá hủy hệ điều hành…. Tiêu tốn tài nguyên.
Quy trình hoạt động của một Virus điển hình: Bao gồm 2 phase: Infection phase và Attack phase.
Infection Phase:
            Attacker xác định hệ thống mục tiêu. Gửi sản phẩn của họ đến cho mục tiêu dùng thử.
            Sản phẩm được dùng thử, đồng nghĩa virus được kích họat. Một kiểu trigger điển hình.
Attack phase:
            Virus tận dụng các bug trong hệ thống, tiến hành phá hoại được lập trình sẵn.
            Tự nhân bản và gửi chính các bản sao của nó cho các nạn nhân khác.
Quá trình tấn công 1 file của Virus được mô tả như sau:


           
 Virus Hoaxes: Những kỹ thuật của Virus developer sử dụng để phát tán sản phẩm đáng tự hào của họ. Đó có thể là những tin nhắn cảnh báo mời ta bấm vào, những email với attach file đề nghị ta mở…
Phân biệt Virus và Worm: Worm giống Virus là nó tự nhân bản nó, tự phát tán, sử dụng bộ nhớ. Nhưng khác nhau cơ bản là Worm ko đính kèm nó trong chương trình, có nghĩa, bản thân nó tồn tại độc lập, ko cần gọi lên nhờ chương trình khác ( ko ẩn thân)
Phân loại Virus:
            Tiêu chí phân loại: Gây ảnh hưởng cho cái gì? Như thế nào?
Đựa theo tiêu chí 1 ta có:
            System Sector hay Boot Virus: Tấn công vào Boot Sector
                        System Sector là một phân vùng đặc biệt trong OS, nó có trách nhiệm gọi Boot Loader của OS. Master Boot Record và DOS Boot Record là mục tiêu của Virus.
            File Virus: Tấn công vào file thực thi của hệ điều hành
            Marco Virus: Tấn công cái file tài liệu ( PPT, excel, word)
            Sourcode Virus: Ghi đè hoặc chèn code Trojan trong nó.
            Network Virus: Sử dụng email, các giao thức mạng để phát tán chính nó
Theo tiêu chí 2:

            Stealth Virus: Có thể “ ẩn thân” nó với các AntiVirus
                        Phương pháp đơn giản nhất là Virus sẽ ngắt yêu cầu của AV với OS. Khi AV yêu cầu đọc file để scan có chứa virus tới OS, virus sẽ tìm cách ngắt yêu cầu đó. Như vậy, AV hiểu file đó đã clean.
            Polymorphic: tự thay đổi đặc điểm của nó để chống nhận dạng bằng việc sử dụng polymorphic engineer. Bằng cách đảo vị trí các phần code của chính nó.


Metamorphic Virus: Tự ghi bản thân nó lên mỗi file thực thi khi chạy.
            Cativy Virus: Duy trì nguyên size của file khi nó tấn công ( chèn code)




            Tunneling Virus: Ẩn thân nó với các AV khi nó lây nhiêm vào hệ thống.
            Camouflage Virus: Trá hình nó như là một ứng dụng được cho phép
Ngoài ra, một số Virus có khả năng tự sửa đổi chính nó. Xuất phát từ việc các AV sử dụng Virus signatures để xác nhận Virus. Các Signature này vốn là các đặc điểm của Virus đc lưu vào DB của AV. Để tránh bị phát hiện, virus sẽ tự thay thế đặc điểm của mình để qua mắt các AV.
Hạn chế Virus:
Virus Scaner.
Virus Prevention.
Virus Detection: có 2 phương pháp phổ biến: short-term infection detection và long-term infection detection. Short-term là xác định ngay khi virus lây nhiễm vào hệ thống. Long-term là khi đã lây nhiễm.
Bonus: Chút kinh nghiệm với Virus:
            Phòng hơn chống.
            Sử dụng AV hiệu quả, thường xuyên update. Nên dùng loại có license.
            FireWall thuần túy ko chống đựoc virus. Nếu là người quản trị thì cũng không nên enable chức năng Virus Filter ( hiện đã được dùng thử chức năng này trong Endian).
            Sử dụng IDS như một network monitor trong mạng để xác định nguồn phát tán.
……
Tóm lại, hãy tự bảo vệ mình trước khi Virus gõ cửa.
 ---------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------
All my Lab:
Linux Lab -- window and Cisco Lab
to be continued - I will update more.

No comments:

Install Xposed Inspector and Frida on Genymotion

Today i had some work with android. So i need trace application. I found 2 nice tool can help me: Xposed Inspector and Frida. To setup ther...