Malware là gì?
Malware, viết tắt của malicious software (phần mềm độc hại), là một thuật ngữ chung để chỉ virus, worm, trojan và các chương trình máy tính độc hại khác mà các hacker dùng để phá hoại và giành quyền truy cập vào những thông tin nhạy cảm.
Theo Microsoft, “[malware] là một thuật ngữ chung để chỉ mọi phần mềm được thiết kế để gây ảnh hưởng xấu đến các máy tính, server hay mạng máy tính.” Nói cách khác, phần mềm sẽ được xem là một malware dựa trên mục đích sử dụng của nó, chứ không phải là một kỹ thuật hay công nghệ cụ thể dùng để build nó.
Có một số thắc mắc về sự khác biệt giữa virus và malware. Thực ra, virus chính là một loại malware, nên mọi virus đều chính là malware. Nhưng ngược lại, malware chưa chắc là virus.
Dấu hiệu nhận biết malware
Hệ thống máy tính của chúng ta hoàn toàn có thể bị nhiễm malware ở bất kỳ lúc nào. Lĩnh vực Công nghệ thông tin ngày càng phát triển ở quy mô lớn hơn, chúng ta sẽ có nhiều công cụ phát hiện các malware độc hại. Hầu hết các dạng malware đều sử dụng mạng để phát tán hoặc gửi thông tin về lại controller. Do đó, lưu lượng truy cập mạng thường chứa các dấu hiệu nhiễm malware mà ta có thể bỏ lỡ.
Ngoài ra, hiện nay cũng có nhiều công cụ giám sát mạng hiệu quả. SIEM được phát triển từ các chương trình quản lý log. Các công cụ SIEM phân tích log từ nhiều máy tính và thiết bị khác nhau trên cơ sở hạ tầng để tìm kiếm các dấu hiệu của malware. SIEM được cung cấp bởi nhiều công ty lớn trong lĩnh vực Công nghệ thông tin, như IBM hay HP Enterprise.
Các loại malware
Để tìm hiểu sâu hơn về tấn công phát tán malware là gì, hãy cùng tìm hiểu về các loại malware phổ biến hiện nay. Có khá nhiều cách khác nhau để phân loại malware. Đầu tiên trong đó là phân loại theo cách malware phát tán. Trong đó, virus, trojan và worm mô tả 3 cách lây nhiễm khác nhau của malware:
- Worm: là một phần mềm malware độc lập, tự tái tạo và lây lan từ máy tính này sang máy tính khác.
- Virus: là một đoạn code máy tính, nó tự chèn mình vào trong code của một chương trình độc lập khác. Sau đó buộc chương trình thực hiện hành động độc hại và tự phát tán.
- Trojan: là một chương tình, dù không có khả năng tái tạo nhưng có thể giả dạng những mục tiêu mà người dùng muốn. Từ đó lừa họ kích hoạt để trojan có thể phát tán.
Virus, trojan và worm có thể chứa các Logic bomb trong chiến lược tấn công của chúng. Bên cạnh đó, malware cũng có thể được cài đặt lên máy tính bằng cách thủ công bởi các hacker. Chúng có thể giành quyền truy cập vào máy tính, hoặc chiếm quyền truy cập của quản trị viên từ xa.
Một cách khác để phân loại malware là phụ thuộc vào hành động của nó sau khi lây nhiễm thành công vào máy tính của nạn nhân. Sau đây là một số kỹ thuật tấn công được malware sử dụng:
- Spyware: Theo Webroot Security, spyware là malware được sử dụng để bí mật thu thập dữ liệu về người dùng. Về bản chất, nó sẽ theo dõi các hành vi khi sử dụng máy tính, cũng như các dữ liệu được gửi và nhận. Thường thì mục đích của spyware là gửi các thông tin đến một bên thứ ba khác. Chẳng hạn, keylogger là một loại spyware, có khả năng ghi lại tất cả lần gõ phím của người dùng, giúp các hacker dễ dàng đánh cắp được mật khẩu.
- Rootkit: Theo TechTarget, rookit là một chương trình, thường là một tập hợp các công cụ phần mềm, cho phép hacker truy cập từ xa và kiểm soát máy tính hay hệ thống khác. Rootkit bao gồm các công cụ (thường là bất hợp pháp) có quyền truy cập root với hệ thống đích, và Rootkit cũng dùng nó để che giấu sự hiện diện của mình.
- Adware: Là một malware buộc trình duyệt phải chuyển hướng đến các quảng cáo trên trang web. Các quảng cáo này cũng thường buộc người dùng download thêm các phần mềm độc hại khác.
- Ransomware: Đây là môt loại malware có khả năng mã hóa các file trong ổ cứng và yêu cầu thanh toán (thường là bằng Bitcoin) để đổi lấy key giải mã. Ransomware đang bùng phát mạnh mẽ trong những năm gần đây, chẳng hạn như Petya. Nếu không có được key giải mã, thì về mặt toán học, nạn nhân không thể nào lấy lại quyền truy cập vào file.
- Cryptojacking: Malware này cũng nhằm mục đích yêu cầu nạn nhân cung cấp Bitcoin cho các hacker, nó cũng thường hoạt động ngầm khiến nạn nhân không thể biết được. Cryptojacking lây nhiễm vào trong máy tính và sử dụng các chu kỳ CPU để có thể đào Bitcoin. Phần mềm này cũng có thể chạy nền trên nhiều hệ điều hành, thậm chí là dưới dạng JavaScript trong cửa sổ trình duyệt.
- Malvertising: Loại malware này sử dụng các quảng cáo hoặc mạng quảng cáo hợp pháp, nhằm âm thầm phát tán malware đến máy tính của người dùng. Lấy ví dụ, các cybercriminal có thể trả tiền để đặt quảng cáo trên một trang web hợp pháp. Khi người dùng click vào quảng cáo đó, hacker sẽ được chuyển hướng đến một trang web độc hại, hoặc tự cài đặt malware trên máy của người dùng. Trong một số trường hợp, malware còn có thể được nhúng vào trong quảng cáo để tự động thực thi mà không cần nạn nhân thực hiện bất kỳ hành động nào. Kỹ thuật này còn được biết đến với cái tên “drive-by download.”
Bất kỳ malware cụ thể nào cũng đều có hai yếu tố: cách thức lây nhiễm và danh mục hành vi. Lấy ví dụ, WannaCry là một loại ransomware worm. Và một malware cụ thể cũng có thể có các dạng khác nhau, với những vector tấn công khác nhau. Chẳng hạn như Emotet banking malware có ở dạng trojan lẫn worm.
Hiện nay, vector lây nhiễm phổ biến nhất chính là qua email spam, nhằm lừa người dùng kích hoạt malware kiểu Trojan. WannaCry và Emotet chính là những malware phổ biến nhất, bên cạnh NanoCore, Gh0st – được gọi là Remote Access Trojans (RATs).
Cơ chế hoạt động của Malware
Các malware thường lây nhiễm vào máy tính bằng cách lừa người dùng click và cài đặt một chương trình nào đó. Sau khi cài đặt xong, malware sẽ thực hiện các hành động mà người dùng không lường trước được, chẳng hạn như:
- Tự sao chép các phần khác nhau trong file system.
- Cài đặt các ứng dụng chiếm keystroke hay tài nguyên commandeer system. Thường chạy ngầm mà người dùng không biết, đồng thời ảnh hưởng xấu đến tốc độ của hệ thống.
- Chặn quyền truy cập vào các file, chương trình hoặc thậm chí là chính hệ thống. Đôi khi, các hacker yêu cầu người dùng phải trả tiền để có thể lấy lại quyền truy cập.
- Bombard trình duyệt hay desktop bằng quảng cáo.
- Phá vỡ các thành phần thiết yếu của hệ thống, làm thiết bị không thể hoạt động được.
Việc trigger tấn công phát tán malware có thể do hành động của người dùng. Nhưng cách trigger phổ biến nhất chính là thông qua việc click, thường là click vào các link hay pop-up. Trong đó, chúng có thể hiện lên các thông báo như “Nhận giải thưởng của bạn ngay tại đây”, “Tài khoản đã bị xâm phạm. Vui lòng đăng nhập và xác minh các thanh toán gần đây”. Hay cũng có thể là “Hệ thống đã bị nhiễm virus! Hãy click vào đây để quét”,… Sau đó, lần click tiếp theo sẽ trigger trình download các phần mềm độc hại, ngay cả khi người dùng không cố ý chọn.
Bên cạnh đó, malware cũng có thể được ngụy trang dưới dạng các chương trình hay ứng dụng chuyển đổi PDF, giải nén file,… Nhưng khi chương trình được tải xuống, nó sẽ bắt đầu thực hiện các thay đổi trái phép trên hệ thống. Chẳng hạn như theo dõi người dùng, hiển thị các pop-up, thay đổi kết quả của công cụ tìm kiếm.
Cách phòng tránh Malware
Qua những phần trên, bạn đã biết được tấn công phát tán malware là hình thức tấn công gây ra những hậu quả nghiêm trọng. Vì vậy, mỗi người cần biết được cách phòng tránh malware một cách hiệu quả.
Spam và phishing chính là những phương pháp chính để malware có thể xâm nhập vào máy tính. Do đó, cách tốt nhất để chống malware chính là đảm bảo hệ thống email được bảo vệ chặt chẽ. Cụ thể hơn, ta nên cẩn thận kiểm tra các file đính kèm, hạn chế những hành vi nguy hiểm tiềm ẩn. Đồng thời, nhận thức được những chiêu trò phishing, scam phổ biến hiện nay.
Đối với những biện pháp có tính kỹ thuật cao hơn, thì có một số bước sau để chống malware hiệu quả: Giữ cho hệ thống luôn được cập nhật, có một kho chứa phần cứng để bảo vệ dữ liệu, liên tục kiểm tra những lỗ hổng trên cơ sở hạ tầng. Đặc biệt, với các cuộc tấn công bằng ransomware thì hãy luôn backup các file, từ đó đảm bảo vẫn có thể truy cập được vào các file mà không cần phải trả tiền khi bị nhiễm ransomware.
Những điều cần làm khi website bị nhiễm Malware
Vậy cách giải quyết Malware là gì? Trên thực tế, việc loại bỏ malware sau khi đã bị nhiễm là rất khó. Có nhiều phương pháp khác nhau để có thể xử lý tùy vào từng trường hợp. Hãy tham khảo thông tin về cách xóa hoặc khôi phục rootkit, ransomware, cryptojacking, kiểm tra Windows registry
Nếu muốn quét dọn hệ thống của mình, hãy thử một số công cụ như Tech Radar.
Ví dụ về Malware
Malware có một lịch sử tương đối lâu đời, bắt nguồn từ các đĩa mềm – virus Apple II vào những năm 1980. Hay Morris Worm từng phát tán trên các máy Unix vào năm 1988. Ngoài ra, còn có một số cuộc tấn công malware lớn khác như:
- ILOVEYOU – một worm có khả năng phát tán cực nhanh, tồn tại vào năm 2000 và đã gây thiệt hại đến hơn 15 tỉ USD.
- SQL Slammer – malware khiến lưu lượng truy cập internet dừng lại trong vòng vài phút, ngay sau khi được phát tán rất nhanh trong lần đầu tiên vào năm 2003.
- Conficker – một worm đã khai thác các lỗ hổng chưa được vá trong Windows, đồng thời tận dụng nhiều vector tấn công khác nhau – từ phising email cho đến crack password, chiếm quyền điều khiển thiết bị Windows vào mạng botnet.
- Zeus – Đây là một Trojan keylogger vào cuối những năm 2000, nhắm vào các thông tin ngân hàng.
- CryptoLocker – Đây chính là cuộc tấn công ransomware trên diện rộng đầu tiên trong lịch sử. Hiện nay, code của nó vẫn tiếp tục được sử dụng lại trong những dự án malware tương tự.
- Stuxnet – Một loại worm cực kỳ tinh vi, đã xâm nhập vào nhiều máy tính trên khắp thế giới. Tuy nhiên, nó chỉ nhắm vào một mục tiêu duy nhất: cơ sở hạt nhân của Iran tại Natanz. Tại đây, nó đã phá hủy các máy ly tâm uranium – sứ mệnh được xây dựng bởi các cơ quan tình báo Mỹ và Israel.
Nguồn: vietnix.vn