Kẻ xâm nhập phần mềm có hại Kẻ xâm nhập phần mềm có hại Bởi: TS Trần Văn Dũng Kẻ xâm nhập Khái niệm Vấn đề quan trọng hệ thống mạng chống lại việc truy cập không mong muốn qua mạng máy tính lớn cục Chúng ta phân loại kẻ xâm nhập sau: o Kẻ giả danh o Kẻ lạm quyền o Người sử dụng giấu mặt Có nhiều mức độ khả khác xâm nhập khác Rõ ràng vấn đề công khai trở nên xúc o Từ Wily Hacker” năm 1986/1987 o đến việc tăng nhanh đội ứng cứu tình trạng khẩn cấp máy tính Với đội ứng cứu cảm thấy bình an đòi hỏi nguồn chi bổ sung để phát triển trì hoạt động Kẻ xâm nhập sử dụng hệ thống làm hại để công Các kỹ thuật xâm phạm Mục tiêu kẻ xâm nhập dành quyền truy cập tăng quyền hệ thống Các phương pháp công bao gồm o Tìm mục tiêu thu thập thông tin o Truy cập ban đầu 1/14 Kẻ xâm nhập phần mềm có hại o Leo thang quyền o Lần vết khôi phục Mục tiêu giành mật sau dùng quyền truy cập người sở hữu Đoán mật Đoán mật hướng công chung Kẻ công biết tên người sử dụng đăng nhập (từ trang email/web) tìm cách đoán mật o Mặc định, mật ngắn, tìm kiếm từ chung o Thông tin người dùng (thay đổi tên, ngày sinh, số điện thoại, mối quan tâm từ chung) o Tìm kiếm tổng thể khả mật Kẻ xâm nhập kiểm tra đăng nhập với tệp mật đánh cắp Sự thành công việc đoán mật phụ thuộc vào mật chọn người dùng Tổng quan nhiều người sử dụng chọn mật không cẩn thận Nắm bắt mật Tấn công khác bao gồm nắm bắt mật o Theo dõi qua vai nhập password o Sử dụng chương trình ngựa thành Toroa để thu thập o Theo dõi login mạng không an toàn, chẳng hạn Telnet, FTP, Web, email o Chắt lọc thông tin ghi lại sau lần vào mạng thành công (đệm/lịch sử web, số quay cuối,…) o Sử dụng login/password để nhại lại người sử dụng Người sử dụng cần học để dùng biện pháp đề phòng ngăn ngừa thích hợp Phát xâm nhập Chắc chắn có lỗi an toàn Như để phát xâm nhập cần phải • Chia khối để phát nhanh 2/14 Kẻ xâm nhập phần mềm có hại • Hành động ngăn chặn • Thu thập thông tin để tăng cường an toàn Giả thiết kẻ xâm nhập hành động khác so với người dùng hợp pháp • Nhưng có khác biệt nhỏ họ Các cách tiếp cận phát xâm nhập Phát thống kê bất thường • Vượt qua ngưỡng thống kê • Dựa mô tả Dựa qui tắc • Hành động bất thường • Định danh thâm nhập Kiểm tra ghi Công cụ để phát xâm nhập kiểm tra ghi đơn giản • Một phần hệ điều hành đa người sử dụng • Sẵn sàng để sử dụng • Có thể thông tin định dạng mong muốn Tiến hành kiểm tra ghi chuyên dùng để phát • Được tạo chuyên dùng để thu thập số thông tin mong muốn • Trả giá chi phí bổ sung hệ thống Phát thống kê bất thường Phát ngưỡng • Đếm xuất kiện đặc biệt theo thời gian • Nếu vượt giá trị cho có xâm nhập • Nếu dùng phát thô không hiệu Dựa mô tả • Đặc trưng hành vi khứ người sử dụng • Phát hệ quan trọng từ 3/14 Kẻ xâm nhập phần mềm có hại • Mô tả nhiều tham số Phân tích kiểm tra ghi Đây sở cách tiếp cận thống kê Phân tích ghi để nhận số đo theo thời gian • Số đếm, đo, thời gian khoảng, sử dụng nguồn Sử dụng kiểm tra khác số liệu phân tích để xác định hành vi có chấp nhận không • Tính kỳ vọng, phương sai, biến nhiều chiều, trình Markov, chuỗi thời gian, thao tác Ưu điểm không sử dụng kiến thức biết trước Phát xâm nhập dựa qui tắc Quan sát kiện hệ thống áp dụng qui tắc để định hoạt động có đáng nghi ngờ hay không Phát bất thường dựa qui tắc • Phân tích ghi kiểm tra cũ để xác định mẫu sử dụng qui tắc tự sinh cho chúng • Sau quan sát hành vi sánh với qui tắc để nhận thấy phù hợp • Giống phát thống kê bất thường không đòi hỏi kiến thức biết trước sai lầm an toàn Định danh thâm nhập dựa vào qui tắc • Sử dụng công nghệ hệ chuyên gia • Với qui tắc định danh xâm nhập biết, mẫu điểm yếu, hành vi nghi ngờ • So sánh ghi kiểm tra trạng thái theo qui tắc • Qui tắc sinh chuyên gia nhũng người vấn hệ thống kiến thức quản trị an toàn • Chất lượng phụ thuộc vào cách thức thực điều Ảo tưởng dựa tỷ lệ o Thực tế phát xâm nhập hệ thống cần phát tỷ lệ xâm nhập với cảnh báo sai 4/14 Kẻ xâm nhập phần mềm có hại • Nếu xâm nhập phát -> an toàn không tốt • Nếu nhiều cảnh báo sai -> bỏ qua/phí thời gian o Điều khó thực o Các hệ thống tồn ghi tốt Phát xâm nhập phân tán o Truyền thống thường tập trung hệ thống đơn lẻ o Nhưng thông thường có hệ thống máy tính o Bảo vệ hiệu cần làm việc để phát xâm nhập o Các vấn đề • Làm việc với nhiều định dạng ghi kiểm tra khác • Toàn vẹn bảo mật liệu mạng • Kiến trúc tập trung phân tán Sử dụng bình mật ong o Chăng lưới thu hút kẻ công • Tách khỏi truy cập đến hệ thống then chốt • Để thu thập thông tin hoạt động chúng • Kích thích kẻ công lại hệ thống để người quản trị phán đoán o Được cấp đầy đủ thông tin bịa đặt o Được trang bị để thu thập chi tiết thông tin hoạt động kẻ công o Hệ thống mạng đơn lặp Quản trị mật o Là bảo vệ tuyến đầu chống kẻ xâm nhập o Người sử dụng cung cấp hai: • Login – xác định đặc quyền người sử dụng • Password – xác định danh tính họ 5/14 Kẻ xâm nhập phần mềm có hại o Passwords thường lưu trữ mã hoá • Unix sử dụng DES lặp • Các hệ thống gần sử dụng hàm hash o Cần phải bảo vệ file passwords hệ thống Tìm hiểu mật o Purdue 1992 – có nhiều mật ngắn o Klein 1990 – có nhiều mật đoán o Kết luận người sử dụng thường chọn mật không tốt o Cần cách tiếp cận để chống lại điều Tạo mật - cần giáo dục cách tạo mật o Cần có sách giáo dục người sử dụng o Giáo dục tầm quan trọng mật tốt o Cho định hướng mật tốt • độ dài tối thiểu > • đòi hỏi trộn chữ hoa chữ thường, số dấu chấm • không chọn từ từ điển o Nhưng nên chọn cho nhiều người không để ý Tạo mật – máy tính tự sinh o Cho máy tính tự tạo mật o Nếu ngẫu nhiên không dễ nhớ, viết xuống (hội chứng nhãn khó chịu) o Ngay phát âm không nhớ o Có câu chuyện việc chấp nhận người sử dụng tồi o FIPS PUB 181 sinh tốt • Có mô tả code ví dụ 6/14 Kẻ xâm nhập phần mềm có hại • Sinh từ việc ghép ngẫu nhiên âm tiết phát âm Tạo mật - kiểm tra trước o Cách tiếp cận hưá hẹn để cải thiện an toàn mật o Cho phép người sử dụng chọn trước mật o Nhưng hệ thống kiểm chứng xem có chấp nhận không • Bắt buộc theo qui tắc đơn giản • So sánh với từ điển mật tồi • Sử dụng mô hình thuật toán Markov lọc để chống cách chọn tồi Phần mềm có hại Các kiểu phần mềm có hại khác Virus Virus máy tính công bố nhiều, phần mềm có hại Tác động người biết, nêu báo cáo, viễn tưởng phim ảnh, gây nhiều ý tán thưởng quan tâm nhiều để phòng chống Cửa sau cửa sập Điểm vào chương trình bí mật, cho phép người biết truy cập mà bỏ qua thủ tục an toàn thông thường Kỹ thuật sử dụng chung người phát triển mối đe doạ để chương trình sản phẩm cho phép khai thác kẻ công Rất khó ngăn chặn hệ điều hành, đòi hỏi phát triển cập nhật phần mềm tốt Bom logic Đây phần mềm có hại kiểu cổ, code nhúng chương trình hợp pháp Nó kích hoạt gặp điều kiện xác định o Có mặt vắng mặt số file o Ngày tháng/thời gian cụ thể o Người sử dụng Khi kích hoạt thông thường làm hỏng hệ thống o Biến đổi/xoá file/đĩa, làm dừng máy,… 7/14 Kẻ xâm nhập phần mềm có hại Ngựa thành Tơ roa Chương trình với tác động phụ dấu kín, mà thông thường hấp dẫn trò chơi phần mềm nâng cấp Khi chạy thực nhiệm vụ bổ sung, cho phép kẻ công gián tiếp dành quyền truy cập mà họ trực tiếp Thông thường sử dụng lan truyền virrus/sâu (worm) cài đặt cửa sau đơn giản phá hoại liệu Zombie Đây chương trình bí mật điều khiển máy tính mạng khác sử dụng để gián tiếp tiến hành công Thông thường sử dụng để khởi động công từ chối dịch vụ phân tán (DdoS) Khai thác lỗ hổng hệ thống Virus Virus đoạn code tự sinh lặp đính kèm với code khác virus sinh học Cả hai lan truyền tự mang tải o Mang theo code để tạo o Và code thực nhiệm vụ ngầm Thao tác virus Các giai đoạn virus o Nằm im - chờ kiện kích hoạt o Lan truyền – lặp sinh chương trình/đĩa o Kích hoạt - kiện để thực tải o Thực tải o Cụ thể thông thường mang tính chất chuyên biệt máy hệ điều hành Nó khai thác tính chất điểm yếu Cấu trúc Virus program V := {goto main; 8/14 Kẻ xâm nhập phần mềm có hại 1234567; subroutine infect-executable := {loop: file := get-random-executable-file; if (first-line-of-file prepend V to file; } = 1234567) then goto loop else subroutine do-damage := {whatever damage is to be done} subroutine holds} trigger-pulled := {return true if condition main: main-program := {infect-executable; if trigger-pulled then do-damage; goto next;} next: } Các kiểu Virus Có thể phân loại dựa kiểu công o Virus ăn bám o Virus cư trú nhớ o Virus sector khởi động o Lén lút o Virus nhiều hình thái o Virus biến hoá Marco Virus Marco code đính kèm file liệu, dịch chương trình sử dụng file 9/14 Kẻ xâm nhập phần mềm có hại o Như marco Word/Excel o Sử dụng lệnh tự động lệnh marco Đây đoạn code độc lập với tảng, đoạn nguồn lan nhiễm virus Có khác biệt không rõ ràng liệu file chương trình, thông thường có thoả hiệp truyền thống: “dễ dàng sử dụng” “an toàn” Đã có cải thiện an toàn Word, không trội đe doạ virus Virus email Đây loại virus lan truyền sử dụng email đính kèm chứa marco virus Melissa Thường kích hoạt người sử dụng mở file đính kèm khi mail xem sử dụng tính chất script tác nhân mail Do lan truyền nhanh, thông thường đích tác nhân mail Microsoft Outlook tài liệu Word /Excel Cần an toàn ứng dụng hệ điều hành tốt Sâu Đây chương trình sinh lặp tác động, thường lan truyền mạng o Như sâu Internet Morris 1988 o Dẫn đến việc tạo đội ứng cứu khẩn cấp máy tính CERT o Dùng đặc quyền phân tán khai thác điểm yếu hệ thống o Được sử dụng rộng rãi Hackers để tạo zombie PC, kéo theo sử dụng công khác, đặc biệt từ chối dich vụ DoS Vấn đề an toàn hệ thống kết nối thường xuyên PC Thao tác sâu Các giai đoạn sâu giống virus: o Nằm im o Lan truyền • Tìm hệ thống khác để tác động • Thiết lập kết nội với hệ thống đích từ xa • Tự sinh lặp cho hệ thống từ xa 10/14 Kẻ xâm nhập phần mềm có hại o Kích hoạt o Thực Sâu Morrris Sâu Morris loại sâu cổ điển, tạo Robert Morris vào 1988, nhằm tới hệ thống Unix Ở sử dụng số kỹ thuật lan truyền, o Phá mật đơn giản file mật cục o Khai thác lỗ hổng o Tìm lỗi cửa sập hệ thống mail Mọi công thành công sinh lặp Tấn công sâu đương thời Làn sóng công sâu đương thời từ 2001 như: - Code Red - sử dụng lỗ hổng MS IIS: o Thử IP ngẫu nhiên cho hệ thống chạy IIS o Có kích hoạt thời gian cho công từ chối dịch vụ o Làn sóng thứ hai tác động đến 360000 máy chủ vòng 14 - Code Red – cài đặt cửa sập - Nimda – chế tác động lặp - SQL Slammer – công máy chủ MS SQL - Sobig – công máy chủ proxy mở - Mydoom – sâu email có số lượng lớn có cửa sau Công nghệ sâu Các đặc tính công nghệ sâu công đa tảng, khai thác nhiều chiều, lan truyền cực nhanh, có nhiều kiểu tác động, biến hoá, động khai thác zero day 11/14 Kẻ xâm nhập phần mềm có hại Các biện pháp chống Virus Biện pháp tốt ngăn ngừa, nói chung Do cần phải có nhiều biện pháp sau: o Phát virus nhiễm hệ thống o Định danh loại virus nhiễm o Loại bỏ khôi phục hệ thống trạng thái Phần mềm chống Virus Phần mềm thuộc hệ o Quét sử dụng chữ ký virus để định danh o Hoặc phát thay đổi độ dài chương trình Phần mềm thuộc hệ thứ hai o Sử dụng qui tắc trực quan để phát nhiễm virus o Sử dụng mã hash chương trình để phát thay đổi Phần mềm thuộc hệ thứ ba o Chương trình thường trú nhớ định danh virus theo hành động Phần mềm thuộc hệ thứ tư • Đóng gói với nhiều kiểu kỹ thuật chống virus • Quét lần vết tích cực, kiểm soát truy cập Phương pháp diệt tay dùng Kỹ thuật chống Virus nâng cao Giải mã mẫu o Sử dụng mô CPU kiểm tra chương trình, chữ ký hành vi trước chạy chúng Dùng Hệ thống miễn dịch số (IBM) 12/14 Kẻ xâm nhập phần mềm có hại o Hành động đa muc tiêu chống Virus o Mọi virus nhập vào tổ chức nắm bắt, phân tích, phát hiện/tấm chắn tạo chống loại bỏ Sau sơ đồ Hệ miễn dịch số (Digital Immune System) Phần mềm ngăn chặn hành vi Các phần mềm tích hợp với hệ điều hành máy chủ Chương trình theo dõi hành vi thời gian thực o Chẳng hạn truy cập file, định dạng đĩa, chế độ thực hiện, thay đổi tham số hệ thống, truy cập mạng Đối với hành động có khả có hại o Nếu phát ngăn chặn, chấm dứt tìm kiếm Có ưu điểm so với quét, code có hại chạy trước phát Tấn công từ chối dịch vụ từ xa Tấn công từ chối dịch vụ từ xa (DDoS) tạo thành đe dọa đáng kể, làm cho hệ thống trở nên không sẵn sàng, làm tràn vận chuyển vô ích Kẻ công thường sử dụng số lớn “zombies”, tăng độ khó công Công nghệ bảo vệ tìm biện pháp đương đầu chống lại 13/14 Kẻ xâm nhập phần mềm có hại Tìm hiểu cách kẻ thù xây dựng mạng lưới công từ chối dịch vụ từ xa Từ chối dịch vụ có hiệu lực bị nhiễm nhiều “zombies” Để thực điều cần có: - Phần mềm cài đặt công từ chối dịch vụ từ xa - Các lỗ hổng không vá nhiều hệ thống - Chiến lược quét để tìm lỗ hổng hệ thống: sử dụng yếu tố ngẫu nhiên, lập danh sách va chạm, tìm hiểu cấu trúc topo, mạng cục Chống công từ chối dịch vụ từ xa (DDoS) Có ba cách bảo vệ sau dùng rộng rãi - Ngăn ngừa công chiếm lĩnh trước - Phát công lọc trình sử dụng dịch vụ - Lần vết nguồn công xác định công sau sử dụng xong dịch vụ Nói chung có phạm vi rộng khả công, phải có nhiều biện pháp chống sử dụng kết hợp chúng 14/14 [...]... CPU kiểm tra chương trình, chữ ký và hành vi trước khi chạy chúng Dùng Hệ thống miễn dịch số (IBM) 12/14 Kẻ xâm nhập và phần mềm có hại o Hành động đa muc tiêu và chống Virus o Mọi virus nhập vào tổ chức được nắm bắt, phân tích, phát hiện/tấm chắn tạo ra chống nó và loại bỏ Sau đây là sơ đồ Hệ miễn dịch số (Digital Immune System) Phần mềm ngăn chặn hành vi Các phần mềm này được tích hợp với hệ điều... cực nhanh, có nhiều kiểu tác động, biến hoá, cơ động và khai thác zero day 11/14 Kẻ xâm nhập và phần mềm có hại Các biện pháp chống Virus Biện pháp tốt nhất là ngăn ngừa, nhưng nói chung là không thể Do đó cần phải có một trong nhiều biện pháp sau: o Phát hiện virus nhiễm trong hệ thống o Định danh loại virus nhiễm o Loại bỏ khôi phục hệ thống về trạng thái sạch Phần mềm chống Virus Phần mềm thuộc thế... “zombies”, tăng độ khó của các tấn công Công nghệ bảo vệ tìm các biện pháp đương đầu chống lại 13/14 Kẻ xâm nhập và phần mềm có hại Tìm hiểu cách kẻ thù xây dựng mạng lưới tấn công từ chối dịch vụ từ xa Từ chối dịch vụ có hiệu lực khi bị nhiễm rất nhiều “zombies” Để thực hiện được điều đó cần có: - Phần mềm cài đặt tấn công từ chối dịch vụ từ xa - Các lỗ hổng không vá được trong nhiều hệ thống - Chiến.. .Kẻ xâm nhập và phần mềm có hại o Kích hoạt o Thực hiện Sâu Morrris Sâu Morris là loại sâu cổ điển, được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix Ở đây sử dụng một số kỹ thuật lan truyền, như o Phá mật khẩu đơn giản trong file mật khẩu cục bộ o Khai... hệ thống, truy cập mạng Đối với các hành động có khả năng có hại o Nếu phát hiện thì ngăn chặn, chấm dứt hoặc tìm kiếm Có ưu điểm so với quét, nhưng code có hại chạy trước khi phát hiện Tấn công từ chối dịch vụ từ xa Tấn công từ chối dịch vụ từ xa (DDoS) tạo thành đe dọa đáng kể, làm cho hệ thống trở nên không sẵn sàng, làm tràn bởi sự vận chuyển vô ích Kẻ tấn công thường sử dụng một số lớn các “zombies”,... sự thay đổi độ dài của chương trình Phần mềm thuộc thế hệ thứ hai o Sử dụng các qui tắc trực quan để phát hiện nhiễm virus o Sử dụng mã hash của chương trình để phát hiện sự thay đổi Phần mềm thuộc thế hệ thứ ba o Chương trình thường trú trong bộ nhớ định danh virus theo hành động Phần mềm thuộc thế hệ thứ tư • Đóng gói với rất nhiều kiểu kỹ thuật chống virus • Quét và lần vết tích cực, kiểm soát truy... bộ Chống tấn công từ chối dịch vụ từ xa (DDoS) Có ba cách bảo vệ sau đây được dùng rộng rãi - Ngăn ngừa tấn công và chiếm lĩnh trước - Phát hiện tấn công và lọc trong quá trình sử dụng dịch vụ - Lần vết nguồn tấn công và xác định sự tấn công sau khi sử dụng xong dịch vụ Nói chung có phạm vi rộng các khả năng tấn công, vì vậy phải có nhiều biện pháp chống và sử dụng kết hợp chúng 14/14 ... MS IIS: o Thử IP ngẫu nhiên cho hệ thống chạy IIS o Có kích hoạt thời gian cho tấn công từ chối dịch vụ o Làn sóng thứ hai tác động đến 360000 máy chủ trong vòng 14 giờ - Code Red 2 – cài đặt cửa sập - Nimda – cơ chế tác động lặp - SQL Slammer – đã tấn công máy chủ MS SQL - Sobig – đã tấn công máy chủ proxy mở - Mydoom – sâu email có số lượng lớn và có cửa sau Công nghệ sâu Các đặc tính của công nghệ