Đang tải... (xem toàn văn)
Công Nghê Thông Tin đã và đang phát triển với một tốc độ chóng mặt, mang lại rất nhiều lợi ích cho nhân loại. Từ đời sống sinh hoạt đến các hoạt động kinh doanh, các hoạt động quản lý, chỉ đạo trong bộ máy nhà nước thì đều có sự hiện diện và đóng góp của Công Nghệ Thông Tin. Tuy nhiên, bên cạnh các mặt tích cực mà nó mang lại thì vẫn còn tồn tại nhiều mặt tiêu cực và ngày càng trở nên nghiêm trọng, nhức nhối cho xã hội như: các nguy cơ tấn công mạng nhằm phá hoại hệ thống mạng, nguy cơ bị đánh cắp các thông tin “nhạy cảm” của cá nhân, tổ chức, doanh nghiệp, các cơ quan nhà nước… Trong đó, loại virus gắn vào các file Microsoft đang thực hiện rất hiệu quả việc này, đó là virus Macro. Bài viết này em sẽ tìm hiểu tổng quan về virus Macro và sử dụng hệ thống honeynet để thu thập mẫu mã độc Macro virus.
PHỤ LỤC MỞ ĐẦU .2 CHƯƠNG 1: TỔNG QUAN VỀ MACRO VÀ VIRUS MACRO Khái niệm Macro Virus Macro Lịch sử phát triển virus Macro .5 Cơ chế lây nhiễm Virus Macro CHƯƠNG 2: TỔNG QUAN VỀ HỆ THỐNG HONEYNET .8 I Tổng quan hệ thống honeynet Honeypot Honeynet II Mơ hình kiến trúc honeynet .13 Mơ hình kiến trúc vật lý 13 Mô hình kiến trúc logic 17 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG THU THẬP MẪU MÃ ĐỘC MACRO VIRUS TRÊN HONEYNET .33 I Triển khai hệ thống .33 II Cài đặt cấu hình hệ thống .34 KẾT LUẬN .41 TÀI LIỆU THAM KHẢO 42 MỞ ĐẦU Trong xu đất nước nay, khoa học kỹ thuật chiếm vị trí trọng yếu, nước phát triển nước ta đòi hỏi phát triển mạnh mẽ lĩnh vực cơng nghệ thơng tin, nói ngành mũi nhọn làm đòn bẩy kinh tế đưa đất nước lên ngang hàng với nước khu vực giới Công Nghê Thông Tin phát triển với tốc độ chóng mặt, mang lại nhiều lợi ích cho nhân loại Từ đời sống sinh hoạt đến hoạt động kinh doanh, hoạt động quản lý, đạo máy nhà nước có diện đóng góp Cơng Nghệ Thơng Tin Tuy nhiên, bên cạnh mặt tích cực mà mang lại tồn nhiều mặt tiêu cực ngày trở nên nghiêm trọng, nhức nhối cho xã hội như: nguy công mạng nhằm phá hoại hệ thống mạng, nguy bị đánh cắp thông tin “nhạy cảm” cá nhân, tổ chức, doanh nghiệp, quan nhà nước… Trong đó, loại virus gắn vào file Microsoft thực hiệu việc này, virus Macro Bài viết em tìm hiểu tổng quan virus Macro sử dụng hệ thống honeynet để thu thập mẫu mã độc Macro virus CHƯƠNG 1: TỔNG QUAN VỀ MACRO VÀ VIRUS MACRO Khái niệm Macro Virus Macro a Macro Macro tên gọi chung đoạn mã thiết kế để bổ sung tính cho file Office Chúng ta cài đặt sẵn số thao tác vào macro, lần gọi macro phần cài sẵn thực hiện, giúp người sử dụng giảm bớt công lặp lặp lại thao tác giống Có thể hiểu nơm na việc dùng Macro giống việc ta ghi lại thao tác, để sau cho tự động lặp lại thao tác yêu cầu Macro tính hữu ích phần mềm văn phòng Tính nhằm giúp người sử dụng tự động hóa số tác vụ lặp lặp lại nhiều lần Tuy nhiên, tác vụ lại tiềm ẩn mối nguy chỉnh sửa hay xoá tệp tin Đây lý macro trở thành sở thích kẻ chun lập trình virus Những tài liệu Microsoft Office (Word, Excel, Power Point kiểu khác) nhúng đoạn mã viết ngơn ngữ lập trình VBA (Visual Basic for Application) Những tài liệu Microsoft Office có tích hợp macro gây nguy hiểm Macro chất đoạn mã máy tính xét mặt lịch sử nơi chứa đoạn mã độc hại từ hacker có ý đồ xấu Tuy nhiên với phiên Office có tính an ninh để bảo vệ người dùng từ macro Bạn ghi macro riêng cho tính Macro Recorder Cho phép bạn tự động lặp lại nhiệm vụ Tuy nhiên với kẻ xấu chúng lợi dụng mã VBA để tạo macro độc hại Chúng nhúng macro độc hại vào liệu Office sau phát tán qua mạng b Virus Macro Macro virus loại virus lây vào file văn (Microsoft Word), file bảng tính (Microsoft Excel) hay file trình diễn (Microsoft Power Point) Microsoft Office Trong thuật ngữ máy tính, virus Macro virus máy tính sử dụng ngơn ngữ lập trình ứng dụng để tự phân phối thân Chúng viết ngôn ngữ Macro, tức ngôn ngữ xây dựng vào ứng dụng phần mềm trình xử lý văn Bạn nghĩ ngơn ngữ lập trình thiết kế để làm nhiệm vụ tự động Office điều hồn tồn vơ hại sai lầm Ví dụ macro dùng lệnh VBA SHELL để chạy lênh chương trình tùy ý dùng lệnh VBA KILL để xóa file ổ đĩa cứng Bạn hỏi nguy hiểm mà Office sử dụng? Macro VBA đưa thêm vào Office từ năm 1990, Microsoft chưa xem xét nghiêm túc an ninh trước Internet mang môi đe dọa từ macro Macro mã VBA không thiết kế cho an ninh mà tương tự công nghệ ActiveX Microsoft Adobe PDF Reader Tin tặc lợi dụng tinh không an toàn Microsoft Office để tạo malware Một virus tiếng Melissa năm 1999 Virus phát tán thông qua tài liệu Word có chứa macro Virus Khi mở tài liệu độc hại Word 97 Word 2000, macro hoạt động, lấy 50 người danh sách địa nạn nhân để gửi tài liệu Word bị lây nhiễm macro độc hại thông qua Microsoft Outlook Nhiều người nhận mở file tài liệu bị lây nhiễm chu kì lây lan tiếp diễn Những macro virus khác nguyên nhân gây rắc rối theo cách khác Ví dụ macro Wazzu lây nhiễm tài liệu Word làm xóa trộn nội dung bên file bị lây nhiễm Lịch sử phát triển virus Macro Năm 1995: Virus văn (macro virus) xuất mã macro tệp Word lan truyền qua nhiều máy Loại virus làm hư hệ điều hành Macro virus loại virus viết công cụ VBA (Visual Basic for Applications) tùy theo khả năng, lan nhiễm ứng dụng văn phòng Microsoft Word, Excel, PowerPoint, OutLook, Loại macro này, tiếng có virus Baza virus Laroux, xuất năm 1996, nằm Word hay Excel Sau này, virus Melissa, năm 1997, công triệu máy, lan truyền tệp đính kèm kiểu Word cách đọc gửi đến địa Outlook máy bị nhiễm virus.Virus Tristate, năm 1999, nằm tệp Word, Excel Power Point Tin tặc lợi dụng tinh khơng an tồn Microsoft Office để tạo malware Một virus tiếng Melissa năm 1999 Virus phát tán thông qua tài liệu Word có chứa macro Virus Khi mở tài liệu độc hại Word 97 Word 2000, macro hoạt động, lấy 50 người danh sách địa nạn nhân để gửi tài liệu Word bị lây nhiễm macro độc hại thông qua Microsoft Outlook Nhiều người nhận mở file tài liệu bị lây nhiễm chu kì lây lan tiếp diễn Năm 2000: Virus Love Bug, có tên ILOVEYOU, đánh lừa tính hiếu kì người Đây loại macro virus Đặc điểm dùng tập tin dạng “ILOVEYOU.txt.exe”, lợi dụng điểm yếu Outlook thời giờ: theo mặc định sẵn, đuôi dạng.exe tự động bị giấu Ngồi ra, virus có đặc tính spyware: tìm cách đọc tên mã nhập máy chủ gửi cho tay hacker Khi truy cứu sinh viên người Philippines Tên tha bổng lúc Philippines chưa có luật trừng trị người tạo virus cho máy tính Trong thời gian gần đây, loại virus Ransomware gửi dựa phương thức từ email lạ có chứa tập tin “.docx” đính kèm gửi đến người dùng Khi người dùng mở tập tin đính kèm email chọn enable macro virus tải kích hoạt máy tính khiến liệu bị mã hóa khơng thể sử dụng Trong số trường hợp tồn liệu máy tính bị mã hóa, khóa máy tính người dùng để người dùng truy cập để tắt tiến trình chạy nhằm mục đích tống tiền Hoặc theo kiểu phá hoại mã hóa file khởi động “.MBR” làm cho máy tính người dùng khơng thể khởi động Hiện nay, thực tế loại virus Macro gần “tuyệt chủng” khơng sử dụng đến macro Bkav có tuỳ chọn diệt “Xóa tất Macro”, “All Macros”, chọn tuỳ chọn này, Bkav xoá tất macro có máy mà khơng cần biết chúng có phải virus hay khơng, điều đồng nghĩa với việc tất virus macro có máy bị diệt theo Nếu bạn không dùng đến macro hay chẳng để ý bạn nên dùng tuỳ chọn này, giúp bạn loại bỏ nỗi lo với virus macro chúng vừa xuất hay xuất lâu Trong trường hợp bạn có sử dụng macro cho cơng việc khơng nên chọn tuỳ chọn (khi bạn khơng chọn tuỳ chọn “Xóa tất Macro” Bkav diệt macro xác minh xác virus) Cơ chế lây nhiễm Virus Macro Vì số ứng dụng cho phép chương trình macro nhúng vào tài liệu, chương trình tự động chạy tài liệu mở Điều cung cấp chế đặc biệt giúp virus lây lan Virus Macro lây lan thơng qua tập tin đính kèm email, đĩa, mạng máy tính, modem, Internet khó phát Tài liệu khơng bị nhiễm độc chứa macro bình thường Hầu hết macro độc hại tự khởi động mở đóng tài liệu Thơng thường virus Macro tiêm nhiễm máy tính cách thay macro bình thường với virus Macro Các virus Macro thay lệnh thông thường với tên chạy lệnh chọn Trong trường hợp macro chạy tự động, macro mở mà không cần hành động từ người sử dụng Sau macro độc hại tải vào ứng dụng Office Word tài liệu bị lây nhiễm, dùng tính “AutoExec” để khởi động tự động với Word “AutoOpen” để tự động chạy lúc tài liệu mở Với cách , macro độc hại tự tích hợp vào Word, lây nhiễm tài liệu khác Không giống virus khác, virus Macro không ảnh hưởng đến chương trình, chúng tiêm nhiễm tài liệu template Sau ứng dụng mở tập tin có chứa virus Macro, tiêm nhiễm hệ thống, tiếp tục lây lan sang tài liệu hay template có máy tính bạn Khi tài liệu nhiễm virus chia sẻ với người sử dụng khác, virus lây lan nhanh chóng Virus Macro sử dụng để cài đặt phần mềm hệ thống mà không cần chấp thuận người sử dụng Nó tìm kiếm phần mềm mạng Internet, tải hoàn thành cài đặt phần mềm cách sử dụng phím tự động Tuy nhiên điều không phổ biến tỷ lệ thành công nhỏ Người sử dụng thường dễ dàng nhận tháo cài đặt phần mềm Nhiều vấn đề phiền phức xảy cho liệu người sử dụng máy tính bị nhiễm loai virus Chẳng hạn, bạn bị yêu cầu phải nhập mật cho tập tin mà bạn chắn khơng chứa mật Hoặc báo lỗi khác thường, ví dụ: “This one's for you, Bosco.” hay “ROBERTA TI AMO!”… Hoặc xuất thay đổi khác thường liệu Ví dụ, virus Macro ngẫu nhiên di chuyển ba từ sau chèn vào cụm từ “WAZZU” vị trí ngẫu nhiên… CHƯƠNG 2: TỔNG QUAN VỀ HỆ THỐNG HONEYNET I Tổng quan hệ thống honeynet Honeypot a Khái niệm Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật Honeypot xem “Mắt ong” tất nhiên Honeypot phải có “Mật ngọt” tức có chứa hệ thống tài ngun thơng tin có giá trị, nhạy cảm, có tính bí mật như: thơng tin tài khoản ngân hàng, thơng tin bí mật an ninh quốc gia…, để làm “mồi” dụ hacker ý đến cơng Hệ thống tài ngun thơng tin có nghĩa Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server…, cài đặt chạy hệ điều hành như: Linux (Red hat, Fedora…), Unix( Solaris), Window (Window NT, Window 2000, Window XP, Window 2003, Vista,… ), Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc hình thức cơng, cơng cụ cơng hay cách thức tiến hành thay bị cơng b Phân loại Honeypot chia làm hai loại chính: Tương tác thấp tương tác cao • Tương tác thấp: Honeypot cài đặt chương trình (chẳng hạn như: Honeyd, BackOfficer Friendly, Specter) mô giả dịch vụ, ứng dụng hệ điều hành Loại có mức độ rủi ro thấp, dễ triển khai bảo dưỡng lại bị giới hạn dịch vụ • Tương tác cao: Honeypot cài đặt, chạy dịch vụ, ứng dụng hệ điều hành thực (chẳng hạn Honeynet) Loại có mức độ thơng tin thu thập cao mức độ rủi ro cao tốn thời gian để vận hành bảo dưỡng Ví dụ số loại honeypot: * BackOfficer Friendly (BOF): Là loại hình Honeypot dễ vận hành cấu hình, hoạt động phiên Windows Unix nhược điểm tương tác với số dịch vụ đơn giản FTP, Telnet, SMTP… * Specter: Đây loại hình Honeypot tương tác thấp có khả tương tác tốt so với BackOfficer, loại Honeypot giả lập 14 cổng cảnh báo, quản lý từ xa Tuy nhiên, giống BackOfficer Specter có nhược điểm bị giới hạn số dịch vụ không linh hoạt *Honeyd Loại Honeypot lắng nghe tất cổng TCP UDP, dịch vụ mô thiết kế với mục đích ngăn chặn ghi lại công, tương tác với kẻ cơng vai trò hệ thống nạn nhân Hiện nay, Honeyd có nhiều phiên mô khoảng 473 hệ điều hành Honeyd loại hình Honeypot tương tác thấp có nhiều ưu điểm nhiên Honeyd có nhược điểm khơng thể cung cấp hệ điều hành thật để tương tác với tin tặc khơng có chế cảnh báo phát hệ thống bị xâm nhập gặp phải nguy hiểm Honeynet a Khái niệm Honeynet (tạm gọi “Tổ ong”) hình thức honeypot tương tác cao Khác với honeypot khác, Honeynet hệ thống thật, hoàn toàn giống mạng làm việc bình thường Honeynet cung cấp hệ thống, ứng dụng, dịch vụ thật : Web, Mail, File server, Honeynet khác với hệ thống Firewall, hệ thống phát ngăn chặn xâm nhập: hệ thống có khả bảo vệ hệ thống mạng tài nguyên mạng hệ thống thực nhiệm vụ “phòng thủ”, mang tính thụ động, ngược lại, Honeynet lại hệ thống chủ động lôi kéo, thu hút ý công hacker nhằm thu thập thông tin hacker như: kỹ thuật công , công cụ hacker sử dụng, loại mã độc xuất hiện, Hệ thống Honeynet triển khai xây dưng nhiều quan, tổ chức với nhiều mục đích khác như: Các quan nhà nước, doanh nghiệp sử dụng Honeynet nhằm kiểm tra độ an tồn hệ thống mạng ngăn chặn kẻ công công vào hệ thống thật, quan, tổ chức, doanh nghiệp hoạt động lĩnh vực an ninh mạng sử dụng Honeynet nhằm thu thập loại mã độc hại như: virus, worm, spyware, trojan,…, để kịp thời viết chương trình cập nhật diệt mã độc cho sản phẩm Anti-virus Quan trọng xây dựng hệ thống Honeynet Honeywall Các luồng liệu vào từ honeypot phải qua Honeywall Để kiểm soát luồng liệu này, thu thập dấu hiệu công ngăn chặn công hacker Honeywall sử dụng hai cơng cụ là: • Một IDS Snort (hay gọi IDS sensor) gồm có luật (Rule) định nghĩa dấu hiệu công thực hiện bắt gói tin (Packet) • Hai Firewall Iptables gồm có luật (Rule) định nghĩa cho phép(Allow) khơng cho phép (Deny) truy cập từ bên ngồi vào bên hệ thống kiểm soát luồng liệu qua Honeywall 10 Snort thu nhận tất luồng liệu mạng vào - hệ thống Honeynet Snort sử dụng để bắt ghi nhận gói tin đường truyền Snort thực lắng nghe toàn mạng để bắt giữ kiểm tra nội dung tất gói tin qua * Thu nhận liệu hoạt động Honeypot Nhiệm vụ module thu nhận liệu ghi lại toàn hoạt động hacker tương tác với hệ thống Honeynet Chúng ta chia hoạt động tương tác thu thập thông tin thành mức sau: - Hoạt động mức mạng - Hoạt động mức hệ thống - Hoạt động mức ứng dụng - Hoạt động mức người dùng Hai tầng thu nhận liệu trình bày (thu nhận liệu từ tường lửa thu nhận liệu từ luồng mạng) thực thu nhận hoạt động mức mạng Tầng thu nhận liệu thứ ba thu nhận hoạt động mức hệ thống, hoạt động mức ứng dụng hoạt động mức người dùng Đây tầng thu nhận liệu chủ yếu Honeynet Để thu nhận liệu từ Honeypot, Honeynet sử dụng công cụ Sebek client - server thực cơng việc Trong Sebek server tích hợp Honeywall, Sebek client chương trình hoạt động rookit, cài đặt Honeypot, có khả ẩn tiến trình, file liệu registry (với Windows), ghi lại thông số kết nối mạng, thực giám sát tất hoạt động, kết nối mạng Honeypot gửi thông tin thu thập Sebek server 28 Mơ hình hoạt động Sebek Tóm lại: module thu nhận liệu thực nhiệm vụ thu nhận liệu nhằm khám phá kỹ thuật công, công cụ mục đích hacker Đồng thời phát lỗ hổng hệ thống, đóng vai trò vơ quan trọng Honeynet c Module phân tích liệu c1 Vai trò - nhiệm vụ Vai trò module phân tích liệu Honeynet nhằm hỗ trợ người phân tích thực việc sàng lọc, thu gọn liệu nhằm loại bỏ liệu dư thừa để dễ dàng tìm mối tương quan liệu nhằm phát vấn đề trọng tâm cần phân tích (như liệu liên quan đến q trình cơng hay hoạt động bất hợp pháp hacker) Đối với hệ thống Honeynet, kẻ công sử dụng kỹ thuật công hay công cụ công Honeynet lưu giữ lại tồn liệu q trình thực cơng hacker Do đó, người quản trị sử dụng liệu để phân tích tìm chế, mục đích, cơng cụ, phương pháp cơng, chí xây dựng mẫu cơng để cập nhật cho hệ thống IDS giúp cho IDS phát công tiếp tục gặp lại lần sau 29 Honeynet cung cấp cho số công cụ Hflow, Walleye để hỗ trợ người quản trị dễ dàng phân tích, tìm chế, mục đích, cơng cụ phương pháp công hacker Giao diện web Walleye c2 Cơ chế Honeynet hỗ trợ hai công cụ sau để thực q trình phân tích liệu - Một là, Hflow: có khả tự động kết hợp liệu - Hai là, Walleye: có khả báo cáo, thống kê thông qua giao diện web thân thiện với người dùng Cả hai công cụ tích hợp sẵn Honeywall 30 Sơ đồ kiến trúc Honeywall Hflow có nhiệm vụ kết hợp liệu từ module thu nhận liệu gửi về, chuẩn hóa liệu lưu vào sở liệu Walleye có nhiệm vụ lấy liệu thu thập được, Hflow chuẩn hóa sở liệu để cung cấp cho người phân tích thơng qua giao diện web Nhờ vậy, mà người phân tích nắm khung cảnh chung hoạt động hệ thống, chi tiết hoạt động mạng Tóm lại: module có nhiệm vụ hỗ trợ người phân tích thực việc sàng lọc, thu gọn liệu nhằm loại bỏ liệu dư thừa, hỗ trợ phân tích liệu thu nhận nhằm đưa ra: kỹ thuật, công cụ mục đích cơng hacker Kết luận: chương đề tài trình bày mơ hình kiến trúc ngun lý hoạt động hệ thống Honeynet Qua đó, giúp hiểu sâu trình làm việc, hoạt động Honeynet Để thực tốt mục đích đềs tài nghiên cứu Honeynet nhằm mục đích phòng chống phát 31 cơng bên cạnh việc nghiên cứu Honeynet, cần phải có kiến thức, hiểu biết định hướng công phổ biến mà hacker sử dụng 32 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG THU THẬP MẪU MÃ ĐỘC MACRO VIRUS TRÊN HONEYNET I Triển khai hệ thống Chuẩn bị Do điều kiện khơng có cơng cụ thiết bị, em triển khai hệ thống Honeynet máy ảo VMWare + Máy Window cài sẵn công cụ VMware Workstation + Bộ cài Honeywall roo 1.4 ISO + Phần mềm thu thập thông tin Sebek-Win32-3.0.5 cho Windows + Máy ảo Windows cài sẵn công cụ Nmap + Máy ảo Windows Server 2003 làm Honeypot + Máy ảo Windows XP SP3 làm máy quản trị Mơ hình triển khai đề tài Bảng cấu hình thành phần Honeynet Loại Server (Honeynet gateway){3 card mạng} Web Server (Honeypot) Client (Management) Client (Hacker) Mơ hình triển khai 33 Hệ điều hành Honeywall Roo 1.4 Windows server 2003 Windows XP SP3 Windows Máy ảo Honeywall có giao diện mạng theo thứ tự: + Giao diện thứ 1: (eth0) đặt chế độ Bridged: Kết nối máy tính mạng LAN máy thật Windows + Giao diện thứ 2: (eth1) đặt chế độ Host-only: Kết nối máy vật lý máy ảo Window Server 2003 + Giao diện thứ 3: (eth2) đặt chế độ Vmnet 2: Kết nối với máy ảo Windows XP Máy ảo Windows kết nối vào mạng LAN thông qua giao diện Bridged Máy ảo Windows XP sử dụng giao diện Vmnet để kết nối với Honeywall thông qua eth2 Máy ảo Windows 2003 làm Honeypot sử dụng giao diện Host-only (Tất lưu lượng vào Windows 2003 phải qua Honeywall) II Cài đặt cấu hình hệ thống Cho đĩa Honeywall CDROM vào boot từ CD Màn hình cảnh báo cài đặt Honeywall 34 Quá trình cài đặt Honeywall Sau cài đặt xong hệ thống tự khởi động lại xuất hình Mặc định hệ thống có hai tài khoản roo root, để đảm bảo an toàn phải đăng nhập vào roo trước sau dùng lệnh su - để chuyển vào root cấu hình Cấu hình Honeywall có hai cách: giao diện đồ họa dòng lệnh, chất giống Giao diện dòng lệnh cấu hình tập tin /etc/Honeywall.conf Ở nhóm cấu hình giao diên đồ họa Màn hình đăng nhập hệ thống 35 Màn hình cấu hình hệ thống Lựa chọn phương thức cấu hình 36 Địa IP Honeypot Địa IP máy quản lý 37 Địa IP đích gói tin Sebek Cổng đích gói tin Sebek 38 Hệ thống khởi động lại sau cấu hình Màn hình đăng nhập walleye từ máy quản lý 39 Cài đặt Sebek client Window Server 2003 nhằm mục đích gửi liệu hành động hacker Honeypot Sebek server để người quản trị phân tích Việc cài đặt đơn giản, cần tải tập tin cài đặt SebekWin32-latest.zip từ trang chủ giải nén Chạy file Setup.exe sau chạy tập tin Configuration Winzard.exe để cấu hình cổng, địa IP đích gói tin Sebek, địa MAC card mạng mà Honeywall kết nối với Honeypot Màn hình cấu hình Sebek client Hệ thống sau cài đặt có khả thu thập tất mẫu mã độc Macro Virus nhờ công cụ Snort Trong Honeynet tầng thu nhận liệu thực Snort cấu hình chế độ thu nhận tất gói tin mạng Vai trò quan trọng Snort thu nhận tất luồng liệu mạng vào - hệ thống Honeynet Snort sử dụng để bắt ghi nhận gói tin đường truyền Snort thực lắng nghe toàn mạng để bắt giữ kiểm tra nội dung tất gói tin qua 40 KẾT LUẬN Trên tồn báo cáo em đề tài Macro virus Em tìm hiểu, nắm tương đối vững Macro virus mơ hình, hoạt động hệ thống honeypot việc phát phòng chống cơng nói chung, thu thập mẫu mã độc Macro virus nói riêng Tuy nhiên, điều kiện thời gian trang thiết bị nên việc triển khai hệ thống honeynet mức độ thử nghiệm, tài liệu nghiên cứu tiếng việt chưa nhiều nên đề tài em nhiều thiếu sót Em hy vọng nhận bảo, hướng dẫn nhiệt tình thầy giáo đóng góp ý kiến bạn để đề tài em hoàn thiện 41 TÀI LIỆU THAM KHẢO Em tham khảo chủ yếu số tài liệu sau: [1] Giáo trình “The Giant Black Book of Computer Viruses (2nd)” [2] Giáo trình “The Art of Computer Virus Research and Defense” [3] Đề Tài: Nghiên Cứu Triển Khai Một Hệ Thống Honeynet Cho Cơ Chế Phòng Chống Phát Hiện Tấn Cơng Từ Xa [4] http://forum.bkav.com.vn/forum/bkav-relax/tan-gau-giai-tri/2290-tim-hieuve-honeypot-va-honeynet [5] http://www.tuvantinhoc1088.com/tin-vp/word/13165-t-i-sao-macro-l-i- nguy-hi-m-v-i-file-microsoft-office.html 42 ... CHƯƠNG 1: TỔNG QUAN VỀ MACRO VÀ VIRUS MACRO Khái niệm Macro Virus Macro a Macro Macro tên gọi chung đoạn mã thiết kế để bổ sung tính cho file Office Chúng ta cài đặt sẵn số thao tác vào macro, lần... nghiệp, quan nhà nước… Trong đó, loại virus gắn vào file Microsoft thực hiệu việc này, virus Macro Bài viết em tìm hiểu tổng quan virus Macro sử dụng hệ thống honeynet để thu thập mẫu mã độc Macro virus. .. nhiễm Lịch sử phát triển virus Macro Năm 1995: Virus văn (macro virus) xuất mã macro tệp Word lan truyền qua nhiều máy Loại virus làm hư hệ điều hành Macro virus loại virus viết công cụ VBA (Visual