Chapter 1: Social Engineering
Chương 2: Các Loại chỉ báo tấn công (hay các dạng tấn công)
Trong chương này, bạn sẽ
• So sánh và đối chiếu các kiểu tấn công khác nhau
• Học cách phân tích các chỉ số tiềm năng để xác định loại tấn công
Các cuộc tấn công có thể được thực hiện đối với hầu như bất kỳ lớp hoặc cấp độ phần mềm nào, từ các giao thức mạng đến các ứng dụng. Khi kẻ tấn công tìm thấy một lỗ hổng trong một hệ thống, chúng sẽ khai thác điểm yếu đó để tấn công hệ thống. Hiệu quả của một cuộc tấn công phụ thuộc vào mục đích của kẻ tấn công và có thể dẫn đến nhiều loại ảnh hưởng, từ nhẹ đến nghiêm trọng. Một cuộc tấn công vào một hệ thống có thể không hiển thị trên hệ thống đó vì cuộc tấn công đang thực sự xảy ra trên một hệ thống khác và dữ liệu mà kẻ tấn công sẽ thao tác trên hệ thống thứ hai có được bằng cách tấn công hệ thống thứ nhất. Các cuộc tấn công có thể chống lại người dùng như trong kỹ thuật xã hội, hoặc chống lại ứng dụng, mạng hoặc các phần tử mật mã đang được sử dụng trong một hệ thống. Chương này so sánh và đối chiếu các kiểu tấn công này.
Mặc dù hack và vi-rút nhận được nhiều sự quan tâm nhất trong tin tức, nhưng chúng không phải là những phương pháp duy nhất được sử dụng để tấn công hệ thống máy tính và mạng. Chương này đề cập đến nhiều cách khác nhau mà máy tính và mạng bị tấn công hàng ngày. Mỗi kiểu tấn công đều đe dọa ít nhất một trong ba yêu cầu bảo mật: tính bảo mật, tính toàn vẹn và tính sẵn sàng (CIA về bảo mật).
Từ quan điểm cấp cao, các cuộc tấn công vào hệ thống máy tính và mạng có thể được nhóm thành hai loại lớn: tấn công vào phần mềm cụ thể (chẳng hạn như một ứng dụng hoặc hệ điều hành) và tấn công vào một giao thức hoặc dịch vụ cụ thể. Các cuộc tấn công vào một ứng dụng hoặc hệ điều hành cụ thể thường có thể xảy ra do sự giám sát trong mã (và có thể trong quá trình kiểm tra mã đó) hoặc do một lỗ hổng hoặc lỗi trong mã (một lần nữa cho thấy sự thiếu kiểm tra kỹ lưỡng). Các cuộc tấn công vào các giao thức hoặc dịch vụ cụ thể là những nỗ lực nhằm tận dụng một tính năng cụ thể của giao thức hoặc dịch vụ hoặc sử dụng nó theo cách mà nó không được dự kiến. Chương này thảo luận về các hình thức tấn công khác nhau mà các chuyên gia bảo mật cần lưu ý.
Certification Objective Chương này bao gồm CompTIA Security + mục tiêu kỳ thi 1.2: Đưa ra một kịch bản, phân tích các chỉ số tiềm năng để xác định loại tấn công.
Malware
Phần mềm độc hại đề cập đến các phần mềm được thiết kế cho một số mục đích bất chính. Phần mềm như vậy có thể được thiết kế để gây ra thiệt hại cho hệ thống, chẳng hạn như bằng cách xóa tất cả các tệp hoặc nó có thể được thiết kế để tạo một cửa hậu vào hệ thống để cấp quyền truy cập cho các cá nhân không được phép. Nói chung, việc cài đặt phần mềm độc hại được thực hiện để người dùng được ủy quyền không thấy rõ. Một số loại phần mềm độc hại khác nhau có thể được sử dụng, chẳng hạn như vi rút, trojan, bom logic, phần mềm gián điệp và sâu, và chúng khác nhau về cách cài đặt và mục đích của chúng. Ví dụ như Sub 7 là phần mềm độc hại.
Ransomware
Ransomware là một dạng phần mềm độc hại thực hiện một số hành động và đòi tiền chuộc từ người dùng. Ransomware thường mã hóa các tệp trên hệ thống và sau đó khiến chúng không thể sử dụng được vĩnh viễn, hoạt động như một hành động từ chối dịch vụ hoặc tạm thời cho đến khi trả tiền chuộc, do đó có tên. Ransomware thường là một loại sâu máy tính, hoàn toàn tự động và khi được nhắm mục tiêu như một phương tiện từ chối dịch vụ, cơ chế sửa chữa duy nhất là xây dựng lại hệ thống. Điều này có thể tốn thời gian và / hoặc không thực tế trong một số trường hợp, làm cho cơ chế tấn công này tương đương với việc phá hủy tài sản.
Một mối đe dọa ransomware hiện tại, xuất hiện lần đầu tiên vào năm 2013, là CryptoLocker. CryptoLocker là một con ngựa trojan mã hóa các tệp nhất định bằng cách sử dụng mã hóa khóa công khai RSA. Khi người dùng cố gắng lấy các tệp này, họ sẽ được cung cấp một thông báo hướng dẫn cách mua khóa giải mã. Bởi vì hệ thống đang sử dụng mã hóa RSA 2048-bit, giải mã brute force nằm ngoài phạm vi của các tùy chọn khôi phục. Hệ thống tự động hóa cao và người dùng có một khoảng thời gian ngắn để lấy khóa cá nhân. Nếu không lấy được chìa khóa sẽ dẫn đến việc mất dữ liệu. Vào năm 2017, một loại sâu ransomware có tên là NotPetya đã lây lan trên toàn cầu, chỉ tấn công một số công ty, nhưng nó tấn công ở đâu, nó sẽ phá hủy mọi thứ ở đó. Lý do là, mặc dù NotPetya trông giống và hoạt động giống như ransomware, nhưng không có khóa giải mã. Trước đó vào năm 2017, một loại ransomware có tên là WannaCry đã tấn công nhiều công ty, bao gồm cả Dịch vụ Y tế Quốc gia Anh (NHS). Phần mềm tống tiền này đã tạo ra sự tàn phá bằng cách khai thác lỗ hổng EternalBlue trong hệ thống Microsoft Windows đã bị tiết lộ bởi nhóm có tên Shadow Brokers. WannaCry đã bị chặn lại bởi một hacker mũ trắng, Marcus Hutchins, người đã tìm thấy lỗ hổng trong sâu WannaCry và có thể vô hiệu hóa nó trên toàn cầu.
| Mẹo Thi Ransomware là một dạng phần mềm độc hại khóa người dùng khỏi tệp của họ hoặc thậm chí toàn bộ thiết bị cho đến khi thanh việc toán tiền chuộc trực tuyến được thực hiện để khôi phục quyền truy cập. |
Trojans
Trojan horse, hay đơn giản là trojan, là một phần mềm có vẻ như làm một việc này nhưng lại ẩn một số chức năng khác. Sự tương đồng với câu chuyện nổi tiếng về thời cổ đại là rất chính xác. Trong trường hợp ban đầu, vật thể có vẻ là một con ngựa gỗ lớn, và thực tế là như vậy. Đồng thời, trong con ngựa gỗ này còn ẩn chứa một điều gì đó nham hiểm và nguy hiểm hơn nhiều đối với những người cư ngụ tại thành phố Troy. Miễn là con ngựa được để bên ngoài các bức tường thành, nó có thể không gây thiệt hại cho cư dân. Tuy nhiên, khi được người dân thành Troy tiếp nhận, thì chính bên trong đó, một mục đích ẩn giấu đã được kích hoạt, các bạn có thể xem phim Troy để biết thêm về tình huống này. Trojan máy tính hoạt động theo cùng một cách. Không giống như vi-rút sinh sản bằng cách tự gắn vào các tệp hoặc chương trình khác, trojan là một chương trình độc lập phải được người dùng sao chép và cài đặt — troyan phải được người dùng ủy quyền “đưa vào bên trong” hệ thống. Thách thức đối với kẻ tấn công là lôi kéo người dùng sao chép và chạy chương trình. Điều này thường có nghĩa là chương trình phải được ngụy trang thành thứ gì đó mà người dùng muốn chạy — một tiện ích hoặc trò chơi đặc biệt chẳng hạn. Một khi nó đã được sao chép và ở bên trong hệ thống, trojan sẽ thực hiện mục đích ẩn của chúng mà người dùng thường vẫn không biết về bản chất thực sự của nó là gì.
Một ví dụ điển hình về trojan là Back Orifice (BO), ban đầu được tạo ra vào năm 1999 và hiện được cung cấp trong một số phiên bản. BO có thể được gắn vào một số loại chương trình. Sau khi nó được đính kèm và khi một tệp bị nhiễm được chạy, BO sẽ tạo ra một cách để các cá nhân không được phép tiếp quản hệ thống từ xa, như thể họ đang ngồi trên bảng điều khiển. BO được thiết kế để hoạt động với các hệ thống dựa trên Windows. Nhiều trojan giao tiếp với bên ngoài thông qua một cổng mà trojan mở và đây là một trong những cách trojan có thể được phát hiện.
| Mẹo Thi Đảm bảo bạn hiểu sự khác biệt giữa vi rút, sâu máy tính, trojan và nhiều loại mối đe dọa khác cho kỳ thi. |
Worm – Sâu Máy Tính
Đã từng rất dễ dàng để phân biệt giữa sâu và vi rút. Gần đây, với sự ra đời của các loại mã độc tinh vi mới, sự phân biệt đã bị mờ đi. Worms là những đoạn mã cố gắng xâm nhập vào mạng và hệ thống máy tính. Một khi sự xâm nhập xảy ra, sâu sẽ tạo ra một bản sao mới của chính nó trên hệ thống bị xâm nhập. Do đó, sự sinh sản của một con sâu không phụ thuộc vào việc gắn vi-rút vào một đoạn mã khác hoặc vào một tệp, đó là định nghĩa của vi-rút.
Virus thường được coi là một vấn đề dựa trên hệ thống và sâu là một vấn đề dựa trên mạng. Nếu mã độc được gửi qua mạng, sau đó nó có thể được gọi là sâu. Tuy nhiên, sự khác biệt quan trọng là liệu mã có phải tự gắn vào một thứ khác (virus) hay nó có thể tự “tồn tại” (một con sâu) hay không.
Một số ví dụ về sâu có cấu hình cao bao gồm sâu Sobig năm 2003, sâu SQL Slammer năm 2003, cuộc tấn công Code Red và Nimda năm 2001 và sâu Zotob năm 2005 đã hạ gục CNN Live. Nimda đặc biệt ấn tượng ở chỗ nó sử dụng 5 phương pháp khác nhau để phát tán: qua email, qua mạng chia sẻ mở, từ duyệt các trang web bị nhiễm, sử dụng lỗ hổng truyền tải thư mục của Microsoft IIS 4.0 / 5.0 và ấn tượng nhất là thông qua việc sử dụng các backdoor do Code Red để lại. Red Worm II và Sadmind Worm. Gần đây, sâu đã trở thành một công cụ được lựa chọn cho các cuộc tấn công ransomware, vì chúng có thể lây lan từ hệ thống này sang hệ thống khác mà không cần sự can thiệp của người điều hành. Sâu NotPetya năm 2017 đã gây ra thiệt hại ước tính 10 tỷ USD.
| Mẹo thi Worm hay sâu máy tính hoạt động giống như một loại virus máy tính nhưng cũng có khả năng di chuyển mà không cần sự tác động của con người. Chúng không cần giúp đỡ để lây lan. |
Potentially Unwanted Programs (Các chương trình không mong muốn)
Potentially unwanted program (PUP) là một ký hiệu được sử dụng bởi các công ty bảo mật và nhà cung cấp phần mềm chống vi-rút để xác định các chương trình có thể có tác động xấu đến bảo mật hoặc quyền riêng tư của máy tính. Những điều này thường liên quan đến các thành phần phần mềm quảng cáo hoặc phần mềm gián điệp và được sử dụng cho mục đích tạo doanh thu.
Nguồn PUP phổ biến là các trang web tải xuống của bên thứ ba để tải xuống ứng dụng — ngay cả các ứng dụng hợp pháp cũng có thể được các nhà phân phối bên thứ ba đóng gói. Việc sử dụng giải pháp chống phần mềm độc hại phải bắt và cho phép dừng các PUP trước khi cài đặt.
Fileless Virus
Hầu hết các giải pháp chống vi-rút / chống phần mềm độc hại đều tìm thấy phần mềm độc hại thông qua việc giám sát hệ thống tệp tin và sau đó lọc các lần ghi để tìm các chữ ký đã biết. Khi một phần mềm độc hại chỉ hoạt động trong bộ nhớ, không bao giờ chạm vào hệ thống tệp tin, thì việc phát hiện sẽ khó hơn nhiều. Loại tấn công này được gọi là vi rút không được lọc hoặc tấn công dựa trên bộ nhớ.
| Mẹo thi Hãy nhớ rằng không giống như vi-rút truyền thống, tự gắn vào một tệp, vi-rút không lọc (unfiltered virus) sống trong bộ nhớ và sẽ tiếp tục chạy cho đến khi thiết bị tắt nguồn. |
SECUITY365 