Dưới đây là lời giải đáp đầy đủ và chi tiết cho tình huống Performance-Based Question (PBQ) về chủ đề phân tích chuỗi tấn công của mã độc (Malware Attack Chain) thuộc chương trình CompTIA Security+ (SY0-701).

Câu hỏi https://cyber.security365.vn/pbq/comptia-security%2b/pbq_Analyze%20Indicators%20of%20Malware-Based%20Attacks%20Performance-based%20Question.html

---

MÔ TẢ TÌNH HUỐNG (SCENARIO BRIEFING)

Bạn đang đóng vai trò là một Chuyên viên Phân tích Bảo mật (Security Analyst). Nhiệm vụ của bạn là điều tra hai vụ xâm nhập mã độc khác nhau vào hệ thống mạng của tổ chức, tái cấu trúc lại chuỗi tấn công (Attack Chain) để hiểu rõ cách thức hacker vượt qua phòng thủ và khai thác lỗ hổng.

Tình huống 1: Đánh cắp thông tin cá nhân (Personal Info Theft)

• Hệ thống phòng thủ của nạn nhân: Chỉ có tường lửa và phần mềm diệt virus cơ bản.
• Lỗ hổng: Nhân viên sử dụng email công ty để đăng ký các chương trình giảm giá cá nhân bên ngoài.
• Mục tiêu của hacker: Tiếp cận và đánh cắp dữ liệu nhạy cảm của công ty, sở hữu trí tuệ và thông tin cá nhân.

Tình huống 2: Tấn công mã hóa tống tiền (Ransomware Strike)

• Hệ thống phòng thủ của nạn nhân: Mạng mã hóa VPN đã được cập nhật bản vá mới nhất, hệ thống giám sát an ninh mạng hoạt động tốt.
• Lỗ hổng: Các thiết bị cá nhân của nhân viên chứa nhiều phần mềm chưa được vá lỗi bảo mật, sử dụng các thiết bị này để truy cập vào một sự kiện ảo.
• Mục tiêu của hacker: Làm tê liệt tính sẵn sàng của dữ liệu bằng cách mã hóa và đòi tiền chuộc.

---

TÌNH HUỐNG 1: CHUỖI TẤN CÔNG ĐÁNH CẮP THÔNG TIN CÁ NHÂN

• Bước 1: Loại mã độc (Malware Type). Đáp án đúng là: “Trojan”.
• Liên kết tình huống: Do hệ thống của nạn nhân có cài đặt phần mềm diệt virus cơ bản, hacker cần một loại mã độc có khả năng ngụy trang thành một tệp tin hợp pháp để đánh lừa người dùng và vượt qua sự quét lỗi của diệt virus. Trojan là lựa chọn hoàn hảo nhất cho mục đích này.
• Bước 2: Vector tấn công (Attack Vector). Đáp án đúng là: “Malicious MS Office file” (Tệp tin Microsoft Office độc hại).
• Liên kết tình huống: Vì nhân viên sử dụng email để đăng ký giảm giá kinh doanh, hacker thường gửi một tệp Word hoặc Excel giả mạo thông tin giảm giá. Khi nạn nhân mở tệp tin này, các đoạn mã macro độc hại ẩn bên trong sẽ tự động kích hoạt.
• Bước 3: Phương thức phân phối (Delivery Method). Đáp án đúng là: “Phishing or hoax email” (Email lừa đảo).
• Liên kết tình huống: Attacker đã thu thập được danh sách email công ty từ các trang đăng ký giảm giá. Do đó, việc gửi một email lừa đảo đóng giả làm bên cung cấp dịch vụ discount là phương thức tiếp cận tự nhiên và hiệu quả nhất.
• Bước 4: Phần tải độc hại (Payload). Đáp án đúng là: “Keylogger”.
• Liên kết tình huống: Mục tiêu cốt lõi của hacker trong tình huống này là tiếp cận thông tin nhạy cảm và tài khoản công ty. Một Keylogger chạy ngầm để ghi lại toàn bộ thao tác gõ bàn phím sẽ giúp hacker thu thập được tên đăng nhập, mật khẩu và dữ liệu nội bộ.

---

TÌNH HUỐNG 2: CHUỖI TẤN CÔNG RANSOMWARE QUA THIẾT BỊ CÁ NHÂN

• Bước 1: Loại mã độc (Malware Type). Đáp án đúng là: “Worm” (Sâu máy tính).
• Liên kết tình huống: Hệ thống mạng nội bộ có giám sát rất tốt, nhưng các thiết bị cá nhân tham gia sự kiện ảo lại không được vá lỗi. Worm có đặc tính tự động nhân bản và lây lan rất nhanh qua môi trường mạng giữa các thiết bị có chung lỗ hổng phần mềm mà không cần sự tương tác của con người.
• Bước 2: Vector tấn công (Attack Vector). Đáp án đúng là: “Malicious .jar—Javascript File” (Tệp Java hoặc Javascript độc hại).
• Liên kết tình huống: Các sự kiện ảo (Virtual Event) thường được vận hành trên nền tảng trình duyệt web. Do đó, các đoạn mã Javascript hoặc tệp Java độc hại là công cụ phổ biến để khai thác trực tiếp lỗ hổng của trình duyệt khi nhân viên đang tham gia sự kiện.
• Bước 3: Phương thức phân phối (Delivery Method). Đáp án đúng là: “Application vulnerability” (Lỗ hổng ứng dụng).
• Liên kết tình huống: Ghi chú tình huống đã nhấn mạnh mạng VPN của công ty đã được vá lỗi hoàn toàn, nhưng các thiết bị cá nhân của nhân viên lại chạy các phần mềm cũ chưa được cập nhật. Đây chính là lỗ hổng ứng dụng để mã độc khai thác và xâm nhập.
• Bước 4: Phần tải độc hại (Payload). Đáp án đúng là: “Crypto-ransomware” (Mã độc tống tiền mã hóa).
• Liên kết tình huống: Mục tiêu tối hậu của hacker được nêu rõ ràng trong đề bài, đó là làm mất tính sẵn sàng của hệ thống và đòi tiền chuộc bằng cách mã hóa dữ liệu. Đây chính là định nghĩa và hành vi đặc trưng của Crypto-ransomware.