Mã độc đột nhập PC người dùng như thế nào (Phần 1)

Mã độc đột nhập PC người dùng như thế nào (Phần 1).Mặc dù đã rất cẩn thận nhưng đa phần người dùng đôi khi vẫn không hiểu vì sao mà mã độc vẫn có thể dễ dàng lây nhiễm lên PC của họ. Bài viết sẽ phần nào cung cấp câu trả lời cho thắc mắc này của người dùng.Như đã đề cập ở bài viết “Web là mục tiêu ưa thích của tin tặc” hiện website đang là một mục tiêu rất ưa thích của tin tặc. Mục đích cuối cùng của việc làm này cũng chỉ là để...
Nội dung trích xuất từ tài liệu:
Mã độc đột nhập PC người dùng như thế nào (Phần 1)Mã độc đột nhập PC người dùng như thế nào (Phần 1)Mặc dù đã rất cẩn thận nhưng đa phần người dùng đôi khi vẫn khônghiểu vì sao mà mã độc vẫn có thể dễ dàng lây nhiễm lên PC của họ. Bàiviết sẽ phần nào cung cấp câu trả lời cho thắc mắc này của người dùng.Như đã đề cập ở bài viết “Web là mục tiêu ưa thích của tin tặc” hiện websiteđang là một mục tiêu rất ưa thích của tin tặc. Mục đích cuối cùng của việclàm này cũng chỉ là để tấn công người dùng cuối cùng bởi đó mới là đốitượng mang lại lợi ích chính cho tin tặc.Chính vì thế mà website có thể nói là hình thức lây nhiễm mã độc lên PCngười dùng phổ biến nhất hiện nay. Phương pháp tấn công người dùng nàymang lại cho tin tặc khả năng chủ động tìm đến người dùng. Trong khi đóhình thức lây nhiễm khác như qua thẻ nhớ USB thì tin tặc phải phụ thuộc quánhiều vào người dùng cũng như phải chờ đợi cơ hội người dùng kết nối USBcó chứa mã độc vào những PC chưa bị nhiễm.Drive-by DownloadCó thể nói đây là hình thức tấn công lây nhiễm mã độc nguy hiểm nhất hiệnnay. Hình thức tấn công này cho phép mã độc đột nhập vào PC mà ngườidùng không hề hay biết một chút gì. Cách thức tấn công cũng cực kỳ đơngiản, chỉ cần người dùng truy cập vào website nào đó của tin tặc là họ đã bịnhiễm mã độc.Dưới đây là mô hình minh họa chi tiết các bước trong quy trình tấn công“drive-by download”.Bắt cóc một website hợp pháp. Quy trình tấn công bắt đầu bằng việc tin tặctiến hành bắt cóc một website hợp pháp nào đó. Độc giải có thể tham khảobài viết trước để biết thêm về những hình thức tấn công website điển hình.Mục đích của bước này là chèn một website độc hại hoặc mã độc lên websitehợp pháp. Trên bề mặt nội dung độc hại có thể được hiển thị như một quảngcáo đơn giản hoặc một khung hình nào đó mà người dùng hầu như không thểnhận ra được.Người dùng truy cập vào website bị bắt cóc. Đây là bước mà tin tặc mất đitính chủ động và phải ngồi chờ đợi người dùng truy cập vào những websitemà chúng bắt cóc được và hi vọng rằng trên PC của người dùng vẫn cónhững phần mềm mắc lỗi bảo mật chưa được khắc phục đầy đủ như lỗi ứngdụng bổ sung đa phương tiện hay lỗi ứng dụng chỉnh sửa văn bản…Bí mật tải nội dung độc hại. Khi người dùng truy cập vào những website bịbắt cóc, mã kịch bản đã được tin tặc chèn sẵn sẽ tự động kích hoạt tải nộidung hoặc chuyển hướng người dùng truy cập vào những website lưu trữ mãđộc của tin tặc. Mục tiêu của bước này là xác định xem người dùng sử dụnghệ điều hành gì, trình duyệt web gì, có lỗi bảo mật nào chưa được sửa haykhông.Tải mã độc xuống PC. Có được những thông tin như trên thì ngay lập tức tintặc sẽ biết cần phải tấn công vào đâu tấn công vào chỗ nào. Ví dụ, websiteđộc hại xác định ứng dụng bổ sung đa phương tiện trên trình duyệt của ngườidùng mắc lỗi thì ngay lập tức nó sẽ gửi một nội dung đa phương tiện đến. Khinội dung này được phát lại trên website mà người dùng đang truy cập thì đócũng là lúc mà mã độc được tải xuống PC người dùng.Kích hoạt lây nhiễm mã độc. Lợi dụng hổng hổng bảo mật trong ứng dụng bổsung đa phương tiện như trên mã độc được tích hợp sẵn trong nội dung màwebsite độc hại gửi đến sẽ tự động được kích hoạt lây nhiễm lên PC củangười dùng.Hoạt động độc hại. Sau khi lây nhiễm thành công lên PC người dùng mã độcsẽ thực hiện các nhiệm vụ mà tin tặc đã giao cho nó như chiếm quyền điềukhiển PC biến đây trở thành công cụ giúp tin tặc thực hiện các mục đích đentối hoặc ăn cắp thông tin cá nhân của người dùng …Nói ra thì dài nhưng toàn bộ quy trình tấn công trên đây diễn ra gần như tứcthời với việc website được tải và hiển thị trên trình duyệt. Người dùng khônghề hay biết rằng mình đã bị nhiễm mã độc khi truy cập vào những websitehợp pháp.Lỗi bảo mật phần mềmNhư đã trình bày ở trên lỗi bảo mật phần mềm là một điều kiện tiên quyếtđảm bảo cho sự thành công của hình thức tấn công “drive-by-download”.Lỗi bảo mật là những sơ hở trong phần mềm. Nếu kẻ tấn công khai thácthành công những sơ hở này thì chúng hoàn toàn có thể điều khiển phần mềmthực hiện những điều mà nó vốn không có chức năng thực hiện.Cụ thể, khai thác thành công lỗi bảo mật, tin tặc có thể điều khiển phần mềmmắc lỗi trên PC của người dùng thực hiện:- Kích hoạt một tập lệnh nào đó mà tin tặc gửi tới- Tải tệp tin từ Internet- Mở một tệp tin nào đó trên PC người dùng- Vô hiệu hóa và khiến ứng dụng bị treo cứng hoàn toànBắt đầu từ năm 2003 mã độc đã bắt đầu lợi dụng lỗi bảo mật để tấn côngngười dùng. Cụ thể khi đó là sâu máy tính Blaster và Sasser. Khai thác thànhcông lỗi bảo mật hệ điều hành Windows, hai con sâu máy tính này đã cóđược khả năng tự động lây nhiễm và phát tán. Và gần đây nhất là sự bùng nổcủa Conficker cũng thông qua một lỗi bảo mật khác trong hệ điều hànhWindows của Microsoft.Ngày nay tin tặc còn nhắm đến cả lỗi bảo m ...