🦔 Mã Độc Có Thể Được Tin Tặc Nhúng Vào Trong

Bằng cách "gieo mầm" ransomware thông qua cơ chế phân phối đáng tin cậy của Kaseya, những kẻ tấn công có thể làm lây nhiễm mã độc vào cơ sở hạ tầng mạng của Kaseya trong các MSP và sau đó tạo ra hiệu ứng domino khi những MSP đó vô tình phân phối phần mềm độc hại cho khách hàng của họ. Hệ thống có khả năng tự học vài mẫu tin mới do người dùng cung ứng (qua tổng đài tiếp nhận tin nhắn rác 9198), từ đấy cập nhật và phát hiện các thay đổi để "lách luật" của nguồn phát tán. những tin nhắn sau lúc xác định là tin rác thiet ke logo thuong hieu được chặn Các sóng này được phát đi với nguồn điện thấp hơn sóng điện thoại và thường thì chỉ có thể nhận sóng trong khoảng ngắn (ví dụ như trong cùng phòng hoặc cùng tòa nhà), mặc dù thi thoảng sử dụng ăng ten hiện đại cho phép dò các loại sóng này từ khoảng cách rất xa Tấn công vào hệ thống thông qua mã độc được nhúng trong tập tin PDF cho dù người dùng mở bằng các phiên bản Adobe Reader hay Foxit Reader mới nhất. Đây là thông tin gây sốc được chuyên gia nghiên cứu bảo mật Didier Stevens công bố. Theo báo cáo của VNCERT, trong năm 2015, đơn vị này đã ghi nhận được 5.898 sự cố lừa đảo (Phishing), 8.850 sự cố thay đổi giao diện (Deface), 16.837 sự cố mã độc (Malware) tăng 1,7 lần so với năm ngoái, đã cảnh báo và khắc phục được 3.885 sự cố (trong đó đã 87 sự cố vyU4Ah. Mã độc là gì? Mã độc là mã được chèn vào hệ thống phần mềm hoặc tập lệnh web nhằm mục đích gây ra các hiệu ứng không mong muốn, vi phạm bảo mật hoặc thiệt hại cho hệ thống. Tổng quan và những loại mã độc phổ biến? Mọi người đều nghe về các lỗ hổng của các trang web được tạo ra bởi vi-rút và mã độc hại, nhưng chính xác thì mã độc là gì và nó có những tác động không tốt đến người dùng và nhà phát triển ứng dụng. – Mã độc Malicious code là mã được chèn vào hệ thống phần mềm hoặc tập lệnh web nhằm mục đích gây ra các hiệu ứng không mong muốn, vi phạm bảo mật hoặc thiệt hại cho hệ thống. Lợi dụng các lỗ hổng hệ thống phổ biến, các ví dụ về mã độc bao gồm vi rút máy tính, sâu, ngựa Trojan, bom logic, phần mềm gián điệp, phần mềm quảng cáo và các chương trình cửa hậu. Truy cập các trang web bị nhiễm hoặc nhấp vào liên kết hoặc tệp đính kèm email xấu là những cách để mã độc xâm nhập vào hệ thống. Các cuộc tấn công có thể được thực hiện thông qua nhiều phương tiện khác nhau bao gồm vi rút, sâu, tấn công tập lệnh, cửa hậu, nội dung hoạt động và ngựa Trojan. – Mã độc hại có thể cấp cho người dùng quyền truy cập từ xa vào máy tính. Đây được biết đến như một cửa hậu ứng dụng. Backdoor có thể được tạo ra với mục đích xấu, để truy cập vào thông tin bí mật của công ty hoặc khách hàng. Nhưng chúng cũng có thể được tạo ra bởi một lập trình viên muốn truy cập nhanh vào một ứng dụng cho mục đích khắc phục sự cố. Chúng thậm chí có thể được tạo ra một cách vô tình thông qua các lỗi lập trình. Bất kể nguồn gốc của chúng là gì, tất cả các backdoor và mã độc đều có thể trở thành mối đe dọa bảo mật nếu chúng bị tin tặc hoặc người dùng trái phép tìm thấy và khai thác. Khi các ứng dụng ngày nay có xu hướng được xây dựng ngày càng thường xuyên hơn với các thành phần có thể tái sử dụng từ nhiều nguồn khác nhau với mức độ bảo mật khác nhau, mã độc có thể gây ra rủi ro hoạt động đáng kể cho doanh nghiệp. 2. Tổng quan và những loại mã độc phổ biến * Những loại mã độc phổ biến – Dạng mã độc phổ biến nhất là virus máy tính, nó lây nhiễm vào máy tính bằng cách gắn chính nó vào một chương trình khác và sau đó lan truyền khi chương trình đó được thực thi. Một dạng phổ biến khác là sâu, nó tạo ra các bản sao của chính nó, lây lan qua các hệ thống được kết nối và tiêu thụ tài nguyên trên các máy tính bị ảnh hưởng. – Mã độc hại tự kích hoạt và có nhiều dạng khác nhau, bao gồm Java Applet, điều khiển ActiveX, nội dung được đẩy, plugin, ngôn ngữ kịch bản hoặc các ngôn ngữ lập trình khác. Bằng cách sửa đổi, phá hủy hoặc đánh cắp dữ liệu, đạt được hoặc cho phép truy cập trái phép vào hệ thống và thực hiện các chức năng mà người dùng không bao giờ có ý định, mã độc hại có thể làm lộ hệ thống của tổ chức, dữ liệu nhạy cảm và nội dung thông tin có giá trị. Giải pháp lý tưởng là phần mềm tự bảo vệ có thể tự bảo vệ khỏi các loại lỗ hổng và cuộc tấn công này. – Bao gồm tập lệnh tấn công, vi rút, sâu, ngựa Trojan, cửa hậu và nội dung hoạt động độc hại. Mã độc hại cũng có thể bao gồm bom hẹn giờ, hằng số mật mã được mã hóa cứng và thông tin đăng nhập, rò rỉ thông tin và dữ liệu có chủ ý, rootkit và các kỹ thuật chống gỡ lỗi. Các mối đe dọa mã độc được nhắm mục tiêu này được ẩn trong phần mềm và che giấu sự hiện diện của chúng để tránh bị phát hiện bởi các công nghệ bảo mật truyền thống. Khi vào trong môi trường của bạn, mã độc hại có thể xâm nhập vào các ổ đĩa mạng và lan truyền. Mã độc hại cũng có thể gây quá tải mạng và máy chủ thư bằng cách gửi thư email; đánh cắp dữ liệu và mật khẩu; xóa các tệp tài liệu, tệp email hoặc mật khẩu; và thậm chí định dạng lại ổ cứng. * Tổng quan – Một cách để tránh mã độc trong các ứng dụng của bạn là thêm phân tích tĩnh còn được gọi là kiểm tra “hộp trắng” vào vòng đời phát triển phần mềm của bạn để xem xét mã của bạn xem có mã độc hay không. Phân tích mã tĩnh của Veracode xem xét các ứng dụng trong môi trường không thời gian chạy. Phương pháp kiểm tra bảo mật này có những ưu điểm khác biệt ở chỗ nó có thể đánh giá cả ứng dụng web và không phải web, đồng thời thông qua mô hình nâng cao, có thể phát hiện mã độc hại trong đầu vào và đầu ra của phần mềm mà không thể nhìn thấy được thông qua các phương pháp kiểm tra khác. – Tự động tìm, ưu tiên và sửa các lỗ hổng trong các phần phụ thuộc nguồn mở được sử dụng để xây dựng các ứng dụng gốc đám mây của bạn. Những kẻ tấn công mã độc hoặc thủ phạm mã độc có một số ý định cơ bản trong việc phát tán mã độc của chúng trong các ứng dụng kinh doanh, bao gồm + Đánh cắp dữ liệu bí mật để thu lợi tài chính, chẳng hạn như bán thông tin thẻ tín dụng + Tạo ra những trò nghịch ngợm gây ra cảnh báo và thiệt hại tối thiểu cho máy chủ như một thách thức kỹ thuật + Trả thù một doanh nghiệp, như một nhân viên hiện tại hoặc cựu nhân viên bất mãn + Thực hiện một cuộc tấn công khủng bố chẳng hạn như giữ tài sản kỹ thuật số của cơ quan chính phủ hoặc doanh nghiệp để đòi tiền chuộc – Mã độc hại có thể xâm nhập hệ thống bảo vệ của trang web dưới nhiều hình thức, chẳng hạn như + Điều khiển ActiveX + Các ngôn ngữ kịch bản nhúng các tập lệnh hoặc lệnh thông qua các kỹ thuật chèn + Java Applet + Trình cắm của trình duyệt + Nội dung được đẩy có thể tiếp cận một người dùng hoặc một lượng lớn người dùng Mã độc hại không phải dành riêng cho máy chủ, máy tính nối mạng hoặc máy tính xách tay. Những kẻ tấn công cũng thoải mái khai thác máy tính bảng, điện thoại thông minh và thiết bị di động. Các hệ thống doanh nghiệp thường sử dụng các thành phần có thể tái sử dụng có thể đặc biệt dễ bị tấn công bởi mã độc vì một lỗ hổng hoặc lỗi mã hóa mở ra cơ hội cho những kẻ tấn công có thể cung cấp một điểm yếu mở rộng cho nhiều ứng dụng, gây ra vấn đề bảo mật nghiêm trọng. – Ví dụ về mã độc Các ví dụ về mã độc hại bao gồm các cuộc tấn công cửa hậu, tấn công tập lệnh, sâu, ngựa trojan và phần mềm gián điệp. Mỗi kiểu tấn công bằng mã độc có thể tàn phá cơ sở hạ tầng CNTT không có khả năng bảo vệ rất nhanh chóng hoặc chờ đợi trên các máy chủ trong một khoảng thời gian xác định trước hoặc kích hoạt để kích hoạt cuộc tấn công. Các nghiên cứu trong ngành đã tiết lộ rằng việc phát hiện mã độc thường mất vài tuần hoặc vài tháng trước khi thiệt hại được nhận thấy và các mối đe dọa bị đánh bại. Trong tài liệu của NIST có một số khác biệt theo định nghĩa và cách hiểu thông thường về Virus máy tính đang thông dụng. Ngay trong tên của tài liệu đã nêu lên sự khác biệt, các tác giả nói tới “Malware” chứ không sử dụng thuật ngữ “Virus”. Tại Việt Nam hiện nay, thuật ngữ “Virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã độc hại trên mạng, trong máy tính cá nhân khi nói đến “Virus máy tính”, một cách rất tự nhiên tất cả mọi người đều nghĩ Virus bao gồm cả Worm, Trojan, Keylogger. Trong khi theo định nghĩa của NIST và gần như là của cả cộng đồng IT Virus, Worm, Trojan horse, Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit, chỉ là một dạng của mã độc hại. Sự khác biệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc tế về an toàn thông tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phòng chống Virus của nước ngoài do không đồng nhất về định nghĩa. Phía Việt nam thông báo “bị Virus tấn công”, đối tác sẽ gửi lại một chỉ dẫn để quét tập tin bị nhiễm trên PC, nhưng thực chất đó là một cuộc tấn công của Worm và phải phòng chống trên toàn bộ mạng. Do vậy bài viết này sẽ tập trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng và mục đích hoạt động khác nhau. Virus máy tính Trong khoa học máy tính, Virus máy tính thường được người sử dụng gọi tắt là Virus là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác tập tin, ổ đĩa, máy tính, . Trước đây, Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường Virus có các hành động phá hoại như làm chương trình không hoạt động đúng như mong muốn, xóa dữ liệu, làm hỏng ổ cứng, những Virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm các mã số thẻ tín dụng, tài khoản, tài liệu mật… mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác nhằm có lợi cho người phát tán Virus. Chiếm trên 90% số Virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác. Ngày nay ngoài những mẫu Virus thông thường thì đã xuất hiện những biến thể Virus khác với các kỹ thuật tinh vi hơn cụ thể là Virus đa hình polymorphic và siêu đa hình meta-polymorphic. Virus đa hình khác với các loại Virus thông thường ở chỗ Virus thông thường luôn giữ nguyên mã lệnh của mình, chính vì vậy chúng dễ dàng bị phát hiện bởi các phần mềm diệt Virus. Nhưng Virus đa hình có khả năng tự động biến đổi mã lệnh và tạo ra các dạng mã độc khác nhau sử dụng thuật toán dựa trên thời gian và đối tượng lây nhiễm trong mỗi lần lây nhiễm. Khả năng này giúp cho Virus đa hình có thể lẩn tránh khỏi sự truy quét của các phần mềm diệt Virus. Virus siêu đa hình là thế hệ cao hơn của Virus đa hình, chúng cao cấp hơn ở chỗ hình thức lai tạo và kết hợp nhiều kiểu đa hình khác nhau. Khi lây nhiễm chúng sẽ tự động biến đổi, lai tạp và hình thành các thế hệ Virus con từ F1…Fn. Sau mỗi lần lai tạp thì khả năng phát hiện ra chúng càng khó khăn, chính vì vậy Virus siêu đa hình hầu hết qua mắt được các phần mềm diệt Virus không có cơ chế quét sâu và dẫn tới việc quét Virus không triệt để. Một số Virus siêu đa hình như Vetor, Sality… Sâu máy tính Sâu máy tính Worm cũng là một dạng mã độc nhưng có khả năng tự nhân bản, tự tấn công và tự tìm cách lan truyền qua hệ thống mạng thường là qua hệ thống thư điện tử và các lỗ hổng trong hệ điều hành. Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của Worm là phá các mạng thông tin, làm giảm khả năng hoạt động hoặc có thể được dùng để đánh cắp thông tin nhạy cảm từ các mạng này. Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet. Trong năm 2001, sâu mật mã đỏ xuất hiện và tấn công vào các máy Windows để khai thác lỗ hổng trên máy chủ web IIS, sâu này đã tạo ra một kỷ lục về tốc độ lây lan khi chỉ trong một ngày 19-07-2001 đã có hơn máy tính bị nhiễm. Trojan hourse Trojan Horse, đây là loại chương trình cũng có tác hại tương tự như Virus máy tính chỉ khác là nó không tự nhân bản ra. Cách lan truyền duy nhất là thông qua các thư điện tử hoặc thông qua các phần mềm miễn phí có đính kèm Trojan. Thông thường, tính năng chính của Trojan là nhắm đến những nhóm người dùng riêng để thu thập thông tin về hành vi và thói quen sử dụng internet của họ sau đó gửi các thông tin này về cho tin tặc. Để loại trừ loại này người dùng chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại mã độc cực kỳ nguy hiểm, nó có thể hủy ổ cứng, hủy dữ liệu. Phần mềm gián điệp Spyware Spyware hay còn gọi phần mềm gián điệp là một dạng mã độc nhằm theo dõi những hoạt động của người dùng và gửi dữ liệu tới người điều khiển chúng để phục vụ cho mục đích riêng của họ. Ví dụ, những người của những công ty Marketing cố gắng thu thập những tin tức về người dùng để hỗ trợ cho việc bán hàng được tốt hơn. Ngày nay phần mềm gián điệp còn được các công ty hay tổ chức chính phủ sử dụng để theo dõi người dùng thông qua việc nghe lén các cuộc điện đàm hoặc các cuộc hội thảo truyền hình. Spyware thường được cài đặt bí mật vào máy người dùng trong khi họ mở một tập tin văn bản hoặc cài đặt một ứng dụng miễn phí nào đó. Nhiều chương trình Spyware có thể làm chậm kết nối Internet bằng cách chiếm băng thông đường truyền mạng. Chúng cũng có thể làm cho máy tính của nạn nhân bị chậm đi vì chiếm tài nguyên như RAM và chu kỳ làm việc của CPU. Phần mềm tống tiền Ransomware Phần mềm tống tiền hay còn gọi Ransomware là loại phần mềm giả danh một tổ chức chính phủ và sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân, chẳng hạn như khóa máy tính người dùng lại và đòi tiền chuộc thì mới cho sử dụng lại. Phần mềm quảng cáo Phần mềm quảng cáo hay còn gọi Adware thường đính kèm với những mẩu quảng cáo nhỏ, chúng thường được phân phát dưới hình thức phần mềm miễn phí hay phiên bản dùng thử. Và chỉ khi bạn trả tiền cho sản phẩm dùng thử đó, các quảng cáo sẽ biến mất tùy theo chính sách của hãng phần mềm đó. Tuy nhiên, phần mềm gián điệp cũng là một trong các "biến thể" của phần mềm quảng cáo, chúng đuợc bí mật cài vào máy tính người sử dụng khi họ đang duyệt web nhằm thu thập thông tin về hành vi duyệt web của người dùng để gửi đến họ những mẫu quảng cáo thích hợp. Ngày nay bắt đầu xuất hiện nhiều những phần mềm quảng cáo đính kèm Virus máy tính, sâu hoặc Trojan horse,… có thể gây tổn hại nghiêm trọng cho một hoặc một hệ thống máy tính. Downloader Downloader là một dạng mã độc dùng để tải các mã độc khác về máy người dùng. Để tải về được các mã độc, Downloader cần kết nối đến một máy chủ chứa mã độc, điều này khác với thuật ngữ dropper là loại mã độc có chứa sẵn mã độc bên trong nó. Backdoor Backdoor là các đoạn mã độc được gài lên máy nạn nhân cho phép tin tặc kết nối để điều khiển máy tính nạn nhân. Backdoor cho phép kẻ tấn công kết nối đến máy nạn nhân mà không cần chứng thực, từ đó kẻ tấn công có thể thực thi các câu lệnh ngay trên máy nạn nhân. Botnet Bot là những chương trình mã độc được cài lên các máy tính nạn nhân và các máy tính này sẽ nằm trong một mạng lưới được điều khiển bởi tin tặc gọi là mạng Botnet. Tương tự như backdoor, Botnet cũng cho phép kẻ tấn công truy cập và điều khiển hệ thống máy nạn nhân. Tất cả các máy bị nhiễm cùng một loại Botnet sẽ cùng nhận một chỉ thị lệnh từ một máy chủ điều khiển của kẻ tấn công thông qua các kênh như Internet Relay Chat IRC hoặc hệ thống mạng ngang hàng peer-to-peer P2P. Ngày nay khi đã có trong tay một mạng lưới bonet, các tin tặc hoặc tổ chức điều khiển Botnet có thể sử dụng chúng như một công cụ chiến tranh mạng, tiêu biểu là tấn công từ chối dịch vụ vào các mục tiêu cụ thể nhằm làm tê liệt hệ thống mạng của một tổ chức hoặc thậm chí là hệ thống mạng của một quốc gia. Rootkit Rootkit là những đoạn mã độc được thiết kế nhằm che dấu sự tồn tại của những đoạn mã độc khác bên trong nó. Rootkit thường được dùng để kết hợp với một mã độc khác như Backdoor, Keylogger để tin tặc có thể truy cập từ xa vào máy nạn nhân và làm hệ thống gặp khó khăn trong việc phát hiện ra loại mã độc này. Ví dụ như trong hệ thống Windows, Rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành. Với sự xuất hiện của rootkit, các phần mềm độc hại như trở nên “vô hình” trước những công cụ thông thường thậm chí vô hình cả với các phần mềm diệt virus. Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiều trước sự bảo vệ của rootkit – vốn được trang bị nhiều kĩ thuật mới hiện đại. Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhưng kể từ lần xuất hiện “chính thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trở nên phổ biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độc hại khác. Keylogger Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới Hacker. Keylogger có thể ghi lại nội dung của email, văn bản, tài khoản và mật khẩu người dùng, thậm chí cả chụp ảnh màn hình máy tính nạn nhân Một số Keylogger phổ biến như KeySnatch, Spyster,… Chúng ta thường nghe nói về Website bị nhiễm mã độc hay malware, nhưng có lẽ không nhiều người hiểu rõ malware là gì?Có thể bạn quan tâm Hoạch định nhu cầu nguyên vật liệu mrp Bản Đồ Lâm Nghiệp Cách Hack Play Together 2022 Vô Hạn Tiền, Kim Cương, đá quý, câu cá hiếm – TricksGame Kiểm Tra Băng Thông Mạng Lan Bài Hát Bạn Ơi Có Biết Của Tác Giả Nào Cách thức chúng lây nhiễm và các hiện tượng khi Web bị cài mã độc? Trong Topic trước, chúng ta đã nói về các Phương thức Hack Website phổ biến. Bạn đang xem Mã độc có thể được tin tặc nhúng vào trong Khi Website bị hack, hackers thường chèn mã độc vào code & database để thực hiện các mục đích xấu hoặc tạo một cửa hậu – backdoor’ nhằm xâm nhập dễ dàng sau này. Trong Topic thứ 2 của chuyên đề Bảo mật Website WordPress trong khóa học Pro WP Master, chúng ta sẽ tìm hiểu đầy đủ về Malware, cũng như cách chúng thực hiện các tác động xấu lên Website và người vào Website. Mục lục bài viết Các loại mã độc Malware có trên WebsiteCác hiện tượng phổ biến khi Website nhiễm Malware Malware là gì? Malware – từ ghép của Malicious Software tức phần mềm độc hại. Với máy tính, thiết bị di động thì Malware ở dưới dạng phần mềm, ứng dụng. Còn với Website nó nằm dưới dạng các đoạn code – mã độc. Malware gồm những gì? Chúng ta thường nhầm lẫn Malware và Viruses hay Trojan. Thực ra Malware bao hàm tất cả các chương trình gây hại trên máy tính, website virus, worm, trojan, backdoor, spyware, adware… Virus là gì? Virus là loại malware lây nhiễm vào các phần mềm khác để gây hại, có khả năng tự nhân bản để lây lan. Sâu máy tính – Worm là gì? Worms sâu máy tính – tương tự viruses nhưng có cơ chế hoạt động và sinh sản độc lập, không dùng cách kí sinh’ vào các phần mềm khác như viruses Trojan là gì? Trojan là loại malware hoạt động dưới vỏ bọc là một phần mềm hữu ích, nó cố tình cho người dùng thấy các tính năng có ích như diệt viruses chẳng hạn nhưng ẩn bên dưới là các ý đồ xấu như thâm nhập để ăn cắp dữ liệu… Trojan không có cơ chế tự sinh sản như viruses, worm nhưng nó có cơ chế tự hủy. Cái tên Trojan được lấy cảm hứng từ điển tích Con ngựa thành Troia trong thần thoại Hy Lạp – Một con ngựa gỗ quân Hy Lạp cố tình dâng’ cho kẻ thù Troia- nhưng bên trong lại có binh lính Hy Lạp ẩn nấu để tối mở cửa thành đón phe ta’ vào. Roolkit là gì? Roolkit là phần mềm được kẻ xâm nhập cài vào – hoạt động ẩn mình để kẻ xâm nhập có thể xâm nhập tiếp các lần sau. Hình dung như bạn bẻ khóa vào một tòa lâu đài, rồi bên trong bạn tạo một cửa phụ bí mật để sau này không cần bẻ khóa nữa – cứ mở cửa phụ’ mà vào. Backdoor là gì? Backdoor – tức cửa hậu, là cách thức hacker can thiệp vào phần mềm, mã nguồn… để có thể truy cập vào máy tính, ứng dụng hoặc Website mà người dùng không biết được. Với Website, Backdoor thường nằm dưới dạng các đoạn mã chèn vào mã nguồn, themes, plugins hay database… Hầu như lúc nào hacker thâm nhập được hoàn toàn vào Website, họ đều sẽ để lại backdoor nhằm try cập lại sau này. Ngoài ra malwares còn có các loại như adware phần mềm chứa quảng cáo, spyware phần mềm gián điệp, keylogger phần mềm ghi lại hoạt động trên bàn phím… Các loại mã độc Malware có trên Website Đặc thù của việc kiếm tiền dựa vào mã độc trên Website, thì Malware trên Website được phân loại như sau Malicious iframes Malframes Các HTML iframe chứa nội dung các Website, videos..độc hại, lừa đảo, spam… IFrame có thể chèn trực tiếp vào code của template hoặc mã hóa trong các đoạn mã javascript. Conditional redirections Chèn code chuyển hướng các trang sang những Website độc hại. Nếu thiết bị có cài phần mềm diệt Virus thường bạn sẽ bị cảnh báo nếu vào các Website bị chèn malware để chuyển hướng sang nhiều Website độc hại. Google, FireFox, các trình duyệt phổ biến cũng cảnh báo khi site bị redirect sang web độc. SEO Spam Chèn bài viết hoặc link xấu vào website, gây hại cho SEO. Cách tấn công này rất độc hại và tinh vi vì malware thường ẩn các nội dung spam trên Website, mà chỉ hiển thị nó cho Search Engine. Tiểu biểu là Japanese SEO spam – thay các thông tin trên kết quả tìm kiếm bằng nội dung Spam tiếng Nhật thường là quảng cáo đồ điện tử, hoặc thuốc men… Các mục đích Blackhat SEO cũng có thể chèn code để sinh ra hàng loạt backlinks trỏ về các website khác nhằm đẩy nhanh tốc độ rank của các site seo-blackhat. Malicious Scripts Cài các đoạn mã js thực thi trên trình duyệt khi người dùng vào Websites để ăn cắp thông tin người dùng như cookie, mật khẩu, thông tin thẻ visa… Defacements Chèn code với mục đích phá hoại các tính năng trên Website. Xem Thêm Trái Đất Quay 1 Vòng Hết Bao Nhiêu Thời GianDeface Attack thường có mục đích phát tán các thông điệp xấu, gây tiếng vang trong cộng đồng hacker hoặc làm mất uy tín của Website bị tấn công. Website sân bay Tân sơn nhất bị Hack Thường Deface Attack sẽ thay toàn bộ nội dung Website bằng thông điệp của Hacker. Phishing Chèn thông tin lừa đảo, kiểu như nhập thông tin thẻ VISA để nhận quà tặng… Hình thức phổ biến là hacker chèn một chương trình giống hệt trang login FB, khi bạn nhập thông tin login, tài khoản sẽ gởi về cho Hacker. Dạng này bạn sẽ gặp rất nhiều, nó gây thiệt hại cho người dùng và làm cho Website mang tiếng lừa đảo. Backdoors Tạo lối tắt – cửa hậu để thâm nhập và điều khiển Website từ xa. Khi hacker xâm nhập vào Website thì việc chèn một đoạn code backdoor trở nên rất dễ dàng. Ví dụ, một đoạn code sẽ tạo ra một user account với quyền quản trị , ví dụ user anh-la-hack, pass hack2019 được thực hiện khi truy cập vao đường link như sau Với backdoor’ này, bạn có xóa user anh-la-hack bao nhiêu lần đi nữa, chỉ cần hacker vào link trên thì user sẽ tự động được tạo lại. Viết một đoạn code PHP tạo backdoor này thực sự rất dể dàng, và ẩn nó đi cũng cực kỳ dễ. Nên khi bạn dùng themes, plugins hay mã nguồn website từ các nguồn độc hại thì nguy cơ rước trộm vào nhà là rất cao. Các hiện tượng phổ biến khi Website nhiễm Malware Một trong những nguyên nhân khiến Website bị hack gây nên những hậu quả nghiêm trọng là chúng ta không phát hiện được ngay, mà chỉ khi nó giở chứng thì mới nhận biết được. Thường khi đó mọi thứ đã trở nên phức tạp! Một số hiện tượng để bạn nhận biết Website đã bị hack và chèn mã độc là Nhiều phiên login Admin từ IP không phải của bạn Nguyên nhân bạn đã bị dò trúng mật khẩu hoặc cài backdoor Nếu Website chỉ có mình bạn có tài khoản, thì khi bạn login, file log sẽ lưu lại thông tin ip mạng máy tính bạn dùng. Nếu có những phiên truy cập khác thành công từ IP khác, tức là user của bạn đã bị lộ rồi. Bạn có thể theo dõi thông tin login khi cài plugin miễn phí User Login History Bị tự động chuyển hướng sang các Website khác Nguyên nhân website bị chèn malware Conditional redirections Đây là hiện tượng thường gặp nhất khi site đã bị hack một thời gian, link xấu đã được chèn vào code hoặc database hoặc cả hai. Người dùng vào trang hoặc một bài viết nào đó liền bị redirect về các trang web xấu như quảng cáo kiếm tiền, lừa đảo, web độc hại…. Xem thêm Đội Bay Siêu Đẳng Phần 5 Tập 3 Tốt Nhất, Đội Bay Siêu Đẳng Mẹ cha bọn lừa đảo Ví dụ khác như “Anh chàng thất nghiệp kiếm 1 triệu đô trong 1 tuần” mẹ cha bọn lừa đảo!!! Không may là hầu hết người dùng sẽ không báo với bạn, có lẽ vì họ nghĩ bạn tự chèn code redirect để kiếm tiền. Bạn chỉ phát hiện được khi có ai đó tốt bụng báo lại hoặc bạn tự vào site và nhận ra thường chúng ta quá lười để xem lại nội dung trên site của mình. Trang web bị chèn nội dung lạ Nguyên nhân bị cài mã độc để hiển thị nội dung xấu, spam trên website Khi hacker tạo được user trong database, họ có thể đăng hàng loạt nội dung lên website, có thể là bài viết mới hoặc chèn vào một phần bài viết có sẵn. Cách thức này cực kỳ nguy hại, nội dung xấu – lừa đảo.. sẽ khiến người dùng quay lưng với website. Đặc biệt Google sẽ phạt rất nặng nếu Website chứa các loại nội dung độc hại. Bị chèn quảng cáo trong nội dung – sidebar Nguyên nhân bị cài code quảng cáo Cái này khó phát hiện hơn redirect, nếu malware chèn quảng cáo kiếm tiền vào nội dung thì có khi người dùng lẫn bạn đều không biết nếu trình duyệt có addons Adblock, nó không cho quảng cáo hiển thị bạn phải tắt các addons này rồi check mới chính xác. Nhiều người dùng vào Website thấy quảng cáo sẽ nghĩ do chính chủ website đặt nên họ không nghĩ đến việc report, nếu quảng cáo xấu khiêu dâm, lừa đảo, đánh bạc.. sẽ gây mất uy tín nặng nề. Bị các trình duyệt chặn truy cập hoặc cảnh báo nguy hiểm Nguyên nhân bị cài malware với tính năng lừa đảo hoặc ăn cắp thông tin người dùng, hoặc redirect về các trang web độc hại nằm trong Blacklist của Google, Bing.. Khi nội dung bị chèn links dẫn tới các trang web xấu, hoặc code bị cài các đoạn mã độc đánh cắp thông tin của người dùng… Thì hầu hết các trình duyệt sẽ cảnh bảo nguy hiểm. Cái này dễ phát hiện nhất, nhưng khi bạn phát hiện có thể đã đến giai đoạn cuối’ nếu mã độc chèn và thay đổi code gốc của theme, plugin hoặc băm nát database. Lúc này việc xử lý sẽ cần rất nhiều thời gian và kinh nghiệm mà người dùng bình thường khó mà tự làm được. Hiển thị nội dung lạ trên kết quả tìm kiếm Nguyên nhân Bị nhiễm Malware SEO spam Một loại Malware thâm độc – chèn mã độc để thay thế nội dung của bạn bằng cách nội dung Spam một cách tinh vi. Xem Thêm 30 tệ bằng bao nhiêu tiền việt theo tỷ giá hiện nay – StudytienganhNội dung gốc của bạn vẫn hiển thị khi người dùng vào Website, nhưng Tiêu đề và phần miêu tả, ảnh đại diện trên kết quả tìm kiếm có thể bị thay thế bằng thông tin Spam. Thường gặp nhất là Pharma Spam – thông tin quản cáo các loại thần dược’ trị bách bệnh – chống lão hóa… Loại thứ 2 là các thông tin quảng cáo các mặc hàng điện tử tiếng Nhật – gọi là Japanese Spam. Cả 2 loại này đều khiến Website của bạn tạo ấn tượng xấu với người dùng và nguy cơ cao bị Google đưa vào Blacklist. Bị Google phạt gắn cờ – penalized, punish Nguyên nhân Bị hack và chèn malware nguy hiểm – thường diễn ra một thời gian khá lâu trước khi bị Google phạt Đây là hiện tượng chỉ xảy ra khi bạn đã bị hack khá lâu rồi. Code và database bị chèn mã độc, baclinks xấu Outbound links trỏ về các trang Web xấu. Google sẽ cập nhật các dữ liệuết quả tìm kiếm nữa. Lúc này trong Google Search Console sẽ hiển thị một Manual Actions hoặc cảnh báo Security để bạn xử lý vấn đề triệt để. Sau khi xử lý vấn đề xong, bạn phải tạo một Request để Google xem xét và gỡ bỏ án phạt. Việc này mất từ vài tuần đến 1 tháng, không phân biệt web bạn lớn hay nhỏ, nhà bạn có ông chú làm ở đâu – Với Google thì thằng chú cũng như thằng cháu thôi, … cứ từ từ. Nhiều trường hợp phải build lại Web và copy lại nội dung từ đầu vì database và code đã bị mã độc ăn quá sâu, thời gian sửa gấp nhiều lần thời gian làm lại từ đầu. Khỏi phải nói, khi keyword được rank trở lại thì những thằng khác đã chiếm TOP đầu rồi. Bỗng dưng không thể rank & bị tụt thứ hạng từ khóa nhanh chóng Nguyên nhân web bị hack, cài mã độc hoặc sử dụng các domain con sub-domain và các website nằm trên sub-domain bị Google đưa vào blacklist. Hiện tượng này là Google phạt nhưng không thèm gởi tin nhắn vào Google Messages, cũng không tạo cảnh báo Security/ Manual Actions trong Google Search Console hoặc nó phạt trước rồi thông báo …. cứ từ từ. Keyword đã được rank của bạn sẽ bị tụt thứ hạng nhanh hơn cả tụt * khi Tào Tháo rượt. Còn các bài viết mới, nội dung cực kỳ hoành tráng nhưng mãi không thấy Google rank lên TOP, tìm hoài trang số 1, 2 … 5 cũng không thấy Website bạn đâu, chỉ thấy khi gõ từ khóa + tên miền. Tức là Google vẫn Index bài viết nhưng không rank keyword nữa! Cái này chỉ có anh em nghiện keyword research’ mới phát hiện ra được, nếu bạn thuộc tuýp lãnh đạm’ với SEO Competition thì có khi Website biến mất khỏi Google bạn mới nhận ra mình bị Hacker cắm sừng! Nhiều Outbound links lạ đến các domain khác Nguyên nhân bị nhiễm Malware, có thể gồm tất cả các loại malware ở trên Hiện tượng này cũng dành cho anh em nghiện SEO, thường xuyên check Inbound & Outbound links. Outbound links tức là links trên site bạn trỏ về các site khác. Thường chúng ta chỉ có các outbound link khi chèn link tham khảo vào nội dung, cho phép người bình luận được thêm link website khi bình luận… Nếu bạn check outbound links mà gặp các domain lạ hoắc, bằng tiếng nước ngoài thì cần hành động ngay nhé! Giao diện bị thay đổi Nguyên nhân đã bị hack và chiếm quyền Admin hoặc cài backdoor Nếu Website bị nhiễm malware loại Defacements thì nó sẽ ăn vào trong code của theme, plugin và cả WordPress core, làm cho các file code bị lỗi không còn hoạt động được nữa. Hiện tượng này khó nhận biết nếu nó trùng lặp với các lỗi do tương thích plugins, lỗi PHP hay các lỗi liên quan đến việc chỉnh sửa code, tùy biến giao diện. Trường hơp dễ nhận biết nhất là hacker thay giao diện mặc định thành thông điệp của họ hoặc các nội dung lừa đảo, phát tán tin xấu… Không thể Login được vào Site Nguyên nhân đã bị hack và chiếm quyền Admin Tức là thông tin Admin của site đã bị đổi – bạn bị cướp đuổi ra khỏi nhà mình rồi! Tưởng là tin xấu nhưng đây là một trong những tin ít xấu’ nhất so với các trường hợp trên, vì bạn hoàn toàn có thể lấy lại thông tin Admin, đá thằng cướp kia bằng cách login vào Hosting và sửa lại Database. Hoặc nhờ bên support Hosting làm giúp! Nhưng, đó là nếu thằng kia cướp cho vui, nếu nó phá phách tan hoang nhà bạn thì hậu quả cũng như các vấn đề đã đề cập ở trên. Dù sao, nếu nó chiếm quyền Admin thì bạn cũng được báo tin sớm so với nhiều trường hợp khác. Qua đó có thể xoắn tay áo lên xử lý vấn đề thay vì vẫn vô tư như chưa có gì xảy ra! Bị dịch vụ Hosting/ VPS Suspended Nguyên nhân bị nhiễm Malware nguy hiểm, gây hại đến các website khác hoặc gây quá tải máy chủ, một nguyên nhân nữa là bị hack và sử dụng Website làm nguồn tấn công DDos các Website khác. Thường gặp nhất là khi bạn dùng shared hosting, nếu Website bị nhiễm mã độc nặng hoặc bị lợi dụng để gởi các truy vấn tấn công DDos thì sẽ bị nhà cung cấp suspended để chặn nguy cơ lây nhiễm hoặc làm quá tải máy chủ. Với VPS thì thường là Website bị nhiễm mã độc nếu phát tán các thông tin xấu, lừa đảo, vi phạm bản quyền… thì cũng bị nhà cung cấp VPS suspended. Đối với các dịch vụ hosting/ vps uy tín, họ luôn gởi kèm thông báo nguyên nhân khi suspended gói dịch vụ của khách hàng. Xem thêm Công Ty Cổ Phần Xi Măng Đồng Lâm Tuyển Dụng, Việc Làm Công Ty Cổ Phần Xi Măng Đồng Lâm Tóm tắt Hiểu được các loại malware trên Website và cách thức chúng tấn công, cũng như hiện tượng khi web bị nhiễm mã độc sẽ giúp chúng ta nhận diện được các nguy cơ phổ biến và phòng chống – cũng như xử lý khi bị nhiễm malware. Trong topic tiếp theo, chúng ta sẽ đề cập và các nguyên nhân web dễ bị hack và các phương pháp bảo mật Website hiệu quả nhất 2019! Nguồn Danh mục Tài Chính Hiện nay hầu hết các cuộc tấn công mạng, đặc biệt là hình thức tấn công có chủ đích APT Advanced Persistent Threat đều sử dụng mã độc để lây lan, phát tán vào hệ thống mạng mục tiêu. Mã độc Malware là một loại phần mềm, chương trình, tệp tin độc hại được tạo ra và cài đặt vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc đánh cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân. Trong bài viết này, tác giả sẽ hướng dẫn các cán bộ kỹ thuật hoặc người dùng yêu thích CNTT phát hiện và bóc gỡ mã độc dựa trên mã Hash thường gọi là mã Băm. Mã Hash là gì? Mỗi mã độc, tương tự như các tệp tin, phần mềm thông thường trên máy tính, đều được đặc trưng bởi một giá trị duy nhất, gọi là mã Hash. Mã Hash là một chuỗi kí tự có độ dài cố định, biểu diễn một số theo cơ số 16 hexa. Ứng với mỗi tệp tin khác nhau sẽ có một giá trị Hash khác nhau. Điều này có nghĩa chỉ cần thay đổi 1 byte dữ liệu trong tệp tin, giá trị Hash cũng sẽ khác so với giá trị ban đầu. Hiện nay, có 3 loại mã Hash phổ biến nhất, đó là MD5, SHA-1 và CRC32. Hướng dẫn rà quét, xác định tệp tin độc hại Bài viết này sẽ hướng dẫn rà quét tệp tin độc hại trên máy tính Windows bằng cách chạy một đoạn Script để kiểm tra. Sử dụng công cụ dòng lệnh PowerShell có sẵn trong hệ điều hành Windows, với PowerShell version trở lên để chạy Script này. Nếu phát hiện mã độc trên hệ thống thì kết quả trả về trên giao diện PowerShell sẽ là đường dẫn chỉ đến tệp tin độc hại. Nội dung của đoạn Script như sau Phiên bản PowerShell của các hệ điều hành Windows như sau a. Cài đặt PowerShell đối với Windows 7 và Windows Server 2008 R2 Đối với máy tính chạy hệ điều hành Windows 7 và Windows Server 2008 R2, phiên bản PowerShell mặc định là do đó trước khi thực hiện chạy Script cần phải cài đặt PowerShell phiên bản Các bước cài đặt cơ bản như sau Bước 1 Xác định phiên bản PowerShell hiện tại trên máy tính Mở Windows PowerShell chạy với quyền Administrator bằng cách Chọn Start hoặc cửa sổ Windows ở góc trái bên dưới màn hình → Gõ tìm PowerShell → Chuột phải và chọn Run as administrator. Nhập tài khoản Administrator nếu được yêu cầu. Chạy lệnh sau để xác định phiên bản PowerShell hiện tại Get-Host Select-Object Version Kết quả trả về sẽ là phiên bản PowerShell hiện tại đang chạy trên máy tính Windows. Ví dụ Kết quả sau khi chạy lệnh trên máy chủ Windows Server 2008 R2 Bước 2 Tải và cài đặt .NET Framework trên máy tính Bước này chỉ yêu cầu đối với máy tính Windows 7 Truy cập vào đường dẫn sau đề tải về và cài đặt .NET Framework từ trang chủ chính thống của Microsoft Bước 3 Tải và cài đặt gói phần mềm Windows Management Framework bao gồm PowerShell trên máy Truy cập vào đường dẫn sau đề tải về và cài đặt Windows Management Framework từ trang chủ chính thống của Microsoft Lưu ý Đối với phiên bản 64-bit Windows Server 2008 R2 và Windows 7 64-bit, tải và cài đặt tệp tin Đối với phiên bản 32 bit Windows 7 32-bit, tải và cài đặt tệp tin Trước khi thực hiện cài đặt phải tắt tất cả các cửa sổ PowerShell đang mở. Khởi động lại máy tính sau khi cài đặt xong để phần mềm cài đặt có hiệu lực. Bước 4 Kiểm tra phiên bản PowerShell đã được cài đặt Mở Windows PowerShell chạy với quyền Administrator và chạy lệnh sau Get-Host Select-Object Version Kết quả trả về sẽ là phiên bản PowerShell đã được nâng cấp trên máy Windows. Ví dụ Kết quả sau khi chạy lệnh trên máy chủ Windows Server 2008 R2 b. Rà quét và xác định mã độc dựa trên mã Hash Để rà quét và xác định mã độc dựa trên mã Hash của chúng, ta thực hiện các bước sau Bước 1 Copy đoạn Script ở trên vào một file notepad, đặt tên là Bước 2 Copy các mã Hash MD5 tương ứng của từng tệp tin độc hại nhận được từ các cảnh báo của các hãng bảo mật, cơ quan chuyên trách về ATTT vào file notepad, mỗi giá trị Hash tương ứng với 01 dòng, sau đó lưu và đặt tên file là Khi có các đợt tấn công sử dụng mã độc từ Internet, thì các cơ quan điều phối, chuyên trách về ATTT như VNCERT, Cục ATTT, các Hãng bảo mật trên thế giới, hoặc ban Viễn thông & Công nghệ thông tin của Tổng công ty sẽ có thông báo, khuyến cáo, cung cấp mã Hash của các tập tin độc hại để ngăn chặn. Từ thông tin về mã Hash này, chúng ta có thể chủ động thực hiện rà quét toàn bộ hệ thống thư mục, tệp tin trên máy tính để tìm ra các chương trình, tệp tin có giá trị Hash trùng khớp, đó chính là mã độc. Ví dụ nội dung của 01 file như sau 25376ea6ea0903084c45bf9c57bd6e4f 1e2795f69e07e430d9e5641d3c07f41e 3be75036010f1f2102b6ce09a9299bca 34404a3fb9804977c6ab86cb991fb130 b12325a1e6379b213d35def383da2986 7c651d115109fd8f35fdfc44fd24518 8a41520c89dce75a345ab20ee352fef0 b88d4d72fdabfc040ac7fb768bf72dcd df934e2d23507a7f413580eae11bb7dc fee0b31cc956f083221cb6e80735fcc5 4c400910031ee3f12d9958d749fa54d5 2e0d13266b45024153396f002e882f15 26f09267d0ec0d339e70561a610fb1fd 09e4f724e73fccc1f659b8a46bfa7184 18c2adfc214c5b20baf483d09c1e1824 2cd8e5d871f5d6c1a8d88b1fb7372eb0 e9130a2551dd030e3c0d7bb48544aaea 9888d1109d6d52e971a3a3177773efaa be021d903653aa4b2d4b99f3dbc986f0 Bước 3 Đặt 02 tệp tin và vào thư mục C\ hoặc thư mục khác do người dùng chọn Bước 4 Mở Windows PowerShell chạy với quyền Administrator Chọn Start hoặc cửa sổ Windows ở góc trái bên dưới màn hình → gõ tìm PowerShell → chuột phải và chọn Run as administrator. Nhập tài khoản Administrator nếu được yêu cầu. Bước 5 Thiết lập chính sách thực thi để cho phép chạy Script Set-ExecutionPolicy Unrestricted Chọn Yes hoặc Yes to All để thay đổi chính sách thực thi. Bước 6 Chạy lệnh Script để bắt đầu rà quét tệp tin mã độc Lưu ý Tùy thuộc vào tài nguyên RAM, CPU, Disk của máy tính, các chương trình đang chạy, cũng như số lượng các tệp tin trên mỗi máy tính... mà tốc độ rà quét của đoạn mã Script sẽ khác nhau. Ví dụ, với máy tính chạy hệ điều hành Windows tài nguyên bao gồm 2 bộ xử lý Intel Core i7 GHz, bộ nhớ RAM 8 GB, ổ cứng SSD sẽ rà quét xong 01 ổ đĩa dung lượng 95 GB trong khoảng 15 phút. Ngoài ra, có một số tệp tin và thư mục hệ thống không thể truy cập thậm chí với quyền quản trị, do vậy trong quá trình chạy Script sẽ gặp một số thông báo lỗi liên quan đến quyền truy cập hoặc liên quan đến tệp tin đang được sử dụng bởi ứng dụng, tiến trình khác. Ví dụ Trong trường hợp này chúng ta vẫn để thực thi Script bình thường và đọc kết quả khi hoàn thành. Bước 7 Đọc kết quả trên giao diện PowerShell Nếu phát hiện mã độc trên máy tính thì kết quả sẽ chỉ ra đường dẫn tuyệt đối của tệp tin mã độc này. Cần thực hiện các bước để xử lý, bóc gỡ mã độc như hướng dẫn bên dưới Nếu không phát hiện mã độc trên máy tính thì kết quả của Script sẽ thông báo như sau Bước 8 Thiết lập chính sách giới hạn thực thi Script về lại trạng thái ban đầu Set-ExecutionPolicy Restricted Chọn Yes hoặc Yes to All để thay đổi chính sách thực thi. Hướng dẫn bóc gỡ các tệp tin độc hại ra khỏi máy tính Trong trường hợp phát hiện mã độc, cần thực hiện các bước để xử lý, bóc gỡ các tệp tin độc hại trên máy tính. Do các tệp tin độc hại này đang được thực thi trên máy tính nên cần dừng hoặc tắt tiến trình tương ứng của nó trước khi xóa. Các bước thực hiện cụ thể như sau Bước 1 Tải và chạy phần mềm Process Explorer Process Explorer là một phần mềm nằm trong bộ công cụ Windows Sysinternals được phát triển bởi Microsoft, được sử dụng để theo dõi và quản lý các tiến trình đang hoạt động trên máy tính, cho phép kịp thời phát hiện và gỡ bỏ những tiến trình độc hại được sử dụng bởi các loại mã độc như spyware, adware, virus... Process Explorer cho phép xem thông tin chi tiết về mỗi tiến trình, kể cả những ứng dụng chạy ngầm. Truy cập vào đường dẫn sau đề tải về và chạy phần mềm Process Explorer từ trang chủ chính thống của Microsoft Bước 2 Xác định các tiến trình đang chạy tương ứng của tệp tin độc hại Trên giao diện Process Explorer, chọn Find → chọn Find Handle or DLL→ nhập đường dẫn tuyệt đối của tệp tin độc hại đã tìm thấy ở trên → chọn Search. Kết quả là tại cột Process sẽ hiển thị các tiến trình đang chạy tương ứng của tệp tin độc hại đó. Ví dụ Bước 3 Xác định các registry mà mã độc đã tạo Bước này chỉ xác định và ghi lại đường dẫn. Việc xóa registry sẽ thực hiện trong Bước 6. Dựa trên Process ID, xác định tiến trình độc hại đang chạy trên cửa sổ Process Explorer → kích phải chuột và chọn Properties của tiến trình đó → tại tab Image, trong thư mục AutoStart Location → xác định các registry mà mã độc đã tạo để khởi động tiến trình độc hại cùng với hệ thống. Bước 4 Tạm dừng hoặc tắt tiến trình độc hại được tìm thấy Kích phải chuột vào tiến trình đã xác định ở Bước 2, chọn Suspend hoặc Kill Process để tạm dừng hoặc tắt tiến trình đó. Bước 5 Xóa tệp tin độc hại Sau khi đã tạm dừng hoặc tắt các tiến trình đang chạy tương ứng của tệp tin độc hại, thực hiện truy cập vào đường dẫn và xóa tệp tin. Bước 6 Xóa các giá trị registry mà mã độc đã tạo Dựa trên đường dẫn đến các giá trị registry đã xác định ở Bước 3, truy cập đến các giá trị registry mà mã độc đã tạo và xóa. Trên đây là bài viết hướng dẫn rà quét, xác định và bóc gỡ mã độc trên các máy tính hệ điều hành Windows dựa trên mã Hash của mã độc. Về cơ bản, các bước thực hiện không quá phức tạp, do đó mỗi người dùng có thể tự thực hiện theo từng bước hướng dẫn khi nhận được các thông báo, cảnh báo về các cuộc tấn công mạng sử dụng mã độc từ các Hãng bảo mật, Cơ quan chuyên trách về ATTT hoặc từ thông báo của Ban Viễn thông & Công nghệ thông tin Tổng công ty, từ đó góp phần vào việc đảm bảo cho hệ thống mạng của Tổng công ty hoạt động ổn định, an toàn, giảm thiểu rủi ro mất cắp thông tin và dữ liệu cá nhân trên máy tính của mình. Trong quá trình thực hiện, nếu có bất kỳ vướng mắc xin vui lòng liên hệ Trần Ngọc Lâm – Chuyên viên phòng Kỹ thuật và Mạng viễn thông – CPCITC. Địa chỉ email LamTN1 Điện thoại 0799333121

mã độc có thể được tin tặc nhúng vào trong