Mã Độc Zombie Là Gì / TOP 13 # Xem Nhiều Nhất & Mới Nhất 6/2023 # Top View

Thích Công Nghệ.Com – Các thiết bị Android đang phải đối diện với một loại malware mới mang tên Viking Horde. Khi nhiễm mã độc này, thiết bị Android sẽ trở thành một phần của mạng lưới botnet. Botnet (mạng máy tính ma) là tập hợp các máy tính bị nhiễm mã độc (zombie PC) và có thể được điều khiển từ xa để thực hiện các cuộc tấn công DDOS làm tê liệt các hệ thống máy chủ. Những năm trước đây, khái niệm botnet chỉ bao gồm máy tính, thì nay, những chiếc smartphone, tablet Android cũng có thể là một phần của mạng này.

Loại mã độc cực kỳ nguy hiểm cho Android đã lộ diện. Ảnh: Cnet.

Được phát hiện bởi các nhà nghiên cứu của Check Point, Viking Horde (tên gọi của loại mã độc mới) đang lan truyền từ một số ứng dụng trên cửa hàng Google Play. Các ứng dụng bị nhiễm bao gồm Viking Jump, Parrot Copter, Memory Booster, Simple 2048 và WiFi Plus. Google hiện im lặng trước thông tin này.

Theo các chuyên gia bảo mật, đây là một loại malware lợi dụng các máy Android bị lây nhiễm bằng cách cài đặt phần mềm có thể thực thi các lệnh từ xa. Mọi dữ liệu trên thiết bị đều có nguy cơ bị chiếm đoạt hoặc bị xoá bỏ. Thêm vào đó, Viking Horde giành đặc quyền truy cập root thiết bị. Điều này sẽ gây rất nhiều khó khăn để có thể loại bỏ malware này ra khỏi các máy Android bị lây nhiễm.

Sau khi bị nhiễm Viking Horde, các máy Android sẽ trở thành những “máy ma” (zombie), một phần của botnet, một mạng lưới các thiết bị kiểm soát bởi hacker để thực hiện các nhiệm vụ nhất định mà chủ nhân của các thiết bị đó không hề hay biết.

Là một nền tảng mở, Android rất dễ bị tổn hại. Trong những năm gần đây, Google đã nỗ lực để loại trừ các ứng dụng dính mã độc trước khi chúng được tải lên Play Store. Nhưng quá trình này vẫn còn thiếu sót, đặc biệt khi so sánh với cách giám sát chặt chẽ của Apple với các ứng dụng được thiết kế cho người dùng iOS.

Theo các chuyên gia, Viking Horde có thể hoạt động trên các thiết bị Android đã root lẫn chưa root. Một thiết bị được coi là đã root khi hệ điều hành đã được “bẻ khóa” để người dùng có thể cài đặt các ứng dụng bên ngoài, vốn không được chấp thuận bởi Google và không có trên Google Play Store. Những máy đã root dễ bị phần mềm độc hại tấn công hơn.

Hiện tại, hầu hết các ứng dụng bị nhiễm malware vẫn còn nằm trên cửa hàng Google Play và Google vẫn chưa có động thái rà soát hoặc gỡ bỏ.

Trong quá trình thiết kế phần mềm, các lập trình viên thường cài các đoạn chương trình (‘cửa’) kiểm tra, sửa lỗi, chuyển giao kỹ thuật,.. Có thể vô tình hay cố ý khi các cửa này chưa được gỡ bỏ trước khi đóng gói phát hành. Trong quá trình sử dụng, thỏa mãn một điều kiện nào đó sẽ tạo nên trapdoor. Từ kỹ thuật kiểm lỗi trong công nghệ phần mềm, trapdoor biến thành “hố tử thần” cài bí mật trong các phần mềm trôi nổi trên mạng.

Bom hẹn giờ (logic bomb)

Là một dạng khác của Concealing Malware. Đây là một chương trình ( cũng có thể là một phần của chương trình) sẽ không hoạt động cho đến khi một phần của chương trình được kích hoạt. Bằng cách này, nó giống như một “quả bom” rất khó phát hiện tới khi được kích hoạt.

Về cơ bản đây là Trojan horse với thiết bị tính giờ. Bomb được chèn bí mật hoặc chủ ý và được thiết kế để thực hiện dưới những điều kiện đặc biệt. Nó thoát ra vào một thời điểm nhất định và phá hủy (chẳng hạn như phá dữ liệu trên đĩa cứng và tung ra một con Virus). Một nhân viên bất bình có thể tạo quả bom như thế và rời khỏi công ty để tránh nghi ngờ.

Computer virus

Virus là các mã máy tính nguy hiểm, và có khả năng tái tạo trên cùng máy tính. Được lan truyền theo các phương thức như : Lây nhiễm kiểu gắn kết phía sau, Lây nhiễm kiểu pho-mat Thụy Sĩ, Lây nhiễm kiểu phân tách.

Khi chương trình nhiễm virus được khởi động thì nó sẽ tự nhân bản, lây lan sang các file khác trên máy tính; Đồng thời kích hoạt chức năng phá hoại với một số thao tác như hiển thị một thông điệp gây phiền nhiễu hay thực hiện một hành vi nguy hiểm hơn.

Một đặc điểm của virus là không thể tự động lây lan sang máy tính khác vì nó cần phụ thuộc vào hành động của người dùng để lây lan. Các virus được đính kèm theo file. Virus lan truyền bằng cách truyền nhận các file bị nhiễm virus.

Phân loại computer virus bao gồm:

Program virus ( virus chương trình ) : Lây nhiễm các file thực thi

Macro virus : Thực thi một đoạn mã script

Resident virus ( virus thường trú ): Là loại virus lây nhiễm các file do người dùng hoặc hệ điều hành mở ra.

Boot virus ( virus khởi động ) : Nó thực hiện hành vi lây nhiễm vào Master Boot Record.

Companion virus ( Virus đồng hành ) : Chèn thêm các chương trình độc hại vào hệ điều hành.

Thực thi độc lập (stand alone)

Worm và Rootkit

Worm ( Sâu ) là chương trình độc hại nhằm mục đích khai thác các lỗ hổng ứng dụng hoặc hệ điều hành, đồng thời thực hiện hành vi gửi các bản sao của chính mình sang các thiết bị mạng khác. Worm có thể sử dụng các tài nguyên có trong hệ thống và để lại một đoạn mã làm hại hệ thống bị lây nhiễm. Nó sẽ thực hiện một số hành vi gây hại như : xóa các file trên máy tính, cho phép kẻ tấn công có thể điều khiển máy tính bị hại từ xa.

Nếu như ở virus, cách thức lây lan là do người dùng truyền những file bị lây nhiễm sang máy tính khác. Thì ở Worm lại sử dụng hệ thống mạng để di chuyển sang máy tính khác.

Cách thức hoạt động của Worm là khai thác các lỗ hổng của ứng dụng hoặc hệ điều hành, còn đối với Virus là thực hiện hành vi chèn mã của nó vào trong file. Một sự khác biệt quan trọng giữa Worm và Virus là Worm có khả năng điều khiển từ xa.

Rootkit ( công cụ gốc ) : Là công cụ phần mềm được kẻ tấn công sử dụng để che dấu các hành động hoặc sự hiện diện của các Malware khác như Trojan hay Worm… Nó thực hiện hành vi che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục nhật ký. Và có thể thay đổi hoặc thay thế các file của hệ điều hành bằng các phiên bản sửa đổi ( các phiên bản này được thiết kế chuyên để che dấu các hành vi gây hại ).

Rootkit hoạt động ở mức thấp trong hệ điều hành nên rất khó phát hiện. Nếu muốn biết Rootkit đó có tồn tại hay không có thể phát hiện bằng cách sử dụng các chương trình so sánh nội dung file với file gốc ban đầu. Việc loại bỏ Rootkit là rất khó khăn bởi cần phải sử dụng đến thao tác khôi phục các file gốc của hệ điều hành hoặc định dạng và cài đặt lại hệ điều hành.

Backdoor và key logger

Backdoor là mã phần mềm có mục đích né tránh các thiết lập bảo mật. Cho phép chương trình có thể truy cập nhanh chóng và thường do các lập trình viên tạo ra với mục đích là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất. Tuy nhiên, đôi khi, backdoor cũng có thể được giữ lại, điều này tạo điều kiện thuận lợi cho các kẻ tấn công qua mặt vấn đề bảo mật.

Malware từ những kẻ tấn công cũng có thể được cài đặt Backdoor lên máy tính. Cho phép kẻ tấn công có thể dễ dàng quay lại máy tính mà không bị ảnh hưởng bởi các cơ chế bảo mật tại đó. Tóm lại đây là loại malware được thiết kế cho phép truy xuất từ xa.

Key logger ( Bộ ghi lưu bàn phím ) : Thực hiện sao chụp lại các thao tác gõ phím của người dùng. Kẻ tấn công sẽ thực hiện truy xuất những thông tin đã lấy được, và tìm ra những thông tin hữu ích như mật khẩu, số tài khoản tín dụng, thông tin cá nhân,…

Key logger cũng có thể là một thiết bị phần cứng gọn nhẹ được cài cắm vào giữa bàn phím máy tính và bộ kết nối nên rất khó phát hiện. Và kẻ tấn công phải gỡ thiết bị theo dõi một cách thủ công mới có thể thu thập được thông tin.

Companion và link

Companion ( đồng hành ) : Tạo tập thực thi giả mạo chương trình hợp pháp đang tồn tại, sau đó lừa OS chay chương trình companion để kích hoạt malware.

Link : Cấu hình cho OS tìm đến liên kết thay vì tìm đến chương trình mong muốn. Ví dụ như : thay các đường link/shortcut của Windows trỏ đến file .exe chứa malware trong một folder bí mật.

Germ, constructor và hacktool

Germ ( mầm độc ) : Tập malware gốc dùng sản sinh các biến thể malware thứ cấp, sử dụng kèm constructor và/hoặc hacktool.

Constructor (bộ kiến tạo ) : là công cụ biên dịch mầm malware được tập kết bí mật ở máy đích, âm thầm xây dựng lực lượng tại chỗ, chờ thời cơ đồng loạt tấn công.

Hacktool ( công cụ đục phá ) : Là phương tiện hỗ trợ cho constructor xây dựng lực lượng tại chỗ, đục phá hệ thống chuẩn bị tấn công.

856 lượt xem

Tin nhắn rác chứa tài liệu đính kèm độc hại Một đoạn mã của macro độc hại

Các phiên bản Microsoft Office mới thường vô hiệu hóa chạy macro tự độc vì lí do bảo mật. Tuy nhiên, thực tế cho thấy người dùng rất thường xuyên kích hoạt thủ công macro, thậm chí ngay cả trên tài liệu tải về từ nguồn không rõ ràng, dẫn đến hậu quả khó lường. Hiện tại, tin tặc đã thay đổi các tệp tin đính kèm thành tệp tin nén ZIP chứa một hoặc nhiều đoạn mã JavaScript được làm rối nhằm che mắt người dùng. Tin nhắn rác được gửi đến thường được viết bằng tiếng Anh, cũng có một vài ngôn ngữ khác được sử dụng.

Thư rác được viết bằng tiếng Anh với một tệp tin đính kèm được nén Thư rác được viết bằng tiếng Anh và tiếng Đức

Người dùng sẽ được thông báo khởi động các tệp tin script

Nội dung tệp tin đính kèm đã được nén Một đoạn mã script trong tệp tin nén

Nếu được kích hoạt, đoạn mã script sẽ tải về Locky Trojan từ máy chủ trên Internet và khởi chạy nó.

Các quốc gia bị tấn công Danh sách 10 quốc gia bị lây nhiễm nhiều nhất

Cần lưu ý rằng thống kê trên chỉ bao gồm những trường hợp mã độc Locky được phát hiện bởi các công cụ diệt virus và không bao gồm các phát hiện giai đoạn đầu như thư rác hoặc các phần mềm độc hại tự động tải mã độc.

Cách thức hoạt động

Locky Trojan là một tệp tin thực thi, có dung lượng khoảng 100 kb. Nó được viết bằng ngôn ngữ C++ sử dụng STL và được biên dịch bởi Microsoft Visual Studio. Khi được khởi động, mã độc sẽ tự sao chép đến %TEMP%svchost.exe và xóa luồng dữ liệu NTFS trên ổ đĩa cứng – điều này được thực hiện nhằm đảm bảo khi thực thi, Windows không hiển thị cảnh báo rằng tệp tin được tải về từ Internet và có thể gây nguy hiểm. Trojan Locky sẽ được chạy từ thư mục %TEMP%. Mã độc sẽ kiểm tra sự tồn tại và nội dung của các khóa registry sau:

HKEY_CURRENT_USERSoftwareLockyid

REG_SZ

Infection ID

HKEY_CURRENT_USERSoftwareLockypubkey

REG_BINARY

Public RSA key in MSBLOB format

HKEY_CURRENT_USERSoftwareLockypaytext

REG_BINARY

Text shown to the victim

HKEY_CURRENT_USERSoftwareLockycompleted

REG_DWORD

Status (whether encryption is completed)

Nếu dữ liệu trên tồn tại trong các khóa registry (có nghĩa là Trojan này đã từng được chạy nhưng bị dừng lại vì lí do nào đó), Locky sẽ đọc dữ liệu và tiếp tục quá trình lây nhiễm. Với lần chạy đầu tiên, Locky sẽ thực hiện các hành vi sau:

Liên lạc với máy chủ điều khiển C&C và báo cáo lây nhiễm

Nhận một khóa công khai RSA-2048 và ID lây nhiễm từ máy chủ điều khiển, lưu vào registry

Gửi thông tin về ngôn ngữ của hệ điều hành bị lây nhiễm, nhận thông báo hiển thị đòi tiền chuộc từ tin tặc, lưu thành dạng text trong registry

Tìm kiếm các tệp tin với phần mở rộng cụ thể trên ổ đĩa cứng của máy bị lây nhiễm, mã hóa chúng

Xóa các bản sao chép shadow copies của các tệp tin

Ghi mã độc vào phần tự khởi động (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun)

Tìm kiếm và mã hóa các tệp tin có phần mở rộng đặc biệt trên các ổ đĩa của mạng chia sẻ và trên các tài nguyên mạng không được gán tên ổ đĩa

Hiển thị thông điệp đòi tiền chuộc đến nạn nhân

Dừng hoạt động và tự xóa

Đoạn mã xác định ngôn ngữ của hệ điều hành

Danh sách các tệp tin bị mã hóa

Mã độc Locky sẽ tìm kiếm các tệp tin có phần mở rộng sau đây:

Mã độc locky thêm đoạn mã vào cuối mỗi tệp tin mã hóa

Trong cú pháp ngôn ngữ C, đoạn mã trên được giải thích như sau:

Thông điệp đòi tiên chuộc

Thông điệp đòi tiền chuộc bằng tiếng Anh Thông điệp đòi tiền chuộc bằng tiếng Đức

Trong những chiến dịch tấn công đầu tiên, trang thanh toán tiền chuộc sẽ có dạng như sau:

Trang thanh toán của Locky phiên bản đầu tiên

Trong trang này, tin tặc đề nghị nạn nhân trả tiền dưới dạng bitcoin để được giải mã các tệp tin bị mã hóa trên máy tính. Tin tặc cũng đưa ra hướng dẫn cách thanh toán bằng đồng tiền bitcoin.

Nội dung và thiết kế của trang thanh toán hiện tại đã thay đổi, có sẵn hơn 20 ngôn ngữ để lựa chọn:

Trang thanh toán của Locky phiên bản mới nhất

Trong mã nguồn ta có thể thấy danh sách đầy đủ các ngôn ngữ được hỗ trợ. Tin tặc đang làm hết mình để có thể giao tiếp với nạn nhân tại các quốc gia lớn bị tấn công. Tuy nhiên, ngôn ngữ Nga và ngôn ngữ các quốc gia thuộc liên bang Nga cũ lại không hề có trong danh sách.

Danh sách các ngôn ngữ được hỗ trợ trên trang thanh toán của Locky

Kết nối với máy chủ điều khiển (C&C)

Các dạng thông số được gửi đi bao gồm:

Tin tặc thu thập số liệu thống kê rất chi tiết về mỗi thiết bị lẫy nhiêm. Các họ mã độc tống tiền khác thường không làm việc này.

Các biện pháp ngăn chặn

Locky là một loại mã độc tống tiền điển hình. Tuy nhiên nó lại khiến các nhà nghiên cứu bảo mật chú ý bởi sự linh hoạt và phát tán rộng rãi. Để bảo vệ bản thân khỏi loại mã độc tống tiền Locky, thực hiện các biện pháp sau:

Không mở các tệp tin đính kèm trong email được gửi từ nguồn không rõ ràng.

Sao lưu dữ liệu định kì và lưu trữ bản sao sao lưu trên một thiết bị lưu trữ tách khác rời hoặc lưu trữ trên cloud.

Thường xuyên cập nhật phần mềm diệt virus, hệ điều hành và các phần mềm cài đặt trên máy tính.

Tạo một thư mục mạng riêng biệt với mỗi người dùng khi quản lý truy cập đến thư mục mạng được chia sẻ..

Khái niệm thuật ngữ

Zombie Bank là một ngân hàng, hoặc tổ chức tài chính có giá trị tài sản ròng âm. Mặc dù các ngân hàng zombie thường có giá trị tài sản ròng nhỏ hơn 0, chúng vẫn tiếp tục hoạt động do nhận được cứu trợ hoặc bảo lãnh từ chính phủ nên vẫn đảm bảo hoàn thành được các nghĩa vụ nợ và tránh phá sản. Các ngân hàng Zombie thường có một lượng lớn các tài sản không hiệu quả trên bảng cân đối kế toán, điều này khiến thu nhập tương lai của họ trở nên rất khó dự đoán.

Giải thích

Thuật ngữ này được đưa ra lần đầu tiên tại Mĩ vào năm 1987 để giải thích cho các cuộc khủng hoảng tiền tiết kiệm và nợ vay dẫn đến việc rất nhiều tổ chức tài chính tuyên bố phá sản. Thông thường, khi một ngân hàng bị coi là ngân hàng zombie, khách hàng sẽ đổ xô đi rút vốn và khiến tình hình trở nên xấu đi. Điều này đã được kiểm chứng trong cuộc khủng hoảng tài chính 2008-2009, khi mà một số lượng lớn các ngân hàng quốc gia và khu vực rơi vào tình trạng khủng hoảng vỡ nợ, buộc chính phủ Mỹ phải phát hành các gói cứu trợ nhằm cứu nguy cho thị trường tài chính.