Home
Công nghệ thông tin
An ninh, bảo mật
Modular Malware - Phương pháp tấn công tàng hình mới nhằm đánh cắp dữ liệu
Modular Malware - Phương pháp tấn công tàng hình mới nhằm đánh cắp dữ liệu
Modular Malware - Ph ng pháp t n công tàng hình m i nh m đánhươ ấ ớ ằ
c p d li uắ ữ ệ
Ph n m m đ c h i -ầ ề ộ ạ malware - t n công d i nhi u hình th c và quy mô ấ ướ ề ứ
khác nhau. Thêm vào đó, s tinh vi c a ph n m m đ c h i đã phát tri n ự ủ ầ ề ộ ạ ể
đáng k qua nhi u năm. Nh ng k t n công nh n ra r ng c g ng đ a toànể ề ữ ẻ ấ ậ ằ ố ắ ư
gói ph n m m đ c h i xâm nh p vào h th ng m t l n duy nh t không ầ ề ộ ạ ậ ệ ố ộ ầ ấ
ph i lúc nào cũng là cách hi u qu nh t.ả ệ ả ấ
Theo th i gian, ph n m m đ c h i đã tr thành các mô-đun. M t s bi n ờ ầ ề ộ ạ ở ộ ố ế
th ph n m m đ c h i có th s d ng các mô-đun khác nhau đ thay đ i ể ầ ề ộ ạ ể ử ụ ể ổ
cách chúng nh h ng đ n h th ng m c tiêu. V y modular malware là gì ả ưở ế ệ ố ụ ậ
và nó ho t đ ng nh th nào? Hãy cùng tìm hi u qua bài vi t sau đây!ạ ộ ư ế ể ế
Modular malware là gì?
Modular malware (malware d ng mô-đun/mô-đun malware) là m i đe d a ạ ố ọ
nguy hi m, t n công h th ng các giai đo n khác nhau. Thay vì t n công ể ấ ệ ố ở ạ ấ
tr c ti p, mô-đun malware có cách ti p c n ph .ự ế ế ậ ụ
Nó làm đi u đó b ng cách ch cài đ t các thành ph n thi t y u đ u tiên. ề ằ ỉ ặ ầ ế ế ầ
Sau đó, thay vì t o s phô tr ng và c nh báo ng i dùng v s hi n di n ạ ự ươ ả ườ ề ự ệ ệ
c a nó, mô-đun đ u tiên h ng đ n h th ng và an ninh m ng; nh ng ủ ầ ướ ế ệ ố ạ ữ
ph n ch u trách nhi m chính, lo i ph ng pháp b o v nào đang đ c áp ầ ị ệ ạ ươ ả ệ ượ
d ng, n i mà cácụ ơ ph n m m đ c h iầ ề ộ ạ có th tìm th y l h ng, nh ng gì ể ấ ỗ ổ ữ
khai thác có c h i thành công cao nh t, v.v…ơ ộ ấ
Sau khi phát hi n thành công môi tr ng c c b , mô-đun malware giai ệ ườ ụ ộ
đo n đ u tiên có th liên l c v i máy ch ra l nh và ki m soát (C2) c a ạ ầ ể ạ ớ ủ ệ ể ủ
nó. C2 sau đó có th ph n h i b ng cách g i thêm h ng d n cùng v i các ể ả ồ ằ ử ướ ẫ ớ
mô-đun malware b sung đ t n d ng môi tr ng c th mà ph n m m ổ ể ậ ụ ườ ụ ể ầ ề
đ c h i đang ho t đ ng.ộ ạ ạ ộ
Mô-đun malware có l i h n so v i nh ng ph n m m đ c h i gom t t c ợ ơ ớ ữ ầ ề ộ ạ ấ ả
ch c năng vào m t payload duy nh t, c th :ứ ộ ấ ụ ể
K t o ra ph n m m đ c h i có th nhanh chóng thay đ i nh n d ngẻ ạ ầ ề ộ ạ ể ổ ậ ạ
c a ph n m m đ c h i đ tránhủ ầ ề ộ ạ ể các ch ng trình di t virusươ ệ và b o ả
m t khác.ậ
Mô-đun malware cho phép m r ng ch c năng cho nhi u môi tr ng ở ộ ứ ề ườ
khác nhau. Trong đó, k t o ra ph n m m đ c h i có th ph n ng ẻ ạ ầ ề ộ ạ ể ả ứ
v i các m c tiêu c th , ho c đánh d u các mô-đun c th đ s ớ ụ ụ ể ặ ấ ụ ể ể ử
d ng trong các môi tr ng c th .ụ ườ ụ ể
Các mô-đun ban đ u r t nh và d dàng thay đ i h n.ầ ấ ỏ ễ ổ ơ
K t h p nhi u mô-đun malware giúp các nhà nghiên c u b o m t ế ợ ề ứ ả ậ
đoán đ c đi u gì s x y ra ti p theo.ượ ề ẽ ả ế
Mô-đun malware không ph i là m i đe d a m i. Các nhà phát tri n ph n ả ố ọ ớ ể ầ
m m đ c h i đã s d ng hi u qu các ch ng trìnhề ộ ạ ử ụ ệ ả ươ mô-đun malware trong
m t th i gian dài. S khác bi t là các nhà nghiên c u b o m t đang g p ộ ờ ự ệ ứ ả ậ ặ
ph i nhi u mô-đun malware h n trong nhi u tình hu ng khác nhau. Các nhàả ề ơ ề ố
nghiên c u cũng đã phát hi n raứ ệ botnet Necurs kh ng l (khét ti ng vì phân ổ ồ ế
ph i các bi n thố ế ể ransomware c a Dridex và Locky) làm lây lan các mô-đunủ
malware.
Ví d v mô-đun malwareụ ề
Có m t s ví d v mô-đun malware r t thú v . D i đây là m t vài trong ộ ố ụ ề ấ ị ướ ộ
s đó.ố
VPNFilter
VPNFilter là m t phiên b n ph n m m đ c h i g n đây t n công các thi t ộ ả ầ ề ộ ạ ầ ấ ế
b router vàị Internet of Things (IoT). Ph n m m đ c h i này ho t đ ng ầ ề ộ ạ ạ ộ
trong ba giai đo n.ạ
Ph n m m đ c h i giai đo n đ u tiên liên l c v i m t máy ch ra l nh và ầ ề ộ ạ ạ ầ ạ ớ ộ ủ ệ
đi u khi n đ t i xu ng mô-đun giai đo n hai. Mô-đun giai đo n th hai ề ể ể ả ố ạ ạ ứ
thu th p d li u, th c hi n các l nh và có th can thi p vào vi c qu n lý ậ ữ ệ ự ệ ệ ể ệ ệ ả
thi t b (bao g m kh năng "đóng băng" router, thi t b IoT ho c NAS). ế ị ồ ả ế ị ặ
Giai đo n th hai cũng có th t i xu ng mô-đun giai đo n th ba, th ho t ạ ứ ể ả ố ạ ứ ứ ạ
đ ng nh các plugin cho giai đo n th hai. Mô-đun ba giai đo n bao g m ộ ư ạ ứ ạ ồ
m t gói phát hi n l u l ng SCADA, m t mô-đun làm lây nhi m và mô-ộ ệ ư ượ ộ ễ
đun cho phép ph n m m đ c h i giai đo n 2 giao ti p b ngầ ề ộ ạ ạ ế ằ m ng Torạ
T9000
Các nhà nghiên c u b o m t c a Palo Alto Networks đã phát hi n ra ph n ứ ả ậ ủ ệ ầ
m m đ c h i T9000 (không liên quan đ n Terminator hay Skynet).ề ộ ạ ế
T9000 là m t công c thu th p thông tin và d li u. Sau khi cài đ t, T9000 ộ ụ ậ ữ ệ ặ
cho phép k t n công “n m b t d li u đ c mã hóa, ch p nh màn hình ẻ ấ ắ ắ ữ ệ ượ ụ ả
c a các ng d ng c th và nh m m c tiêu c th đ n ng i dùngủ ứ ụ ụ ể ắ ụ ụ ể ế ườ Skype”
cũng nh các file s n ph m Microsoft Office. T9000 đi kèm v i các mô-đunư ả ẩ ớ
khác nhau đ c thi t k đ tránh 24 s n ph m b o m t khác nhau, thay ượ ế ế ể ả ẩ ả ậ
đ i quy trình cài đ t c a nó đ không b phát hi n.ổ ặ ủ ể ị ệ
DanaBot
DanaBot là m tộ Trojan ngân hàng đa giai đo n v i các plugin khác nhau mà ạ ớ
k t n công s d ng đ m r ng ch c năng c a nó. Ví d , tháng 5 năm ẻ ấ ử ụ ể ở ộ ứ ủ ụ
2018, DanaBot đã đ c phát hi n trong m t lo t các cu c t n công vào các ượ ệ ộ ạ ộ ấ
ngân hàng Úc. Vào th i đi m đó, các nhà nghiên c u đã phát hi n ra m t ờ ể ứ ệ ộ
gói plugin phát hi n lây nhi m, m t plugin xem t xa VNC, m t plugin thu ệ ễ ộ ừ ộ
th p d li u và m t plugin Tor cho phép giao ti p an toàn.ậ ữ ệ ộ ế
"DanaBot là m t Trojan ngân hàng, có nghĩa là nó nh t thi t ph i nh m ộ ấ ế ả ắ
m c tiêu theo đ a lý m t góc đ nào đó", theo blog Proofpoint DanaBot. ụ ị ở ộ ộ
“M c dù có nhi u bi n pháp phòng ng a đ c áp d ng nh chúng ta đã ặ ề ệ ừ ượ ụ ư
th y trong chi n d ch c a Hoa Kỳ, nh ng v n d dàng nh n th y s phát ấ ế ị ủ ư ẫ ễ ậ ấ ự
tri n tích c c, m r ng v đ a lý và s tinh vi c a các ph n m m đ c h i ể ự ở ộ ề ị ự ủ ầ ề ộ ạ
ngày càng tăng. B n thân ph n m m đ c h i ch a m t s tính năng ch ng ả ầ ề ộ ạ ứ ộ ố ố
phân tích, cũng nh các mô-đun đánh c p thông tin và đi u khi n t xa ư ắ ề ể ừ
đ c c p nh t th ng xuyên, làm tăng thêm s đe d a c a nó đ i v i các ượ ậ ậ ườ ự ọ ủ ố ớ
m c tiêu.”ụ
Marap, AdvisorsBot và CobInt
Bài vi t đang k t h p ba bi n th mô-đun malware thành m t ph n vì các ế ế ợ ế ể ộ ầ
nhà nghiên c u b o m t tuy t v i t i Proofpoint đã khám phá c ba lo i ứ ả ậ ệ ờ ạ ả ạ
này cùng lúc. Các bi n th mô-đun malware này mang nét t ng đ ng ế ể ươ ồ
nh ng có các cách s d ng khác nhau. H n n a, CobInt là m t ph n c a ư ử ụ ơ ữ ộ ầ ủ
chi n d ch Cobalt Group, m t t ch c t i ph m có quan h v i m t danh ế ị ộ ổ ứ ộ ạ ệ ớ ộ
sách dài các t i ph m m ng trong lĩnh v c ngân hàng và tài chính.ộ ạ ạ ự
Marap và AdvisorsBot đ c t o ra nh m m c đích nh m đ n toàn b h ượ ạ ằ ụ ắ ế ộ ệ
th ng m c tiêu đ phòng th và l p b n đ m ng, sau đó xác đ nh xem ố ụ ể ủ ậ ả ồ ạ ị
li u ph n m m đ c h i có nên t i xu ng toàn b payload hay không. N u ệ ầ ề ộ ạ ả ố ộ ế
h th ng đích đáp ng đ c nhu c u (ví d , có giá tr ),ệ ố ứ ượ ầ ụ ị ph n m m đ c ầ ề ộ
h iạ s ti p t c giai đo n th hai c a cu c t n công.ẽ ế ụ ạ ứ ủ ộ ấ
Gi ng nh các phiên b n mô-đun malware khác, Marap, AdvisorsBot và ố ư ả
CobInt tuân theo quy trình ba b c. Giai đo n đ u tiên th ng là m t emailướ ạ ầ ườ ộ
có file đính kèm b nhi m ph n m m đ c h i v i m c đích khai thác ban ị ễ ầ ề ộ ạ ớ ụ
đ u. N u nhi m v khai thác th c hi n xong, ph n m m đ c h i ngay l p ầ ế ệ ụ ự ệ ầ ề ộ ạ ậ
t c yêu c u giai đo n th hai. Giai đo n th hai mang mô-đun trinh sát đ ứ ầ ạ ứ ạ ứ ể
đánh giá các bi n pháp an ninh và c nh quan m ng c a h th ng đích. N u ệ ả ạ ủ ệ ố ế
ph n m m đ c h i cho bi t m i th đ u phù h p, giai đo n cu i cùng s ầ ề ộ ạ ế ọ ứ ề ợ ạ ố ẽ
t i xu ng mô-đun th ba, bao g m c payload chính.ả ố ứ ồ ả
Mayhem
Mayhem là m t phiên b n mô-đun malware h i cũ. Nó xu t hi n l n đ u ộ ả ơ ấ ệ ầ ầ
tiên vào năm 2014. Tuy nhiên, Mayhem v n là m t ví d v mô-đun ẫ ộ ụ ề
malware tuy t v i. Ph n m m đ c h i, đ c phát hi n b i các nhà nghiên ệ ờ ầ ề ộ ạ ượ ệ ở
c u b o m t t i Yandex, nh m m c tiêu các máy ch webứ ả ậ ạ ắ ụ ủ Linux và Unix.
Nó cài đ t thông qua m t t p l nh PHP đ c h i.ặ ộ ậ ệ ộ ạ
Sau khi cài đ t, t p l nh có th g i m t s plugin xác đ nh vi c s d ng ặ ậ ệ ể ọ ộ ố ị ệ ử ụ
t i u ph n m m đ c h i.ố ư ầ ề ộ ạ
Các plugin bao g m m t trình b khóa m t kh uồ ộ ẻ ậ ẩ brute force nh m vào các ắ
tài kho n FTP,ả WordPress và Joomla, m t trình thu th p d li u web đ tìmộ ậ ữ ệ ể
ki m các máy ch d b t n th ng khác và m t công c khai thác l h ngế ủ ễ ị ổ ươ ộ ụ ỗ ổ
Heartbleed OpenSLL.
DiamondFox
Bi n th ph n mô-đun malware cu i cùng trong bài vi t hôm nay cũng là ế ể ầ ố ế
m t trong nh ng phiên b n hoàn thi n nh t. Đây cũng là m t trong nh ng ộ ữ ả ệ ấ ộ ữ
đi u đáng lo ng i nh t, vì m t vài lý do.ề ạ ấ ộ
Lý do th nh t, DiamondFox là m t botnet mô-đun bán trên các di n đàn ứ ấ ộ ễ
ng m khác nhau. Các t i ph m m ng ti m năng có th mua gói botnet mô-ầ ộ ạ ạ ề ể
đun DiamondFox đ truy c p vào m t lo t các kh năng t n công nâng cao.ể ậ ộ ạ ả ấ
Công c này đ c c p nh t th ng xuyên và, gi ng nh t t c các d ch vụ ượ ậ ậ ườ ố ư ấ ả ị ụ
tr c tuy n khác, đã h tr khách hàng cá nhân. (Nó th m chí còn có m t ự ế ỗ ợ ậ ộ
b n ghi s thay đ i!)ả ự ổ
Lý do th hai, botnet mô-đun DiamondFox đi kèm v i m t lo t các plugin. ứ ớ ộ ạ
Các tính năng này đ c b t và t t thông qua trang t ng quan, phù h p v i ượ ậ ắ ổ ợ ớ
m t ng d ng thông minh t i nhà. Các plugin bao g m các công c gián ộ ứ ụ ạ ồ ụ
đi p phù h p, các công c đánh c p thông tin xác th c, các công c ệ ợ ụ ắ ự ụ
DDoS, keylogger, spam mail, và th m chí c m t b quét RAM.ậ ả ộ ộ
Làm th nào đ ngăn ch n m t cu c t n công Modularế ể ặ ộ ộ ấ Malware?
T i th i đi m hi n t i, không có công c c th nào có th b o v ng i ạ ờ ể ệ ạ ụ ụ ể ể ả ệ ườ
dùng ch ng l i m t bi n th mô-đun malware c . Ngoài ra, m t s bi n ố ạ ộ ế ể ả ộ ố ế
th mô-đun malware có ph m vi đ a lý gi i h n. Ví d , Marap, AdvisorsBotể ạ ị ớ ạ ụ
và CobInt ch y u đ c tìm th y Nga và các qu c gia CIS.ủ ế ượ ấ ở ố
Các nhà nghiên c u Proofpoint đã ch ra r ng m c dù b gi i h n v đ a lý ứ ỉ ằ ặ ị ớ ạ ề ị
nh hi n t i, n u các t i ph m khác nhìn th y m t t ch c t i ph m đã ư ệ ạ ế ộ ạ ấ ộ ổ ứ ộ ạ
đ c thành l p s d ng mô-đun malware, chúng ch c ch n s làm theo.ượ ậ ử ụ ắ ắ ẽ
Nh n th c v cách mô-đun malware ti p c n h th ng c a b n là r t quan ậ ứ ề ế ậ ệ ố ủ ạ ấ
tr ng. Ph n l n các tr ng h p đ c ghi nh n đã s d ng file đính ọ ầ ớ ườ ợ ượ ậ ử ụ
kèm email b nhi m ph n m m đ c h i, th ng ch a tài li u Microsoft ị ễ ầ ề ộ ạ ườ ứ ệ
Office v i t p l nh VBA đ c h i. K t n công s d ng ph ng pháp này ớ ậ ệ ộ ạ ẻ ấ ử ụ ươ
b i vì r t d dàng đ g i email b nhi m ph n m m đ c h i đ n hàng ở ấ ễ ể ử ị ễ ầ ề ộ ạ ế
tri u m c tiêu ti m năng. H n n a, ph n khai thác ban đ u r t nh và d ệ ụ ề ơ ữ ầ ầ ấ ỏ ễ
dàng c i trang thành m t file Office bình th ng.ả ộ ườ
Nh m i khi, hãy đ m b o b n luôn c p nh t h th ng c a mình và cân ư ọ ả ả ạ ậ ậ ệ ố ủ
nh c đ u t vào m t ph n m m di t virus có ch t l ng. Đi u đó r t đángắ ầ ư ộ ầ ề ệ ấ ượ ề ấ
giá đ yấ
có thể bạn quan tâm
Phân tích và đánh giá thực trạng của vấn đề tạo động lực trong lao độn...
69
995
344
Kinh tế quản lý
69
(New)
Đề xuất phương pháp đánh giá hiệu quả tài chính, kinh tế xã hội của dự...
76
1.041
256
Kinh tế quản lý
76
(New)
Luận văn: Tình hình, lý luận chung và một số phương pháp nhằm đẩy nhan...
34
801
336
Kinh tế - Thương mại
34
(New)
Sử dụng một số phương pháp khác nhau nhằm tăng sinh khối tảo SPIRULINA...
83
657
327
Khoa học tự nhiên
83
(New)
Luận văn: Công Ty TNHH VKX và một số giải pháp nhằm hoàn thiện công tá...
111
921
361
Kinh tế quản lý
111
(New)
GIẢI PHÁP NHẰM NÂNG CAO HIỆU QUẢ CỦA CÔNG TÁC ĐÁNH GIÁ THỰC HIỆN CÔNG...
67
786
346
Kinh tế quản lý
67
(New)
đề tài: Thực trạng, tình hình quản lý, đánh giá hiệu quả công tác giao...
53
772
371
Kinh tế quản lý
53
(New)
Phân tích, đánh giá thực trạng, và đưa ra một số giải pháp nhằm nâng c...
92
730
320
Kinh tế quản lý
92
(New)
thông tin tài liệu
Theo thời gian, phần mềm độc hại đã trở thành các mô-đun. Một số biến thể phần mềm độc hại có thể sử dụng các mô-đun khác nhau để thay đổi cách chúng ảnh hưởng đến hệ thống mục tiêu. Vậy modular malware là gì và nó hoạt động như thế nào? Hãy cùng tìm hiểu qua bài viết sau đây!
Mở rộng để xem thêm
từ khóa liên quan
tài liệu mới trong mục này
tài liệu hot trong mục này
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
xem nhiều trong tuần
Giáo trình Quản trị học của Đại học kinh tế quốc dân
4 đề thi học sinh giỏi Toán lớp 2, có đáp án kèm theo
Luận văn về các tác nhân ảnh hưởng đến kết quả học tập của sinh viên chính quy trường Đại Học Kinh Tế- TP HCM
Mẫu slide thuyết trình về Golf
Bài tập ôn tập cuối tuần lớp 2: Tuần 21
Bài tập ôn tập cuối tuần lớp 3: Tuần 21
yêu cầu tài liệu
Giúp bạn tìm tài liệu chưa có
×
