Giải ngố Malware – Phần 4: Điều gì khiến Computer Worm đặc biệt?

October 29, 2020 Leave a comment

Kết thúc nội dung Phần 3, tôi tạm thời khóa sổ với đám Computer Virus để chuyển hướng sang một nhánh khác của Malware đó là Computer Worm. Trong kỳ này tôi sẽ tìm hiểu những điểm khiến Worm khác biệt với người anh em Virus, cơ chế lây nhiễm, phân loại và một số đại diện ưu tú trong cái nhánh Malware này.

Lưu ý: Trong các mục bên dưới tôi dùng từ WormVirus thay cho Computer WormComputer Virus để ngắn gọn.

#1 Worm và Virus khác nhau thế nào

Trước khi so sánh với Virus, hiển nhiên tôi phải bốc cái định nghĩa Worm ra coi thử:

… A worm is a form of malware (malicious software) that operates as a self-contained application and can transfer and copy itself from computer to computer. It’s this ability to operate autonomously, without the need for a host file or to hijack code on the host computer, that distinguishes worms from other forms of malware.…

À, vậy ra thứ khiến Worm đặc biệt là “ability to operate autonomously”, tức là kiểu “tự thụ” không cần bố con thằng nào support luôn. Nhưng mà thế này thôi chưa đã, tôi muốn biết cụ thể hơn WormVirus khác nhau như thế nào:

…The primary difference between a virus and a worm is that viruses must be triggered by the activation of their host; whereas worms are stand-alone malicious programs that can self-replicate and propagate independently as soon as they have breached the system. Worms do not require activation – or any human intervention – to execute or spread their code. Worms often exploit network configuration errors or security loopholes in the operating system (OS) or applications

Rồi, thêm một điểm đặc sắc nữa là Worm khai thác “network configuration errors or security loopholes in the operating system (OS) or applications”. Tôi tạm hiểu là khai thác các lỗi cấu hình mạng và lỗ hổng bảo mật trong hệ điều hành và ứng dụng. Như vậy, tôi nghĩ có thể tổng kết sơ bộ việc so sánh WormVirus như sau:

 

Loại Malware Có thể Không thể
Virus Ø  Chạy từ link, email hay ứng dụng độc hại

Ø  Truy cập và kiểm soát thiết bị

Ø  Thu thập thông tin để gửi về cho boss

 Ø  Lây nhiễm mà không có tác nhân kích hoạt

Ø  Tự động lây nhiễm qua mạng máy tính
Worm Ø  Lây nhiễm tự động qua mạng máy tính

Ø  Chạy mã độc trên máy tính để thực hiện các thay đổi

Ø  Gửi thông tinh về boss hoặc đến các nạn nhân khác

 Ø  Lây nhiễm xuyên qua các khu vực mạng chia sẻ có bảo mật tốt

Ø  Đánh bại được tường lửa cấu hình chuẩn cmn mực

Ø  Lây nhiễm mà không cần kết nối mạng

#2 Cơ chế lây nhiễm của Worm

Với thông tin cơ bản về cái đặc tính nổi bật của Worm nói trên, tôi tiếp tục lọ mọ nghiên cứu xem phương án tác chiến của đối tượng này như thế nào. Để câu chuyện sinh động và rõ ràng, tôi nghĩ nên nghiên cứu với tình huống người thật việc thật cho dễ “ép-phê”. Rảo vài vòng trên Internet, tôi thấy một nhân vật có tiếng tăm gần đây (2017) là NotPetya:

NotPetya Worm được cho là ra mắt công chúng lần đầu từ 1 backdoor trong M.E.Doc (một phần mềm kế toán phổ biến của Ukraine) do state-sponsored hackers của Nga sáng tác. Một khi được cài đặt vào máy người dùng, như mọi người anh em khác, con Worm này bắt đầu “tự sinh sản” và tìm cách kết nối các nạn nhân tiếp theo có liên kết với host hiện tại. Với NotPetya Worm, “network configuration errors or security loopholes in the operating system (OS) or applications” EternalBlueEternalRomance, 2 phương án khai thác do NSA sáng tác (nhưng éo hiểu vì sao lại đến tay hacker Nga). Ngoài ra, NotPetya dùng Mimikatz để vượt vòng kềm tỏa của corporate networks để tìm kiếm thêm các nạn nhân bên ngoài.

Cơ chế lây nhiễm của NotPetya Worm
Cơ chế lây nhiễm của NotPetya Worm

Nguồn: www.microsoft.com

Cái vụ án này có vẻ rất khớp với cái định nghĩa ở đầu bài nhưng tôi thấy cần coi kỹ mấy điểm để làm rõ:

  • State-sponsored hackers: Tôi tra thử thì đây là dạng hacker chuyên nghiệp ăn cơm nhà nước nên có khả năng dồn damage chơi mấy phi vụ hack hạng nặng kiểu như Advanced Persistent Threat (APT) – tức là dùng toàn combo kỹ thuật cao theo chiến dịch dài hơi;
  • EternalBlue và EternalRomance: Tôi đọc thấy đây là 2 dạng khai thác phá vỡ khả năng bảo mật của Microsoft Networking Security Protocol. Và dù 2 lỗ hổng này đã được chính chủ Microsoft vá từ lâu (trước 2017) nhưng như mọi khi, còn cả đống hệ thống thực tế vẫn “quên” chưa cập nhật bản vá;
  • Mimikatz là một công cụ có thể khai thác thu thập thông tin username/password ẩn trong bộ nhớ của Windows.

#3 Các thể loại nhà Worm 

Dù thực tế có hàng đống loại Worm đang tung hoành (cũng như đang trong quá trình chế tác) nhưng tôi thấy nhìn chung có thể phân loại Worm thành 5 nhóm chính dựa trên phương án phát tán như sau:

Worm types
Worm types

Tôi đào bới thông tin với Google thì có thông tin tóm lược như sau.

#3.1 Internet Worms

Dạng này có thể tấn công các website bảo mật kém. Sau khi lây nhiễm, chúng có thể sinh sôi nảy nở trên bất kỳ máy nào có truy cập đến website bị nhiễm cũng như các kết nối LAN của nạn nhân. Như vậy có thể thấy Internet chính là phương tiện để con hàng này tung hoành.

#3.2 Email Worms

Email Worms hiển nhiên chủ yếu phát tán qua các file đính kèm của email chủ yếu với dạng “double extensions” (ví dụ như .mp4.exe hay .avi.exe). Với các đại ca tắt hiển thị file extension mà còn hay ẩu thì nhu cầu “mở coi thử” mấy file kiểu này thật sự rất khó cưỡng lại. Vào thời điểm nạn nhân mở file đính kèm, bản copy của file bị lây nhiễm sẽ tự động gửi đến các địa chỉ trong contact list của nạn nhân.

Trong một diễn biến khác, email có thể không có file đính kèm nhưng nội dung lại khuyến mãi cho người đọc một cái link rút gọn đầy cám dỗ (dù người đọc éo biết nó dẫn đến đâu). Một khi nạn nhân nhắm mắt hả họng click vào link thì khả năng cao sẽ bị dẫn đến một website đã bị lây nhiễm để tự động load về malware.

#3.3 Instant Messaging Worms

Loại khá tương đồng với Email Worm nhưng file hay link đính kèm gửi qua Instant Messaging như Messenger, WhatsApp, Skype. Thông thường nó sẽ hay kèm theo mấy câu mồi chài đầy kích thích kiểu như “Coi cái này chưa ku? Hài vl!”. Quá trình tiếp theo cũng tương tự như Email Worm, contacts list của nạn nhận sẽ bị dội bom với tin nhắn độc hại này.

#3.4 File-Sharing Worms

Cũng lại giống dạng EmailInstant Mesaging Worm (nhưng con này lây qua dạng chia sẻ file), các file chia sẻ cũng có thể chơi kiểu dạng “double extensions”. Khi nạn nhân mở lên cũng là lúc dòng họ nhà worm lúc nhúc mò vào như đi trẩy hội. Và hiển nhiên sau đó thì hiện trường cũng bấy nhầy như mấy thể loại Worm khác.

#3.5 IRC Worms

Trước hết Internet Relay Chat (IRC) là một dạng ứng dụng nhắn tin hiện “có vẻ” đã lỗi thời với phần lớn người dùng (nhưng với một phận không nhỏ mấy ông attacker thì đây vẫn là kênh liên lạc quan trọng). Với dạng này, Worm cũng phát tán theo kiểu đính kèm hoặc link (nhưng file đính kèm sẽ khó triển với IRC hơn). Kết quả thì nó cũng công phá vô contact list của nạn nhân giống như con hàng Instant Messaging Worms.

#4 Đại lộ danh vọng của Computer Worm

Điểm danh lại trang sử hào hùng của dòng họ nhà Worm, tôi thấy người ta tổng kết một số chiến tướng với bảng thành tích đập phá nức tiếng bao gồm:

#4.1 Stuxnet

Stuxnet lần đầu ra mắt công chúng năm 2010 với mục tiêu là triệt hạ các cơ sở hạt nhân của Iran. Nghe đồn là đại ca này đã phá một cơ số không nhỏ các máy ly tâm tại các cơ sở làm giàu uranium. Theo “nhật ký công tác” thì nạn nhân đầu tiên của Stuxnet là công ty Foolad Technic với phương tiện lây nhiễm là USB.

Stuxnet worm
Stuxnet worm

Nguồn: www.kaspersky.com

#4.2 MyDoom

Năm 2004, MyDoom nổi lên như một ngôi sao sáng với phương án phát tán qua email và mạng chia sẻ ngang hàng P2P. Con Worm này được viết bắt ngôn ngữ C++ và được cho là được khai sinh trên đất Nga với khả năng tạo backdoor trong hệ điều hành của máy tính nạn nhân. MyDoom gây ra một cuộc tấn công Denial of Service – DoS (tấn công từ chối dịch vụ) với quá trình lây nhiễm kéo dài gần nửa đầu tháng 2, 2004 (sau đó cái backdoor vẫn tiếp tục hoạt động).

#4.3 Sasser

Sasser thì lại được cho là hàng thủ công mỹ nghệ đến từ Đức. Dù không gây ra tác động vật lý nhưng đây là nguồn cơn của các đợt tấn công DoS tiếp theo. Thông tin bên lề cho biết gần 1/3 bưu điện ở Đài Loan, 130 chi nhanh ngân hàng ở Phần Lan đã phải đóng cửa và nhiều chuyến bay và tàu hỏa đã phải hủy vì con Worm này.

Ok, thế là tôi đã xong chuyến “tàu nhanh” với cái nhánh Worm của Malware. Trước mắt tôi cũng sẽ tạm khóa sổ với đám Worm này để kỳ tới tiếp tục di chuyển sang nhánh Trojan. Khi nào có thời gian tôi sẽ quay lại đào bới kỹ hơn quá trình lây nhiễm và các kỹ thuật phòng chống.

Leave a Reply

Your email address will not be published. Required fields are marked *