NỘI DUNG
Sau một thời gian cắm đầu vô đám Cryptography, tôi thấy hình như căn bệnh tự kỷ của tôi bắt đầu trở nặng. Do vậy kỳ này tôi quyết định tạm xa rời cái đám hại não đó để tiếp cận với một đối tượng khác “thân thiện” với người dùng hơn đó là Malware. Với tinh thần đó, nội dung kỳ này chỉ mang tính chất “cưỡi ngựa xem hoa”, tức là tôi sẽ đi ở vòng rìa các nội dung tổng quát như khái niệm, phân loại, hoạt động,…của Malware mà không đi quá sâu vào vấn đề kỹ thuật.
Rồi, bắt đầu!
#1 Malware là gì?
Tất nhiên điều đầu tiên tôi tìm sẽ là định nghĩa về Malware. Để coi:
Malware là chữ viết tắt của Malicious Software tức là phần mềm độc hại được thiết kế với chủ đích gây hại cho người dùng. Đây là tên gọi chung cho các thể loại Virus, Worm, Trojan,…
Oh yeah! Đập phát ăn ngay. Tôi đã có câu trả lời cho câu hỏi “Malware có phải là Virus không?” ngay phát đầu tiên. Vậy Malware là tên gọi chung, còn Virus, Worm, Trojan hay gì đó là kiểu phân loại cụ thể của Malware thôi.
Đoạn trên còn có dòng “với chủ đích gây hại cho người dùng”, vẫn chưa rõ lắm, tôi tìm tiếp:
Malware có thể được phát triển nhằm thực hiện các mục tiêu:
- Chiếm quyền điều khiển thiết bị;
- Đánh cắp thông tin của người dùng;
- Phá hỏng hệ thống của người dùng;
- Biến thiết bị của người dùng thành tay sai cho attacker (botnet, spam,…);
- …
OK, tôi chưa biết Malware nó triển mấy cái trên thế nào nhưng tôi cũng hình dung sơ bộ vấn đề rồi. Đợt nào đọc báo tôi thấy có người bảo cameara an ninh bị hack thành Botnet gì đấy. Chắc là ý nói đám Malware này đây. Rồi, giờ để tôi coi bà con dòng họ nhà Malware có những ai đã.
#2 Kính thưa các thể loại Malware
Tôi tiếp tục:
Các thể loại Malware phổ biến hay gặp bao gồm:
- Viruses: Đây là cái tên quen thuộc nhất nên dễ bị nhầm là tên gọi chung, thực tế Virus là 1 dạng Malware;
- Worms: Có nhiều điểm tương đồng với Virus nhưng có thể tự tái tạo không cần host cũng như không cần trigger event;
- Trojans: Chương trình độc hại ẩn bên trong một chương trình thông thường (ví dụ chương trình diệt virus);
- Ransomware: Lây nhiễm và mã hóa dữ liệu của người dùng để đòi tiền chuộc cho key giải mã, thường là 1 dạng của Trojan. Ngôi sao đang lên gần đây là WannaCry Ransomware;
- Keyloggers: Ghi lại thao tác người dùng, đặc biệt là các thông tin nhạy cảm như mật khẩu để chuyển về cho attacker;
- Các thể loại khác: Adware, Spyware, …
Ai dà, hơi nhiều thông tin hơn tôi cần. Nhưng điểm ăn tiền là tôi đã có thể có có cái nhìn tổng thể về dòng họ Malware rồi. Vấn đề tiếp theo là đám Malware này lây nhiễm như thế nào.
#3 Malware có lây qua giọt bắn giống COVID-19 không?
Cho câu hỏi trên, đáp áp hiển nhiên là:
Như tôi đọc ở trên, đây là Malicious Software, tức là không có bà con xa gần gì với Covid-19 cả. Tôi cặm cụi tìm thông tin về phương thức làm ăn của Malware:
Malware có thể phát tán qua các phương tiện sau:
- Free software (ví dụ chương trình antivirus miễn phí, file crack);
- Removable media (ví dụ như USB, CD,…);
- Email communication (ví dụ như spam email);
- Fire sharing services (ví dụ GoogleDrive, OneDrive,…);
- …
Sau khi phát tán thành công, một số Malware chuẩn “cmn” mực có thể triển khai sử dụng Command-and-Control server (C2 server) để attacker có thể duy trì việc giao tiếp, kiểm soát và khai thác con bệnh. Ngoài ra, web proxy cũng có thể được sử dụng để ẩn các malicious traffic, source IP,…Nặng đô hơn, một số dạng Polymorphic Malware biến hình liên tục để vô hiệu hóa các Signature-based Detection Tool hay thậm chí sử dụng Anti-sandbox Techniques để biết khi nào đang trong tầm ngắm của điều tra viên mà án binh bất động cho đến tình hình dịu bớt mới hoạt động tiếp.
OK, tôi thấy cái đám phương tiện phát tán có vẻ dễ hiểu nhưng còn đám Command-and-Control server (C2 server), Polymorphic Malware, Signature-based Detection Tool, Anti-sandbox Techniques trong đoạn bên dưới hiện có vẻ hơi quá tầm của tôi rồi. Tôi ghi chú rồi quay lại sau vậy.
#4 Phòng Malware như nào?
Tiếp tục lục lạo với Google, tôi tìm thấy:
Một số giải pháp để hạn chế bị Malware cho ăn hành:
- Kiểm tra source và checksum của phần mềm trước khi cài đặt;
- Không tùy tiện mở link lạ, đặc biệt là những cái có tiêu đề dễ đi vào lòng người như “Cách nằm ngửa ở nhà trốn Covid-19 vẫn kiếm 1000 USD/ ngày”. Có thể kiểm tra link với công cụ hỗ trợ như Virus Total hay mở trong môi trường đã cô lập như máy ảo để kiểm tra;
- Cài đặt và sử dụng Antivirus tool, cập nhật và quét hệ thống định kỳ. Tuyệt đối không để tình cảm lấn át lý trí, cắm USB in hoặc sửa giùm file cho bà con dòng họ, bạn bè mà không quét virus. Đặc biệt cần cạch mặt các đối tượng hay sử dụng USB làm ổ cứng mà hay còn hay gạ gẫm đổi cắm vô máy chép file các kiểu (dạng này nếu quét Malware thì bạn có nước ngồi chờ mòn đít);
- Hạn chế tối đa việc tò mò mở thử Removable media lạ, đặc biệt là các kiểu “của rơi” ở quán café, sân bay,…(nếu không thể cưỡng lại được sự cám dỗ thì chịu khó mở trong môi trường đã cô lập);
- Bật và kiểm soát Firewall;
- Cập nhật hệ điều hành;
- Back up dữ liệu (Cái này tối quan trọng đối với Ransomware);
- …
Cái đệt, mới dòng đầu tiên tôi thấy bóng dáng của mình ngày xưa rồi. Tôi nhớ thời trẻ trâu năm nào hay đi tìm phần mềm và crack để cài (dù đôi khi chẳng biết dùng phần mềm đó để làm gì). Thời đó kiếm được crack là sướng run người, cứ chạy rồi nhấn next như điên chứ chẳng nhìn xem nó đang hỏi gì. Cũng may là giờ tôi không còn “thú vui tao nhã” này nữa chứ không cũng no đòn với Malware rồi. Cái vụ với link lạ, USB và antivirus tool tôi thấy cũng khá rõ ràng rồi. Còn cái đám Firewall, hệ điều hành và backup gì đấy thôi tôi để đó tính sau vậy.
#5 Lỡ dính Malware rồi thì tính sao?
Rồi, giờ đến đoạn ai cũng muốn né tránh đề cập. Đó là dính Malware rồi thì sao? Tôi lọ mò tìm tiếp:
Nếu do dòng đời xô đẩy hay một lí do nào đó, bạn bất chấp gia đình ngăn cấm để “đến được” với Malware thì có một số bước cơ bản cần xử lý như sau:
- Giám sát các hiện tượng bất thường như bất ngờ hết dung lượng đĩa, tốc độ chậm, treo máy, trình duyệt tự chuyển hướng… để xác nhận việc nhiễm Malware (nếu là Ransomware thì thường nó sẽ báo cho bạn chuẩn bị ngân lượng liền, bạn cứ yên tâm không sợ bỏ sót đâu nhé!);
- Với phương châm còn nước còn tát, dù khả năng cao máy bạn đã banh rồi nhưng thôi cứ kiếm một cái USB hoặc ổ cứng trống chép hết dữ liệu ra trước đi. Biết đâu sau đó có cao nhân giúp bạn gỡ gạc lại được một phần dữ liệu;
- Ngắt kết nối mạng để cô lập hết mấy con hàng đang làm mưa làm gió trong máy của bạn;
- Kiếm một máy khác (hoặc điện thoại) có kết nối internet để hỗ trợ bạn tìm kiếm thông tin (vì đoạn sau sẽ mệt mỏi lắm đấy!);
- Tìm kiếm thông tin cách khởi động con bệnh ở chế độ tối giản (kiểu như Windows Safe Mode) để hạn chế mấy thành phần lông gà lông vịt chạy lung tung khó kiểm soát;
- Tìm kiếm các công cụ cứu hộ chống Malware (càng nhiều tool càng tốt nhưng nhớ kiểm source để tránh vớ phải một con Malware khác) để quét toàn bộ hệ thống. Sau đó lần lượt sử dụng để xử lý con bệnh và nhớ lưu ý các kết quả phát hiện để tìm thêm thông tin (có thể có một số dạng trâu chó vẫn sống sót sau khi cài lại máy);
- Nếu tình hình khá hơn thì bạn tiếp tục cứu đám dữ liệu còn lại trong máy trước khi phục hồi. Còn nếu vẫn không có tiến triển gì thì bạn cần đập hết cài lại máy từ đầu thôi. Như nói trên, cần đặc biệt lưu ý thông tin có được từ tool chống Malware để biết được mức độ “đập” cần thiết. Tránh trường hợp cài phục hồi xong hết mới phát hiện con Malware vẫn còn ngồi đó nhìn bạn cười khinh bỉ.
Có thể bạn muốn xem thêm:
Kiểm tra file Integrity
https://dummytip.com/giai-ngo-cryptography-phan-2-dam-bao-integrity-voi-hashing-algorithm/
Kiểm tra signature file cài đặt
https://dummytip.com/giai-ngo-proxy-server-phan-6-tor-browser-kiem-tra-signature-file-cai-dat/
Ặc! Đọc thôi cũng thấy mệt rồi chứ nói chi làm. Tôi lưu cái này lại để dành đó thôi chứ hy vọng không bao giờ phải xài đến.
4 thoughts on “Giải ngố Malware – Phần 1: Malware có phải là Virus không?”