Cảnh báo mã độc tống tiền

1
257

Đặc biệt nguy hiểm là nhiễm loại mã độc tống tiền. Loại mã độc này tìm cách xâm nhập vào thiết bị của người dùng và mã hoá dữ liệu trên đó, sau đó buộc nạn nhân phải nộp tiền chuộc để …

MÃ ĐỘC NGUY CƠ VÀ THÁCH THỨC

Việt Nam nằm trong nhóm các quốc gia có số người dùng bị mã độc tấn công cao, đặc biệt là tấn công đánh cắp tiền trong tài khoản di động và ngân hàng điện tử. Trong bài viết này chúng tôi phân tích các lĩnh vực mà mã độc đang nhắm tới, cũng như các kỹ thuật mà mã độc đang sử dụng để tấn công người dùng, quan trọng hơn là đưa ra một cái nhìn tổng quát cho người dùng để hạn chế sự lây lan của mã độc.

I. Giới thiệu

Trong thời gian vừa qua hàng loạt điện thoại thông minh, máy tính tại Việt Nam và rất nhiều các quốc gia bị nhiễm mã độc.

baocao
Hình 1.1 Thông kê số lượng mã độc Q1-2015

Đặc biệt nguy hiểm là nhiễm loại mã độc tống tiền. Loại mã độc này tìm cách xâm nhập vào thiết bị của người dùng và mã hoá dữ liệu trên đó, sau đó buộc nạn nhân phải nộp tiền chuộc để nhận lại dữ liệu đã bị mã hoá.
Tại sao mã độc lại nguy hiểm và gia tăng đột biến như vậy ?, Phần tiếp theo của bài viết sẽ giúp chúng ta có cái nhìn rõ hơn về mã độc.

II. Mã độc

2.1. Mã độc là gì ?
Khởi phát từ trò chơi Core War , khái niệm “mã độc” (harmful code, hoặc malicious) dần dần được hình thành và phát triển như vũ bão.
Có thể định nghĩa cấu trúc mã độc cơ bản như sau:

– Harmful code = malware + trojan + computer virus
– Malware = adware + spyware + pornware + riskware
– Trojan = germs + dropper + injector + rootkit
– Rootkit = keylogger + sniffer + filehooker  + backdoor  + constructor
– Computer virus = boot virus + file virus + macro virus + worm
– File virus = com virus + exe virus
– Macro virus = doc virus + xls virus + ppt virus
– Worm = intruder + dropper + injector
Name % of attacks *
1 DangerousObject.Multi.Generic 10.90%
2 AdWare.AndroidOS.Viser.a 9.20%
3 Trojan-SMS.AndroidOS.Podec.a 7.92%
4 RiskTool.AndroidOS.MimobSMS.a 7.82%
5 Trojan-SMS.AndroidOS.OpFake.a 6.44%
6 Trojan.AndroidOS.Mobtes.b 6.09%
7 Adware.AndroidOS.MobiDash.a 5.96%
8 Exploit.AndroidOS.Lotoor.be 4.84%
9 RiskTool.AndroidOS.SMSreg.gc 4.42%
10 AdWare.AndroidOS.Xynyin.a 3.31%
11 AdWare.AndroidOS.Ganlet.a 2.63%
12 Exploit.AndroidOS.Lotoor.a 2.19%
13 AdWare.AndroidOS.Dowgin.l 2.16%
14 Trojan-SMS.AndroidOS.Stealer.a 2.08%
15 AdWare.AndroidOS.Kirko.a 2.04%
16 Trojan.AndroidOS.Rootnik.a 1.82%
17 Trojan.AndroidOS.Pawen.a 1.81%
18 Trojan-SMS.AndroidOS.Gudex.f 1.75%
19 RiskTool.AndroidOS.SMSreg.dd 1.69%
20 AdWare.AndroidOS.Kemoge.a 1.52%
Bảng 2.1 Top 20 malware Mobile nguy hiểm nhất

2.2. Cơ chế hoạt động và lây nhiễm

Malware gia tăng sức mạnh; các malware luôn cập nhật các kỹ thuật và công nghệ mới, từ kỹ thuật tấn công cho đến cách thức lây nhiễm và ẩn mình, qua mặt các đội ngũ làm an ninh mạng, dưới đây là một trong nhưng kỹ thuật
–    Trojan-Banker.AndroidOS.Binka.d, một Trojan ngân hàng đã tiến hóa. Bây giờ nó có thể “lắng nghe” các nạn nhân của nó. Âm thanh được ghi lại bằng cách sử dụng microphone trên thiết bị của nạn nhân và ghi vào một tập tin sau đó được chuyển đến máy chủ của tội phạm mạng.
–    Một kỹ thuật dựa trên các ứng dụng vá lỗi được nhúng mã độc, đây là một trong những phương pháp chính được sử dụng để phân phối Trojans. Ví dụ, Trojan-SMS.AndroidOS.Chyapo.a đã được nhúng vào trong các ứng dụng miễn phí Unity Launcher. Sự khác biệt giữa các ứng dụng sạch và độc hại, khác nhau bởi một yêu cầu cho phép mới – các ứng dụng độc hại yêu cầu truy cập đến việc xử lý tin nhắn SMS. Một điều kỳ lạ về Trojan này là máy chủ ra lệnh và điều khiển của nó được lưu trữ trên sites.google.com.
–    Các nhà phát triển của Podec, một Trojan SMS, đã làm chủ một kỹ thuật phân phối mới – thông qua các mạng xã hội VKontakte . Một tập tin độc hại được tải lên máy chủ lưu trữ nội dung của mạng xã hội phổ biến. Các Trojan lọt vào Top Ba chương trình điện thoại di động độc hại dựa trên số lượng người dùng bị tấn công.
–    Malware có thể chủ động chống lại các giải pháp an ninh không phải là một công nghệ mới, nhưng nó rất phổ biến. Trojan-Banker.AndroidOS.Svpeng.f, một Trojan ngân hàng phát hiện trong Q1 2015, đã cố gắng để loại bỏ các ứng dụng của ba nhà cung cấp chống virus là Avast, Eset, và DrWeb…”
Sơ đồ lây nhiễm Ransomware; một loại mã độc tống tiền người dùng bằng cách xâm nhập vào máy tính, điện thoại thông minh và mã hoá dữ liệu của nạn nhân, buộc họ phải nộp tiền chuộc để nhận lại dữ liệu đã bị mã hoá.
madoclaylan
Hình 2.1 Mô hình lây nhiễm của mã độc Ransomware

2.3. Phân loại và mức độ nguy hiểm 

2.3.1. Mối đe dọa với smartphone
Phần mềm mã độc di động đang phát triển theo hướng tiền tệ hóa – với những kẻ viết malware chúng cố gắng để tiếp cận tiền và dữ liệu bằng cách sử dụng một loạt các kỹ thuật.

Trong quý 1 năm 2015, Kaspersky Lab sản phẩm an ninh điện thoại di động phát hiện 103.072 chương trình độc hại di động mới, tăng 3,3 lần vào Q4 năm 2014.

Số lượng của các gói cài đặt phát hiện là 147.835 – điều này là 2,3 lần so với quý trước.

image006
Hình 2.2 Các loại malware Mobile mới xuất hiện trong Q1 2015

2.3.2. Mối đe dọa với Ngân hàng

Ngày càng có nhiều Trojans SMS được tăng cường với các tính năng cho phép chúng tấn công các tài khoản ngân hàng của nạn nhân.

Ví dụ:  Trojan-SMS.AndroidOS.OpFake.cc,  bây giờ có thể tấn công ít nhất 29 ngân hàng, trung tâm tài chính.
Những kẻ viết malware cũng đang bắt đầu tích hợp chức năng ransomware vào Trojans SMS của họ. Ví dụ, để có được dữ liệu thẻ ngân hàng của nạn nhân, Trojan-SMS.AndroidOS.FakeInst.ep sử dụng kỹ thuật đặc trưng của chương trình ransomware: cửa sổ mở ra bởi các phần mềm độc hại không thể đóng mà không cần nhập dữ liệu.

Trong quý 1 năm 2015, phát hiện 1.527 Trojans ngân hàng giảm 4,4 lần so với quý trước.

image007
Hình 2.3 Số Trojans ngân hàng được phát hiện (Q1 2014 – Q1 2015)
STT Nước % Các cuộc tấn công
1 Nga 41,92%
2 Ấn Độ 7.55%
3 Đức 4.37%
4 Brazil 3.20%
5 Iran 3.12%
6 Kazakhstan 2.88%
7 Mỹ 2.84%
8 Ukraina 2.53%
9 Malaysia 2.05%
10 Việt Nam 1,87%
Bảng 2.2 Top 10 quốc gia bị tấn công

2.3.3. Mối đe dọa trên các website

Nhiều trang web bị hack tấn công, sau đó nhúng mã độc vào trang web khi người dùng truy cập vào sẽ bị nhiễm mã độc và bị chiếm quyền điều khiển.

image009
Hình 2.3  Số lượng máy tính bị nhiễm malware trong Q1 2015

Danh sách các quốc gia phải đối mặt với nguy cơ lây nhiễm cao nhất

Stt Country* % of unique users **
1 Vietnam 60.68%
2 Bangladesh 60.20%
3 Mongolia 57.28%
4 Yemen 55.91%
5 Somalia 55.64%
6 Nepal 55.01%
7 Afghanistan 54.91%
8 Algeria 54.83%
9 Iraq 54.38%
10 Cambodia 52.70%
11 Laos 52.54%
12 Armenia 52.44%
13 Pakistan 51.95%
14 Kazakhstan 51.54%
15 Ruanda 51.36%
16 Ethiopia 50.93%
17 Egypt 50.60%
18 Syria 50.11%
19 India 50.00%
20 Tajikistan 49.80%
Bảng 2.3 Top 20 quốc gia  ở mức nguy hiểm nhất

2.3.4. Mối đe dọa đến từ các dữ liệu đa phương tiện

Mã độc được đính kèm trong các tập tin văn bản; word, excel, pdf. Và được gởi đến cho các nạn nhân thông qua email hoặc các link hấp dẫn.

image012

Hình 2.4  Top 10 mã độc được đính kèm trong email  Q1 2015

Bức ảnh được nhúng một loại mã độc vào bên trong và chuyển bức ảnh đến mục tiêu cần tấn công. Cách thức tấn công này an toàn và khó nhận biết hơn so với phương thức tấn công bằng cách nhúng mã độc vào email hoặc PDF đang được sử dụng phổ biến hiện nay.

3. Giải pháp phòng chống

3.1. Bỏ ngay những thư rác hay email đáng nghi

Người dùng cần nhận biết các email nào là nguy hiểm. Một số email trông có vẻ thật nhưng “thận trọng là không thừa”, bạn luôn phải kiểm tra địa chỉ người gởi, tiêu đề và nội dung trong email có gì đủ tin cậy hay không.
image014
Hình 3.1  Mã độc được đính kèm trong email
Tránh các email “giật gân” nhằm đánh vào tâm lý người đọc vì hacker thường tận dụng những tin tức đang gây “xôn xao dư luận”. Chẳng hạn trong năm 2014 đã có những vụ tin tặc tận dụng những tin tức về tai nạn máy bay của Hãng Malaysia Airlines MH370 và MH17 hay sự kiện ra mắt iPhone 6. Đặc biệt gần đây vụ “Minh Béo bị bắt vì quấy rối tình dục trẻ em / Minh Béo được thông báo đã bị bắt ở Mỹ″(theo vnexpress.net),…cũng bị tin tặc lợi dụng để phát tán tin rác, mã độc.

3.2. Tuân thủ quy tắc 3-2-1 của các chuyên gia

Trend Micro đã khuyến cáo người dùng phải thường xuyên sao lưu dữ liệu của mình. Trong đó có nguyên tác 3-2-1 là có 3 bản sao, hai phương tiện lưu trữ khác nhau và một nơi lưu trữ tách biệt.
– Cụ thể, người dùng có thể sao lưu dữ liệu bằng cách chép ra các ổ cứng ngoài hoặc đưa chúng lên “mây” như các công cụ lưu trữ là Google Drive, Microsoft OneDrive, Dropbox…
– Thường xuyên cập nhật bản lưu mới cho dữ liệu quan trọng, không chép đè lên mà tạo các bản sao để đối chiếu thay đổi khi cần..

3.3. Nên dùng phần mềm Internet Security của các hãng bảo mật uy tín

Các chương trình bảo mật luôn cần thiết đối với người dùng máy tính. Nên chọn những phiên bản có tính năng cao cấp như phần mềm bảo mật phiên bản Internet Security có các tính năng như tường lửa, lọc email rác… để bảo vệ bạn tốt nhất khi sử dụng Internet hay giao dịch trực tuyến.
Chú ý những thông báo từ phần mềm bảo mật khi phát hiện những tập tin đáng nghi.

3.4. Cần khuyến khích sản phẩm ATTT nội

Đáng chú ý, 6 dòng phần mềm độc hại hoành hành phổ biến nhất tại Việt Nam lại không góp mặt trong danh sách 10 dòng maware phổ biến trên thế giới. “Đây là một đặc điểm riêng của Việt Nam, không giống các quốc gia khác. Vì vậy, cần tập trung đầu tư nghiên cứu và triển khai các giải pháp trong nước nhằm phòng, chống các phần mềm độc hại này”

Kết luận

Trong bài viết này chúng tôi đã cung cấp những cái nhìn khái quát về mã độc, sự tiến hóa của chúng. Các số liệu cho thấy tình hình mã độc ở Việt Nam rất đáng báo động, nếu chúng ta không sớm có những biện pháp nâng cao nhận thức của người dùng, cũng như các kịch bản để phản ứng lại mã độc thì hậu quả rất khó để có thể hình dung được.

Tài liệu tham khảo

[1] AMSA , Dangerous, Hazardous and Harmful Cargoes,  Handbook Second Edition July 2011.
[2] Ed Skoudis & Lenny Zeltser,Fighting Malicious Code,Paperback – November 17, 2003.
[3] Michael Sikorski, Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software, . Paperback – March 3, 2012
[4] Eldad Eilam, Reversing: Secrets of  Reverse Engineering, Wiley Publishing Inc.
[5] https://securelist.com
[6] http://vn.trendmicro.com/vn/security-intelligence/research-and-analysis/index.html#threat-reports
[7] http://www.trendmicro.com/vinfo/us/threat-encyclopedia/vulnerability/6859/june-2015-microsoft-releases-8-security-advisories

1 COMMENT

  1. This website was… how do you say it? Relevant!! Finally I’ve found something that helped
    me. Thanks a lot!

LEAVE A REPLY