Phòng và chống phần mềm độc hại

14:05 | 10/03/2014

Ngày nay, các cuộc tấn công mạng ngày càng gia tăng và phức tạp khi hacker sử dụng phần mềm độc hại kết hợp tinh vi với kỹ nghệ xã hội. Bởi vậy, tháng 7/2013, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã công bố tài liệu “Hướng dẫn ngăn chặn và xử lý sự cố phần mềm độc hại cho máy tính” phiên bản 800-83 r1. Dưới đây sẽ giới thiệu một số nội dung trong phần đầu của bản Hướng dẫn này, bao gồm: Hình thức của phần mềm độc hại, các công cụ của kẻ tấn công và một số biện pháp phòng, chống mã độc của tổ chức.

Các loại  phần mềm độc hại
Phần mềm độc hại, còn có tên gọi khác là mã độc, được xác định là chương trình bất kỳ, được bí mật đưa vào một chương trình khác với mục đích làm tổn hại tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống dữ liệu, các ứng dụng hay hệ điều hành của nạn nhân. Phần mềm độc hại đã trở thành mối đe dọa bên ngoài lớn nhất đối với hầu hết các máy chủ, gây thiệt hại lớn, gây khó khăn và chi phí tốn kém trong phục hồi hệ thống, dữ liệu của các tổ chức. Các loại phần mềm độc hại phổ biến hiện nay gồm:
- Virus là phần mềm độc hại tự sao chép bằng cách chèn các bản sao của chính nó vào chương trình lưu trữ hoặc các tập tin dữ liệu. Virus thường được kích hoạt thông qua các tương tác của người dùng như là mở một tập tin hoặc chạy một chương trình. Virus được chia thành hai tiểu thể loại là: virus biên dịch và virus diễn dịch. Virus biên dịch (Compiled virus) được kích hoạt bởi một hệ điều hành, còn Virus diễn dịch (Interpreted virus) được khởi động bởi một ứng dụng.
- Worms (sâu máy tính) là một chương trình “đóng gói”, tự sao chép, có khả năng tự kích hoạt mà không cần sự can thiệp của người dùng,  được chia thành hai loại: Sâu dịch vụ mạng và sâu “gửi bưu phẩm”. Sâu dịch vụ mạng (Network Service Worms) lợi dụng các lỗ hổng trong dịch vụ mạng để phát tán chính nó và lây nhiễm sang các máy chủ khác. Sâu gửi bưu phẩm (Mass Mailing Worms) được phân phối bằng cách gửi như file đính kèm vào email hoặc các tin nhắn.
- Trojan Horses (mã độc Trojan) là chương trình không có khả năng sao chép, xuất hiện dường như là vô hại nhưng chúng được thiết kế để thực hiện một số hành động độc hại ẩn trên máy tính nạn nhân. Mã độc Trojan có khả năng thay thế các file hiện tại bằng phiên bản độc hại hoặc thêm các tệp độc hại mới cho máy chủ. Chúng còn có khả năng ăn cắp mật khẩu và các thông tin cá nhân nhạy cảm, theo dõi các hoạt động của người dùng… cung cấp về các máy chủ được điều khiển từ xa.
- Mã độc di động (Malicious mobile code - MMC) là phần mềm độc hại được truyền đi từ  máy chủ (được điều khiển từ xa) đến một máy chủ địa phương và sau đó thực hiện trên các máy chủ địa phương, bị vô tình hay cố ý tải vào máy tính hoặc thiết bị truyền thông khác của người dùng. Loại mã độc này có thể được truyền nhiễm thông qua các ứng dụng tương tác web, ngôn ngữ phổ biến cho mã độc di động bao gồm Java, ActiveX, JavaScript và VBScript.

Các công cụ của kẻ tấn công
Công cụ tấn công có thể được gửi đến máy tính qua các phần mềm độc hại, cho phép kẻ tấn công có thể truy cập các máy tính bị nhiễm mã độc, sử dụng dữ liệu được lưu giữ, hoặc khởi động các cuộc tấn công đã được cài sẵn. Các dạng công cụ tấn công phổ biến gồm:
- Backdoor là chương trình độc hại được thiết kế tuân thủ theo lệnh ở một số giao thức TCP hoặc UDP. Hầu hết các Backdoor cho phép kẻ tấn công thực hiện một tập hợp các hành động trên một máy chủ, như mua lại mật khẩu hoặc thực hiện các lệnh tùy ý. Mã độc này được cài đặt trên một máy chủ có tính năng cho phép kẻ tấn công truy cập từ xa vào máy tính và các dữ liệu khi cần thiết.
- Keystroke Logger là chương trình độc hại được thiết kế để theo dõi màn hình và ghi trộm thao tác bàn phím. Một số yêu cầu lấy dữ liệu từ máy tính của kẻ tấn công có thể được thực hiện trong lúc người truy cập chuyển dữ liệu sang các máy tính khác thông qua email hoặc các phương tiện khác.
- Rootkit  bao gồm các tập tin được cài đặt một cách độc hại và tàng hình trên máy tính nhằm thay đổi chức năng tiêu chuẩn đã định trước của chính máy tính đó. Rootkit thường tự thay đổi để che giấu sự tồn tại của nó, gây rất nhiều khó khăn cho việc xác định, tìm ra các Rootkit.
- Web Browser Plug-Ins là trình duyệt web cung cấp cách thức hiển thị cho một số loại nội dung hoặc thực hiện thông qua một trình duyệt web. Trình duyệt độc hại Web Plug-Ins có thể giám sát tất cả các thao tác sử dụng một trình duyệt.
-E-Mail Generators là một chương trình tạo email, có thể được sử dụng để tạo và gửi một lượng lớn email, chẳng hạn như phần mềm độc hại và thư rác đến các máy chủ khác mà không được phép hoặc người sử dụng không nhận biết được.
-Attacker Toolkits Kẻ tấn công sử dụng nhiều bộ công cụ có chứa các loại tiện ích khác nhau và các kịch bản có thể được sử dụng để thăm dò vào máy bị chủ tấn công, chẳng hạn như chặn bắt gói, quét cổng, bẻ mật khẩu, các chương trình và kịch bản tấn công khác.
Các bộ công cụ của kẻ tấn công có thể được phát hiện bởi phần mềm chống virus, tuy nhiên, chúng không có khả năng tự lây nhiễm mà dựa trên cơ chế tấn công của các phần mềm độc hại hoặc phần mềm khác để được cài đặt vào máy chủ mục tiêu.

Phòng - chống mã độc hại
Việc ngăn ngừa, phòng chống mã độc hại có thể dựa trên một số biện pháp sau:
Xây dựng chính sách bảo đảm an toàn:
Chính sách của các tổ chức cần giải quyết được vấn đề phòng, chống và xử lý các sự cố liên quan tới phần mềm độc hại. Nội dung của chính sách nên được sử dụng làm cơ sở cho những nỗ lực phòng - chống phần mềm độc hại một cách nhất quán và hiệu quả trong toàn bộ tổ chức. Chính sách phải mang tính tổng quát, có thể linh hoạt trong việc thực hiện chính sách và làm giảm nhu cầu cập nhật chính sách thường xuyên, nhưng cũng phải cụ thể để thực hiện mục đích và phạm vi của chính sách rõ ràng. Chính sách liên quan đến công tác phòng - chống phần mềm độc hại phổ biến bao gồm: 
- Yêu cầu quét phần mềm độc hại trên các phương tiện thông tin từ bên ngoài đưa vào tổ chức trước khi sử dụng chúng.
- Yêu cầu các tập tin đính kèm email phải được quét virus trước khi chúng được mở ra.
- Cấm gửi hoặc nhận một số loại tập tin giống như các tập tin .exe qua email.
- Hạn chế hoặc cấm sử dụng phần mềm không cần thiết, như các tin nhắn mang danh cá nhân và dịch vụ chia sẻ hồ sơ tức thời.
- Hạn chế việc sử dụng các phương tiện lưu trữ di động (các ổ đĩa flash…), đặc biệt là trên các máy chủ có nguy cơ lây nhiễm cao, các trạm truy cập mạng công cộng…. 
- Chỉ rõ các loại phần mềm phòng ngừa (chống virus, lọc nội dung) bắt buộc đối với từng loại máy tính (máy chủ email, máy chủ web, máy tính xách tay, điện thoại thông minh) và ứng dụng (ứng dụng email, trình duyệt web), cùng danh sách các yêu cầu nâng cao cho cấu hình và bảo trì phần mềm (như tần suất cập nhật phần mềm, tần suất và phạm vi quét máy chủ).
- Hạn chế hoặc cấm sử dụng thiết bị di động của tổ chức hoặc của cá nhân kết nối với mạng của tổ chức  cho việc truy cập từ xa.
Nâng cao nhận thức của người dùng
Các chương trình nâng cao nhận thức nên bao gồm hướng dẫn cho người dùng về cách phòng ngừa sự cố phần mềm độc hại để có thể góp phần làm giảm tần suất và mức độ nghiêm trọng của sự cố phần mềm độc hại. Chương trình nâng cao nhận thức của tổ chức nên bao gồm những yếu tố phòng ngừa sự cố phần mềm độc hại được nêu trong các chính sách và thủ tục của tổ chức. Một số nội dung thực tế cần tuân thủ như sau:
+ Không mở các email đáng ngờ hoặc file đính kèm email, kích chuột vào siêu liên kết nghi ngờ, hoặc truy cập các trang web có thể chứa nội dung độc hại. 
+ Không kích chuột vào trình duyệt web, cửa sổ popup nghi ngờ độc hại.
+ Không mở các tập tin với phần mở rộng như .Bat, .com, .exe, .pif, .vbs, thường có nhiều khả năng được liên kết với các phần mềm độc hại.
+ Không vô hiệu hóa các cơ chế kiểm soát an ninh, phần mềm độc hại (như phần mềm  chống virus, phần mềm lọc nội dung, tường lửa cá nhân).
+ Các Host bình thường không được sử dụng tài khoản cấp cho quản trị viên.
+ Không tải hoặc thực hiện các ứng dụng từ các nguồn không tin cậy.
Người dùng cũng cần biết về chính sách và thủ tục áp dụng để xử lý sự cố phần mềm độc hại, chẳng hạn như cách thức để xác định một máy chủ bị nhiễm phần mềm độc hại, cách báo cáo một nghi ngờ có sự cố, để hỗ trợ xử lý sự cố. Người sử dụng cũng cần được biết về cách thức thông báo sự cố phần mềm độc hại chính và đưa ra cách để xác minh tính xác thực của tất cả các thông báo. Ngoài ra, người sử dụng cần phải biết thực hiện một số thao tác khi có sự cố, chẳng hạn như ngắt kết nối máy chủ bị nhiễm phần mềm độc hại từ các mạng.
Đối phó với loại tấn công sử dụng kỹ nghệ xã hội
Mọi người dùng có thể nhận thức được vai trò của mình trong việc ngăn ngừa sự cố, nhằm tránh các loại tấn công dựa trên kỹ nghệ xã hội. Các khuyến nghị để tránh các cuộc tấn công lừa đảo và các hình thức kỹ nghệ xã hội bao gồm:
+ Không bao giờ trả lời email yêu cầu thông tin tài chính hoặc cá nhân. Thay vào đó, liên lạc với người hoặc tổ chức tại số điện thoại hoặc trang web hợp pháp. Không sử dụng thông tin liên hệ cung cấp trong email và không bấm vào bất kỳ file đính kèm hoặc các siêu liên kết trong email nghi ngờ.
+ Không cung cấp mật khẩu, mã PIN hoặc mã truy cập khác để đáp ứng với các email từ địa chỉ lạ hoặc cửa sổ mới. Chỉ nhập thông tin vào các trang web hoặc ứng dụng hợp pháp.
+ Không mở tập tin đính kèm email đáng ngờ, ngay cả khi chúng đến từ những người gửi đã quen biết. Nếu nhận được một tập tin đính kèm bất ngờ, cần liên hệ với người gửi (tốt nhất là bằng một phương pháp khác ngoài email, chẳng hạn như điện thoại) để xác nhận rằng tập tin đính kèm là hợp pháp.
+ Không trả lời bất kỳ email đáng ngờ hoặc từ địa chỉ lạ.
Trong Bản hướng dẫn, NIST cũng  khuyến cáo các tổ chức/doanh nghiệp cần xây dựng kế hoạch và thực hiện chương trình phòng ngừa sự cố từ phần mềm độc hại dựa trên phân tích các rủi ro theo hướng tổng hợp tất cả các cuộc tấn công đối với hệ thống mạng. Các biện pháp phòng ngừa phải khoa học, phù hợp với quy mô, cấu trúc mạng để bảo vệ hiệu quả an ninh mạng của tổ chức.