Bắt kịp malware cao cấp?


Bảo vệ hệ thống trước “cặp bạn tâm giao quỷ quyệt” worm và virus đòi hỏi phải kiểm tra kỹ càng ổ đĩa.

Các doanh nghiệp vẫn đang tìm kiếm cách thức hiệu quả hơn trong trận chiến trước malware như virus, Trojan và bot. Đáng tiếc, lập trình viên “mũ đen” vẫn tiếp tục không ngừng pha chế thêm nhiều mã mới nguy hiểm. Do đó các công ty cũng cần update thêm nhiều vũ khí bảo mật và kế hoạch phòng chống bảo vệ mới.

Virus thường được chỉnh sửa từ các mã host hợp pháp và phát tán qua e-mail hay tin nhắn tức thời. Chúng khó viết hơn worm và Trojan, vì viết ra được mã virus là phải đảm bảo có sức phá hoại khiến các file chỉnh sửa mới không bị phá hoại.

Bắt kịp malware cao cấp?Microsoft Windows và Windows File Protection (được giới thiệu lần đầu tiên với tên gọi System File Protection trong Windows Me) bảo vệ được khoảng 99% file hệ thống mặc định trước các chỉnh sửa không rõ nguồn gốc. Nếu một virus chỉnh sửa file đưa ra, Windows sẽ thay thế bản copy đã sửa bằng một bản copy lành lặn trong một vài giây sau đó.

Windows Resource Protection sắp tới của Windows Vista thậm chí còn được nâng cấp chức năng tốt hơn, bảo vệ được nhiều file hơn và ngăn chặn các chỉnh sửa ngay từ ban đầu. Đối phó với biện pháp này, hầu hết chương trình malware ngày nay tự tạo ra file mới trong hoạt động phá hoại của mình.

Muốn loại bỏ virus đòi hỏi phải xoá sạch từng con từ các file đã bị nhiễm độc, thường khó hơn là chỉ cần phát hiện ra chúng như các chương trình anti-viurus thông thường vẫn làm.

Còn với worm, bot, spyware, và Trojan thì lại khác. Đơn giản bạn chỉ cần xác định và loại bỏ các file nhiễm độc độc lập mới. Tôi thường xuyên sử dụng chức năng Autorun của Sysinternals hay SilentRunner.vbs để xác định vị trí và kiểu chương trình không rõ nguồn gốc. Trong vòng nửa thế kỷ trước, với hầu hết virus đã biết, việc loại bỏ malware trở nên dễ dàng, trừ phi máy tính bị tấn công bởi một chương trình rootkit.

Nhưng bây giờ, một loạt cặp sâu mới xuất hiện làm phức tạp thêm quá trình xác định, như Downloader.Agent.awf. Được biết đến giống kiểu spawner hay twin, các cặp sâu (và virus) này sẽ chỉnh sửa môi trường của máy tính bị nhiễm độc. Khi hệ thống cố gắng thực thi một file hợp pháp, file độc hại sẽ tranh chạy đầu tiên.

Sau khi thực thi, chương trình malware Download.Agent.awf đọc mã đăng ký HKLM (hay HKCU) /Run của máy tính bị nhiễm độc để xác định các chương trình tự động cài đặt trước đó. Rồi copy chương trình thực thi nguyên gốc sang một khu vực mới và thay thế file ban đầu với file copy đặt lại tên của sâu. Khi máy tính thực thi khoá đăng ký /Run, nó sẽ chạy cặp chương trình thay thế, sau đó mới tiếp tục đến chương trình nguyên gốc ban đầu.

Bắt kịp malware cao cấp?Điều này khiến chương trình dò tìm và loại bỏ trở nên phức tạp. Các sâu sẽ xuất hiện như đã được biết từ trước hoặc như một chương trình thực thi cài đặt sẵn được nhận ra một cách phổ biến. Vì thế khi tìm kiếm các mã độc hại, bạn không thể tin tưởng đơn giản vào tên file và khu vực lưu trữ. Bạn phải kiểm chứng từng hàm băm toàn vẹn trong file trước một bản copy vô hại hoặc một giá trị đã biết.

Với sự tái xuất hiện của các cặp malware và mối đe doạ ngày càng tăng từ các Trojan rootkit, các nhân viên điều tra pháp lý cần xem xét kỹ máy tính nhiễm độc đáng ngờ với phương thức out-of-band (như boot mở rộng chẳng hạn) và kiểm chứng tính toàn vẹn của tất cả các chương trình cài đặt.

Để được trung thực hơn, bất kỳ chương trình bảo mật máy tính cá nhân nào cũng thực sự nên có phương án dự phòng mở rộng kèm theo. Nhưng khi hầu hết malware không làm được điều này, thật dễ dàng trở nên lười biếng với các shorcut.

Tôi thường sử dụng đĩa boot Linux (như Live distros) để thực hiện các cuộc kiểm tra out-of-band. Đĩa boot yêu thích nhất hiện nay của tôi là Live distros, dành cho các chuyên gia phân tích pháp lý là Ubuntu, Knoppix, và BackTrack.

Nhưng Linux Live distros không thể chạy phần mềm Windows 32-bit dùng để kiểm tra tính pháp lý của một máy tính Windows. Cũng như thế, mặc dù chúng có thể thường xuyên đọc các phần vùng NTFS, nhưng hầu hết lại không thể ghi được (như loại bỏ một chương trình malware, ngắt hoạt động của một dịch vụ hay cơ chế tự động hoá…). Thậm chí chúng không hiểu nhiều thành phần mở rộng của Windows (như EFS, Compression,…). Trong nhiều trường hợp, nếu muốn boot nhanh một shell Windows 32-bit out-of-band để làm một số việc có phần hơi gian lận thì rất khó.

Khách hàng doanh nghiệp của Microsoft với cơ chế tái bảo hiểm phần mềm đã có Windows Preinstallation Environment (WinPE) từ Windows XP. Mục đích ban đầu của chương trình này là hỗ trợ cài đặt nhanh chóng hệ điều hành. WinPE và giao diện “dòng lệnh” trở thành người trong cuộc thú vị với hình thức kiểm tra out-of-band trong các hệ thống bị nhiễm độc. Windows Vista có WinPE 2.0, thành viên mở rộng của gia đình WinPE với giao diện GUI Windows 32 bit khá đẹp, hỗ trợ Windows API và cơ chế đọc, ghi NTFS, cơ chế đăng nhập mạng, điều khiển ổ, có thể chạy trên hầu hết chương trình Windows. Đáng tiếc các tính năng mở rộng đó chỉ có ở Windows Vista.

Hiện nay xuất hiện một sản phẩm tốt hơn có tên BartPE. BartPE Builder có thể giúp bạn tạo toàn bộ ảnh boot Windows out-of-band. Khi cài đặt, chương trình sẽ tìm kiếm ổ cứng của bạn trước để cài đặt file. Mỗi lần tìm chương trình sẽ dùng chúng để xây dựng một ảnh boot mới. BartPE Builder có thể tạo một ảnh ISO hoặc lấy trực tiếp ảnh vào đĩa CD hoặc DVD.

Đó là một phiên bản “yếu” toàn bộ của Windows. Mặc dù chỉ đến trước khi cài đặt với một nhóm chương trình kiểm tra (gọi là plug-in) nhưng bạn có thể bổ sung bất kỳ tính hợp pháp mới nhất nào hoặc bổ sung chương trình kiểm tra mà bạn thích. Ảnh BartPE của Chris, người hỗ trợ tác giả bài viết này có tới 13 sản phẩm antivirus được cài đặt, 6 chương trình anti-spyware và 20 bộ kiểm tra tính toàn vẹn, cả chương trình kiểm tra rootkit RootkitRevealer và Blacklight cùng gần 100 chương trình khác. Khi bạn cần kiểm tra tính hợp pháp của một hệ thống, bạn có thể khởi động đĩa CD BartPE tùy chọn và tất cả mọi thứ bạn cần đều nằm trong một menu GUI.. Bạn có thể tự lập ảnh BartPE tuỳ chọn riêng với các chức năng hữu ích nhất.

Tuy nhiên khi làm điều này, bạn sẽ thấy việc kiểm tra file đơn giản theo kiểu auto-run lại ít tính tin cậy hơn. Hãy cân nhắc sử dụng BartPE để xây dựng cơ chế kiểm tra Windows toolkit cuối cùng cho bạn.

Nguồn: Internet

Có thể bạn quan tâm

Để lại một trả lời

Địa chỉ email của bạn sẽ không được công bố.