Bài 4: Malware Threats - Mối đe dọa từ Phần mềm độc hại

1. Tổng quan về Malware

Malware là gì?

Malware (Malicious Software) là phần mềm độc hại, hoạt động chống lại lợi ích của chủ sở hữu hoặc người dùng hệ thống.

NIST (SP 800-83) định nghĩa malware là:

“Một chương trình được chèn vào hệ thống, thường là một cách bí mật, với mục đích xâm phạm tính bảo mật (confidentiality), tính toàn vẹn (integrity), hoặc tính sẵn sàng (availability) của dữ liệu, ứng dụng, hoặc hệ điều hành của nạn nhân, hoặc gây phiền nhiễu hay làm gián đoạn nạn nhân.”

Malware xâm nhập vào hệ thống qua đâu?

Malware có thể xâm nhập qua rất nhiều con đường khác nhau:

Ứng dụng nhắn tin tức thời (Instant messenger)
Thiết bị lưu trữ di động (USB, ổ cứng ngoài…)
Lỗi trong trình duyệt và phần mềm email
Quản lý bản vá (patch) không an toàn
Website không tin cậy và freeware
Tải file từ Internet
File đính kèm trong email
Lan truyền qua mạng (network propagation)
Dịch vụ chia sẻ file (FTP, SMB)

Thống kê về Malware

Tổng số malware (tháng 9/2020): khoảng 1,1 tỷ mẫu
Mỗi ngày có hơn 350.000 mẫu malware mới xuất hiện
Năm 2019 có hơn 7 tỷ cuộc tấn công bằng malware
4 công ty bị tấn công bởi ransomware mỗi phút
Tỷ lệ lây nhiễm malware IoT tăng 33% từ 2018 đến 2019
Trojan là loại malware phổ biến nhất toàn cầu (chiếm 11%)

2. Phân loại Malware (Taxonomy)

Malware được phân loại theo hai tiêu chí chính: cơ chế lây lan và payload (hành vi gây hại).

graph TD A[Malware] --> B[Theo cơ chế lây lan] A --> C[Theo Payload] B --> D[Infected Content - Viruses] B --> E[Vulnerability Exploit - Worms] B --> F[Social Engineering - Trojans, Spam] C --> G[System Corruption - Logic Bomb] C --> H[Attack Agent - Zombie, Bots] C --> I[Information Theft - Keylogger, Phishing, Spyware] C --> J[Stealthing - Backdoor, Rootkit]

Các loại malware phổ biến

Adware - Phần mềm quảng cáo
Backdoor - Cửa hậu cho phép truy cập trái phép
Bots/Botnets - Mạng lưới máy tính bị kiểm soát
Keyloggers - Ghi lại phím bấm
Mobile malware - Malware trên thiết bị di động
Ransomware - Mã hóa dữ liệu tống tiền
Rootkits - Ẩn sự hiện diện của malware
Spyware - Phần mềm gián điệp
Trojan horse - Ngựa thành Troy
Viruses - Virus lây nhiễm file
Worms - Sâu tự lan truyền qua mạng

3. Advanced Persistent Threat (APT)

APT là một mối đe dọa có chủ đích cao, thường được bảo trợ bởi nhà nước hoặc các tổ chức có nguồn lực lớn, nhắm vào các mục tiêu kinh doanh và chính trị.

graph LR A[Attacker] --> B[Profiling mục tiêu qua Social Engineering] B --> C[Gửi Spear Phishing Email] C --> D[Nạn nhân mở nội dung độc hại] D --> E[Hệ thống bị xâm phạm] E --> F[Lây lan sang mạng nội bộ] F --> G[Exfiltrate dữ liệu về APT Group]

Ba đặc điểm của APT

Advanced (Tiên tiến): Sử dụng đa dạng các kỹ thuật thu thập thông tin và xâm nhập, bao gồm nhiều loại malware khác nhau, được lựa chọn cẩn thận.
Persistent (Dai dẳng): Được áp dụng một cách tiến bộ và thường bí mật cho đến khi mục tiêu bị xâm phạm hoàn toàn. Kẻ tấn công không bỏ cuộc sau một thất bại.
Threat (Mối đe dọa): Là kết quả từ ý định của những kẻ tấn công có tổ chức, có năng lực và được tài trợ tốt.
- Công thức: Threat = Capability + Intent

Kỹ thuật APT phổ biến

Social engineering (kỹ thuật lừa đảo xã hội)
Spear-phishing emails (email lừa đảo có chủ đích)
Drive-by downloads (tải xuống ngầm khi truy cập web)

Ví dụ APT nổi tiếng

Aurora - Tấn công Google và hàng chục công ty lớn
RSA breach - Đánh cắp dữ liệu xác thực hai yếu tố
APT1 - Nhóm tấn công được cho là liên kết với quân đội Trung Quốc
Stuxnet - Tấn công vào cơ sở hạt nhân Iran

4. Phân loại cơ bản: Virus vs Worm

Virus là malware lây nhiễm bằng cách chỉnh sửa các chương trình hoặc hệ thống đang hoạt động.

Là loại malware phổ biến đầu tiên
Sự lây lan được kích hoạt bởi hành động của người dùng (ví dụ: chạy chương trình bị nhiễm)
Thuật ngữ “anti-virus” được dùng rộng rãi dù AV hiện đại phát hiện nhiều loại hơn chỉ virus

Worm (Sâu máy tính) là malware tự sao chép và lan truyền qua mạng.

Thường là chương trình độc lập (không cần đính vào file như virus)
Tự động lan truyền mà không cần tương tác của người dùng
Khai thác các lỗ hổng bảo mật (như buffer overflow) để lan rộng

5. Virus - Chi tiết

Khái niệm cơ bản

Thuật ngữ “virus máy tính” được đặt ra bởi Fred Cohen vào năm 1983
Mã độc hại bám vào “nội dung hoạt động” (active content)
“Active content” có thể là chương trình, script, boot sector, thư viện…

Cơ chế hoạt động của Virus

graph LR A[Chương trình sạch] --> B[Virus đính vào] B --> C[Người dùng chạy chương trình] C --> D[Virus kích hoạt] D --> E[Lây sang các file khác] D --> F[Thực thi payload độc hại]

Khi virus lây nhiễm một file thực thi, nó sẽ chèn mã độc vào đó. Khi file được chạy, mã virus chạy trước, sau đó chuyển quyền điều khiển lại cho chương trình gốc để người dùng không nghi ngờ.

Boot Sector Virus (Bootkit)

Quy trình khởi động bình thường:

BIOS/UEFI → MBR → Bootloader → Hệ điều hành → Kernel

Khi bị bootkit:

BIOS → MBR bị thay thế (virus chạy ở đây) → Giả vờ nạp OS bình thường

Virus PC đầu tiên (Brain) là boot-sector virus
Loại nâng cao hơn có thể tạo hypervisor (như BluePill)
UEFI Secure Boot là biện pháp bảo vệ tốt chống lại loại này

Virus não (Brain Virus) - 1986

Được coi là virus PC đầu tiên “trong tự nhiên”, xuất xứ từ Pakistan:

Định vị bản thân trong bộ nhớ cao và ở lại thường trú
Sao chép bản thân vào boot sector
Sao chép boot sector gốc sang các vị trí khác trên đĩa, đánh dấu là “bad sectors”
Chặn tất cả yêu cầu đọc/ghi đĩa để giả mạo việc đọc boot sector
Lây sang tất cả đĩa chưa bị nhiễm trong quá trình đọc/ghi
Không gây hại trực tiếp khác

Macro Virus

File HTML, email có thể chứa VBScript hoặc JavaScript
Ví dụ sớm nhất: Melissa (1999) - dùng macro để truy cập danh bạ Outlook
Microsoft đã thêm cảnh báo khi bật macro, nhưng nhiều người vẫn bấm “Enable Macros” mà không suy nghĩ

Các virus/worm nổi tiếng theo thời gian

Năm	Tên	Mô tả
1986	Brain	Virus PC đầu tiên (MS-DOS, boot sector)
1987	Jerusalem	Virus PC đầu tiên gây hại rộng rãi; xóa file vào mỗi Thứ 6 ngày 13
1992	Michelangelo	Xóa đĩa vào ngày sinh Michelangelo (6/3)
1999	Melissa	Macro virus; gửi bản thân tới 50 địa chỉ trong danh bạ
2000	ILOVEYOU	VBScript; xóa file media; tác giả từ Philippines
2001	Code Red	Lây qua lỗ hổng buffer overflow trong MS IIS
2003	Slammer	Lây qua MS SQL Server; nhân đôi số host nhiễm mỗi 8,5 giây

Virus Hoaxes (Tin đồn giả về virus)

Không phải mọi cảnh báo về virus đều là thật. Các tin đồn giả (hoaxes) gây hoảng loạn không cần thiết.

Ví dụ nổi tiếng:

“Virus Flambé”: đồn rằng virus có thể làm màn hình bốc cháy
“Goodtimes” (1994): hoax đầu tiên được lan truyền rộng rãi

6. Worm - Chi tiết

Đặc điểm của Worm

Ít “hoán đổi đĩa” hơn so với thời trước, nhưng kết nối mạng nhiều hơn
Không hoàn toàn khác với virus - cũng có thể lây nhiễm file thực thi
Thường cài đặt như các chương trình hoàn chỉnh, độc lập trên hệ thống
Có thể lây lan tự động hoặc yêu cầu người dùng thực hiện hành động

Phương thức đánh lừa người dùng

Worm có thể thay đổi phần mở rộng file để lừa người dùng. Ví dụ:

file.pdf.exe

Người dùng thấy “.pdf” và nghĩ đây là tài liệu an toàn, nhưng thực ra đây là file thực thi.

The Internet Worm - Morris Worm (1988)

Sự cố Internet nghiêm trọng và rộng rãi đầu tiên:

Ngày 2/11/1988
Mục đích ban đầu: chỉ lan rộng, không gây hại
Nhưng lỗi trong code sao chép khiến nó lây nhiễm lặp đi lặp lại trên cùng một host, làm nghẽn nhiều hệ thống
Khai thác 3 lỗ hổng: đoán tên đăng nhập, buffer overflow trong fingerd, và “debug mode” trong sendmail
Tác giả: Robert Morris - sinh viên sau đại học tại Cornell
Người đầu tiên bị kết tội theo Computer Fraud and Abuse Act 1986 (phạt 10.000 USD, 3 năm án treo, 400 giờ phục vụ cộng đồng)
Kết quả tích cực: CERT (Computer Emergency Response Team) được thành lập để phản ứng với các sự cố

Worm Code Red (2001)

Lây lan qua lỗ hổng buffer overflow trong MS IIS
Ước tính lây nhiễm 750.000 server
Có thể có động cơ chính trị: để lại thông điệp “Hacked by Chinese” (vài tháng sau sự cố máy bay do thám Mỹ-Trung)
Bao gồm timebomb tấn công DoS vào www.whitehouse.gov
Hai giai đoạn chính: quét/lây nhiễm và tấn công (dựa trên ngày trong tháng)

Worm Slammer (2003)

Còn gọi là “Sapphire” hoặc “SQL Slammer”:

Lây lan qua lỗ hổng buffer overflow trong MS SQL Server
Tốc độ lây lan cực kỳ nhanh:
- Số host nhiễm tăng gấp đôi mỗi 8,5 giây
- Lây nhiễm hơn 90% host dễ bị tổn thương trong 10 phút
- Lây qua UDP (không phải TCP) - nhanh hơn nhưng không đảm bảo
Làm nghẽn mạng, vô hiệu hóa các dịch vụ khác
Ví dụ: Nhiều máy ATM của Bank of America ngừng hoạt động

Worm Stuxnet (2010)

Một trong những worm tinh vi nhất từng được phát hiện:

Khai thác ít nhất 4 lỗ hổng 0-day để lan truyền
Có thể lan qua USB và mạng
Tích hợp rootkit để ẩn mình
Ước tính lây nhiễm hơn 200.000 hệ thống, hầu hết không thấy tác động rõ ràng
Payload (hành vi gây hại) chỉ kích hoạt trong điều kiện rất cụ thể (logic bomb):
- Tìm kiếm phần mềm điều khiển Siemens “Step 7”
- Cấu hình mục tiêu cụ thể khớp với bộ điều khiển máy ly tâm hạt nhân của Iran
- Lập trình lại bộ điều khiển để máy ly tâm quay mất kiểm soát
- Được cho là đã phá hủy 1/5 số máy ly tâm hạt nhân của Iran
Một số lỗ hổng được khai thác sau đó có liên kết với Equation Group

7. Trojan Horse

Khái niệm

Trojan horse (ngựa thành Troy) bắt nguồn từ câu chuyện thành Troy trong thần thoại Hy Lạp cổ đại. Trong bảo mật máy tính:

Trojan horse là một chương trình hữu ích, hoặc có vẻ hữu ích, chứa mã ẩn mà khi được gọi, thực hiện một số chức năng không mong muốn hoặc gây hại.

Khác với virus và worm, trojan không tự sao chép. Nó dựa vào social engineering để lây lan - lừa người dùng tự cài đặt.

Các loại Trojan

Loại	Ví dụ
Remote Access Trojan (RAT)	MoSucker, ProRAT, Theef
Backdoor Trojans	Kovter, Nitol, Quadars, Snake
Rootkit Trojan	Wingbird, Finfisher, GrayFish
Proxy Server Trojan	Linux.Proxy.10, Qbot
Mobile Trojan	Các biến thể nhắm vào Android/iOS
IoT Trojan	Nhắm vào thiết bị IoT

Cách Trojan lây nhiễm hệ thống

graph TD A[Tạo Trojan packet] --> B[Tạo Dropper] B --> C[Tạo Wrapper - đóng gói với app hợp lệ] C --> D[Phát tán Trojan - game, phần mềm crack, antivirus giả...] D --> E[Nạn nhân chạy chương trình] E --> F[Dropper thực thi - cài mã độc] F --> G[Trojan hoạt động, attacker kiểm soát từ xa]

Wrapper là công cụ kết hợp trojan với một ứng dụng có vẻ hợp lệ (game, phần mềm văn phòng, antivirus giả, app bẻ khóa…) để nạn nhân không nghi ngờ.

8. Các hành vi Payload của Malware

8.1. Phá hủy dữ liệu và Ransomware

Virus phá hủy dữ liệu xóa toàn bộ dữ liệu trên hệ thống bị nhiễm.

Ví dụ: Chernobyl virus (1998) - xóa flash BIOS và phân vùng đĩa cứng vào ngày 26/4 (ngày thảm họa Chernobyl).

Ransomware mã hóa dữ liệu của người dùng và yêu cầu thanh toán để nhận khóa giải mã.

Ví dụ:

PC Cyborg Trojan (1989): Ransomware đầu tiên, lây qua đĩa mềm gửi qua đường bưu điện
Gpcode Trojan (2006): Dùng mã hóa khóa công khai (public-key crypto)
WannaCry (2017): Lây lan qua lỗ hổng SMB của Windows, tấn công toàn cầu

Ransomware thường yêu cầu thanh toán bằng Bitcoin để tránh bị theo dõi.

8.2. Zombie và Botnet

Bot (còn gọi là robot, zombie, drone): Là PC, server, thiết bị nhúng (router, camera giám sát…) bị xâm phạm và được dùng để tấn công các máy khác.

Botnet: Một mạng lưới (tập hợp) các bot.

Cách thức kiểm soát Botnet:

graph TD A[Attacker - Bot Herder] --> B[Command & Control Server - C&C] B --> C[Bot 1] B --> D[Bot 2] B --> E[Bot 3] B --> F[Bot N...] C & D & E & F --> G[Mục tiêu tấn công]

Kênh C&C thường là các kênh khó theo dõi như IRC, Twitter hoặc các mạng ngang hàng (P2P).

Ứng dụng của Botnet:

Tấn công DDoS (Distributed Denial-of-Service)
Gửi spam với số lượng lớn
Nghe lén lưu lượng mạng (sniffing traffic)
Phát tán malware mới
Cài đặt adware
Tấn công mạng IRC
Đào tiền mã hóa (coin mining)

Ví dụ: Mirai botnet (2016) - lây nhiễm hàng trăm nghìn thiết bị IoT, thực hiện các cuộc tấn công DDoS kỷ lục.

8.3. Backdoor

Backdoor: Cho phép người dùng trái phép truy cập vào hệ thống.

Thường là tấn công từ bên trong (insider attack)
Ví dụ: nhân viên cũ cài backdoor để giữ quyền truy cập sau khi nghỉ việc

8.4. Phần mềm xâm phạm quyền riêng tư

Loại	Mô tả
Spyware	Theo dõi lịch sử duyệt web và các ứng dụng đã chạy
Adware	Kẻ tấn công bán quảng cáo hiện trên máy nạn nhân
Keylogger	Ghi lại mọi phím bấm để đánh cắp mật khẩu
Webcam tap	Truy cập webcam để giám sát người dùng

9. Hành vi và đặc điểm của Malware

Vector lây nhiễm

Phân phối phần mềm thông thường (đĩa hoặc mạng)
Dịch vụ mạng dễ bị tổn thương
Ứng dụng dễ bị tổn thương
Email: tự động hoặc lừa người dùng

Kiểm soát hành vi độc hại

Có thể thực thi ngay lập tức
Có thể kích hoạt theo thời gian (“time-bomb”) hoặc theo điều kiện (“logic-bomb”)
- Ví dụ: Logic bomb thường được cài bởi nhân viên cũ, kích hoạt sau khi bị sa thải
- Ví dụ thực tế: OMEGA Engineering, 1996 - kỹ sư bị sa thải cài logic bomb xóa toàn bộ dữ liệu thiết kế
Có thể được điều khiển từ xa (như trong botnet)

10. Mô hình lây lan của Malware

Nghiên cứu về dịch tễ học sinh học được áp dụng để mô hình hóa sự lây lan của malware:

Các biến số chính:

Biến	Ý nghĩa
N	Tổng số host dễ bị tổn thương
Iₜ	Số host bị nhiễm tại thời điểm t
Sₜ	Số host dễ bị tổn thương (chưa nhiễm) tại thời điểm t
β	Tỷ lệ lây nhiễm

Công thức cơ bản:

Iₜ₊₁ = Iₜ + β × Iₜ × Sₜ
Sₜ₊₁ = N - Iₜ₊₁

Ba giai đoạn lây lan:

graph LR A[Giai đoạn khởi đầu chậm] --> B[Giai đoạn lây lan nhanh] B --> C[Giai đoạn kết thúc chậm]

Mô hình này đã được xác nhận qua dữ liệu thực tế của worm Code Red - số lượng IP bị nhiễm theo thời gian khớp chính xác với mô hình lý thuyết.

11. Biện pháp đối phó (Countermeasures)

Phát hiện Malware

Nguyên lý: Nhận diện mã “đã biết là xấu” bằng cách so sánh với cơ sở dữ liệu chữ ký.

Ưu điểm:

Đáng tin cậy với ít false positive
Hiệu quả với malware đã biết

Nhược điểm:

Phải biết malware trước, nên bỏ qua 0-days
Kẻ tấn công có thể tránh phát hiện bằng sửa đổi nhỏ
Người dùng phải cập nhật cơ sở dữ liệu thường xuyên

Nguyên lý: Phát hiện hoạt động bất thường so với hành vi bình thường.

Ví dụ dấu hiệu bất thường:

Đọc/ghi số lượng lớn file trong thời gian ngắn
Phát hiện code gắn vào event handler (dấu hiệu của keylogger)

Ưu điểm:

Có thể phát hiện malware chưa biết và 0-days

Nhược điểm:

Có nhiều false positive (báo động nhầm)

Cuộc đua vũ trang giữa kẻ tấn công và người bảo vệ

Các kỹ thuật né tránh AV:

Virus đa hình: Mã lõi được trình bày khác nhau trong các phiên bản khác nhau.

Ví dụ: Mã virus được mã hóa bằng các khóa khác nhau.

Thường vẫn có thể nhận ra một phần chính (bộ giải mã hoặc bộ biến đổi virus).

Virus biến đổi hoàn toàn: Toàn bộ mã thay đổi thông qua các phép biến đổi bảo toàn chức năng.

Kỹ thuật:

Hoán đổi các thanh ghi được sử dụng
Thêm mã vô dụng (junk code)
Dùng các lệnh tương đương

Khó phát hiện hơn nhiều so với polymorphic!

Câu hỏi và Trả lời

Câu hỏi: Làm thế nào malware có thể xâm nhập vào hệ thống?

Malware có thể xâm nhập qua rất nhiều con đường: email đính kèm, file tải từ Internet, thiết bị lưu trữ di động (USB), lỗ hổng trong ứng dụng hoặc hệ điều hành, các trang web độc hại, dịch vụ chia sẻ file (FTP, SMB), và thậm chí qua các ứng dụng nhắn tin. Điểm chung là khai thác sự thiếu cảnh giác của người dùng hoặc lỗ hổng kỹ thuật.

Câu hỏi: Có bao nhiêu biến thể của malware?

Rất nhiều, và con số không ngừng tăng. Có hơn 1,1 tỷ mẫu malware được ghi nhận tính đến tháng 9/2020, với hơn 350.000 mẫu mới mỗi ngày. Về loại, có ít nhất: adware, backdoor, bots/botnets, keyloggers, mobile malware, ransomware, rootkits, spyware, trojan horse, viruses, worms và nhiều loại khác.

Câu hỏi: Ai sẽ thắng trong cuộc đua giữa kẻ tấn công và người bảo vệ?

Đây là câu hỏi mở. Về mặt lý thuyết, kẻ tấn công luôn có lợi thế vì họ chỉ cần tìm một lỗ hổng, trong khi người bảo vệ phải bảo vệ toàn bộ hệ thống. Tuy nhiên, sự hợp tác quốc tế, nghiên cứu học thuật, và các công nghệ AI/ML đang giúp cân bằng hơn. Cuộc đua này tiếp tục không có điểm dừng.

Câu hỏi trắc nghiệm

Câu 1. Theo định nghĩa của NIST, malware được chèn vào hệ thống với mục đích xâm phạm điều gì?

A. Chỉ tính bảo mật (confidentiality)
B. Tính bảo mật, tính toàn vẹn, hoặc tính sẵn sàng của dữ liệu/ứng dụng/hệ điều hành
C. Chỉ tính sẵn sàng (availability)
D. Chỉ tính toàn vẹn (integrity)

Câu 2. Đặc điểm nào phân biệt Worm với Virus?

A. Worm không gây hại còn virus thì gây hại
B. Worm tự lan truyền qua mạng mà không cần người dùng thực hiện hành động, còn virus cần
C. Worm chỉ tấn công Linux, còn virus chỉ tấn công Windows
D. Worm luôn mã hóa file, còn virus thì không

Câu 3. Thuật ngữ “virus máy tính” được đặt ra bởi ai và khi nào?

A. Bill Gates, 1975
B. Robert Morris, 1988
C. Fred Cohen, 1983
D. John von Neumann, 1949

Câu 4. Virus PC đầu tiên “trong tự nhiên” là gì và xuất hiện vào năm nào?

A. Jerusalem, 1987
B. Brain, 1986
C. Michelangelo, 1992
D. Melissa, 1999

Câu 5. Worm Morris (1988) khai thác bao nhiêu lỗ hổng và chúng là gì?

A. 2 lỗ hổng: buffer overflow trong FTP và lỗi trong HTTP
B. 3 lỗ hổng: đoán tên đăng nhập, buffer overflow trong fingerd, và debug mode trong sendmail
C. 4 lỗ hổng: SQL injection, XSS, buffer overflow, và privilege escalation
D. 1 lỗ hổng: lỗi trong giao thức TCP/IP

Câu 6. Kết quả tích cực nào xuất hiện sau sự cố Morris Worm?

A. Microsoft ra mắt Windows
B. CERT (Computer Emergency Response Team) được thành lập
C. Luật Computer Fraud and Abuse Act được ban hành
D. TCP/IP được cải tiến toàn diện

Câu 7. Worm Code Red (2001) lây lan bằng cách nào?

A. Qua email đính kèm
B. Qua USB và thiết bị lưu trữ di động
C. Qua lỗ hổng buffer overflow trong Microsoft IIS
D. Qua lỗ hổng trong Adobe Acrobat

Câu 8. Worm Slammer (2003) đặc biệt ở điểm gì?

A. Là worm đầu tiên tấn công thiết bị IoT
B. Số host nhiễm tăng gấp đôi mỗi 8,5 giây và lây nhiễm 90% host dễ bị tổn thương trong 10 phút
C. Mã hóa toàn bộ dữ liệu trên host bị nhiễm
D. Sử dụng kênh C&C qua Twitter

Câu 9. Stuxnet khai thác bao nhiêu lỗ hổng 0-day?

A. 1
B. 2
C. Ít nhất 4
D. 10

Câu 10. Mục tiêu cụ thể của Stuxnet là gì?

A. Đánh cắp thông tin tài chính từ ngân hàng
B. Phá hủy máy ly tâm hạt nhân của Iran bằng cách lập trình lại bộ điều khiển Siemens
C. Tấn công hệ thống điện của Nga
D. Gián điệp mạng tại Mỹ

Câu 11. APT là viết tắt của gì và công thức “Threat” trong APT là gì?

A. Advanced Protection Technology; Threat = Software + Hardware
B. Advanced Persistent Threat; Threat = Capability + Intent
C. Automated Penetration Testing; Threat = Vulnerability + Exploit
D. Active Protection Technique; Threat = Attack + Defense

Câu 12. Kỹ thuật phổ biến nào được sử dụng trong các cuộc tấn công APT?

A. Brute force và SQL injection
B. Social engineering, spear-phishing, và drive-by downloads
C. DDoS và port scanning
D. ARP spoofing và MITM

Câu 13. Điều gì làm cho “Metamorphic virus” khó phát hiện hơn “Polymorphic virus”?

A. Metamorphic virus nhỏ hơn nên khó tìm thấy
B. Metamorphic virus thay đổi toàn bộ mã qua các phép biến đổi bảo toàn chức năng, không còn phần nào cố định để nhận diện
C. Metamorphic virus chỉ tấn công kernel nên AV không thể quét
D. Metamorphic virus mã hóa chính bản thân AV

Câu 14. Anomaly-based detection có nhược điểm gì so với Signature-based detection?

A. Không phát hiện được malware đã biết
B. Cần nhiều băng thông mạng hơn
C. Có nhiều false positive hơn
D. Chỉ chạy được trên Linux

Câu 15. Melissa (1999) là loại malware gì và hoạt động như thế nào?

A. Boot sector virus; lây khi khởi động máy
B. Macro virus trong MS-Word; tự gửi tới 50 địa chỉ đầu tiên trong danh bạ Outlook
C. Worm; khai thác lỗ hổng trong MS Exchange Server
D. Trojan; giả mạo phần mềm diệt virus

Câu 16. Rootkit hoạt động ở mức người dùng làm gì trên Linux?

A. Mã hóa file hệ thống
B. Thay thế lệnh ps (ẩn tiến trình) và lệnh ls (ẩn file)
C. Vô hiệu hóa tường lửa
D. Đánh cắp mật khẩu root

Câu 17. Điều gì phân biệt Kernel-level rootkit với User-level rootkit?

A. Kernel-level rootkit chỉ hoạt động trên Windows
B. Kernel-level rootkit ẩn mình ở mức sâu hơn, ẩn khỏi tất cả các chương trình
C. Kernel-level rootkit không thể bị phát hiện bằng bất kỳ phương tiện nào
D. Kernel-level rootkit nhỏ hơn và nhanh hơn

Câu 18. ILOVEYOU (Love Bug, 2000) gây hại như thế nào?

A. Mã hóa toàn bộ ổ cứng
B. Xóa các file media (.jpg, .mp3, …)
C. Tắt kết nối Internet
D. Thay đổi mật khẩu người dùng

Câu 19. Botnet thường sử dụng kênh Command & Control (C&C) nào để khó bị theo dõi?

A. HTTP/HTTPS rõ ràng đến IP cố định
B. Các kênh khó theo dõi như IRC, Twitter, hoặc mạng P2P
C. Email SMTP thông thường
D. FTP ẩn danh

Câu 20. Mirai botnet (2016) đặc biệt ở điểm gì?

A. Là botnet đầu tiên tấn công ngân hàng
B. Lây nhiễm hàng trăm nghìn thiết bị IoT (router, camera…) để thực hiện DDoS
C. Mã hóa dữ liệu trên tất cả thiết bị bị nhiễm
D. Tấn công chỉ vào hệ thống Windows

Câu 21. Jerusalem virus (1987) kích hoạt khi nào và làm gì?

A. Kích hoạt vào sinh nhật tác giả; hiển thị thông điệp chính trị
B. Kích hoạt vào mỗi Thứ 6 ngày 13; xóa bất kỳ chương trình nào được chạy
C. Kích hoạt vào ngày 1/1; xóa toàn bộ ổ cứng
D. Kích hoạt khi kết nối mạng; gửi dữ liệu ra ngoài

Câu 22. Điều gì đặc biệt về cách Ransomware yêu cầu thanh toán?

A. Yêu cầu chuyển khoản ngân hàng thông thường
B. Yêu cầu thanh toán bằng thẻ tín dụng
C. Thường yêu cầu thanh toán bằng Bitcoin hoặc tiền mã hóa khác để tránh theo dõi
D. Yêu cầu thanh toán bằng thẻ quà tặng (gift card)

Câu 23. Ransomware PC Cyborg Trojan (1989) có gì đặc biệt về phương thức phát tán?

A. Phát tán qua email hàng loạt
B. Phát tán qua đĩa mềm gửi qua đường bưu điện
C. Phát tán qua mạng LAN
D. Phát tán qua USB

Câu 24. Trong mô hình lây lan malware, biến β (beta) đại diện cho điều gì?

A. Số lượng host đã bị nhiễm
B. Tỷ lệ lây nhiễm
C. Tổng số host dễ bị tổn thương
D. Thời gian trung bình để lây nhiễm một host

Câu 25. Biện pháp nào bảo vệ chống lại Boot Sector Virus hiệu quả?

A. Cài đặt phần mềm antivirus thông thường
B. UEFI Secure Boot
C. Tường lửa mạng
D. Mã hóa ổ cứng

Câu 26. Wrapper trong bối cảnh Trojan horse là gì?

A. Phần mềm mã hóa malware để tránh bị phát hiện
B. Công cụ kết hợp trojan với một ứng dụng có vẻ hợp lệ để lừa người dùng cài đặt
C. Vỏ bọc bảo vệ xung quanh file hệ thống
D. Giao thức truyền thông an toàn giữa bot và C&C server

Câu 27. “Logic bomb” là gì?

A. Malware khai thác lỗ hổng trong logic mạng
B. Malware chỉ kích hoạt khi một điều kiện cụ thể được thỏa mãn
C. Thuật toán tấn công brute force
D. Loại DoS tấn công vào tầng ứng dụng

Câu 28. Điều gì xảy ra với Robert Morris sau vụ Morris Worm?

A. Được tuyển vào NSA
B. Bị kết tội theo Computer Fraud and Abuse Act 1986: phạt 10.000 USD, 3 năm án treo, 400 giờ phục vụ cộng đồng
C. Bị bỏ tù 10 năm
D. Trốn thoát sang nước khác và không bị truy tố

Câu 29. Tại sao Signature-based detection thất bại với các cuộc tấn công 0-day?

A. Vì AV không đủ mạnh để xử lý
B. Vì signature-based detection chỉ nhận diện malware đã biết; 0-day là malware mới chưa có chữ ký trong cơ sở dữ liệu
C. Vì 0-day tấn công vào chính AV software
D. Vì 0-day chỉ tấn công qua mạng không phải qua file

Câu 30. Spyware khác Adware ở điểm gì?

A. Spyware chỉ hoạt động trên Mac, Adware chỉ trên Windows
B. Spyware theo dõi hoạt động của người dùng (duyệt web, thực thi ứng dụng); Adware hiển thị quảng cáo trên máy nạn nhân
C. Spyware mã hóa dữ liệu, Adware thì không
D. Spyware chỉ ảnh hưởng đến phần cứng, Adware chỉ ảnh hưởng đến phần mềm

Câu 31. Virus ILOVEYOU được viết bằng ngôn ngữ gì?

A. C++
B. Python
C. VBScript
D. Java

Câu 32. Trong ba giai đoạn lây lan của worm/virus, giai đoạn nào lây lan nhanh nhất?

A. Giai đoạn khởi đầu (slow start)
B. Giai đoạn kết thúc (slow finish)
C. Giai đoạn lan rộng nhanh (fast spread)
D. Tốc độ lây lan đồng đều trong cả ba giai đoạn

Câu 33. Remote Access Trojan (RAT) cho phép kẻ tấn công làm gì?

A. Chỉ xem màn hình của nạn nhân
B. Điều khiển từ xa hệ thống của nạn nhân hoàn toàn như thể ngồi trực tiếp trước máy
C. Chỉ đánh cắp mật khẩu
D. Chỉ tắt kết nối Internet của nạn nhân

Câu 34. Điều gì là đặc điểm “Persistent” (dai dẳng) trong APT?

A. APT sử dụng nhiều loại malware khác nhau
B. APT được áp dụng một cách tiến bộ và thường bí mật cho đến khi mục tiêu hoàn toàn bị xâm phạm; không bỏ cuộc
C. APT để lại nhiều dấu vết rõ ràng
D. APT chỉ tấn công trong thời gian ngắn rồi rút lui

Câu 35. Dropper trong bối cảnh Trojan là gì?

A. Phần của trojan dùng để gửi email spam
B. Phần của gói trojanized cài đặt mã độc lên hệ thống mục tiêu
C. Công cụ xóa dấu vết sau khi tấn công
D. Chương trình dùng để download payload từ Internet

Câu 36. Tại sao Worm Slammer lây lan qua UDP thay vì TCP?

A. Vì UDP bảo mật hơn TCP
B. Vì UDP không cần bắt tay (handshake), nhanh hơn, cho phép lây lan với tốc độ cao hơn
C. Vì TCP không hỗ trợ lây lan malware
D. Vì UDP được hỗ trợ trên nhiều thiết bị hơn

Câu 37. AIDS Trojan (1989) là ví dụ về loại trojan gì và đặc biệt vì sao?

A. RAT; vì điều khiển từ xa qua dial-up
B. Ransomware đầu tiên; được phát tán qua đĩa mềm gửi bưu điện
C. Keylogger; ghi lại tên đăng nhập và mật khẩu
D. Backdoor; cho phép truy cập từ xa ẩn danh

Câu 38. Khi malware có thể “trigger” theo thời gian được gọi là gì?

A. Logic bomb
B. Time bomb
C. Schedule bomb
D. Cron bomb

Câu 39. Điều gì là mục đích chính của Spear-phishing so với phishing thông thường?

A. Spear-phishing dùng kỹ thuật kỹ thuật hơn, không liên quan đến email
B. Spear-phishing nhắm vào cá nhân hoặc tổ chức cụ thể với thông tin được tùy chỉnh, trong khi phishing thông thường gửi đại trà
C. Spear-phishing chỉ tấn công tài khoản ngân hàng
D. Spear-phishing là phishing bằng điện thoại

Câu 40. Tổng số mẫu malware tính đến tháng 9/2020 là bao nhiêu?

A. Khoảng 100 triệu
B. Khoảng 500 triệu
C. Khoảng 1,1 tỷ
D. Khoảng 10 tỷ

Câu 41. Loại malware nào phổ biến nhất toàn cầu theo thống kê?

A. Ransomware
B. Worm
C. Trojan (11%)
D. Virus

Câu 42. Trong mô hình lây lan malware, công thức tính số host bị nhiễm tại thời điểm t+1 là gì?

A. Iₜ₊₁ = Iₜ × β
B. Iₜ₊₁ = Iₜ + β × Iₜ × Sₜ
C. Iₜ₊₁ = N - Sₜ
D. Iₜ₊₁ = β × N

Câu 43. Một trong những ứng dụng của botnet mà tài liệu đề cập nhưng ít được nghĩ đến là gì?

A. In 3D
B. Coin mining (đào tiền mã hóa)
C. Render đồ họa
D. Lưu trữ đám mây phân tán

Câu 44. Tại sao người dùng cần liên tục cập nhật cơ sở dữ liệu virus cho AV?

A. Để AV chạy nhanh hơn
B. Vì hơn 350.000 mẫu malware mới xuất hiện mỗi ngày, cơ sở dữ liệu cũ sẽ không nhận diện được chúng
C. Để AV không chiếm nhiều RAM
D. Vì nhà sản xuất AV yêu cầu để duy trì bản quyền

Câu 45. Stuxnet được phát hiện vào năm nào và ai được cho là đứng sau nó?

A. 2005; Trung Quốc
B. 2010; được cho là Mỹ và Israel (có liên kết với Equation Group)
C. 2015; Nga
D. 2008; Bắc Triều Tiên

Câu 46. Điều gì phân biệt “Phishing” với “Pharming”?

A. Phishing dùng email, Pharming không
B. Phishing lừa người dùng click vào link giả; Pharming chuyển hướng người dùng tới trang web giả mà không cần họ click gì (thông qua DNS poisoning)
C. Phishing chỉ nhắm vào doanh nghiệp, Pharming nhắm vào cá nhân
D. Đây là cùng một kỹ thuật, chỉ khác tên gọi

Câu 47. Chernobyl virus (1998) kích hoạt vào ngày nào và gây hại gì?

A. Ngày 1/1; xóa tất cả file .exe
B. Ngày 26/4 (ngày thảm họa Chernobyl); xóa flash BIOS và phân vùng đĩa cứng
C. Ngày 6/3; ghi đè MBR
D. Mỗi Thứ 6 ngày 13; mã hóa ổ cứng

Câu 48. Phần mềm diệt virus (AV) dùng thuật ngữ “anti-virus” nhưng thực ra phát hiện được những gì?

A. Chỉ phát hiện được virus truyền thống
B. Phát hiện nhiều hơn chỉ virus: bao gồm worm, trojan, spyware, ransomware, và nhiều loại malware khác
C. Chỉ phát hiện được virus và worm
D. Chỉ phát hiện được malware trên email

Câu 49. Phong trào kiểm tra bảo mật nào được thành lập sau Morris Worm và mục đích của nó là gì?

A. NSA Cybersecurity Division; bảo vệ cơ quan chính phủ
B. CERT (Computer Emergency Response Team); phản ứng với các sự cố bảo mật máy tính
C. NIST Cybersecurity Framework; đặt ra tiêu chuẩn bảo mật
D. FBI Cyber Division; điều tra tội phạm mạng

Câu 50. Khi malware có thể thực hiện hành động gì để tự bảo vệ khỏi bị phát hiện?

A. Chỉ xóa log file
B. Nhiều kỹ thuật: dùng rootkit ẩn tiến trình/file, mã hóa thân mình (polymorphic), biến đổi toàn bộ mã (metamorphic), hoặc tạo hypervisor ảo hóa
C. Chỉ tắt phần mềm AV
D. Chỉ đặt quyền file ẩn

Câu 51. Code Red được đặt tên như thế nào?

A. Vì nó gây ra màn hình đỏ trên máy tính bị nhiễm
B. Vì các nhà nghiên cứu phân tích nó thâu đêm với nước tăng lực Mountain Dew Code Red
C. Vì nó liên quan đến mã màu đỏ trong lập trình
D. Vì nó được tìm thấy trong mạng lưới cảnh báo “Code Red” của chính phủ

Câu 52. Điều gì làm cho Stuxnet là một bước ngoặt quan trọng trong lịch sử an ninh mạng?

A. Là malware đầu tiên sử dụng mã hóa
B. Là bằng chứng đầu tiên rõ ràng về vũ khí mạng do nhà nước tạo ra nhắm vào cơ sở hạ tầng vật lý thực tế
C. Là malware đầu tiên tấn công điện thoại di động
D. Là malware đầu tiên tự cập nhật từ Internet

Câu 53. Đặc điểm “Advanced” (tiên tiến) trong APT có nghĩa là gì cụ thể?

A. APT sử dụng phần cứng đặc biệt tiên tiến
B. Kẻ tấn công lựa chọn cẩn thận đa dạng kỹ thuật thu thập thông tin và xâm nhập, sử dụng nhiều loại malware khác nhau
C. APT chỉ tấn công các hệ thống công nghệ tiên tiến
D. APT sử dụng AI để tự động hóa tấn công

Câu 54. Tại sao người dùng nên cẩn thận khi nhận cảnh báo về virus qua email hoặc tin nhắn?

A. Vì tất cả cảnh báo đều là giả mạo
B. Vì nhiều “cảnh báo virus” thực ra là virus hoaxes - tin đồn giả gây hoảng loạn không cần thiết
C. Vì email luôn bị theo dõi bởi hacker
D. Vì cảnh báo thật chỉ xuất hiện trên website chính thức

Câu 55. Khi malware bị phát hiện, hành động thông thường là gì?

A. Hệ thống tự khởi động lại
B. Malware bị cách ly (quarantine)
C. Toàn bộ ổ cứng bị format
D. Hệ điều hành tự cài lại