Bài 4: Computer Worm: Cơ Chế Hoạt Động

1. Giới thiệu về Computer Worm

Worm là gì?

Worm (sâu máy tính) là một loại phần mềm độc hại có khả năng tự lan truyềntự sao chép mà không cần sự can thiệp của người dùng. Đây là điểm khác biệt cơ bản so với virus — virus cần đính kèm vào một file chủ, còn worm hoạt động độc lập.

Đặc điểm cốt lõi:

  • Self-propagating (tự lan truyền): Worm chủ động tìm kiếm và lây nhiễm sang máy chủ mới mà không cần sự giúp đỡ của người dùng (khác với virus).
  • Self-replicating (tự sao chép): Worm tạo ra bản sao của chính nó trên hệ thống mục tiêu.
  • Lây lan qua Internet dễ dàng nhờ vào mô hình giao tiếp mở (open communication model) của mạng.

2. Phân loại Worm

Worm được phân loại dựa trên 4 thành phần chính:

1. Target Discovery  →  Cách worm tìm host mới để lây nhiễm
2. Carrier           →  Cách worm truyền bản thân đến mục tiêu
3. Activation        →  Cơ chế để worm thực thi trên mục tiêu
4. Payload           →  Hành động/mục tiêu mà worm thực hiện sau khi lây nhiễm
graph TD A[Attacker] --> B[Target Discovery] B --> C[Carrier] C --> D[Activation] D --> E[Payload] E --> F[Infected Host] F --> B

3. Target Discovery (Khám phá mục tiêu)

Đây là bước worm tìm kiếm các host mới để lây nhiễm. Có nhiều phương pháp khác nhau:

3.1 Scanning (Quét)

Quét tuần tự các địa chỉ IP theo thứ tự (ví dụ: 192.168.1.1, 192.168.1.2, …). Dễ phát hiện vì tạo ra traffic bất thường theo pattern rõ ràng.
Quét ngẫu nhiên các địa chỉ IP trên Internet. Khó dự đoán hơn nhưng có thể tạo ra lượng traffic lớn bất thường.

3.2 Optimization (Tối ưu hóa quét)

  • Preference for local addresses: Worm ưu tiên quét các địa chỉ trong cùng subnet vì các máy trong cùng mạng thường chạy cùng hệ điều hành và ứng dụng, do đó khả năng lây nhiễm cao hơn.
  • Permutation scanning: Sử dụng phối hợp phân tán (distributed coordination) giữa nhiều host đã bị lây nhiễm để quét hiệu quả hơn, tránh quét trùng lặp.
  • Bandwidth-limited scanning: Không chờ phản hồi từ mục tiêu, gửi gói tin và tiếp tục quét mục tiêu tiếp theo ngay lập tức — tăng tốc độ lan truyền đáng kể.

3.3 Pre-generated Target Lists (Danh sách mục tiêu được tạo trước)

Kẻ tấn công chuẩn bị sẵn danh sách địa chỉ IP của các mục tiêu tiềm năng trước khi phát tán worm. Điều này giúp worm tấn công chính xác và nhanh chóng hơn ngay từ đầu mà không cần mất thời gian quét.

3.4 Internal Target Lists (Danh sách mục tiêu nội bộ)

Worm khám phá topology giao tiếp nội bộ — tức là nó theo dõi các kết nối mà máy bị nhiễm đã thực hiện (ARP cache, DNS cache, file chia sẻ, …) để tìm các host gần đó.

3.5 Externally Generated Target Lists (Danh sách từ bên ngoài)

Sử dụng metaserver — các máy chủ bên ngoài lưu danh sách các server đang hoạt động (ví dụ: server game online). Worm tải danh sách này về và tấn công các host được liệt kê.

3.6 Passive Discovery (Khám phá thụ động)

Thay vì chủ động quét, worm chờ nạn nhân tiếp cận nó:

  • Ví dụ: Trình duyệt chưa được vá lỗi (un-patched browser) kết nối đến web server đã bị nhiễm, và bị lây nhiễm qua JavaScript độc hại.
  • Contagion worms dựa vào giao tiếp bình thường để lây lan — không tạo ra traffic bất thường trong giai đoạn target discovery, khiến chúng cực kỳ khó phát hiện.

4. Carrier (Phương tiện truyền tải)

Sau khi tìm được mục tiêu, worm cần truyền bản thân đến hệ thống mục tiêu:

Worm tự chủ động truyền bản thân sang mục tiêu như một phần của quá trình lây nhiễm. Đây là phương thức phổ biến nhất.

Ví dụ: Code Red tự inject vào buffer của IIS và tự truyền sang host mới.

Worm sử dụng kênh giao tiếp thứ cấp để tải phần còn lại của mình sau khi đã chiếm quyền kiểm soát ban đầu.

Ví dụ: Blaster worm — kênh chính là RPC (Remote Procedure Call) để khai thác lỗ hổng, sau đó dùng TFTP (Trivial File Transfer Protocol) làm kênh thứ cấp để tải toàn bộ worm về.

Worm nhúng bản thân vào luồng giao tiếp bình thường — thêm vào hoặc thay thế các message bình thường (ví dụ: web request, email).

  • Thường được dùng bởi passive worms.
  • Tàng hình cao vì traffic trông như bình thường.

5. Activation (Kích hoạt)

Sau khi worm đã được truyền đến hệ thống mục tiêu, nó cần được thực thi:

5.1 Human Activation (Kích hoạt bởi người dùng)

Worm thuyết phục người dùng tự thực thi nó:

  • Chậm nhất trong các phương thức kích hoạt.
  • Thường qua email với file đính kèm hấp dẫn, hoặc file giả mạo.

5.2 Human Activity-Based Activation

Worm được kích hoạt khi người dùng thực hiện một hành động thông thường không liên quan đến worm:

  • Khởi động lại máy (reset machine)
  • Đăng nhập vào hệ thống (logging in)
  • Scheduled process activation: Worm ẩn trong các chương trình auto-update không được ủy quyền (unauthorized auto-updater programs). Ví dụ: dùng DNS redirection attack để phục vụ file giả mạo đến máy tính.

5.3 Self Activation (Tự kích hoạt)

Worm tự kích hoạt bằng cách khai thác lỗ hổng trong các dịch vụ luôn bật và sẵn có (always-on services):

  • Không cần bất kỳ sự tương tác nào từ người dùng.
  • Nhanh nhất trong các phương thức kích hoạt.

Ví dụ: Code Red, Slammer, Sasser — tất cả đều tự kích hoạt bằng cách khai thác buffer overflow trong các dịch vụ mạng.

6. Payload (Tải trọng)

Payload là hành động mà worm thực hiện sau khi đã lây nhiễm thành công:

Loại PayloadMô tảVí dụ
Internet Remote ControlBiến máy nạn nhân thành bot dưới sự điều khiển của attackerBotnet
Internet DoSSử dụng các máy bị nhiễm để thực hiện tấn công từ chối dịch vụ phân tánDDoS attacks
Data DamagePhá hủy hoặc làm hỏng dữ liệuChernobyl, Klez
Physical World DamageGây thiệt hại vật lý thực sự (phần cứng, cơ sở hạ tầng)Stuxnet (không đề cập trong slide nhưng là ví dụ điển hình)
Human Control / BlackmailTống tiền nạn nhânRansomware precursor

7. Động cơ của Kẻ Tấn Công (Attacker Motivations)

Tại sao kẻ tấn công tạo và phát tán worm?

  • Experimental Curiosity: Tò mò thử nghiệm, muốn xem worm hoạt động như thế nào trong thực tế.
  • Pride and Power: Muốn thể hiện kỹ năng, khả năng gây hại, hoặc thu được quyền lực trong cộng đồng hacker.
  • Commercial Advantage: Thu lợi bằng cách thao túng thị trường tài chính qua việc tạo ra thảm họa kinh tế nhân tạo.
  • Extortion and Criminal Gain: Đánh cắp thông tin thẻ tín dụng, tống tiền nạn nhân.
  • Random Protest: Phá vỡ mạng lưới và cơ sở hạ tầng để phản đối.
  • Political Protest: Tấn công có chủ đích vì lý do chính trị.
  • Terrorism & Cyber Warfare: Khủng bố mạng và chiến tranh không gian mạng giữa các quốc gia.

8. Lịch sử các Worm Nổi tiếng

8.1 Morris Worm (1988)

Thành phầnChi tiết
Target DiscoveryQuét subnet nội bộ (Topological)
ActivationSelf Activation
CarrierSelf-Carried
ExploitBuffer overflow trong dịch vụ fingerd
PayloadKhông có — worm không chủ đích gây hại, nhưng sao chép quá nhiều làm hệ thống chậm và crash

8.2 Code Red I (2001)

Thành phầnChi tiết
Target DiscoveryRandom Scanning
ActivationSelf Activation
CarrierSelf-Carried
ExploitBuffer overflow trong Microsoft IIS Web Server (Indexing Service)
PayloadDefacement website (hiển thị “Hacked by Chinese”)

Lịch trình hoạt động của Code Red:

Ngày 1–19 mỗi tháng:
  → Hiển thị thông báo "HELLO! Welcome to http://www.worm.com!" 
    trên các server tiếng Anh
  → Cố gắng lây nhiễm 100 máy ngẫu nhiên đồng thời (100 threads)

Ngày 20–27:
  → Dừng lan truyền
  → Tấn công DoS vào địa chỉ IP của www1.whitehouse.gov

Hai phiên bản:

  • Dùng static seed cho bộ sinh số ngẫu nhiên.
  • Mỗi máy bị nhiễm luôn cố gắng lây nhiễm cùng một tập địa chỉ IP.
  • Kết quả: Lan truyền chậm, không gây hại lớn.
  • Memory-resident (chỉ tồn tại trong RAM, mất sau khi reboot).
  • Dùng random seed → mỗi lần khởi động chọn tập IP khác nhau.
  • Kết quả: Lây lan cực kỳ nhanh — 2.000 host/phút vào đỉnh điểm lúc 16:00 UTC.
  • Tăng trưởng theo hàm mũ từ 11:00–16:00 UTC.

8.3 Nimda (18/9/2001)

Thành phầnChi tiết
Target DiscoveryScanning + Email
ActivationSelf Activation + User Action
CarrierSelf-Carried
ExploitMicrosoft IIS buffer overflow + nhiều vector khác
PayloadDefacement website

5 phương thức lan truyền của Nimda:

  1. Tấn công IIS server thông qua các client bị nhiễm (khai thác buffer overflow).
  2. Gửi email đến danh bạ với file đính kèm là bản sao của worm.
  3. Sao chép qua network share mở (open network shares).
  4. Chỉnh sửa web page trên server bị nhiễm — nhúng JavaScript độc hại để lây sang client khi họ duyệt web.
  5. Quét backdoor mà Code Red II để lại.

8.4 SQL Slammer / Sapphire (2003)

Đặc điểmChi tiết
Kích thướcChỉ 376 bytes — toàn bộ worm nằm trong 1 gói UDP duy nhất
ExploitBuffer overflow trong MS SQL Server
Giao thứcUDP (connectionless) thay vì TCP — không cần handshake
Tốc độ lây lan75.000+ host trong 10 phút
Tốc độ đỉnhNhân đôi mỗi 8,5 giây trong phút đầu tiên
Scanning rateHơn 55 triệu lần quét/giây sau 3 phút

So sánh với Code Red:

SQL Slammer:  Nhân đôi mỗi 8,5 giây  → 75.000 host trong 10 phút
Code Red:     Nhân đôi mỗi 37 phút   → 359.000 host trong 14 giờ

Slammer nhanh hơn Code Red khoảng 100 lần (2 bậc độ lớn)

8.5 Witty (2004)

  • 19/3/2004 — Khai thác buffer overflow trong module ISS PAM (Internet Security Systems Passive Analysis Module).
  • Một gói UDP duy nhất khai thác lỗ hổng trong quá trình phân tích thụ động của các sản phẩm ISS.
  • Worm “bandwidth-limited” tương tự Slammer.
  • Chỉ có 12.000 host dễ bị tấn công — toàn bộ bị lây nhiễm trong 75 phút.
  • Payload nguy hiểm: Từ từ làm hỏng các block ngẫu nhiên trên ổ đĩa.
  • Điều bất thường: Phân tích telescope cho thấy worm được nhắm mục tiêu vào một căn cứ quân sự Mỹ và được phát tán từ một tài khoản ISP bán lẻ ở châu Âu.

8.6 SASSER Worm (2004)

  • 29/4/2004 — Khai thác buffer overflow trong Windows LSASS (Local Security Authority Subsystem Service).
  • Target Discovery: Quét ngẫu nhiên TCP port 445, có thể quét đến 1.024 địa chỉ đồng thời.
  • Payload: Có tiềm năng cài rootkitleo thang đặc quyền (privilege escalation).

9. Mô hình Lan truyền Tổng quát

flowchart TD A["Bước 0: Initial Infection\n(Có 1 host đã bị nhiễm và worm đang hoạt động)"] --> B B["Bước 1: Target Acquisition\n(Tìm hệ thống mới để lây nhiễm)\nqua IP, Email, File System"] --> C C["Bước 2: Delivery of Hostile Code\n(Truyền worm đến hệ thống mục tiêu)\nqua NFS, Email, Web, Shell, Buffer Overflow"] --> D D["Bước 3: Execution of Hostile Code\n(Kích hoạt thực thi)\nqua CLI, Buffer overflow, Email client, Web client, User, Auto-execute"] --> E E["Bước 4 (tùy chọn): Transfer Additional Code\n(Tải phần code còn lại)\nqua FTP/TFTP, NFS"] --> F F["Worm Propagation Complete\n(Máy mới bị lây nhiễm → quay lại Bước 1)"] --> B

Chi tiết từng bước:

Bước 0 — Initial Infection: Mô hình bắt đầu với giả định đã tồn tại ít nhất một hệ thống bị nhiễm và worm đang hoạt động trên đó (patient zero).

Bước 1 — Target Acquisition: Worm tìm kiếm các hệ thống mới để lây nhiễm qua:

  • (a) Địa chỉ IP (scanning)
  • (b) Địa chỉ Email (danh bạ)
  • (c) File system traversal (duyệt file system để tìm host kết nối)

Ngoài ra, worm có thể thụ động nhắm mục tiêu client — ví dụ nội dung web bị trojaned trên server nhiễm Nimda.

Bước 2 — Delivery of Hostile Code: Sau khi xác định mục tiêu, worm truyền bản thân qua:

  • (a) Network file systems
  • (b) Email
  • (c) Web clients
  • (d) Remote command shell
  • (e) Payload của gói tin trong buffer overflow (như Slammer)

Bước 3 — Execution of Hostile Code: Chỉ có code trên hệ thống là chưa đủ — cần được thực thi:

  • (a) Gọi trực tiếp từ command line
  • (b) Buffer overflow hoặc tấn công lập trình khác
  • (c) Email clients
  • (d) Web clients
  • (e) User intervention (người dùng tự chạy)
  • (f) Automatic execution (hệ thống tự chạy)

Bước 4 — Transfer Additional Code (tùy chọn): Một số worm chỉ truyền một phần code ở bước 2 (ví dụ: shellcode nhỏ). Sau khi chiếm quyền, chúng tải phần còn lại qua:

  • (a) FTP/TFTP
  • (b) Network file systems

10. Benchmarks và Metrics Đánh giá Worm

Để đánh giá mức độ nghiêm trọng và hiệu quả của các biện pháp phòng chống:

MetricMô tả
Infection SizePhần trăm số node bị lây nhiễm trên tổng số host
Reaction TimeThời gian từ khi phát hiện worm đến khi triển khai biện pháp kiểm soát — càng thấp càng tốt
Penetration RatioSố node bị lây nhiễm so với tổng số node trong domain khả dĩ — liên quan đến infection ratio
False Positives/NegativesTỷ lệ cảnh báo sai (false positive: cảnh báo nhầm) và bỏ sót (false negative: không phát hiện được worm thật)

Câu hỏi Trắc nghiệm

Câu 1. Điểm khác biệt chính giữa worm và virus là gì?

  • A. Worm nguy hiểm hơn virus
  • B. Worm có khả năng tự lan truyền mà không cần đính kèm vào file chủ
  • C. Virus có thể lây qua mạng còn worm thì không
  • D. Worm chỉ tấn công hệ điều hành Windows

Câu 2. Trong phân loại worm, “Target Discovery” đề cập đến điều gì?

  • A. Loại payload mà worm mang theo
  • B. Cách worm truyền bản thân đến mục tiêu
  • C. Cách worm tìm kiếm các host mới để lây nhiễm
  • D. Cơ chế worm kích hoạt trên hệ thống mục tiêu

Câu 3. Permutation scanning là gì?

  • A. Quét tuần tự các địa chỉ IP từ thấp đến cao
  • B. Sử dụng phối hợp phân tán giữa nhiều host bị nhiễm để quét hiệu quả hơn
  • C. Chỉ quét các địa chỉ IP trong cùng subnet
  • D. Không chờ phản hồi từ mục tiêu khi quét

Câu 4. “Bandwidth-limited scanning” có đặc điểm gì?

  • A. Giới hạn băng thông mạng mà worm sử dụng
  • B. Chỉ quét trong giờ thấp điểm để tránh bị phát hiện
  • C. Không chờ phản hồi từ mục tiêu, gửi và quét tiếp ngay
  • D. Quét giới hạn trong một dải băng thông IP nhất định

Câu 5. Loại Target Discovery nào khó phát hiện nhất và tại sao?

  • A. Random scanning — vì quét ngẫu nhiên
  • B. Internal Target Lists — vì không tạo ra traffic quét bất thường
  • C. Pre-generated Target Lists — vì danh sách được chuẩn bị trước
  • D. Passive Discovery — vì chờ nạn nhân tự đến

Câu 6. Contagion worm là gì?

  • A. Worm lây qua tiếp xúc vật lý với thiết bị
  • B. Worm dựa vào giao tiếp bình thường để phát hiện nạn nhân mới, không tạo traffic bất thường
  • C. Worm gây ra các triệu chứng giống như bệnh truyền nhiễm trên máy tính
  • D. Worm lây qua mạng nội bộ (LAN)

Câu 7. Blaster worm sử dụng kênh nào làm kênh chính và kênh phụ?

  • A. Kênh chính: TFTP; Kênh phụ: RPC
  • B. Kênh chính: HTTP; Kênh phụ: FTP
  • C. Kênh chính: RPC; Kênh phụ: TFTP
  • D. Kênh chính: SMTP; Kênh phụ: HTTP

Câu 8. Loại Carrier nào được mô tả là “stealthy” (tàng hình) nhất?

  • A. Self-Carried
  • B. Second Channel
  • C. Embedded
  • D. Direct Transfer

Câu 9. Phương thức Activation nào chậm nhất?

  • A. Self Activation
  • B. Scheduled Process Activation
  • C. Human Activation
  • D. Human Activity-Based Activation

Câu 10. Phương thức Activation nào nhanh nhất?

  • A. Human Activation
  • B. Human Activity-Based Activation
  • C. Scheduled Process Activation
  • D. Self Activation

Câu 11. MyDoom sử dụng phương thức Activation nào?

  • A. Self Activation
  • B. Human Activation
  • C. Scheduled Process Activation
  • D. Buffer Overflow Activation

Câu 12. Worm ILOVEYOU sử dụng file đính kèm có phần mở rộng gì?

  • A. .exe
  • B. .bat
  • C. .vbs
  • D. .com

Câu 13. Payload “Data Damage” được thực hiện bởi worm nào sau đây?

  • A. Morris và Code Red
  • B. Chernobyl và Klez
  • C. Slammer và Sasser
  • D. Nimda và Blaster

Câu 14. Morris Worm lây nhiễm bao nhiêu phần trăm host trên Internet?

  • A. 1-2%
  • B. 6-10%
  • C. 15-20%
  • D. 25-30%

Câu 15. Morris Worm khai thác lỗ hổng nào?

  • A. Buffer overflow trong IIS
  • B. Buffer overflow trong dịch vụ fingerd
  • C. SQL injection trong MS SQL Server
  • D. Buffer overflow trong LSASS

Câu 16. Code Red I v2 lây nhiễm bao nhiêu máy tính trong vòng 14 giờ?

  • A. 100.000
  • B. 200.000
  • C. 359.000
  • D. 500.000

Câu 17. Sự khác biệt chính giữa Code Red I v1 và v2 là gì?

  • A. v2 nhắm mục tiêu khác với v1
  • B. v1 dùng static seed, v2 dùng random seed cho bộ sinh số ngẫu nhiên
  • C. v2 có payload nguy hiểm hơn v1
  • D. v1 chỉ tấn công Linux, v2 tấn công Windows

Câu 18. Code Red I tấn công DoS vào địa chỉ nào trong giai đoạn ngày 20-27?

  • A. google.com
  • B. microsoft.com
  • C. www1.whitehouse.gov
  • D. fbi.gov

Câu 19. Nimda lan truyền qua bao nhiêu phương thức khác nhau?

  • A. 2
  • B. 3
  • C. 4
  • D. 5

Câu 20. Nimda gây thiệt hại bao nhiêu tiền chỉ trong tuần đầu tiên?

  • A. 53 triệu USD
  • B. 530 triệu USD
  • C. 5,3 tỷ USD
  • D. 53 tỷ USD

Câu 21. SQL Slammer (Sapphire) bao gồm bao nhiêu bytes code?

  • A. 37 bytes
  • B. 376 bytes
  • C. 3.760 bytes
  • D. 37.600 bytes

Câu 22. Tại sao SQL Slammer sử dụng UDP thay vì TCP?

  • A. UDP an toàn hơn TCP
  • B. UDP không cần quá trình bắt tay (handshake), cho phép gửi gói tin cực nhanh
  • C. MS SQL Server chỉ hỗ trợ UDP
  • D. TCP bị firewall chặn còn UDP thì không

Câu 23. SQL Slammer lây nhiễm bao nhiêu host trong 10 phút đầu tiên?

  • A. 7.500
  • B. 75.000
  • C. 750.000
  • D. 7.500.000

Câu 24. So với Code Red, SQL Slammer nhanh hơn bao nhiêu bậc độ lớn?

  • A. 1 bậc (10 lần)
  • B. 2 bậc (100 lần)
  • C. 3 bậc (1.000 lần)
  • D. 4 bậc (10.000 lần)

Câu 25. Worm nào được phát hiện nhắm mục tiêu vào một căn cứ quân sự Mỹ?

  • A. Sasser
  • B. Slammer
  • C. Witty
  • D. Nimda

Câu 26. SASSER worm khai thác dịch vụ nào của Windows?

  • A. IIS (Internet Information Services)
  • B. RPC (Remote Procedure Call)
  • C. LSASS (Local Security Authority Subsystem Service)
  • D. SMB (Server Message Block)

Câu 27. SASSER quét bao nhiêu địa chỉ IP đồng thời?

  • A. 100
  • B. 512
  • C. 1.024
  • D. 2.048

Câu 28. Bước nào trong mô hình lan truyền worm là tùy chọn (không phải lúc nào cũng có)?

  • A. Bước 1: Target Acquisition
  • B. Bước 2: Delivery of Hostile Code
  • C. Bước 3: Execution of Hostile Code
  • D. Bước 4: Transfer of Additional Code

Câu 29. Trong bước Delivery of Hostile Code, code được truyền qua con đường nào?

  • A. Chỉ qua email
  • B. Chỉ qua buffer overflow
  • C. NFS, Email, Web client, Remote shell, Packet payload của buffer overflow
  • D. Chỉ qua mạng nội bộ

Câu 30. “Penetration Ratio” trong benchmarks đo lường điều gì?

  • A. Tốc độ worm xâm nhập vào hệ thống
  • B. Số node bị lây nhiễm so với tổng số node trong domain khả dĩ
  • C. Mức độ nguy hiểm của payload
  • D. Thời gian để worm vượt qua firewall

Câu 31. “Reaction Time” trong context worm defense có nghĩa là gì?

  • A. Thời gian worm phản ứng với các biện pháp chống đỡ
  • B. Thời gian từ khi phát hiện worm đến khi triển khai biện pháp kiểm soát
  • C. Thời gian worm cần để lây nhiễm một host mới
  • D. Tốc độ phản hồi của hệ thống bị nhiễm

Câu 32. Động cơ nào sau đây KHÔNG được đề cập trong slide là lý do kẻ tấn công tạo worm?

  • A. Experimental Curiosity
  • B. Commercial Advantage
  • C. Revenge (Trả thù cá nhân)
  • D. Political Protest

Câu 33. Worm nào đầu tiên trong lịch sử nhắm vào hệ thống Unix quy mô lớn?

  • A. Code Red
  • B. Morris Worm
  • C. Nimda
  • D. Slammer

Câu 34. Payload của Morris Worm là gì?

  • A. Xóa file hệ thống
  • B. Defacement website
  • C. Không có payload
  • D. Đánh cắp mật khẩu

Câu 35. Witty worm có payload như thế nào?

  • A. Xóa toàn bộ ổ đĩa ngay lập tức
  • B. Từ từ làm hỏng các block ngẫu nhiên trên ổ đĩa
  • C. Defacement website
  • D. Không có payload

Câu 36. Witty worm khai thác lỗ hổng trong sản phẩm của công ty nào?

  • A. Microsoft
  • B. Cisco
  • C. Internet Security Systems (ISS)
  • D. Oracle

Câu 37. Nimda khai thác backdoor của worm nào trước đó?

  • A. Morris Worm
  • B. Slammer
  • C. Code Red II
  • D. Blaster

Câu 38. Phương thức truyền tải “Second Channel” trong worm hoạt động như thế nào?

  • A. Dùng hai giao thức khác nhau đồng thời để tăng tốc độ truyền
  • B. Khai thác kênh chính để chiếm quyền, sau đó dùng kênh thứ cấp để tải phần code còn lại
  • C. Truyền qua hai mạng vật lý khác nhau
  • D. Mã hóa kép dữ liệu truyền tải

Câu 39. Tại sao Externally Generated Target Lists (từ metaserver) hiệu quả?

  • A. Vì metaserver chứa danh sách tất cả IP trên Internet
  • B. Vì danh sách từ metaserver chỉ gồm các server đang hoạt động thực sự, tránh lãng phí
  • C. Vì metaserver được mã hóa nên không bị phát hiện
  • D. Vì loại này quét nhanh nhất

Câu 40. Code Red I khai thác lỗ hổng nào trong IIS?

  • A. SQL injection trong database IIS
  • B. Buffer overflow trong Indexing Service của Microsoft IIS
  • C. Cross-site scripting trong web interface IIS
  • D. Directory traversal trong FTP service của IIS

Câu 41. Tại sao Code Red là “memory resident”?

  • A. Vì nó chỉ tấn công RAM của máy tính
  • B. Vì toàn bộ worm chỉ tồn tại trong RAM, không ghi ra ổ đĩa, và biến mất khi reboot
  • C. Vì nó chiếm dụng toàn bộ bộ nhớ của máy bị nhiễm
  • D. Vì nó được lưu trữ trong bộ nhớ đệm (cache) của router

Câu 42. Loại tấn công “Internet DoS” như payload của worm thực hiện điều gì?

  • A. Tấn công vào hệ thống cơ sở dữ liệu Internet
  • B. Sử dụng các máy bị nhiễm để thực hiện tấn công từ chối dịch vụ phân tán (DDoS)
  • C. Làm chậm kết nối Internet của nạn nhân
  • D. Tắt hoàn toàn dịch vụ DNS

Câu 43. Khi nói đến “False Positives” trong context phát hiện worm, điều đó có nghĩa là gì?

  • A. Worm phát hiện được một host đã bị nhiễm trước đó
  • B. Hệ thống phát hiện cảnh báo nhầm về một hoạt động bình thường là worm
  • C. Worm cố tình tạo ra các tín hiệu giả để đánh lừa IDS
  • D. Phát hiện đúng worm nhưng sai phiên bản

Câu 44. Một worm “contagion” có đặc điểm nổi bật gì trong giai đoạn Target Discovery?

  • A. Tạo ra lượng traffic khổng lồ trong thời gian ngắn
  • B. Không tạo ra traffic bất thường vì dựa vào giao tiếp bình thường
  • C. Chỉ lây lan trong mạng nội bộ
  • D. Phải có sự hỗ trợ từ server bên ngoài

Câu 45. Nimda có thể lan truyền qua firewalls vì lý do gì?

  • A. Nimda có khả năng hack firewall
  • B. Nimda sử dụng nhiều vector tấn công khác nhau, một số vector có thể xuyên qua firewall
  • C. Firewall không thể chặn UDP traffic
  • D. Nimda sử dụng port 80 (HTTP) vốn thường được mở

Câu 46. Trong mô hình lan truyền worm, bước nào xảy ra TRƯỚC khi code được thực thi?

  • A. Target Acquisition → Transfer Additional Code → Delivery of Hostile Code
  • B. Target Acquisition → Delivery of Hostile Code → Execution of Hostile Code
  • C. Delivery of Hostile Code → Target Acquisition → Execution of Hostile Code
  • D. Execution of Hostile Code → Delivery of Hostile Code → Target Acquisition

Câu 47. Tại sao “Preference for local addresses” là chiến lược tối ưu hóa hiệu quả trong Target Discovery?

  • A. Vì địa chỉ local dễ scan hơn địa chỉ remote
  • B. Vì các máy trong cùng subnet thường chạy cùng OS và ứng dụng, tăng khả năng thành công
  • C. Vì local traffic không bị firewall chặn
  • D. Vì local bandwidth luôn lớn hơn external bandwidth

Câu 48. SQL Slammer đạt tốc độ scanning tối đa là bao nhiêu sau khoảng bao lâu?

  • A. 55 triệu scans/giây sau khoảng 3 phút
  • B. 55 triệu scans/giây sau khoảng 30 phút
  • C. 5,5 triệu scans/giây sau khoảng 3 phút
  • D. 5,5 tỷ scans/giây sau khoảng 3 giây

Câu 49. Lý do tốc độ tăng trưởng của Slammer chậm lại sau khi đạt đỉnh là gì?

  • A. Hết các host dễ bị tấn công
  • B. Các hệ thống antivirus bắt đầu phát hiện và chặn
  • C. Băng thông mạng trở thành bottleneck — không đủ băng thông cho worm hoạt động
  • D. Worm tự giới hạn để tránh bị phát hiện

Câu 50. “Unauthorized auto-updater programs” được sử dụng như một ví dụ của loại Activation nào?

  • A. Self Activation
  • B. Human Activation
  • C. Scheduled Process Activation
  • D. Human Activity-Based Activation

Câu 51. Worm nào sau đây không có payload nguy hiểm?

  • A. Chernobyl
  • B. Code Red
  • C. Morris Worm
  • D. Witty

Câu 52. Sự kiện nào được mô tả trong slide như là “Internet DOS: paper’s dream realized”?

  • A. Slammer làm tê liệt Internet năm 2003
  • B. Code Red tấn công White House website
  • C. Morris Worm làm sập toàn bộ hệ thống Unix
  • D. Nimda lan qua firewall

Câu 53. Phương thức Target Discovery nào phụ thuộc hoàn toàn vào hành vi của người dùng?

  • A. Random Scanning
  • B. Pre-generated Target Lists
  • C. Passive Discovery (Contagion Worms)
  • D. Permutation Scanning