Skip to content

CHƯƠNG 4: MALWARE THREATS¤

PHẦN 1: ĐỊNH NGHĨA VÀ KHÁI NIỆM CƠ BẢN¤

1. MALWARE LÀ GÌ?¤

NIST (SP 800-83) định nghĩa: "Một chương trình được chèn vào hệ thống, thường là bí mật, với mục đích xâm phạm confidentiality, integrity, hoặc availability của dữ liệu, ứng dụng, hoặc hệ điều hành của nạn nhân hoặc làm phiền hoặc gián đoạn nạn nhân"

Malware = Malicious Software - Hoạt động chống lại chủ sở hữu hoặc người dùng

2. CÁCH MALWARE XÂM NHẬP HỆ THỐNG¤

Các con đường phổ biến: - Instant messenger application - Removable devices (USB, ổ cứng di động) - Browser and email software bugs - Insecure patch management - Untrusted sites and freeware web application - Download files from the Internet - Email attachments (phổ biến) - Network propagation - File sharing services (FTP, SMB)

3. THỐNG KÊ MALWARE (Sep 2020)¤

Số liệu đáng chú ý: - Tổng malware: ~1.101.270.000 - >350,000 mẫu malware MỚI mỗi ngày - 7 tỷ cuộc tấn công malware năm 2019 - 4 công ty trở thành nạn nhân ransomware MỖI PHÚT - IoT malware tăng 33% (2018→2019) - Trojans phổ biến nhất toàn cầu (11%)

PHẦN 2: MALWARE TAXONOMY (PHÂN LOẠI)¤

1. PHÂN LOẠI THEO CƠ CHẾ LÂY LAN (PROPAGATION)¤

A. Infected Content: - Viruses (Virus)

B. Vulnerability Exploit: - Worms (Sâu)

C. Social Engineering: - Spam email, Trojans

2. PHÂN LOẠI THEO PAYLOAD (TÁC ĐỘNG)¤

A. System Corruption: - Logic Bombs (Bom logic)

B. Attack Agent: - Zombie, Bots

C. Information Theft: - Keylogger, Phishing, Spyware

D. Stealthing (Ẩn mình): - Backdoors, Rootkits

3. CÁC LOẠI MALWARE CHÍNH¤

Danh sách: - Adware - Backdoor - Bots/Botnets - Keyloggers - Mobile malware - Ransomware - Rootkits - Spyware - Trojan horse - Viruses - Worms

PHẦN 3: ADVANCED PERSISTENT THREAT (APT)¤

ĐỊNH NGHĨA APT¤

APT là: Tội phạm mạng, thường là nhà nước hoặc nhóm được nhà nước tài trợ, nhắm vào mục tiêu kinh doanh và chính trị, sử dụng nhiều công nghệ xâm nhập và malware, áp dụng liên tục và hiệu quả cho mục tiêu cụ thể trong thời gian dài

Ba yếu tố:

1. Advanced (Tiên tiến): - Lựa chọn cẩn thận nhiều kỹ thuật thu thập thông tin và xâm nhập - Sử dụng malware phức tạp

2. Persistent (Kiên trì): - Áp dụng tiến triển và thường lén lút - Cho đến khi mục tiêu bị xâm phạm

3. Threats (Đe dọa): - Kết quả từ kẻ tấn công có tổ chức, có năng lực và được tài trợ tốt - Threat = Capability + Intent

KỸ THUẬT PHỔ BIẾN CỦA APT¤

  • Social engineering
  • Spear-phishing emails (email lừa đảo nhắm mục tiêu)
  • Drive-by-downloads

VÍ DỤ APT¤

  • Aurora
  • RSA
  • APT1
  • Stuxnet

PHẦN 4: VIRUSES (VIRUS)¤

1. KHÁI NIỆM CƠ BẢN¤

Định nghĩa: - Thuật ngữ được Fred Cohen đặt ra năm 1983 - Mã độc gắn vào "active content" - Active content: program, script, boot sector, library...

Đặc điểm: - Infects programs/systems bằng cách sửa đổi chúng - Loại malware lan rộng đầu tiên - Lây lan khi USER THỰC HIỆN HÀNH ĐỘNG (VD: chạy chương trình bị nhiễm) - Dùng như thuật ngữ chung ("anti-virus" phát hiện nhiều hơn virus!)

2. CÁC LOẠI VIRUS¤

A. BOOT SECTOR VIRUSES (BOOTKIT)¤

Cách hoạt động: 1. Boot process: Firmware (BIOS) → Load MBR → Run code 2. Virus thay thế MBR → kiểm soát hoàn toàn sớm 3. First PC virus (Brain) là boot-sector virus 4. Có thể tạo hypervisor (như BluePill)

Phòng thủ: - UEFI Secure Boot là biện pháp tốt

B. MACRO VIRUSES¤

Đặc điểm: - Dữ liệu KHÔNG phải lúc nào cũng thụ động! - Nhiều định dạng document (MS Office) chứa macros - Files (HTML, email) có thể chứa VBScript/JavaScript

Ví dụ sớm nhất: - Melissa (1999) - sử dụng macro truy cập Outlook address book

Biện pháp: - MS-Word/Excel yêu cầu hành động để enable macros - Vấn đề: Nhiều người click "Enable Macros" không hiểu hậu quả!

3. FIRST PC VIRUS - "THE BRAIN" (1986)¤

Nguồn gốc: - Virus PC đầu tiên "in the wild" - Có nguồn gốc từ Pakistan ("Pakistani Brain")

Hoạt động: 1. Nằm trong high memory và stay resident 2. Copy vào boot sector 3. Copy boot sector gốc vào các vị trí disk, đánh dấu "bad sectors" 4. Chặn mọi disk read/write requests để giả mạo 5. Lây lan sang tất cả disks chưa bị nhiễm 6. Không gây thiệt hại trực tiếp

4. VIRUS HOAXES (TIN ĐỒN VIRUS GIẢ)¤

Các ví dụ nổi tiếng: - "Virus Flambé": Đồn màn hình sẽ cháy! - Blue Mountain greeting card virus hoax - "Goodtimes" hoax (1994): Tin đồn lan rộng đầu tiên

Khuyến nghị: - Luôn kiểm tra với công ty bảo mật uy tín (McAfee, Symantec)

5. EARLY VIRUSES - CÁC VÍ DỤ NỔI TIẾNG¤

Jerusalem (1987): - Virus PC đầu tiên (logic bomb) gây thiệt hại lan rộng - Sử dụng TSR (Terminate and Stay Resident) DOS - Gắn vào .COM và .EXE files - Mỗi thứ Sáu ngày 13, xóa mọi chương trình được chạy

Michelangelo (1992): - Ngày sinh Michelangelo (March 6) → xóa disks - McAfee dự đoán 5,000,000 máy nhiễm → chỉ ~10,000 - Chiêu trò bán hàng?

Melissa (1999): - MS-Word macro virus - Khi mở document → gửi cho 50 người đầu trong address book - Không thiệt hại trực tiếp nhưng làm tắc nghẽn mail servers - Ước tính 100,000 máy tính trong tuần đầu

Love Bug / ILOVEYOU (2000): - VBScript virus, lây qua email/MS-Outlook - Xóa media files (.jpg, .mp3...) - Tác giả từ Philippines, thoát tội

Code Red (2001): - Lây qua MS-IIS bug

Slammer (2003): - Lây qua MS-SQL Server bug

PHẦN 5: WORMS (SÂU)¤

1. KHÁI NIỆM CƠ BẢN¤

Đặc điểm: - Lây lan bản sao qua mạng - Thường là chương trình độc lập (không gắn vào program như virus) - Lây lan TỰ ĐỘNG (không cần tương tác người dùng) - Khai thác lỗ hổng (như buffer overflow)

So với Virus: - Có thể infect executables sau khi lây qua mạng - Nhưng thường cài đặt như chương trình hoàn chỉnh riêng

2. THE INTERNET WORM (MORRIS WORM - 1988)¤

Sự kiện quan trọng: - November 2, 1988 - Sự cố Internet lan rộng, nghiêm trọng đầu tiên - Dự định lây lan nhưng không gây thiệt hại khác

Vấn đề: - Bug trong replication code → nhiễm lặp lại cùng host - Làm tắc nghẽn nhiều hệ thống → sysadmins ngắt kết nối

Khai thác 3 bugs: 1. Guessed logins (đoán mật khẩu) 2. Fingerd buffer overflow 3. Sendmail "debug mode"

Tác giả: - Robert Morris - sinh viên Cornell - Gọi là "Morris worm" - Người đầu tiên bị kết án theo Computer Fraud and Abuse Act 1986 - Phạt: $10k, 3 năm án treo, 400 giờ phục vụ cộng đồng

Kết quả tích cực: - Mọi người bắt đầu chú ý đến bảo mật - CERT (Computer Emergency Response Team) được tạo ra

3. CODE RED (2001)¤

Cách lây lan: - Qua MS IIS buffer overflow vulnerability

Thống kê: - Ước tính 750,000 servers bị nhiễm - Tên từ Mountain Dew Code Red (đồ uống phân tích suốt đêm)

Động cơ chính trị: - Message "Hacked by Chinese" - Vài tháng sau sự cố "spy-plane" - Timebomb DoS attack vào www.whitehouse.gov

Hai giai đoạn: - Scan/infect - Attack (dựa trên ngày trong tháng)

4. SLAMMER (2003)¤

Tên khác: - "Sapphire" hoặc "SQL Slammer"

Cách lây lan: - Qua buffer overflow vulnerability trong MS SQL Server

Đặc điểm đáng chú ý: - LÂY LAN CỰC NHANH! - Hosts bị nhiễm tăng gấp đôi mỗi 8.5 giây - Nhiễm >90% hosts dễ bị tấn công trong 10 phút - Nhiễm qua UDP (không phải TCP) service

Hậu quả: - Làm quá tải mạng, vô hiệu hóa dịch vụ khác - VD: Nhiều ATM của Bank of America ngừng hoạt động

5. STUXNET (2010)¤

Đặc điểm: - Một trong những worms tinh vi nhất từng phát hiện - Tìm thấy năm 2010

Kỹ thuật: - Khai thác ít nhất 4 zero-day exploits - Một số liên kết đến Equation Group - Lây qua USB và network - Bao gồm rootkit để vô hình

Phạm vi: - Ước tính >200,000 hệ thống bị nhiễm - Hầu hết chỉ thấy giảm hiệu suất

Payload độc hại (Logic Bomb): - Chỉ kích hoạt trong tình huống cụ thể - Tìm Siemens "Step 7" controller software - Cấu hình mục tiêu cụ thể: Iran's nuclear centrifuge controllers - Lập trình lại controllers → centrifuges quay mất kiểm soát - Reportedly phá hủy ⅕ centrifuges hạt nhân của Iran

PHẦN 6: TROJAN HORSES (NGỰA THÀNH TROY)¤

1. ĐỊNH NGHĨA¤

Nguồn gốc: - Từ câu chuyện cổ đại Hy Lạp về Troy

Định nghĩa: "Một chương trình hữu ích hoặc có vẻ hữu ích chứa mã ẩn, khi được gọi, thực hiện chức năng không mong muốn hoặc có hại"

Đặc điểm: - Lây lan từ social engineering - Ẩn sau chức năng hấp dẫn

2. CÁC LOẠI TROJAN¤

Phân loại: - Remote Access Trojan (RAT): MoSucker, ProRAT, Theef - Backdoor Trojans: Kovter, Nitol, Quadars, Snake - Rootkit trojan: Wingbird, Finfisher, GrayFish, Whistler - Proxy server Trojan: Linux.Proxy.10, Qbot - Mobile Trojan, IoT Trojan

3. CÁCH NHIỄM HỆ THỐNG BẰNG TROJAN¤

Wrappers (Công cụ đóng gói): - Bind trojan với ứng dụng trông hợp pháp - Game, office, antivirus... - Full-cracked app (ứng dụng crack đầy đủ)

Quy trình: 1. User tải app hấp dẫn 2. Wrapper chứa trojan ẩn bên trong 3. Khi chạy → trojan được kích hoạt

PHẦN 7: PAYLOAD - CÁC TÁC ĐỘNG¤

1. DATA DESTRUCTION & RANSOMWARE¤

Data Destruction Virus: - Xóa tất cả dữ liệu trên hệ thống bị nhiễm - VD: Chernobyl virus (1998)

Ransomware: - Mã hóa dữ liệu người dùng - Đòi tiền để cung cấp key giải mã - VD: - PC Cyborg Trojan (1989) - Gpcode Trojan (2006) - sử dụng public-key crypto - WannaCry (2017)

2. ZOMBIE VÀ BOTS¤

Bot (Robot, Zombie, Drone): - PC, servers, embedded devices bị xâm phạm - Dùng để tấn công máy khác - VD: routers, surveillance cameras

Botnet: - Mạng (collection) của bots

Sử dụng Bots: - DDoS attacks (Distributed Denial-of-Service) - Spamming - Sniffing traffic - Spreading new malware - Installing advertisement add-ons - Attacking IRC chat networks

Ví dụ: - Mirai botnet (2016)

3. BACKDOOR¤

Định nghĩa: - Cho phép người dùng không được phép truy cập hệ thống

Đặc điểm: - Thường là insider attack - VD: Giữ quyền truy cập sau khi rời công ty

4. PRIVACY-INVASIVE SOFTWARE¤

Spyware: - Theo dõi browsing/execution history

Adware: - Kẻ tấn công bán quảng cáo hiển thị trên máy nạn nhân

Keystroke Loggers (Keyloggers): - Capture passwords, passphrases

Khác: - Thậm chí truy cập webcams!

PHẦN 8: MALWARE BEHAVIOR¤

ĐẶC ĐIỂM HÀNH VI¤

1. Infection Vectors (Con đường nhiễm): - Regular software distribution (disk hoặc network) - Vulnerable network services - Vulnerable applications - E-mail: Automatic hoặc lừa user

2. Malicious Behavior Control: - Có thể execute ngay lập tức - Time-bomb: Kích hoạt vào thời gian cụ thể - Logic-bomb: Kích hoạt khi điều kiện cụ thể - Thường bị nhân viên cũ để lại → kích hoạt sau khi bị sa thải - VD: OMEGA Engineering, 1996 - Có thể điều khiển từ xa (như botnets)

PHẦN 9: SPREAD OF MALWARE (LÂY LAN)¤

MÔ HÌNH TOÁN HỌC¤

Analogy với biological viruses: - Mô hình dịch bệnh sinh học hoạt động!

Các biến số chính: - N = số hosts dễ bị tấn công (vulnerable) - I_t = hosts bị nhiễm tại thời điểm t - S_t = hosts dễ bị tấn công tại thời điểm t - β = tỷ lệ nhiễm (infection rate)

Công thức cơ bản: - I_(t+1) = I_t + β × I_t × S_t - S_(t+1) = N - I_(t+1)

Thực tế: - Mô hình lý thuyết PHẢN ÁNH ĐÚNG THỰC TẾ! - Đã được chứng minh với Code Red

PHẦN 10: COUNTERMEASURES (BIỆN PHÁP ĐỐI PHÓ)¤

1. SIGNATURE-BASED DETECTION¤

Cách hoạt động: - Nhận diện mã "known-bad"

Đặc điểm: - ✓ Vendors có teams phân tích malware và update signatures - ✓ Đáng tin cậy với false-positives thấp - ✗ Có thể tránh detection bằng sửa đổi nhỏ - ✗ Users phải giữ database cập nhật! - ✗ Phải biết malware → 0-days trượt qua

Cảnh báo: - Nhiều anti-virus có "free trial period" → sau đó ngừng update!

Phương pháp: - Full file-system scans - Dynamic monitoring - Cả hai là tốt nhất!

2. ANOMALY DETECTION¤

Cách hoạt động: - Phát hiện hoạt động bất thường

Ví dụ: - Đọc/ghi số lượng lớn files - Detect code gắn vào event handlers (keyboard loggers)

Đặc điểm: - ✓ Có thể phát hiện ngay cả malware chưa biết/0-days - ✗ Có xu hướng nhiều false positives

Xử lý: - Misbehaving/bad software có thể được quarantined (cách ly)

3. ATTACKERS VS PROTECTORS - THE ARMS RACE¤

Cuộc đua vũ trang: - Kỹ thuật detection mới được phát minh thường xuyên - Kỹ thuật evasion mới được phát minh thường xuyên - Ai sẽ thắng?

Kỹ thuật Evasion (Trốn tránh):

A. POLYMORPHIC OR ENCRYPTED VIRUSES¤

Đặc điểm: - Core code được trình bày khác nhau ở các phiên bản khác nhau - VD: Virus code được mã hóa với keys khác nhau - Thường một phần chính (decryptor hoặc virus morpher) có thể nhận diện

B. METAMORPHIC VIRUSES¤

Đặc điểm: - Toàn bộ code thay đổi qua transformations bảo toàn chức năng - Có thể: - Shuffle registers sử dụng - Thêm useless code - Sử dụng equivalent operations - KHÓ PHÁT HIỆN HƠN NHIỀU!

NGÂN HÀNG CÂU HỎI CHƯƠNG 4¤

PHẦN 1: ĐỊNH NGHĨA VÀ KHÁI NIỆM¤

Câu 1: Malware là gì theo NIST?

A. Phần mềm miễn phí

B. Chương trình được chèn vào hệ thống để xâm phạm CIA hoặc làm phiền nạn nhân

C. Công cụ bảo mật

D. Virus máy tính

Câu 2: Malware viết tắt của gì?

A. Malfunction Software

B. Malicious Software

C. Maintenance Software

D. Manual Software

Câu 3: Theo thống kê Sep 2020, có bao nhiêu mẫu malware MỚI mỗi ngày?

A. 1,000

B. 10,000

C. >350,000

D. 1,000,000

Câu 4: Bao nhiêu công ty trở thành nạn nhân ransomware mỗi phút?

A. 1

B. 4

C. 10

D. 20

Câu 5: Loại malware phổ biến nhất toàn cầu là gì (11%)?

A. Worms

B. Viruses

C. Trojans

D. Ransomware

Câu 6: Con đường nào KHÔNG phải cách malware xâm nhập hệ thống?

A. Email attachments

B. Removable devices

C. Network propagation

D. Chạy antivirus

Câu 7: IoT malware infection rate tăng bao nhiêu % từ 2018 đến 2019?

A. 10%

B. 20%

C. 33%

D. 50%

PHẦN 2: PHÂN LOẠI MALWARE¤

Câu 8: Viruses lây lan chủ yếu qua cơ chế nào?

A. Infected Content

B. Vulnerability Exploit

C. Social Engineering

D. Network Propagation

Câu 9: Worms lây lan chủ yếu qua cơ chế nào?

A. Infected Content

B. Vulnerability Exploit

C. Social Engineering

D. Email attachments

Câu 10: Trojans lây lan chủ yếu qua cơ chế nào?

A. Infected Content

B. Vulnerability Exploit

C. Social Engineering

D. Buffer overflow

Câu 11: Logic Bombs thuộc payload loại nào?

A. System Corruption

B. Attack Agent

C. Information Theft

D. Stealthing

Câu 12: Bots và Zombies thuộc payload loại nào?

A. System Corruption

B. Attack Agent

C. Information Theft

D. Stealthing

Câu 13: Keylogger và Spyware thuộc payload loại nào?

A. System Corruption

B. Attack Agent

C. Information Theft

D. Stealthing

Câu 14: Backdoors và Rootkits thuộc payload loại nào?

A. System Corruption

B. Attack Agent

C. Information Theft

D. Stealthing

PHẦN 3: APT (ADVANCED PERSISTENT THREAT)¤

Câu 15: APT viết tắt của gì?

A. Automatic Protection Tool

B. Advanced Persistent Threat

C. Active Prevention Technology

D. Application Performance Testing

Câu 16: "Advanced" trong APT có nghĩa là?

A. Sử dụng AI

B. Lựa chọn cẩn thận nhiều kỹ thuật thu thập thông tin và malware phức tạp

C. Tấn công nhanh

D. Tự động hóa hoàn toàn

Câu 17: "Persistent" trong APT có nghĩa là?

A. Tấn công một lần

B. Áp dụng tiến triển và lén lút cho đến khi mục tiêu bị xâm phạm

C. Tấn công liên tục 24/7

D. Không bao giờ dừng

Câu 18: Công thức của Threat trong APT?

A. Threat = Attack + Defense

B. Threat = Capability + Intent

C. Threat = Malware + Exploit

D. Threat = Time + Money

Câu 19: Kỹ thuật phổ biến NHẤT của APT?

A. Buffer overflow

B. SQL injection

C. Social engineering, spear-phishing emails

D. Brute force

Câu 20: APT thường được thực hiện bởi ai?

A. Script kiddies

B. Hackers cá nhân

C. Nation state hoặc state-sponsored groups

D. Hacktivists

Câu 21: Ví dụ nào KHÔNG phải là APT?

A. Aurora

B. RSA

C. Stuxnet

D. Melissa

PHẦN 4: VIRUSES¤

Câu 22: Thuật ngữ "virus" được ai đặt ra và năm nào?

A. Robert Morris, 1988

B. Fred Cohen, 1983

C. Ken Thompson, 1984

D. Tim Berners-Lee, 1989

Câu 23: Virus lây lan như thế nào?

A. Tự động qua mạng

B. Khi user thực hiện hành động (VD: chạy chương trình bị nhiễm)

C. Qua email tự động

D. Không cần tương tác

Câu 24: Virus gắn vào đâu?

A. Chỉ program files

B. Chỉ boot sector

C. Active content: program, script, boot sector, library...

D. Chỉ document files

Câu 25: First PC virus "in the wild" là gì và năm nào?

A. Melissa, 1999

B. Morris Worm, 1988

C. Brain, 1986

D. Jerusalem, 1987

Câu 26: Brain virus có nguồn gốc từ đâu?

A. Mỹ

B. Trung Quốc

C. Pakistan (Pakistani Brain)

D. Nga

Câu 27: Brain virus là loại nào?

A. Macro virus

B. Boot sector virus

C. File infector

D. Polymorphic virus

Câu 28: Brain virus gây thiệt hại trực tiếp không?

A. Có, xóa dữ liệu

B. Không, không gây thiệt hại trực tiếp

C. Có, làm hỏng phần cứng

D. Có, mã hóa files

Câu 29: Jerusalem virus (1987) kích hoạt khi nào?

A. Mỗi ngày 13

B. Mỗi thứ Sáu ngày 13

C. Ngày 1 tháng 1

D. Ngày 6 tháng 3

Câu 30: Jerusalem virus sử dụng feature nào của DOS?

A. Command.com

B. TSR (Terminate and Stay Resident)

C. Autoexec.bat

D. Config.sys

Câu 31: Michelangelo virus kích hoạt vào ngày nào?

A. Thứ Sáu ngày 13

B. March 6 (ngày sinh Michelangelo)

C. January 1

D. December 25

Câu 32: McAfee dự đoán bao nhiêu máy bị Michelangelo nhiễm?

A. 100,000

B. 1,000,000

C. 5,000,000

D. 10,000,000

Câu 33: Thực tế có bao nhiêu máy bị Michelangelo nhiễm?

A. 5,000,000

B. 1,000,000

C. 100,000

D. ~10,000

Câu 34: Melissa virus (1999) là loại gì?

A. Boot sector virus

B. Macro virus

C. File infector

D. Polymorphic virus

Câu 35: Melissa virus lây lan như thế nào?

A. Qua USB

B. Gửi cho 50 người đầu trong address book khi mở document

C. Qua network share

D. Qua boot sector

Câu 36: Melissa virus gây thiệt hại gì?

A. Xóa files

B. Mã hóa dữ liệu

C. Không thiệt hại trực tiếp nhưng làm tắc nghẽn mail servers

D. Phá hủy hardware

Câu 37: Love Bug/ILOVEYOU (2000) là loại script gì?

A. JavaScript

B. VBScript

C. Python

D. Perl

Câu 38: Love Bug xóa files loại nào?

A. .doc, .xls

B. .jpg, .mp3 (media files)

C. .exe, .dll

D. .txt, .pdf

Câu 39: Tác giả Love Bug đến từ đâu và kết cục?

A. Mỹ, vào tù

B. Philippines, thoát tội

C. Trung Quốc, bị phạt

D. Nga, không tìm thấy

Câu 40: Macro viruses khai thác đặc điểm gì của documents?

A. Kích thước lớn

B. Documents có thể chứa macros (VBScript/JavaScript)

C. Định dạng phức tạp

D. Có thể in được

Câu 41: MS-Word/Excel giờ yêu cầu gì để chống macro virus?

A. Cài antivirus

B. Hành động của user để enable macros

C. Password

D. Digital signature

Câu 42: UEFI Secure Boot bảo vệ chống loại virus nào?

A. Macro virus

B. Boot sector virus (Bootkit)

C. File infector

D. Polymorphic virus

Câu 43: "Goodtimes" (1994) nổi tiếng vì điều gì?

A. Virus nguy hiểm nhất

B. Virus hoax (tin đồn giả) lan rộng đầu tiên

C. Virus đầu tiên

D. Virus phức tạp nhất

Câu 44: Khi nghi ngờ virus hoax, nên làm gì?

A. Forward cho bạn bè

B. Xóa hết files

C. Kiểm tra với công ty bảo mật uy tín (McAfee, Symantec)

D. Tắt máy ngay

PHẦN 5: WORMS¤

Câu 45: Worms khác Virus ở điểm nào?

A. Worms nguy hiểm hơn

B. Worms lây lan TỰ ĐỘNG qua mạng, Virus cần user action

C. Worms chậm hơn

D. Worms ít hại hơn

Câu 46: Worms thường là gì?

A. Gắn vào program

B. Chương trình độc lập (stand-alone program)

C. Macro code

D. Boot sector code

Câu 47: Worms thường khai thác gì để lây lan?

A. Social engineering

B. Vulnerabilities (như buffer overflow)

C. Weak passwords

D. USB drives

Câu 48: Morris Worm xuất hiện ngày nào?

A. January 1, 1988

B. November 2, 1988

C. December 25, 1988

D. October 31, 1988

Câu 49: Morris Worm gây vấn đề gì?

A. Xóa dữ liệu

B. Bug replication → nhiễm lặp lại cùng host → tắc nghẽn hệ thống

C. Mã hóa files

D. Đánh cắp passwords

Câu 50: Morris Worm khai thác bao nhiêu bugs?

A. 1

B. 2

C. 3 (guessed logins, fingerd buffer overflow, sendmail debug mode)

D. 5

Câu 51: Robert Morris bị kết án theo luật nào?

A. GDPR

B. Computer Fraud and Abuse Act 1986

C. Cybersecurity Act 2000

D. HIPAA

Câu 52: Hình phạt của Robert Morris?

A. 10 năm tù

B. $10k fine, 3 năm án treo, 400 giờ phục vụ cộng đồng

C. Chỉ phạt tiền

D. Không bị phạt

Câu 53: Kết quả tích cực từ Morris Worm?

A. Internet được nâng cấp

B. Mọi người chú ý bảo mật, CERT được tạo ra

C. Không có kết quả tích cực

D. Antivirus được phát minh

Câu 54: CERT viết tắt của gì?

A. Computer Emergency Repair Team

B. Computer Emergency Response Team

C. Cybersecurity Expert Response Team

D. Central Emergency Recovery Team

Câu 55: Code Red (2001) lây lan qua lỗ hổng gì?

A. MS SQL Server

B. MS IIS buffer overflow

C. Apache bug

D. PHP vulnerability

Câu 56: Code Red được đặt tên từ đâu?

A. Màu đỏ của code

B. Mountain Dew Code Red (đồ uống phân tích suốt đêm)

C. Mức độ nguy hiểm

D. Tên tác giả

Câu 57: Code Red nhiễm ước tính bao nhiêu servers?

A. 100,000

B. 500,000

C. 750,000

D. 1,000,000

Câu 58: Code Red có message gì?

A. "I love you"

B. "Hacked by Chinese"

C. "Game over"

D. "You are infected"

Câu 59: Code Red tấn công DoS vào đâu?

A. Google.com

B. www.whitehouse.gov

C. Microsoft.com

D. CNN.com

Câu 60: Slammer còn được gọi là gì?

A. Code Red II

B. Sapphire hoặc SQL Slammer

C. Morris Worm II

D. Love Bug 2

Câu 61: Slammer (2003) lây lan qua lỗ hổng gì?

A. MS IIS

B. MS SQL Server buffer overflow

C. Apache

D. MySQL

Câu 62: Slammer lây lan qua protocol nào?

A. TCP

B. UDP

C. ICMP

D. HTTP

Câu 63: Tốc độ lây lan của Slammer?

A. Tăng gấp đôi mỗi phút

B. Tăng gấp đôi mỗi 8.5 giây

C. Tăng gấp đôi mỗi giờ

D. Tăng gấp đôi mỗi ngày

Câu 64: Slammer nhiễm >90% vulnerable hosts trong bao lâu?

A. 1 giờ

B. 30 phút

C. 10 phút

D. 1 phút

Câu 65: Hậu quả của Slammer?

A. Xóa dữ liệu

B. Làm quá tải mạng, vô hiệu hóa dịch vụ (VD: ATMs của Bank of America)

C. Mã hóa files

D. Đánh cắp passwords

Câu 66: Stuxnet được phát hiện năm nào?

A. 2003

B. 2008

C. 2010

D. 2015

Câu 67: Stuxnet khai thác bao nhiêu zero-day exploits?

A. 1

B. 2

C. Ít nhất 4

D. 10

Câu 68: Stuxnet lây lan qua những gì?

A. Chỉ USB

B. Chỉ network

C. Cả USB và network

D. Chỉ email

Câu 69: Stuxnet sử dụng gì để vô hình?

A. Encryption

B. Rootkit

C. Polymorphic code

D. Macro

Câu 70: Stuxnet tìm kiếm phần mềm gì?

A. MS Office

B. Siemens "Step 7" controller software

C. Adobe Reader

D. MySQL

Câu 71: Mục tiêu cụ thể của Stuxnet?

A. Power plants của Mỹ

B. Nuclear centrifuge controllers của Iran

C. Dams của Trung Quốc

D. Airports của Nga

Câu 72: Stuxnet phá hủy bao nhiêu % centrifuges hạt nhân Iran?

A. 10%

B. 20% (⅕)

C. 50%

D. 100%

Câu 73: Stuxnet thuộc loại bomb nào?

A. Time bomb

B. Logic bomb

C. Email bomb

D. Fork bomb

Câu 74: Stuxnet được đánh giá như thế nào?

A. Worm đơn giản

B. Một trong những worms tinh vi nhất từng phát hiện

C. Worm yếu nhất

D. Worm đầu tiên

Câu 75: Stuxnet nhiễm ước tính bao nhiêu hệ thống?

A. 10,000

B. 50,000

C. >200,000

D. 1,000,000

PHẦN 6: TROJAN HORSES¤

Câu 76: Trojan horse có nguồn gốc từ đâu?

A. Thần화 Ai Cập

B. Câu chuyện cổ đại Hy Lạp về Troy

C. Truyền thuyết Bắc Âu

D. Thần thoại La Mã

Câu 77: Đặc điểm chính của Trojan?

A. Tự lây lan

B. Ẩn sau chương trình hữu ích hoặc có vẻ hữu ích

C. Khai thác buffer overflow

D. Nhiễm boot sector

Câu 78: Trojan lây lan chủ yếu qua gì?

A. Network vulnerability

B. Social engineering

C. Buffer overflow

D. Zero-day exploit

Câu 79: RAT trong Trojan viết tắt của gì?

A. Random Access Trojan

B. Remote Access Trojan

C. Rapid Attack Tool

D. Real-time Authentication Token

Câu 80: Wrappers trong context của Trojan là gì?

A. Mã hóa trojan

B. Bind trojan với ứng dụng trông hợp pháp (game, office, cracked app)

C. Nén trojan

D. Ẩn trojan trong registry

Câu 81: Ví dụ nào là cách phổ biến để phát tán Trojan?

A. Buffer overflow

B. SQL injection

C. Full-cracked app (ứng dụng crack)

D. DNS spoofing

PHẦN 7: PAYLOAD VÀ TÁC ĐỘNG¤

Câu 82: Chernobyl virus (1998) thuộc loại payload nào?

A. Ransomware

B. Data Destruction

C. Spyware

D. Adware

Câu 83: Ransomware hoạt động như thế nào?

A. Xóa dữ liệu

B. Mã hóa dữ liệu và đòi tiền để cung cấp key giải mã

C. Đánh cắp mật khẩu

D. Gửi spam

Câu 84: WannaCry (2017) thuộc loại nào?

A. Virus

B. Worm

C. Ransomware

D. Trojan

Câu 85: Gpcode Trojan (2006) đặc biệt vì sử dụng gì?

A. Symmetric encryption

B. Public-key cryptography

C. Hash functions

D. Steganography

Câu 86: PC Cyborg Trojan (1989) đặc biệt vì điều gì?

A. Worm đầu tiên

B. Ransomware đầu tiên

C. Virus đầu tiên

D. Trojan đầu tiên

Câu 87: Bot còn được gọi là gì?

A. Malware, Virus

B. Zombie, Drone, Robot

C. Worm, Trojan

D. Spyware, Adware

Câu 88: Botnet là gì?

A. Một con bot mạnh

B. Mạng (collection) của bots

C. Công cụ phòng thủ

D. Loại firewall

Câu 89: Botnet được dùng để làm gì?

A. Bảo vệ hệ thống

B. Tăng tốc Internet

C. DDoS attacks, Spamming, Spreading malware

D. Backup dữ liệu

Câu 90: Mirai botnet (2016) là ví dụ của?

A. Virus botnet

B. IoT botnet

C. Mobile botnet

D. Email botnet

Câu 91: Backdoor thường là loại attack nào?

A. Outside attack

B. Insider attack

C. DDoS attack

D. Phishing attack

Câu 92: Mục đích chính của Backdoor?

A. Mã hóa dữ liệu

B. Cho phép truy cập không được phép, giữ quyền truy cập sau khi rời công ty

C. Gửi spam

D. Xóa files

Câu 93: Spyware làm gì?

A. Mã hóa files

B. Theo dõi browsing/execution history

C. Gửi email

D. Tạo backdoor

Câu 94: Keylogger capture được gì?

A. Screenshots

B. Passwords, passphrases

C. Network traffic

D. System logs

Câu 95: Adware làm gì?

A. Mã hóa files

B. Đánh cắp passwords

C. Hiển thị quảng cáo trên máy nạn nhân (attackers bán ads)

D. Xóa dữ liệu

PHẦN 8: MALWARE BEHAVIOR¤

Câu 96: Time-bomb kích hoạt khi nào?

A. Ngay lập tức

B. Vào thời gian cụ thể

C. Khi điều kiện cụ thể

D. Ngẫu nhiên

Câu 97: Logic-bomb kích hoạt khi nào?

A. Vào thời gian cụ thể

B. Khi điều kiện cụ thể xảy ra

C. Ngay lập tức

D. Mỗi ngày

Câu 98: Ai thường để lại logic-bomb?

A. Hackers bên ngoài

B. Nhân viên cũ (để kích hoạt sau khi bị sa thải)

C. Virus tự động

D. Ransomware

Câu 99: OMEGA Engineering (1996) là ví dụ của?

A. Virus

B. Logic-bomb

C. Worm

D. Ransomware

Câu 100: Botnet được điều khiển như thế nào?

A. Tự động hoàn toàn

B. Qua email

C. Command and control technique (IRC, Twitter...)

D. Qua SMS

PHẦN 9: SPREAD OF MALWARE¤

Câu 101: Trong mô hình lây lan malware, N đại diện cho gì?

A. Number of infected hosts

B. Number of vulnerable hosts

C. Network speed

D. Number of attacks

Câu 102: Trong mô hình lây lan, I_t đại diện cho gì?

A. Internet traffic

B. Infected hosts at time t

C. Intrusion attempts

D. IP addresses

Câu 103: Trong mô hình lây lan, β đại diện cho gì?

A. Bandwidth

B. Buffer size

C. Infection rate (tỷ lệ nhiễm)

D. Beta version

Câu 104: Công thức I_(t+1) trong mô hình lây lan?

A. I_t + N

B. I_t + β × I_t × S_t

C. I_t × β

D. N - S_t

Câu 105: Mô hình lây lan malware dựa trên gì?

A. Mô hình kinh tế

B. Mô hình dịch bệnh sinh học (biological epidemics)

C. Mô hình vật lý

D. Mô hình hóa học

Câu 106: Mô hình lý thuyết lây lan malware có phản ánh thực tế không?

A. Không

B. Một phần

C. Có! (đã được chứng minh với Code Red)

D. Chưa được kiểm chứng

PHẦN 10: COUNTERMEASURES¤

Câu 107: Hai broad classes của detection techniques?

A. Active và Passive

B. Signature-Based và Anomaly Detection

C. Static và Dynamic

D. Manual và Automatic

Câu 108: Signature-Based detection làm gì?

A. Tạo chữ ký digital

B. Nhận diện mã "known-bad"

C. Phát hiện hành vi bất thường

D. Mã hóa files

Câu 109: Ưu điểm của Signature-Based detection?

A. Phát hiện 0-days

B. Đáng tin cậy với false-positives thấp

C. Không cần updates

D. Nhanh nhất

Câu 110: Nhược điểm của Signature-Based detection?

A. Quá chậm

B. Quá nhiều false positives

C. Phải biết malware trước, 0-days trượt qua

D. Tốn nhiều tài nguyên

Câu 111: Users phải làm gì với Signature-Based antivirus?

A. Không cần làm gì

B. Mua license mới

C. Giữ database signatures cập nhật

D. Reinstall thường xuyên

Câu 112: Cảnh báo về antivirus miễn phí?

A. Luôn an toàn

B. Nhiều có "free trial period" rồi ngừng updates

C. Tốt hơn trả phí

D. Không hiệu quả

Câu 113: Anomaly Detection phát hiện gì?

A. Chữ ký malware

B. Hoạt động bất thường (unusual activity)

C. IP addresses

D. File hashes

Câu 114: Ưu điểm của Anomaly Detection?

A. Không có false positives

B. Có thể phát hiện ngay cả malware chưa biết/0-days

C. Nhanh nhất

D. Đơn giản nhất

Câu 115: Nhược điểm của Anomaly Detection?

A. Không phát hiện 0-days

B. Quá chậm

C. Xu hướng nhiều false positives

D. Cần database lớn

Câu 116: Ví dụ hoạt động bất thường mà Anomaly Detection có thể phát hiện?

A. Mở một file

B. Gửi một email

C. Đọc/ghi số lượng lớn files, code gắn vào event handlers

D. Browsing web

Câu 117: Malware bị phát hiện có thể được xử lý như thế nào?

A. Xóa ngay

B. Báo cáo police

C. Quarantined (cách ly)

D. Encrypt

Câu 118: Polymorphic virus hoạt động như thế nào?

A. Không thay đổi

B. Core code được trình bày khác nhau ở các phiên bản (VD: mã hóa với keys khác nhau)

C. Tự xóa

D. Lây lan nhanh

Câu 119: Metamorphic virus hoạt động như thế nào?

A. Giống polymorphic

B. TOÀN BỘ code thay đổi qua transformations bảo toàn chức năng

C. Không thay đổi

D. Chỉ đổi tên

Câu 120: Loại virus nào khó phát hiện hơn?

A. Polymorphic virus

B. Metamorphic virus

C. Boot sector virus

D. Macro virus

Câu 121: Metamorphic virus có thể làm gì để thay đổi?

A. Chỉ đổi key

B. Chỉ đổi tên biến

C. Shuffle registers, thêm useless code, sử dụng equivalent ops

D. Chỉ mã hóa

Câu 122: Phần nào của polymorphic virus có thể được nhận diện?

A. Toàn bộ code

B. Key piece (decryptor hoặc virus morpher)

C. Không phần nào

D. Payload

Câu 123: "Arms race" trong malware nghĩa là gì?

A. Chiến tranh thực sự

B. Cuộc đua giữa detection techniques mới và evasion techniques mới

C. Cạnh tranh antivirus

D. Tấn công quân sự

Câu 124: Ai sẽ thắng trong "arms race" malware?

A. Attackers chắc chắn

B. Protectors chắc chắn

C. Không có câu trả lời rõ ràng (cuộc đua liên tục)

D. Không ai thắng

Câu 125: Best practice cho antivirus?

A. Chỉ signature-based

B. Chỉ anomaly detection

C. Cả signature-based VÀ anomaly detection (both is best)

D. Không cần antivirus

ĐÁP ÁN NHANH (Câu 1-125)¤

1.B 2.B 3.C 4.B 5.C 6.D 7.C 8.A 9.B 10.C 11.A 12.B 13.C 14.D 15.B 16.B 17.B 18.B 19.C 20.C 21.D 22.B 23.B 24.C 25.C 26.C 27.B 28.B 29.B 30.B 31.B 32.C 33.D 34.B 35.B 36.C 37.B 38.B 39.B 40.B 41.B 42.B 43.B 44.C 45.B 46.B 47.B 48.B 49.B 50.C 51.B 52.B 53.B 54.B 55.B 56.B 57.C 58.B 59.B 60.B 61.B 62.B 63.B 64.C 65.B 66.C 67.C 68.C 69.B 70.B 71.B 72.B 73.B 74.B 75.C 76.B 77.B 78.B 79.B 80.B 81.C 82.B 83.B 84.C 85.B 86.B 87.B 88.B 89.C 90.B 91.B 92.B 93.B 94.B 95.C 96.B 97.B 98.B 99.B 100.C 101.B 102.B 103.C 104.B 105.B 106.C 107.B 108.B 109.B 110.C 111.C 112.B 113.B 114.B 115.C 116.C 117.C 118.B 119.B 120.B 121.C 122.B 123.B 124.C 125.C

BẢNG TÓM TẮT NHANH - CHƯƠNG 4¤

1. ĐỊNH NGHĨA & THỐNG Kʤ

  • Malware: Malicious Software xâm phạm CIA
  • >350,000 mẫu mới/ngày
  • 4 công ty/phút bị ransomware
  • Trojans phổ biến nhất (11%)

2. PHÂN LOẠI¤

Propagation: - Viruses: Infected Content - Worms: Vulnerability Exploit
- Trojans: Social Engineering

Payload: - Logic Bombs: System Corruption - Bots: Attack Agent - Keylogger/Spyware: Information Theft - Backdoor/Rootkit: Stealthing

3. APT¤

  • Advanced + Persistent + Threat
  • Threat = Capability + Intent
  • Kỹ thuật: Spear-phishing, Social engineering
  • VD: Stuxnet, Aurora, RSA

4. VIRUSES - KEY DATES¤

  • Brain (1986): First PC virus, boot sector
  • Jerusalem (1987): Thứ Sáu ngày 13
  • Melissa (1999): Macro virus, 50 contacts
  • Love Bug (2000): VBScript, .jpg/.mp3

5. WORMS - KEY INFO¤

  • Morris (1988-11-02): 3 bugs, CERT created
  • Code Red (2001): IIS, 750k servers, "Hacked by Chinese"
  • Slammer (2003): SQL Server, 8.5s double, 10 phút
  • Stuxnet (2010): 4 0-days, Iran centrifuges, 20%

6. TROJAN & PAYLOAD¤

  • Trojan: Social engineering, wrappers
  • Ransomware: Mã hóa + đòi tiền (WannaCry)
  • Botnet: C&C, DDoS, spam (Mirai)
  • Keylogger: Capture passwords

7. BEHAVIOR¤

  • Time-bomb: Thời gian cụ thể
  • Logic-bomb: Điều kiện cụ thể
  • Remote control: IRC, Twitter

8. SPREAD MODEL¤

  • **I_(t+1) = I_t + β × I_t × S