Phần mềm ác ý

Phần mềm ác ý, còn gọi là phần mềm ác tính, phần mềm độc hại, phần mềm gây hại hay mã độc (tiếng Anh: malware là sự ghép của hai chữ malicious và software)^[1] là bất kỳ phần mềm nào được thiết kế có chủ đích nhằm gây gián đoạn cho máy tính, máy chủ, máy khách hoặc mạng máy tính, làm rò rỉ thông tin riêng tư, truy cập trái phép vào thông tin hoặc hệ thống, tước quyền truy cập vào thông tin hoặc vô tình can thiệp vào bảo mật và quyền riêng tư của máy tính của người dùng.^{[1][2][3][4][5]} Các nhà nghiên cứu có xu hướng phân loại phần mềm độc hại thành một hoặc nhiều loại phụ (ví dụ virus máy tính, worms, Trojan horses, Bom logic, ransomware, spyware, adware, rogue software, wipers và keyloggers).^[1]

Phần mềm độc hại gây ra những vấn đề nghiêm trọng cho cá nhân và doanh nghiệp trên Internet.^[6][7] Theo Báo cáo về mối đe dọa an ninh Internet năm 2018 của Symantec (ISTR), số lượng biến thể phần mềm độc hại đã tăng lên 669.947.865 vào năm 2017, gấp đôi số biến thể phần mềm độc hại năm 2016.^[8] Tội phạm mạng, bao gồm các cuộc tấn công phần mềm độc hại cũng như các tội phạm khác do máy tính gây ra, được dự đoán sẽ khiến nền kinh tế thế giới thiệt hại 6 nghìn tỷ đô la Mỹ vào năm 2021 và đang tăng với tốc độ 15% mỗi năm.^[9] Kể từ năm 2021, phần mềm độc hại đã được thiết kế để nhắm vào các hệ thống máy tính chạy cơ sở hạ tầng quan trọng như mạng lưới phân phối điện.^[10]

Các chiến lược phòng thủ chống lại phần mềm độc hại khác nhau tùy theo loại phần mềm độc hại nhưng hầu hết có thể bị ngăn chặn bằng cách cài đặt phần mềm diệt vi-rút, tường lửa, áp dụng các bản vá thường xuyên, bảo vệ mạng khỏi sự xâm nhập, sao lưu thường xuyên và cô lập các hệ thống bị nhiễm. Phần mềm độc hại có thể được thiết kế để tránh các thuật toán phát hiện phần mềm diệt vi-rút.^[8]

Lịch sử

Khái niệm về một chương trình máy tính tự sao chép có thể bắt nguồn từ các lý thuyết ban đầu về hoạt động của các máy tự động phức tạp.^[11] John von Neumannđã chỉ ra rằng về mặt lý thuyết, một chương trình có thể tự sao chép chính nó. Điều này tạo nên một kết quả hợp lý trong lý thuyết tính toán. Fred Cohen đã thử nghiệm với virus máy tính và xác nhận tiên đề của Neumann và nghiên cứu các đặc tính khác của phần mềm độc hại như khả năng phát hiện và tự làm tối nghĩa bằng cách sử dụng mã hóa thô sơ. Luận án tiến sĩ năm 1987 của ông là về chủ đề virus máy tính.^[12] Sự kết hợp của công nghệ mật mã như một phần của tải trọng vi-rút, khai thác nó cho mục đích tấn công đã được khởi tạo và nghiên cứu từ giữa những năm 1990, và bao gồm các ý tưởng ban đầu về phần mềm tống tiền và trốn tránh.^[13]

Trước khi Internet trở nên phổ biến, virus lây lan trên máy tính cá nhân bằng cách lây nhiễm các chương trình thực thi hoặc các sector khởi động của đĩa mềm. Bằng cách chèn một bản sao của chính nó vào các lệnh mã máy trong các chương trình hoặc sector khởi động này, virus khiến chính nó được chạy bất cứ khi nào chương trình được chạy hoặc đĩa được khởi động. Các virus máy tính ban đầu được viết cho Apple II và Mac, nhưng chúng trở nên phổ biến hơn với sự thống trị của IBM PC và MS-DOS. Virus PC IBM đầu tiên trong tự nhiên là virus sector khởi động có tên là (c)Brain, được anh em nhà Farooq Alvi ở Pakistan tạo ra vào năm 1986.^[14] Những kẻ phân phối phần mềm độc hại sẽ lừa người dùng khởi động hoặc chạy từ một thiết bị hoặc phương tiện bị nhiễm. Ví dụ, vi-rút có thể khiến máy tính bị nhiễm thêm mã tự chạy vào bất kỳ ổ USB nào được cắm vào. Bất kỳ ai sau đó gắn ổ USB vào một máy tính khác được đặt chế độ tự chạy từ USB sẽ bị nhiễm và cũng lây nhiễm theo cách tương tự.^[15]

Phần mềm email cũ hơn sẽ tự động mở email HTML có chứa mã JavaScript có khả năng gây hại. Người dùng cũng có thể thực thi các tệp đính kèm email độc hại được ngụy trang. Báo cáo điều tra vi phạm dữ liệu năm 2018 của Verizon, được CSO Online trích dẫn, nêu rằng email là phương pháp phân phối phần mềm độc hại chính, chiếm 96% lượng phần mềm độc hại được phân phối trên toàn thế giới.^[16][17]

Những worm đầu tiên, các chương trình lây nhiễm qua mạng, không bắt nguồn từ máy tính cá nhân mà từ các hệ thống Unix đa nhiệm. Worm đầu tiên được biết đến rộng rãi là worm Morris năm 1988, đã lây nhiễm các hệ thống SunOS và VAX BSD. Không giống như virus, worm này không tự chèn vào các chương trình khác. Thay vào đó, nó khai thác các lỗ hổng bảo mật (lỗ hổng) trong các chương trình máy chủ mạng và bắt đầu tự chạy như một quy trình riêng biệt.^[18] Hành vi tương tự này cũng được các con sâu ngày nay sử dụng.^[19]

Với sự ra đời của nền tảng Microsoft Windows vào những năm 1990 và các macro linh hoạt của các ứng dụng, việc viết mã độc bằng ngôn ngữ macro của Microsoft Word và các chương trình tương tự đã trở nên khả thi. Các loại virus macro này lây nhiễm vào các tài liệu và mẫu thay vì các ứng dụng (file thực thi), nhưng dựa trên thực tế là các macro trong tài liệu Word là một dạng mã thực thi.^[20]

Nhiều chương trình lây nhiễm ban đầu, bao gồm cả Morris Worm, loại worm internet đầu tiên, được viết dưới dạng thử nghiệm hoặc trò đùa.^[21] Ngày nay, phần mềm độc hại được cả tin tặc mũ đen và chính phủ sử dụng để đánh cắp thông tin cá nhân, tài chính hoặc kinh doanh.^[22][23] Ngày nay, bất kỳ thiết bị nào cắm vào cổng USB – ngay cả đèn, quạt, loa, đồ chơi hoặc thiết bị ngoại vi như kính hiển vi kỹ thuật số – đều có thể được sử dụng để phát tán phần mềm độc hại. Các thiết bị có thể bị nhiễm trong quá trình sản xuất hoặc cung cấp nếu kiểm soát chất lượng không đầy đủ.^[15]

Mục đích

Kể từ khi Internet băng thông rộng phát triển, phần mềm độc hại thường được thiết kế để kiếm lợi nhuận. Từ năm 2003, phần lớn các loại virus và sâu máy tính phổ biến đều được thiết kế để kiểm soát máy tính của người dùng cho mục đích bất hợp pháp.^[24] "Máy tính thây ma" bị nhiễm có thể được sử dụng để gửi thư rác qua email, lưu trữ dữ liệu lậu như khiêu dâm trẻ em,^[25] hoặc tham gia vào các cuộc tấn công từ chối dịch vụ phân tán như một hình thức tống tiền. Phần mềm độc hại được sử dụng rộng rãi nhằm tấn công các trang web của chính phủ hoặc công ty để thu thập thông tin nhạy cảm,^[26] hoặc phá vỡ hoạt động chung của họ. Hơn nữa, phần mềm độc hại có thể được sử dụng để tấn công các cá nhân để lấy thông tin như số nhận dạng cá nhân hoặc thông tin chi tiết, số ngân hàng hoặc thẻ tín dụng và mật khẩu.^[27][28]

Ngoài việc kiếm tiền bất hợp pháp, phần mềm độc hại có thể được sử dụng để phá hoại, thường là vì động cơ chính trị. Ví dụ, Stuxnet được thiết kế để phá hoại các thiết bị công nghiệp rất cụ thể. Đã có những cuộc tấn công có động cơ chính trị lan rộng và đóng cửa các mạng máy tính lớn, bao gồm xóa hàng loạt file và làm hỏng bản ghi khởi động chính, được mô tả là "giết máy tính". Các cuộc tấn công như vậy đã được thực hiện vào Sony Pictures Entertainment (ngày 25 tháng 11 năm 2014, sử dụng phần mềm độc hại được gọi là Shamoon hoặc W32.Disttrack) và Saudi Aramco (tháng 8 năm 2012).^[29][30]

Phân loại

Phần mềm độc hại có thể được phân loại theo nhiều cách và một số chương trình độc hại có thể được chia thành hai hoặc nhiều loại cùng một lúc.^[31] Nhìn chung, phần mềm có thể được phân loại thành ba loại:^[32] (i) phần mềm tốt; (ii) phần mềm xám và (iii) phần mềm độc hại.

Phân loại phần mềm có khả năng gây hại Dữ liệu có nguồn gốc từ: Molina-Coronado et al. (2023)^[32]

Loại	Đặc trưng	Ví dụ
Tốt	Được lấy từ nguồn đáng tin cậy	Google Play apps Buggy software
Xám	Sự đồng thuận và/hoặc số liệu không đủ	Phần mềm không mong muốn Spyware Adware
Độc hại	Sự đồng thuận rộng rãi giữa các phần mềm diệt virus rằng chương trình này là độc hại hoặc lấy từ các nguồn được gắn cờ.	Virus Worm Root kit Backdoor Ransomware Trojan horse

Phần mềm độc hại

Virus

Virus (trong trường hợp là phần mềm độc hại) là loại mã hoặc chương trình độc hại được viết để thay đổi cách máy tính hoạt động, được thiết kế để lây lan từ máy tính này sang máy tính khác nhằm phá hoại máy tính, mã hóa, sửa đổi hoặc xóa tập tin, lấy cắp dữ liệu cá nhân nhạy cảm, mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus.

Sâu máy tính

Sâu máy tính là một chương trình máy tính chứa phần mềm độc hại độc lập tự sao chép để lây lan sang các máy tính khác. Nó thường sử dụng mạng máy tính để tự lây lan, dựa vào các lỗi bảo mật trên máy tính mục tiêu để truy cập. Nó sẽ sử dụng máy này làm máy chủ để quét và lây nhiễm cho các máy tính khác. Sâu máy tính sử dụng phương pháp đệ quy để tự sao chép mà không cần chương trình chủ và tự phân phối dựa trên quy luật tăng trưởng theo cấp số nhân, sau đó điều khiển và lây nhiễm ngày càng nhiều máy tính trong thời gian ngắn. Sâu hầu như luôn gây ra ít nhất một số tác hại cho mạng, ngay cả khi chỉ bằng cách tiêu tốn băng thông.

Các dạng mã độc nhiễm hoạt động độc lập:

• Sâu máy tính (worm)

Lây nhiễm qua Internet, USB, mạng LAN...

• Trojan
• Spyware: tự động ghi lại các thông tin của máy tính bị xâm nhập.
• Adware: tự động hiện các bảng quảng cáo.
• Keylogger: ghi nhận lại toàn bộ thao tác của bàn phím.
• Backdoor: mở cửa hậu cho kẻ khác xâm nhập.
• Rootkit: Dạng mã độc "tàng hình" trước các chương trình kiểm soát file, tiến trình (process)... tạo đường truy nhập cho kẻ xâm nhập trở lại.

Một số mã độc nguy hiểm:

• Wanna Cry
• Worm Sasser
• Baza

Xem thêm

• Phần mềm gián điệp
• Phần mềm quảng cáo
• Thư rác (điện tử)
• Thư rác