Tìm hiểu về malware đa hình và siêu đa hình

Như đã đề cập trong các bài viết trước đây, malware (phần mềm độc hại) đã trở thành một vấn nạn lớn. Những kẻ bất chính đang lợi dụng ransomware, keylogger, bank trojancryptojacker hòng chuộc lợi bất chính từ các nạn nhân. Với phần mềm diệt virus miễn phí hoặc trả phí, hệ thống của bạn người dùng được tăng cường bảo mật.

Hacker có một mánh khóe để can thiệp vào các hệ thống bảo mật. Những phần mềm diệt virus thường dựa vào “signature” (chữ ký) để phát hiện xem một chương trình có độc hại hay không. Khi phát hiện một virus mới, signature của nó được ghi lại và gửi cho phần mềm diệt virus của những người khác để giúp phát hiện virus mới hiệu quả hơn. Theo một cách nào đó, signature là “dấu vân tay” của virus trong hồ sơ. Một khi bị phát hiện, những phần mềm diệt virus khác được thông báo cũng sẽ loại bỏ phần mềm lừa đảo này ngay khi nó xuất hiện.

Dấu vân tay

Nhưng điều gì sẽ xảy ra nếu một hacker có thể thay đổi signature cho virus? Bằng cách đó, virus sẽ tránh được việc bị phát hiện ngay cả khi phần mềm diệt virus đã có nhật ký ghi lại “dấu vân tay” của phần mềm độc hại trước đó. Điều này có nghĩa là virus đã được ngụy trang theo một kiểu mới. Đây chính xác là những gì malware đa hình và siêu đa hình có thể làm được, và trong tương lai, một số malware “cứng đầu” loại này sẽ lan truyền trên Internet.

Malware đa hình

Malware đa hình (Polymorphic) có một phần cốt lõi luôn thực hiện cùng một nhiệm vụ, bất kể nó thay đổi bao nhiêu lần. Nó luôn thực hiện các hành động giống nhau và luôn tấn công theo cùng một cách, nhưng nó tiếp tục điều chỉnh phần còn lại của code để giữ cho các “phiên bản” của mình luôn có sự khác biệt. Malware đa hình có thể dễ xác định hơn một chút so với “người anh em” malware siêu đa hình của nó, vì các phần mềm diệt virus có thể sử dụng phần “lõi” để phát hiện và xác định phần mềm độc hại.

Malware đa hình

Một ví dụ về malware đa hình hiện nay là Storm Worm. Nó xuất hiện lần đầu tiên vào năm 2007 và được đặt tên là Storm Worm bởi vì phương thức tấn công ban đầu của nó là gửi một email với chủ đề 230 dead as storm batters Europe (230 người đã chết sau các trận bão ở châu Âu). Một khi nạn nhân bị nhiễm malware, máy tính của họ sẽ tạo ra một loại malware mới sau mỗi 30 phút và gửi nó đi. Dòng tiêu đề sẽ thay đổi theo thời gian (như đã thấy ở trên), nhưng code chính của worm này vẫn giữ nguyên.

Malware siêu đa hình

Malware siêu đa hình (Metamorphic) nguy hiểm hơn rất nhiều. Trong khi malware đa hình có thể được phát hiện nhờ phần lõi, malware siêu đa hình cố gắng tổ chức lại toàn bộ code của mình sau mỗi phiên bản. Nó tập hợp lại với cùng logic và chức năng mà nó có trước đây nhưng thêm các yếu tố như code giả và các chức năng được sắp xếp lại để làm cho nó trông khác với các “phiên bản” trước. Điều này làm cho các phần mềm diệt virus khó khăn hơn rất nhiều trong việc phát hiện.

AI ảnh hưởng đến điều này như thế nào?

Khi con người đang tiến vào một thế giới mà AI ngày càng trở nên hoàn thiện hơn, một cuộc chiến giữa những kẻ tạo ra malware và các lập trình viên bảo mật đang diễn ra hết sức quyết liệt. Cả hai bên đều đang sử dụng AI để tăng cường sức mạnh chiến đấu của mình nhằm có được lợi thế cạnh tranh. 

AI

Với sự hậu thuẫn của AI, việc tái cấu trúc code cho malware đa hình và siêu đa hình rất nhanh chóng và hiệu quả. Điều này có nghĩa là phần mềm độc hại sẽ khó bị phát hiện hơn, có khả năng phát tán và tránh được nhiều phần mềm dệt virus hơn.

Tất nhiên, với việc các công ty bảo mật cũng có quyền tiếp cận với AI cao cấp, cuộc chiến đang diễn ra theo cả hai chiều. Các nhà phát triển phần mềm diệt virus có thể lập trình nhằm phát hiện malware nhanh chóng mà không phụ thuộc vào signature của nó. Bằng cách sử dụng AI để đưa ra quyết định hợp lý về cách thức hoạt động của phần mềm độc hại, các phần mềm diệt virus không cần phải dựa vào “dấu vân tay” lưu trong hồ sơ. Nó chỉ cần phát hiện ra tác nhân trong hành động và cách ly những thứ đáng ngờ.

Người dùng có thể làm gì?

Malware

Có thể hơi đáng sợ khi nghe về malware có khả năng né tránh bảo mật, nhưng thực tế rằng phần mềm diệt virus là biện pháp tốt nhất người dùng có thể sử dụng vẫn không thay đổi! Đừng tải xuống các file trông có vẻ khả nghi, mở email đáng ngờ hoặc nhấp vào liên kết lạ mà bạn bè trên mạng xã hội gửi cho bạn. Malware siêu đa hình không thể tấn công nếu bạn không tạo cho chúng cơ hội!

Với việc các phần mềm diệt virus đang thịnh hành trên Internet như hiện nay, những kẻ phát triển phần mềm độc hại luôn tìm cách nâng cấp chương trình của mình nhằm vượt qua các hệ thống bảo mật. Bây giờ bạn đã biết về malware đa hình và siêu đa hình, cũng như các mối đe dọa mà nó có thể mang lại. Bạn có nghĩ rằng mọi chuyện sẽ trở nên tồi tệ hơn không hay các công ty bảo mật sẽ chiến thắng trong cuộc chiến AI? Hãy cho chúng tôi biết ý kiến trong phần bình luận dưới đây nhé!

Xem thêm:

Thứ Hai, 17/12/2018 14:20
43 👨 329