Link to original video by Lyquockhanh Ly

Buổi 1 : Tổng quan về an ninh mạng và mã độc

Tóm tắt video "Buổi 1: Tổng quan về an ninh mạng và mã độc"

Tóm tắt ngắn:

• Video giới thiệu về an ninh mạng và mã độc, nhấn mạnh sự nguy hiểm của chúng đối với cá nhân, tổ chức và quốc gia.
• Video thảo luận về các loại tấn công mạng phổ biến, bao gồm mã hóa dữ liệu (ransomware), tấn công chuỗi cung ứng, tấn công vào hệ thống tài chính, tấn công vào thiết bị IoT, tấn công có chủ đích (APT) và tấn công vào hệ thống điều khiển công nghiệp (ICS).
• Video cung cấp các ví dụ thực tế về các cuộc tấn công mạng nổi tiếng như Stuxnet, WannaCry, SolarWinds và Colonial Pipeline.
• Video giới thiệu các phương pháp phát hiện và phân tích mã độc, bao gồm việc xác định các thành phần của mã độc, các kỹ thuật ẩn mình của mã độc và các công cụ hỗ trợ phát hiện mã độc.

Tóm tắt chi tiết:

Phần 1: Giới thiệu chung

• Giới thiệu về khóa học "Phát hiện và phân tích mã độc", nhấn mạnh sự tham gia của các chuyên gia từ các công ty hàng đầu về an ninh mạng.
• Nêu rõ nội quy lớp học, lịch học, chương trình học và cách thức đánh giá.
• Nhấn mạnh tầm quan trọng của việc tham gia đầy đủ các buổi học để nhận chứng chỉ của Samsung.

Phần 2: Tổng quan về an ninh mạng

• Thảo luận về tình hình an ninh mạng quốc tế, với sự gia tăng về số lượng, quy mô và chất lượng các cuộc tấn công mạng.
• Nêu bật các loại tấn công mạng phổ biến hiện nay, bao gồm:
  • Mã hóa dữ liệu (ransomware): Kẻ tấn công mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để giải mã.
  • Tấn công chuỗi cung ứng: Kẻ tấn công nhắm vào các chuỗi cung ứng phần mềm để đạt được mục tiêu của mình.
  • Tấn công vào hệ thống tài chính: Kẻ tấn công nhắm vào các ngân hàng và tổ chức tài chính để đánh cắp tiền.
  • Tấn công vào thiết bị IoT: Kẻ tấn công nhắm vào các thiết bị IoT để chiếm quyền kiểm soát và tạo botnet.
  • Tấn công có chủ đích (APT): Kẻ tấn công nhắm vào các mục tiêu cụ thể để khai thác thông tin và tấn công hệ thống.
  • Tấn công vào hệ thống điều khiển công nghiệp (ICS): Kẻ tấn công nhắm vào các hệ thống điều khiển công nghiệp để gây gián đoạn hoạt động của các nhà máy và cơ sở hạ tầng quan trọng.
• Cung cấp các ví dụ thực tế về các cuộc tấn công mạng nổi tiếng:
  • Stuxnet: Tấn công vào hệ thống điều khiển của nhà máy hạt nhân Natanz ở Iran.
  • WannaCry: Tấn công vào các thiết bị sử dụng hệ thống SMB, khai thác lỗ hổng EternalBlue.
  • SolarWinds: Tấn công vào phần mềm quản lý giám sát mạng Orion, chèn mã độc vào các bản cập nhật.
  • Colonial Pipeline: Tấn công vào đường ống dẫn dầu lớn nhất của Mỹ, sử dụng ransomware để mã hóa hệ thống.

Phần 3: Tổng quan về mã độc

• Định nghĩa mã độc (malware) và các khái niệm liên quan như virus, worm, web shell.
• Nêu bật các dấu hiệu nhận biết hệ thống bị nhiễm mã độc, bao gồm:
  • Máy tính hoạt động chậm.
  • Ứng dụng không hoạt động hoặc hoạt động không đúng.
  • Trang web tải chậm hoặc không tải được.
  • Hệ thống tự khởi động lại.
  • Phần mềm diệt virus bị vô hiệu hóa.
  • Tường lửa bị vô hiệu hóa.
  • Xuất hiện các cửa sổ pop-up quảng cáo.
  • Máy tính tự gửi hoặc nhận email lạ.
  • Không thể cài đặt phần mềm.
  • Mất file hoặc icon trên desktop.
• Thảo luận về các hình thức tấn công phổ biến:
  • Tấn công qua email (phishing): Kẻ tấn công gửi email lừa đảo để dụ nạn nhân click vào link độc hại.
  • Tấn công qua USB: Kẻ tấn công cài mã độc vào USB và lây nhiễm sang máy tính khác.
  • Tấn công qua lỗ hổng bảo mật: Kẻ tấn công khai thác các lỗ hổng bảo mật của hệ thống để cài mã độc.
  • Tấn công vào điểm yếu của hệ thống: Kẻ tấn công nhắm vào các điểm yếu của hệ thống, như mật khẩu yếu.
  • Tấn công qua các nguồn không an toàn: Kẻ tấn công lây nhiễm mã độc qua các phần mềm crack, mạng xã hội, các trang web không đáng tin cậy.
• Phân tích các hành vi phổ biến của mã độc:
  • Đánh cắp thông tin: Mã độc thu thập thông tin nhạy cảm của nạn nhân, như mật khẩu, tài khoản ngân hàng, thông tin cá nhân.
  • Mã hóa dữ liệu và tống tiền (ransomware): Mã độc mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để giải mã.
  • Phá hoại và gây hư hại hệ thống: Mã độc xóa file, tắt hệ thống, gây gián đoạn hoạt động của hệ thống.
  • Đào tiền ảo: Mã độc sử dụng máy tính của nạn nhân để đào tiền ảo.
  • Điều khiển trái phép: Mã độc biến máy tính của nạn nhân thành botnet để tấn công các hệ thống khác.
  • Quảng cáo (adware): Mã độc hiển thị quảng cáo trên màn hình máy tính của nạn nhân.
  • Giám sát và thu thập thông tin (spyware): Mã độc giám sát và thu thập thông tin nhạy cảm của nạn nhân.
• Phân loại mã độc theo hình thức lây nhiễm:
  • Cần chương trình chủ: Mã độc cần người dùng kích hoạt để hoạt động, như virus, worm, backdoor, rootkit.
  • Không cần chương trình chủ: Mã độc tự hoạt động và lây nhiễm, như ransomware, botnet, zombie.
• Giới thiệu về cách đặt tên mã độc theo tiêu chuẩn của Microsoft.
• Nêu bật các định dạng dữ liệu dễ bị nhiễm mã độc.

Phần 4: Giám sát mã độc

• Giới thiệu về mục đích và tầm quan trọng của việc giám sát mã độc.
• Thảo luận về các thành phần của mã độc, bao gồm:
  • File: Chứa mã nguồn, dữ liệu mã hóa, pad và các thông tin khác của mã độc.
  • Registry Key: Chứa thông tin quan trọng về hệ thống và ứng dụng, thường bị mã độc sửa đổi để khởi động cùng hệ thống.
  • Process: Mã độc tạo ra các tiến trình mới hoặc sửa đổi bộ nhớ của các tiến trình đang chạy để thực hiện hành động độc hại.
  • Memory: Mã độc lưu trữ mã nguồn và dữ liệu trong bộ nhớ của hệ thống.
  • Folder: Mã độc tạo ra các thư mục ẩn để che giấu các file độc hại.
• Phân tích các kỹ thuật ẩn mình của mã độc:
  • File ẩn: Mã độc ẩn file để tránh bị phát hiện.
  • Giả mạo icon: Mã độc giả mạo icon của file hoặc thư mục để đánh lừa người dùng.
  • Giả mạo shortcut: Mã độc thay đổi đường dẫn của shortcut để kích hoạt mã độc khi người dùng click vào shortcut.
  • Si loading: Mã độc thay thế thư viện DLL của ứng dụng bằng phiên bản độc hại để thực hiện hành động xấu.
  • Giả mạo file: Mã độc giả mạo file gốc để đánh lừa người dùng.
  • Fileless: Mã độc hoạt động hoàn toàn trong bộ nhớ hoặc thông qua các tiến trình hợp pháp, không để lại dấu vết trên hệ thống.
  • Preos boot: Mã độc hoạt động trước khi hệ điều hành khởi động, lây nhiễm vào MBR hoặc UEFI.
  • Lợi dụng tiến trình service: Mã độc ẩn mình dưới các tiến trình service của hệ thống.
  • Ẩn mình bằng cách lây nhiễm vào các chương trình khác: Mã độc lây nhiễm vào các chương trình hoặc file thực thi khác để ẩn mình.
• Giới thiệu các công cụ hỗ trợ phát hiện mã độc:
  • Autoruns: Phát hiện các chương trình khởi động cùng hệ thống.
  • Process Explorer: Quản lý và theo dõi các tiến trình đang chạy.
  • Process Hacker: Quản lý và theo dõi các tiến trình đang chạy một cách sâu rộng hơn.
  • TCPView: Xem hoạt động mạng của các tiến trình.
  • PC Hunter: Kiểm tra an ninh máy tính, phát hiện lỗ hổng bảo mật.
  • Event Viewer: Xem log của hệ thống.
  • Process Monitor: Theo dõi và lọc các tiến trình.
• Nêu bật các lưu ý khi giám sát mã độc:
  • Phát hiện dựa trên thông tin khởi động, file, process, kết nối mạng.
  • Sử dụng các nguồn tham khảo như VirusTotal, Sandboxie.

Phần 5: Xử lý mã độc

• Giới thiệu về các bước xử lý mã độc:
  • Loại bỏ tiến trình của mã độc.
  • Xóa file của mã độc.
  • Kiểm tra lại hệ thống sau khi xóa mã độc.
• Nêu bật các biện pháp phòng chống mã độc:
  • Cập nhật phần mềm và Antivirus thường xuyên.
  • Sử dụng tường lửa.
  • Sao lưu dữ liệu.
  • Cấu hình bảo mật hệ thống.
  • Không tải phần mềm từ nguồn không đáng tin cậy.
  • Không mở file đính kèm trong email lạ.
  • Lưu ý khi sử dụng USB.
  • Sử dụng mật khẩu mạnh và không đặt chung mật khẩu cho nhiều tài khoản.

Phần 6: Máy ảo

• Giới thiệu về máy ảo và tầm quan trọng của việc sử dụng máy ảo để phân tích mã độc.
• Giới thiệu về VirtualBox và các tính năng của nó.
• Hướng dẫn cách cấu hình VirtualBox để tạo môi trường an toàn cho việc phân tích mã độc.
• Nêu bật các bước cấu hình VirtualBox:
  • Chọn chế độ mạng Host Only.
  • Cấu hình USB để kết nối trực tiếp với máy ảo.
  • Cấu hình chia sẻ tệp Read Only.
  • Tạo snapshot để khôi phục lại trạng thái ban đầu của máy ảo.
  • Kéo thả các chương trình vào máy ảo để cài đặt.
  • Copy các mẫu mã độc vào máy ảo để chạy.

Kết luận:

• Video cung cấp kiến thức cơ bản về an ninh mạng và mã độc, giúp người xem hiểu rõ hơn về các loại tấn công mạng phổ biến, các kỹ thuật ẩn mình của mã độc và các công cụ hỗ trợ phát hiện và phân tích mã độc.
• Video nhấn mạnh tầm quan trọng của việc sử dụng máy ảo để phân tích mã độc một cách an toàn.
• Video khích lệ người xem tiếp tục theo dõi các bài học tiếp theo để thực hành phân tích mã độc với sự hướng dẫn của các chuyên gia.