Tìm Hiểu Về Malware đa Hình Và Siêu đa Hình


Như đã nhắc đến trong các bài viết trước đây, malware (phần mềm độc hại) đã trở thành một vấn nạn lớn. Những kẻ bất chính đang lợi dụng ransomware, keylogger, bank trojan và cryptojacker hòng chuộc lợi bất chính từ các nạn nhân. Với ứng dụng diệt virus miễn phí hoặc trả phí, hệ thống của bạn người sử dụng được tăng cường bảo mật.

Hacker có một mánh khóe để can thiệp vào các hệ thống bảo mật. Những phần mềm diệt virus thường dựa vào “signature” (chữ ký) để phát hiện xem một chương trình có độc hại hay không. Khi phát hiện một virus mới, signature của nó được ghi lại và gửi cho phần mềm diệt virus của những người khác để giúp phát hiện virus mới hữu hiệu hơn. Theo một cách nào đó, signature là “dấu vân tay” của virus trong hồ sơ. Một khi bị phát hiện, những phần mềm diệt virus khác được thông báo cũng sẽ loại bỏ ứng dụng lừa đảo này ngay khi nó xuất hiện.

Dấu vân tay

Nhưng điều gì sẽ xảy ra nếu một hacker cũng đều có thể thay đổi signature cho virus? Bằng cách đó, virus sẽ tránh được việc bị phát hiện ngay khi khi ứng dụng diệt virus đã có nhật ký ghi lại “dấu vân tay” của phần mềm độc hại trước đó. Điều này còn có nghĩa là virus đã được ngụy trang theo một kiểu mới. Đây chính xác là những gì malware đa hình và siêu đa hình có thể làm được, và trong tương lai, một số malware “cứng đầu” loại này sẽ lây lan trên Internet.

Malware đa hình và siêu đa hình là gì?

  • Malware đa hình
  • Malware siêu đa hình
  • AI ảnh hưởng đến điều ấy như thế nào?
  • Người dùng cũng có thể có thể làm gì?

Malware đa hình

Malware đa hình (Polymorphic) có 1 phần cốt lõi luôn thi hành và một nhiệm vụ, bất cứ nó thay đổi bao nhiêu lần. Nó luôn thực hành các hành động trùng lặp và luôn tấn công theo cùng một cách, nhưng nó tiếp tục điều tiết phần còn lại của code để giữ cho các “phiên bản” của mình luôn có sự khác biệt. Malware đa hình có thể dễ định vị hơn một chút so với “người anh em” malware siêu đa hình của nó, vì các ứng dụng diệt virus cũng đều có thể sử dụng phần “lõi” để phát hiện và định vị ứng dụng độc hại.

Malware đa hình

Một ví dụ về malware đa hình hiện nay là Storm Worm. Nó xuất hiện lần thứ nhất tiên vào năm 2007 và được đặt tên là Storm Worm chính vì phương thức tiến công mới đầu của nó là gửi một email với chủ đề 230 dead as storm batters Europe (230 người đã chết sau các trận bão ở châu Âu). Một khi nạn nhân bị nhiễm malware, máy tính của họ sẽ tạo nên một loại malware mới sau mỗi nửa tiếng và gửi nó đi. Dòng tiêu đề sẽ thay đổi theo thời gian (như đã thấy ở trên), nhưng code chính của worm này vẫn giữ nguyên.

Malware siêu đa hình

Malware siêu đa hình (Metamorphic) hiểm nguy hơn rất nhiều. Trong khi malware đa hình cũng có thể có thể được phát hiện nhờ phần lõi, malware siêu đa hình cố gắng tổ chức lại toàn bộ code của mình sau mỗi phiên bản. Nó tập hợp lại với cùng logic và chức năng mà nó có ngày trước nhưng thêm các yếu tố như code giả và các chức năng được sắp xếp lại để khiến cho nó trông khác với những “phiên bản” trước. Điều này làm cho những ứng dụng diệt virus khó khăn hơn rất nhiều trong việc phát hiện.

AI ảnh hưởng đến điều này như làm sao?

Khi loài người đang tiến vào một thế giới mà AI ngày càng trở nên hoàn thiện hơn, một cuộc chiến giữa những kẻ tạo nên malware và các lập trình viên bảo mật đang diễn ra hết sức quyết liệt. Cả hai phía đều đang sử dụng AI để tăng cường sức mạnh chiến đấu của mình nhằm có được ưu thế cạnh tranh. 

AI

Với sự hậu thuẫn của AI, việc tái cấu trúc code cho malware đa hình và siêu đa hình rất mau chóng và hiệu quả. Điều này có tức là phần mềm độc hại sẽ khó bị phát hiện hơn, có khả năng phát tán và tránh được rất nhiều ứng dụng dệt virus hơn.

Tất nhiên, với việc các công ty bảo mật cũng có quyền tiếp cận với AI cao cấp, trận chiến đang diễn ra theo cả hai chiều. Các nhà phát triển phần mềm diệt virus cũng có thể có thể lập trình nhằm phát hiện malware mau chóng mà không phụ thuộc vào signature của nó. Bằng cách dùng AI để đưa ra quyết định hợp lý về phương pháp hoạt động của phần mềm độc hại, các phần mềm diệt virus không càng phải dựa vào “dấu vân tay” lưu trong hồ sơ. Nó chỉ cần phát giác ra tác nhân trong động thái và cách ly những thứ đáng ngờ.

Người dùng có thể làm gì?

Malware

Có thể hơi đáng sợ khi nghe về malware có khả năng né tránh bảo mật, nhưng thực tế rằng phần mềm diệt virus là biện pháp tốt nhất người sử dụng cũng có thể có thể sử dụng vẫn không thay đổi! Đừng tải xuống các file trông có vẻ khả nghi, mở email đáng ngờ hoặc nhấp vào liên kết lạ mà bạn bè trên mạng xã hội gửi cho bạn. Malware siêu đa hình chẳng thể tấn công nếu bạn không tạo cho chúng cơ hội!

Với việc các phần mềm diệt virus đang thịnh hành trên Internet như hiện nay, những kẻ phát triển ứng dụng độc hại luôn tìm cách nâng cấp chương trình của mình nhằm băng qua các hệ thống bảo mật. Bây giờ bạn đã biết về malware đa hình và siêu đa hình, cũng như các mối dọa dẫm mà nó cũng có thể có thể mang lại. Bạn có nghĩ rằng mọi chuyện sẽ trở nên xấu đi không hay các công ty bảo mật sẽ thắng cuộc trong trận chiến AI? Hãy cho chúng tôi biết quan điểm trong phần bình luận dưới đây nhé!

Liên kết đọc thêm:

  • Cách phát hiện malware VPNFilter trước khi nó phá hủy router
  • Những kiểu hình ẩn mình của malware
  • Tổng hợp các kiểu tiến công mạng thông dụng hiện nay

Biên tập: ITS

Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343

Bài Viết Liên Quan


Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343

Bài Viết Khác