Section 6: Malware

Computer Virus

Mã độc chạy trên máy mà người dùng không biết, lây nhiễm khi được thực thi.

Boot Sector Virus

Virus lưu ở sector đầu tiên của ổ cứng, được tải vào bộ nhớ khi khởi động.

Macro Virus

Mã độc nhúng trong tài liệu, thực thi khi người dùng mở tài liệu.

Program Virus

Lây nhiễm file thực thi hoặc ứng dụng bằng mã độc.

Multipartite Virus

Kết hợp boot sector virus và program virus.

Encrypted Virus

Ẩn mình bằng cách mã hóa mã độc.

Polymorphic Virus

Thay đổi mã để tránh bị phát hiện.

Metamorphic (biến chất) Virus

Tự viết lại hoàn toàn trước khi lây nhiễm file.

Stealth Virus

Ngăn chặn phát hiện bởi antivirus software.

Armored Virus

Có lớp bảo vệ để gây khó khăn cho phân tích.

Hoax Virus

Tin đồn về virus, dọa người dùng thực hiện hành động không mong muốn.

Worm

Phần mềm độc hại tự sao chép, lan truyền qua mạng mà không cần tương tác người dùng.

Worm Dangers

Lây nhiễm workstation, làm gián đoạn network traffic do tự sao chép liên tục.

Trojan

Phần mềm giả vô hại, thực hiện hành động độc hại khi được chạy.

Remote Access Trojan (RAT)

Cho phép điều khiển từ xa, thường dùng để đánh cắp dữ liệu và duy trì truy cập lâu dài.

Ransomware

Mã độc khóa hệ thống/dữ liệu bằng mã hóa, yêu cầu tiền chuộc để mở khóa.

Ransomware Protection

1. Regular backups (Sao lưu thường xuyên)

2. software updates (cập nhật phần mềm)

3. security awareness training (đào tạo nhân viên)

4. Multi-Factor Authentication (MFA)

Ransomware Actions

Không trả tiền chuộc, ngắt kết nối máy nhiễm, thông báo cho cơ quan chức năng, phục hồi từ bản sao lưu.

Botnet

Mạng máy tính bị kiểm soát từ xa bởi hacker.

Zombie

Máy tính trong botnet bị điều khiển mà người dùng không biết.

Command and Control Node

Máy tính quản lý và điều phối hoạt động của các node trong botnet ==> Máy chủ điều phối botnet.

Botnet Uses

Tấn công DDoS, gửi spam/phishing, phá mã hóa, che giấu tấn công.

DDoS Attack

Tấn công từ chối dịch vụ phân tán — nhiều máy cùng tấn công một mục tiêu cùng lúc.

Botnet Encryption Attacks

Kết hợp sức mạnh xử lý của zombies để phá mã hóa, chỉ dùng 20-25% sức mạnh mỗi zombie.

Rootkit

Mã độc chiếm quyền quản trị (administrator) và tránh bị phát hiện.

Administrator Account

Tài khoản có quyền cao nhất trên hệ thống.

Ring 3

Quyền thấp nhất, dành cho người dùng thông thường.

Ring 0

Chế độ kernel, quyền cao nhất điều khiển thiết bị.

DLL Injection

Chèn thư viện động (DLL) vào tiến trình khác để thực thi mã độc.

Dynamic Link Library (DLL)

Tập hợp mã và dữ liệu được nhiều chương trình dùng để tái sử dụng và mô-đun hóa.

Shim

Mã chèn giữa các thành phần phần mềm để chuyển hướng hoặc can thiệp hành vi.

Rootkit Detection

Khởi động từ thiết bị bên ngoài, quét ổ bằng công cụ từ hệ điều hành sạch.

Backdoor

Cửa hậu cho phép truy cập hệ thống bỏ qua xác thực.

Remote Access Trojan (Backdoor)

Một dạng backdoor duy trì truy cập lâu dài.

Easter Egg

Tính năng ẩn trong phần mềm, có thể chứa lỗ hổng bảo mật.

Logic Bomb

Mã độc kích hoạt khi đáp ứng điều kiện nhất định.

Keylogger

Thiết bị/phần mềm ghi lại mọi thao tác bàn phím.

Software Keylogger

Cài qua social engineering hoặc phần mềm lừa đảo.

Hardware Keylogger

Thiết bị vật lý cắm vào máy tính, giống USB hoặc tích hợp trong cáp bàn phím.

Keylogger Protection

Cập nhật phần mềm, sử dụng bảo mật nhiều lớp, mã hóa keystrokes, kiểm tra thiết bị ngoại vi.

Spyware

Phần mềm theo dõi và gửi thông tin người dùng mà họ không biết.

Spyware Installation

Qua gói cài đặt phần mềm hoặc quảng cáo bật lên giả mạo.

Spyware Protection

Cài phần mềm chống spyware và cập nhật định kỳ.

Bloatware

Phần mềm không cần thiết được cài sẵn trên thiết bị, chiếm tài nguyên và có thể chứa lỗi bảo mật.

Bloatware Removal

Gỡ thủ công(Manual removal), dùng công cụ dọn dẹp( bloatware removal tools), hoặc cài lại hệ điều hành sạch.

Fileless Malware

Mã độc không lưu file, tận dụng RAM hoặc RPC để chạy.

Dropper

Mã nhẹ khởi động hoặc chạy các dạng malware khác trong payload.

Downloader

Tải về các thành phần độc hại khác sau khi lây nhiễm.

Shellcode

Đoạn mã nhỏ thực thi khai thác

Actions on Objectives

Thực hiện mục tiêu chính như data exfiltration hoặc file encryption.

Concealment

Ẩn dấu vết và xóa log files để kéo dài truy cập trái phép.

Living off the Land

Tận dụng công cụ hệ thống có sẵn để tấn công mà không bị phát hiện.

Account Lockouts

Malware cố đăng nhập sai nhiều lần gây khóa tài khoản

Concurrent Session Utilization

Một tài khoản đăng nhập nhiều nơi cùng lúc

Blocked Content

Nhiều cảnh báo block nội dung bất thường từ security tool

Impossible Travel

Truy cập từ 2 vị trí địa lý xa nhau trong thời gian ngắn không thể có thật.

Resource Consumption

CPU, RAM, hoặc network tăng bất thường không hợp lý

Resource Inaccessibility

Không thể truy cập tài nguyên (do ransomware mã hóa chẳng hạn)

Out-of-Cycle Logging

Log xuất hiện vào giờ bất thường (ngoài giờ làm, nửa đêm…)

Missing Logs

Log bị xóa, có lỗ hổng thời gian không có log

Published or Documented Attacks

Đã có báo cáo công khai cho thấy hệ thống tổ chức bị tấn công