Trong thế giới số hóa ngày nay, nguy cơ về an ninh mạng và bảo mật dữ liệu đang ngày càng tăng cao. Một trong những loại mối đe dọa phổ biến và nguy hiểm trong không gian mạng chính là “Trojan Horse Virus.” Được đặt tên theo chiến thuật xâm nhập cổ điển trong thần thoại Hy Lạp, những con ngựa gỗ, loại virus này tự tin ẩn mình trong những “quà tặng” mà người dùng thường không nghi ngờ.
Trong bài viết này, chúng ta sẽ đi sâu hơn về Trojan Horse Virus, tìm hiểu về cách chúng hoạt động, mục tiêu, hậu quả của chúng gây ra và những biện pháp bảo mật cần thiết để bảo vệ chúng ta khỏi sự xâm nhập của Trojan Horse Virus.
1. Trojan Virus là gì ?
Một cách đơn giản để trả lời câu hỏi “Trojan là gì” đó là một loại phần mềm độc hại thường được ẩn dưới dạng tệp đính kèm trong email hoặc tệp tải xuống miễn phí, sau đó chuyển vào thiết bị của người dùng. Sau khi được tải xuống, mã độc sẽ thực thi nhiệm vụ mà kẻ tấn công đã thiết kế cho nó, chẳng hạn như giành quyền truy cập back door vào hệ thống công ty, theo dõi hoạt động trực tuyến của người dùng hoặc đánh cắp dữ liệu nhạy cảm. Các dấu hiệu cho thấy Trojan đang hoạt động trên thiết bị bao gồm hoạt động bất thường như cài đặt máy tính bị thay đổi bất ngờ.
Virus Trojan Horse là một loại phần mềm độc hại tải xuống máy tính được ngụy trang dưới dạng một chương trình hợp pháp. Phương thức phân phối thường cho thấy kẻ tấn công sử dụng kỹ thuật xã hội để ẩn mã độc hại trong phần mềm hợp pháp nhằm thử và giành quyền truy cập hệ thống của người dùng bằng phần mềm của họ.
2. Lịch sử của Trojan Horse
Câu chuyện gốc về con ngựa thành Troy có thể được tìm thấy trong cuốn sách Aeneid của Virgil và Odyssey của Homer. Trong câu chuyện, những kẻ thù của thành Troy đã có thể vào bên trong cổng thành bằng cách sử dụng một con ngựa mà chúng giả vờ là một món quà. Những người lính trốn bên trong con ngựa gỗ khổng lồ và khi đã vào trong, họ trèo ra ngoài và để những người lính khác vào.
Có một vài yếu tố của câu chuyện khiến thuật ngữ “con ngựa thành Troy” trở thành một cái tên thích hợp cho các kiểu tấn công mạng này:
Con ngựa thành Troy là một giải pháp độc đáo cho hệ thống phòng thủ của mục tiêu. Trong câu chuyện gốc, những kẻ tấn công đã bao vây thành phố trong 10 năm và không thành công trong việc đánh bại nó. Con ngựa thành Troy đã cho họ quyền truy cập mà họ đã mong muốn trong một thập kỷ. Tương tự như vậy, một vi-rút Trojan có thể là một cách hay để vượt qua một hệ thống phòng thủ chặt chẽ khác.
Con ngựa thành Troy dường như là một món quà hợp pháp. Theo cách tương tự, vi-rút Trojan trông giống như phần mềm hợp pháp. Những người lính trong con ngựa thành Troy kiểm soát hệ thống phòng thủ của thành phố. Với vi-rút Trojan, phần mềm độc hại sẽ kiểm soát máy tính của bạn, có khả năng khiến máy dễ bị “những kẻ xâm lược” khác tấn công.
3. Trojan Horse là virus hay phần mềm độc hại ?
Trojan horse cũng có thể được gọi là virus Trojan Horse, nhưng về mặt kỹ thuật thì không chính xác. Không giống như vi-rút máy tính, Trojan không thể tự sao chép và cũng không thể lây lan nếu không có sự trợ giúp của người dùng cuối. Những kẻ tấn công phải sử dụng các chiến thuật kỹ thuật xã hội để lừa người dùng cuối thực thi Trojan.
Vì có rất nhiều loại Trojan nên thuật ngữ này có thể được sử dụng như một từ chung để phân phối phần mềm độc hại. Tùy thuộc vào mục đích và cấu trúc ứng dụng của kẻ tấn công, Trojan có thể hoạt động theo nhiều cách, đôi khi hoạt động như phần mềm độc hại độc lập, đôi khi đóng vai trò là công cụ cho các hoạt động khác như phân phối tải trọng, mở hệ thống để tấn công hoặc liên lạc với kẻ tấn công.
4. Trojan hoạt động như thế nào ?
Vi-rút Trojan lây lan qua các email và tệp có vẻ ngoài bình thường được đính kèm trong email, chúng sẽ bị gửi thư rác để tiếp cận hộp thư đến của càng nhiều người càng tốt. Khi email được mở và tệp đính kèm độc hại được tải xuống, máy chủ Trojan sẽ cài đặt và tự động chạy mỗi khi bật thiết bị bị nhiễm.
Các thiết bị cũng có thể bị nhiễm Trojan thông qua các chiến thuật kỹ thuật xã hội mà tội phạm mạng sử dụng để ép người dùng tải xuống một ứng dụng độc hại. Tệp độc hại có thể ẩn trong các quảng cáo hoặc liên kết trên các trang web.
Một máy tính bị nhiễm phần mềm độc hại Trojan cũng có thể lây lan sang các máy tính khác. Tội phạm mạng biến thiết bị thành một máy tính zombie, có nghĩa là chúng có quyền điều khiển thiết bị từ xa mà người dùng không hề hay biết. Sau đó, tin tặc có thể sử dụng máy tính zombie để tiếp tục chia sẻ phần mềm độc hại trên mạng thiết bị, được gọi là botnet.
Ví dụ: Người dùng có thể nhận được email từ người mà họ biết, bao gồm tệp đính kèm có vẻ bình thường. Tuy nhiên, tệp đính kèm chứa mã độc thực thi và cài đặt Trojan trên thiết bị của họ. Người dùng thường không biết điều gì bất thường đã xảy ra vì máy tính của họ có thể tiếp tục hoạt động bình thường mà không có dấu hiệu bị nhiễm virus.
Phần mềm độc hại sẽ không bị phát hiện cho đến khi người dùng thực hiện một hành động nhất định, chẳng hạn như truy cập một trang web hoặc ứng dụng ngân hàng nhất định. Điều này sẽ kích hoạt mã độc và Trojan sẽ thực hiện hành động mà hacker mong muốn. Tùy thuộc vào loại Trojan và cách nó được tạo, phần mềm độc hại có thể tự xóa, trở lại trạng thái không hoạt động hoặc vẫn hoạt động trên thiết bị.
Trojan cũng có thể tấn công và lây nhiễm vào điện thoại thông minh và máy tính bảng bằng cách sử dụng một loạt phần mềm độc hại trên thiết bị di động. Điều này có thể xảy ra thông qua kẻ tấn công chuyển hướng lưu lượng truy cập đến một thiết bị được kết nối với mạng Wi-Fi và sau đó sử dụng thiết bị đó để khởi động các cuộc tấn công mạng.
5. Các loại phần mềm độc hại Trojan phổ biến nhất
Có nhiều loại vi rút Trojan mà tội phạm mạng sử dụng để thực hiện các hành động khác nhau và các phương thức tấn công khác nhau.
Các loại Trojan phổ biến nhất được sử dụng bao gồm:
- Backdoor Trojan: Cho phép kẻ tấn công truy cập từ xa vào máy tính và chiếm quyền kiểm soát máy tính bằng cửa sau (Backdoor). Điều này cho phép hacker thực hiện bất kỳ điều gì chúng muốn trên thiết bị, chẳng hạn như xóa tệp, khởi động lại máy tính, đánh cắp dữ liệu hoặc tải phần mềm độc hại lên. Backdoor Trojan thường được sử dụng để tạo botnet thông qua mạng máy tính zombie.
- Banker Trojan: Được thiết kế để nhắm mục tiêu vào tài khoản ngân hàng và thông tin tài chính của người dùng. Nó cố gắng đánh cắp dữ liệu tài khoản của thẻ tín dụng và thẻ ghi nợ, hệ thống thanh toán điện tử và hệ thống ngân hàng trực tuyến.
- Trojan từ chối dịch vụ phân tán (DDoS): Các chương trình Trojan này thực hiện các cuộc tấn công làm quá tải lưu lượng mạng. Nó sẽ gửi nhiều yêu cầu từ một máy tính hoặc một nhóm máy tính để làm tràn ngập địa chỉ web mục tiêu và gây ra tình trạng từ chối dịch vụ.
- Downloader Trojan: Nhắm mục tiêu vào máy tính đã bị nhiễm phần mềm độc hại, sau đó tải xuống và cài đặt thêm các chương trình độc hại vào máy tính đó. Đây có thể là các Trojan bổ sung hoặc các loại phần mềm độc hại khác như phần mềm quảng cáo.
- Exploit Trojan: Chương trình phần mềm độc hại khai thác chứa mã hoặc dữ liệu lợi dụng các lỗ hổng cụ thể trong ứng dụng hoặc hệ thống máy tính. Tội phạm mạng sẽ nhắm mục tiêu vào người dùng thông qua một phương pháp như tấn công lừa đảo, sau đó sử dụng mã trong chương trình để khai thác một lỗ hổng đã biết.
- Fake Antivirus Trojan: Trojan chống vi-rút giả mạo mô phỏng hoạt động của phần mềm chống vi-rút hợp pháp. Trojan được thiết kế để phát hiện và loại bỏ các mối đe dọa giống như một chương trình chống vi-rút thông thường, sau đó tống tiền người dùng để loại bỏ các mối đe dọa có thể không tồn tại.
- Game-thief Trojan: Được thiết kế đặc biệt để lấy cắp thông tin tài khoản người dùng từ những người chơi trò chơi trực tuyến.
- Instant messaging (IM) Trojan: Loại Trojan này nhắm mục tiêu vào các dịch vụ IM để đánh cắp thông tin đăng nhập và mật khẩu của người dùng. Nó nhắm mục tiêu vào các nền tảng nhắn tin phổ biến như AOL Instant Messenger, ICQ, MSN Messenger, Skype và Yahoo Pager.
- Infostealer Trojan: Phần mềm độc hại này có thể được sử dụng để cài đặt Trojan hoặc ngăn người dùng phát hiện sự tồn tại của chương trình độc hại. Các thành phần của Trojan đánh cắp thông tin có thể gây khó khăn cho hệ thống chống vi-rút phát hiện ra chúng trong quá trình quét.
- Mailfinder Trojan: Trojan nhằm mục đích thu thập và đánh cắp các địa chỉ email đã được lưu trữ trên máy tính.
- Ransom Trojan: Trojan đòi tiền chuộc tìm cách làm giảm hiệu suất của máy tính hoặc chặn dữ liệu trên thiết bị để người dùng không thể truy cập hoặc sử dụng thiết bị đó nữa. Sau đó, kẻ tấn công sẽ giữ tiền chuộc của người dùng hoặc tổ chức cho đến khi họ trả phí chuộc để hoàn tác việc làm hỏng thiết bị hoặc mở khóa dữ liệu bị ảnh hưởng.
- Trojan truy cập từ xa: Tương tự như Trojan cửa sau, chuỗi phần mềm độc hại này cho phép kẻ tấn công có toàn quyền kiểm soát máy tính của người dùng. Tội phạm mạng duy trì quyền truy cập vào thiết bị thông qua kết nối mạng từ xa mà chúng sử dụng để đánh cắp thông tin hoặc theo dõi người dùng.
- Rootkit Trojan: Rootkit là một loại phần mềm độc hại ẩn mình trên máy tính của người dùng. Mục đích của nó là ngăn không cho các chương trình độc hại bị phát hiện, điều này cho phép phần mềm độc hại duy trì hoạt động trên máy tính bị nhiễm trong thời gian dài hơn.
- Short message service (SMS) Trojan: Trojan SMS lây nhiễm các thiết bị di động và có khả năng gửi và chặn tin nhắn văn bản. Điều này bao gồm việc gửi tin nhắn đến các số điện thoại cao cấp, làm tăng chi phí trên hóa đơn điện thoại của người dùng.
- Trojan gián điệp: Trojan gián điệp được thiết kế để nằm trên máy tính của người dùng và theo dõi hoạt động của họ. Điều này bao gồm ghi lại các thao tác bàn phím của họ, chụp ảnh màn hình, truy cập các ứng dụng họ sử dụng và theo dõi dữ liệu đăng nhập.
- SUNBURST: Virus trojan SUNBURST đã được phát tán trên nhiều Nền tảng SolarWinds Orion. Các nạn nhân đã bị xâm phạm bởi các phiên bản trojan của một tệp được ký điện tử SolarWinds hợp pháp có tên: SolarWinds.Orion.Core.BusinessLayer.dll. Tệp bị trojan hóa là một cửa hậu. Khi ở trên máy mục tiêu, nó sẽ không hoạt động trong khoảng thời gian hai tuần và sau đó sẽ truy xuất các lệnh cho phép nó chuyển, thực thi, thực hiện trinh sát, khởi động lại và tạm dừng các dịch vụ hệ thống. Giao tiếp xảy ra qua http đến URI được xác định trước.
6. Cách nhận biết virus Trojan
Vì Trojan thường xuất hiện dưới dạng các tệp hệ thống hợp pháp nên chúng thường rất khó tìm và tiêu diệt bằng các trình quét vi-rút và phần mềm độc hại thông thường. Các công cụ phần mềm chuyên dụng thường cần thiết cho việc xác định và loại bỏ các Trojan rời rạc.
Tuy nhiên, có thể xác định sự hiện diện của Trojan thông qua các hành vi bất thường do máy tính hiển thị. Những quirks có thể bao gồm:
- Sự thay đổi trên màn hình máy tính, bao gồm thay đổi màu sắc và độ phân giải hoặc lật ngược màn hình không cần thiết.
- Số lượng quảng cáo bật lên xuất hiện quá nhiều, đưa ra giải pháp cho nhiều lỗi khác nhau có thể khiến người dùng cuối nhấp vào quảng cáo.
- Chuột máy tính có thể tự bắt đầu di chuyển hoặc bị treo hoàn toàn và chức năng của các nút chuột có thể bị đảo ngược.
- Trang chủ của trình duyệt có thể thay đổi hoặc trình duyệt sẽ liên tục chuyển hướng người dùng đến một trang web khác với trang web họ đang yêu cầu. Trang web được chuyển hướng này thường chứa một ưu đãi mà người dùng có thể nhấp vào hoặc tải xuống, từ đó sẽ cài đặt thêm phần mềm độc hại.
- Các chương trình chống vi-rút và chống phần mềm độc hại của máy tính sẽ bị vô hiệu hóa và các bước cần thiết để loại bỏ phần mềm độc hại sẽ không thể truy cập được.
- Các thông báo bí ẩn và màn hình đồ họa bất thường có thể bắt đầu xuất hiện.
- Các chương trình không được nhận dạng sẽ chạy trong trình quản lý tác vụ.
- Thanh tác vụ sẽ thay đổi diện mạo hoặc biến mất hoàn toàn.
- Hình nền máy tính của máy tính có thể thay đổi cũng như định dạng của các biểu tượng và ứng dụng trên màn hình.
- Dịch vụ email cá nhân của người dùng có thể bắt đầu gửi tin nhắn rác đến tất cả hoặc một số địa chỉ trong danh sách liên hệ thường chứa phần mềm độc hại và một chiến thuật thuyết phục để khiến người nhận mở và tải xuống cuộc tấn công, từ đó phát tán Trojan sang các máy tính khác.
7. Làm thế nào để bảo vệ chống lại Trojan
Các cách để bảo vệ hệ thống bao gồm:
- Cập nhật phần mềm hệ điều hành (OS) ngay khi hãng phần mềm tung ra bản cập nhật.
- Bảo vệ tài khoản cá nhân bằng mật khẩu phức tạp và duy nhất chứa số, chữ cái và ký hiệu.
- Sử dụng tùy ý với tất cả các tệp đính kèm email, ngay cả những tệp đính kèm từ những người gửi được công nhận, vì một Trojan có thể đã lây nhiễm máy tính của họ và đang sử dụng nó để phát tán phần mềm độc hại.
- Sao lưu các tập tin một cách thường xuyên để có thể dễ dàng phục hồi chúng nếu xảy ra cuộc tấn công của ngựa Trojan.
- Bảo vệ tất cả thông tin cá nhân bằng tường lửa.
- Tránh các trang web đáng ngờ và không an toàn. Phần mềm bảo mật Internet đôi khi có thể được sử dụng để chỉ ra trang web nào an toàn và trang web nào nên tránh.
- Chỉ cài đặt hoặc tải xuống các chương trình từ các nhà xuất bản đáng tin cậy đã được xác minh.
- Từ chối các quảng cáo bật lên cố gắng lôi kéo người dùng nhấp qua để nhận các ưu đãi và khuyến mãi hấp dẫn.
- Không bao giờ mở email nếu không rõ chủ đề, nội dung hoặc người gửi hoặc nếu có bất kỳ nghi ngờ hoặc câu hỏi nào về email nói chung.