Một trong những chức năng quan trọng thường có ở các mã độc là khả năng ẩn mình trên hệ thống bị lây nhiễm. Trong đó, các tiến trình của mã độc thường sử dụng các tên gần giống hoặc giống hoàn toàn với tiến trình thật của hệ thống, ví dụ: svchost.exe, explorer.exe. Do đó, người quản trị cần có khả năng phát hiện ra các tiến trình nghi ngờ là tiến trình của mã độc để xác định và phục vụ công tác tháo gỡ.
Để liệt kê các tiến trình đang chạy trên hệ thống, quản trị viên có thể sử dụng ứng dụng Task Manager có sẵn để thực hiện liệt kê. Tuy nhiên, ứng dụng có sẵn này thường chỉ liệt kê các thông tin cơ bản mà thiếu đi các thông tin quan trọng khác giúp quản trị viên có thể phân biệt được giữa tiến trình độc hại và tiến trình an toàn.
Để khắc phục các nhược điểm của ứng dụng Task Manager, Microsoft đã phát hành ứng dụng mới mang tên Process Explorer để cung cấp nhiều hơn thông tin cho người sử dụng. Process Explorer là một phần trong gói ứng dụng Sysinternal Suite có thể tải về từ website của Microsoft theo địa chỉ technet.microsoft.com.
Bằng cách sử dụng Process Explorer, quản trị viên có thể có được nhiều thông tin hơn về một tiến trình đang chạy trên hệ thống. Cụ thể như:
- Các thư viện dll mà tiến trình sử dụng;
- Cây tiến trình để xác định tiến trình khởi tạo;
- Trạng thái của tiến trình;
- Hiệu năng riêng của tiến trình;
- Và nhiều thông tin khác.
Để xác định một tiến trình bất thường, quản trị viên thường phải chú ý đến một số đặc điểm như:
- Tiến trình không có Description;
- Tiến trình không có Company Name;
- Tiến trình có các hoạt động mạng trên nền TCP/IP bất thường;
- Tiến trình không thể verify theo chữ ký số của nhà sản xuất.
Ngoài ra, Process Explorer còn có cung cấp khả năng tải file của tiến trình lên website VirusTotal để dò quyét trên nhiều ứng dụng phòng chống mã độc.
Trong trường hợp kết quả trả về từ VirusTotal cho thấy tiến trình trên là tiến trình của mã độc, quản trị viên có thể loại bỏ tiến trình bằng cách sử dụng chức năng “kill” của ứng dụng để loại bỏ tạm thời tiến trình ra khỏi hệ thống.
Cục An toàn thông tin
07:00 | 06/07/2018
15:00 | 18/03/2020
09:00 | 05/06/2018
15:00 | 21/03/2018
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024