Một trong những thách thức lớn nhất mà các nhà phát triển phần mềm độc hại phải đổi mặt là phát triển các tệp không bị phát hiện bởi các công cụ chống virus.
Các sản phẩm chống virus có cơ sở dữ liệu về các chữ ký phần mềm độc hại đã được phát hiện trước đó. Bất cứ khi nào một tệp được tìm thấy là trùng khớp, tệp đó sẽ bị xóa trước khi có thể gây ra bất kỳ thiệt hại nào.
Một giải pháp phổ biến cho vấn đề này là tính đa hình liên quan đến việc thực hiện các thay đổi với các tệp phần mềm độc hại để tránh bị phát hiện.
Vậy, Phần mềm độc hại đa hình – Polymorphic Malware chính xác là gì? Và bạn có thể bảo vệ máy tính của mình khỏi nó như thế nào?
Polymorphic là gì?
Thuật ngữ Polymorphic ban đầu được thiết lập trong sinh học. Nó được định nghĩa là điều kiện xảy ra ở một số hình thức khác nhau.
Bây giờ nó là một khái niệm quan trọng trong khoa học máy tính. Khi được sử dụng trong lập trình, nó cũng có nghĩa là cung cấp một giao diện duy nhất cho nhiều kiểu khác nhau.
Polymorphic Malware là gì?
Polymorphic Malawre sử dụng khái niệm đa hình không phải vì hiệu quả mà là nhằm mục đích trốn tránh sự phát hiện.
Ý tưởng đằng sau phần mềm độc hại đa hình là nếu một loại phần mềm độc hại cụ thể được biết đến là có một số đặc tính nhất định, thì các phiên bản mới của phần mềm độc hại đó có thể tránh bị phát hiện nếu thực hiện các thay đổi nhỏ.
Điều này cho phép vô số tệp phần mềm độc hại, tất cả đều thực hiện cùng một chức năng, xuất hiện đủ duy nhất để chúng không bị nhận dạng là phần mềm độc hại.
Phần mềm độc hại đa hình không phải là một khái niệm mới. Nó được cho là đã được phát minh vào những năm 1980. Mặc dù thực tế là vậy, ngày nay nó được sử dụng rất nhiều, và hầu hết các chủng phần mềm độc hại đều có hành vi đa hình.
Lý do cho sự phổ biến của nó là – nó đơn giản mà vẫn hiệu quả, mặc dù khả năng phòng thủ chống lại phần mềm độc hại đã được cải thiện. Miễn là phần mềm chống virus tiếp tục phát hiện phần mềm độc hại dựa trên chữ ký, tính đa hình sẽ được sử dụng như một biện pháp ngụy trang.
Nó cũng không giới hạn ở một loại phần mềm độc hại cụ thể. Mã đa hình đã được tìm thấy trong Trojan, rootkit, ransomware và keylogger.
Polymorphic Malware hoạt động như thế nào?
Mã đa hình thường được sử dụng để tạo ra phần mềm độc hại đột biến nhanh hơn nhiều so với các công cụ chống virus có thể xác định nó. Một số ví nhanh nhất thay đổi sau mỗi 15-20 giây.
Điều này có nghĩa là có bao nhiêu công cụ chống vi-rút ghi lại một tệp cụ thể không quan trọng. Vào thời điểm họ bắt đầu chặn nó, các ví dụ mới của cùng một tệp sẽ không bị gắn cờ.
Mặc dù phần mềm độc hại thông thường sẽ bị xóa hoặc chuyển đến vùng cách ly, nhưng phần mềm độc hại đa hình lại được phép chạy.
Nếu người sử dụng máy tính bị nhiễm không nhận ra các dấu hiệu của việc lây nhiễm phần mềm độc hại, phần mềm độc hại sẽ được phép chạy vô thời hạn.
Polymorphic vs. Metamorphic Malware: Sự khác biệt là gì?
Các thuật ngữ phần mềm độc hại đa hình và đa hình thường được sử dụng thay thế cho nhau. Điều này là do cả hai đều sử dụng đột biến để tránh bị phát hiện bởi phần mềm chống vi-rút dựa trên chữ ký.
Tuy nhiên, có một sự khác biệt quan trọng giữa hai điều này. Trong khi đa hình thay đổi một số mã của nó mỗi khi nó được sao chép, thì phần mềm độc hại đa hình sẽ thay đổi tất cả mã của nó. Điều này làm cho phần mềm độc hại ẩn dụ hiệu quả hơn đáng kể.
Điểm nổi bật là nó cũng khó tạo hơn đáng kể vì nó dựa vào rất nhiều kỹ thuật biến đổi khác nhau.
Ai bị Phần mềm độc hại đa hình nhắm mục tiêu?
Các nỗ lực tấn công tinh vi nhất thường dành cho các doanh nghiệp và các mục tiêu có giá trị cao khác.
Phần mềm độc hại đa hình khó phát triển hơn phần mềm độc hại truyền thống, nhưng nó vẫn rẻ để tung ra trên quy mô lớn. Điều này có nghĩa là trong khi các doanh nghiệp nên đặc biệt lo lắng, phần mềm độc hại đa hình được sử dụng để nhắm mục tiêu tất cả người dùng máy tính.
Cộng Đồng