Có khá nhiều loại phần mềm độc hại như viruses, worms, Trojan horses, adware, spyware, và ransomware. Tất cả các phần mềm độc hại đó đều có một điểm chung, chúng là các chương trình được viết bởi các nhà phát triển nhằm thực hiện các hành vi độc hại. Tuy nhiên, một số phần mềm độc hại thay vì là các chương trình độc lập, chúng là những đoạn mã được chèn vào các ứng dụng khác với mục đích xấu. Tiêu biểu cho thể loại này chúng ta có backdoors và logic bomb.
Backdoors xảy ra khi một lập trình viên tạo ra một phương tiện để cho chính họ hoặc những người khác quyền truy cập vào một hệ thống trong tương lai. Mục đích ban đầu có thể chỉ đơn giản là làm cho việc lập trình trở nên dễ dàng hơn khi họ không phải đăng nhập bằng thông tin đăng nhập của người dùng hoặc họ có thể cung cấp cơ chế cho phép truy cập nếu khách hàng không may bị khóa khỏi hệ thống của họ, nhưng những backdoors này có thể dẫn đến các hiệu ứng xấu khác.
Khách hàng sẽ không muốn nhà cung cấp có thể truy cập vào hệ thống sau khi cài đặt mà không thông qua xác thực và đặc biệt nếu như backdoors bị rò rỉ và rơi vào tay kẻ xấu. Có nhiều cơ chế backdoors khác nhau, đôi khi, chúng là những tài khoản được mã hóa cứng trong đó có tên người dùng và mật khẩu cụ thể sẽ luôn cấp quyền truy cập vào hệ thống. Trong các trường hợp khác, có những mật khẩu mặc định mà người dùng có thể không nhớ để thay đổi, và cuối cùng, có thể tạo các kênh truy cập không xác định, trong đó có cách để có quyền truy cập vào hệ thống mà không cần trải qua quá trình xác thực thông thường.
Loại phần mềm độc hại thứ hai hoạt động bằng cách sửa đổi các dòng code hiện có được gọi là logic bomb. Đây là phần mềm độc hại được thiết lập để thực thi khi đáp ứng một số điều kiện nhất định, có thể là ngày và thời gian cụ thể xảy ra, khi nội dung của tệp chứa thông tin cụ thể hoặc kết quả của lệnh gọi API.
Nếu bạn nghĩ về các kịch bản có thể xảy ra logic bomb, thì kịch bản cơ bản là một lập trình viên đang tạo ra một hệ thống bảng lương, và sau đó tạo ra một chuỗi logic trong hệ thống bảng lương đó để kiểm tra mỗi ngày để xem liệu họ có còn nằm trong bảng lương hay không. Nếu lập trình viên đột nhiên biến mất khỏi bảng lương và có lẽ đã bị sa thải, các hành động độc hại sẽ xảy ra như là sự trả thù.
Backdoors và logic bomb đều mang đến những rủi ro đáng kể đối với bảo mật ứng dụng. Là một chuyên gia Bảo mật, bạn phải thận trọng để bảo vệ tổ chức của mình trước những mối đe dọa này. Ngoài các chương trình anti malware, bạn nên thường xuyên thay đổi mật khẩu mặc định, vô hiệu hóa các tài khoản không sử dụng và theo dõi các bản tin bảo mật để biết tin tức về logic bomb và backdoors trong phần mềm mà tổ chức của bạn sử dụng.
Các tác giả phần mềm độc hại đôi khi là những nhà phát triển phần mềm tài năng, tinh vi, hiểu các phương pháp mà các chuyên gia bảo mật sử dụng để phát hiện và ngăn chặn các cuộc tấn công phần mềm độc hại. Điều này dẫn đến việc họ phát triển các kỹ thuật tiên tiến cho phép họ thoát khỏi sự phát hiện và bỏ qua các biện pháp phòng chống phần mềm độc hại truyền thống. Hãy điểm qua những đặc điểm của ba loại advanced malware là rootkits, polymorphism, và armored viruses.
Tài khoản root là một tài khoản siêu người dùng đặc biệt trên một hệ thống cung cấp quyền truy cập không hạn chế vào tài nguyên hệ thống. Nó thường dành cho quản trị viên hệ thống, nhưng đó cũng là mục tiêu cuối cùng của nhiều tin tặc. Rootkit là một loại phần mềm độc hại ban đầu được thiết kế để tiếp cận được các tài khoản đặc quyền. Một tin tặc sẽ có quyền truy cập vào tài khoản người dùng bình thường trên hệ thống, sau đó sử dụng rootkit để tiếp cận quyền root hoặc leo thang quyền truy cập của người dùng thông thường lên quyền truy cập siêu người dùng không bị hạn chế.
Tuy nhiên, thuật ngữ "rootkit" đã thay đổi qua nhiều năm. Bây giờ nó được sử dụng để mô tả các phần mềm được thiết kế để ẩn phần mềm khác trên một hệ thống. Rootkit cung cấp một loạt các payload khác nhau như các backdoors, botnet agents và phần mềm quảng cáo hoặc phần mềm gián điệp. Chúng cũng không phải lúc nào cũng là phần mềm độc hại. Một số rootkit được thiết kế, để tránh bị đánh cắp cho các nội dung có bản quyền.
Các hệ thống máy tính sử dụng mô hình bảo vệ vòng để mô tả loại quyền truy cập mà các chương trình khác nhau có thể có đối với tài nguyên hệ thống. Hầu hết các chương trình chạy trong chế độ người dùng ít đặc quyền hơn, trong khi bản thân hệ điều hành sử dụng chế độ kernel với đặc quyền rất cao. Rootkit cũng vậy, nó có thể chạy ở chế độ người dùng và chế độ kernel. Rootkit chế độ người dùng chạy với đặc quyền người dùng bình thường, chúng khá dễ viết, và khó phát hiện. Mặt khác, rootkit chế độ kernel, nhằm mục đích lấy chìa khóa với các đặc quyền rất cao, tuy nhiên, sự đánh đổi cho các đặc quyền này là chúng khó viết và dễ phát hiện.
Advanced malware tiếp theo là polymorphism. Hầu hết các phần mềm anti malware sử dụng một kỹ thuật được gọi là signature detection. Nó nhận diện virus bằng cách duy trì một cơ sở dữ liệu gồm các mẫu virus đã biết và sau đó so sánh các tệp nghi ngờ với cơ sở dữ liệu đó. Các nhà cung cấp phần mềm anti malware phải thường xuyên cập nhật cơ sở dữ liệu và vi-rút chỉ được phát hiện khi chúng khớp với signature hiện có. Virus polymorphism qua mặt signature detection bằng cách thay đổi bản thân liên tục, các tệp vi rút không giống nhau từ hệ thống này sang hệ thống khác dẫn đến signature không khớp, vì vậy signature detection không hoạt động. Virus polymorphism thường hoạt động bằng cách sử dụng mã hóa, nó tự mã hóa bằng một khóa khác nhau trên mỗi hệ thống khác nhau mà họ lây nhiễm, làm cho các tệp trông hoàn toàn khác nhau. Tương ứng một khi virus được thực thi chúng sẽ có các khóa giải mã cần thiết để có được mã virus gốc.
Với virus polymorphism, các nhà nghiên cứu phải tách chúng ra để trang bị thêm tính năng cho phần mềm anti malware có thể phát hiện ra chúng. Bằng cách sử dụng một kỹ thuật là reverse engineering, lập trình viên tìm hiểu sâu về virus để phân tích ngôn ngữ dùng để tạo nên DNA của virus. Armored viruses được thiết kế để đánh bại reverse engineering. Chúng bao gồm viết virus bằng cách xáo trộn ngôn ngữ nhằm che giấu mục đích thực sự của nó, chặn việc sử dụng trình gỡ lỗi hệ thống và ngăn chặn một kỹ thuật gọi là sandboxing có thể cô lập virus.
