Tội phạm mạng tổ chức các cuộc tấn công bằng cách sử dụng những code snippet. Chúng có thể cố lấy cắp thông tin cá nhân từ máy tính hoặc làm hỏng toàn bộ hệ thống. Tội phạm mạng thậm chí không cần kiến thức lập trình và phần mềm quá tiên tiến để làm tất cả những điều đó. Bạn có biết rằng kẻ tấn công có thể đánh sập hoàn toàn máy tính chỉ bằng một dòng code không? Tên của phương thức được các tác nhân đe dọa sử dụng cho những cuộc tấn công như vậy là fork bomb, hay còn gọi là rabbit virus.

Vậy fork bomb là gì? Chúng hoạt động như thế nào? Làm thế nào bạn có thể tự bảo vệ mình?

Virus Fork Bomb là gì?

Các ngôn ngữ lập trình thường tạo ra những đầu ra cụ thể. Bạn viết code và khi chạy code đó, bạn sẽ nhận được kết quả nhất định. Nhưng nếu những kết quả này đưa ra các lệnh chương trình có thể chạy đi chạy lại thì sao? Trong những trường hợp như vậy, chương trình sẽ tiếp tục chạy vô thời hạn. Phần cứng, tức là máy thực của bạn, sẽ không thể chạy đi chạy lại cùng một thứ mãi; vì vậy nó sẽ trở nên không sử dụng được nữa. Trong tình huống này, ít nhất, bạn sẽ phải khởi động lại máy. Nhưng thậm chí điều đó cũng không ngăn được Fork Bomb.

Fork bomb là một cuộc tấn công từ chối dịch vụ (DOS), nghĩa là nó sẽ sử dụng hết RAM của bạn để không có tiến trình chính thống nào có thể diễn ra. Đó chính xác là những gì một cuộc tấn công DOS thực hiện: Nó từ chối dịch vụ của bạn bằng cách chuyển hướng tài nguyên sang nơi khác.

Cuộc tấn công này có thể được thực hiện trên tất cả các hệ điều hành. Nếu bạn có thể viết code trong một file text đơn giản và đặt tên cho file với phần mở rộng mà máy tính có thể thực thi, thì fork bomb của bạn đã sẵn sàng. Nếu bạn muốn tự mình xem các hiệu ứng, hãy thử trên một môi trường biệt lập như máy ảo. Tuy nhiên, tốt nhất bạn không nên thử.

Script Fork Bomb hoạt động như thế nào?

Fork Bomb về cơ bản bao gồm các chức năng kích hoạt lẫn nhau. Hãy coi nó giống như vi khuẩn bắt đầu sinh sản trong một thùng chứa. Vi khuẩn phân chia và nhân lên liên tục nếu được cung cấp các điều kiện và môi trường cần thiết. Từ chỉ một con vi khuẩn trong vật chứa, thì hàng chục nghìn con vi khuẩn có thể sẽ hình thành sau vài giờ. Cứ như vậy, fork bomb tự tạo ra nhiều fork bomb mới và sau một thời gian, nó bắt đầu ngốn CPU của máy tính. Khi CPU không còn có thể chống trọi được nữa, máy tính sẽ bị hỏng.

Để fork bomb hoạt động, người dùng mục tiêu phải chạy các file này bằng cách nào đó - file BAT cho Windows, file SH cho Linux, cả hai đều có thể chạy bằng một cú nhấp đúp đơn giản. Đó là lý do tại sao những kẻ tấn công chuẩn bị fork bomb của chúng ở các định dạng này.

Nếu kẻ tấn công nhắm mục tiêu vào Windows, chúng sẽ lưu code fork bomb trong file văn bản dưới dạng file BAT. Khi người dùng mục tiêu nhấp đúp vào file BAT này, fork bomb bắt đầu hoạt động. Chương trình đang chạy liên tục trả về các kết quả đầu ra mới và sử dụng lại chúng. Vì quá trình này sẽ tiếp tục mãi mãi nên sau một thời gian, các yêu cầu hệ thống của máy tính sẽ không thể xử lý được nữa. Trên thực tế, máy tính quá bận rộn với fork bomb đến mức người dùng thậm chí không thể ra lệnh mới để tắt nó. Giải pháp duy nhất cho việc này là khởi động lại máy tính.

Nếu kẻ tấn công chọn Linux làm thiết bị mục tiêu, chúng sẽ sử dụng file SH thay vì file BAT, vì Linux không thể mở file BAT. Code fork bomb mà kẻ tấn công chuẩn bị sẽ khác nhau đối với Windows và Linux; tuy nhiên, logic của các phần code hoàn toàn giống nhau. Khi người dùng mục tiêu nhấp đúp vào file SH, điều tương tự cũng xảy ra như trên Windows: Các yêu cầu hệ thống sẽ không thể đáp ứng được nữa tại một thời điểm nào đó và khi đó, cuộc tấn công sẽ thành công.

Vậy nếu mọi thứ trở lại như cũ khi bạn khởi động lại máy tính thì mục đích của cuộc tấn công này là gì? Tin tặc thiết kế fork bomb biết rằng bạn sẽ khởi động lại máy của mình. Đó là lý do tại sao fork bomb cũng sẽ khởi động lại, tức là tự nhân đôi chính nó, mỗi khi bạn khởi động lại PC.

Nhấp vào các file này sẽ khiến máy tính của bạn không sử dụng được và mở ra một backdoor cho những kẻ tấn công nguy hiểm. Trong khi bạn đang cố gắng sửa máy của mình, kẻ tấn công có thể lấy cắp tất cả thông tin cá nhân của bạn.

Làm thế nào để tránh các cuộc tấn công Fork Bomb?

Nếu bạn dựa vào phần mềm diệt virus để bảo vệ mạng của mình, bạn vẫn có thể bị tấn công bằng fork bomb. Các code snippet này có thể là những script một dòng nhỏ và không sử dụng các định dạng mà bộ phần mềm diệt virus thường nghi ngờ, chẳng hạn như các file .exe. Phần mềm diệt virus thậm chí có thể không nhận thấy những fork bomb này.

Bước lớn nhất bạn nên thực hiện ở đây là ngăn phần mềm độc hại này xâm nhập vào máy tính của mình. Đừng tải xuống bất kỳ file nào mà bạn không chắc chắn. Không ai tự nhiên lại gửi cho bạn các file SH hoặc BAT. Nếu bạn nhận được các file như vậy, cho dù qua email, từ liên kết tải xuống trên một trang web hoặc mạng xã hội, đừng nhấp vào file đó.

Phần mềm diệt virus không phải là giải pháp cho Fork Bomb

Phần mềm diệt virus rất hữu ích theo nhiều cách; không ai có thể phủ nhận điều đó. Nhưng fork bomb có thể là một vấn đề khác.

Logic hoạt động chung của phần mềm diệt virus là các chuyên gia an ninh mạng và nhà nghiên cứu bảo mật phát hiện ra một loại virus hoặc phần mềm độc hại mới. Các công ty cung cấp giải pháp diệt virus thêm phần mềm độc hại này vào hệ thống của họ. Bây giờ, nếu bạn gặp phải một cuộc tấn công như vậy, phần mềm diệt virus có thể cảnh báo bạn vì nó sẽ nhận ra vector này. Nhưng bạn vẫn có nguy cơ bị phần mềm độc hại không xác định.

Ngoài ra, các chương trình diệt virus xem xét tất cả phần mở rộng của chương trình như EXE, VBS, CMD và MSI, chứ không chỉ file BAT hoặc SH.

Ví dụ, nếu file bạn tải xuống có phần mở rộng MSI, phần mềm diệt virus bạn đang sử dụng có thể nghi ngờ file này và đưa ra cảnh báo cho bạn về file đó. Nhưng fork bomb có dạng file text và shell. Vì fork bomb khá nhẹ và trông giống như một file văn bản nên một số bộ phần mềm diệt virus có thể chấp nhận các file như vậy. Trong những trường hợp như vậy, trước khi mở file, bạn nên kiểm tra nội dung của file và nếu có thể, hãy kiểm tra file bằng trình soạn thảo văn bản.