I. Giới thiệu khóa học:

Khóa học này được thiết kế để trang bị cho học viên kiến thức và kỹ năng toàn diện về các giai đoạn trong quy trình phát hiện, xử lý và phòng chống mã độc. Từ việc hiểu rõ bản chất của malware đến các kỹ thuật phân tích chuyên sâu và biện pháp phòng ngừa hiệu quả, học viên sẽ được trang bị để đối phó với các mối đe dọa an ninh mạng ngày càng tinh vi.

II. Thời lượng: 40 giờ (5 ngày)

III. Hình thức đào tạo:

Đào tạo trực tiếp tại lớp học, đào tạo online tương tác với giảng viên, đào tạo kết hợp online và trực tiếp tại lớp học, đào tạo tại văn phòng khách hàng theo yêu cầu

IV. Mục tiêu khóa học:

Sau khi hoàn thành khóa học, học viên sẽ có khả năng:

• Hiểu rõ các loại mã độc phổ biến, cách thức hoạt động và mục tiêu của chúng.
• Nắm vững các phương pháp và công cụ để phát hiện mã độc.
• Thực hiện phân tích mã độc cơ bản và nâng cao.
• Áp dụng các quy trình xử lý sự cố khi hệ thống bị nhiễm mã độc.
• Xây dựng và triển khai các biện pháp phòng chống mã độc hiệu quả cho cá nhân và tổ chức.
• Cập nhật các xu hướng và kỹ thuật tấn công, phòng thủ mới nhất trong lĩnh vực an toàn thông tin.

V. Đối tượng tham gia:

• Kỹ sư hệ thống
• Kỹ sư an ninh mạng

VI. Nội dung khóa học:

1. Tổng quan về mã độc (Malware Fundamentals)

1.1. Giới thiệu về mã độc:

• Định nghĩa và lịch sử của mã độc.
• Mục tiêu và động cơ của kẻ tấn công.

1.2. Các loại mã độc phổ biến:

• Virus, Worm, Trojan.
• Ransomware, Spyware, Adware.
• Rootkit, Botnet, Fileless malware.
• Phân biệt các loại mã độc và cách thức lây nhiễm.

1.3. Vòng đời của mã độc:

• Tạo ra, lây nhiễm, kích hoạt, lan truyền, duy trì quyền truy cập.

1.4. Các phương thức lây nhiễm:

• Email phishing, drive-by download, USB, lỗ hổng phần mềm.

2. Phát hiện mã độc (Malware Detection)

2.1. Các kỹ thuật phát hiện:

• Phát hiện dựa trên chữ ký (Signature-based detection).
• Phát hiện dựa trên hành vi (Behavioral-based detection).
• Phát hiện dựa trên heuristics (Heuristic-based detection).
• Phân tích tĩnh và phân tích động.

2.2. Công cụ phát hiện mã độc:

• Phần mềm diệt virus (Antivirus software).
• Hệ thống phát hiện xâm nhập (IDS/IPS).
• Công cụ giám sát hệ thống (SIEM, EDR).
• Sử dụng các dịch vụ phân tích trực tuyến (VirusTotal, Hybrid Analysis).

2.3. Kỹ thuật né tránh phát hiện của mã độc:

• Che dấu (Obfuscation), đóng gói (Packing), mã hóa (Encryption).
• Polymorphism, Metamorphism.

3. Phân tích mã độc (Malware Analysis)

3.1. Môi trường phân tích an toàn:

• Sử dụng máy ảo (Virtual Machines), Sandbox.
• Thiết lập phòng lab phân tích mã độc.

3.2. Phân tích tĩnh cơ bản:

• Sử dụng công cụ xem thông tin file (PEStudio, ExifTool).
• Phân tích chuỗi (Strings), hàm API (API Calls).
• Kiểm tra Packed/Unpacked file.

3.3. Phân tích động cơ bản:

• Sử dụng Process Monitor, Process Explorer.
• Giám sát network traffic (Wireshark).
• Giám sát thay đổi Registry, File System.

3.4. Phân tích mã độc nâng cao (Giới thiệu):

• Disassembly (IDA Pro, Ghidra).
• Debugging (x64dbg, WinDbg).
• Kỹ thuật Reverse Engineering cơ bản.

4. Xử lý và gỡ bỏ mã độc (Malware Incident Response and Removal)

4.1. Quy trình xử lý sự cố an ninh mạng:

• Chuẩn bị (Preparation).
• Phát hiện và phân tích (Identification and Analysis).
• Ngăn chặn (Containment).
• Gỡ bỏ (Eradication).
• Khôi phục (Recovery).
• Bài học kinh nghiệm (Post-incident Activity).

4.2. Kỹ thuật gỡ bỏ mã độc:

• Gỡ bỏ thủ công.
• Sử dụng công cụ chuyên dụng.
• Khôi phục hệ thống từ bản sao lưu.

4.3. Điều tra pháp y kỹ thuật số (Digital Forensics) cơ bản:

• Thu thập và bảo toàn bằng chứng.
• Phân tích log, memory dump.

5. Phòng chống mã độc (Malware Prevention)

5.1. Các biện pháp kỹ thuật:

• Cập nhật phần mềm và hệ điều hành thường xuyên.
• Sử dụng tường lửa (Firewall), phần mềm diệt virus.
• Hệ thống kiểm soát truy cập (Access Control).
• Sao lưu dữ liệu định kỳ (Backup).
• Triển khai Endpoint Detection and Response (EDR).
• Sử dụng Zero Trust Architecture.

5.2. Biện pháp phi kỹ thuật và nâng cao nhận thức:

• Đào tạo nhận thức về an ninh mạng cho người dùng.
• Chính sách mật khẩu mạnh.
• Kiểm tra email phishing giả lập.
• Lập kế hoạch ứng phó sự cố.

5.3. Xu hướng và thách thức mới:

• AI và Machine Learning trong phòng chống mã độc.
• Malware-as-a-Service (MaaS).
• Tấn công chuỗi cung ứng (Supply Chain Attacks).

6. Bài tập thực hành và tình huống thực tế

• Thực hành phân tích mã độc trên môi trường sandbox.
• Xử lý các tình huống giả định về lây nhiễm mã độc.
• Xây dựng checklist phòng chống mã độc cho tổ chức.