Trong quá trình truyền dữ liệu với Internet Protocol từ người gửi đến người nhận. Dữ liệu được gửi dưới dạng các packet riêng lẻ chứa header và payload. Header được thêm vào packet để vận chuyển và sau đó bị loại bỏ khi chúng đến đích, payload sẽ được chuyển đến ứng dụng để xử lý. Nguồn lây truyền Virus chủ yếu là Payload.
Payload là gì?
Payload là dữ liệu của một gói hoặc đơn vị dữ liệu truyền khác. Thuật ngữ này có nguồn gốc từ quân đội và thường được liên kết với khả năng gây thiệt hại của mã độc thực thi. Về mặt kỹ thuật, Payload của một gói cụ thể hoặc đơn vị dữ liệu giao thức khác (PDU) là dữ liệu được truyền thực tế được gửi bởi các điểm cuối giao tiếp. Giao thức mạng cũng chỉ định độ dài tối đa cho phép đối payload packet.
- Công nghệ/Truyền thông: Payload là dữ liệu hữu ích (văn bản, hình ảnh, âm thanh), không bao gồm thông tin giao thức hay siêu dữ liệu.
- An ninh: Payload là mã độc hại trong malware (virus, sâu máy tính) để thực hiện hành động nguy hiểm.
- Lập trình: Payload là dữ liệu thực tế, khác với overhead giao thức (ví dụ: “Hello, world!” trong JSON).
- Mạng: Payload là dữ liệu chính trong frame mạng (bao gồm bit framing và FCS).
Trong bối cảnh của phần mềm độc hại, Payload thường đề cập đến mã độc malware để gây ra thiệt hại cho máy tính của người dùng. Payload malware có thể được phân phối bởi một loạt các vector, bao gồm worm, phishing và các cơ chế phân phối khác. Ngày nay, các tác giả phần mềm độc hại thường mã hóa payload để ẩn malware khỏi các sản phẩm chống phần mềm độc hại.
Sự ảnh hưởng của malware payload
Hầu hết mọi loại malware đều có thể được tích hợp vào một payload, thường là với sự trợ giúp của trình tạo payload, để tạo ra phần mềm độc hại có thể thực thi được.
Các tác nhân độc hại, cũng như những người kiểm tra khả năng thâm nhập, sử dụng trình tạo payload để kết hợp một malware có thể thực thi vào một payload để phân phối tới các mục tiêu. Dự án Metasploit là một dự án mã nguồn mở bao gồm các tài nguyên để nghiên cứu các lỗ hổng bảo mật, bao gồm một trình tạo payload.
Trình tạo payload chấp nhận shellcode, thường là một chuỗi mã ngắn có thể kích hoạt một lệnh command shell có thể khai thác trên mục tiêu và tạo một file nhị phân thực thi thực sự cho phép phân phối payload.
Sau khi được phân phối và thực hiện, quá trình phân phối payload sẽ cho phép lây nhiễm hệ thống được nhắm mục tiêu. Tùy thuộc vào sự tồn tại của các hệ thống phát hiện malware và cơ sở của chúng trong việc phát hiện mã độc hại trong dữ liệu được truyền, malware được gửi qua email hoặc payload ứng dụng (application payload) khác sẽ lây nhiễm mục tiêu.
Payload có thể chứa bất kỳ malware độc hại nào, bao gồm ransomware, botnet hoặc các loại virus hoặc worm khác.
Video cách payload hoạt động
IP Packet Payload vs Malware Payload
Một gói IP có thể chứa một payload có các lệnh do người dùng thực thi, chẳng hạn như yêu cầu nội dung web, thông thường hơn, nó sẽ mang một payload bao gồm dữ liệu thực tế được server truyền theo yêu cầu của người dùng. Payload giới hạn trên PDU thường được chỉ định bởi các đặc tả giao thức liên quan và kích thước tối đa của payload cho một PDU riêng lẻ không thường xuyên thay đổi.
Kích thước tối đa cho payload trọng mạng có thể được xác định bằng cách trừ lượng dữ liệu cần thiết cho Header giao thức (và đoạn trailer, trong trường hợp giao thức sử dụng chúng) từ kích thước đơn vị truyền tải tối đa (MTU) cho giao thức. MTU (maximum transmission unit) cho các gói IP có thể khác nhau tùy theo hệ thống và mạng.
Tiêu chuẩn IP ban đầu (RFC 791), quy định rằng tất cả các máy chủ phải có thể chấp nhận các gói lớn tới 576 byte, với data payload là 512 byte và 64 byte cho tiêu đề. MTU mặc định được chấp nhận chung cho các gói IPv4 cuối cùng đã được điều chỉnh lên đến 1.500 byte để tương thích với các phân đoạn Ethernet. MTU lớn hơn (hoặc nhỏ hơn) cũng có thể được chỉ định cho các hệ thống riêng lẻ.
Security Payload
Trong Internet, Security Payload giống như một công cụ quan trọng nhất đối với hacker sau khi tìm ra lỗ hổng của một hệ thống mà chúng thực thi phần mềm độc hại được gọi là Malware Payload. Các hacker phân phối với sự trợ giúp của Phishing email và họ ràng buộc payload với một số ứng dụng khác.
Một vài Payload ví dụ như: hủy dữ liệu, tin nhắn có nội dung xúc phạm hoặc email được gửi hàng loạt đến một số lượng lớn người dùng.
Cách phòng chống Payload
Vì có rất nhiều phương pháp khác nhau để phân phối và thực thi các payload độc hại. Nên sẽ không có phương pháp nào phòng chống triệt để chúng. Ngoài việc cảnh giác với các mưu đồ lừa đảo (phishing) và các cuộc tấn công social engeering khác, nên thực hiện các biện pháp bảo mật bất cứ khi nào tải xuống file hoặc nhận bất kỳ loại dữ liệu nào từ Internet. Luôn quét virus trên các file đã tải, ngay cả khi chúng xuất phát từ một nguồn đáng tin.
Lời kết
Trên đây là tất cả những gì mà Vietnix muốn chia sẻ với bạn về payload, hy vọng sau khi đọc xong bài viết này, bạn có thể biết cách phòng chống payload cũng như cẩn thận hơn khi tải về các file trên Internet về máy tính.
