Nếu bạn nghĩ rằng chạy Windows Vista với phần mềm diệt
virus mới nhất, các nâng cấp được cập nhật một cách liên tục
và với Internet Explorer hoặc Firefox được khóa chặn là đủ để
bảo vệ sự an toàn của bạn trên Internet thì điều đó hoàn toàn
là m ột sai lầm. Trong bài này chúng tôi sẽ giới thiệu một tấn công
công nghệ mới đang được thực hiện trên Internet ngày nay. Tấn
công mới này đến từ MPACK kit, xuất thân từ các tấn công bên
ngoài nước Mỹ. Có nhiều cách để tự bảo vệ bản thân bạn, tuy
nhiên nếu không hành động thì hầu như bạn sẽ bị tấn công và bị
xâm nhập bởi MPACK kit.
12 trang |
Chia sẻ: lvbuiluyen | Lượt xem: 1912 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Chuẩn bị để đối mặt với MPACK, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Chuẩn bị để đối mặt với
MPACK
Derek Melber
Nếu bạn nghĩ rằng chạy Windows Vista với phần mềm diệt
virus mới nhất, các nâng cấp được cập nhật một cách liên tục
và với Internet Explorer hoặc Firefox được khóa chặn là đủ để
bảo vệ sự an toàn của bạn trên Internet thì điều đó hoàn toàn
là một sai lầm. Trong bài này chúng tôi sẽ giới thiệu một tấn công
công nghệ mới đang được thực hiện trên Internet ngày nay. Tấn
công mới này đến từ MPACK kit, xuất thân từ các tấn công bên
ngoài nước Mỹ. Có nhiều cách để tự bảo vệ bản thân bạn, tuy
nhiên nếu không hành động thì hầu như bạn sẽ bị tấn công và bị
xâm nhập bởi MPACK kit.
Trong bảo mật máy tính, MPACK là một malware PHP được tạo
ra bởi một nhóm hacker người Nga. Phiên bản đầu tiên được phát
hành vào tháng 12 năm 2006. Từ đó, hầu như các phiên bản mới
hầu như đều được phát hành mỗi tháng một lần. Phần mềm độc hại
này đã được sử dụng để tiêm nhiêm đến 160.000 máy tính. Tháng
8 năm 2007, nó bị nghi ngờ là đã được sử dụng trong vụ tấn công
vào website ngân hàng Ấn độ.
Bản chất của vấn đề
Một nhóm hacker người Nga đã phát triển bộ công cụ này năm
2006 và đang được bán với giá $300 đến $1000. Bộ công cụ này
rất dễ sử dụng và nó đi kèm với một công cụ khác có tên
DreamDownloader (xem hình 1). Đây là một công cụ được sử
dụng để tạo downloader thường bán với MPACK.
DreamDownloader được sử dụng bằng cách nhập vào URL của file
mà họ muốn tải về và công cụ này sẽ tạo một file thực thi để thực
hiện nhiệm vụ đó.
Hình 1: DreamDownloader được sử dụng có kết hợp với bộ công
cụ MPACK
Vấn đề ở đây là các công cụ này được sử dụng kết hợp để thay đổi
các trang web trên các website phổ biến. Các trang web đã thay đổi
sẽ có mục Iframe mới. Mục Iframe mới này tuy ngắn như hiệu quả,
ví dụ về nó được thể hiện bên dưới:
The material below comes from the website
Chuyển tiếp trình duyệt đến một trang web khác khi trang hiện
hành đã được tải. Nếu không nâng cấp phần mềm chống virus thì
sự chuyển tiếp mã độc này sẽ không thể bị phát hiện. Phần cuối
của quá trình chuyển tiếp là máy chủ PHP sẽ chạy công cụ
MPACK.
Máy chủ đang chạy bộ công cụ MPACK sẽ phải là máy chủ rất
thông minh, vì nó phải xác định những gì máy tính mục tiêu đang
chạy cho tấn công. Máy tính mục tiêu duyệt trang web được đánh
giá cho OS và trình duyệt, sau khi kích hoạt, download của các file
cụ thể sẽ được cài đặt tên máy tính mục tiêu. Các file này, Root
Kits theo truyền thống hoặc các công cụ bắt giữ thao tác bàn phím
có thể được cài đặt mà người dùng không hề biết. Ở đây, máy tính
mục tiêu bị thỏa hiệp và nó khó có thể phát hiện ra bất cứ thứ gì đã
xảy ra. Liên kết nàycho bạn có được nhiều thông tin chi tiết về một
kịch bản tấn công điển hình.
Các hacker sẽ sử dụng các yếu điểm này với iFrame Manager để
tiếp tục kết nối đến máy chủ web bị xâm nhập, như thể hiện trong
hình 2. Điều này có nghĩa rằng mặc dù Web site được sửa thì nó
vẫn có thể bị nhiễm lại bởi hacker sử dụng manager này ở thời
điểm nào đó. Chỉ có một cách tránh được vấn đề này là thay đổi
mật khẩu có liên quan tới người dùng máy chủ FTP. (Để có thêm
thông tin chi tiết về IFrame Manager, bạn có thể xem đoạn video ở
cuối bài).
Hình 2: FTP manager
Bạn có thể bị liên lụy như thế nào
Khi máy tính duyệt Internet, bạn có thể gặp phải những rủi ro. Tấn
công này có thể xuất hiện trên bất cứ trang nào, những trang đã bị
tấn công. Bạn đơn thuần chỉ kết nối đến một website, thậm chí có
thể một trang mà bạn đã sử dụng nhiều năm. Nếu trang này bị
nhiễm độc thì bạn có thể sẽ không hề biết trừ khi chạy phần mềm
spyware, anti-virus hoặc các công cụ thích hợp khác.
Quả thật tấn công này thật nguy hiểm, nó có thể tấn công bạn rất
dễ dàng! Nếu bạn bỏ qua các thao tác bảo mật thông thường, các
thao tác thường được nói trong nhiều tài liệu về bảo mật thì bạn có
thể bị liệt vào thành phần đã bị tấn công xâm hại. Việc bỏ quan các
thao tác bảo mật tốt là hành động nguy hiểm nhất mà MAPCK có
thể tiêm nhiễm bạn.
Vấn đề là thậm chí nếu bạn luôn nâng cấp kịp thời các phiên bản
mới nhất của phần mềm chống virus thì vẫn có thể gặp phải những
rủi ro. Điều này là bởi vì MPACK liên tục được cập nhật. Nó hiện
đang ở phiên bản v0.84. Kẻ sản suất MPACK bảo đảm rằng không
có phần mềm quét virus nào có thể phát hiện ra các phiên bản mới.
Tuy vậy, bạn cũng cần chạy phần mềm truyền thống hoặc cấu hình
các máy trạm Windows để phát hiện ra các hành động nguy hiểm
này. Điều này được thực hiện tự động trong Windows Vista, UAC
được kích hoạt. Bạn cũng cần chạy tường lửa, cả tường lửa vành
đai và cục bộ trên máy trạm. Nếu không thực hiện các động thái
phòng ngừa từ trước thì bạn sẽ có thể bị tấn công bởi MPACK kit.
Cách phòng chống bị liên lụy hoặc cách ly được MPACK
Chúng tôi mong muốn có thể mang đến một số bí quyết và cấu
hình quan trọng giúp bạn chống lại MPACK. Nếu bạn cố gắng và
thực hiện đúng các phương pháp và hành vi bảo mật trong một tài
khoản thì có thể sẽ tránh được MPACK và bảo vệ sạch được máy
tính của mình.
Đây là một danh sách các thao tác bạn nên thực hiện trên máy tính
của mình để bảo vệ nó trước MPACK kit. Các thao tác này sẽ bảo
vệ chống lại được bất cứ lỗ hổng nào mà bạn bị phát hiện từ email
hoặc trên Internet.
• Chạy Windows Vista với User Account Control được kích hoạt
• Cài đặt gói dịch vụ mới nhất cho các hệ điều hành, trình duyệt và
các ứng dụng liên quan đến Internet khác khi chúng được cung
cấp.
• Cài đặt phần mềm chống vius tốt
• Cập nhật liên tục các file cơ sở dữ liệu của virus
• Không đăng nhập với tư cách quản trị viên hoặc với quyền quản
trị viên
• Không nâng cao các ứng dụng liên quan Internet để chạy với
quyền quản trị
• Không cho phép các ứng dụng chạy từ IE trừ khi bạn hiểu biết
rành rọt về những gì đang thực hiện.
• Cần phải am hiểu về nơi trình duyệt của bạn đang duyệt, bằng
việc xem phần trái bên dưới của cửa sổ trình duyệt, nó sẽ hiển thị
URL mà bạn đang kết nối đến.
• Quan sát URL của tất cả liên kết trong các trang trước khi bạn
kích vào chúng (di chuột qua liên kết chúng sẽ hiển thị cho bạn
thấy URL).
Sau khi thực thi các thao tác này, bạn có thể yên tâm với các kiểu
khai thác nhằm tiêm nhiễm đến máy tính. Quả thực không có một
công thức vàng nào. Bạn phải sử dụng phương pháp tiên phong đối
với bảo mật trên Internet. Do các kẻ tấn công và các hacker ngày
càng trở lên mau lẹ và tinh vi, vì vậy việc bắt kịp chúng sẽ là một
công việc cực kỳ khó khăn mà chúng ta cần phải thực hiện.
Kết luận
Vậy bạn đang ở mức độ an toàn như thế nào với MPACK? Câu trả
lời cũng giống như tất cả các virus, malware, adware vàTrojas độc
hại đến từ cộng đồng CNTT trong những năm trở lại đây. Hãy tỏ ra
thông minh khi bạn lướt web, không mở các email mà bạn không
cảm thấy đủ độ tin cậy…. Tuy nhiên MPACK có khác đôi chút, nó
có thể điều chỉnh cách tấn công của nó vào một website xác thực
nào đó. Nhưng nếu bạn đã thiết lập các tính năng hệ điều hành một
cách thích hợp (UAC và tường lửa Vista), thì bạn sẽ nhận được
thông báo về các hành vi trước khi bị tiêm nhiễm. Hãy thực hiện
các biện pháp đề phòng từ trước và kích hoạt kỹ thuật bảo mật tốt
nhất để bảo vệ chính mình.