Website chính thống bị tấn công và được kín đáo sử dụng để tấn công người dùng bất cẩn khi lướt web là một trong những tình trạng khá phổ biến trong năm 2008 và vẫn tiếp tục phát triển trong năm nay.
Vậy tại sao các website lớn, chính thống lại trở thành mục tiêu? Các website này bị lợi dụng tấn công như thế nào?
Theo Symantec, công ty bảo mật hàng đầu của thế giới thì thông thường những nỗ lực để cài đặt phần mềm độc hại vào máy tính của người dùng thông qua nền tảng web thường xuất phát từ những mảng tối trên Internet.
Với việc nhắm vào những website phát triển hoạt động phi pháp như các website người lớn hoặc website phần mềm vi phạm bản quyền, những kẻ phát triển mã độc hiểu rằng chúng có thể tìm ra một nguồn cung cấp phong phú người dùng chỉ chăm chăm vào những nhu cầu trước mắt của họ mà không cẩn thận đánh giá những gì họ đang tải xuống máy tính của mình.
Ngày nay, các kẻ phát triển mã độc lại hướng tới những mục tiêu rộng lớn hơn. Chỉ có một số website là hoàn toàn có khả năng phòng thủ an ninh tốt, và chính những website này được sử dụng như là một đầu mối để phát tán mã độc tới những người truy nhập cả tin.
Các website chính thống có một lượng người dùng lớn mà những kẻ phát triển mã độc muốn nhắm tới. Có thể nói cụ thể hơn, những website này có một cộng đồng người dùng lớn và họ hoàn toàn không hoài nghi về việc có thể trở thành nạn nhân của một cuộc tấn công bằng mã độc bởi vì họ tin tưởng rằng nếu họ chỉ truy nhập vào những website lớn, chính thống thì họ sẽ được an toàn.
Theo thống kê thì trong năm 2008, Symantec đã chứng kiến nhiều cuộc tấn công trên web phát sinh từ khoảng 808.000 tên miền khác nhau, nhiều trong số đó là những website lớn, chính thống; bao gồm những website về tin tức, du lịch, bán lẻ trực tuyến, trò chơi (games), bất động sản, website chính phủ và nhiều loại hình khác nữa. Điều này cho thấy quan điểm rằng nếu một người chỉ truy nhập vào các website tốt, thì họ sẽ được an toàn đã không còn đúng nữa.
Cũng theo Symantec, có nhiều loại hình tấn công mạng khác nhau lợi dụng một số website tốt có lỗ hổng bảo mật. Trong năm 2008, Symantec đã chứng kiến rất nhiều tấn công thuộc các kiểu điển hình sau: Tấn công kiểu SQL Injection; Những quảng cáo dẫn tới các đường liên kết hoặc cài đặt mã độc; Đưa ra các kết quả sai lệch trong công cụ tìm kiếm; Tấn công vào những công ty hosting ảo nằm đằng sau; Những lỗ hổng bảo mật trên máy chủ Web hoặc những diễn đàn lưu trữ phần mềm;
Tấn công theo mã lệnh liên kết chéo
Symantec cũng cho biết, hình thức tấn công kiểu SQL Injection vẫn tiếp tục có dấu hiệu phát triển trong năm 2009.
Tấn công kiểu SQL Injection là gì?
Ngày nay nhiều website, đặc biệt là những trang web có lưu lượng cao, chứa những nội dung động được cấu thành từ thông tin lưu trữ trong các cơ sở dữ liệu. Khi người dùng tương tác với những website như vậy thì thông tin được đọc và ghi vào cơ sở dữ liệu. Do đó, nhiệm vụ bảo mật cho những website này cần phải được mở rộng tới các cơ sở dữ liệu mà website có liên kết tới, và cả những dữ liệu được lưu trữ trong CSDL đó.
Một dạng phần mềm độc hại rất phổ biến đã phát hiện có tên là Trojan.Asprox, tự động sản sinh ra kiểu tấn công này. Cấu phần đầu tiên của loại phần mềm Trojan.Asprox này sử dụng những công cụ tìm kiếm phổ biến để tìm các website có nguy cơ về lỗ hổng bảo mật. Sau đó nó sẽ tấn công những website này với thủ thuật SQL injection.
Tấn công tự động này sau đó tiếp tục kiểm tra những website mà chúng phát hiện thành công, cho đến khi nó tìm ra một lỗ hổng trong một trường dữ liệu nhập vào, và sau đó chèn thêm đoạn mã HTML vào cơ sở dữ liệu.
Thông thường, đoạn mã độc HTML này có dạng các đuôi HTML giống như các IFRAREs cho phép trỏ đến các đoạn mã lệnh độc hoặc các trang web độc hại. Các IFRAME là những đuôi HTML cho phép nhúng một trang HTML vào một trang HTML khác. Đoạn mã dưới đây mô tả một IFRAME được tự động cài đặt thêm vào trông nó như thế nào:
Khi trang web này được yêu cầu từ một nạn nhân nào đó, thì máy chủ web sẽ lấy dữ liệu từ cơ sở dữ liệu đã bị tấn công trong quá trình xây dựng trang web đó và lây nhiễm mã độc này (dòng mã màu đỏ ở trên) tới nạn nhân. Nếu bản thân trình duyệt hoặc mođun thêm vào (plug-in) trình duyệt có lỗ hổng thì trình duyệt trên máy nạn nhân sẽ chạy những đoạn mã độc được yêu cầu bởi IFRAME độc hại kia.
(Theo DanTri)
Vậy tại sao các website lớn, chính thống lại trở thành mục tiêu? Các website này bị lợi dụng tấn công như thế nào?
Theo Symantec, công ty bảo mật hàng đầu của thế giới thì thông thường những nỗ lực để cài đặt phần mềm độc hại vào máy tính của người dùng thông qua nền tảng web thường xuất phát từ những mảng tối trên Internet.
Với việc nhắm vào những website phát triển hoạt động phi pháp như các website người lớn hoặc website phần mềm vi phạm bản quyền, những kẻ phát triển mã độc hiểu rằng chúng có thể tìm ra một nguồn cung cấp phong phú người dùng chỉ chăm chăm vào những nhu cầu trước mắt của họ mà không cẩn thận đánh giá những gì họ đang tải xuống máy tính của mình.
Ngày nay, các kẻ phát triển mã độc lại hướng tới những mục tiêu rộng lớn hơn. Chỉ có một số website là hoàn toàn có khả năng phòng thủ an ninh tốt, và chính những website này được sử dụng như là một đầu mối để phát tán mã độc tới những người truy nhập cả tin.
Các website chính thống có một lượng người dùng lớn mà những kẻ phát triển mã độc muốn nhắm tới. Có thể nói cụ thể hơn, những website này có một cộng đồng người dùng lớn và họ hoàn toàn không hoài nghi về việc có thể trở thành nạn nhân của một cuộc tấn công bằng mã độc bởi vì họ tin tưởng rằng nếu họ chỉ truy nhập vào những website lớn, chính thống thì họ sẽ được an toàn.
Theo thống kê thì trong năm 2008, Symantec đã chứng kiến nhiều cuộc tấn công trên web phát sinh từ khoảng 808.000 tên miền khác nhau, nhiều trong số đó là những website lớn, chính thống; bao gồm những website về tin tức, du lịch, bán lẻ trực tuyến, trò chơi (games), bất động sản, website chính phủ và nhiều loại hình khác nữa. Điều này cho thấy quan điểm rằng nếu một người chỉ truy nhập vào các website tốt, thì họ sẽ được an toàn đã không còn đúng nữa.
Cũng theo Symantec, có nhiều loại hình tấn công mạng khác nhau lợi dụng một số website tốt có lỗ hổng bảo mật. Trong năm 2008, Symantec đã chứng kiến rất nhiều tấn công thuộc các kiểu điển hình sau: Tấn công kiểu SQL Injection; Những quảng cáo dẫn tới các đường liên kết hoặc cài đặt mã độc; Đưa ra các kết quả sai lệch trong công cụ tìm kiếm; Tấn công vào những công ty hosting ảo nằm đằng sau; Những lỗ hổng bảo mật trên máy chủ Web hoặc những diễn đàn lưu trữ phần mềm;
Tấn công theo mã lệnh liên kết chéo
Symantec cũng cho biết, hình thức tấn công kiểu SQL Injection vẫn tiếp tục có dấu hiệu phát triển trong năm 2009.
Tấn công kiểu SQL Injection là gì?
Ngày nay nhiều website, đặc biệt là những trang web có lưu lượng cao, chứa những nội dung động được cấu thành từ thông tin lưu trữ trong các cơ sở dữ liệu. Khi người dùng tương tác với những website như vậy thì thông tin được đọc và ghi vào cơ sở dữ liệu. Do đó, nhiệm vụ bảo mật cho những website này cần phải được mở rộng tới các cơ sở dữ liệu mà website có liên kết tới, và cả những dữ liệu được lưu trữ trong CSDL đó.
Một dạng phần mềm độc hại rất phổ biến đã phát hiện có tên là Trojan.Asprox, tự động sản sinh ra kiểu tấn công này. Cấu phần đầu tiên của loại phần mềm Trojan.Asprox này sử dụng những công cụ tìm kiếm phổ biến để tìm các website có nguy cơ về lỗ hổng bảo mật. Sau đó nó sẽ tấn công những website này với thủ thuật SQL injection.
Tấn công tự động này sau đó tiếp tục kiểm tra những website mà chúng phát hiện thành công, cho đến khi nó tìm ra một lỗ hổng trong một trường dữ liệu nhập vào, và sau đó chèn thêm đoạn mã HTML vào cơ sở dữ liệu.
Thông thường, đoạn mã độc HTML này có dạng các đuôi HTML giống như các IFRAREs cho phép trỏ đến các đoạn mã lệnh độc hoặc các trang web độc hại. Các IFRAME là những đuôi HTML cho phép nhúng một trang HTML vào một trang HTML khác. Đoạn mã dưới đây mô tả một IFRAME được tự động cài đặt thêm vào trông nó như thế nào:
Khi trang web này được yêu cầu từ một nạn nhân nào đó, thì máy chủ web sẽ lấy dữ liệu từ cơ sở dữ liệu đã bị tấn công trong quá trình xây dựng trang web đó và lây nhiễm mã độc này (dòng mã màu đỏ ở trên) tới nạn nhân. Nếu bản thân trình duyệt hoặc mođun thêm vào (plug-in) trình duyệt có lỗ hổng thì trình duyệt trên máy nạn nhân sẽ chạy những đoạn mã độc được yêu cầu bởi IFRAME độc hại kia.
(Theo DanTri)
Posts
No comments:
Post a Comment