• Thứ Năm, 19/05/2005 08:09 (GMT+7)

    Sâu máy tính - Thiên biến vạn hóa chiêu thức tấn công

    Lượt xem 7262
    Đánh giá

    Phương thức lây lan qua mạng là khác biệt cơ bản giữa virus và sâu. Sâu có khả năng lan truyền như chương trình độc lập mà không cần lây nhiễm qua tập tin. Nhiều loại sâu có thể chiếm quyền kiểm soát hệ thống từ xa thông qua các “lỗ hổng” mà không cần có sự “giúp sức” nào từ người dùng.

    Những tiến bộ trong lĩnh vực lập trình đã đem đến nhiều tiện nghi cho cuộc sống chúng ta, nhưng cũng “trao” cho tội phạm trên mạng những phương thức phá hoại ngày càng tinh vi.

    Định nghĩa của từ điển Oxford, ấn bản thứ 10, “Sâu: Chương trình tự nhân bản có khả năng lan truyền qua mạng, thường là gây hại”.

    Sâu máy tính (sau đây gọi tắt là sâu) chủ yếu nhân bản trên mạng, được xem như một dạng virus máy tính. Tuy nhiên, ngay cả trong các cộng đồng nghiên cứu về bảo mật, nhiều người cho rằng sâu khác virus.

    Phương thức lây lan qua mạng là khác biệt cơ bản giữa virus và sâu. Hơn nữa, sâu có khả năng lan truyền như chương trình độc lập mà không cần lây nhiễm qua tập tin. Ngoài ra, nhiều loại sâu có thể chiếm quyền kiểm soát hệ thống từ xa thông qua các “lỗ hổng” mà không cần có sự “giúp sức” nào từ người dùng. Tuy nhiên, cũng có những trường hợp ngoại lệ như sâu Happy99, Melissa, LoveLetter, Nimda... Nói chung, đa phần sâu áp dụng chiêu thức lây nhiễm các nút (PC) trên mạng. Vì vậy, các phương thức phòng chống sâu thường tập trung vào việc bảo vệ mạng và các nút nối mạng.

    SĂN TÌM MỤC TIÊU

    Để phát tán nhanh trên mạng, sâu cần có khả năng săn tìm các mục tiêu mới. Đa phần sâu lùng sục hệ thống máy tính của bạn để tìm các địa chỉ email và gửi bản sao của chúng đến những địa chỉ đó. Vì các công ty thường cho phép thông điệp email đi qua tường lửa (firewall), vì vậy tạo ra một ngõ xâm nhập thuận lợi cho sâu. Ngoài ra, còn nhiều kỹ thuật phức tạp hơn để tìm mục tiêu mới, như tạo địa chỉ IP ngẫu nhiên kết hợp với dò mạng... Các sâu hiện đại có thể dùng nhiều giao thức để tấn công.

    ● Thu thập địa chỉ email

    Hình 1

     

    Có nhiều cách thức để sâu thu thập địa chỉ email. Chương trình sâu có thể khai thác thư viện API (Application Programming Interface) để duyệt các sổ địa chỉ. Một ví dụ của dạng này là sâu W32/Serot. Các file cũng có thể bị dò xét để tìm địa chỉ email, ví dụ sâu W32/Magistr dò tìm các file có đuôi WAB. Ngoài ra, sâu còn có thể giám sát SMTP (Simple Mail Transfer Protocol) server để “bắt” địa chỉ email của thông điệp gửi đi, Happy99 là sâu đầu tiên dùng kỹ thuật này.

    Địa chỉ email còn có thể bị săn lùng qua web. Các sâu tinh vi có thể dùng giao thức NNTP (Network News Transfer Protocol) để đọc các nhóm tin (sâu W32/Pavro) hay dùng các dịch vụ tìm kiếm như Google để thu thập địa chỉ email dùng những kỹ thuật tương tự như spam (sâu W32/Mydoom.M@mm).

    ● Dò tìm trên mạng

    Có lẽ phương pháp đơn giản nhất để tìm mục tiêu khác một cách nhanh chóng là dò tìm trên mạng. Các hệ thống Windows đặc biệt dễ tổn thương trước các tấn công như vậy vì chúng hỗ trợ tốt cho việc tìm kiếm các máy khác.

    ● Tấn công thăm dò

     

    Hình 2

    Nhiều sâu tạo ra địa chỉ IP ngẫu nhiên để tấn công các nút khác, có thể quét toàn bộ Internet từ một máy duy nhất. Kỹ thuật này cho phép kẻ tấn công xây dựng “hit list” - cơ sở dữ liệu địa chỉ IP các hệ thống có điểm yếu đối với một kỹ thuật tấn công nào đó, bằng cách thử tấn công vào các hệ thống ở xa để kiểm tra xem mục tiêu có lỗ hổng nào không. Phương pháp “hit list” là một trong những kỹ thuật nền tảng của các sâu Warhol. (Có khả năng trong tương lai, IPv6 sẽ buộc các sâu chuyển từ các phương pháp dò tìm truyền thống sang kỹ thuật “hit list”).

    PHÁT TÁN

    Một yếu tố rất quan trọng của sâu là phương thức tự truyền đến nút mới và chiếm quyền điều khiển hệ thống ở xa. Thường sâu giả định bạn sử dụng một loại hệ thống nhất định, chẳng hạn như Windows, và gửi đến sâu tương thích. Thông thường, kẻ tấn công lừa người nhận thực thi đoạn code dựa trên các thủ thuật tâm lý. Tuy nhiên, ngày càng có nhiều sâu có khả năng thực thi tự động trên hệ thống ở xa mà không cần sự giúp sức của người dùng.

    ● Tấn công hệ thống mở cửa hậu

    Mặc dù hầu hết sâu đều không cố ý tấn công hệ thống đã bị lây nhiễm, nhưng có một vài sâu dùng những giao tiếp cửa hậu để tự phát tán. Sâu W32/Borm là một trong những sâu đầu tiên thuộc loại này, nó chỉ lây nhiễm hệ thống đã bị Back Orifice thôn tính. Back Orifice cung cấp một giao tiếp lệnh từ xa sử dụng một kênh mã hóa giữa máy khách và Back Orifice server cài đặt trên hệ thống bị xâm nhập. Borm sử dụng chức năng dò mạng và tấn công thăm dò để định vị các hệ thống bị Back Orifice thôn tính. (Hình 1)

    Một số sâu khác sử dụng giao tiếp cửa hậu như Nimda (khai thác cửa hậu được CodeRed II mở) và W32/Leaves (tấn công hệ thống bị SubSeven Trojan xâm nhập).

    ● Tấn công mạng ngang hàng

    Hình 3

     

    Tấn công mạng ngang hàng là kỹ thuật ngày càng phổ biến vì không yêu cầu những phương thức dò mạng cao cấp. Các sâu chỉ đơn giản tự tạo bản sao (lây nhiễm tập tin) trên thư mục dùng chung để bất kỳ người dùng nào cũng đều có thể tìm thấy và tải về.

    Thực tế, một số sâu thậm chí còn tự tạo thư mục chia sẻ. Mặc dù kỹ thuật tấn công này tương tự như cài đặt Trojan, thay vì phát tán xoay vòng, người dùng mạng ngang hàng sẽ tìm thấy nội dung được chia sẻ trên mạng và thực thi đoạn code bất minh trên máy của mình để hoàn tất chu trình lây nhiễm. W32/Maax là một trong số sâu thuộc dạng này.

    Các ứng dụng ngang hàng như KaZaA, Limewire, Morpheus, BearShare... thường là mục tiêu của sâu loại này.

    ● Tấn công IM

    Tấn công dịch vụ nhắn tin (Instant Messaging - IM hay chat) khai thác lệnh mIRC Send dùng để gửi tập tin đến người dùng kết nối với một kênh liên lạc nào đó. Thông thường, kẻ tấn công thay đổi một tập tin script cục bộ, ví dụ script.ini được mIRC dùng để ra lệnh cho trình IM gửi đi mỗi khi có người mới tham gia diễn đàn.
    Các sâu IRC (Internet Relay Chat) hiện đại có thể kết nối tự động trình khách IRC và gửi thông điệp lừa người nhận nhấn lên một liên kết hay thực thi tập tin đính kèm. Bằng cách này, kẻ tấn công không cần thay đổi tập tin cục bộ.

    ● Tấn công bằng email

    Có rất nhiều sâu dùng email để phát tán. Thật sự, nhiều người dùng không biết rằng cần cẩn thận với tập tin đính kèm email. Kẻ tấn công có thể dùng thủ thuật tâm lý với nội dung mời gọi, hay giả mạo địa chỉ người gửi tin cậy (ví dụ support@microsoft.com)... để dụ người dùng mở tập tin đính kèm.

    Một số sâu chèn thông điệp trực tiếp vào hộp thư của trình email. Bằng cách này, sâu không cần gửi thông điệp; nó lợi dụng trình email để gửi email. Những sâu đầu tiên trên hệ thống Windows thuộc dạng này, ví dụ sâu Win/Redteam.

    Ngoài ra còn có sâu đóng giả vai trò cổng SMTP bằng cách thay đổi địa chỉ IP của SMTP server. Khi email được gửi đi qua SMTP, sâu sẽ đính kèm đoạn mã của nó trước khi chuyển tiếp đến SMTP server thật sự (hình 2). Nguy hiểm hơn, các sâu như Nimda, Klez, Sobig và Mydoom có thể lợi dụng SMTP để gửi email hàng loạt.

    ● Tấn công liên kết

    Sâu cũng có thể gửi liên kết đến tập tin thực thi ở một nơi nào đó khác, như một website hay địa chỉ FTP. Thông điệp email có thể không chứa trực tiếp bất kỳ nội dung xấu nào. Dạng tấn công này có thể vô tình tạo nên tấn công từ chối dịch vụ (DoS) đối với hệ thống chứa chương trình sâu.

    Trước hết, sâu lây nhiễm một máy và mở một web server. Kế đó nó gửi các thông điệp đến những người dùng khác, dùng địa chỉ IP của máy nạn nhân (hình 3). Những sâu như vậy có thể vượt qua cơ chế lọc nội dung một cách dễ dàng. W32/Aplore là một trong những sâu đầu tiên sử dụng kỹ thuật này.

    HỢP TÁC VÀ CẠNH TRANH

    Các nhà nghiên cứu virus đã quan sát được những sự tương tác tình cờ hoặc có chủ đích giữa các loại chương trình sâu và virus.

    Sâu có thể lợi dụng sự lây nhiễm của một virus nào đó, ví dụ code sâu được nhúng vào trong code virus. Và sâu “đột biến” có nhiều cơ hội hơn để phát tán và lây nhiễm các hệ thống khác.

    Việc cạnh tranh giữa các chương trình bất minh cũng được ghi nhận. Nhiều sâu/virus tấn công các sâu/virus khác và loại bỏ khỏi hệ thống bị lây nhiễm. Các loại sâu chống sâu trở nên phổ biến từ năm 2001 với sự xuất hiện sâu CodeRed và đối thủ CodeGreen. Code Green gỡ bỏ khỏi hệ thống các lây nhiễm CodeRed cũng như các thành phần “cửa hậu” của các biến thể CodeRed. Hơn nữa, Code Green còn tải về và cài đặt các bản vá để bít các lỗ hổng.

    Dự báo, trong tương lai cuộc chiến giữa các sâu sẽ ngày càng phổ biến nhưng khả năng hợp tác cũng cao. Ví dụ, các sâu có thể dùng một giao thức đặc biệt như SWCP (Simple Worm Communication Protocol) để trao đổi thông tin cũng như hàm thư viện giữa các họ sâu khác nhau. Rất có thể những kỹ thuật như vậy sẽ xuất hiện trong tương lai gần. Dĩ nhiên, việc “bắt tay” có thể xảy ra ở những dạng khác.

    THẾ HỆ MỚI

    Sâu SymbOS/Cabir cho thấy một kỷ nguyên mới của sâu đang dần trở nên phổ biến khi điện thoại di động thông minh (smart phone) thay thế các hệ thống điện thoại di động hiện nay. Sâu Cabir xuất hiện vào tháng 6/2004 có một số tính năng độc đáo, như khai thác tính năng Bluetooth của ĐTDĐ làm phương tiện phát tán. (Hình 4)

    Thông thường, mặc định tính năng liên lạc Bluetooth không được mở trên các ĐTDĐ. Khi cần trao đổi dữ liệu, người dùng di động mở kênh liên lạc Bluetooth và đồng thời mở cửa luôn cho các sâu như Cabir.

     
                  Hình 4

    Thực tế, có nhiều lỗ hổng được ghi nhận với các hệ thống Bluetooth. Nhiều công cụ tấn công liên quan đến Bluetooth hiện phổ biến như Bluesniff, Btscanner, PSMscan và Redfang.

    Có khả năng trong tương lai xảy ra tình huống sâu thực hiện cuộc gọi từ chiếc ĐTDĐ của bạn. Đó có thể là một thời đại mới của sâu gửi mail hàng loạt dùng MMS hay loại sâu tải về dựa trên SMS, sâu quay số, sâu quảng cáo... Không biết khi đó ai sẽ thanh toán hóa đơn cước phí?

    Phương Uyên (tổng hợp)

    ID: A0504_98
    Ý kiến của bạn? Ý kiến của bạn?
    Tin ngày :

Thuật ngữ