• Thứ Tư, 20/10/2010 09:25 (GMT+7)

    Malware mới có thể "lẻn" qua hệ thống phòng chống xâm nhập

    Bạch Đình Vinh
    Các nhà sản xuất cần phải nâng cấp thiết bị của họ để xử lý một thể loại malware mới sử dụng những kỹ thuật lẩn tránh tiên tiến để lẻn qua hầu hết IPS.

    Một loại malware mới được phát hiện gần đây dùng kỹ thuật lẩn tránh tiên tiến (advanced evasion technique - AET) có thể lẻn qua hầu hết các hệ thống phòng chống xâm nhập (intrusion prevention system - IPS) để đưa những mã khai thác thậm chí còn nổi tiếng hơn (như Sasser và Conficker) vào các máy tính mục tiêu mà không để lại dấu vết nào về cách chúng đến được đó, nhiều nhà nghiên cứu nói.

    Các trung tâm ứng cứu khẩn cấp máy tính (Computer Emergency Response Team - CERT) tại một số quốc gia đã gửi đi thông báo về mối đe dọa này cho hàng chục nhà sản xuất IPS, do đó họ có thể có những biện pháp ngăn ngừa các AET một cách hữu hiệu - theo CERT quốc gia của Phần Lan (CERT-FI). Nhà sản xuất IPS Stonesoft đã phát hiện ra các AET và báo cáo cho CERT-FI.

    Các AET kết hợp nhiều kỹ thuật lẩn tránh đơn giản (simple evasion technique - SET). Các IPS thực sự có thể bảo vệ chống lại từng SET, nhưng sự kết hợp của nhiều SET làm nên một “con mãnh thú” khác mà các IPS không thể phát hiện, StoneSoft cho biết.

    Bản thân các AET không gây thiệt hại, nhưng chúng mang lại khả năng tàng hình để malware có thể vươn tới các hệ thống mục tiêu, kiến trúc sư các giải pháp Mark Boltz tại Stonesoft nói. Cho đến nay, chưa có bằng chứng nào cho thấy các AET đã được sử dụng rộng rãi, ông nói.

    SET đã được biết đến từ hơn một thập kỷ trước và phần lớn IPS có thể bảo vệ chống lại chúng, nhưng sử dụng nhiều SAT tại một thời điểm tạo ra những sự kết hợp có thể  “qua mặt” các IPS hiện tại, ông Boltz nói.

    Trong các thử nghiệm của Stonesoft, một tập hợp AET đã được sử dụng để che giấu sâu (worm) Conficker và Sasser, và chúng đã “qua mặt” được 10 IPS hàng đầu theo xếp hạng Magic Quadrant gần đây nhất đối với các IPS của Gartner. Không IPS nào trong số này phát hiện ra các AET, ông Boltz nói.

    Nguồn: Network World, 18/10/2010