Sự phát triển của công nghệ trên nền tảng Web đã thay đổi phương thức giao tiếp và tương tác giữa các doanh nghiệp với khách hàng. Bản báo cáo của Symantec về Những tấn công trên Web mô tả cụ thể, chi tiết về những tấn công trên Web, đồng thời nghiên cứu một số nhân tố đã gây ra sự biến đổi sang hình thái tấn công này trong những năm gần đây.
Sự phát triển của công nghệ trên nền tảng Web đã thay đổi phương thức giao tiếp và tương tác giữa các doanh nghiệp với khách hàng. Nền tảng Web đã trở thành một công cụ thiết yếu trong việc chia sẻ thông tin và thực hiện những giao dịch thương mại. Tất nhiên, nền tảng Web cũng trở nên ngày càng phức tạp hơn, với bản chất tự nhiên là không có giới hạn và luôn tức thì. Một trang Web cơ bản ngày nay có thể được cấu thành bởi thông tin từ nhiều nguồn khác nhau và từ mọi nơi trên thế giới. Người ta chỉ cần lấy một trong những nguồn thông tin này để tận dụng phát tán một cuộc tấn công mạng mới một cách nhanh chóng và hướng tới nhiều người dùng Web bất cẩn. Sự tồn tại của quá nhiều kiểu tấn công mạng trên khắp thế giới, cộng thêm tính phức tạp và những lỗ hổng trong hạ tầng đã khiến nền tảng Web trở nên dễ tổn thương trước những cuộc tấn công. Trong năm 2008, Symantec đã chứng kiến sự tăng trưởng mạnh về số lượng và tính phức tạp của những mối đe doạ trên nền tảng Web, gây ảnh hưởng lớn tới người dùng ở khắp nơi trên thế giới và thuộc mọi quốc gia.
Các Website bị lây nhiễm như thế nào?
Trong năm 2008, Symantec chứng kiến một lượng lớn các Website chính thống đã bị tấn công và được kín đáo sử dụng cho những cuộc tấn công trên Web đối với những người ghé thăm trang Web không nghi ngờ gì. Trong phần này, Symantec tìm hiểu tại sao các Website chính thống lại trở thành mục tiêu cho những kẻ phát triển mã độc, và xem xét một trong những kỹ thuật phổ biến được sử dụng để tấn công những website này.
Tại sao các Website lớn, chính thống lại trở thành mục tiêu?
Thông thường thì những nỗ lực để cài đặt phần mềm độc hại vào máy tính của người dùng thông qua nền tảng Web thường xuất phát từ những mảng tối trên Internet. Với việc nhắm vào những website phát triển những hoạt động phi pháp như những website người lớn hoặc website phần mềm vi phạm bản quyền, những kẻ phát triển mã độc hiểu rằng chúng có thể tìm ra một nguồn cung cấp phong phú những người dùng chỉ chăm chăm vào những nhu cầu trước mắt của họ mà không cẩn thận đánh giá những gì họ đang tải xuống máy tính của mình.
Ngày nay, những kẻ phát triển mã độc lại hướng tới những mục tiêu rộng lớn hơn. Chỉ có một số Website là hoàn toàn có khả năng phòng thủ an ninh tốt, và chính những Website này được sử dụng như là một đầu mối để phát tán mã độc tới những người truy nhập cả tin. Những Website chính thống có một lượng người dùng lớn mà những kẻ phát triển mã độc muốn nhắm tới. Có thể nói cụ thể hơn, những website này có một cộng đồng người dùng lớn và họ hoàn toàn không hoài nghi về việc có thể trở thành nạn nhân của một cuộc tấn công bằng mã độc bởi vì họ tin tưởng rằng nếu họ chỉ truy nhập vào những Website lớn, chính thống thì họ sẽ được an toàn.
Trong năm 2008, Symantec đã chứng kiến những cuộc tấn công trên Web phát sinh từ khoảng 808,000 tên miền khác nhau, nhiều trong số đó là những Website lớn, chính thống; bao gồm những website về tin tức, du lịch, bán lẻ trực tuyến, trò chơi (games), bất động sản, website chính phủ và nhiều loại hình khác nữa. Điều này cho thấy quan điểm rằng nếu một người chỉ truy nhập vào những website tốt, thì họ sẽ được an toàn đã không còn đúng nữa.
Vậy những Website chính thống bị lợi dụng tấn công như thế nào?
Có nhiều loại hình tấn công mạng khác nhau lợi dụng một số website tốt có lỗ hổng bảo mật. Trong năm 2008, Symantec đã chứng kiến rất nhiều tấn công thuộc các kiểu điển hình sau:
- Tấn công kiểu SQL Injection.
- Những quảng cáo dẫn tới các đường liên kết hoặc cài đặt mã độc.
- Đưa ra những kết quả sai lệch trong công cụ tìm kiếm
- Tấn công vào những công ty hosting ảo nằm đằng sau
- Những lỗ hổng bảo mật trên máy chủ Web hoặc những diễn đàn lưu trữ phần mềm
- Tấn công theo mã lệnh liên kết chéo
Dưới đây là kỹ thuật tấn công SQL Injection - một kiểu rất phổ biến:
Ngày nay nhiều Website, đặc biệt là những Website có lưu lượng cao, chứa những nội dung động được cấu thành từ thông tin lưu trữ trong các cơ sở dữ liệu. Khi người dùng tương tác với những Website như vậy thì thông tin được đọc và ghi vào cơ sở dữ liệu. Do đó, nhiệm vụ bảo mật cho những Website này cần phải được mở rộng tới các cơ sở dữ liệu mà website có liên kết tới, và cả những dữ liệu được lưu trữ trong CSDL đó.
Một dạng phần mềm độc hại rất phổ biến mà Symantec đã phát hiện có tên là Trojan.Asprox, đã tự động sản sinh ra kiểu tấn công này. Cấu phần đầu tiên của loại phần mềm Trojan.Asprox này sử dụng những công cụ tìm kiếm phổ biến để tìm những Website có nguy cơ về lỗ hổng bảo mật. Sau đó nó sẽ tấn công những Website này với thủ thuật SQL injection.
Tấn công tự động này sau đó tiếp tục kiểm tra những Website mà chúng phát hiện thành công, cho đến khi nó tìm ra một lỗ hổng trong một trường dữ liệu nhập vào, và sau đó chèn thêm đoạn mã HTML vào cơ sở dữ liệu. Thông thường, đoạn mã độc HTML này có dạng các đuôi HTML giống như các IFRAREs cho phép trỏ đến các đoạn mã lệnh độc hoặc các trang web độc hại. Các IFRAME là những đuôi HTML cho phép nhúng một trang HTML vào một trang HTML khác.
Khi trang web này được yêu cầu từ một nạn nhân nào đó, thì máy chủ Web sẽ lấy dữ liệu từ cơ sở dữ liệu đã bị tấn công trong quá trình xây dựng trang web đó và lây nhiễm mã độc này tới nạn nhân. Nếu bản thân trình duyệt hoặc mođun thêm vào (plug-in) trình duyệt có lỗ hổng thì trình duyệt trên máy nạn nhân sẽ chạy những đoạn mã độc được yêu cầu bởi IFRAME độc hại kia.
S0
Sự phát triển của công nghệ trên nền tảng Web đã thay đổi phương thức giao tiếp và tương tác giữa các doanh nghiệp với khách hàng. Nền tảng Web đã trở thành một công cụ thiết yếu trong việc chia sẻ thông tin và thực hiện những giao dịch thương mại. Tất nhiên, nền tảng Web cũng trở nên ngày càng phức tạp hơn, với bản chất tự nhiên là không có giới hạn và luôn tức thì. Một trang Web cơ bản ngày nay có thể được cấu thành bởi thông tin từ nhiều nguồn khác nhau và từ mọi nơi trên thế giới. Người ta chỉ cần lấy một trong những nguồn thông tin này để tận dụng phát tán một cuộc tấn công mạng mới một cách nhanh chóng và hướng tới nhiều người dùng Web bất cẩn. Sự tồn tại của quá nhiều kiểu tấn công mạng trên khắp thế giới, cộng thêm tính phức tạp và những lỗ hổng trong hạ tầng đã khiến nền tảng Web trở nên dễ tổn thương trước những cuộc tấn công. Trong năm 2008, Symantec đã chứng kiến sự tăng trưởng mạnh về số lượng và tính phức tạp của những mối đe doạ trên nền tảng Web, gây ảnh hưởng lớn tới người dùng ở khắp nơi trên thế giới và thuộc mọi quốc gia.
Các Website bị lây nhiễm như thế nào?
Trong năm 2008, Symantec chứng kiến một lượng lớn các Website chính thống đã bị tấn công và được kín đáo sử dụng cho những cuộc tấn công trên Web đối với những người ghé thăm trang Web không nghi ngờ gì. Trong phần này, Symantec tìm hiểu tại sao các Website chính thống lại trở thành mục tiêu cho những kẻ phát triển mã độc, và xem xét một trong những kỹ thuật phổ biến được sử dụng để tấn công những website này.
Tại sao các Website lớn, chính thống lại trở thành mục tiêu?
Thông thường thì những nỗ lực để cài đặt phần mềm độc hại vào máy tính của người dùng thông qua nền tảng Web thường xuất phát từ những mảng tối trên Internet. Với việc nhắm vào những website phát triển những hoạt động phi pháp như những website người lớn hoặc website phần mềm vi phạm bản quyền, những kẻ phát triển mã độc hiểu rằng chúng có thể tìm ra một nguồn cung cấp phong phú những người dùng chỉ chăm chăm vào những nhu cầu trước mắt của họ mà không cẩn thận đánh giá những gì họ đang tải xuống máy tính của mình.
Ngày nay, những kẻ phát triển mã độc lại hướng tới những mục tiêu rộng lớn hơn. Chỉ có một số Website là hoàn toàn có khả năng phòng thủ an ninh tốt, và chính những Website này được sử dụng như là một đầu mối để phát tán mã độc tới những người truy nhập cả tin. Những Website chính thống có một lượng người dùng lớn mà những kẻ phát triển mã độc muốn nhắm tới. Có thể nói cụ thể hơn, những website này có một cộng đồng người dùng lớn và họ hoàn toàn không hoài nghi về việc có thể trở thành nạn nhân của một cuộc tấn công bằng mã độc bởi vì họ tin tưởng rằng nếu họ chỉ truy nhập vào những Website lớn, chính thống thì họ sẽ được an toàn.
Trong năm 2008, Symantec đã chứng kiến những cuộc tấn công trên Web phát sinh từ khoảng 808,000 tên miền khác nhau, nhiều trong số đó là những Website lớn, chính thống; bao gồm những website về tin tức, du lịch, bán lẻ trực tuyến, trò chơi (games), bất động sản, website chính phủ và nhiều loại hình khác nữa. Điều này cho thấy quan điểm rằng nếu một người chỉ truy nhập vào những website tốt, thì họ sẽ được an toàn đã không còn đúng nữa.
Vậy những Website chính thống bị lợi dụng tấn công như thế nào?
Có nhiều loại hình tấn công mạng khác nhau lợi dụng một số website tốt có lỗ hổng bảo mật. Trong năm 2008, Symantec đã chứng kiến rất nhiều tấn công thuộc các kiểu điển hình sau:
- Tấn công kiểu SQL Injection.
- Những quảng cáo dẫn tới các đường liên kết hoặc cài đặt mã độc.
- Đưa ra những kết quả sai lệch trong công cụ tìm kiếm
- Tấn công vào những công ty hosting ảo nằm đằng sau
- Những lỗ hổng bảo mật trên máy chủ Web hoặc những diễn đàn lưu trữ phần mềm
- Tấn công theo mã lệnh liên kết chéo
Dưới đây là kỹ thuật tấn công SQL Injection - một kiểu rất phổ biến:
Ngày nay nhiều Website, đặc biệt là những Website có lưu lượng cao, chứa những nội dung động được cấu thành từ thông tin lưu trữ trong các cơ sở dữ liệu. Khi người dùng tương tác với những Website như vậy thì thông tin được đọc và ghi vào cơ sở dữ liệu. Do đó, nhiệm vụ bảo mật cho những Website này cần phải được mở rộng tới các cơ sở dữ liệu mà website có liên kết tới, và cả những dữ liệu được lưu trữ trong CSDL đó.
Một dạng phần mềm độc hại rất phổ biến mà Symantec đã phát hiện có tên là Trojan.Asprox, đã tự động sản sinh ra kiểu tấn công này. Cấu phần đầu tiên của loại phần mềm Trojan.Asprox này sử dụng những công cụ tìm kiếm phổ biến để tìm những Website có nguy cơ về lỗ hổng bảo mật. Sau đó nó sẽ tấn công những Website này với thủ thuật SQL injection.
Tấn công tự động này sau đó tiếp tục kiểm tra những Website mà chúng phát hiện thành công, cho đến khi nó tìm ra một lỗ hổng trong một trường dữ liệu nhập vào, và sau đó chèn thêm đoạn mã HTML vào cơ sở dữ liệu. Thông thường, đoạn mã độc HTML này có dạng các đuôi HTML giống như các IFRAREs cho phép trỏ đến các đoạn mã lệnh độc hoặc các trang web độc hại. Các IFRAME là những đuôi HTML cho phép nhúng một trang HTML vào một trang HTML khác.
Khi trang web này được yêu cầu từ một nạn nhân nào đó, thì máy chủ Web sẽ lấy dữ liệu từ cơ sở dữ liệu đã bị tấn công trong quá trình xây dựng trang web đó và lây nhiễm mã độc này tới nạn nhân. Nếu bản thân trình duyệt hoặc mođun thêm vào (plug-in) trình duyệt có lỗ hổng thì trình duyệt trên máy nạn nhân sẽ chạy những đoạn mã độc được yêu cầu bởi IFRAME độc hại kia.
S0
0 Bình Luận:
Đăng nhận xét