Malware xấu tới mức nào? Tồi tệ hơn bạn nghĩ. Malware thế hệ mới hiểm độc khôn lường. Thật khó khăn để nhận biết và có những biện pháp phòng ngừa thích hợp. Nếu malware (phần mềm độc hại) là sinh vật học, thế giới đã ngập chìm trong chết chóc của một đại dịch tồi tệ nhất trong lịch sử.
Theo thống kê của Panda Labs trong năm 2009, hơn 25 triệu biến thể khác nhau của malware đã được xác định, nhiều hơn tất cả các chương trình phần mềm độc hại đã từng được tạo ra trong tất cả các năm trước. Thật là khó tin, nhưng có một thực tế là malware hiện nay phát triển nhanh và nhiều là bởi có nhiều đơn đặt hàng lớn.
Ai là người sử dụng điện toán đám mây lớn nhất thế giới? Không phải Microsoft, không phải Google, cũng không phải Amazon.com. Những kẻ cầm đầu mạng máy tính ma (botnet) với hơn 4,6 triệu máy tính bị nhiễm sâu Conficker nằm dưới sự kiểm soát của chúng, bỏ xa các đại gia về việc dùng “mây điện toán”. Một số nhà cung cấp chương trình phòng chống malware báo cáo rằng 48% máy tính họ quét bị nhiễm một số loại phần mềm độc hại. Còn Panda Labs thì cho biết mã độc Trojan chiếm 66% các mối đe dọa.
Không ai cần phải tự hỏi malware đang cố gắng làm gì, mọi cái đã rõ: đó là cố gắng ăn cắp tiền thông qua đánh cắp dữ liệu, chuyển tiền ngân hàng, các loại mật khẩu, hoặc danh tính… Mỗi ngày, hàng chục triệu đô la Mỹ đang bị mất cắp từ các nạn nhân ngây thơ trên Internet. Trong khi nhiều chương trình bảo vệ máy tính không thể cho bạn biết đâu là những mối đe dọa lớn nhất, vì thế bạn khó có thể đưa ra phương án phòng vệ thích hợp.
Malware thời nay khác nhiều so với những mối đe dọa chúng ta đã phải đối mặt trong 10 năm qua. Đã qua rồi cái thời hầu hết các chương trình độc hại được viết bởi các lập trình viên trẻ tuổi nhằm tìm kiếm “hư” danh và quyền tha hồ khoác lác trên không gian mạng. Khi đó, hầu hết các malware đều “hiền lành” và thường gây sự chú ý về sự tồn tại của chúng với người sử dụng thông qua một tin nhắn hiển thị, hay phát một đoạn nhạc (như họ virus Yankee Doodle Dandy), hoặc một số hình thức nghịch ngợm vô hại khác.
Malware thời hiện đại
Malware thời nay được viết bởi bọn tội phạm chuyên nghiệp. Trong phần lớn trường hợp, người dùng vô tình bị lừa thực thi một chương trình độc hại dưới dạng mã độc Trojan. Người dùng nghĩ rằng họ đang cài đặt phần mềm cần thiết, thường "được đề nghị" bởi một trang web mà họ tin tưởng. Trong thực tế, các trang web này không hề có kiểu đề xuất như vậy. Tác giả malware thường đột nhập bất hợp pháp vào các trang web chính thống bằng cách lợi dụng các lỗ hổng được tìm thấy và tiến hành sửa đổi các trang Web đó, bao gồm JavaScript độc hại chuyển hướng. Hoặc chèn các đoạn mã độc hại ẩn mình bên trong một quảng cáo banner, được đăng hợp pháp trên trang web.
Dù bằng cách nào thì khi người dùng lướt tới trang web hợp pháp, JavaScript độc hại được nạp, và nó nhắc người dùng cài đặt một chương trình hoặc chuyển hướng đến một trang web khác, tại đó người dùng được bảo cài đặt một chương trình.
Trojan dẫn đường
Trojan thường tự ngụy trang giả như những chương trình cần được tải về, đó có thể là: những chương trình quét virus, các bản vá lỗi, các tập tin PDF dị dạng, hoặc bộ giải mã video thêm vào cần thiết để hiển thị một đoạn video thú vị. Hầu hết các chương trình giả mạo trông có vẻ “lành” và có cảm giác như là một ứng dụng thực tế. Ngay cả các chương trình chống malware chuyên nghiệp thấy nó cũng khó để phân biệt giữa những gì là thật và cái gì là giả mạo.
Các chương trình giả mạo thậm chí còn thành công hơn trong việc lừa đảo khi chúng xuất hiện từ những trang web nổi tiếng, qua nhiều năm không có sự cố, và người dùng thường tin tưởng và ghé thăm. Hoặc chúng khởi động từ một trong những mạng xã hội phổ biến, như Facebook và Twitter, những nơi có số lượng lớn thành viên tham gia. Một số chương trình phần mềm độc hại quét máy tính của người dùng tìm phần mềm dễ bị tổn thương, lại thiếu bản vá bảo mật, nhưng thông thường, người dùng tự gây nhiễm bằng cách cài đặt các ứng dụng mà họ không nên.
Khi lây nhiễm được vào máy tính người dùng rồi các Trojan sẽ làm gì?
Trong một kịch bản phổ biến, chương trình độc hại mới đầu được cài đặt gọi là downloader (bộ tải xuống). Mục tiêu của downloader là cài đặt lên PC của nạn nhân rồi sau đó “gọi” về máy chủ web ra lệnh từ xa để nhận chỉ thị. Downloader thường được lệnh liên lạc tới một máy chủ DNS động. Đây là một máy tính của người dùng vô tội đã bị nhiễm Trojan.
Bản ghi địa chỉ DNS nhận được bởi downloader có một địa chỉ có hiệu lực trong một thời gian ngắn - đôi khi chừng khoảng 3 phút. Những kỹ thuật phức tạp của mạng tính ma như vậy gây nhiều khó khăn cho việc điều tra hoặc diệt trừ tận gốc phần mềm độc hại. Downloader cuối cùng sẽ được chuyển đến một máy chủ khác (dĩ nhiên là một máy đã bị xâm nhập) và tải về một chương trình mới hoặc nhận các chỉ thị. Chuỗi tìm kiếm và tải các chương trình và chỉ thị mới có thể lên tới cả tá chu kỳ.
Rốt cuộc, chương trình và những chỉ thị cuối cùng sẽ được cài lên máy tính của nạn nhân, với một số ít máy chủ ra lệnh và điều khiển theo chỉ đạo của chủ nhân botnet. Botnet có thể được sử dụng bởi chính chủ sở hữu để ăn cắp tiền, chỉ đạo tấn công từ chối dịch vụ (DDoS), hoặc để đột nhập vào những máy tính khác. Thường là kẻ xấu thuê botnet (chuyên để cho thuê) của giới tội phạm, để ra lệnh tấn công phục vụ cho những mưu đồ của chúng. Một ví dụ điển hình về máy tính ma và botnet là Mariposa. Tại một điểm, nó kiểm soát hơn 13 triệu máy tính cá nhân của hơn 190 quốc gia. Các “quân sư” của Mariposa không phải là những nhà viết phần mềm độc hại thiên tài – chúng là ba thanh niên đã mua một một botnet “trọn bộ” trên mạng Internet chỉ với giá 300 đô la Mỹ.
Những bộ kit thương mại hóa
Những bộ trọn gói (kit) malware cho phép tùy chỉnh đã xuất hiện chừng hai thập kỷ, nhưng bây giờ chúng đang phát huy hiệu quả. Các bộ kit điển hình cho thấy (hiện tại) không thể phát hiện malware để tùy chỉnh theo mệnh lệnh của chủ nhân. Sử dụng những bộ công cụ này dễ dàng với vài cú nhấp chuột vào hộp chọn. Các phần mềm độc hại sẽ đột nhập vào các trang web để bắt đầu lây nhiễm cho những khách viếng thăm ngây thơ, tạo ra những thư rác và lừa đảo, và làm tất cả mọi thứ nó cần để tạo ra các botnet - bao gồm cả chương trình, các máy chủ DNS động, máy chủ web bắc cầu lưu động, và các máy chủ ra lệnh và điều khiển.
Nhiều bộ công cụ bỏ qua những kiểu xác thực đặc biệt và tập trung vào các tổ chức tài chính. Các bộ kit tốt hơn vận hành cơ chế chạy ở chế độ nền đem đến cho hacker các số liệu thống kê trên các máy bị nhiễm, các phiên bản hệ điều hành được khai thác, và những thủ thuật sử dụng… Trả thêm 30 USD, sẽ nhận được hỗ trợ kỹ thuật 24/7 từ những kẻ tạo ra bộ kit.
Các bộ kit không hề được che dấu. Chịu khó tìm kiếm một chút, bạn có thể thấy chúng trên thị trường mở, thường được đánh dấu là sản phẩm "dùng thử" hoặc "chỉ để thử nghiệm". Và có rất nhiều “nhà cung cấp dịch vụ” sẵn sàng giúp đỡ tin tặc phần mềm độc hại chuyển lợi nhuận bất chính của chúng thành tiền mặt hoàn toàn.
Theo PC World
Bình luận