Chuẩn bị để đối mặt với MPACK

Chuẩn bị để đối mặt với

MPACK

Derek Melber

Nếu bạn nghĩ rằng chạy Windows Vista với phần mềm diệt

virus mới nhất, các nâng cấp được cập nhật một cách liên tục

và với Internet Explorer hoặc Firefox được khóa chặn là đủ để

bảo vệ sự an toàn của bạn trên Internet thì điều đó hoàn toàn

là một sai lầm. Trong bài này chúng tôi sẽ giới thiệu một tấn công

công nghệ mới đang được thực hiện trên Internet ngày nay. Tấn

công mới này đến từ MPACK kit, xuất thân từ các tấn công bên

ngoài nước Mỹ. Có nhiều cách để tự bảo vệ bản thân bạn, tuy

nhiên nếu không hành động thì hầu như bạn sẽ bị tấn công và bị

xâm nhập bởi MPACK kit.

Trong bảo mật máy tính, MPACK là một malware PHP được tạo

ra bởi một nhóm hacker người Nga. Phiên bản đầu tiên được phát

hành vào tháng 12 năm 2006. Từ đó, hầu như các phiên bản mới

hầu như đều được phát hành mỗi tháng một lần. Phần mềm độc hại

này đã được sử dụng để tiêm nhiêm đến 160.000 máy tính. Tháng

8 năm 2007, nó bị nghi ngờ là đã được sử dụng trong vụ tấn công

vào website ngân hàng Ấn độ.

Bản chất của vấn đề

Một nhóm hacker người Nga đã phát triển bộ công cụ này năm

2006 và đang được bán với giá $300 đến $1000. Bộ công cụ này

rất dễ sử dụng và nó đi kèm với một công cụ khác có tên

DreamDownloader (xem hình 1). Đây là một công cụ được sử

dụng để tạo downloader thường bán với MPACK.

DreamDownloader được sử dụng bằng cách nhập vào URL của file

mà họ muốn tải về và công cụ này sẽ tạo một file thực thi để thực

hiện nhiệm vụ đó.

Hình 1: DreamDownloader được sử dụng có kết hợp với bộ công

cụ MPACK

Vấn đề ở đây là các công cụ này được sử dụng kết hợp để thay đổi

các trang web trên các website phổ biến. Các trang web đã thay đổi

sẽ có mục Iframe mới. Mục Iframe mới này tuy ngắn như hiệu quả,

ví dụ về nó được thể hiện bên dưới:

The material below comes from the website

http://example.com:

Chuyển tiếp trình duyệt đến một trang web khác khi trang hiện

hành đã được tải. Nếu không nâng cấp phần mềm chống virus thì

sự chuyển tiếp mã độc này sẽ không thể bị phát hiện. Phần cuối

của quá trình chuyển tiếp là máy chủ PHP sẽ chạy công cụ

MPACK.

Máy chủ đang chạy bộ công cụ MPACK sẽ phải là máy chủ rất

thông minh, vì nó phải xác định những gì máy tính mục tiêu đang

chạy cho tấn công. Máy tính mục tiêu duyệt trang web được đánh

giá cho OS và trình duyệt, sau khi kích hoạt, download của các file

cụ thể sẽ được cài đặt tên máy tính mục tiêu. Các file này, Root

Kits theo truyền thống hoặc các công cụ bắt giữ thao tác bàn phím

có thể được cài đặt mà người dùng không hề biết. Ở đây, máy tính

mục tiêu bị thỏa hiệp và nó khó có thể phát hiện ra bất cứ thứ gì đã

xảy ra. Liên kết nàycho bạn có được nhiều thông tin chi tiết về một

kịch bản tấn công điển hình.

Các hacker sẽ sử dụng các yếu điểm này với iFrame Manager để

tiếp tục kết nối đến máy chủ web bị xâm nhập, như thể hiện trong

hình 2. Điều này có nghĩa rằng mặc dù Web site được sửa thì nó

vẫn có thể bị nhiễm lại bởi hacker sử dụng manager này ở thời

điểm nào đó. Chỉ có một cách tránh được vấn đề này là thay đổi

mật khẩu có liên quan tới người dùng máy chủ FTP. (Để có thêm

thông tin chi tiết về IFrame Manager, bạn có thể xem đoạn video ở

cuối bài).

Hình 2: FTP manager

Bạn có thể bị liên lụy như thế nào

Khi máy tính duyệt Internet, bạn có thể gặp phải những rủi ro. Tấn

công này có thể xuất hiện trên bất cứ trang nào, những trang đã bị

tấn công. Bạn đơn thuần chỉ kết nối đến một website, thậm chí có

thể một trang mà bạn đã sử dụng nhiều năm. Nếu trang này bị

nhiễm độc thì bạn có thể sẽ không hề biết trừ khi chạy phần mềm

spyware, anti-virus hoặc các công cụ thích hợp khác.

Quả thật tấn công này thật nguy hiểm, nó có thể tấn công bạn rất

dễ dàng! Nếu bạn bỏ qua các thao tác bảo mật thông thường, các

thao tác thường được nói trong nhiều tài liệu về bảo mật thì bạn có

thể bị liệt vào thành phần đã bị tấn công xâm hại. Việc bỏ quan các

thao tác bảo mật tốt là hành động nguy hiểm nhất mà MAPCK có

thể tiêm nhiễm bạn.

Vấn đề là thậm chí nếu bạn luôn nâng cấp kịp thời các phiên bản

mới nhất của phần mềm chống virus thì vẫn có thể gặp phải những

rủi ro. Điều này là bởi vì MPACK liên tục được cập nhật. Nó hiện

đang ở phiên bản v0.84. Kẻ sản suất MPACK bảo đảm rằng không

có phần mềm quét virus nào có thể phát hiện ra các phiên bản mới.

Tuy vậy, bạn cũng cần chạy phần mềm truyền thống hoặc cấu hình

các máy trạm Windows để phát hiện ra các hành động nguy hiểm

này. Điều này được thực hiện tự động trong Windows Vista, UAC

được kích hoạt. Bạn cũng cần chạy tường lửa, cả tường lửa vành

đai và cục bộ trên máy trạm. Nếu không thực hiện các động thái

phòng ngừa từ trước thì bạn sẽ có thể bị tấn công bởi MPACK kit.

Cách phòng chống bị liên lụy hoặc cách ly được MPACK

Chúng tôi mong muốn có thể mang đến một số bí quyết và cấu

hình quan trọng giúp bạn chống lại MPACK. Nếu bạn cố gắng và

thực hiện đúng các phương pháp và hành vi bảo mật trong một tài

khoản thì có thể sẽ tránh được MPACK và bảo vệ sạch được máy

tính của mình.

Đây là một danh sách các thao tác bạn nên thực hiện trên máy tính

của mình để bảo vệ nó trước MPACK kit. Các thao tác này sẽ bảo

vệ chống lại được bất cứ lỗ hổng nào mà bạn bị phát hiện từ email

hoặc trên Internet.

• Chạy Windows Vista với User Account Control được kích hoạt

• Cài đặt gói dịch vụ mới nhất cho các hệ điều hành, trình duyệt và

các ứng dụng liên quan đến Internet khác khi chúng được cung

cấp.

• Cài đặt phần mềm chống vius tốt

• Cập nhật liên tục các file cơ sở dữ liệu của virus

• Không đăng nhập với tư cách quản trị viên hoặc với quyền quản

trị viên

• Không nâng cao các ứng dụng liên quan Internet để chạy với

quyền quản trị

• Không cho phép các ứng dụng chạy từ IE trừ khi bạn hiểu biết

rành rọt về những gì đang thực hiện.

• Cần phải am hiểu về nơi trình duyệt của bạn đang duyệt, bằng

việc xem phần trái bên dưới của cửa sổ trình duyệt, nó sẽ hiển thị

URL mà bạn đang kết nối đến.

• Quan sát URL của tất cả liên kết trong các trang trước khi bạn

kích vào chúng (di chuột qua liên kết chúng sẽ hiển thị cho bạn

thấy URL).

Sau khi thực thi các thao tác này, bạn có thể yên tâm với các kiểu

khai thác nhằm tiêm nhiễm đến máy tính. Quả thực không có một

công thức vàng nào. Bạn phải sử dụng phương pháp tiên phong đối

với bảo mật trên Internet. Do các kẻ tấn công và các hacker ngày

càng trở lên mau lẹ và tinh vi, vì vậy việc bắt kịp chúng sẽ là một

công việc cực kỳ khó khăn mà chúng ta cần phải thực hiện.

Kết luận

Vậy bạn đang ở mức độ an toàn như thế nào với MPACK? Câu trả

lời cũng giống như tất cả các virus, malware, adware vàTrojas độc

hại đến từ cộng đồng CNTT trong những năm trở lại đây. Hãy tỏ ra

thông minh khi bạn lướt web, không mở các email mà bạn không

cảm thấy đủ độ tin cậy…. Tuy nhiên MPACK có khác đôi chút, nó

có thể điều chỉnh cách tấn công của nó vào một website xác thực

nào đó. Nhưng nếu bạn đã thiết lập các tính năng hệ điều hành một

cách thích hợp (UAC và tường lửa Vista), thì bạn sẽ nhận được

thông báo về các hành vi trước khi bị tiêm nhiễm. Hãy thực hiện

các biện pháp đề phòng từ trước và kích hoạt kỹ thuật bảo mật tốt

nhất để bảo vệ chính mình.