Chuẩn bị để đối mặt với MPACK

Derek Melber Nếu bạn nghĩ rằng chạy Windows Vista với phần mềm diệt virus mới nhất, các nâng cấp được cập nhật một cách liên tục và với Internet Explorer hoặc Firefox được khóa chặn là đủ để bảo vệ sự an toàn của bạn trên Internet thì điều đó hoàn toàn là một sai lầm. Trong bài này chúng tôi sẽ giới thiệu một tấn công công nghệ mới đang được thực hiện trên Internet ngày nay. Tấn công mới này đến từ MPACK kit, xuất thân từ các tấn công bên ngoài nước Mỹ. ...
Nội dung trích xuất từ tài liệu:
Chuẩn bị để đối mặt với MPACKChuẩn bị để đối mặt với MPACKDerek MelberNếu bạn nghĩ rằng chạy Windows Vista với phần mềm diệtvirus mới nhất, các nâng cấp được cập nhật một cách liên tụcvà với Internet Explorer hoặc Firefox được khóa chặn là đủ đểbảo vệ sự an toàn của bạn trên Internet thì điều đó hoàn toànlà một sai lầm. Trong bài này chúng tôi sẽ giới thiệu một tấn côngcông nghệ mới đang được thực hiện trên Internet ngày nay. Tấncông mới này đến từ MPACK kit, xuất thân từ các tấn công bênngoài nước Mỹ. Có nhiều cách để tự bảo vệ bản thân bạn, tuynhiên nếu không hành động thì hầu như bạn sẽ bị tấn công và bịxâm nhập bởi MPACK kit.Trong bảo mật máy tính, MPACK là một malware PHP được tạora bởi một nhóm hacker người Nga. Phiên bản đầu tiên được pháthành vào tháng 12 năm 2006. Từ đó, hầu như các phiên bản mớihầu như đều được phát hành mỗi tháng một lần. Phần mềm độc hạinày đã được sử dụng để tiêm nhiêm đến 160.000 máy tính. Tháng8 năm 2007, nó bị nghi ngờ là đã được sử dụng trong vụ tấn côngvào website ngân hàng Ấn độ.Bản chất của vấn đềMột nhóm hacker người Nga đã phát triển bộ công cụ này năm2006 và đang được bán với giá $300 đến $1000. Bộ công cụ nàyrất dễ sử dụng và nó đi kèm với một công cụ khác có tênDreamDownloader (xem hình 1). Đây là một công cụ được sửdụng để tạo downloader thường bán với MPACK.DreamDownloader được sử dụng bằng cách nhập vào URL của filemà họ muốn tải về và công cụ này sẽ tạo một file thực thi để thựchiện nhiệm vụ đó.Hình 1: DreamDownloader được sử dụng có kết hợp với bộ côngcụ MPACKVấn đề ở đây là các công cụ này được sử dụng kết hợp để thay đổicác trang web trên các website phổ biến. Các trang web đã thay đổisẽ có mục Iframe mới. Mục Iframe mới này tuy ngắn như hiệu quả,ví dụ về nó được thể hiện bên dưới: The material below comes from the websitehttp://example.com:Chuyển tiếp trình duyệt đến một trang web khác khi trang hiệnhành đã được tải. Nếu không nâng cấp phần mềm chống virus thìsự chuyển tiếp mã độc này sẽ không thể bị phát hiện. Phần cuốicủa quá trình chuyển tiếp là máy chủ PHP sẽ chạy công cụMPACK.Máy chủ đang chạy bộ công cụ MPACK sẽ phải là máy chủ rấtthông minh, vì nó phải xác định những gì máy tính mục tiêu đangchạy cho tấn công. Máy tính mục tiêu duyệt trang web được đánhgiá cho OS và trình duyệt, sau khi kích hoạt, download của các filecụ thể sẽ được cài đặt tên máy tính mục tiêu. Các file này, RootKits theo truyền thống hoặc các công cụ bắt giữ thao tác bàn phímcó thể được cài đặt mà người dùng không hề biết. Ở đây, máy tínhmục tiêu bị thỏa hiệp và nó khó có thể phát hiện ra bất cứ thứ gì đãxảy ra. Liên kết nàycho bạn có được nhiều thông tin chi tiết về mộtkịch bản tấn công điển hình.Các hacker sẽ sử dụng các yếu điểm này với iFrame Manager đểtiếp tục kết nối đến máy chủ web bị xâm nhập, như thể hiện tronghình 2. Điều này có nghĩa rằng mặc dù Web site được sửa thì nóvẫn có thể bị nhiễm lại bởi hacker sử dụng manager này ở thờiđiểm nào đó. Chỉ có một cách tránh được vấn đề này là thay đổimật khẩu có liên quan tới người dùng máy chủ FTP. (Để có thêmthông tin chi tiết về IFrame Manager, bạn có thể xem đoạn video ởcuối bài).Hình 2: FTP managerBạn có thể bị liên lụy như thế nàoKhi máy tính duyệt Internet, bạn có thể gặp phải những rủi ro. Tấncông này có thể xuất hiện trên bất cứ trang nào, những trang đã bịtấn công. Bạn đơn thuần chỉ kết nối đến một website, thậm chí cóthể một trang mà bạn đã sử dụng nhiều năm. Nếu trang này bịnhiễm độc thì bạn có thể sẽ không hề biết trừ khi chạy phần mềmspyware, anti-virus hoặc các công cụ thích hợp khác.Quả thật tấn công này thật nguy hiểm, nó có thể tấn công bạn rấtdễ dàng! Nếu bạn bỏ qua các thao tác bảo mật thông thường, cácthao tác thường được nói trong nhiều tài liệu về bảo mật thì bạn cóthể bị liệt vào thành phần đã bị tấn công xâm hại. Việc bỏ quan cácthao tác bảo mật tốt là hành động nguy hiểm nhất mà MAPCK cóthể tiêm nhiễm bạn.Vấn đề là thậm chí nếu bạn luôn nâng cấp kịp thời các phiên bảnmới nhất của phần mềm chống virus thì vẫn có thể gặp phải nhữngrủi ro. Điều này là bởi vì MPACK liên tục được cập nhật. Nó hiệnđang ở phiên bản v0.84. Kẻ sản suất MPACK bảo đảm rằng khôngcó phần mềm quét virus nào có thể phát hiện ra các phiên bản mới.Tuy vậy, bạn cũng cần chạy phần mềm truyền thống hoặc cấu hìnhcác máy trạm Windows để phát hiện ra các hành động nguy hiểmnày. Điều này được thực hiện tự động trong Windows Vista, UACđược kích hoạt. Bạn cũng cần chạy tường lửa, cả tường lửa vànhđai và cục bộ trên máy trạm. Nếu không thực hiện các động tháiphòng ngừa từ trước thì bạn sẽ có thể bị tấn công bởi MPACK kit.Cách phòng chống bị liên lụy hoặc cách ly được MPACKChúng tôi mong muốn có thể mang đến một số bí quyết và cấuhình quan trọng giúp bạn chống lại MPACK. Nếu bạn cố gắng vàthực hiện đúng các phương pháp và hành vi bảo mật trong một tàikhoản thì có thể sẽ tránh được MPACK và bảo vệ sạch được máytính của mình.Đây là một danh sách các thao tác bạn nên thực hiện trên máy tínhcủa mình để bảo vệ nó trước MPACK kit. Các thao tác này sẽ bảovệ chống lại được bất cứ lỗ hổng nào mà bạn bị phát hiện từ emailhoặc trên Internet.• Chạy Windows Vista với User Account Control được kích hoạt• Cài đặt gói dịch vụ mới nhất cho các hệ điều hành, trình duyệt vàcác ứng dụng liên quan đến Internet khác khi chúng được cungcấp.• Cài đặt phần mềm chống vius tốt• Cập nhật liên tục các file cơ sở dữ liệu của virus• Không đăng nhập với tư cách quản trị viên hoặc với quyền quảntrị viên• Không nâng cao các ứng dụng liên quan Internet để chạy vớiquyền quản trị• Không cho phép các ứng dụng chạy từ IE trừ khi bạn hiểu biếtrành rọt về những gì đang thực hiện.• Cần phải am hiểu về nơi trình duyệt của bạn đang duyệt, bằngviệc xem phần trái bên dưới của cửa sổ trì ...