Chuẩn bị để đối mặt với MPACK

Chuẩn bị để đối mặt với MPACK Derek Melber Nếu bạn nghĩ rằng chạy Windows Vista với phần mềm diệt virus mới nhất, các nâng cấp được cập nhật một cách liên tục và với Internet Explorer hoặc Firefox được khóa chặn là đủ để bảo vệ sự an toàn của bạn trên Internet thì điều đó hoàn toàn là một sai lầm. Trong bài này chúng tôi sẽ giới thiệu một tấn công công nghệ mới đang được thực hiện trên Internet ngày nay. Tấn công mới này đến từ MPACK kit, xuất thân từ các tấn công bên ngoài nước Mỹ. Có nhiều cách để tự bảo vệ bản thân bạn, tuy nhiên nếu không hành động thì hầu như bạn sẽ bị tấn công và bị xâm nhập bởi MPACK kit. Trong bảo mật máy tính, MPACK là một malware PHP được tạo ra bởi một nhóm hacker người Nga. Phiên bản đầu tiên được phát hành vào tháng 12 năm 2006. Từ đó, hầu như các phiên bản mới hầu như đều được phát hành mỗi tháng một lần. Phần mềm độc hại này đã được sử dụng để tiêm nhiêm đến 160.000 máy tính. Tháng 8 năm 2007, nó bị nghi ngờ là đã được sử dụng trong vụ tấn công vào website ngân hàng Ấn độ. Bản chất của vấn đề Một nhóm hacker người Nga đã phát triển bộ công cụ này năm 2006 và đang được bán với giá $300 đến $1000. Bộ công cụ này rất dễ sử dụng và nó đi kèm với một công cụ khác có tên DreamDownloader (xem hình 1). Đây là một công cụ được sử dụng để tạo downloader thường bán với MPACK. DreamDownloader được sử dụng bằng cách nhập vào URL của file mà họ muốn tải về và công cụ này sẽ tạo một file thực thi để thực hiện nhiệm vụ đó. Hình 1: DreamDownloader được sử dụng có kết hợp với bộ công cụ MPACK Vấn đề ở đây là các công cụ này được sử dụng kết hợp để thay đổi các trang web trên các website phổ biến. Các trang web đã thay đổi sẽ có mục Iframe mới. Mục Iframe mới này tuy ngắn như hiệu quả, ví dụ về nó được thể hiện bên dưới: The material below comes from the website Chuyển tiếp trình duyệt đến một trang web khác khi trang hiện hành đã được tải. Nếu không nâng cấp phần mềm chống virus thì sự chuyển tiếp mã độc này sẽ không thể bị phát hiện. Phần cuối của quá trình chuyển tiếp là máy chủ PHP sẽ chạy công cụ MPACK. Máy chủ đang chạy bộ công cụ MPACK sẽ phải là máy chủ rất thông minh, vì nó phải xác định những gì máy tính mục tiêu đang chạy cho tấn công. Máy tính mục tiêu duyệt trang web được đánh giá cho OS và trình duyệt, sau khi kích hoạt, download của các file cụ thể sẽ được cài đặt tên máy tính mục tiêu. Các file này, Root Kits theo truyền thống hoặc các công cụ bắt giữ thao tác bàn phím có thể được cài đặt mà người dùng không hề biết. Ở đây, máy tính mục tiêu bị thỏa hiệp và nó khó có thể phát hiện ra bất cứ thứ gì đã xảy ra. Liên kết nàycho bạn có được nhiều thông tin chi tiết về một kịch bản tấn công điển hình. Các hacker sẽ sử dụng các yếu điểm này với iFrame Manager để tiếp tục kết nối đến máy chủ web bị xâm nhập, như thể hiện trong hình 2. Điều này có nghĩa rằng mặc dù Web site được sửa thì nó vẫn có thể bị nhiễm lại bởi hacker sử dụng manager này ở thời điểm nào đó. Chỉ có một cách tránh được vấn đề này là thay đổi mật khẩu có liên quan tới người dùng máy chủ FTP. (Để có thêm thông tin chi tiết về IFrame Manager, bạn có thể xem đoạn video ở cuối bài). Hình 2: FTP manager Bạn có thể bị liên lụy như thế nào Khi máy tính duyệt Internet, bạn có thể gặp phải những rủi ro. Tấn công này có thể xuất hiện trên bất cứ trang nào, những trang đã bị tấn công. Bạn đơn thuần chỉ kết nối đến một website, thậm chí có thể một trang mà bạn đã sử dụng nhiều năm. Nếu trang này bị nhiễm độc thì bạn có thể sẽ không hề biết trừ khi chạy phần mềm spyware, anti-virus hoặc các công cụ thích hợp khác. Quả thật tấn công này thật nguy hiểm, nó có thể tấn công bạn rất dễ dàng! Nếu bạn bỏ qua các thao tác bảo mật thông thường, các thao tác thường được nói trong nhiều tài liệu về bảo mật thì bạn có thể bị liệt vào thành phần đã bị tấn công xâm hại. Việc bỏ quan các thao tác bảo mật tốt là hành động nguy hiểm nhất mà MAPCK có thể tiêm nhiễm bạn. Vấn đề là thậm chí nếu bạn luôn nâng cấp kịp thời các phiên bản mới nhất của phần mềm chống virus thì vẫn có thể gặp phải những rủi ro. Điều này là bởi vì MPACK liên tục được cập nhật. Nó hiện đang ở phiên bản v0.84. Kẻ sản suất MPACK bảo đảm rằng không có phần mềm quét virus nào có thể phát hiện ra các phiên bản mới. Tuy vậy, bạn cũng cần chạy phần mềm truyền thống hoặc cấu hình các máy trạm Windows để phát hiện ra các hành động nguy hiểm này. Điều này được thực hiện tự động trong Windows Vista, UAC được kích hoạt. Bạn cũng cần chạy tường lửa, cả tường lửa vành đai và cục bộ trên máy trạm. Nếu không thực hiện các động thái phòng ngừa từ trước thì bạn sẽ có thể bị tấn công bởi MPACK kit. Cách phòng chống bị liên lụy hoặc cách ly được MPACK Chúng tôi mong muốn có thể mang đến một số bí quyết và cấu hình quan trọng giúp bạn chống lại MPACK. Nếu bạn cố gắng và thực hiện đúng các phương pháp và hành vi bảo mật trong một tài khoản thì có thể sẽ tránh được MPACK và bảo vệ sạch được máy tính của mình. Đây là một danh sách các thao tác bạn nên thực hiện trên máy tính của mình để bảo vệ nó trước MPACK kit. Các thao tác này sẽ bảo vệ chống lại được bất cứ lỗ hổng nào mà bạn bị phát hiện từ email hoặc trên Internet. • Chạy Windows Vista với User Account Control được kích hoạt • Cài đặt gói dịch vụ mới nhất cho các hệ điều hành, trình duyệt và các ứng dụng liên quan đến Internet khác khi chúng được cung cấp. • Cài đặt phần mềm chống vius tốt • Cập nhật liên tục các file cơ sở dữ liệu của virus • Không đăng nhập với tư cách quản trị viên hoặc với quyền quản trị viên • Không nâng cao các ứng dụng liên quan Internet để chạy với quyền quản trị • Không cho phép các ứng dụng chạy từ IE trừ khi bạn hiểu biết rành rọt về những gì đang thực hiện. • Cần phải am hiểu về nơi trình duyệt của bạn đang duyệt, bằng việc xem phần trái bên dưới của cửa sổ trình duyệt, nó sẽ hiển thị URL mà bạn đang kết nối đến. • Quan sát URL của tất cả liên kết trong các trang trước khi bạn kích vào chúng (di chuột qua liên kết chúng sẽ hiển thị cho bạn thấy URL). Sau khi thực thi các thao tác này, bạn có thể yên tâm với các kiểu khai thác nhằm tiêm nhiễm đến máy tính. Quả thực không có một công thức vàng nào. Bạn phải sử dụng phương pháp tiên phong đối với bảo mật trên Internet. Do các kẻ tấn công và các hacker ngày càng trở lên mau lẹ và tinh vi, vì vậy việc bắt kịp chúng sẽ là một công việc cực kỳ khó khăn mà chúng ta cần phải thực hiện. Kết luận Vậy bạn đang ở mức độ an toàn như thế nào với MPACK? Câu trả lời cũng giống như tất cả các virus, malware, adware vàTrojas độc hại đến từ cộng đồng CNTT trong những năm trở lại đây. Hãy tỏ ra thông minh khi bạn lướt web, không mở các email mà bạn không cảm thấy đủ độ tin cậy…. Tuy nhiên MPACK có khác đôi chút, nó có thể điều chỉnh cách tấn công của nó vào một website xác thực nào đó. Nhưng nếu bạn đã thiết lập các tính năng hệ điều hành một cách thích hợp (UAC và tường lửa Vista), thì bạn sẽ nhận được thông báo về các hành vi trước khi bị tiêm nhiễm. Hãy thực hiện các biện pháp đề phòng từ trước và kích hoạt kỹ thuật bảo mật tốt nhất để bảo vệ chính mình.