WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hacker sử dụng chứng chỉ SSL miễn phí của Let’s Encrypt cho website độc hại
Việc Let’s Encrypt cung cấp miễn phí chứng chỉ SSL một mặt giúp các website hợp pháp mã hóa dữ liệu người dùng, nhưng mặt khác đây cũng là cơ hội để hacker tăng cường an ninh cho các website độc hại của chúng.
Let’s Encrypt cho phép bất kỳ ai cũng có thể có chứng chỉ SSLTLS miễn phí cho máy chủ web của họ nhằm mã hóa toàn bộ đường truyền Internet giữa người dùng và máy chủ.
Let’s Encrypt được chấp nhận bởi tất cả các trình duyệt phổ biến hiện nay như Google Chrome, Mozilla Firefox và IE.
Tổ chức này bắt đầu cung cấp miễn phí chứng chỉ HTTPS từ cuối tháng trước, khiến cho việc dựng một website HTTPS trở nên vô cùng dễ dàng.
Tuy nhiên, mặt trái của nó là chứng chỉ SSL được cung cấp bởi Let’s Encrypt đã bị các tội phạm mạng lợi dụng để phát tán mã độc.
Cách thức tội phạm mạng lợi dụng chứng chỉ của Let’s Encrypt?
Ngày 21/12/2015, chuyên gia nghiên cứu từ Trend Micro phát hiện một chiến dịch quảng cáo độc hại (malvertising) nhằm cài đặt mã độc ngân hàng trên máy tính và sử dụng chứng chỉ số SSL miễn phí của Let’s Encrypt để ẩn kết nối.
Malvertising là kỹ thuật sử dụng trang web quảng cáo để lây lan mã độc. Bằng cách lén lút cài các quảng cáo độc hại lên các trang web hợp pháp, kẻ tấn công có thể chuyển hướng người dùng đến site độc hại nhằm thực thi mã độc.
Trong một thời gian dài, những kẻ đứng sau mã độc phải mua các chứng chỉ SSL bị đánh cắp từ chợ đen và sử dụng trong các chiến dịch quảng cáo độc hại của chúng. Thật may là các chứng chỉ này cuối cùng cũng sẽ được phát hiện và bị vô hiệu hóa bởi chủ sở hữu hợp pháp.
Tuy nhiên, với việc Let’s Encrypt cung cấp miễn phí chứng chỉ SSL, kẻ xấu sẽ không không còn phải trả tiền để sở hữu chứng chỉ hợp pháp.
Tội phạm phát tán Trojan ngân hàng Vawtrack
Chiến dịch malvertising kéo dài đến ngày 31/12/2015 và ảnh hưởng chủ yếu đến người dùng tại Nhật Bản.
Theo Trend Micro, người dùng khi truy cập các quảng cáo độc hại sẽ bị chuyển hướng đến website chứa mã độc. Mã độc được phát tán qua đường truyền mã hóa HTTPS sử dụng chứng chỉ của Let’s Encrypt.
Những trang web độc hại sử dụng bộ công cụ khai thác Angler để lây nhiễm trojan ngân hàng VawTrack vào máy tính nạn nhân. Mã độc này được thiết kế nhằm đánh cắp tài khoản ngân hàng người dùng.
Trước khi cài đặt chứng chỉ miễn phí của Let’s Encrypt, hacker đứng sau chiến dịch này chiếm một máy chủ web hợp pháp không tên tuổi, sau đó thiết lập một tên miền phụ do chính chúng sở hữu.
Tiếp đến, những kẻ tấn công này cài đặt chứng chỉ SSL miễn phí của Let’s Encrypt trên máy chủ bị xâm nhập và tổ chức chiến dịch lây lan mã độc của mình.
Nguyên nhân thật sự đằng sau việc lợi dụng chứng chỉ của Let’s Encrypt
Vấn đề ở đây là Let’s Encrypt chỉ kiểm tra tên miền chính dựa trên danh sách an toàn của Google, để xác định tên miền đó có bị đánh dấu là độc hại hay phishing hay không trước khi cấp chứng chỉ SSL.
Việc Let’s Encrypt không kiểm tra tên miền phụ là nguyên nhân dẫn tới kẻ tấn công có thể lợi dụng chứng chỉ của tổ chức này.
Hơn nữa, Let’s Encrypt có một chính sách không thu hồi chứng chỉ. Tổ chức này giải thích rằng nhà cung cấp chứng chỉ số không được trang bị cho việc giám sát nội dung và các chứng chỉ được cung cấp cũng không chứa chút thông tin nào khác về nội dung của site cũng như người đang sử dụng site đó.
Cách tự bảo vệ mình khỏi cuộc tấn công
Người sử dụng cần phải hiểu rằng một trang web được cho là an toàn không phải lúc nào cũng an toàn, và cách bảo vệ đơn giản nhưng hiệu quả vẫn luôn là:
- Đảm bảo phần mềm được cập nhật để giảm thiểu nguy cơ từ các lỗ hổng.
- Đối với các hãng quảng cáo trực tuyến, nên triển khai các biện pháp quản lý nội bộ nhằm ngăn chặn quảng cáo độc hại.
Nguồn: The Hacker News
Let’s Encrypt cho phép bất kỳ ai cũng có thể có chứng chỉ SSLTLS miễn phí cho máy chủ web của họ nhằm mã hóa toàn bộ đường truyền Internet giữa người dùng và máy chủ.
Let’s Encrypt được chấp nhận bởi tất cả các trình duyệt phổ biến hiện nay như Google Chrome, Mozilla Firefox và IE.
Tổ chức này bắt đầu cung cấp miễn phí chứng chỉ HTTPS từ cuối tháng trước, khiến cho việc dựng một website HTTPS trở nên vô cùng dễ dàng.
Tuy nhiên, mặt trái của nó là chứng chỉ SSL được cung cấp bởi Let’s Encrypt đã bị các tội phạm mạng lợi dụng để phát tán mã độc.
Cách thức tội phạm mạng lợi dụng chứng chỉ của Let’s Encrypt?
Ngày 21/12/2015, chuyên gia nghiên cứu từ Trend Micro phát hiện một chiến dịch quảng cáo độc hại (malvertising) nhằm cài đặt mã độc ngân hàng trên máy tính và sử dụng chứng chỉ số SSL miễn phí của Let’s Encrypt để ẩn kết nối.
Malvertising là kỹ thuật sử dụng trang web quảng cáo để lây lan mã độc. Bằng cách lén lút cài các quảng cáo độc hại lên các trang web hợp pháp, kẻ tấn công có thể chuyển hướng người dùng đến site độc hại nhằm thực thi mã độc.
Trong một thời gian dài, những kẻ đứng sau mã độc phải mua các chứng chỉ SSL bị đánh cắp từ chợ đen và sử dụng trong các chiến dịch quảng cáo độc hại của chúng. Thật may là các chứng chỉ này cuối cùng cũng sẽ được phát hiện và bị vô hiệu hóa bởi chủ sở hữu hợp pháp.
Tuy nhiên, với việc Let’s Encrypt cung cấp miễn phí chứng chỉ SSL, kẻ xấu sẽ không không còn phải trả tiền để sở hữu chứng chỉ hợp pháp.
Tội phạm phát tán Trojan ngân hàng Vawtrack
Chiến dịch malvertising kéo dài đến ngày 31/12/2015 và ảnh hưởng chủ yếu đến người dùng tại Nhật Bản.
Theo Trend Micro, người dùng khi truy cập các quảng cáo độc hại sẽ bị chuyển hướng đến website chứa mã độc. Mã độc được phát tán qua đường truyền mã hóa HTTPS sử dụng chứng chỉ của Let’s Encrypt.
Những trang web độc hại sử dụng bộ công cụ khai thác Angler để lây nhiễm trojan ngân hàng VawTrack vào máy tính nạn nhân. Mã độc này được thiết kế nhằm đánh cắp tài khoản ngân hàng người dùng.
Trước khi cài đặt chứng chỉ miễn phí của Let’s Encrypt, hacker đứng sau chiến dịch này chiếm một máy chủ web hợp pháp không tên tuổi, sau đó thiết lập một tên miền phụ do chính chúng sở hữu.
Tiếp đến, những kẻ tấn công này cài đặt chứng chỉ SSL miễn phí của Let’s Encrypt trên máy chủ bị xâm nhập và tổ chức chiến dịch lây lan mã độc của mình.
Nguyên nhân thật sự đằng sau việc lợi dụng chứng chỉ của Let’s Encrypt
Vấn đề ở đây là Let’s Encrypt chỉ kiểm tra tên miền chính dựa trên danh sách an toàn của Google, để xác định tên miền đó có bị đánh dấu là độc hại hay phishing hay không trước khi cấp chứng chỉ SSL.
Việc Let’s Encrypt không kiểm tra tên miền phụ là nguyên nhân dẫn tới kẻ tấn công có thể lợi dụng chứng chỉ của tổ chức này.
Hơn nữa, Let’s Encrypt có một chính sách không thu hồi chứng chỉ. Tổ chức này giải thích rằng nhà cung cấp chứng chỉ số không được trang bị cho việc giám sát nội dung và các chứng chỉ được cung cấp cũng không chứa chút thông tin nào khác về nội dung của site cũng như người đang sử dụng site đó.
Cách tự bảo vệ mình khỏi cuộc tấn công
Người sử dụng cần phải hiểu rằng một trang web được cho là an toàn không phải lúc nào cũng an toàn, và cách bảo vệ đơn giản nhưng hiệu quả vẫn luôn là:
- Đảm bảo phần mềm được cập nhật để giảm thiểu nguy cơ từ các lỗ hổng.
- Đối với các hãng quảng cáo trực tuyến, nên triển khai các biện pháp quản lý nội bộ nhằm ngăn chặn quảng cáo độc hại.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: