Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc ‘tự khôi phục’ nhắm tới các trang Magento
Các chuyên gia vừa phát hiện mã độc mới nhắm tới các cửa hàng Magento. Mã độc này có tính năng tự khôi phục sau khi bị xóa khỏi hệ thống.
Đây không phải lần đầu tiên một mã độc với khả năng ‘tự khôi phục’ được phát hiện. Cách đây gần 3 thập kỷ, vào tháng 9/1989 trojan Yankee Doodle lây nhiễm các file .com và .exe cũng có tính năng tương tự, tự khôi phục mỗi ngày vào lúc 17:00.
Được phát hiện bởi Jeroen Bersma, mã độc nhắm tới các trang Magento đang sử dụng một cơ chế kích hoạt dữ liệu để tự khôi phục khi bị xóa: mỗi khi một lượt đặt hàng (order) được thực hiện, đoạn mã SQL được chèn vào sẽ tìm kiếm trên hệ thống Magento bị xâm nhập, nếu không phát hiện mã độc sẽ tự động thêm vào. Mã độc leo thang các tiến trình lưu trữ SQL để thực hiện hoạt động này.
Theo phân tích của các chuyên gia, việc lây nhiễm của mã độc bắt đầu từ một cuộc tấn công brute force vào /rss/catalog/notifystock/ hệ thống không được “cập nhật bản vá đầy đủ” của cửa hàng.
Các chuyên gia lưu ý hành vi của mã độc khiến việc quét trước đó trở đó vô ích, bởi việc loại bỏ đoạn mã độc hại không đảm bảo rằng đã xóa bỏ lây nhiễm. Việc quét sẽ chỉ có tác dụng với mã độc dựa trên Javascript thông thường, bị lây nhiễm trong header hoặc footer HTML trên cơ sở dữ liệu.
Mã độc mới đảm bảo rằng cơ chế tự khôi phục được thực hiện mỗi khi một lượt đặt hàng được thực hiện. "Truy vấn kiểm tra sự tồn tại của mã độc trong header, footer, copyright và mỗi CMS block. Nếu không phát hiện mã độc thì sẽ thêm vào", các chuyên gia cho biết.
Do đó, việc tìm kiếm mã độc nên thêm cả phân tích dữ liệu bởi quét file không còn hiệu quả nữa. Phát hiện này cho thấy một sự tiến triển mới của mã độc.
Các chuyên gia khuyến cáo các chủ cửa hàng sử dụng Magento có thể phát hiện mã độc bằng cách tìm kiếm đoạn mã SQL đáng ngờ ví dụ như chứa admin, .js, script hoặc < (html tags).
Đây không phải lần đầu tiên một mã độc với khả năng ‘tự khôi phục’ được phát hiện. Cách đây gần 3 thập kỷ, vào tháng 9/1989 trojan Yankee Doodle lây nhiễm các file .com và .exe cũng có tính năng tương tự, tự khôi phục mỗi ngày vào lúc 17:00.
Được phát hiện bởi Jeroen Bersma, mã độc nhắm tới các trang Magento đang sử dụng một cơ chế kích hoạt dữ liệu để tự khôi phục khi bị xóa: mỗi khi một lượt đặt hàng (order) được thực hiện, đoạn mã SQL được chèn vào sẽ tìm kiếm trên hệ thống Magento bị xâm nhập, nếu không phát hiện mã độc sẽ tự động thêm vào. Mã độc leo thang các tiến trình lưu trữ SQL để thực hiện hoạt động này.
Theo phân tích của các chuyên gia, việc lây nhiễm của mã độc bắt đầu từ một cuộc tấn công brute force vào /rss/catalog/notifystock/ hệ thống không được “cập nhật bản vá đầy đủ” của cửa hàng.
Các chuyên gia lưu ý hành vi của mã độc khiến việc quét trước đó trở đó vô ích, bởi việc loại bỏ đoạn mã độc hại không đảm bảo rằng đã xóa bỏ lây nhiễm. Việc quét sẽ chỉ có tác dụng với mã độc dựa trên Javascript thông thường, bị lây nhiễm trong header hoặc footer HTML trên cơ sở dữ liệu.
Mã độc mới đảm bảo rằng cơ chế tự khôi phục được thực hiện mỗi khi một lượt đặt hàng được thực hiện. "Truy vấn kiểm tra sự tồn tại của mã độc trong header, footer, copyright và mỗi CMS block. Nếu không phát hiện mã độc thì sẽ thêm vào", các chuyên gia cho biết.
Do đó, việc tìm kiếm mã độc nên thêm cả phân tích dữ liệu bởi quét file không còn hiệu quả nữa. Phát hiện này cho thấy một sự tiến triển mới của mã độc.
Các chuyên gia khuyến cáo các chủ cửa hàng sử dụng Magento có thể phát hiện mã độc bằng cách tìm kiếm đoạn mã SQL đáng ngờ ví dụ như chứa admin, .js, script hoặc < (html tags).
Nguồn: SecurityWeek