Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Phát hiện dòng mã độc biến hệ thống bị lây nhiễm thành các proxy
Các chuyên gia an ninh mạng vừa phát hiện dòng mã độc mới bí mật biến hệ thống bị lây nhiễm thành các proxy internet.
Dòng mã độc có tên ProxyBack, bao gồm hơn 20 phiên bản malware và đã lây nhiễm các hệ thống từ tháng 3/2014. Theo các chuyên gia, mã độc phát tán chủ yếu tại khu vực châu Âu, và mục tiêu ban đầu nhắm tới có vẻ là các tổ chức giáo dục.
Các proxy thường được sử dụng để bảo vệ an ninh của người dùng trên Internet. Tuy nhiên, mã độc đã tạo ra một tình huống nguy hiểm đối với người dùng bằng cách biến các hệ thống của họ thành các proxy và lạm dụng chúng. Hơn nữa, những kẻ đứng sau mã độc cấu hình các thiết bị đã bị xâm nhập để cho phép lưu lượng mạng qua các proxy mà không bị cản trở.
Để đảm bảo rằng proxy không bị tường lửa hoặc mạng giới hạn khác chặn, ProxyBack tạo một đường dẫn đảo qua TCP kết nối tới máy chủ proxy mà tin tặc kiểm soát. Thông qua việc lây nhiễm hệ thống để gọi kết nối, máy chủ proxy có thể gửi lưu lượng thông qua đường truyền (tunnel) và tới Internet hoặc đến các thiết bị khác trên mạng mà không bị giới hạn.
Chiêu thức của tin tặc bản chất là tạo một lỗ hổng trên firewall bằng cách thiết lập một kết nối TCP tới máy chủ proxy được tin tặc kiểm soát, trong khi máy chủ xác thực truy cập tới proxy máy nạn nhân và có thể định tuyến lưu lượng thông qua đó. Khi đó, proxy máy nạn nhân sẽ không tham gia vào định tuyến lưu lượng web đến Internet.
Bước đầu tiên ProxyBack thực hiện khi thiết lập đường truyền đó là tạo kết nối đến máy chủ web hosting một tập tin PHP chứa URL dẫn đến một tập tin PHP trên cùng máy chủ. Tập tin PHP thứ hai được sử dụng để gửi các lệnh đến máy chủ web đầu tiên và bắt thông tin để tạo kết nối proxy.
Máy chủ được cung cấp thông tin gồm địa chỉ IP public của proxy nạn nhân và ID cho proxy đó. ID được sử dụng để theo dõi hệ thống bị lây nhiễm. Các chuyên gia Palo Alto Networks xác định có hơn 11.000 thiết bị có thể đã bị xâm nhập tính đến thời điểm hiện tại.
ProxyBack cũng thông báo phiên bản mã độc và hệ thống vận hành mã độc cho tin tặc. Các chuyên gia cho biết mã độc có thể chạy trên Windows 2000 và các nền tảng cũ hơn, bao gồm Windows Home Server và Windows Server 2003 đến Windows Server 2016.
Các chuyên gia thông báo về sự tăng lên đáng kể trên đường truyền định tuyến qua các hệ thống bị lây nhiễm và lưu ý rằng ProxyBack được sử dụng như một dịch vụ proxy. Phần lớn lưu lượng bắt nguồn từ hệ thống tự động tạo các tài khoản giả thông qua các trang hẹn hò như “farmersonly.com”, “match.com”, “meetme.com” hay “okcupid.com”. Tuy nhiên, cũng có lưu lượng của người dùng tới các trang như eBay, Twitter, Craigslist, Facebook, Wikipedia…
Nguồn: SecurityWeek
Dòng mã độc có tên ProxyBack, bao gồm hơn 20 phiên bản malware và đã lây nhiễm các hệ thống từ tháng 3/2014. Theo các chuyên gia, mã độc phát tán chủ yếu tại khu vực châu Âu, và mục tiêu ban đầu nhắm tới có vẻ là các tổ chức giáo dục.
Các proxy thường được sử dụng để bảo vệ an ninh của người dùng trên Internet. Tuy nhiên, mã độc đã tạo ra một tình huống nguy hiểm đối với người dùng bằng cách biến các hệ thống của họ thành các proxy và lạm dụng chúng. Hơn nữa, những kẻ đứng sau mã độc cấu hình các thiết bị đã bị xâm nhập để cho phép lưu lượng mạng qua các proxy mà không bị cản trở.
Để đảm bảo rằng proxy không bị tường lửa hoặc mạng giới hạn khác chặn, ProxyBack tạo một đường dẫn đảo qua TCP kết nối tới máy chủ proxy mà tin tặc kiểm soát. Thông qua việc lây nhiễm hệ thống để gọi kết nối, máy chủ proxy có thể gửi lưu lượng thông qua đường truyền (tunnel) và tới Internet hoặc đến các thiết bị khác trên mạng mà không bị giới hạn.
Chiêu thức của tin tặc bản chất là tạo một lỗ hổng trên firewall bằng cách thiết lập một kết nối TCP tới máy chủ proxy được tin tặc kiểm soát, trong khi máy chủ xác thực truy cập tới proxy máy nạn nhân và có thể định tuyến lưu lượng thông qua đó. Khi đó, proxy máy nạn nhân sẽ không tham gia vào định tuyến lưu lượng web đến Internet.
Bước đầu tiên ProxyBack thực hiện khi thiết lập đường truyền đó là tạo kết nối đến máy chủ web hosting một tập tin PHP chứa URL dẫn đến một tập tin PHP trên cùng máy chủ. Tập tin PHP thứ hai được sử dụng để gửi các lệnh đến máy chủ web đầu tiên và bắt thông tin để tạo kết nối proxy.
Máy chủ được cung cấp thông tin gồm địa chỉ IP public của proxy nạn nhân và ID cho proxy đó. ID được sử dụng để theo dõi hệ thống bị lây nhiễm. Các chuyên gia Palo Alto Networks xác định có hơn 11.000 thiết bị có thể đã bị xâm nhập tính đến thời điểm hiện tại.
ProxyBack cũng thông báo phiên bản mã độc và hệ thống vận hành mã độc cho tin tặc. Các chuyên gia cho biết mã độc có thể chạy trên Windows 2000 và các nền tảng cũ hơn, bao gồm Windows Home Server và Windows Server 2003 đến Windows Server 2016.
Các chuyên gia thông báo về sự tăng lên đáng kể trên đường truyền định tuyến qua các hệ thống bị lây nhiễm và lưu ý rằng ProxyBack được sử dụng như một dịch vụ proxy. Phần lớn lưu lượng bắt nguồn từ hệ thống tự động tạo các tài khoản giả thông qua các trang hẹn hò như “farmersonly.com”, “match.com”, “meetme.com” hay “okcupid.com”. Tuy nhiên, cũng có lưu lượng của người dùng tới các trang như eBay, Twitter, Craigslist, Facebook, Wikipedia…
Nguồn: SecurityWeek