Phát hiện nhà cung cấp dịch vụ Internet Trung Quốc lây nhiễm mã độc

01/03/16, 11:18 Công nghệ

Trung Quốc mới đây lại gây chú ý khi các nhà cung cấp dịch vụ Internet (ISP) tại nước này lây nhiễm các quảng cáo và mã độc thông qua lưu lượng của mình để hưởng lợi từ người dùng.

Ba chuyên gia bảo mật người Israel vừa phát hiện 2 nhà cung cấp dịch vụ Internet (ISP) chính tại trung Quốc là China Telecom và China Unicom, hai tập đoàn Viễn thông lớn nhất châu Á, đã có hành vi bất hợp pháp khi lây nhiễm nội dung độc hại vào lưu lượng mạng.

Nếu người dùng Internet truy cập một tên miền thuộc quản lý của 2 nhà cung cấp dịch vụ Internet này, gói tin giả mạo sẽ chuyển hướng trình duyệt người dùng đến bộ định tuyến mạng xấu. Kết quả là lưu lượng hợp pháp của người dùng sẽ chuyển hướng đến trang/quảng cáo độc hại, phục vụ lợi ích của nhà cung cấp dịch vụ.

Theo nghiên cứu, các công ty này đã thiết lập những máy chủ đặc biệt, theo dõi lưu lượng mạng với các đường dẫn URL cụ thể, sau đó thay đổi chúng mà không cần quan tâm người dùng đầu cuối là ai.

Cả công ty quảng cáo và các nhà cung cấp dịch vụ Internet đều được hưởng lợi nhuận từ việc điều hướng lưu lượng người dùng đến các trang tương ứng.

Trong quá trình nghiên cứu các chuyên gia đã ghi nhận một lượng lớn lưu lượng web và hơn 400 sự cố lây nhiễm do các kĩ thuật trên. Hầu hết diễn ra tại Trung Quốc, các quốc gia châu Á, thậm chí cả người dùng châu Âu khi truy cập website có máy chủ tại Trung Quốc cũng nguy cơ bị lây nhiễm quảng cáo hoặc mã độc.

Các công ty này đã sử dụng 2 cách thức nhằm xâm nhập lưu lượng mạng hợp pháp sau:

  • Lây nhiễm qua TCP

Không giống cách sửa đổi gói tin trong mạng nhằm lây nhiễm quảng cáo như đã thực hiện trong quá khứ, các công ty điều hành mạng có thể gửi một gói tin giả mạo mà không cần thay đổi các gói tin hợp pháp ban đầu. Thay vì can thiệp hay viết lại gói tin mạng, họ sao chép lưu lượng hợp pháp, thay đổi bản sao chép rồi gửi cả hai bản của gói tin đến đích.

Cả hai gói tin phản hồi được tạo ra với một yêu cầu HTTP. Do đó sẽ có một tỉ lệ nhất định gói tin độc hại đưa tới người dùng và việc phát hiện lưu lượng chứa mã độc sẽ khó khăn hơn.

  • HTTP Injection

HTTP là giao thức sử dụng TCP trong tầng giao vận. TCP chỉ chấp nhận gói tin nhận lần đầu tiên và từ chối gói nhận thứ hai. Người dùng có thể sẽ nhận được một phản hồi với mã trạng thái HTTP 302 (Redirection) thay vì mã trạng thái 200 (OK) và sẽ được chuyển hướng đến đường dẫn độc hại.

Cách phát hiện gói tin xấu

1) IP Identification

Gói tin xấu sẽ được phản hồi lại ngay sau khi tạo ra một yêu cầu giống hệt như một gói tin hợp lệ. Nhưng giá trị của trường thời gian (timestamp) trong mỗi gói tin sẽ cung cấp thông tin để có thể nhận diện gói tin xấu. Gói tin xấu sẽ có giá trị IP Identification khác hẳn so với các gói tin nói chung.

2) TTL (Total Time to Live)

Mỗi gói tin sẽ bao gồm những giá trị được khởi tạo từ người gửi để tính toán các bước chuyển đổi trong suốt quá trình truyền gói tin, nếu gói tin nhận được có giá trị này khác so với tính toán thì có thể gói tin đã bị sửa đổi.

3) Phân tích thời gian

Giá trị thời gian trong mỗi gói tin ghi lại bởi hệ thống khi gói tin được khởi tạo có thể dùng để xác định gói tin hợp lệ.

Danh sách các nhà cung cấp dịch vụ Internet lây nhiễm mã độc

Có tổng cộng 14 nhà cung cấp dịch vụ Internet khác nhau đã bị phát hiện chứa mã độc, trong đó có 10 nhà mạng Trung Quốc, 2 nhà mạng Malaysia, 1 mạng Ấn độ và 1 nhà mạng Mỹ.

Đặc điểm của các nhà cung cấp dịch vụ Internet này:

1) Hao: Sử dụng cơ chế HTTP 302 response để lây nhiễm người dùng.

2) GPWA: Trang chủ được giả mạo thành một tên miền khác có thể chuyển hướng người dùng đến ‘qpwa’ (người dùng khó nhận ra sự khác biệt giữa ‘q’ và ‘g’). Nội dung độc hại bao gồm một đoạn JavaScript trỏ đến tài nguyên cùng tên với tài nguyên ban đầu mà người dùng yêu cầu.

3) Duba Group: Lây nhiễm bằng cách thêm vào trong nội dung gốc của website một nút nhấn nổi bật, thông báo đến người dùng tải về một file thực thi từ đường dẫn tại tên miền duba.net

4)  Mi-img: Trong phiên làm việc bị lây nhiễm, thiết bị đầu cuối (thiết bị Android) cố gắng tải về một ứng dụng. Phản hồi được điều hướng đến một con bot cơ sở dữ liệu trực tuyến đã được xác định bởi BotScout.

5) Server Erased: Lây nhiễm thay đổi giá trị gốc của HTTP header ‘Server’.

Hướng dẫn giảm thiểu: Người dùng có thể thay đổi nhà cung cấp dịch vụ Internet của mình. Tuy nhiên, cách đơn giản nhất là sử dụng các website hỗ trợ HTTPS.

Theo Security Daily

Ad will display in 09 seconds

Thế nào là Tà đạo?

Ad will display in 09 seconds

Lãnh đạo nhiều quốc gia phải cúi đầu nể phục Donald Trump vì 2 điều này

Ad will display in 09 seconds

Kiếp trước Đức Phật là ai?

Ad will display in 09 seconds

Tu thân

Ad will display in 09 seconds

Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

Ad will display in 09 seconds

Hỏi đáp chấn động về chốn Âm gian

Ad will display in 09 seconds

Những cái chết phục sinh

Ad will display in 09 seconds

Trước khi đại náo Thiên Cung Tôn Ngộ Không là người như thế nào?

Ad will display in 09 seconds

Đã tìm ra lời giải của thuật trường sinh

Ad will display in 09 seconds

Bí ẩn cao tăng Ấn Độ thọ 1072 tuổi

  • Thế nào là Tà đạo?

    Thế nào là Tà đạo?

  • Lãnh đạo nhiều quốc gia phải cúi đầu nể phục Donald Trump vì 2 điều này

    Lãnh đạo nhiều quốc gia phải cúi đầu nể phục Donald Trump vì 2 điều này

  • Kiếp trước Đức Phật là ai?

    Kiếp trước Đức Phật là ai?

  • Tu thân

    Tu thân

  • Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

    Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

  • Hỏi đáp chấn động về chốn Âm gian

    Hỏi đáp chấn động về chốn Âm gian

  • Những cái chết phục sinh

    Những cái chết phục sinh

  • Trước khi đại náo Thiên Cung  Tôn Ngộ Không là người như thế nào?

    Trước khi đại náo Thiên Cung Tôn Ngộ Không là người như thế nào?

  • Đã tìm ra lời giải của thuật trường sinh

    Đã tìm ra lời giải của thuật trường sinh

  • Bí ẩn cao tăng Ấn Độ thọ 1072 tuổi

    Bí ẩn cao tăng Ấn Độ thọ 1072 tuổi

x