Phát hiện nhà cung cấp dịch vụ Internet Trung Quốc lây nhiễm mã độc

01/03/16, 11:18 Công nghệ

Trung Quốc mới đây lại gây chú ý khi các nhà cung cấp dịch vụ Internet (ISP) tại nước này lây nhiễm các quảng cáo và mã độc thông qua lưu lượng của mình để hưởng lợi từ người dùng.

Ba chuyên gia bảo mật người Israel vừa phát hiện 2 nhà cung cấp dịch vụ Internet (ISP) chính tại trung Quốc là China Telecom và China Unicom, hai tập đoàn Viễn thông lớn nhất châu Á, đã có hành vi bất hợp pháp khi lây nhiễm nội dung độc hại vào lưu lượng mạng.

Nếu người dùng Internet truy cập một tên miền thuộc quản lý của 2 nhà cung cấp dịch vụ Internet này, gói tin giả mạo sẽ chuyển hướng trình duyệt người dùng đến bộ định tuyến mạng xấu. Kết quả là lưu lượng hợp pháp của người dùng sẽ chuyển hướng đến trang/quảng cáo độc hại, phục vụ lợi ích của nhà cung cấp dịch vụ.

Theo nghiên cứu, các công ty này đã thiết lập những máy chủ đặc biệt, theo dõi lưu lượng mạng với các đường dẫn URL cụ thể, sau đó thay đổi chúng mà không cần quan tâm người dùng đầu cuối là ai.

Cả công ty quảng cáo và các nhà cung cấp dịch vụ Internet đều được hưởng lợi nhuận từ việc điều hướng lưu lượng người dùng đến các trang tương ứng.

Trong quá trình nghiên cứu các chuyên gia đã ghi nhận một lượng lớn lưu lượng web và hơn 400 sự cố lây nhiễm do các kĩ thuật trên. Hầu hết diễn ra tại Trung Quốc, các quốc gia châu Á, thậm chí cả người dùng châu Âu khi truy cập website có máy chủ tại Trung Quốc cũng nguy cơ bị lây nhiễm quảng cáo hoặc mã độc.

Các công ty này đã sử dụng 2 cách thức nhằm xâm nhập lưu lượng mạng hợp pháp sau:

  • Lây nhiễm qua TCP

Không giống cách sửa đổi gói tin trong mạng nhằm lây nhiễm quảng cáo như đã thực hiện trong quá khứ, các công ty điều hành mạng có thể gửi một gói tin giả mạo mà không cần thay đổi các gói tin hợp pháp ban đầu. Thay vì can thiệp hay viết lại gói tin mạng, họ sao chép lưu lượng hợp pháp, thay đổi bản sao chép rồi gửi cả hai bản của gói tin đến đích.

Cả hai gói tin phản hồi được tạo ra với một yêu cầu HTTP. Do đó sẽ có một tỉ lệ nhất định gói tin độc hại đưa tới người dùng và việc phát hiện lưu lượng chứa mã độc sẽ khó khăn hơn.

  • HTTP Injection

HTTP là giao thức sử dụng TCP trong tầng giao vận. TCP chỉ chấp nhận gói tin nhận lần đầu tiên và từ chối gói nhận thứ hai. Người dùng có thể sẽ nhận được một phản hồi với mã trạng thái HTTP 302 (Redirection) thay vì mã trạng thái 200 (OK) và sẽ được chuyển hướng đến đường dẫn độc hại.

Cách phát hiện gói tin xấu

1) IP Identification

Gói tin xấu sẽ được phản hồi lại ngay sau khi tạo ra một yêu cầu giống hệt như một gói tin hợp lệ. Nhưng giá trị của trường thời gian (timestamp) trong mỗi gói tin sẽ cung cấp thông tin để có thể nhận diện gói tin xấu. Gói tin xấu sẽ có giá trị IP Identification khác hẳn so với các gói tin nói chung.

2) TTL (Total Time to Live)

Mỗi gói tin sẽ bao gồm những giá trị được khởi tạo từ người gửi để tính toán các bước chuyển đổi trong suốt quá trình truyền gói tin, nếu gói tin nhận được có giá trị này khác so với tính toán thì có thể gói tin đã bị sửa đổi.

3) Phân tích thời gian

Giá trị thời gian trong mỗi gói tin ghi lại bởi hệ thống khi gói tin được khởi tạo có thể dùng để xác định gói tin hợp lệ.

Danh sách các nhà cung cấp dịch vụ Internet lây nhiễm mã độc

Có tổng cộng 14 nhà cung cấp dịch vụ Internet khác nhau đã bị phát hiện chứa mã độc, trong đó có 10 nhà mạng Trung Quốc, 2 nhà mạng Malaysia, 1 mạng Ấn độ và 1 nhà mạng Mỹ.

Đặc điểm của các nhà cung cấp dịch vụ Internet này:

1) Hao: Sử dụng cơ chế HTTP 302 response để lây nhiễm người dùng.

2) GPWA: Trang chủ được giả mạo thành một tên miền khác có thể chuyển hướng người dùng đến ‘qpwa’ (người dùng khó nhận ra sự khác biệt giữa ‘q’ và ‘g’). Nội dung độc hại bao gồm một đoạn JavaScript trỏ đến tài nguyên cùng tên với tài nguyên ban đầu mà người dùng yêu cầu.

3) Duba Group: Lây nhiễm bằng cách thêm vào trong nội dung gốc của website một nút nhấn nổi bật, thông báo đến người dùng tải về một file thực thi từ đường dẫn tại tên miền duba.net

4)  Mi-img: Trong phiên làm việc bị lây nhiễm, thiết bị đầu cuối (thiết bị Android) cố gắng tải về một ứng dụng. Phản hồi được điều hướng đến một con bot cơ sở dữ liệu trực tuyến đã được xác định bởi BotScout.

5) Server Erased: Lây nhiễm thay đổi giá trị gốc của HTTP header ‘Server’.

Hướng dẫn giảm thiểu: Người dùng có thể thay đổi nhà cung cấp dịch vụ Internet của mình. Tuy nhiên, cách đơn giản nhất là sử dụng các website hỗ trợ HTTPS.

Theo Security Daily

Ad will display in 09 seconds

Từ bỏ điều này sẽ đắc Phúc báo

Ad will display in 09 seconds

Phát hiện chấn động Thế giới trong lòng đất

Ad will display in 09 seconds

Vì sao kẻ đồ tể lại được về đất Phật ?

Ad will display in 09 seconds

12 quả báo của tội tà dâm, ai xem cũng sợ

Ad will display in 09 seconds

Người ngoài hành tinh cổ đại: Hợp kim bí ẩn của nền văn minh Atlantis

Ad will display in 09 seconds

Tôi vào Viện dưỡng lão, mang theo một chiếc ấm tử sa

Ad will display in 09 seconds

Chớ nghĩ nhân gian nhiều mỹ hảo, ma quỷ đang thao túng con người!

Ad will display in 09 seconds

Vì sao nhiều người luôn cảm thấy cuộc đời đau khổ

Ad will display in 09 seconds

289 thành tựu của Donald Trump sau gần 2 năm làm Tổng thống

Ad will display in 09 seconds

Truyền thuyết hoa Ưu Đàm Bà La

  • Từ bỏ điều này sẽ đắc Phúc báo

    Từ bỏ điều này sẽ đắc Phúc báo

  • Phát hiện chấn động Thế giới trong lòng đất

    Phát hiện chấn động Thế giới trong lòng đất

  • Vì sao kẻ đồ tể lại được về đất Phật ?

    Vì sao kẻ đồ tể lại được về đất Phật ?

  • 12 quả báo của tội tà dâm, ai xem cũng sợ

    12 quả báo của tội tà dâm, ai xem cũng sợ

  • Người ngoài hành tinh cổ đại: Hợp kim bí ẩn của nền văn minh Atlantis

    Người ngoài hành tinh cổ đại: Hợp kim bí ẩn của nền văn minh Atlantis

  • Tôi vào Viện dưỡng lão, mang theo một chiếc ấm tử sa

    Tôi vào Viện dưỡng lão, mang theo một chiếc ấm tử sa

  • Chớ nghĩ nhân gian nhiều mỹ hảo, ma quỷ đang thao túng con người!

    Chớ nghĩ nhân gian nhiều mỹ hảo, ma quỷ đang thao túng con người!

  • Vì sao nhiều người luôn cảm thấy cuộc đời đau khổ

    Vì sao nhiều người luôn cảm thấy cuộc đời đau khổ

  • 289 thành tựu của Donald Trump sau gần 2 năm làm Tổng thống

    289 thành tựu của Donald Trump sau gần 2 năm làm Tổng thống

  • Truyền thuyết hoa Ưu Đàm Bà La

    Truyền thuyết hoa Ưu Đàm Bà La

x