Phát hiện nhà cung cấp dịch vụ Internet Trung Quốc lây nhiễm mã độc

01/03/16, 11:18 Công nghệ

Trung Quốc mới đây lại gây chú ý khi các nhà cung cấp dịch vụ Internet (ISP) tại nước này lây nhiễm các quảng cáo và mã độc thông qua lưu lượng của mình để hưởng lợi từ người dùng.

Ba chuyên gia bảo mật người Israel vừa phát hiện 2 nhà cung cấp dịch vụ Internet (ISP) chính tại trung Quốc là China Telecom và China Unicom, hai tập đoàn Viễn thông lớn nhất châu Á, đã có hành vi bất hợp pháp khi lây nhiễm nội dung độc hại vào lưu lượng mạng.

Nếu người dùng Internet truy cập một tên miền thuộc quản lý của 2 nhà cung cấp dịch vụ Internet này, gói tin giả mạo sẽ chuyển hướng trình duyệt người dùng đến bộ định tuyến mạng xấu. Kết quả là lưu lượng hợp pháp của người dùng sẽ chuyển hướng đến trang/quảng cáo độc hại, phục vụ lợi ích của nhà cung cấp dịch vụ.

Theo nghiên cứu, các công ty này đã thiết lập những máy chủ đặc biệt, theo dõi lưu lượng mạng với các đường dẫn URL cụ thể, sau đó thay đổi chúng mà không cần quan tâm người dùng đầu cuối là ai.

Cả công ty quảng cáo và các nhà cung cấp dịch vụ Internet đều được hưởng lợi nhuận từ việc điều hướng lưu lượng người dùng đến các trang tương ứng.

Trong quá trình nghiên cứu các chuyên gia đã ghi nhận một lượng lớn lưu lượng web và hơn 400 sự cố lây nhiễm do các kĩ thuật trên. Hầu hết diễn ra tại Trung Quốc, các quốc gia châu Á, thậm chí cả người dùng châu Âu khi truy cập website có máy chủ tại Trung Quốc cũng nguy cơ bị lây nhiễm quảng cáo hoặc mã độc.

Các công ty này đã sử dụng 2 cách thức nhằm xâm nhập lưu lượng mạng hợp pháp sau:

  • Lây nhiễm qua TCP

Không giống cách sửa đổi gói tin trong mạng nhằm lây nhiễm quảng cáo như đã thực hiện trong quá khứ, các công ty điều hành mạng có thể gửi một gói tin giả mạo mà không cần thay đổi các gói tin hợp pháp ban đầu. Thay vì can thiệp hay viết lại gói tin mạng, họ sao chép lưu lượng hợp pháp, thay đổi bản sao chép rồi gửi cả hai bản của gói tin đến đích.

Cả hai gói tin phản hồi được tạo ra với một yêu cầu HTTP. Do đó sẽ có một tỉ lệ nhất định gói tin độc hại đưa tới người dùng và việc phát hiện lưu lượng chứa mã độc sẽ khó khăn hơn.

  • HTTP Injection

HTTP là giao thức sử dụng TCP trong tầng giao vận. TCP chỉ chấp nhận gói tin nhận lần đầu tiên và từ chối gói nhận thứ hai. Người dùng có thể sẽ nhận được một phản hồi với mã trạng thái HTTP 302 (Redirection) thay vì mã trạng thái 200 (OK) và sẽ được chuyển hướng đến đường dẫn độc hại.

Cách phát hiện gói tin xấu

1) IP Identification

Gói tin xấu sẽ được phản hồi lại ngay sau khi tạo ra một yêu cầu giống hệt như một gói tin hợp lệ. Nhưng giá trị của trường thời gian (timestamp) trong mỗi gói tin sẽ cung cấp thông tin để có thể nhận diện gói tin xấu. Gói tin xấu sẽ có giá trị IP Identification khác hẳn so với các gói tin nói chung.

2) TTL (Total Time to Live)

Mỗi gói tin sẽ bao gồm những giá trị được khởi tạo từ người gửi để tính toán các bước chuyển đổi trong suốt quá trình truyền gói tin, nếu gói tin nhận được có giá trị này khác so với tính toán thì có thể gói tin đã bị sửa đổi.

3) Phân tích thời gian

Giá trị thời gian trong mỗi gói tin ghi lại bởi hệ thống khi gói tin được khởi tạo có thể dùng để xác định gói tin hợp lệ.

Danh sách các nhà cung cấp dịch vụ Internet lây nhiễm mã độc

Có tổng cộng 14 nhà cung cấp dịch vụ Internet khác nhau đã bị phát hiện chứa mã độc, trong đó có 10 nhà mạng Trung Quốc, 2 nhà mạng Malaysia, 1 mạng Ấn độ và 1 nhà mạng Mỹ.

Đặc điểm của các nhà cung cấp dịch vụ Internet này:

1) Hao: Sử dụng cơ chế HTTP 302 response để lây nhiễm người dùng.

2) GPWA: Trang chủ được giả mạo thành một tên miền khác có thể chuyển hướng người dùng đến ‘qpwa’ (người dùng khó nhận ra sự khác biệt giữa ‘q’ và ‘g’). Nội dung độc hại bao gồm một đoạn JavaScript trỏ đến tài nguyên cùng tên với tài nguyên ban đầu mà người dùng yêu cầu.

3) Duba Group: Lây nhiễm bằng cách thêm vào trong nội dung gốc của website một nút nhấn nổi bật, thông báo đến người dùng tải về một file thực thi từ đường dẫn tại tên miền duba.net

4)  Mi-img: Trong phiên làm việc bị lây nhiễm, thiết bị đầu cuối (thiết bị Android) cố gắng tải về một ứng dụng. Phản hồi được điều hướng đến một con bot cơ sở dữ liệu trực tuyến đã được xác định bởi BotScout.

5) Server Erased: Lây nhiễm thay đổi giá trị gốc của HTTP header ‘Server’.

Hướng dẫn giảm thiểu: Người dùng có thể thay đổi nhà cung cấp dịch vụ Internet của mình. Tuy nhiên, cách đơn giản nhất là sử dụng các website hỗ trợ HTTPS.

Theo Security Daily

Ad will display in 09 seconds

Darwin đã dạy Hitler điều gì?

Tinh Hoa TV 2019-06-11 14:07:37
Ad will display in 09 seconds

Đâu là khí chất của một người cao quý

Văn hóa Thần truyền 2019-06-01 08:23:31
Ad will display in 09 seconds

Trừ vong báo oán và lời dạy của Đức Phật

Văn hóa Thần truyền 2019-06-01 08:48:41
Ad will display in 09 seconds

Chỉ cần không lo, không sợ thì đã là người quân tử rồi sao

Quà tặng cuộc sống 2019-05-30 14:47:27
Ad will display in 09 seconds

Người tốt hay gặp khó, kẻ xấu vẫn thành công? Đây là lời giải đáp

Quà tặng cuộc sống 2019-06-10 16:28:13
Ad will display in 09 seconds

Tinh Hoa kể chuyện: Bí ẩn cổ trùng

Tinh Hoa hoạt hình 2020-03-11 15:26:26
Ad will display in 09 seconds

Donor - Một câu chuyện có thật

Tinh Hoa hoạt hình 2019-12-23 14:39:35
Ad will display in 09 seconds

Tiền nhiều để làm gì, Thiền sư trả lời khiến ai cũng tâm phục

Quà tặng cuộc sống 2019-06-01 09:57:28
Ad will display in 09 seconds

Vô lễ làm nhục Phật, quả báo 9 vạn năm

Văn hóa Thần truyền 2019-06-01 08:29:37
Ad will display in 09 seconds

Irena Sendler và sự sống trong những chiếc lọ

Quà tặng cuộc sống 2019-06-01 10:32:21
  • Darwin đã dạy Hitler điều gì?

    Darwin đã dạy Hitler điều gì?

  • Đâu là khí chất của một người cao quý

    Đâu là khí chất của một người cao quý

  • Trừ vong báo oán và lời dạy của Đức Phật

    Trừ vong báo oán và lời dạy của Đức Phật

  • Chỉ cần không lo, không sợ thì đã là người quân tử rồi sao

    Chỉ cần không lo, không sợ thì đã là người quân tử rồi sao

  • Người tốt hay gặp khó, kẻ xấu vẫn thành công?  Đây là lời giải đáp

    Người tốt hay gặp khó, kẻ xấu vẫn thành công? Đây là lời giải đáp

  • Tinh Hoa kể chuyện: Bí ẩn cổ trùng

    Tinh Hoa kể chuyện: Bí ẩn cổ trùng

  • Donor - Một câu chuyện có thật

    Donor - Một câu chuyện có thật

  • Tiền nhiều để làm gì, Thiền sư trả lời khiến ai cũng tâm phục

    Tiền nhiều để làm gì, Thiền sư trả lời khiến ai cũng tâm phục

  • Vô lễ làm nhục Phật, quả báo 9 vạn năm

    Vô lễ làm nhục Phật, quả báo 9 vạn năm

  • Irena Sendler và sự sống  trong những chiếc lọ

    Irena Sendler và sự sống trong những chiếc lọ