Phát hiện nhà cung cấp dịch vụ Internet Trung Quốc lây nhiễm mã độc

01/03/16, 11:18 Công nghệ

Trung Quốc mới đây lại gây chú ý khi các nhà cung cấp dịch vụ Internet (ISP) tại nước này lây nhiễm các quảng cáo và mã độc thông qua lưu lượng của mình để hưởng lợi từ người dùng.

Ba chuyên gia bảo mật người Israel vừa phát hiện 2 nhà cung cấp dịch vụ Internet (ISP) chính tại trung Quốc là China Telecom và China Unicom, hai tập đoàn Viễn thông lớn nhất châu Á, đã có hành vi bất hợp pháp khi lây nhiễm nội dung độc hại vào lưu lượng mạng.

Nếu người dùng Internet truy cập một tên miền thuộc quản lý của 2 nhà cung cấp dịch vụ Internet này, gói tin giả mạo sẽ chuyển hướng trình duyệt người dùng đến bộ định tuyến mạng xấu. Kết quả là lưu lượng hợp pháp của người dùng sẽ chuyển hướng đến trang/quảng cáo độc hại, phục vụ lợi ích của nhà cung cấp dịch vụ.

Theo nghiên cứu, các công ty này đã thiết lập những máy chủ đặc biệt, theo dõi lưu lượng mạng với các đường dẫn URL cụ thể, sau đó thay đổi chúng mà không cần quan tâm người dùng đầu cuối là ai.

Cả công ty quảng cáo và các nhà cung cấp dịch vụ Internet đều được hưởng lợi nhuận từ việc điều hướng lưu lượng người dùng đến các trang tương ứng.

Trong quá trình nghiên cứu các chuyên gia đã ghi nhận một lượng lớn lưu lượng web và hơn 400 sự cố lây nhiễm do các kĩ thuật trên. Hầu hết diễn ra tại Trung Quốc, các quốc gia châu Á, thậm chí cả người dùng châu Âu khi truy cập website có máy chủ tại Trung Quốc cũng nguy cơ bị lây nhiễm quảng cáo hoặc mã độc.

Các công ty này đã sử dụng 2 cách thức nhằm xâm nhập lưu lượng mạng hợp pháp sau:

  • Lây nhiễm qua TCP

Không giống cách sửa đổi gói tin trong mạng nhằm lây nhiễm quảng cáo như đã thực hiện trong quá khứ, các công ty điều hành mạng có thể gửi một gói tin giả mạo mà không cần thay đổi các gói tin hợp pháp ban đầu. Thay vì can thiệp hay viết lại gói tin mạng, họ sao chép lưu lượng hợp pháp, thay đổi bản sao chép rồi gửi cả hai bản của gói tin đến đích.

Cả hai gói tin phản hồi được tạo ra với một yêu cầu HTTP. Do đó sẽ có một tỉ lệ nhất định gói tin độc hại đưa tới người dùng và việc phát hiện lưu lượng chứa mã độc sẽ khó khăn hơn.

  • HTTP Injection

HTTP là giao thức sử dụng TCP trong tầng giao vận. TCP chỉ chấp nhận gói tin nhận lần đầu tiên và từ chối gói nhận thứ hai. Người dùng có thể sẽ nhận được một phản hồi với mã trạng thái HTTP 302 (Redirection) thay vì mã trạng thái 200 (OK) và sẽ được chuyển hướng đến đường dẫn độc hại.

Cách phát hiện gói tin xấu

1) IP Identification

Gói tin xấu sẽ được phản hồi lại ngay sau khi tạo ra một yêu cầu giống hệt như một gói tin hợp lệ. Nhưng giá trị của trường thời gian (timestamp) trong mỗi gói tin sẽ cung cấp thông tin để có thể nhận diện gói tin xấu. Gói tin xấu sẽ có giá trị IP Identification khác hẳn so với các gói tin nói chung.

2) TTL (Total Time to Live)

Mỗi gói tin sẽ bao gồm những giá trị được khởi tạo từ người gửi để tính toán các bước chuyển đổi trong suốt quá trình truyền gói tin, nếu gói tin nhận được có giá trị này khác so với tính toán thì có thể gói tin đã bị sửa đổi.

3) Phân tích thời gian

Giá trị thời gian trong mỗi gói tin ghi lại bởi hệ thống khi gói tin được khởi tạo có thể dùng để xác định gói tin hợp lệ.

Danh sách các nhà cung cấp dịch vụ Internet lây nhiễm mã độc

Có tổng cộng 14 nhà cung cấp dịch vụ Internet khác nhau đã bị phát hiện chứa mã độc, trong đó có 10 nhà mạng Trung Quốc, 2 nhà mạng Malaysia, 1 mạng Ấn độ và 1 nhà mạng Mỹ.

Đặc điểm của các nhà cung cấp dịch vụ Internet này:

1) Hao: Sử dụng cơ chế HTTP 302 response để lây nhiễm người dùng.

2) GPWA: Trang chủ được giả mạo thành một tên miền khác có thể chuyển hướng người dùng đến ‘qpwa’ (người dùng khó nhận ra sự khác biệt giữa ‘q’ và ‘g’). Nội dung độc hại bao gồm một đoạn JavaScript trỏ đến tài nguyên cùng tên với tài nguyên ban đầu mà người dùng yêu cầu.

3) Duba Group: Lây nhiễm bằng cách thêm vào trong nội dung gốc của website một nút nhấn nổi bật, thông báo đến người dùng tải về một file thực thi từ đường dẫn tại tên miền duba.net

4)  Mi-img: Trong phiên làm việc bị lây nhiễm, thiết bị đầu cuối (thiết bị Android) cố gắng tải về một ứng dụng. Phản hồi được điều hướng đến một con bot cơ sở dữ liệu trực tuyến đã được xác định bởi BotScout.

5) Server Erased: Lây nhiễm thay đổi giá trị gốc của HTTP header ‘Server’.

Hướng dẫn giảm thiểu: Người dùng có thể thay đổi nhà cung cấp dịch vụ Internet của mình. Tuy nhiên, cách đơn giản nhất là sử dụng các website hỗ trợ HTTPS.

Theo Security Daily

Ad will display in 09 seconds

Chuyện thần thoại dành cho con người tương lai - P1

Ad will display in 09 seconds

Lòng trung thực đáng giá bao nhiêu?

Ad will display in 09 seconds

Người sống thọ có 4 cái lười

Ad will display in 09 seconds

Vì sao nói con người làm gì Thần linh đều biết, xem xong 3 câu chuyện này sẽ rõ

Ad will display in 09 seconds

Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

Ad will display in 09 seconds

Sự nghịch lý trong bài tập chống 'chết chìm' của hải quân SEAL

Ad will display in 09 seconds

Sau khi thất bại, Ma Vương đã có lời nguyền gì với Đức Phật?

Ad will display in 09 seconds

5 bằng chứng khảo cổ phủ định thuyết Tiến hóa

Ad will display in 09 seconds

Thảm họa dành cho con người: “Đều không phải ngẫu nhiên”

Ad will display in 09 seconds

Ma quỷ cũng biết lừa người, bạn tin không?

  • Chuyện thần thoại dành cho con người tương lai - P1

    Chuyện thần thoại dành cho con người tương lai - P1

  • Lòng trung thực đáng giá bao nhiêu?

    Lòng trung thực đáng giá bao nhiêu?

  • Người sống thọ có 4 cái lười

    Người sống thọ có 4 cái lười

  • Vì sao nói con người làm gì Thần linh đều biết, xem xong 3 câu chuyện này sẽ rõ

    Vì sao nói con người làm gì Thần linh đều biết, xem xong 3 câu chuyện này sẽ rõ

  • Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

    Tinh Hoa kể chuyện: Bao Công mộng hồ điệp

  • Sự nghịch lý trong bài tập chống 'chết chìm' của hải quân SEAL

    Sự nghịch lý trong bài tập chống 'chết chìm' của hải quân SEAL

  • Sau khi thất bại, Ma Vương đã có lời nguyền gì với Đức Phật?

    Sau khi thất bại, Ma Vương đã có lời nguyền gì với Đức Phật?

  • 5 bằng chứng khảo cổ phủ định thuyết Tiến hóa

    5 bằng chứng khảo cổ phủ định thuyết Tiến hóa

  • Thảm họa dành cho con người: “Đều không phải ngẫu nhiên”

    Thảm họa dành cho con người: “Đều không phải ngẫu nhiên”

  • Ma quỷ cũng biết lừa người, bạn tin không?

    Ma quỷ cũng biết lừa người, bạn tin không?