Tấn công theo từng ổ đĩa tải xuống đề cập đến việc tải xuống không chủ ý mã độc vào máy tính hoặc thiết bị di động của bạn khiến bạn có nguy cơ bị tấn công mạng. Bạn không phải nhấp vào bất kỳ thứ gì, nhấn tải xuống hoặc mở tệp đính kèm email độc hại để bị nhiễm. Tải xuống từng ổ có thể tận dụng lợi thế của ứng dụng, hệ điều hành hoặc trình duyệt web có lỗi bảo mật do cập nhật không thành công hoặc thiếu cập nhật. Không giống như nhiều loại tấn công mạng khác, drive-by không dựa vào người dùng để làm bất cứ điều gì để chủ động kích hoạt cuộc tấn công.
Bạn thử nghĩ xem nếu nó tấn công vào hệ thông máy tính của công ty thì sao? Thật không thể tưởng tượng những nguy hiểm mà nó có thể tạo ra đối với những thông tin bảo mật của công ty. Nếu không muốn điều đó xảy ra, các bạn đừng bỏ qua bài viết dưới đây của chúng tôi các bạn nhé!
Bạn đã biết Drive-by Download là gì?
Hầu hết mọi người không nghĩ nhiều về các trang web họ truy cập, nhanh chóng nhấp qua và không quan tâm nhiều đến việc liệu một liên kết có chuyển hướng họ hay không, hoặc liệu một giao thức bảo mật có đang được sử dụng hay không. Thông thường, đây không phải là vấn đề nhưng nếu bạn tình cờ truy cập một trang web đã bị xâm phạm, hệ thống của bạn có thể nhanh chóng bị lây nhiễm bởi mối đe dọa an ninh mạng, được gọi là Drive-by Download. Trong bài viết hôm nay, chúng tôi sẽ cùng bạn đọc tìm hiểu Drive-by Download là gì, thiệt hại mà nó có thể gây ra và đề cập đến một số chiến lược mà bạn có thể sử dụng để giảm thiểu rủi ro.
Drive-by Download đề cập đến việc tải phần mềm tự động xuống thiết bị của người dùng mà người dùng không hay biết hoặc không được sự đồng ý của họ. Điều này có thể xảy ra trong khi người dùng đang duyệt một trang web hợp pháp hoặc thậm chí một quảng cáo độc hại được hiển thị trên một trang web an toàn khác. Hầu hết các loại Drive-by Download đều tận dụng các lỗ hổng trong trình duyệt web, hệ điều hành, Java hoặc trình chỉnh sửa file và trình xem như Microsoft Office và Adobe Flash.
Tìm hiểu về cách hoạt động của Drive-by Download
Trong một tình huống tấn công điển hình, mục tiêu của kẻ đe dọa là xâm nhập máy của nạn nhân và đưa nó vào mạng botnet. Thông qua vi phạm bảo mật ban đầu này; kẻ tấn công có thể tận dụng quyền kiểm soát thiết bị của người dùng như sau:
Nguồn lây nhiễm mã độc hại
Kẻ tấn công nhúng hoặc đưa phần tử độc hại vào một trang web bị xâm phạm. Đây có thể là mã JavaScript, iFrame, liên kết, chuyển hướng, quảng cáo ác ý (quảng cáo kích hoạt mã độc khi được xem hoặc nhấp vào) hoặc Cross-site scripting (XSS).
Tập chúng vào khai thác lỗ hổng bảo mật
Người dùng xem trang, kích hoạt phần tử độc hại. Phần tử khai thác lỗ hổng trong phần mềm trên máy tính của người dùng. Đó có thể là trình duyệt, plugin trình duyệt, hệ điều hành, công cụ lưu trữ như WinZIP, trình đọc file như Adobe PDF, những nền tảng phân phối đa phương tiện cũ như Adobe Flash hoặc Microsoft Silverlight hay các lỗ hổng trong phiên bản Java được cài đặt trên thiết bị của người dùng.
Tải xuống trực tiếp PC của người dùng
Phần tử tải âm thầm các file độc hại xuống thiết bị của người dùng. Trong ví dụ này, payload là một Trojan horse. Những kẻ tấn công có thể sử dụng các payload khác, như được thảo luận trong phần sau.
Thực thi các hoạt động trên PC của bạn
Trojan horse thực thi, mở một shell mà kẻ tấn công có thể sử dụng để giành quyền kiểm soát thiết bị.
Điều khiển từ xa hoạt động PC
Kẻ tấn công có được quyền điều khiển từ xa. Điều này cho phép chúng trích xuất mật khẩu hoặc dữ liệu có giá trị khác từ thiết bị của người dùng.
Mức độ nguy hiểm hơn khi nó mở rộng địa bàn khai thác (Lateral movement)
Kẻ tấn công hiện có thể sử dụng thông tin đăng nhập có được từ thiết bị của người dùng để kết nối với một hệ thống khác có giá trị hơn. Chẳng hạn như trang web hoặc mạng của công ty.
Phân loại Drive-by Download phổ biến
Những kẻ tấn công có thể sử dụng Drive-by Download để triển khai nhiều ứng dụng độc hại trên thiết bị của nạn nhân. Chúng có thể bao gồm:
- Trojan Horse, backdoor hoặc rootkit – cung cấp khả năng điều khiển từ xa thiết bị của người dùng.
- Ransomware – cho phép kẻ tấn công mã hóa hoặc phá hủy dữ liệu trên thiết bị.
- Bộ công cụ botnet – những kẻ tấn công có thể cài đặt trực tiếp một ứng dụng botnet thực hiện các hành động như gửi email spam hoặc tham gia DDoS.
- Dropper – phần mềm độc hại được xây dựng để load thêm malware mà không bị phát hiện
- Công cụ Man in the Middle (MitM) – cho phép những kẻ tấn công nghe trộm thông tin liên lạc của người dùng, chèn dữ liệu vào biểu mẫu, đánh cắp phiên và thông tin đăng nhập
- Keylogger – thực hiện thao tác nắm bắt tổ hợp phím. Cho phép kẻ tấn công có quyền truy cập vào mật khẩu hoặc dữ liệu nhạy cảm khác
- Truyền dữ liệu – các công cụ cho phép kẻ tấn công chuyển dữ liệu nhạy cảm đến trung tâm kiểm soát của nó, thường sử dụng các phương pháp như DNS tunneling.
Chia sẻ 6 cách bảo vệ phòng chống Drive-by Download
Lưu ý nhân viên luôn giữ các phần mềm được cập nhật
Biện pháp quan trọng nhất đối với người dùng để bảo vệ chính mình và mạng công ty là luôn giữ tất cả phần mềm được cập nhật phiên bản mới nhất, đặc biệt là phần mềm chống virus, các trình duyệt, add-on và plug-in trình duyệt bao gồm Java, Flash và Adobe Acrobat…
Việc đảm bảo sử dụng phiên bản mới nhất của trình duyệt, các thành phần mở rộng rất quan trọng. Bởi vì với một phiên bản trình duyệt cũ, các lỗ hổng đều có thể bị khai thác. Bộ phận IT phải đảm bảo phần mềm diệt virus luôn phải được cập nhật ít nhất mỗi ngày 01 lần. Có thể vào cuối hoặc đầu mỗi ngày làm việc; để luôn có cơ sở dữ liệu virus mới nhất bảo vệ máy tính và mạng.
Bạn nên cài đặt phần mềm lọc web an toàn
Các phần mềm lọc web có khả năng ngăn chặn người dùng tới các trang web đã bị đánh dấu là có mối nguy hại. Phần mềm dạng này có cơ chế để phát hiện một trang web không an toàn. Thông qua đó ngăn chặn người dùng kịp thời.
Cài đặt NoScript lên trình duyệt của bạn ngăn chặn Drive-by Download
NoScript là một add-on mã nguồn mở miễn phí. Nó cho phép chỉ các trang nào đáng tin cậy mà bạn đã đánh dấu; mới được chạy JavaScript, Java hay Flash. Chạy trình duyệt với NoScript cho Firefox giúp bạn ngăn chặn rất nhiều Drive-by Download.
Vô hiệu hóa Java để hạn chế tối đa nguy hiểm
Các chuyên gia khuyến cáo bạn nên vô hiệu hóa Java ngay lập tức. Thậm chí gỡ bỏ cài đặt Java ra khỏi hệ thống. Ít nhất là cho đến khi bản vá được phát hành để giải quyết vấn đề CVE-2011-3544. Đây là mã Java Applet độc hại lưu trữ trong một file Java Archive; cho phép applet chưa được đăng ký có khả năng truy cập không hạn chế chạy mã Java tùy ý.
Giữ các tab luôn BLADE – Ngăn chặn toàn bộ khai thác Drive-by Download
BLADE là viết tắt của Block All Drive-By Download Exploits – Ngăn chặn toàn bộ khai thác Drive-by Download. Đây là một hệ thống ngăn ngừa Windows mới. Nó có thể ngăn chặn khai thác Drive-by Download lây nhiễm trong các máy tính Windows thông qua lỗ hổng. Nó đang được phát triển bởi các chuyên gia nguyên cứu tại Georgia Tech and SRI International. BLADE v1.0 sẽ là một mẫu miễn phí và sẽ sớm gia mắt cho người dùng.
Khuyến khích không sử dụng tài khoản Admin cho mọi công việc
Với người dùng doanh nghiệp, các chuyên viên IT nên hạn chế không cung cấp tài khoản admin; cho người dùng. Còn với người dùng độc lập thì có thể tạo thêm tài khoản thường; để sử dụng khi làm việc hàng ngày. Tài khoản admin chỉ sử dụng khi cần thiết. Hạn chế sử dụng quyền admin sẽ giúp giảm nhẹ thiệt hại khi có vấn đề xảy ra.