Bật mí 6 cách có thể ngăn chặn Drive-by Download

1,336
Bật mí 6 cách có thể ngăn chặn Drive-by Download

Hầu hết mọi người không nghĩ quá nhiều về các trang web mà họ đã truy cập, họ có thể nhấp vào chúng một cách nhanh chóng và họ không quan tâm nhiều đến việc liệu liên kết có chuyển hướng họ hay không hoặc liệu một giao thức an toàn có được sử dụng hay không. Thông thường, đây không phải là vấn đề, nhưng nếu bạn tình cờ truy cập một trang web bị nhiễm độc hại, hệ thống của bạn có thể sớm bị nhiễm theo bởi một mối đe dọa an ninh mạng được gọi chung là Drive-by Download.

Trong bài viết dưới đây, chúng tôi sẽ chia sẻ cho bạn về định nghĩa Drive-by Download là gì và những thiệt hại mà nó có thể gây ra, đồng thời giới thiệu một số cáchc có thể được sử dụng để giảm thiểu rủi ro.

Định nghĩa Drive-by Download

Drive-by download đề cập đến việc tải xuống tự động phần mềm vào thiết bị của người dùng mà người dùng không biết hoặc không đồng ý. Điều này có thể xảy ra khi người dùng duyệt qua một trang web hợp pháp hoặc thậm chí hiển thị quảng cáo độc hại trên một trang web an toàn khác.

Tất cả các loại Drive-by Download đều khai thác các lỗ hổng trong trình duyệt web, hệ điều hành, Java hoặc trình chỉnh sửa tệp và trình xem như Microsoft Office và Adobe Flash.

Drive-by Download đề cập đến việc tải phần mềm tự động xuống thiết bị của người dùng mà người dùng không hay biết
Drive-by Download đề cập đến việc tải phần mềm tự động xuống thiết bị của người dùng mà người dùng không hay biết

Cách hoạt động của Drive-by Download

Trong một tình huống tấn công điển hình; mục tiêu của kẻ đe dọa là xâm nhập máy của nạn nhân và đưa nó vào mạng botnet. Thông qua vi phạm bảo mật ban đầu này; kẻ tấn công có thể tận dụng quyền kiểm soát thiết bị của người dùng như sau:

Lây nhiễm

Kẻ tấn công nhúng hoặc đưa phần tử độc hại vào một trang web bị xâm phạm. Đây có thể là mã JavaScript, iFrame, liên kết, chuyển hướng, quảng cáo ác ý (quảng cáo kích hoạt mã độc khi được xem hoặc nhấp vào) hoặc Cross-site scripting (XSS).

Khai thác lỗ hổng bảo mật

Người dùng xem trang, kích hoạt phần tử độc hại. Phần tử khai thác lỗ hổng trong phần mềm trên máy tính của người dùng. Đó có thể là trình duyệt, plugin trình duyệt, hệ điều hành, công cụ lưu trữ như WinZIP, trình đọc file như Adobe PDF, những nền tảng phân phối đa phương tiện cũ như Adobe Flash hoặc Microsoft Silverlight hay các lỗ hổng trong phiên bản Java được cài đặt trên thiết bị của người dùng.

Tải xuống

Phần tử tải âm thầm các file độc hại xuống thiết bị của người dùng. Trong ví dụ này, payload là một Trojan horse. Những kẻ tấn công có thể sử dụng các payload khác, như được thảo luận trong phần sau.

Thực thi

Trojan horse thực thi; mở một shell mà kẻ tấn công có thể sử dụng để giành quyền kiểm soát thiết bị.

Điều khiển từ xa

Kẻ tấn công có được quyền điều khiển từ xa. Điều này cho phép chúng trích xuất mật khẩu hoặc dữ liệu có giá trị khác từ thiết bị của người dùng.

Mở rộng địa bàn khai thác (Lateral movement)

Kẻ tấn công hiện có thể sử dụng thông tin đăng nhập có được từ thiết bị của người dùng để kết nối với một hệ thống khác có giá trị hơn; chẳng hạn như trang web hoặc mạng của công ty.

Cách ngăn chặn cuộc tấn công DDoS với Nginx

Các loại Drive-by Download

Những kẻ tấn công có thể sử dụng Drive-by Download để triển khai nhiều ứng dụng độc hại trên thiết bị của nạn nhân. Chúng có thể bao gồm:

– Trojan Horse, backdoor hoặc rootkit – cung cấp khả năng điều khiển từ xa thiết bị của người dùng.

– Ransomware – cho phép kẻ tấn công mã hóa hoặc phá hủy dữ liệu trên thiết bị.

– Bộ công cụ botnet – những kẻ tấn công có thể cài đặt trực tiếp một ứng dụng botnet thực hiện các hành động như gửi email spam hoặc tham gia DDoS.

– Dropper – phần mềm độc hại được xây dựng để load thêm malware mà không bị phát hiện

– Công cụ Man in the Middle (MitM) – cho phép những kẻ tấn công nghe trộm thông tin liên lạc của người dùng, chèn dữ liệu vào biểu mẫu, đánh cắp phiên và thông tin đăng nhập

– Keylogger – thực hiện thao tác nắm bắt tổ hợp phím, cho phép kẻ tấn công có quyền truy cập vào mật khẩu hoặc dữ liệu nhạy cảm khác

– Truyền dữ liệu – các công cụ cho phép kẻ tấn công chuyển dữ liệu nhạy cảm đến trung tâm kiểm soát của nó, thường sử dụng các phương pháp như DNS tunneling.

Cách ngăn chặn cuộc tấn công DDoS với Nginx
Cách ngăn chặn cuộc tấn công DDoS với Nginx

6 cách bảo vệ phòng chống Drive-by Download

Khuyến khích nhân viên (và bản thân mình) luôn giữ các phần mềm được cập nhật.

Biện pháp quan trọng nhất đối với người dùng để bảo vệ chính mình và mạng công ty là luôn giữ tất cả phần mềm được cập nhật phiên bản mới nhất; đặc biệt là phần mềm chống virus; các trình duyệt; add-on và plug-in trình duyệt bao gồm Java; Flash và Adobe Acrobat…

Việc đảm bảo sử dụng phiên bản mới nhất của trình duyệt và các thành phần mở rộng là rất quan trọng bởi vì với một phiên bản trình duyệt cũ; các lỗ hổng đều có thể bị khai thác.

Bộ phận IT phải đảm bảo phần mềm diệt virus luôn phải được cập nhật ít nhất mỗi ngày 01 lần (có thể vào cuối hoặc đầu mỗi ngày làm việc) để luôn có cơ sở dữ liệu virus mới nhất bảo vệ máy tính và mạng.

Cài đặt phần mềm lọc web

Các phần mềm lọc web có khả năng ngăn chặn người dùng tới các trang web đã bị đánh dấu là có mối nguy hại. Phần mềm dạng này có cơ chế để phát hiện một trang web không an toàn; thông qua đó ngăn chặn người dùng kịp thời.

Cài đặt NoScript lên trình duyệt của bạn

NoScript là một add-on mã nguồn mở miễn phí; nó cho phép chỉ các trang nào đáng tin cậy mà bạn đã đánh dấu mới được chạy JavaScript; Java hay Flash.

Chạy trình duyệt với NoScript cho Firefox giúp bạn ngăn chặn rất nhiều Drive-by Download.

Vô hiệu hóa Java

Các chuyên gia khuyến cáo bạn nên vô hiệu hóa Java ngay lập tức thậm chí gỡ bỏ cài đặt Java ra khỏi hệ thống; ít nhất là cho đến khi bản vá được phát hành để giải quyết vấn đề CVE-2011-3544. Đây là mã Java Applet độc hại lưu trữ trong một file Java Archive; cho phép một applet chưa được đăng ký có khả năng truy cập không hạn chế để chạy mã Java tùy ý.

Giữ các tab luôn BLADE

BLADE là viết tắt của Block All Drive-By Download Exploits – Ngăn chặn toàn bộ khai thác Drive-by Download – là một hệ thống ngăn ngừa Windows mới; có thể ngăn chặn khai thác Drive-by Download lây nhiễm trong các máy tính Windows thông qua lỗ hổng. Nó đang được phát triển bởi các chuyên gia nguyên cứu tại Georgia Tech and SRI International. BLADE v1.0 sẽ là một mẫu miễn phí và sẽ sớm gia mắt cho người dùng.

Không sử dụng tài khoản Admin cho mọi công việc

Với người dùng doanh nghiệp; các chuyên viên IT nên hạn chế không cung cấp tài khoản admin cho người dùng. Còn với người dùng độc lập thì có thể tạo thêm tài khoản thường để sử dụng khi làm việc hàng ngày; tài khoản admin chỉ sử dụng khi cần thiết.

Hạn chế sử dụng quyền admin sẽ giúp giảm nhẹ thiệt hại khi có vấn đề xảy ra.

Nguồn: quantrimang.com

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *