Trao đổi với tôi

http://www.buidao.com

10/17/09

[Virus] Sự phát triển của Spam - Phần 1: Những mánh khóe mới

Link:http://www.quantrimang.com.vn/baomat/virus-spyware/42727_Su-phat-trien-cua-Spam-Phan-1-Nhung-manh-khoe-moi.aspx

Cập nhật lúc 13h45' ngày 27/12/2007

Trong khi bạn đang ngủ ngon giấc thì máy tính của bạn có thể đang làm việc như là một máy chủ spam hay điểm nút của mạng ngang hàng, cung cấp nguồn xử lý cho một mạng malware lôi kéo bất kỳ một dạng hoạt động phạm tội trực tuyến nào.

Spam được sử dụng bởi những kẻ khai thác botnet dưới nhiều hình thức mới đa dạng (như ẩn đăng sau sự phát tán Storm – một loại lai spam-malware) nhằm xây dựng các mạng robot phân tán (hay còn gọi là botnet), khiến cho máy tính của người nhận spam trở thành “zombie” trong mạng. Các zombie này kết hợp lại với nhau thành một “đội quân” và chúng có một khả năng cạnh tranh lớn đôi khi vượt trên cả những siêu máy tính mạnh nhất.

Vấn đề càng khó giải quyết hơn khi các giao dịch hợp pháp, chế độ điều chỉnh và thực thi được kết hợp với nhau.

Biến đổi nhanh hơn

Storm là sự kết hợp giữa spam và malware và ước tính chúng đã lây lan sang khoảng 10 triệu máy tính, con số này sẽ còn tiếp tục tăng lên trong thời gian tới. Tuy nhiên, hiện nay vẫn không có cách nào để biết được có bao nhiêu máy tính cùng bị nhiễm trong cùng một thời điểm.

Sự phát triển nhanh chóng của tốc độ lây lan cho thấy một điều là độ phức tạp lẫn quy mô của những kẻ phát tán botnet hiện nay đang ngày một thay đổi.

Spam ngày càng trở nên tinh vi phức tạp hơn. Chỉ trong vòng 12 tháng qua nó đã thấy thay đổi đột biến, chúng phát triển bằng cả một thập kỉ trước. Vì vậy quan trọng nhất là các phương pháp dò tìm cần phải phát triển nhanh để theo kịp những công nghệ spam mới sau này.

Việc phát hiện spam và ngăn chặn nó một cách khoa học phải được thúc đẩy nhanh hơn và duy trì lâu hơn.

Các chương trình chống spam phải được triển khai nhiều giải pháp đa dạng để đồng thời vừa duy trì mức độ bảo vệ cũng như các công cụ. Điều này đồng nghĩa với việc tăng thêm thời gian xử lý thông qua nhiều công cụ, việc tăng thêm giá thành sản phẩm dịch vụ hay thiết bị của các hãng và việc mở rộng tiềm năng tăng tỉ lệ xác định lỗi.

Sự trỗi dậy của Storm

Sau một thời gian yên lặng, các cuộc tấn công spam theo xu hướng Storm lại ồ ạt một lần nữa cảnh báo các nhà nghiên cứu bảo mật. Spam liên kết tới các tập tin âm thanh MP3, video của YouTube và các tài liệu pdf của Adobe được dùng để đánh lừa người nhận tải xuống các tập tin đính kèm bị nhiễm virut hoặc khi người dùng ghé thăm các trang web có chứa malware, nguy hiển hơn nữa là việc lây lan qua các máy tính và đưa chúng vào trong mạng được kiểm soát từ xa.

Làn sóng phát triển mới nhất này dựa trên một cuộc công kích spam theo xu hướng Storm đã diễn ra trước đây. Nó dẫn người nhận rơi vào một hệ thống kinh doanh lừa đảo nhằm thu thập các thông tin từ người dùng.

Theo Kaspersky thì đây là loạt spam thư điện tử đầu tiên sử dụng các tập tin đồ họa đặc biệt có chứa âm thanh nền (như các file .pdf của Adobe) nhằm qua mặt các hệ thống lọc spam.

Kẻ tạo ra Storm và spam còn hiểm độc hơn khi “ăn theo” những sự kiện hoặc các đề tài vào đúng thời điểm (như khiêu vũ với những bộ xương nhân dịp Halloween, các loại thuốc rẻ, thông báo chào hàng liên kết tới video phổ biến trên YouTube, thiệp chúc mừng và các quảng cáo dịch vụ..) nhằm mục đích thu hút người nhận mở các tập tin đính kèm hoặc liên kết tới các trang web không an toàn.

Nhìn chung những kẻ spam Storm cũng liên tục thay đổi cách tránh các bộ lọc spam và phòng thủ an ninh trên các máy tính hay mạng khác.

Các nhà nghiên cứ tại Kaspersky cũng đưa ra đánh giá trong một thông báo về danh sách virus gần đây rằng “Kẻ phát tán spam một lần nữa tạo ra vài kiểu tấn công nhằm đổi mới công nghệ sử dụng khi tạo ra các file đính kèm đồ hoạ trong email spam (spam ảnh) trong suốt 6 tháng đầu năm 2007

Spam ảnh là một vấn đề rất lớn bởi hai lý do chính:

Đầu tiên là việc nhận dạng đơn giản một bức ảnh không phải lúc nào cũng đem lại hiệu quả. Chỉ cần thay đổi một vài pixel điểm ảnh thì sẽ phá vỡ sự nhận dạng truyền thống. Có hàng triệu thay đổi có thể áp dụng mà không hề làm ảnh hưởng tới nội dung ảnh.

Thứ hai là kẻ phát tán spam sử dụng các liên kết tới ảnh được đặt trên nhiều website. Bản thân ảnh đó không nằm trong email cho đến khi nó được mở ra. Ảnh có thể lưu trữ trên những website của các công ty lớn đã bị chúng kiểm soát và botnet sử dụng hàng triệu địa chỉ email hợp pháp để chuyển thư.

Khả năng thích nghi phục hồi

Mặc dù không thường công khai đe dọa như việc nhúng vào mã code nhằm xóa bỏ ổ cứng, vô hiệu hóa máy tính hoặc cài đặt keylogger để bắt dữ liệu bí mật như mật khẩu, nhưng sâu Storm hay Trojan cũng đã chứng minh được rằng chúng là loại malware dễ thích nghi nhất.

Spam Storm đã chứng tỏ khả năng thích nghi và việc tự thay đổi mã một cách cực kỳ nhanh chóng dựa trên bộ lọc spam hay những phòng thủ khác mà chúng gặp phải trong khi đang cố gắng xuyên qua lớp bảo vệ mạng hoặc máy tính.

Storm sử dụng các kỹ thuật lập trình phức tạp để tự động đóng gói lại chính mình. Điều này cũng tương tự như ai đó thay đổi trang phục 5 phút một lần trong một bữa tiệc nhỏ. Bản chất bên trong thì vẫn vậy nhưng bề ngoài thì đã được thay đổi. Những kẻ tạo ra Storm luôn theo dõi cách chúng bị phát hiện ra và sau đó đưa ra các kế hoạch phản công mới.

Chính sự gan lỳ của các kẻ lập trình Storm trong việc lẩn tránh sự dò tìm mà đã tạo ra một phần mềm có hại cao cấp.

Đây chỉ là một cách đơn giản trong rất nhiều cách botnet sử dụng để gửi spam. Về cơ bản, Storm không spam tốt hơn các botnet khác. Nhưng nó tốt hơn ở chỗ tự cài đặt và phóng tránh sự dò tìm.

Theo Ecommerce Times