(VnMedia) - Các dịch vụ phân tích phần mềm độc hại trong đám mây của các phần mềm diệt virus có thể được bị chuyển hướng để phục vụ cho mục đích của tin tặc. Một kịch bản tương tự đối với các thiết bị đã ngắt kết nối mạng Internet.
Đám mây (Cloud) và phần mềm diệt virus (antivirus) có vẻ không “hợp” nhau, đó là điều mà hai nhà nghiên cứu Itzik Kotler và Amit Klein của SafeBreach chỉ ra tại hội nghị Black Hat USA 2017. Ngày càng nhiều các nhà cung cấp phần mềm diệt virus nhập các phân tích phần mềm độc hại của họ trong đám mây vì họ cho là «hiệu quả». Khi phần mềm cài trong thiết bị quét một ứng dụng lạ và có nguy cơ độc hại, phần mềm đó, theo cách phổ biến, sẽ gửi đến các máy chủ của nhà xuất bản để tiến hành phân tích kỹ ứng dụng đó.
|
Thông thường, mã nghi ngờ sẽ được đưa vào một máy ảo để quan sát hành vi của nó. Nhưng phương pháp mới này cũng có mặt trái của nó. Hai nhà nghiên cứu trên đã chỉ ra rằng phân tích trong đám mây cung cấp cho tin tặc một cách mới để đánh cắp những dữ liệu bảo mật từ máy tính của một tổ chức, thậm chí ngay cả trong trường hợp máy tính này ngắt một phần hoặc hoàn toàn kết nối với Internet.
Các hacker tung ra một phần mềm gián điệp mà các nhà nghiên cứu gọi là Rocket trên một thiết bị tương tự như máy tính của một tổ chức. Phần mềm này sẽ thu thập các dữ liệu có liên quan và tích hợp chúng vào phần mềm độc hại thứ hai với tên gọi “Satellite”. Phần mềm thứ hai sẽ được cài vào thiết bị của người dùng (tổ chức) nhưng nó dễ dàng bị phát hiện. Phần mềm diệt virus cài trên thiết bị sẽ tiến hành kiểm tra phần mềm này và gửi nó - trực tiếp hay gián tiếp - đến các máy chủ đám mây của nhà xuất bản nơi phần mềm sẽ chạy trên một máy ảo. Nếu máy ảo kết nối với mạng Internet, phần mềm “Satellite” sẽ có thể bí mật chuyển các dữ liệu đến cho tin tặc.
Các nhà nghiên cứu đã thử chạy kỹ thuật này trên khoảng 10 phần mềm diệt virus. Bốn trong số chúng đã bị «tổn thương» : Avira Antivirus Pro, Eset NOD32 Antivirus, Comodo Client Security và Kaspersky Total Security 2017. Ba phần mềm đầu tiên đã đưa ra bản vá cho dịch vụ phân tích trong đám mây của họ, điều này không có nghĩa rằng nguy hiểm đã bị loại bỏ. Trong các thử nghiệm của họ, các nhà nghiên cứu lọc và lấy dữ liệu từ máy ảo với kỹ thuật khá đơn giản dựa trên truy vấn HTTP hoặc DNS. Rất có thể sẽ có những cách tinh vi hơn có thể vượt mặt các bản vá lỗi.
Về phần mình Kaspersky quyết định không làm gì cả. Nhà sản xuất này giải thích rằng các công ty đang lo sợ các cuộc tấn công tương tự có thể thiết lập riêng một máy chủ phân tích Kaspersky để không phải phụ thuộc vào dịch vụ đám mây của họ. Nhưng điều đó chưa giải quyết tận gốc vấn đề, vì máy chủ này có nguy cơ tiến hành cùng kiểu phân tích và có khả năng cũng chạy phần mềm độc hại trong một máy ảo kết nối với mạng Internet.
Tất nhiên, khách hàng trong trường hợp này có thể chặn tất cả các kết nối Internet của máy ảo. Đây là điều hai nhà nghiên cứu khuyên họ nên làm. Nhưng đây chưa phải là giải pháp lý tưởng, bởi vì khách hàng có nhu cầu để bảo mật các dữ liệu của họ sẽ buộc phải giảm tính hiệu quả của phần mềm phát hiện virus mà họ đang cài đặt. Điều này sẽ có thể dẫn đến nhiều nguy cơ khác.
Phạm Lê - Quế Anh (01net)
Ý kiến bạn đọc