Mổ xẻ thủ đoạn lây lan của siêu virus Flamer
Xe++ - Ngày đăng : 11:03, 05/06/2012
Theo hãng bảo mật Symantec, về nguyên tắc, Flamer không tự động lây lan trừ phi có sự can thiệp và ra lệnh của những kẻ tấn công. Dưới đây là những phương pháp mà tội phạm mạng sử dụng đã bị bộ phận phản ứng bảo mật của Symantec phát hiện – hầu hết những thủ đoạn này đều đã từng được biết đến, tuy nhiên, thủ đoạn cuối cùng mà chúng sử dụng thì các chuyên gia chưa từng thấy và điều đó thực sự thú vị bởi nó sử dụng những điểm kết nối (junction points):
• Lợi dụng tính năng chia sẻ mạng để nắm giữ những thông tin quan trọng, trong đó có cả thông tin về Quản trị tên miền
• Khai thác lỗ hổng Thực thi mã lệnh từ xa cho dịch vụ nạp lệnh in trong Microsoft Windows (Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability – CVE-2010-2729), đã từng được virus Stuxnet sử dụng trước đó
• Thông qua một thiết bị lưu trữ rời (removable media) có sử dụng tệp tin autorun.inf được viết lại, thủ đoạn này cũng đã được sử dụng bởi Stuxnet
• Sử dụng các ổ đĩa rời trong đó có 1 thư mục đặc biệt cho phép ẩn các tệp tin. Điều này có thể gây ra khả năng tự thực thi các tệp tin đó khi người dùng hiển thị nội dung trong ổ USB và khi máy tính của người dùng tồn tại lỗ hổng Tự động thực thi tệp tin shortcut LNK/PIF trong Microsoft Windows (Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability – CVE-2010-2568), một lỗ hổng đã từng bị khai thác bởi Stuxnet.
“Flamer thực sự là một mã độc phức tạp và có quy mô lớn. Chắc chắn giới bảo mật sẽ còn phải nghiên cứu và phân tích thêm nữa để khám phá ra các thủ đoạn tinh vi và những kỹ thuật lắt léo mà hacker đã sử dụng cho virus này”, Symantec kết luận.