Các nhà nghiên cứu bảo mật vừa phát hiện chủ nhân của một bonet có thể gửi lệnh đến các máy tính bị kiểm soát thông qua các file hình JPEG. Kỹ thuật mới này nhằm che giấu traffic của malware thoát khỏi sự phát hiện của các phần mềm “quét” mạng.
Phương pháp này bị phát hiện khi Jason Milletary, một nhà nghiên cứu bảo mật của SecureWorks, đang phân tích một botnet có tên gọi Monkif hoặc DlKhora. Botnet này hoạt động như một kênh phát tán malware.
Các dịch vụ phát tán malware thường phổ biến trên thị trường chợ đen, nhà cung cấp dịch vụ này được trả một ít tiền cho mỗi máy tính bị lây nhiễm malware. Người tạo nên các trojan download này phải đảm bảo sự hoạt động của chúng không bị các phần mềm quét phát hiện, do đó phải sử dụng các kỹ thuật chống phát hiện.
Milletary lưu ý rằng, để tăng cường hiệu quả vô hiệu hóa các phần mềm chống virus và tường lửa, botnet này còn che giấu traffic Internet của nó dưới dạng chuyển tải file JPEG. Máy chủ điều khiển và chỉ thị thay đổi header HTTP Content-Type thành ‘image/jpeg’ và mở đầu các chỉ thị bằng một header JPEG 32-byte giả mạo.
Khi file JPEG giả dạng được tải về máy tính, bot sẽ tách ra khỏi header và bắt đầu giải mã phần còn lại vốn được mã hóa XOR bằng một byte đơn 0×4. Các chỉ thị được SecureWorks theo dõi, ra lệnh cho bot cài một trojan click-gian-lận xuất hiện dưới dạng một BHO-Browser Helper Object.
Botnet không khó khăn khi nhồi nhét các chỉ thị để có được kích thước thông thường của một file JPEG. Ngoài ra, dữ liệu cũng không được phân tích đối với một file JPEG thông thường. Những đặc điểm này có thể giúp đưa ra phương pháp chung để phát hiện traffic bằng cách nhận diện các dữ liệu hình ảnh trá hình.
Theo nghiên cứu về “kinh tế thế giới ngầm” của Kaspersky, người phát triển adware trả tiền cho chủ nhân bonet khoảng 0,03-1,5 USD/cài đặt. Chi phí cài đặt malware vào máy tính đã bị xâm nhập còn tùy vào vị trí địa lí, ví dụ đối với các hệ thống ở Trung Quốc giá khoảng 3 USD, còn với các máy tính ở Mỹ giá có thể lên đến 120 USD.
softpedia
- Google Chrome 4 Dev Channel, một vì sao đang lên sẽ đẩy lùi thời hoàng kim của Mozilla Firefox vào bóng tối ?
- Microsoft Office phiên bản web sẽ không hỗ trợ các trình duyệt Chrome và Opera
- Secure Browser: Trình duyệt bảo mật của Dell, mới hoàn toàn hay sử dụng lại mã nguồn của ai ?
- Giới thiệu 8 phần mềm antivirus miễn phí tốt nhất năm 2010
- Chrome 6: Bản 6.0.401.1 dev channel đã cho tải về xài. Sự tiến bộ hay chỉ là đánh bóng tên tuổi ?
- Viewsonic công bố màn hình LED thân thiện môi trường với VX2250wm-LED. Đẹp quá !
- Vài thủ thuật hiện hai phụ đề thú vị với KMP
- Immunet Protect 2: Ứng dụng Windows đầu tiên tích hợp nhiều engine quét malware và virus trong một phần mềm
- uTorrent 2.2 đã có “kho” ứng dụng. Là như thế nào ?
- Free Online TV Player 2.0.0.8: Phần mềm xem TV truyền hình trực tuyến, hơn 750 kênh miễn phí
Các tin khác
- Symantec phát hiện botnet đầu tiên nhắm vào Mac OS X
- Các công ty bảo mật Arbor Networks và Symantec phát hiện bonet trên Twitter
- Người Canada phát hiện một mạng lưới gián điệp máy tính có qui mô lớn từ Trung Quốc
- Lầu Năm Góc tốn hơn 100 triệu USD để làm sạch hệ thống máy tính sau các cuộc tấn công
- Microsoft cảnh báo lổ hổng zero-day của PowerPoint
- Gián điệp đã xâm nhập mạng lưới điện của Mỹ
- Có thể sử dụng các bản cập nhật phần mềm để phát tán phần mềm độc hại malware thông qua Wi-Fi công cộng
- Win32.Induc: Virus mới lây nhiễm vào các phần mềm được viết bằng Delphi
- Bạn có nhận ra một vài ứng dụng Facebook đang được sử dụng để đánh cắp dữ liệu của bạn ?
- Google tiết lộ Caffein: Công nghệ tìm kiếm thế hệ mới
