Trong năm 2011, các tội phạm mạng tiếp tục trò chơi bằng việc tạo ra các mạng lưới phần mềm độc hại – các cơ sở hạ tầng mạng bị khai thác mà tận dụng những nơi phổ biến trên internet như các công cụ tìm kiếm hay các trang mạng xã hội để liên tục tạo ra hang loạt những cuộc tấn công phầm mềm độc hại.

Công ty bảo mật Blue Coat Sytems đã bắt đầu theo dõi các mạng phần mềm độc hại trong năm vừa qua. Trong báo cáo bảo mật năm 2012 của công ty này. Blue Coat nhấn mạnh rằng các cơ sở hạ tầng mạng lưới độc hại cho phép các tội phạm mạng tung ra hang loạt các cuộc tấn công bùng nổ mà các giải pháp chống virus thông thường không thể phát hiện trong nhiều ngày hoặc thậm chí nhiều tháng. Báo cáo chỉ ra một phần mềm độc hại đã thay đổi địa điểm hơn 1.5000 lần/ngày chỉ trong tháng 2 năm 2012.

Ông Sasi Murthy, Giám đốc cấp cao về Marketing sản phẩm của Blue Coat cho CIO.com biết, họ đã kiểm tra khoảng 500 mạng lưới phần mềm độc hại, tuy nhiên một số mạng lưới chỉ rất nhỏ, nhưng một số khác lại mang tính chất toàn cầu. Rất nhiều mạng lưới không hoạt động trong nhiều năm và đó chính là một cách lảng tránh luật một cách hiệu quả.

Theo Blue Coat, mạng lưới  phần mềm độc hại lớn nhất chính là Shnakule. Nó được khai thác trên toàn Bắc Mỹ, Nam Mỹ, Châu Âu và Châu Á. Mọi hoạt động của nó được thực hiện qua các lần tải về tình cờ, AV giả, codecs, các cập nhật Flash và Firefox, các kiểm soát CnC, chơi bạc...Trong tháng 7 vừa qua, mạng lưới này còn mở rộng hoạt động sang cả quảng cáo có hại.

Các mạng lưới độc hại hoạt động như thế nào

Các mạng lưới độc hại là một bộ sưu tập của vài nghìn domain, server hay website riêng biệt được thiết kế để cùng nhau lừa các nạn nhân tải các phần mềm độc hại – thường xuyên sử dụng các các đáng tin cậy như một điểm bắt đầu. Blue Coat cho rằng các tội phạm mạng có thể nhanh chóng tung ra các cuộc tấn công mới thu hút rất nhiều nạn nhân tiềm năng trước khi các chính sách bảo mật có thể nhận ra và ngăn chặn chúng.

Murthy cho biết: “ Có rất nhiều các trang web  hợp pháp đang thực sự bị lây nhiễm. Trong một số trường hợp, bạn vào một trang web hợp pháp với gần 70% nội dung độc hại”.

Có lẽ cách phổ biến nhất để lừa những người sử dụng ngây thơ là công cụ tìm kiếm độc hại (SEP). Đây là một công cụ sử dụng các kỹ thuật tìm kiếm tối ưu (SEO) để đưa các trang độc hại vào các kết quả tìm kiếm thông thường.

Murthy nói: “ Trong năm 2011, khoảng 1 trong 142 các tìm kiếm hoặc là dẫn đến các đường link độc hại. Khi bạn  nhận ra các yêu cầu tìm kiếm quan trọng như thế nào với tất cả chúng ta, đó chính là lúc đáng sợ nhất”.

Blue Coat cho biết, mỗi cuộc tấn công sử dụng những trang mạng đáng tin khác nhau để lừa người sử dụng. Một vài cuộc tấn công thậm chí không sử dụng các server relay. Một khi người sử dụng mắc bẫy, họ sẽ bị đưa ngay đến các server có thể xác định hệ thống của người dung hay các lỗ hổng ứng dụng và sử dụng những thông tin đó để tải về một phần mềm độc hại.

Mặc dù các công cụ/cổng tìm kiếm, và email vẫn là mục tiêu hàng đầu của các tội phạm mạng, nhưng trong năm 2011 các trang mạng xã hội cũng ngày càng lọt vào tầm ngắm .Blue Coat cho biết, các nhà điều hành mạng lưới độc hại đi theo chiến lược chi phí đầu tư thấp nhưng hiệu quả cao, và các cổng/công cụ tìm kiếm và các trang mạng xã hội đã mang lại cho họ rất nhiều nạn nhân tiềm năng. Tuy nhiên, đó không phải là toàn bộ nạn nhân. Các nhà điều hành mạng lưới độc hại thích giấu những yêu cầu tải độc hại của họ trong những hình ảnh rõ rang và các trang lưu trữ online và các trang tải phần mềm đang đặc biệt được quan tâm vì các tệp tin lưu trữ là một phần mô hình kinh doanh của họ. Blue Coat cho biết, trong năm 2011, 74% tất cả các thứ hạng mới trong lưu trữ online là độc hại.

Các phương pháp bảo vệ tốt nhất

Liên quan đến bản chất của những mối đe dọa, các tổ chức công nghệ thông tin phải làm gì để bảo vệ chính họ và nhân viên??? Blue coat đưa  ra 6 gợi ý tốt nhất như sau:

1.      Hãy nắm rõ và kiểm tra hoạt động của bạn thường xuyên. Việc xem lại lưu lượng trên mạng lưới của bạn có thể giúp bạn nhận ra các hành vi bất thường. Nếu bạn thấy nhiều lưu lượng không rõ rang từ một máy tính trên mạng lưới của bạn, đó có thể là một dấu hiệu cho thấy bạn có vấn đề.

2.      Khóa tất cả các nội dụng không xác thực từ những miền vô danh. Nếu nội dung không được xác định đang có ý định tải về thì nhiều khả năng nó độc hại.

3.      Hãy đưa ra những chính sách xung quanh các danh mục nguy hiểm và nguy hiểm tiềm ẩn. Khi bạn nghi ngờ một số danh mục nào đó, hoặc là khóa chúng hoặc ít nhất ngăn chặn các khả năng. Các danh mục có độ nguy hiểm cao bao gồm các trang cờ bạc, trang hack, các miền khiêu dâm và các trang ngăn chặn proxy. Các danh mục nguy hiểm khác bao gồm các tải về phần mềm, các nội dung mở/hỗn tạp, các lưu trữ online, các quảng cáo web, các nội dung không thể xem được hoặc các miền DNS chức năng.

4.      Khóa tất cả các trao đổi không có SSL có xu hướng sử dụng cổng 443. Blue Coat cho biết rất nhiều chương trình sử dụng một mã hóa tùy chỉnh qua cổng 443 để tránh bị phát hiện khi đến các servers kiểm soát. Cá tổ chức có thể tăng cường đề phòng bằng việc sử dụng một thiết bị proxy cung cấp khả năng phát hiện trong SSL qua cổng 443 và bằng việc khóa tất cả những trao đổi không phải SSL muốn sử dụng cổng.

5.      Các giải pháp lớp ngăn cách virus ở máy để bàn và gateway. Bằng việc triển khai nhiều công cụ chống virus trên toàn hệ thống, bạn có thể tăng khả năng một phần mềm độc hại bị một công cụ bỏ qua sẽ bị khóa bởi một công cụ khác.

6.      Sử dụng các ứng dụng dạng hạt và điều khiển hoạt động ngoài công nghệ chọn lọc web để giảm thiểu các rủi ro cho mạng xã hội. Murthy chỉ ra rằng các trang mạng xã hội đã mở rộng đến mức trở thành “ Internet trong internet” gần như một loại môi trường tự dung trong đó người dung có thể làm mọi việc họ sẽ làm trong thế giới Internet rộng lớn hơn. Bởi vậy, các doanh nghiệp cần những phân tích và kiểm soát chi tiết ngoài phạm vi các trang mạng x ã hội để bao gồm cả các dứng dụng web cá nhân và nội dung trong các trang web đó.