(+84) 463.28.7979

Lỗ hổng của trang web hàng đầu thế giới đưa hàng triệu người dùng vào bóng ma DDoS


Các cuộc tấn công bởi một lớp ứng dụng hay còn gọi là “lớp 7” (layer 7) làm lan truyền các cuộc tấn công từ chối dịch vụ (Distributed Denial of Service – DDoS) là một trong những Phương thức tấn công website phức tạp nhất. Bóng ma DDoS tạo ra một lưu lượng truyền dẫn nhưng nhắm vào một số vùng websites cụ thể, khiến những vùng đó trở nên khó bị phát hiện và điều chỉnh.

Trong một diễn biến vào ngày hôm qua, Nhà cung cấp dịch vụ điện toán đám mây Incapsula đã phát hiện một cuộc tấn công DDoS với lớp ứng dụng đặc biệt đã được kích hoạt, sử dụng các kĩ thuật xâm nhập vào lưu lượng data. Các cuộc tấn công DDoS làm quá tải khách hàng của chúng với hơn 20 triệu yêu cầu GET, bắt nguồn từ những trình duyệt với hơn 22,000 người dùng Internet.

Điều khiến cho trường hợp này trở nên thú vị đó là cuộc tấn công này đã được kích hoạt nhờ vào lỗ hổng của giao thức Persistent XSS trên một trang web hàng đầu có độ phủ và quy mô bậc nhất thế giới – một trong những tên miền trong danh sách Top 50 của Alexa.

Từ lỗ hổng của giao thức Persistent XSS đến cuộc tấn công DDoS trên diện rộng

Incapsula chưa công bố tên của website chịu sự tấn công lần này vì lý do bảo mật, nhưng công ty đã mô tả website này như là một website cung cấp nội dung các video cho phép người dùng có thể đăng ký, đăng nhập bằng thông tin cá nhân của họ.

Cuộc tấn công DDoS này được kích hoạt bởi lỗ hổng của giao thức Persistent XSS (Cross site scripting), theo đó những kẻ tấn công có thể chèn các đoạn code Javascript có chứa mã độc vào những tag gắn với các hình ảnh đại diện.

Vì thế, mỗi khi người dùng truy cập vào các website trên các tên miền chứa lỗ hổng (ví dụ như các trang mà những kẻ tấn công đã để lại bình luận với các thông tin của chúng), ảnh đại diện của kẻ tấn công sẽ được tải về trên trình duyệt của người dùng và sẽ tự động chèn đoạn mã độc Javascript vào, đoạn mã độc này say đó sẽ biến thành một khung nội tuyến ẩn danh với địa chỉ thuộc về tên miền C&C của những kẻ tấn công DDoS.

Dẫn lời Incapsula, những kẻ tấn công đang sử dụng một công cụ DDoS dựa trên nền tảng Ajax-script, công cụ này buộc trình duyệt phải đưa ra lệnh DDoS với tần suất một lệnh/giây.

Hiển nhiên một lệnh/giây không phải là quá nhiều. Tuy nhiên trong trường hợp lệnh gửi đi được thực hiện trên một video dài 10, 20 hay 30 phút với hàng nghìn lượt xem mỗi phút, cuộc tấn công có thể nhanh chóng lan ra trên diện rộng  và cực kì nguy hiểm”, một nghiên cứu cho hay.

Để đấy mạnh tốc độ và phạm vi của tấn công DDoS, những kẻ tấn công thường đã đăng những bình luận đã được chuẩn bị theo chiến lược từ trước trên các trang web cung cấp video phổ biến, tạo ra các botnet có thể tự sinh sôi trên hàng chục nghìn trình duyệt đã bị tấn công, được vận hành bởi những người dùng vô tư đơn thuần chỉ lên mạng xem vài video về các chú mèo nhỏ.

Đánh chặn cuộc tấn công

Cuộc tấn công nói trên đã bị ngăn lại bởi các thuật toán bảo mật dựa trên hành vi và các pha lũy tiến của Incapsula, khiến cho việc đánh chặn trở nên hiệu quả hơn bởi những hành vi có thể dự đoán trước được dựa vào công cụ DDoS. “Bằng việc đánh chặn những lệnh có chứa mã độc, chúng tôi cũng có thể lần ra được nguồn tấn công. Khi thay thế nội dung của URL mục tiêu với một đoạn Javascript có chứa thông tin về nguồn ban đầu, chúng tôi có thể lần ra được website đang bị tấn công.”

Các nhà nghiên cứu cũng đề cập đến vấn đề những kẻ tấn công đằng sau những vụ DDoS gần đây đã nâng cấp công cụ DDoS của họ lên một phiên bản mới ưu việt hơn. “Điều này dễ khiến chúng cho rằng những gì chúng ta đã chứng kiến hôm qua chỉ là môt phần của một cuộc kiểm thử POC”. Incapsula đã nhanh chóng tìm ra lỗ hổng trên trang web cung cấp video và hỗ trợ trong việc vá lại những lỗ hổng đó.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>