Lợi dụng mạng Wi-Fi để điều khiển malware
Giao thức dựa trên quá trình trao đổi các gói dữ liệu giữa máy khách (client) và điểm truy cập (access point) trước khi tiến hành tiến trình xác thực (authenticate) hay kết nối (associate) với nhau. Tuy nhiên, các thiết bị bảo mật mạng thường không giám sát quá trình trao đổi thông tin này.
Sau thời gian nghiên cứu, nhà nghiên cứu của Trustwave đã phát triển một công cụ (ở mức mô hình) mang tên Smuggler, có khả năng làm cho các gói dữ liệu "nói chuyện" được với malware.
Thực tế cho thấy, các công ty thường đầu tư nhiều ngân sách cho hệ thống phát hiện xâm nhập, tường lửa, hệ thống chống thất thoát dữ liệu và các thiết bị bảo mật khác để phát hiện và ngăn chặn lưu lượng Internet đáng ngờ trong và ngoài mạng. Việc ngăn chặn các chương trình malware giao tiếp với kẻ tấn công cũng quan trọng ngang ngửa với việc ngăn các hệ thống đầu cuối trở thành nơi đầu tiên lây nhiễm malware. Bảo mật càng trở nên khó khăn hơn với nhiều hướng tấn công tiềm tàng và việc người dùng sử dụng chung một thiết bị ở nhà và văn phòng.
Công cụ Smuggler về cơ bản sử dụng các tính năng sẵn có của giao thức 802.11 theo một cách thức mà chúng không được định nghĩa để sử dụng, đặc biệt là các trường thông tin tìm thấy trong các khung dẫn đường (beacon frame) và khung thăm dò (probe request frame).
Beacon frame là một dạng frame ngắn, với các gói dữ liệu định dạng đặt biệt, được gởi định kỳ từ điểm truy cập đến các máy khách để thông báo sự hiện diện của điểm truy cập, tổ chức và đồng bộ hóa các giao tiếp trong mạng không dây. Beacon frames chứa các trường thông tin như tên mạng SSID (service set identification), tốc độ dữ liệu và các tham số khác.
Do đó, kẻ tấn công ở trong phạm vi phát sóng Wi-Fi của máy tính đã lây nhiễm malware, chẳng hạn trong quán cà phê kế bên văn phòng, có thể dùng công cụ Smuggler để thiết lập một điểm truy cập không dây "quảng bá" beacon frame với SSID rỗng (không có tên mạng) và trường thông tin về tốc độ, nhưng thật chất là chứa tập lệnh. Khi đó, card Wi-Fi của máy tính sẽ nhận beacon frame, nhưng hệ điều hành không hiển thị điểm truy cập không dây trong danh sách mạng truy cập vì SSID rỗng.
Ở đầu bên kia, malware đang chạy trên máy tính được lập trình để lắng nghe các beacon frame với SSID rỗng, phân tích trường thông tin về tốc độ (có chứa tập lệnh) và thực thi tập lệnh này. Sau đó, malware sẽ dùng card mạng không dây của máy tính đã lây nhiễm để gửi các khung thăm dò với các tập lệnh đã được nhúng bên trong.
Vậy khung thăm dò có chức năng gì? Trước hết, bạn cần biết rằng khung thăm dò là các frame chứa thông tin tốc độ, SSID mà máy khách gửi đến một điểm truy cập không dây cụ thể hay tất cả điểm truy cập xung quanh, và hoạt động này tương tự việc quét mạng không dây chủ động.
Trong trường hợp này, khung thăm dò chứa trường thông tin SSID (có tập lệnh) sẽ được chuyển đến cho máy tấn công. Nếu tập lệnh truyền đến cho máy tấn công quá lớn, chiếm nhiều khung thăm dò, chương trình chạy trên máy tính của kẻ tấn công có khả năng tái cấu trúc lại tập lệnh đó.
Công cụ Smuggler có các trường tự động xử lý giao tiếp 2 chiều trên cả máy tấn công và lẫn máy nạn nhân, theo Computerworld.
Nhà nghiên cứu của Trustwave đã dùng công cụ này để tạo một lớp tương tác cho phép thực hiện các lệnh từ xa trên máy tính bị lây nhiễm và xem kết quả trên màn hình máy tính.
Đại diện Trustwave cho biết sẽ không phát hành rộng rãi công cụ Smuggler vì mục tiêu của việc phát triển công cụ giả lập này chỉ nhằm chia sẻ những phát hiện về việc lợi dụng giao thức theo cách không đúng và dùng chúng vào những mục đích xấu, chẳng hạn tạo kênh giao tiếp 2 chiều mà không thực hiện tiến trình kết nối hay xác thực.
Nguồn: http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-mang/2014/11/1236794/loi-dung-mang-wi-fi-de-dieu-khien-malware/