Cùng FUNiX tìm hiểu cách bảo vệ chống lại cuộc tấn công Drive-by Download, một loại hình tấn công có thể cài đặt phần mềm độc hại trên thiết bị của bạn.

Bạn tìm thấy phần mềm độc hại trên máy tính của mình nhưng lại không biết nó đến từ đâu. Bạn chưa tải xuống bất kỳ thứ gì và cũng không truy cập bất kỳ trang web nào được coi là nguy hiểm.

Trong trường hợp này, có thể phần mềm độc hại đã xuất hiện trên máy tính của bạn thông qua Drive-by Download. Bạn không cần phải nhấp vào tải xuống hoặc đồng ý với việc cài đặt chương trình độc hại. Thay vào đó, cuộc tấn công Drive-by Download sẽ tự động hóa toàn bộ quá trình.

Vậy cuộc tấn công Drive-by Download là gì, và làm thế nào để tránh trở thành nạn nhân của chúng?

1. Tấn công Drive-by Download là gì?

Drive-by Download là một kỹ thuật tương đối phổ biến mà kẻ tấn công có thể sử dụng để cài đặt phần mềm độc hại vào máy tính của nạn nhân một cách âm thầm.

Trong loại hình tấn công này, tin tặc thường xâm phạm một trang web thông qua việc lợi dụng một trong nhiều công nghệ giúp cung cấp sức mạnh cho trang web. Chúng có thể bao gồm một plugin bị hỏng, JavaScript, iframe, liên kết ngắn, quảng cáo bị nhiễm độc (được gọi là quảng cáo độc hại, hay malvertising), v.v.

Nói tóm lại, có nhiều nơi mà kẻ tấn công có thể ẩn phần mềm độc hại để chuẩn bị cho một cuộc tấn công Drive-by Download.

Ý tưởng đằng sau kiểu tấn công này là cài đặt phần mềm độc hại vào máy tính của nạn nhân mà họ không biết. Điều khiến chúng đặc biệt nguy hiểm là một cuộc tấn công Drive-by Download có thể diễn ra trên hầu hết mọi trang web, ngay cả những trang web mà bạn coi là “an toàn”.

Đương nhiên là chúng có nhiều khả năng xuất hiện trên một trang web có nội dung đáng ngờ hơn, chẳng hạn như một trang web phát trực tuyến bất hợp pháp, nhưng một trang web vốn được coi là an toàn lại là một mục tiêu sinh lợi hơn do thường có số lượng khách truy cập lớn hơn. Nhiều khách truy cập hơn đồng nghĩa với nhiều nạn nhân tiềm năng hơn.

2. Tấn công Drive-by Download hoạt động như thế nào?

Có hai cách chính để một Drive-by Download độc hại có thể “lẻn” vào máy tính của bạn:

1. Được cho phép. Một số Drive-by Download dựa vào việc nạn nhân cho phép tải xuống mà không nhận thức được đầy đủ những gì họ đang làm.
2. Không được phép. Drive-by Download trái phép sẽ lây nhiễm vào máy tính của bạn mà không có bất kỳ cảnh báo hoặc thông báo nào và không yêu cầu bạn nhấp vào liên kết nào.

Bạn có thể chia nhỏ các kiểu tấn công drive-by download chính thành các phân đoạn nhỏ hơn.

2.1 Drive-by Download được cho phép

Drive-by Download được cho phép yêu cầu sự tương tác của người dùng.

Ví dụ: kẻ tấn công xâm nhập một trang web và cài đặt một vector tấn công (có thể hiểu là “đường vào”). Nhưng để hoàn thành cuộc tấn công, nạn nhân vẫn phải nhấn Tải xuống, Đồng ý hoặc những lựa chọn tương tự. Ngay sau khi nạn nhân đến trang web (dù chưa nhấn vào đâu), tùy chọn tải xuống tệp độc hại xuất hiện và được ngụy trang thành một tệp thông thường.

Một số định nghĩa của Drive-by Download được cho phép còn rộng hơn, bao gồm phần mềm độc hại vô tình được cài đặt khi nạn nhân cài đặt một phần mềm khác.

2.2 Drive-by Download trái phép

Drive-by Download trái phép hoạt động tương tự như Drive-by Download được cho phép nhưng là một quá trình tự động. Bạn không cần phải tương tác với phần bị xâm phạm của trang web, dù đó là liên kết tải xuống, quảng cáo độc hại… mà phần mềm độc hại sẽ kích hoạt ngay khi bạn khởi chạy trang web.

Tùy thuộc vào loại phần mềm độc hại, bạn có thể không nhận thấy bất kỳ điều gì khác biệt trên máy tính của mình. Quá trình tải xuống sẽ hoàn tất và tùy thuộc vào cài đặt bảo mật của bạn hoặc biến thể phần mềm độc hại, có thể tự động cài đặt mà không cần thông báo.

2.3 Các loại tệp độc hại phổ biến trong các cuộc tấn công Drive-by Download

Các cuộc tấn công Drive-by Download có thể nhằm cài đặt các phần mềm khác nhau: 

• Chương trình không mong muốn (Potentially Unwanted Program, hay PUP) : PUP, đôi khi được gọi là Ứng dụng không mong muốn (Potentially Unwanted Application, hay PUA), không nhất thiết phải là một tệp độc hại. Một PUP rất có thể là phần mềm quảng cáo, hiển thị quảng cáo ở những nơi chúng không nên xuất hiện. Một số PUP khác có ý định độc hại hơn. Mặc dù PUP có mức độ nguy hiểm thấp, bạn không muốn có bất kỳ thứ gì đó can thiệp vào hệ thống hoặc trình duyệt của mình.
• Phần mềm độc hại : Phần mềm độc hại có mục đích sử dụng cụ thể, chẳng hạn như Trojan cho phép truy cập cửa sau vào hệ thống hoặc bộ công cụ khai thác (exploit ki) có thể cài đặt các loại phần mềm độc hại khác.

Phần mềm độc hại đáng báo động hơn nhiều so với PUP. Hơn nữa, việc xóa PUP khỏi hệ thống của bạn dễ dàng hơn đáng kể so với phần mềm độc hại.

Hầu hết các PUP đều dễ dàng bị xóa bằng cách sử dụng chương trình chống virus tích hợp trên máy tínhn hoặc một công cụ của bên thứ ba, chẳng hạn như Malwarebytes.

3. Cách bảo vệ chống lại các cuộc tấn công Drive-by Download

Có bảy điều bạn có thể làm để ngăn quá trình tải xuống Drive-by Download từ máy tính của bạn.

1. Giữ cho máy tính của bạn luôn được cập nhật. Khi có bản cập nhật, hãy cài đặt nó.
2. Luôn cập nhật trình duyệt của bạn. Ngoài ra, hãy xem xét loại bỏ bất kỳ tiện ích mở rộng trình duyệt dư thừa nào. Chúng không chỉ làm chậm trình duyệt mà các tiện ích mở rộng trình duyệt lỗi thời có thể gây ra các vấn đề bảo mật.
3. Bạn có một số lựa chọn ở đây. Bạn có thể tải xuống và cài đặt công cụ chống virus của bên thứ ba hoặc sử dụng công cụ chống virus tích hợp trên máy tính của mình. Windows và macOS đều có chương trình chống virus mặc định. 
4. Bạn có thể chọn một công cụ chống phần mềm độc hại, như Malwarebytes. Phiên bản miễn phí của Malwarebytes là một công cụ quét và xóa, nhưng phiên bản cao cấp cung cấp khả năng bảo vệ theo thời gian thực.
5. Tránh các trang web phân phát nội dung bất hợp pháp. Tất nhiên, như đã nói ở trên, kể cả các trang web lớn cũng có thể là mục tiêu của loại hình tấn công này. 
6. Kiểm tra liên kết trước khi nhấp vào. Bạn có biết có một số cách bạn có thể kiểm tra một liên kết trước khi nhấp vào nó không?
7. Các tiện ích mở rộng chặn tập lệnh (Script-blocking extensions) cho trình duyệt có thể ngăn Drive-by Download chạy trên hệ thống của bạn. Tuy nhiên, một số công cụ chặn tập lệnh có thể gây ra những hậu quả không mong muốn, chẳng hạn như phá vỡ các phần của các trang web khác.

Bây giờ bạn đã biết các dấu hiệu và lý do đằng sau cuộc tấn công Drive-by Download, hy vọng bạn sẽ chuẩn bị tốt hơn để phòng tránh một cuộc tấn công trong tương lai.

Dịch từ: https://www.makeuseof.com/what-is-a-drive-by-download/

>>> Nếu bạn đang có nhu cầu học lập trình trực tuyến, tìm hiểu ngay tại đây:

>>> Xem thêm các chủ đề hữu ích:

• Tất cả những điều bạn cần biết về khóa học lập trình tại FUNiX FPT
• 5 Điểm đáng chú ý tại khóa học lập trình trực tuyến FPT – FUNiX
• Từ A-Z chương trình học FUNiX – Mô hình đào tạo lập trình trực tuyến số 1 Việt Nam
• Lý do phổ biến khiến học viên nước ngoài chọn FUNiX
• Lưu ý để học blockchain trực tuyến hiệu quả cao tại FUNiX
• Lý do nữ giới nên chọn FUNiX để học chuyển nghề IT
• FUNiX trở thành đối tác của Liên minh Blockchain Việt Nam
• 3 lý do bạn trẻ nên học blockchain trực tuyến ở FUNiX

Vân Nguyễn