Tin tặc sử dụng hệ thống tên miền Namecoin để lừa người dùng

14/10/2014 12:48

Theo báo cáo từ hãng bảo mật Trend Micro, hệ thống tên miền của Namecoin là môi trường hấp dẫn cho tin tặc. Đặc thù của hệ thống tên miền Namecoin vốn có tính mở khiến nó bị lạm dụng bởi tội phạm mạng.

Hình ảnh trang hệ thống đăng ký tên miền của Name Coin

Phần lớn các tên miền hàng đầu như.com hay .org được vận hành bởi ICANN - Internet Corporation for Assigned Names and Numbers.Những tên miền hàng đầu bên ngoài hệ thống ICANN được coi các tên miền DNSgốc hoặc ADR, chúng bao gồm đuôi .geek và .micro.

Namecoin bao gồm các tên miền vô danhgiá rẻ và một hệ thống đặt những tên miền độc hại nằm ngoài tầm kiểm soát của chính quyền trung ương để tránh bị phát hiện. Namecoin cho phép người dùng tạo ra một loại tên miền nằm ngoài phạm vi hoạt động của ICANN. Các giao dịch Namecoin bao gồm dữ liệu DNS, cho phép người dùng tạo một tên miền mới với mỗi giao dịch. Những tên miền này có đuôi .bit và các giao dịch được ghi lại trong một chuỗi blockchain có tính công khai.

Kẻ kế nhiệm botnettrước đây

Trend Micro cũng điều tra ra một botnet chuyên khai thác các tên miền đuôi .bit. Hãng đã phân tích một phần mềm độc hạikết nối lặp đi lặp lại với 4 tên miền đuôi .bit. Phần mềm này là một phần trong nhóm phần mềm độc hại được biết đến như là gia đình NECURS. Nó sẽ xâm nhập vào hệ thống người dùng bằng cách đính kèm thư rác độc hại vào email. Sau đó, để tránh bị dò ra, sẽ vô hiệu hóa các phần mềm bảo mật trong hệ thống.

Theo Trend Micro, phần mềm độc hại này khá giống với một botnet trước đây vận hành tại Ba Lan nhưng đã bị chính quyền tại đây đóng cửa vào cuối tháng 1/2014.

Khi chính quyền Ba Lan đóng cửa botnet này vào cuối tháng 1, họ không thể nắm rõ cách hoạt động của, nhưng đã thành công dò ra các tên miền vi phạmchuyển đến trang web của cơ quan an ninh mạng Ba lan - NASK. Nhưng nếu giả thuyết là chính xác thì tên miền .bit này thậm chí còn mạnh hơn, vì nó nằm ngoài tầm kiểm soát của cơ quan nhà nước.

Blockchain

Ngay cả khi các tên miền trên namecoin giấu tên chủ sáng lập thì chúng cũng dựa vào blockchain của namecoin làm cho tất cả các giao dịch đều có tính công khai. Tính năng này cho phép các nhà nghiên cứu bảo mật truy cập được vào lịch sử một tên miền, thu thập thông tin về các trang web độc hại (không thể thu thập được ở các tên miền hàng đầu do ICANN quản lý). Các nhà nghiên cứu có thể xem được thời gian một tên miền ra đời các địa chỉ IP của nó.

Trong trường hợp của botnet .bit Trend Micro điều tra được, chuỗi blockchainnamecoin xuất ra một đồ thị phân tích mạng lưới của bốn tên miền bị ảnh hưởng, cho thấy chúng đã được liên kết trước đấy bởi một số địa chỉ IP. Các địa chỉ IP này cũng có liên quan đến các tên miền quản lý tập trung trước đây. Chính vì vậy, các tên miền đuôi .bit độc hại có thể liên quan đến cá nhân hoặc nhóm nào có đăng ký tên miền được quản lý tập trung này.

Có một số yếu tố khác ngăn chặn các tên miền namecoin khỏi bị khai thác cho những mục đích bất chính, vì các tên miền đuôi.bit chỉ có thể được truy cập với các thiết lập mạng được cấu hình lại, người dùng bị nhiễm mã độc sẽ có thể phát hiện ra băng thông không đều một cách dễ dàng. Các máy chủ namecoin cũng rất ít và được duy trì bởi một vài người có đam mê, và như vậy, họ ít có cơ sở chắc chắn đôi khi còn offline khỏi máy chủ.

Kết luận bài báo cáo của Trend Microcho biết, có khoảng 106.000 tên miền .bit đang tồn tại, và lưu lượng truy cập đến chúng vẫn tương đối thấp nên việc ảnh hưởng của nó đến người dùng vẫn đang còn thấp.

MAI KHÔI

Ý kiến bạn đọc (0)
Tên   Email

Các bài mới:
Lên đầu trang