Phần mềm chống virus không có tác dụng gì với Stuxnet và Flame

4 June 2012, 17:55

Theo:http://www.h-online.com/security/news/item/Anti-virus-software-out-of-its-league-with-Stuxnet-and-Flame-1604467.html

Bài được đưa lênInternet ngày: 04/06/2012

Lờingười dịch: Còn nhớ, vào tháng 06/2008, khi hãng an ninhmáy tính nổi tiếng TrendMacro tuyên bố rằng “Nềncông nghiệp chống virus đã lừa dối người sử dụng 20năm nay. Khả năng chống virus hầunhư là không thể với số lượng khổng lồ các virushiện nay”, nhiều người coi là chuyện phiếm chẳng đángquan tâm; 4 năm sau, trong bài viết này, là sựthừa nhận của chính những người trong cuộc về chínhnhững điều tương tự, nhưsự thừa nhận của Giám đốc Nghiên cứu của F-Secure vềviệc phần mềm chống virus của hãng đã không có khảnăng dò tìm ra virus Windows có biệt danh “Siêu Gián điệp”- Flame, và tương tự như vậy của các phần mềm chốngvirus khác đối với các loại phần mềm độc hại nhưStuxnet, Duqu hay Zeus. “Những con số hiện hành từ dự ánZeuS Tracker, ví dụ, chỉ ra rằng tỷlệ dò tìm ra đối với dạng phần mềm độc hại nàyvẫn còn thấp hơn 40%. Có 294 biến thể của virus nàythậm chí không thể dò tìm ra với các phần mềm chốngvirus ngày nay”. Đây là phátbiểu của Giám đốc Nghiên cứu của F-Secure: “Flametừng là một sự thất bại cho nền công nghiệp chốngvirus. Chúng ta thực sự nên cókhả năng làm việc tốt hơn. Nhưng chúng ta đã không.Chúng ta đã nằm ngoài liên đoàn của chúng ta, trong chínhtrò chơi của riêng chúng ta”. Khisử dụng Windows, bạn phải luôn ghi nhớ trong đầu rằng:Phần mềm diệt virus chỉ là thuốc an thần, không làthuốc chữa bệnh!!!Bạn rất nên xem hết toàn bộ bài viết này. Xem thêm:Hỏiđáp thường gặp Flame, “Siêu gián điệp”.

Trong một bài báo choArs Technica, Giám đốc Nghiên cứu củaF-Secure Mikko Hypponen thừa nhận sự thất bại của hãngcủa ông trong việc dò tìm ra các virus như Flame và Stuxnetmột cách đúng lúc. Trong bài viết đó, ông cốkhai thác các lý do cho điều này và viện lý rằng nềncông nghiệp chống virus về tổng thể đã vật lộn vớicác virus mới đó.

TheoHypponen, F-Secure đã phát hiện rằng hãng đã có một mẫuFlame trong các cơ sở dữ liệu nội bộ của mình từ năm2010 nhưng nó đã được báo cáo thông qua các qui trình tựđộng mà không bao giờ dựng cờ lên để soi xét sát saohơn từ các kỹ sư con người. Các nhà cung cấp chốngvirus khác đã nói đã nhận được các ví dụ về Flamethậm chí còn sớm hơn với các kết quả y hệt. Điềunày có nghĩa là Flame từng hoạt động mà không bị pháthiện ra, ẩn náu thoát khỏi tầm nhìn tới hơn 2 năm.

Stuxnet và Duqu từngsử dụng các chiến lược tương tự để không bị dòtìm ra, Hypponen nói. Các phần mềm độc hại đó thậmchí đã sử dụng việc ký số để làm cho nó khoảngkhông gian hợp pháp. Những người phát triển cũng lảngtránh các kỹ thuật làm đen tối mã nguồn thông thườngđể không dạo chơi với bất kỳ hệ thống dò tìm tựđộng nào. Với Flame, những người tạo ra nó cũng đãsử dụng các công cụ như SQLite, SSH, SSL và Lua từng làmcho các chương trình trông giống như một cơ sở dữ liệuhoặc thư viện và ít giống với phần mềm độc hạitruyền thống hơn.

Chuyêngia về virus kết luận rằng các phần mềm chống virustruyền thống có thể bảo vệ những người sử dụngcủa mình khỏi các cuộc tấn công thông thường như cáctrojan ngân hàng, các trình ghi bàn phím hoặc các sâu vàvirus thông thường truyền qua thư điện tử, nhưng khônggiúp chống lại được các cuộc tấn công có chủ đíchđang được tạo ra từ các đội lập trình viên chuyênnghiệp đã sử dụng một loạt công cụ chống virus sửdụng được ngay để kiểm thử cho những sáng tạo củahọ.

Chuẩnđoán khiêm tốn của Hypponen: “Flame từng là một sựthất bại cho nền công nghiệp chống virus. Chúng ta thựcsự nên có khả năng làm việc tốt hơn. Nhưng chúng ta đãkhông. Chúng ta đã nằm ngoài liên đoàn của chúng ta,trong chính trò chơi của riêng chúng ta”.

Inan editorialfor Ars Technica, F-Secure's Chief Research Officer Mikko Hypponenadmits to his company's failure in detecting viruses such as Flameand Stuxnetin a timely manner. In the article, he tries to explore the reasonsfor this and argues that the anti-virus industry as a whole hasstruggled with these new viruses.

Accordingto Hypponen, F-Secure has discovered that it has had a specimen ofFlame in its internal databases since 2010 but that it was reportedthrough automatic processes which never raised any flags to warrantcloser scrutiny by human engineers. Other anti-virus vendors havereported to have received samples of Flame even earlier with much thesame results. This means that Flame was operating undetected, hiddenin plain sight for over two years.

Stuxnetand Duquwere using similar strategies to remain undetected, says Hypponen.That malware even used digital signing to give it an air oflegitimacy. The developers also eschewed the usual code obfuscationtechniques to not trip any automatic detection systems. With Flame,its creators also used tools such as SQLite, SSH, SSL and Lua whichmade the program seem more like a bona fide database or library andless like traditional malware.

Thevirus expert concludes that traditional anti-virus software canprotect its users f-rom commonplace attacks such as banking trojans,keyloggers or the usual worms and viruses transmitted via email, butthat it is helpless against targeted attacks being perpetrated byprofessional developer teams which are well funded by state-ownedorganisations. These developers apparently used a variety ofoff-the-shelf anti-virus tools to test their creations. Hypponen'ssobering diagnosis: "Flame was a failure for the antivirusindustry. We really should have been able to do better. But wedidn’t. We were out of our league, in our own game."

Tuynhiên, thực tế tàn nhẫn hơn Hypponen thừa nhận. Bọntội phạm mà đang xây dựng các trojan ngân hàng như Zeusvà SpyEye thực sự có một tiến trình có khả năng sosánh đối với bất kỳ ai đã tạo ra Flame, Duqu vàStuxnet. Chúng được tổ chức cao độ, được động viênvà có những tài nguyên tương tự theo đề nghị củachúng. Việc kiểm thử các virus của riêng một ai đó vớicác phần mềm chống virus đang có sẵn làm khó hơn choviệc dò tìm là một phương thức hoạt động phổ biến.Những con số hiện hành từ dự án ZeuS Tracker, ví dụ,chỉ ra rằng tỷ lệ dò tìm ra đối với dạng phần mềmđộc hại này vẫn còn thấp hơn 40%. Có 294 biến thểcủa virus này thậm chí không thể dò tìm ra với các phầnmềm chống virus ngày nay.

Mục Hỏi - Đápthường gặp về Flame của The H giải thích rằng sự khácbiệt chính giữa Flame và những phần mềm độc hạithông thường hơn như Zeus có thể thấy trong tỷ lệ thấpcủa sự lây nhiễm. Vì Flame đượcthiết kế hoàn toàn để lan truyền càng ít càng tốt,thì nó rất ít có khả năng rằng nó có thể được pháthiện và có thể vẫn ẩn nấp được lâu như vậy. Nhưngthậm chí không có tỷ lệ thấp như vậy về sự lâynhiễm như 1.000 máy trong 2 năm, thì dường như là việcphòng chống các trojan ngân hàng hàng ngày như Zeus vẫncòn là công việc nặng nhọc cho các phần mềm chốngvirus hiện hành - và nỗ lực thường không thành công.

Thereality is grimmer than Hypponen will admit, however. Criminals whoare building banking trojans such as Zeus and SpyEye actually have acomparable workflow to whoever cre-ated Flame, Duqu and Stuxnet. Theyare highly organised, motivated and have similar resources at theirdisposal. Testing one's own viruses with available anti-virussoftware to make them harder to detect is a widespread modusoperandi. Current numbers f-romthe ZeuS Tracker project, for example, show that the detectionrate for this kind of malware is still below 40 per cent. There are294 variants of the virus that cannot be detected with anti-virussoftware even today.

The H'sFAQon Flame explains that the major difference between Flame andmore conventional malware such as Zeus can be found in the low rateof infections. Since Flame is explicitly designed to spread as littleas possible, it was a lot less likely that it would be discovered andcould stay hidden for a much longer time. But even without such a lowrate of infection as Flame's 1,000 machines in two years, it seemsthat defending against more everyday banking trojans such as Zeus isstill hard work for current anti-virus software – and the effortoften does not succeed.

(fab)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com