Sự thật về phần mềm chống DDoS mang tên xFirewall

Gần đây, trên diễn đàn hacker HVA và một số site xuất hiện thông tin về xFirewall, phần mềm được quảng bá là có thể khắc phục x-flash (một dạng tấn công từ chối dịch vụ), của nhóm 91daklak. Tuy nhiên, Ban quản trị HVA và Trung tâm BKIS đều khẳng định, xFirewall là một "trợ thủ" tấn công.



Chỉ hơn một ngày sau khi xuất hiện trên diễn đàn hacker, những thông tin về xFirewall đã bị Ban quản trị HVA gỡ bỏ kèm theo khuyến cáo phần mềm này chẳng những không có khả năng khắc phục x-flash DDoS mà còn hỗ trợ tấn công các website khác. Những forum hay website nào cài đặt phần mềm này sẽ trở thành bàn đạp đắc lực cho việc phá hoại.

Theo phân tích của những người đứng đầu diễn đàn HVA, file php đi kèm theo xFirewall đều được mã hóa bằng Zend và những file php này có biểu hiện của trình cổng hậu backdoor. Đường dẫn từ x-flash trên trang 91daklak.com, nơi cung cấp xFirewall, đều trỏ đến một hoặc nhiều trang thuộc dạng cho hosting miễn phí (free site) là bàn đạp trong các cuộc "đổ bộ" bằng x-flash. Nội dung bên trong x-flash kèm với xFirewall hoàn toàn giống các flash dùng để tấn công HVA trong suốt thời gian qua. Và xFirewall.php không hề tạo ra bất cứ cookie nào nhằm bảo vệ.

Ngay sau đó, trên diễn đàn của 91daklak.com, tác giả của xFirewall lập tức phản bác lại những cảnh báo từ HVA. Người này khẳng định những phần mềm xFirewall 100% không có Trojan hay yếu tố có thể hỗ trợ tấn công. Chứng minh xFirewall.php có khả năng tạo cookie bảo vệ, bằng chứng được đưa ra là:

<Files index.php>
RewriteEngine on
RewriteCond %{HTTP_COOKIE} !^.*access=granted.*$
RewriteRule .*$ http://91daklak.com/xfirewall/
</Files>

Tác giả xFirewall lập luận: "Dòng rule trên .htaccess của firewall này nằm trong file .htaccess và được chép vào thư mục cần bảo mật để chống bị DDoS. Nếu xFirewall.php không hề phát sinh cookie thì làm thế nào để truy nhập được vào thư mục cần bảo vệ?".

"xFirewall.php và xFirewallp2.swf là một sự kết hợp hài hòa để chống lại DDoS. xFirewallp2.swf hoàn toàn không có output bất kỳ ở bên ngoài", người này khẳng định.

Trong khi đó, Trung tâm an ninh mạng Đại học Bách khoa Hà Nội cũng đã nắm được thông tin về xFirewall. Theo mô tả của BKIS về phương thức hoạt động của xFirewall, khi người dùng truy cập vào một trang nào đó được chương trình này "bảo vệ" (danh sách trang “được bảo vệ” nằm trong file .htaccess) thì server sẽ kiểm tra cookie trình duyệt trên máy người dùng. Trường hợp nếu cookie tồn tại, máy chủ sẽ cho phép browser truy cập đến trang mà browser yêu cầu và mọi việc diễn ra bình thường. Nhưng nếu không tồn tại cookie bảo vệ, server sẽ trả về trang index.html trong thư mục xFirewall. (Ví dụ: tại ngay trang www.91daklak.com trình duyệt sẽ trả về http://www.91daklak.com/xfirewall/index.html nếu người dùng truy cập lần đầu tiên).

Nhưng kết quả phân tích xFirewall của BKIS cho thấy khả năng chống DDoS thông qua Set Cookie của phần mềm này không có hiệu quả vì kẻ tấn công có thể gửi cho server một cookie có sẵn trước khi gửi hàng loạt lệnh request tấn công DDoS. Như vậy chỉ cần thêm một vài bước, kẻ tấn công có thể hóa giải được xFirewall.

"Hệ thống xFirewall này hoàn toàn có thể được 'điều khiển từ xa' thông qua file: rv007.php được cài đặt trên 91daklak.com. Những người tạo ra xFirewall đã cố tình che giấu bằng cách mã hóa các mã lệnh. Sau khi giải mã, chúng tôi đã phát hiện hành vi này. Điều đó khẳng định những website cài đặt hệ thống xFirewall này dễ dàng bị lợi dụng để làm bàn đạp cho các cuộc tấn công DDoS", Giám đốc BKIS Nguyễn Tử Quảng cho biết.

Theo các chuyên gia bảo mật, flash là một phần mềm dạng plug-in dùng với trình duyệt để hiển thị đồ họa (graphics) và hoạt ảnh(animation). Flash được ứng dụng rộng rãi vì tính năng "action script" khá linh động và mạnh mẽ của nó. Trong một số trường hợp, những tính năng này bị khai thác cho mục đích xấu.

Khi một x-flash xấu được cài vào trang web nào đó, nó có thể ở dạng vô hình (invisible) hoặc ở dạng một flash bình thường, có hiển thị hẳn hoi nhưng "action script" của chúng thực hiện "công tác" như nhau. Khi người dùng truy cập trang web có gắn x-flash xấu, trình duyệt của người đó tự động gửi yêu cầu truy cập đến một website khác (là nạn nhân bị tấn công từ chối dịch vụ) mà người dùng này hoàn toàn không biết. Có chăng, họ chỉ cảm thấy trình duyệt chậm hơn bình thường đôi chút.

Những yêu cầu truy cập đến website nạn nhân khó bị phát hiện nếu như người dùng trình duyệt Internet Explorer (IE) hoặc Firefox một cách bình thường. Nhưng nếu họ tắt chức năng "Hide the status bar" trên Firefox sẽ thấy hàng loạt yêu cầu được gửi đến một trang web nào đó. Đây chính là địa chỉ của nạn nhân đang bị tấn công.

Cách đây 1-2 năm, các x-flash xấu được cài trên những website bị lỗi. Thường là website có lượng người truy cập khá cao để có thể đạt được mục đích. Sau một thời gian, các website không còn trợ lực cho âm mưu phá hoại này (một phần do các quản trị site được cảnh báo, một phần do họ nâng cấp và xóa các x-flash này) nên x-flash vắng tiếng trong một thời gian dài.

Những điều tra về các vụ tấn công từ chối dịch vụ diễn ra gần đây cho thấy, phần lớn x-flash được cài trên các free site và được ngụy trang bằng thông tin hấp dẫn như phim, ảnh mang nội dung "người lớn"... để dẫn dụ người dùng vào. Hầu hết các trang này chỉ có những đường dẫn giả. Bởi số lượng các free site và các x-flash này không đủ để "tàn phá" nạn nhân nên nhóm tạo x-flash vận dụng một số phương thức như khống chế trang chủ của trình duyệt IE, phát tán thông tin trên các diễn đàn để lôi kéo người dùng tò mò vào các trang của chúng.

"Những kẻ xấu, chuyên phá hoại bằng cách thức DDoS gần đây chuyển hướng sang 'đánh tiếng' là tạo ra phần mềm chống x-flash nhằm chiêu dụ đông đảo số lượng người sử dụng trên các diễn đàn, website, biến máy tính của họ trở thành công cụ ma zombie cho chúng", ông Nguyễn Xuân Việt, thành viên Ban quản trị HVA, nói. "Đây là một âm mưu nâng cao số lượng 'zombie' cho mục đích tăng hiệu quả tàn phá".