-
18/08/2021
-
45
-
73 bài viết
Discord chat chứa các hoạt động độc hại
Các tùy chọn tùy chỉnh mở rộng của Discord mở ra cánh cửa cho các cuộc tấn công vào người dùng thông thường và máy chủ.
Trong sáu năm kể từ khi ra mắt dịch vụ trò chuyện và VoIP (truyền giọng nói trên giao thức IP), Discord đã trở thành một công cụ phổ biến được cộng đồng quan tâm, đặc biệt là các game thủ. Tuy nhiên, giống như bất kỳ nền tảng nào khác lưu trữ nội dung do người dùng tạo, Discord có thể bị khai thác. Nghiên cứu gần đây về bảo mật, Discord đã tiết lộ một số kịch bản tấn công mạng liên quan đến dịch vụ trò chuyện, một số kịch bản có thể thực sự nguy hiểm cho người dùng.
Phần mềm độc hại đang được lan truyền qua Discord
Các tệp độc hại được phân phối thông qua Discord là mối đe dọa rõ ràng nhất. Các chuyên gia gọi mối đe dọa này là "điều hiển nhiên", bởi việc chia sẻ tệp qua Discord rất dễ dàng. Mọi tệp được tải lên nền tảng đều được gán một URL cố định, hầu hết các tệp đều có thể tải xuống bởi bất kỳ ai có liên kết, có định dạng như sau:
Nghiên cứu mô tả một ví dụ về cuộc tấn công trong đời thực: một trang web giả mạo cung cấp tải xuống ứng dụng khách hội nghị Web Zoom. Trang web trông giống như thật và tệp độc hại được lưu trữ trên máy chủ Discord. Điều đó giải quyết được các hạn chế về việc tải xuống tệp từ các nguồn không đáng tin cậy. Cơ sở lý luận là các máy chủ của một ứng dụng phổ biến được hàng triệu người sử dụng ít có khả năng bị chặn bởi các giải pháp chống phần mềm độc hại.
Tất cả các dịch vụ cho phép tải lên nội dung do người dùng tạo đều phải đối mặt với vấn đề sử dụng sai mục đích. Ví dụ: các trang web lưu trữ web miễn phí xem các trang lừa đảo được tạo trên đó và các nền tảng chia sẻ tệp được sử dụng để phát tán Trojan. Các dịch vụ điền biểu mẫu đóng vai trò như các kênh thư rác. Danh sách cứ kéo dài. Chủ sở hữu nền tảng cố gắng chống lại sự lạm dụng, nhưng với các kết quả khác nhau.
Các nhà phát triển Discord rõ ràng cũng cần triển khai ít nhất một số phương tiện cơ bản để bảo vệ người dùng. Ví dụ, các tệp được sử dụng trên một máy chủ trò chuyện cụ thể không cần phải được cung cấp cho tất cả mọi người. Kiểm tra và tự động chặn phần mềm độc hại đã biết. Bất chấp điều đó xảy ra, đây là vấn đề ít kỳ lạ nhất của Discord và việc chống lại nó thực sự không khác gì đối phó với bất kỳ phương pháp phát tán phần mềm độc hại nào khác. Tuy nhiên, nó không phải là mối đe dọa duy nhất mà người dùng phải đối mặt.
Các bot độc hại
Một nghiên cứu khác gần đây cho thấy việc khai thác hệ thống bot của Discord dễ dàng như thế nào. Các bot mở rộng chức năng của máy chủ trò chuyện theo nhiều cách khác nhau và Discord cung cấp một loạt các tùy chọn để tùy chỉnh các cuộc trò chuyện của riêng người dùng. Một ví dụ về mã độc hại liên quan đến trò chuyện gần đây đã được xuất bản (và nhanh chóng bị xóa bỏ) trên GitHub: Sử dụng chủ yếu các khả năng do Discord API cung cấp, tác giả có thể thực thi mã tùy ý trên máy tính của người dùng. Nó có thể trông giống như sau:
Trong một tình huống tấn công, mã độc dựa vào một ứng dụng khách Discord được cài đặt cục bộ để khởi chạy tự động khi khởi động. Việc cài đặt một bot từ một nguồn không đáng tin cậy có thể dẫn đến một sự lây nhiễm như vậy.
Các nhà nghiên cứu cũng đã xem xét một trường hợp lạm dụng Discord khác mà không phụ thuộc vào việc người dùng đã cài đặt ứng dụng khách Discord. Trong trường hợp này, phần mềm độc hại sử dụng dịch vụ trò chuyện để giao tiếp. Nhờ có API công khai, quy trình đăng ký không phức tạp và mã hóa dữ liệu cơ bản, một backdoor có thể dễ dàng và thuận tiện sử dụng Discord để gửi dữ liệu về hệ thống bị nhiễm cho người điều hành và nhận lệnh để thực thi mã, tải lên các mô-đun độc hại mới.
Loại kịch bản đó xuất hiện khá nguy hiểm, nó đơn giản hóa đáng kể công việc của những kẻ tấn công, những kẻ sau đó không cần tạo giao diện giao tiếp với máy tính bị nhiễm mà có thể sử dụng một thứ gì đó đã có sẵn. Đồng thời, nó phần nào làm phức tạp việc phát hiện hoạt động độc hại, các cuộc trò chuyện giữa backdoor và nhà điều hành của nó trông giống như hoạt động thông thường của người dùng trong một cuộc trò chuyện phổ biến.
Bảo vệ cho người dùng
Mặc dù các mối đe dọa nói trên áp dụng cho tất cả người dùng Discord, nhưng chúng chủ yếu liên quan đến những người sử dụng Discord làm phần bổ trợ trò chơi: để giao tiếp bằng giọng nói và văn bản, phát trực tuyến, thu thập số liệu thống kê về trò chơi... Việc sử dụng như vậy đòi hỏi phải tùy chỉnh đáng kể và làm tăng thêm rủi ro cho người dùng khi tìm và cài đặt các tiện ích mở rộng độc hại.
Môi trường thoải mái, có vẻ an toàn thực sự lại là mối đe dọa, làm tăng tỷ lệ thành công của các kỹ thuật "social engineering" - mồi câu trở nên dễ dàng hơn trong một cuộc trò chuyện với những người mà bạn tin là bạn bè của mình. Chúng tôi khuyên bạn nên tuân theo các quy tắc vệ sinh kỹ thuật số tương tự trên Discord như cách bạn làm ở những nơi khác trên Web: Không nhấp vào các liên kết đáng ngờ hoặc tải xuống các tệp khó hiểu, xem xét kỹ lưỡng những lời đề nghị nghe có vẻ quá tốt để trở thành sự thật và không chia sẻ bất kỳ thông tin cá nhân hoặc thông tin tài chính nào.
Đối với Trojan và backdoor, dựa trên Discord hoặc đơn giản được phân phối thông qua nền tảng, chúng không đặc biệt hoặc về cơ bản khác với các loại phần mềm độc hại khác. Sử dụng ứng dụng chống vi-rút đáng tin cậy để giữ an toàn, giữ cho ứng dụng luôn hoạt động - kể cả khi bạn cài đặt bất kỳ phần mềm nào hoặc thêm bot vào máy chủ trò chuyện - và chú ý đến các cảnh báo của nó.
Trong sáu năm kể từ khi ra mắt dịch vụ trò chuyện và VoIP (truyền giọng nói trên giao thức IP), Discord đã trở thành một công cụ phổ biến được cộng đồng quan tâm, đặc biệt là các game thủ. Tuy nhiên, giống như bất kỳ nền tảng nào khác lưu trữ nội dung do người dùng tạo, Discord có thể bị khai thác. Nghiên cứu gần đây về bảo mật, Discord đã tiết lộ một số kịch bản tấn công mạng liên quan đến dịch vụ trò chuyện, một số kịch bản có thể thực sự nguy hiểm cho người dùng.
Phần mềm độc hại đang được lan truyền qua Discord
Các tệp độc hại được phân phối thông qua Discord là mối đe dọa rõ ràng nhất. Các chuyên gia gọi mối đe dọa này là "điều hiển nhiên", bởi việc chia sẻ tệp qua Discord rất dễ dàng. Mọi tệp được tải lên nền tảng đều được gán một URL cố định, hầu hết các tệp đều có thể tải xuống bởi bất kỳ ai có liên kết, có định dạng như sau:
cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}
Nghiên cứu mô tả một ví dụ về cuộc tấn công trong đời thực: một trang web giả mạo cung cấp tải xuống ứng dụng khách hội nghị Web Zoom. Trang web trông giống như thật và tệp độc hại được lưu trữ trên máy chủ Discord. Điều đó giải quyết được các hạn chế về việc tải xuống tệp từ các nguồn không đáng tin cậy. Cơ sở lý luận là các máy chủ của một ứng dụng phổ biến được hàng triệu người sử dụng ít có khả năng bị chặn bởi các giải pháp chống phần mềm độc hại.
Tất cả các dịch vụ cho phép tải lên nội dung do người dùng tạo đều phải đối mặt với vấn đề sử dụng sai mục đích. Ví dụ: các trang web lưu trữ web miễn phí xem các trang lừa đảo được tạo trên đó và các nền tảng chia sẻ tệp được sử dụng để phát tán Trojan. Các dịch vụ điền biểu mẫu đóng vai trò như các kênh thư rác. Danh sách cứ kéo dài. Chủ sở hữu nền tảng cố gắng chống lại sự lạm dụng, nhưng với các kết quả khác nhau.
Các nhà phát triển Discord rõ ràng cũng cần triển khai ít nhất một số phương tiện cơ bản để bảo vệ người dùng. Ví dụ, các tệp được sử dụng trên một máy chủ trò chuyện cụ thể không cần phải được cung cấp cho tất cả mọi người. Kiểm tra và tự động chặn phần mềm độc hại đã biết. Bất chấp điều đó xảy ra, đây là vấn đề ít kỳ lạ nhất của Discord và việc chống lại nó thực sự không khác gì đối phó với bất kỳ phương pháp phát tán phần mềm độc hại nào khác. Tuy nhiên, nó không phải là mối đe dọa duy nhất mà người dùng phải đối mặt.
Các bot độc hại
Một nghiên cứu khác gần đây cho thấy việc khai thác hệ thống bot của Discord dễ dàng như thế nào. Các bot mở rộng chức năng của máy chủ trò chuyện theo nhiều cách khác nhau và Discord cung cấp một loạt các tùy chọn để tùy chỉnh các cuộc trò chuyện của riêng người dùng. Một ví dụ về mã độc hại liên quan đến trò chuyện gần đây đã được xuất bản (và nhanh chóng bị xóa bỏ) trên GitHub: Sử dụng chủ yếu các khả năng do Discord API cung cấp, tác giả có thể thực thi mã tùy ý trên máy tính của người dùng. Nó có thể trông giống như sau:
Trong một tình huống tấn công, mã độc dựa vào một ứng dụng khách Discord được cài đặt cục bộ để khởi chạy tự động khi khởi động. Việc cài đặt một bot từ một nguồn không đáng tin cậy có thể dẫn đến một sự lây nhiễm như vậy.
Các nhà nghiên cứu cũng đã xem xét một trường hợp lạm dụng Discord khác mà không phụ thuộc vào việc người dùng đã cài đặt ứng dụng khách Discord. Trong trường hợp này, phần mềm độc hại sử dụng dịch vụ trò chuyện để giao tiếp. Nhờ có API công khai, quy trình đăng ký không phức tạp và mã hóa dữ liệu cơ bản, một backdoor có thể dễ dàng và thuận tiện sử dụng Discord để gửi dữ liệu về hệ thống bị nhiễm cho người điều hành và nhận lệnh để thực thi mã, tải lên các mô-đun độc hại mới.
Loại kịch bản đó xuất hiện khá nguy hiểm, nó đơn giản hóa đáng kể công việc của những kẻ tấn công, những kẻ sau đó không cần tạo giao diện giao tiếp với máy tính bị nhiễm mà có thể sử dụng một thứ gì đó đã có sẵn. Đồng thời, nó phần nào làm phức tạp việc phát hiện hoạt động độc hại, các cuộc trò chuyện giữa backdoor và nhà điều hành của nó trông giống như hoạt động thông thường của người dùng trong một cuộc trò chuyện phổ biến.
Bảo vệ cho người dùng
Mặc dù các mối đe dọa nói trên áp dụng cho tất cả người dùng Discord, nhưng chúng chủ yếu liên quan đến những người sử dụng Discord làm phần bổ trợ trò chơi: để giao tiếp bằng giọng nói và văn bản, phát trực tuyến, thu thập số liệu thống kê về trò chơi... Việc sử dụng như vậy đòi hỏi phải tùy chỉnh đáng kể và làm tăng thêm rủi ro cho người dùng khi tìm và cài đặt các tiện ích mở rộng độc hại.
Môi trường thoải mái, có vẻ an toàn thực sự lại là mối đe dọa, làm tăng tỷ lệ thành công của các kỹ thuật "social engineering" - mồi câu trở nên dễ dàng hơn trong một cuộc trò chuyện với những người mà bạn tin là bạn bè của mình. Chúng tôi khuyên bạn nên tuân theo các quy tắc vệ sinh kỹ thuật số tương tự trên Discord như cách bạn làm ở những nơi khác trên Web: Không nhấp vào các liên kết đáng ngờ hoặc tải xuống các tệp khó hiểu, xem xét kỹ lưỡng những lời đề nghị nghe có vẻ quá tốt để trở thành sự thật và không chia sẻ bất kỳ thông tin cá nhân hoặc thông tin tài chính nào.
Đối với Trojan và backdoor, dựa trên Discord hoặc đơn giản được phân phối thông qua nền tảng, chúng không đặc biệt hoặc về cơ bản khác với các loại phần mềm độc hại khác. Sử dụng ứng dụng chống vi-rút đáng tin cậy để giữ an toàn, giữ cho ứng dụng luôn hoạt động - kể cả khi bạn cài đặt bất kỳ phần mềm nào hoặc thêm bot vào máy chủ trò chuyện - và chú ý đến các cảnh báo của nó.
Theo: Kaspersky