Virus giả mạo DHCP Server hoành hành mạng doanh nghiệp

Thời gian gần đây, người dùng máy tính tại rất nhiều cơ quan, doanh nghiệp “bỗng nhiên” không thể truy cập vào được bất kỳ website nào, thay vào đó là một thông báo yêu cầu cập nhật trình duyệt.

Khi bấm nút “Browser update”, người sử dụng sẽ được yêu cầu tải về 1 chương trình về để “cập nhật” trình duyệt của mình.

Tuy nhiên, đó thực chất là một loại virus.
Những mạng nội bộ có hiện tượng như trên đều có ít nhất 1 máy tính bị nhiễm virus W32. Gatpaz.Worm có khả năng giả mạo DHCP Server để gửi các gói tin cấu hình đến các máy trạm nhằm thay thế địa chỉ DNS của các máy đó bằng địa chỉ server của hacker. Khi đó, khi người sử dụng truy cập mạng sẽ được chuyển hướng đến 1 website lừa đảo do hacker thiết lập từ trước.
Tình trạng này chỉ xảy đến đối với những mạng doanh nghiệp sử dụng phương pháp cấp phát động IP thông qua DHCP Server.


Trong mô hình này, mỗi mạng sẽ được thiết lập 1 DHCP Server làm nhiệm vụ quản lý và cấp phát IP cho các máy trong mạng đó. Khi máy bất kỳ cần 1 địa chỉ IP để truy cập mạng, nó sẽ gửi đi thông điệp DHCPDISCOVER ra toàn mạng. Sau khi nhận được thông điệp này, DHCP Server sẽ xử lý và gửi trả lại địa chỉ IP và một số thông tin được cấp phát cho máy đó. Quá trình gửi thông điệp chính là “lỗ hổng” trong mô hình này giúp hacker, một khi đã cài được Gatpaz vào 1 máy tính bất kỳ trong mạng, sẽ tạo được 1 DHCP Server giả mạo. Ngoài việc thiết lập địa chỉ IP cho các máy trạm, DHCP Server giả mạo còn thiết lập để địa chỉ DNS Server của máy đó trỏ về DNS Server của hacker, khi đó hacker sẽ toàn quyền kiểm soát hoạt động truy cập các website của người sử dụng.
Để giải quyết triệt để những trường hợp virus phá hoại mạng máy tính của các các doanh nghiệp như trên, Bkav khuyến cáo các công ty, tổ chức nên sử dụng một giải pháp diệt virus tổng thể dành cho doanh nghiệp.
Ngô Anh Huy – Bkav R&D

Leave a Reply