Phát Hiện Mã Độc Nghe Lén Giao Thức (Packet Sniffing) Trên Linux

Nguyễn Văn TrungNguyễn Văn Trung
3 min read

Trong thế giới số hiện nay, bảo mật hệ thống Linux không còn là câu chuyện riêng của các quản trị viên hệ thống. Khi mã độc nghe lén (packet sniffing malware) ngày càng tinh vi, mọi cá nhân và tổ chức sử dụng Linux đều có thể trở thành mục tiêu trong tầm ngắm của kẻ tấn công.

Thông tin chi tiết

Mã độc hoạt động âm thầm bằng cách chuyển các giao diện mạng (network interface) sang chế độ promiscuous, cho phép nó nghe lén mọi gói tin đi qua hệ thống – kể cả khi các gói tin này không dành cho nó. Hậu quả là:

  • Rò rỉ dữ liệu đăng nhập (username/password)

  • Đánh cắp thông tin truy cập SSH, API

  • Nguy cơ bị chiếm quyền điều khiển hệ thống

Mã Độc Trên Linux: Hoạt Động Ra Sao?

Các packet sniffer độc hại thường sử dụng các hàm như pcap_open_live() trong thư viện libpcap để bám vào giao diện mạng và ghi lại lưu lượng. Một số còn sử dụng kỹ thuật tải thư viện động (LD_PRELOAD) để ẩn hoạt động khỏi các công cụ giám sát thông thường như netstat, ss, hoặc lsof.

Không những thế, chúng có thể ghi nhật ký dữ liệu vào các file ẩn nằm sâu trong hệ thống như /tmp/.cache/ hoặc /var/tmp/.log.

Tại Sao Quản Trị Viên Thường Bỏ Qua Loại Mã Độc Này?

  • Không gây chú ý: Không tốn nhiều CPU, không làm chậm hệ thống.

  • Ẩn mình tốt: Không tạo kết nối mạng ra ngoài, nên dễ bị bỏ sót bởi firewall hoặc IDS.

  • Không để lại dấu hiệu rõ ràng: File log có thể được mã hóa, giấu kín hoặc xóa sau khi gửi dữ liệu.

Làm Cách Nào Phát Hiện Packet Sniffer Trên Linux?

1. Kiểm tra giao diện mạng ở chế độ promiscuous

Sử dụng lệnh:

ip link

Hoặc:

ip a

Nếu thấy dấu PROMISC, có thể hệ thống đang bị giám sát.

2. Dùng công cụ như tcpdump hoặc wireshark để kiểm tra lưu lượng khả nghi.

3. Quét tiến trình đang sử dụng libpcap

Chạy lệnh sau để xem tiến trình nào mở file liên quan đến libpcap:

lsof | grep pcap

4. Sử dụng công cụ phát hiện rootkit và phần mềm độc hại như:

  • chkrootkit

  • rkhunter

  • Sandfly Security (đặc biệt cho Linux, không cần cài agent)

Khuyến nghị

Phía FPT Threat Intelligent khuyến nghị một số phương pháp khác bảo vệ cá nhân cũng như tổ chức khỏi các loại mã độc nghe lén trên Linux:

  • Hạn chế quyền root và sudo

  • Giám sát thay đổi quyền trên các giao diện mạng

  • Sử dụng hệ thống phát hiện hành vi bất thường (behavioral detection)

  • Phân tích log định kỳ và giám sát thời gian thực

Tham khảo

Detecting Packet Sniffing Malware on Linux

0
Subscribe to my newsletter

Read articles from Nguyễn Văn Trung directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligenceLinux

Written by

Nguyễn Văn Trung
Nguyễn Văn Trung