Khác với những loại tấn công mạng khác thường
sử dụng file có chứa mã độc lây nhiễm và tấn công máy tính, fileless malware ẩn
ngay trong bộ nhớ RAM hay registry của máy và thực hiện các câu lệnh theo mục
đích của kẻ tấn công theo kaspersky
2017
Các cuộc tấn công mạng bằng mã độc đòi tiền chuộc
(ransomware) đang làm đau đầu toàn thế giới. Nhưng trong lúc giới công nghệ
đang dốc sức tìm cách ngăn chặn ransomware thì một nguy cơ khác nguy hiểm không
kém đang âm thầm phát tán.
Fileless malware (tạm dịch: mã độc nội trú) là một trong những
nguy cơ đang dành được sự quan tâm của giới an ninh mạng thời gian gần đây. Đa
dạng trong phương thức tấn công và khó bị phát hiện là những đặc điểm giúp
fileless malware vượt trội hơn so với những loại mã độc truyền thống.
Khác với những loại tấn công mạng khác thường sử dụng file
có chứa mã độc lây nhiễm và tấn công máy tính, fileless malware ẩn ngay trong bộ
nhớ RAM hay registry của máy và thực hiện các câu lệnh theo mục đích của kẻ tấn
công.
Bằng cách thức này, những kẻ tấn công có thể đánh cắp dữ liệu,
chiếm quyền sử dụng hệ thống từ xa hay phối hợp với các lỗ hổng bảo mật khác để
thực hiện tấn công.
Cách mà các chương trình diệt virus phổ biến hiện nay chủ yếu
dựa trên việc quét các file trong máy đối chiếu với “danh sách truy nã”. Tuy
nhiên, các fileless malware chỉ thực thi các câu lệnh mà không tạo ra các file
lây nhiễm. Do đó, phương thức tìm và diệt truyền thống của các phần mềm bảo mật
khó có thể phát hiện và ngăn chặn loại mã độc này.
Không chỉ vậy, một lý do khiến cho các fileless malware trở
nên “vô hình” là những mã độc này sử dụng chính các câu lệnh hệ thống của máy
tính để thực hiện tấn công.
Thay vì có các “hành vi lạ”, fileless malware những câu lệnh
bình thường có sẵn trong hệ điều hành để qua mặt các phần mềm, hệ thống an
ninh. Tuy nhiên, chính những câu lệnh này có thể được sử dụng để thực hiện việc đánh cắp dữ liệu
hay mở đường cho các loại tấn công khác.
Theo đánh giá của các chuyên gia, các hacker chưa sử dụng
fileless malware như một hình thức tấn công phổ biến nhưng sẽ rất nguy hiểm nếu
loại mã độc này được sử dụng vào mục đích xấu.
Các tổ chức tài chính nhiều khả năng sẽ trở thành mục tiêu số
một của những kẻ tấn công. Khả năng ẩn mình và xóa dấu vết là những yếu tố tuyệt
vời để tổ chức một cuộc tấn công nhằm vào dữ liệu và các tài khoản của ngân
hàng.
Những cuộc tấn công đòi tiền chuộc bằng WannaCry hay Petya
đã đủ làm choáng váng cả thế giới và khiến cho các chuyên gia an ninh phải vô
cùng chật vật. Hãy thử tưởng tượng điều gì sẽ xảy ra khi những cuộc tấn công đó
được kết hợp thêm yếu tố “vô hình” của fileless malware.
Theo báo cáo Enterprise Risk Index (Tạm dịch: Chỉ số về nguy
cơ với doanh nghiệp) do SentinelOne công bố thì kể cả khi được cập nhật liên tục,
các hệ thống bảo mật vẫn để lọt gần 20%
cuộc tấn công theo dạng fileless. Nhiều chuyên gia chia sẻ nhận định
fileless malware sẽ là xu thế của các cuộc tấn công mạng trong tương lai.
Trong 4 tháng cuối năm 2016, tỷ lệ số vụ tấn công từ bộ nhớ
máy tính (in-memory attacks) được ghi nhận đã tăng gấp đôi. Hãng bảo mật
Symantec thậm chí còn đưa ra dự đoán 2017 sẽ là năm của những vụ tấn công dạng
này.
Jeremiah Grossman, trưởng nhóm chiến lược an ninh của
SentinelOne kết luận: “Nếu các doanh nghiệp không có những biện pháp bảo vệ mạnh
mẽ chống lại các cuộc tấn công dựa trên bộ nhớ họ sễ bị lây nhiễm. Đó là điều
chắc chắn".
Theo khuyến cáo của chuyên gia bảo mật Jesus Vigo, các doanh
nghiệp và người dùng cá nhân nên thực hiện những biện pháp sau để hạn chế khả
năng trở thành nạn nhân của fileless malware.
Thứ nhất, hạn chế các script language (tạm dịch: ngôn ngữ kịch
bản) không cần thiết. Đây là một trong những phương tiện mà những kẻ tấn công
thường lợi dụng để thực hiện tấn công. Kiểm soát chặt hoặc tắt hẳn nếu không cần
sử dụng những ứng dụng script language như PowerShell hay WMI (Windows
Management Instrumentation) sẽ là biện pháp hữu hiệu chống lại fileless
malware.
Các macro (tạm dịch: chương trình con) đem lại nhiều thuận lợi
cho người dùng nhưng đây cũng dễ trở thành công cụ phục vụ việc tấn công của
hacker. Theo Jesus, người dùng nên khóa các macro không cần thiết và đánh dấu
những những macro đáng tin cậy.
Theo dõi chặt những luồng trao đổi dữ liệu lạ của các thiết
bị trong hệ thống cùng với chủ động tự kiểm tra các thiết bị đầu cuối cũng là
những biện pháp được khuyến cáo. Ngoài ra, theo các chuyên gia thì việc cập nhật
những bản nâng cấp mới nhất cho các phần mềm vẫn là phương pháp hữu hiệu bảo vệ
hệ thống máy tính của bạn.
Không có nhận xét nào:
Đăng nhận xét