NGUY CƠ GIA TĂNG HÌNH THỨC TẤN CÔNG BẰNG MÃ ĐỘC FILELESS

Theo công ty cổ phần an toàn thông tin CyRadar (Việt Nam), trong những năm gần đây đã xuất hiện ba hình thức tấn công an ninh mạng phổ biến nhất. Các hình thức này tuy không quá mới nhưng đã được các kẻ tấn công phát triển và nâng cấp khiến các hệ thống an ninh bảo mật khó phát hiện hơn, bao gồm:

- Tấn công lừa đảo (phishing attack): Đây là một hình thức tấn công mạng mà kẻ tấn công giả mạo một tổ chức hoặc cá nhân được tin cậy để lừa đảo người dùng và thu thập thông tin cá nhân nhạy cảm như tên đăng nhập, mật khẩu, số thẻ tín dụng hoặc thông tin tài khoản ngân hàng. Tấn công lừa đảo có nhiều hình thức khác nhau, dưới đây là một số hình thức phổ biến:

Email Phishing: Hình thức tấn công này chủ yếu từ các tin nhắn giả mạo được gửi qua email, thường có nội dung yêu cầu người nhận cung cấp thông tin cá nhân như tên đăng nhập, mật khẩu, số thẻ tín dụng và thông tin nhạy cảm khác. Email thường được thiết kế để giống hệt các thông điệp chính thức từ các tổ chức như ngân hàng, dịch vụ tài chính, hoặc công ty công nghệ.

Website Phishing: Kẻ tấn công tạo ra các trang web giả mạo các trang web phổ biến như ngân hàng, trang web mua sắm, hoặc trang web dịch vụ. Những trang web này có thể yêu cầu người dùng nhập thông tin cá nhân và tài khoản, sau đó sử dụng thông tin này để đánh cắp thông tin nhạy cảm khác.

Spear Phishing: Một dạng tinh vi hơn của email phishing, spear phishing nhắm vào các cá nhân hoặc tổ chức cụ thể bằng cách sử dụng thông tin cá nhân được thu thập trước đó để làm cho thông điệp giả mạo trở nên thuyết phục hơn.

SMS Phishing (Smishing): Tương tự như email phishing, nhưng tin nhắn văn bản được sử dụng thay vì email. Kẻ tấn công sẽ gửi tin nhắn giả mạo yêu cầu người nhận truy cập vào một trang web hoặc gọi điện đến số điện thoại cung cấp thông tin cá nhân.

Voice Phishing (Vishing): Kẻ tấn công sử dụng điện thoại để gọi điều hướng người dùng đến các cuộc gọi giả mạo, thường mạo danh là các dịch vụ cung cấp thông tin quan trọng nhưng thực tế là để lừa đảo thông tin cá nhân.

Social Media Phishing: Kẻ tấn công sử dụng các trang mạng xã hội để gửi tin nhắn giả mạo, tạo ra các trang web lừa đảo thông qua các liên kết độc hại trên mạng xã hội.

Clone Phishing: Kẻ tấn công tạo ra một bản sao của một email hợp pháp đã được gửi trước đó, nhưng thay đổi một số chi tiết, ví dụ như các liên kết hay tệp đính kèm để lừa đảo người nhận.

- Phần mềm gián điệp (spyware): Một dạng phần mềm độc hại hoạt động ẩn trong hệ thống để đánh cắp thông tin dữ liệu trái phép, thông qua thao tác bàn phím, ảnh chụp màn hình, email, dữ liệu trình duyệt, thông tin đăng nhập thẻ tín dụng, tài khoản,… Phần mềm gián điệp được cài đặt một cách bí mật như là một thành phần đi kèm của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người dùng có thể tải về và cài đặt dễ dàng từ Internet.

- Tấn công bằng mã độc fileless: Với kiểu tấn công này, các kẻ tấn công sẽ xâm nhập, kiểm soát và thực hiện các hoạt động độc hại bằng cách khai thác các phần mềm dễ bị tấn công mà người dùng hay sử dụng, chẳng hạn như Microsoft Word, trình duyệt Chrome hoặc phần mềm đã được triển khai trên máy tính mục tiêu. Kẻ tấn công cũng có thể khai thác các lỗ hổng bảo mật để có quyền truy cập vào các công cụ hệ điều hành như PowerShell hoặc Registry. Thay vì tải các tệp độc hại hoặc ghi lại nội dung vào ổ cứng, kẻ tấn công khai thác các lỗ hổng ứng dụng để chạy script và tải mã độc trực tiếp vào bộ nhớ RAM. Ví dụ về tấn công bằng mã độc fileless được minh họa như Hình 1.

Hình 1. Ví dụ hình thức tấn công bằng mã độc fileless

Trong ví dụ trên, khi người dùng truy cập Internet bằng trình duyệt web bị điều hướng tới trang web giả mạo (malicious website). Khi đó, flash - một công cụ hỗ trợ tương tác giữa trình duyệt với máy tính được khởi chạy. Tuy nhiên, flash cũng đi kèm với rất nhiều lỗi bảo mật nghiêm trọng. Flash kích hoạt tập lệnh Powershell và tải xuống các tệp bổ sung chứa mã độc từ một máy chủ khác trên mạng, sau đó tiêm nhiễm mã độc vào RAM và thực thi. Giống như tất cả các cuộc tấn công mạng, mục đích chung là giành quyền kiểm soát máy tính để thực hiện các mục tiêu như tống tiền nạn nhân, đánh cắp dữ liệu,...

QUY TRÌNH TẤN CÔNG BẰNG MÃ ĐỘC FILELESS

Phân tích quy trình tấn công mã độc fileless là quá trình nghiên cứu và hiểu rõ về cách một cuộc tấn công không sử dụng tệp thực hiện các bước để xâm nhập, lan truyền và thực hiện hành động độc hại không để lại dấu vết trên ổ đĩa cứng. Phân tích quy trình tấn công này giúp tổ chức triển khai các biện pháp phòng ngừa và đưa ra phản ứng phù hợp để ngăn chặn và giảm thiểu tác động của các cuộc tấn công này.

Quy trình tấn công mã độc fileless có thể được kẻ tấn công tiến hành theo 4 giai đoạn như sau:

Xâm nhập ban đầu

Tấn công mã độc fileless thường bắt đầu bằng việc kẻ tấn công gửi email chứa các liên kết độc hại hoặc tệp tin đính kèm với mục đích lừa đảo người dùng. Như đã được đề cập, spear phishing là một kỹ thuật tấn công mục tiêu, trong đó, kẻ tấn công tập trung vào một cá nhân cụ thể, doanh nghiệp, hoặc tổ chức để lừa đảo thông tin nhạy cảm hoặc tiếp cận hệ thống máy tính. So với phương pháp phishing thông thường, spear phishing đòi hỏi một lượng lớn thông tin riêng tư và có khả năng định hướng đối tượng để tạo ra các thông điệp lừa đảo có tính cá nhân và tính thuyết phục.

Thu thập thông tin

Sau khi kẻ tấn công giành được quyền truy cập vào hệ thống, họ có thể thực hiện các hình thức tấn công tiếp theo để thu thập thông tin như sau:

PowerShell hoặc Scripting Language: Kẻ tấn công sử dụng PowerShell hoặc các ngôn ngữ kịch bản khác để thực thi các lệnh độc hại mà không cần tạo ra các tệp đính kèm. PowerShell có khả năng tải xuống và thực thi tệp tin từ Internet. Kẻ tấn công có thể sử dụng chức năng này để tải về mã độc từ máy chủ từ xa và thực hiện nó trực tiếp từ bộ nhớ. PowerShell cũng có thể được sử dụng để vượt qua các cơ chế xác thực an toàn như Application Whitelisting (AWL) - một phương pháp bảo mật được sử dụng để bảo vệ hệ thống máy tính khỏi phần mềm không được ủy quyền bằng cách chỉ cho phép các ứng dụng đã được phê duyệt khởi chạy. Khi người dùng cố gắng thực thi một ứng dụng, hệ thống kiểm tra xem nó có trong whitelist không. Nếu có, ứng dụng được phép chạy, nếu không, nó sẽ bị chặn. Tuy nhiên, PowerShell có thể được sử dụng đã vượt qua cơ chế bảo mật này bằng cách chạy mã độc không cần thiết lập tệp tin.

Reflective DLL Injection: Chèn mã độc vào bộ nhớ, đây là quá trình chèn lệnh vào một tiến trình đang chạy. Lệnh được sử dụng ở đây là ở dạng thư viện liên kết động (DLL) để thực hiện các chức năng độc hại không để lại dấu vết trên ổ đĩa. Quy trình tấn công DLL Injection được thể hiện trong Hình 2.

Hình 2. Quy trình tấn công DLL Injection

Thiết lập backdoor

Khi mã độc xâm nhập và kiểm soát hệ thống, nó thường thiết lập một backdoor để cho phép kẻ tấn công truy cập vào máy mục tiêu. Kẻ tấn công có thể sử dụng Registry và Windows Management Instrumentation (WMI) để duy trì sự tồn tại và tránh bị phát hiện. Kovter và Poweliks là hai ví dụ về mã độc fileless sử dụng Windows Registry để lây nhiễm cho người dùng. Mã độc fileless có thể thực hiện đăng ký một hành động vào WMI với dòng lệnh được thể hiện trong Hình 3.

Hình 3. Tấn công mã độc fileless sử dụng WMI

Thực thi mã độc fileless Sau khi đã tạo được thành phần cư trú (có khả năng khởi động cùng hệ thống), thành phần ban đầu này chủ yếu sẽ thực hiện hành vi kết nối đến máy chủ để tải về và thực thi các đoạn mã độc khác nhau trên bộ nhớ, với các hành vi độc hại thường thấy như: Tắt các ứng dụng anti-virus, tìm cách dò quét, lây lan trong mạng, thu thập đánh cắp thông tin, mã hóa dữ liệu,...

MỘT SỐ CÁCH THỨC PHÒNG CHỐNG MÃ ĐỘC FILELESS

Tấn công bằng mã độc fileless là một mối đe dọa thực sự đối với các tổ chức, nhưng rủi ro này vẫn có thể được giảm thiểu. Một số giải pháp được đề xuất như sau:

Đào tạo nâng cao nhận thức về an ninh mạng

Kẻ tấn công khi thực hiện tấn công fileless thường sử dụng kỹ nghệ xã hội để gửi mã độc. Đào tạo nâng cao nhận thức về an toàn thông tin mạng là một phương pháp tiếp cận hiệu quả giúp người dùng giảm thiểu nguy cơ bị tấn công với những khuyến nghị nên truy cập các trang web an toàn và nhấn mạnh sự cần thiết phải thận trọng khi mở tệp đính kèm email.

Phân tích và phát hiện hành vi bất thường

Phân tích mã độc là việc sử dụng các công cụ, kỹ thuật nhằm xác định hành vi độc hại trên hệ thống mạng. Về phương pháp thực hiện, có hai phương pháp phân tích mã độc chủ yếu là phân tích tĩnh và phân tích động.

Phân tích tĩnh mô tả việc phân tích mã, cấu trúc của một phần mềm mà không cần thực thi chúng nhằm mục đích kiểm tra xem tệp tin, phần mềm có phải mã độc hay không, đồng thời cố gắng xác định hành vi của mã độc. Trong khi đó, phân tích động là việc phân tích các hành vi, chức năng của mã độc bằng cách thực thi phần mềm độc hại. Không giống như phân tích tĩnh, phân tích động cho phép quan sát chức năng thực sự của phần mềm độc hại. Đối với mã độc không sử dụng tệp, các tổ chức nên thực hiện phân tích và phát hiện hành vi bất thường để xác định các hoạt động có thể cho thấy một cuộc tấn công bằng mã độc fileless đang xảy ra.

Cài đặt phần mềm anti-virus

Việc phát hiện mã độc fileless có thể là một nhiệm vụ đầy thách thức đối với một số phần mềm anti-virus. Aqua Security, là một công cụ điều tra và bảo mật thời gian thực có thể phát hiện và phòng ngừa tấn công bằng mã độc fileless hiệu quả.

Cập nhật hệ điều hành và phần mềm ứng dụng

Một trong những biện pháp hiệu quả để bảo đảm an toàn cho hệ thống tránh lây nhiễm mã độc là cập nhật hệ điều hành và tất cả phần mềm, ứng dụng với các bản vá bảo mật mới nhất. Ngoài ra, để chủ động phát hiện sớm các mối đe dọa đáng ngờ, cá nhân và tổ chức cũng cần thường xuyên cập nhật các chương trình, phần mềm anti-virus để kịp thời ngăn chặn các dạng mã độc trên hệ thống mạng và máy tính.