TỔNG QUAN VỀ TẤN CÔNG LỢI DỤNG PHẦN MỀM DIỆT MÃ ĐỘC

Công nghệ tiếp tục tiến bộ đồng nghĩa với mã độc cũng ngày càng trở nên phức tạp và nguy hiểm hơn, đòi hỏi các giải pháp bảo mật cũng phải liên tục được nâng cấp để bảo vệ người dùng tốt hơn. PMDMĐ thường được coi là lớp phòng thủ đầu tiên chống lại các cuộc tấn công mã độc. Tuy nhiên, phần mềm này cũng có thể trở thành mục tiêu bị lợi dụng nếu không được quản lý và bảo mật đúng cách. Nhiều nghiên cứu đã đề cập về việc bảo mật PMDMĐ và cách tin tặc có thể vượt qua nó, điển hình như:

Nghiên cứu của Cylance (2016): Nghiên cứu này tập trung vào các cuộc tấn công sử dụng kỹ khi các nhà phát triển có thể phát hiện và phát hành bản vá [2]. Thông qua đó chỉ ra rằng PMDMĐ thường yếu kém trong việc đối phó với các cuộc tấn công zero-day.

Hình 1. Cách thức hoạt động của chứng chỉ SSL

PHÂN TÍCH CÁC VỤ TẤN CÔNG THỰC TẾ

Vụ tấn công thông qua cập nhật giả mạo (Fake Updates)

Tháng 9/2017, tin tặc đã xâm nhập thành công vào hệ thống phân phối của CCleaner, một phần mềm tối ưu hóa phổ biến có hơn 2 tỷ lượt cài đặt trên toàn thế giới. Hai phiên bản CCleaner được xác nhận bị nhiễm mã độc là CCleaner v5.33.6162 và CCleaner Cloud v1.07.3191. Cuộc tấn công này được phát hiện bởi các nhà nghiên cứu bảo mật từ Cisco Talos và được coi là một ví dụ điển hình về tấn công bằng cách lợi dụng các bản cập nhật giả mạo [3].

Tìm hiểu cách thức tấn công và tác động của chúng có thế thấy được tin tặc đã xâm nhập vào máy chủ của Piriform và chèn mã độc vào bản cập nhật phần mềm. Mã độc "Floxif" được cài đặt âm thầm trên máy tính của người dùng khi họ tải và cài đặt bản cập nhật, thu thập thông tin hệ thống và thông tin mạng của nạn nhân, sau đó gửi các thông tin này đến server của tin tặc.

Khoảng 2,27 triệu người dùng đã tải xuống phiên bản CCleaner bị nhiễm mã độc. Trong đó, khoảng 40 máy tính thuộc các tập đoàn công nghệ lớn như Google, Microsoft và Cisco đã bị tin tặc nhắm đến để thực hiện các cuộc tấn công sâu hơn.

Lỗ hổng trong PMDMĐ

Vào tháng 9/2021, một lỗ hổng nghiêm trọng được gán mã CVE- 2021-40539, cho phép tin tặc thực thi mã từ xa mà không cần xác thực đã được phát hiện trong ManageEngine ADSelfService Plus, một công cụ bảo mật và quản lý danh tính được sử dụng rộng rãi [4].

Trong ví dụ này, tin tặc đã khai thác lỗ hổng thông qua việc gửi các yêu cầu HTTP độc hại đến hệ thống, từ đó chiếm quyền điều khiển, cài đặt cửa hậu và mã độc khác để tiếp tục duy trì quyền truy cập bất hợp pháp. Theo báo cáo từ ZDNet, hơn 2000 hệ thống trên toàn thế

giới đã bị ảnh hưởng bởi lỗ hổng này, trong đó có cả các hệ thống của các cơ quan chính phủ và doanh nghiệp lớn.

Tấn công qua Social Engineering

Năm 2020, một chiến dịch tấn công phishing được phát hiện nhắm mục tiêu đến người dùng Kaspersky. Tin tặc đã giả mạo một email từ Kaspersky, chứa một liên kết dẫn đến trang web giả mạo và lừa người dùng tải xuống PMDMĐ giả [5].

Khác với 2 cuộc tấn công trên, trong trường hợp này tin tặc đã gửi hàng ngàn email phishing đến người dùng với tiêu đề khẩn cấp, thông báo phát hiện file độc hại trên máy nạn nhân, tạo ra cảm giác lo lắng và thúc giục họ nhanh chóng tải các bản cập nhật mà không kịp xác minh. Trang web giả mạo được thiết kế giống hệt như trang chính thức của Kaspersky khiến người dùng khó có thể phân biệt được. Khi người dùng tải xuống phần mềm giả mạo, mã độc Trojan sẽ được cài đặt trên hệ thống của họ.

Kaspersky báo cáo rằng hàng trăm người dùng đã trở thành nạn nhân của chiến dịch phishing này. Trong số đó, nhiều người đã bị mất quyền truy cập vào tài khoản ngân hàng, bị đánh cắp thông tin cá nhân hoặc bị mã hóa máy tính cá nhân bởi ransomware.

CÁC BIỆN PHÁP PHÒNG NGỪA VÀ BẢO VỆ

Cải thiện tính bảo mật của PMDMĐ

Một trong những cách quan trọng để cải thiện tính bảo mật của PMDMĐ là đảm bảo các cơ chế phát hiện mã độc của phần mềm phải được liên tục cập nhật. Thống kê mới nhất của AV-TEST Institute cho thấy, mỗi ngày có hơn 450.000 mã độc mới được phát hiện trên toàn cầu [6]. Điều này chứng tỏ các PMDMĐ phải luôn sẵn sàng đối phó với các cuộc tấn công từ các mã độc mới. Để làm được điều này, các nhà phát triển phần mềm cần đầu tư vào nghiên cứu và phát triển các công nghệ phát hiện dựa trên hành vi (behavioral analysis) thay vì chỉ dựa vào dấu hiệu các mã độc đã biết (signature-based detection).

Có thể thấy được một lỗ hổng tiềm ẩn ngay chính trong PMDMĐ là tính năng cập nhật phần mềm. Nếu quy trình cập nhật không được bảo vệ đúng cách, kẻ tấn công có thể lợi dụng để chèn mã độc vào bản cập nhật và phát tán nó tới người dùng. Các kỹ thuật mã hóa như RSA hoặc AES có thể được áp dụng để đảm bảo rằng chỉ những gói cập nhật chính thức từ nhà phát triển mới có thể được cài đặt trên hệ thống của người dùng. Đồng thời, việc sử dụng các chứng chỉ số (digital certificates) giúp đảm bảo tính xác thực của các bản cập nhật, ngăn chặn kẻ tấn công giả mạo các bản vá.

Nâng cao nhận thức và đào tạo người dùng

Bên cạnh việc cải thiện phần mềm, việc nâng cao nhận thức của người dùng về các rủi ro bảo mật cũng đóng vai trò rất quan trọng. PMDMĐ dù mạnh mẽ đến đâu nhưng nếu người dùng không có ý thức bảo vệ thì hệ thống vẫn dễ bị tấn công. Để nâng cao nhận thức, cần tiến hành các chiến dịch tuyên truyền về các mối đe dọa từ mã độc và cách phòng tránh. Các công ty và tổ chức có thể tổ chức các khóa học ngắn hạn hoặc các chương trình đào tạo trực tuyến về an toàn thông tin cho nhân viên. Bên cạnh đó, việc đưa ra các hướng dẫn cụ thể, dễ hiểu về cách sử dụng PMDMĐ cũng sẽ giúp người dùng tự bảo vệ mình.

Sử dụng các công nghệ bảo mật bổ sung

Sử dụng hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS): Đây là một giải pháp bảo mật quan trọng giúp theo dõi và phân tích các hoạt động trên mạng, nhằm phát hiện các hành vi bất thường, có thể là dấu hiệu của một cuộc tấn công. IDS hoạt động bằng cách so sánh các hành vi hiện tại với các mẫu hành vi bình thường đã được định nghĩa trước đó. Nếu có sự khác biệt lớn, hệ thống sẽ đưa ra cảnh báo cho quản trị viên để kịp thời xử lý.

Sử dụng tường lửa (Firewall): Tường lửa là một lớp bảo vệ khác rất quan trọng trong việc bảo vệ hệ thống khỏi các cuộc tấn công từ bên ngoài. Nó hoạt động như một bộ lọc, kiểm tra tất cả các lưu lượng mạng đi qua hệ thống và chỉ cho phép các lưu lượng hợp lệ được truyền qua. Tường lửa giúp ngăn chặn các kết nối không hợp lệ từ bên ngoài, giảm nguy cơ bị tấn công từ các tin tặc hoặc mã độc.

Kết hợp các giải pháp bảo mật khác: Ngoài IDS và tường lửa, việc sử dụng các giải pháp bảo mật khác như hệ thống ngăn chặn xâm nhập (IPS), bảo mật đa lớp (multi-layer security) và phân tích hành vi (behavioral analysis) cũng rất quan trọng. Kết hợp các giải pháp này không chỉ giúp bảo vệ hệ thống khỏi các cuộc tấn công đơn lẻ mà còn cung cấp một chiến lược phòng thủ toàn diện, lâu dài, bảo vệ hệ thống từ nhiều hướng khác nhau.

KẾT LUẬN

Trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng, PMDMĐ đã và đang đóng vai trò là tuyến phòng thủ đầu tiên trong việc bảo vệ hệ thống khỏi các loại mã độc nguy hiểm. Tuy nhiên, việc dựa hoàn toàn vào các công cụ này lại tiềm ẩn những mối đe dọa ngày càng phức tạp và tinh vi. Trong tương lai, việc nghiên cứu để hiểu rõ các phương pháp tấn công mới và phát triển các biện pháp phòng thủ tiên tiến chống lại những phương pháp này sẽ đóng vai trò quan trọng trong việc bảo vệ hệ thống khỏi các mối đe dọa mới.