[DR.VCCloud] Fileless malware, "sát thủ vô hình" thách thức các hệ thống an ninh mạng

Khác với những loại tấn công mạng khác thường sử dụng file có chứa mã độc lây nhiễm và tấn công máy tính, fileless malware ẩn ngay trong bộ nhớ RAM hay registry của máy và thực hiện các câu lệnh theo mục đích của kẻ tấn công.

Các cuộc tấn công mạng bằng mã độc đòi tiền chuộc (ransomware) đang làm đau đầu toàn thế giới. Nhưng trong lúc giới công nghệ đang dốc sức tìm cách ngăn chặn ransomware thì một nguy cơ khác nguy hiểm không kém đang âm thầm phát tán.
Fileless malware (tạm dịch: mã độc nội trú) là một trong những nguy cơ đang dành được sự quan tâm của giới an ninh mạng thời gian gần đây. Đa dạng trong phương thức tấn công và khó bị phát hiện là những đặc điểm giúp fileless malware vượt trội hơn so với những loại mã độc truyền thống.
Khác với những loại tấn công mạng khác thường sử dụng file có chứa mã độc lây nhiễm và tấn công máy tính, fileless malware ẩn ngay trong bộ nhớ RAM hay registry của máy và thực hiện các câu lệnh theo mục đích của kẻ tấn công.
Bằng cách thức này, những kẻ tấn công có thể đánh cắp dữ liệu, chiếm quyền sử dụng hệ thống từ xa hay phối hợp với các lỗ hổng bảo mật khác để thực hiện tấn công.
Cách mà các chương trình diệt virus phổ biến hiện nay chủ yếu dựa trên việc quét các file trong máy đối chiếu với "danh sách truy nã".
Tuy nhiên, các fileless malware chỉ thực thi các câu lệnh mà không tạo ra các file lây nhiễm. Do đó, phương thức tìm và diệt truyền thống của các phần mềm bảo mật khó có thể phát hiện và ngăn chặn loại mã độc này.
Không chỉ vậy, một lý do khiến cho các fileless malware trở nên "vô hình" là những mã độc này sử dụng chính các câu lệnh hệ thống của máy tính để thực hiện tấn công.
Thay vì có các "hành vi lạ", fileless malware những câu lệnh bình thường có sẵn trong hệ điều hành để qua mặt các phần mềm, hệ thống an ninh. Tuy nhiên, chính những câu lệnh này có thể được sử dụng để thực hiện việc đánh cắp dữ liệu hay mở đường cho các loại tấn công khác.
Theo đánh giá của các chuyên gia, các hacker chưa sử dụng fileless malware như một hình thức tấn công phổ biến nhưng sẽ rất nguy hiểm nếu loại mã độc này được sử dụng vào mục đích xấu.
Các tổ chức tài chính nhiều khả năng sẽ trở thành mục tiêu số một của những kẻ tấn công. Khả năng ẩn mình và xóa dấu vết là những yếu tố tuyệt vời để tổ chức một cuộc tấn công nhằm vào dữ liệu và các tài khoản của ngân hàng.
Những cuộc tấn công đòi tiền chuộc bằng WannaCry hay Petya đã đủ làm choáng váng cả thế giới và khiến cho các chuyên gia an ninh phải vô cùng chật vật. Hãy thử tưởng tượng điều gì sẽ xảy ra khi những cuộc tấn công đó được kết hợp thêm yếu tố "vô hình" của fileless malware.
Theo báo cáo Enterprise Risk Index (Tạm dịch: Chỉ số về nguy cơ với doanh nghiệp) do SentinelOne công bố thì kể cả khi được cập nhật liên tục, các hệ thống bảo mật vẫn để lọt gần 20% cuộc tấn công theo dạng fileless.
Nhiều chuyên gia chia sẻ nhận định fileless malware sẽ là xu thế của các cuộc tấn công mạng trong tương lai.
Trong 4 tháng cuối năm 2016, tỷ lệ số vụ tấn công từ bộ nhớ máy tính (in-memory attacks) được ghi nhận đã tăng gấp đôi. Hãng bảo mật Symantec thậm chí còn đưa ra dự đoán 2017 sẽ là năm của những vụ tấn công dạng này.
Jeremiah Grossman, trưởng nhóm chiến lược an ninh của SentinelOne kết luận: "Nếu các doanh nghiệp không có những biện pháp bảo vệ mạnh mẽ chống lại các cuộc tấn công dựa trên bộ nhớ họ sễ bị lây nhiễm. Đó là điều chắc chắn".
Theo khuyến cáo của chuyên gia bảo mật Jesus Vigo, các doanh nghiệp và người dùng cá nhân nên thực hiện những biện pháp sau để hạn chế khả năng trở thành nạn nhân của fileless malware.
Thứ nhất, hạn chế các script language (tạm dịch: ngôn ngữ kịch bản) không cần thiết. Đây là một trong những phương tiện mà những kẻ tấn công thường lợi dụng để thực hiện tấn công.
Kiểm soát chặt hoặc tắt hẳn nếu không cần sử dụng những ứng dụng script language như PowerShell hay WMI (Windows Management Instrumentation) sẽ là biện pháp hữu hiệu chống lại fileless malware.
Các macro (tạm dịch: chương trình con) đem lại nhiều thuận lợi cho người dùng nhưng đây cũng dễ trở thành công cụ phục vụ việc tấn công của hacker. Theo Jesus, người dùng nên khóa các macro không cần thiết và đánh dấu những những macro đáng tin cậy.
Theo dõi chặt những luồng trao đổi dữ liệu lạ của các thiết bị trong hệ thống cùng với chủ động tự kiểm tra các thiết bị đầu cuối cũng là những biện pháp được khuyến cáo.
Ngoài ra, theo các chuyên gia thì việc cập nhật những bản nâng cấp mới nhất cho các phần mềm vẫn là phương pháp hữu hiệu bảo vệ hệ thống máy tính của bạn.