Fileless malware - gót chân Achilles của phần mềm diệt virus truyền thống

Về cơ bản, một sản phẩm chống virus điển hình và dịch vụ End Point ngày nay nói chung thường đi kèm với hai cách phát hiện phần mềm độc hại như sau:

  • Dựa vào chữ kỹ mã
  • Thuật giải Heuristic

Phần mềm chống virus dựa trên chữ ký mã đã được phát triển qua hàng chục năm, kể từ thời kỳ của những phần mềm độc hại tấn công vào hệ thống MS-DOS sớm nhất, nhưng nhìn chung vẫn tuân các theo công thức đã được đúc kết, và đồng thời sử dụng một phần mẫu mã độc để xác định phần mềm độc hại lây lan trong một hệ thống máy tính. Ví dụ như trường hợp của MSAV, phần mềm chống virus tích hợp của MS-DOS 6.0, tuân theo công thức này giống như cái cách mà chương trình antivirus mới nhất được Microsoft phát triển dành riêng cho Windows ngày nay, Defender, đang vận hành.

Bảo mật

Trong khi đó, thuật ngữ Heuristic là một từ đề cập đến là các kỹ thuật dựa trên kinh nghiệm để giải quyết vấn đề, học hỏi hay khám phá nhằm đưa ra một giải pháp mà không được đảm bảo là tối ưu. Với việc nghiên cứu khảo sát không có tính thực tế, các phương pháp heuristic được dùng nhằm tăng nhanh quá trình tìm kiếm với các giải pháp hợp lý thông qua các suy nghĩ rút gọn để giảm bớt việc nhận thức vấn đề khi đưa ra quyết định. Trong trường hợp của bảo mật thông tin, thuật giải Heuristic yêu cầu các quy trình chống phần mềm độc hại chuyên sâu phải được cài đặt sâu vào hệ điều hành Windows, móc nối vào mọi chức năng của hệ điều hành này nhằm theo dõi các hoạt động của máy tính ở mức độ chi tiết nhất, để qua đó phát hiện những hành vi đáng ngờ tương tự như những gì mà một phần mềm độc hại thường hay thực hiện. Ưu điểm của thuật giải Heuristic là nó mạnh mẽ hơn phương pháp chống virus dựa trên chữ ký, nhưng lại bất lợi ở chỗ dễ bị sai hơn.

Phần mềm antivirus

Tuy nhiên, trong tình hình biến đổi khó lường của lĩnh vực an ninh mạng ngày nay, ngay cả với sức mạnh tổng hợp của cả 2 phương pháp kiểm tra chữ ký và thuật giải heuristic, các chuyên gia bảo mật vẫn gặp khó khăn trong việc phát hiện một loại phần mềm độc hại mới, có thể duy trì hoạt động mà không sử dụng đến hệ thống tệp được lưu trữ trên thiết bị, đó chính là: Fileless malware (tạm dịch: Mã độc không dùng tệp). McAfee, một trong những nhà cung cấp phần mềm chống virus chính thống uy tín nhất thế giới đã không ít lần phải nhấn mạnh đến mức độ khó khăn mà các chuyên gia bảo mật gặp phải trong quá trình dò tìm loại phần mềm độc hại chỉ tồn tại trong bộ nhớ mà không sở hữu tệp nào trên đĩa lưu trữ như fileless malware.

Theo định nghĩa được thống nhất và công nhận rộng rãi bởi nhiều chuyên gia bảo mật đầu ngành thì “fileless malware là loại mã độc hoạt động mà không ghi các tệp thi hành độc hại vào hệ thống tệp. Định nghĩa này bao gồm cả trường hợp mà việc lây nhiễm bắt đầu với một script độc hại, hay một tệp thi hành vô hại trên hệ thống tệp và trường khi mã độc lưu thông tin của nó trong registry, dù Windows vẫn ghi nội dung của registry trên đĩa. Fileless malware không dựa vào các tập tin và đương nhiên không để lại bất cứ dấu vết nào, khiến cho việc phát hiện và loại bỏ nó trở nên cực kỳ khó khăn, và quan trọng hơn, những cuộc tấn công như thế này có khả năng thành công cao hơn gấp 10 lần trong việc lây nhiễm các máy tính so với các cuộc tấn công dựa trên tệp”.

Fileless malware

Vấn đề là những mã độc không sử dụng tệp này lại sử dụng API Windows thông thường để thực hiện các hoạt động thực tế như xóa một tệp thay vì được lập trình chức năng từ trước.

Để bảo vệ hệ thống máy tính chống lại fileless malware, các tổ chức cần áp dụng cách tiếp cận với an ninh mạng theo kiểu kết hợp và đồng bộ toàn diện giữa hành vi, quy trình và công nghệ của người dùng. Nói một cách cơ bản hơn thì doanh nghiệp phải làm thế nào để chắc chắn rằng mọi nhân viên của mình đều đã được đào tạo và nắm được những mối nguy hiểm khi họ mở file đính kèm được gửi từ một tài khoản xa lạ, hoặc ngay cả đối tượng mà họ nghĩ rằng đáng tin cậy. Bên cạnh đó, mọi bản vá do nhà cung cấp phát hành phải cũng cần phải được đảm bảo bảo cài đặt ngay lập tức. Có thể đúc kết lại một số việc mà các doanh nghiệp, tổ chức và cả người dùng cá nhân cần phải thực hiện như sau:

  • Tiến hành đào tạo, nâng cao kiến thức cho không chỉ nhân viên mà cả người dùng về việc không nên truy cập vào các liên kết đáng ngờ.
  • Luôn cập nhật tất cả phần mềm điểm cuối lên phiên bản mới nhất.
  • Sử dụng mật khẩu mạnh, đồng thời kết hợp cả với xác thực đa yếu tố.
  • Triển khai những công cụ phát hiện hành vi có thể phát hiện ra các mối đe dọa trong thời gian thực.
  • Thực hiện việc tách trình duyệt từ xa (tách web) cho tất cả trình duyệt web.
  • Xây dựng phương án sao lưu dữ liệu quan trọng.
  • Triển khai các biện pháp bảo mật điểm cuối.

Bảo mật điểm cuối

Nếu phương pháp phân tách trình duyệt từ xa được giới thiệu và triển khai rộng rãi, nó sẽ góp phần bổ sung thêm lớp bảo vệ ngay cả khi người dùng bị tấn công bởi một chiến dịch email chứa phần mềm độc hại nói chung (hoặc cả fileless malware), JavaScript tải xuống từ trang web độc hại sẽ được phân lập từ điểm cuối như khi nó chạy trên một disposable container. Trình duyệt ảo từ xa sẽ hiển thị nội dung web và truyền các màn hình web vô hại đến điểm cuối. Trong khi mã và các tập lệnh (script) hoạt động không bao giờ chạm được đến điểm cuối và do đó, điểm cuối cũng như hệ thống mạng bên trong sẽ được an toàn, đây sẽ là hy vọng mới cho các nhà nghiên cứu bảo mật khi nói đến những biện pháp hiệu quả trong việc chống lại fileless malware. Kết hợp với giáo dục cũng như nâng cao nhận thức người dùng, máy tính bị nhiễm phần mềm độc hại fileless malware sẽ nhanh chóng bị xóa khỏi hệ thống mạng chung, điều này đồng thời cũng sẽ giúp loại trừ khả năng máy tính bị lây nhiễm liên tục được sử dụng để phân phối mã độc cho các thiết bị khác trong hệ thống mạng. Người dùng cuối (các nhân viên trong môi trường doanh nghiệp) là những người đóng vai trò như những “tấm lá chắn bảo vệ chính” trong tình huống này, do đó, một trong những yêu cầu tiên quyết là họ phải có đủ kiến thức để xác định được xem liệu có điều gì bất thường đã và đang xảy ra trong máy tính của chính mình hay không. Fileless malware được coi là gót chân Achilles đối với phần mềm diệt virus truyền thống, nhưng gót chân cũng hoàn toàn có thể được “bọc giáp” nếu chúng ta nắm trong tay phương pháp và kỹ thuật đủ mạnh!

Thứ Sáu, 29/03/2019 08:12
52 👨 430
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng