Thế nào là 1 cuộc tấn công mã độc Fileless Attack?



Làm thế nào các tin tặc có thế xâm nhập trái phép vào máy tính mà không cần cài đặt phần mềm lên máy tính nạn nhân. Tội phạm mạng không cần đặt phần mềm độc hại vào hệ thống của bạn để xâm nhập. Fileless hoặc zero-footprint attack sử dụng các ứng dụng hợp pháp hoặc thậm chí cả hệ điều hành.

‘Chúng tôi thấy fileless hoặc zero-footprint attack mỗi ngày. Có điều gì đó đang đến, một vài mã khai thác lỗ hổng trên máy tính, hay là một số mã độc tống tiền chưa được biết đến. ” Steven Lentz phát biểu , CSO tại Samsung Research America.

Các cuộc tấn công mà Lentz lo lắng là fileless attacks, cũng được biết đến như là zero-footprint attacks, macro, hoặc non-malware attacks. Các kiểu tấn công này không cài đặt phần mềm mới trên máy tính của người dùng, vì vậy các công cụ chống vi-rút có nhiều khả năng bỏ sót chúng.

Fileless attacks có hiệu quả. Theo Ponemon Institute’s “The State of Endpoint Security Risk Report,” 77% các cuộc tấn công mang tính chất nguy hại trong năm những năm gần đây là Fileless attacks.” Báo cáo ước tính rằng Fileless attacks có khả năng thành công cao hơn mười lần so với  file-based attacks.

Fileless attacks tránh được whitelisting . Với whitelisting, chỉ những ứng dụng đã được phê duyệt mới được phép cài đặt trên một thiết bị. Fileless attacks lợi dụng các ứng dụng đã được cài đặt và nằm trong danh sách được phê duyệt. Tuy nhiên, các thuật ngữ “Fileless attacks”, “zero-footprint” và “non-malware” về mặt kỹ thuật là những thuật ngữ sai vì chúng thường phụ thuộc vào việc người dùng tải xuống các tệp đính kèm độc hại và chúng để lại dấu vết trên máy tính nếu bạn biết những gì cần tìm.

Zero-footprint malware không thực sự tồn tại, vì có nhiều cách để phát hiện phần mềm độc hại ngay cả khi nó không tự cài đặt trên ổ cứng” Cristiana Brafman Kittner, nhà phân tích mã độc về mối đe dọa cấp cao tại FireEye, Inc. Ngoài ra, họ không tránh hoàn toàn phần mềm chống vi-rút, vì phần mềm chống vi-rút vẫn có thể phát hiện ra tệp đính kèm độc hại hoặc liên kết độc hại, ngay cả khi không có tệp thực thi nào được cài đặt.

Những kẻ tấn công biết rằng với fileless attack, chúng có cơ hội xâm nhập cao hơn. “Đó là nơi có mối đe dọa thực sự”, Lentz nói. Để bắt được những lỗi mà thường bị bỏ sót , Samsung Research dựa vào các hệ thống dựa trên hành vi, bao gồm bảo vệ điểm cuối từ  Carbon Black. Ví dụ: khi khách truy cập kết nối với mạng của công ty, lực lượng phòng vệ có thể phát hiện ra phần mềm độc hại mà các công cụ chống vi-rút của người dùng đã bỏ sót. Lentz cho biết: “Chúng tôi tìm thấy keylogger và chương trình đánh cắp mật khẩu trên máy tính xách tay của người dùng.”

Fileless malware một mối đe dọa đang phát triển

Theo Mike Viscuso, CTO tại Carbon Black, Inc., tỷ lệ các cuộc tấn công bằng fileless malware attacks đã tăng từ ba phần trăm vào đầu năm 2016 lên 13 phần trăm vào tháng 11 năm ngoái, theo Mike Viscuso, CTO tại Carbon Black, Inc. “Chúng tôi thấy có đến một trong ba trường hợp bị tấn công bởi fileless.”

Vì không phải tất cả người dùng của Carbon Black đều chọn chặn các cuộc tấn công, mà thay vào đó chọn cảnh báo, Viscuso có thể thấy rằng các fileless attacks thực sự có sự ảnh hưởng lớn hơn. Ông nói: “Hơn một nửa trong số các cuộc tấn công thành công đều là fileless.”

Một số khách hàng cũng sử dụng honeypots, hoặc thậm chí rời khỏi mạng lưới của họ mà không có các biện pháp bảo vệ dựa trên hành vi nâng cao, ông nói, để họ có thể theo dõi các cuộc tấn công và sau đó theo dõi những gì kẻ tấn công đang theo dõi và cách chúng lây lan. Ông nói: “Họ có thể đảm bảo phần còn lại của môi trường sẵn sàng cho các cuộc tấn công.”

Trong một phân tích gần đây của Carbon Black với hơn một nghìn người dùng , trong đó có hơn 2,5 triệu endpoints, hầu như mọi tổ chức đều đã bị nhắm là mục tiêu bởi fileless attacks vào năm 2016.

Viscuso nói rằng các fileless attack thì rất nhiều thuận tiện đối với những kẻ tấn công. Ông nói: “Tôi đã dành mười năm làm hacker tấn công cho chính phủ Hoa Kỳ, với NSA và CIA. “Vì vậy, tôi tiếp cận hầu hết các cách giao tiếp từ tư duy của kẻ tấn công. “

Từ quan điểm của hackers, việc cài đặt phần mềm mới trên máy tính của nạn nhân là điều có thể thu hút sự chú ý. “Nếu tôi không đặt một tập tin vào máy tính của nạn nhân này, thì bạn phải trải qua bao nhiêu sự giám sát?” Viscuso hỏi. “Đó là lý do tại sao điều đó nguy hại hơn khi kẻ tấn công chọn sử dụng fileless hay in-memory attacks. Chúng ít bị giám sát hơn và thành công hơn trong cuộc tấn công của mình.”

“Không có việc không có khả năng”. “Trọng tải hoàn toàn giống nhau.” Ví dụ: nếu kẻ tấn công muốn khởi động một cuộc tấn công ransomware, chúng có thể cài đặt tệp nhị phân hoặc có thể sử dụng PowerShell. Ông nói: “PowerShell có thể làm mọi thứ mà một ứng dụng mới có thể làm được. “Không có giới hạn nào trong các cuộc tấn công mà tôi có thể tiến hành trong bộ nhớ hoặc bằng PowerShell.”

McAfee cũng đang báo cáo sự gia tăng các cuộc tấn công không có trong chữ ký nhận dạng của chương trình chống vi-rút. Phần mềm độc hại trên diện rộng, chiếm một lượng lớn phần mềm độc hại fileless, đã tăng từ 400.000 vào cuối năm 2015 lên hơn 1,1 triệu trong quý II năm nay. Một trong những lý do cho sự phát triển là sự xuất hiện của các bộ công cụ dễ sử dụng bao gồm các loại mã độc này. Christiaan Beek nói, nhà khoa học chính và kỹ sư chính về nghiên cứu chiến lược tại McAfee LLC cho biết.

Và kết quả là, việc sử dụng fileless attack, vốn trước đây hầu như chỉ giới hạn ở các quốc gia và các đối thủ tiên tiến khác, đã được dân chủ hóa và hiện cũng phổ biến trong các cuộc tấn công thương mại. Beek nói: “Tội phạm mạng đã lợi dụng điều này để phát tán mã độc tống tiền”.

Để chống lại các cuộc tấn công này, McAfee và các nhà cung cấp phần mềm chống vi-rút lớn khác đã bổ sung các phân tích dựa trên hành vi bên cạnh các biện pháp phòng thủ dựa trên chữ ký truyền thống. Ông nói: “Ví dụ, nếu tập tin văn bản Word được thực thi cùng lúc khi chúng ta thấy kết nối PowerShell, thì điều đó rất đáng ngờ. “Chúng tôi có thể cách ly quá trình đó, hoặc quyết định loại bỏ nó.”

Fileless malware tấn công như thế nào 

Fileless malware tác động lên các ứng dụng đã được cài đặt trên máy tính của người dùng, các ứng dụng được cho là an toàn. Ví dụ: công cụ tấn công exploit kits có thể nhắm mục tiêu vào các điểm yếu của trình duyệt để làm cho trình duyệt chạy mã độc hoặc lợi dụng macro của Microsoft Word hoặc sử dụng tiện ích Powershell của Microsoft.

Các lỗ hổng trong phần mềm đã được cài đặt là cần thiết để thực hiện fileless attacks, vì vậy bước quan trọng nhất trong việc ngăn chặn là sửa tạm và cập nhật không chỉ hệ điều hành mà cả các ứng dụng phần mềm.”

Jon Heimerl, quản lý của nhóm truyền thông về mối đe dọa tại NTT Security cho biết. ” Browser Plugin là những ứng dụng bị bỏ qua nhiều nhất trong quá trình quản lý chắp vá và là mục tiêu bị nhắm mục tiêu nhiều nhất trong các trường hợp fileless infections.”

Các cuộc tấn công sử dụng macro của Microsoft Office có thể được ngăn chặn bằng cách tắt chức năng macro. Trên thực tế, nó bị tắt theo mặc định, Tod Beardsley, giám đốc nghiên cứu tại Rapid7 LLC cho biết. Người dùng phải đồng ý cụ thể để bật macro để mở các tài liệu bị nhiễm này. “Một số phần trăm mọi người sẽ vẫn mở nó, đặc biệt nếu bạn đang giả mạo ai đó mà nạn nhân đã biết”,

Những kẻ tấn công cũng sẽ nhắm mục tiêu vào các lỗ hổng trong Adobe PDF Reader và Javascript Fleming Shi, SVP Advanced Technology Engineering tại Barracuda Networks, Inc., cho biết. Ông nói: “Một số người hoang tưởng hơn sẽ tắt thực thi JavaScript trong trình duyệt của họ để tránh bị lây nhiễm, nhưng nó thường làm hỏng trang web.”

Theo Satya Gupta, người sáng lập và Giám đốc công nghệ tại Virsec Systems, Inc, lỗ hổng Equifax gần đây cũng là một ví dụ về fileless attacks , theo Satya Gupta, người sáng lập và CTO tại Virsec Systems, Inc. Nó đã sử dụng lỗ hổng chèn lệnh trong Apache Struts. Ông nói: “Trong kiểu tấn công này, một ứng dụng dễ bị tấn công không xác thực đầy đủ thông tin đầu vào của người dùng, có thể chứa các lệnh của hệ điều hành. “Do đó, các lệnh này có thể được thực hiện trên máy nạn nhân với các đặc quyền tương tự như các lệnh của ứng dụng dễ bị tấn công.”

Ông cho biết thêm: “Cơ chế này hoàn toàn tấn công bất ngờ bất kỳ giải pháp anti-malware nào không xem xét đường dẫn thực thi của ứng dụng để xác định xem ứng dụng có đang không thực thi mã tự nhiên của nó hay không. Việc vá lỗi sẽ ngăn chặn được vi phạm, vì một bản chắp vá đã được phát hành vào tháng 3.”

Đầu năm nay, một fileless attack đã tấn công hơn 140 doanh nghiệp, bao gồm ngân hàng, viễn thông và tổ chức chính phủ ở 40 quốc gia. Kaspersky Labs đã tìm thấy các tập lệnh PowerShell độc hại trong sổ đăng ký trên mạng lưới doanh nghiệp của họ. Theo Kaspersky, việc phát hiện cuộc tấn công này chỉ có thể thực hiện được trong RAM, mạng và sổ đăng ký. 

Kittner của FireEye cho biết: “Chúng tôi đã quan sát thấy một số kẻ gián điệp mạng lợi dụng kỹ thuật này để trốn tránh bị phát hiện. Các cuộc tấn công gần đây bao gồm các cuộc tấn công của các đội Trung Quốc và Triều Tiên, cô nói.

Một bản thương mại mới của các cuộc fileless attacks là sử dụng các máy bị nhiễm để khai thác đào Bitcoin. Eldon Sprickerhoff, người sáng lập kiêm giám đốc chiến lược bảo mật tại eSentire Inc. Độ khó của việc khai thác Bitcoin đã tăng lên theo thời gian, nhanh hơn nhiều so với sự gia tăng giá trị của tiền ảo. Những người khai thác bitcoin phải mua phần cứng chuyên dụng và trang trải các hóa đơn tiền điện, vì vậy rất khó kiếm lợi nhuận. Bằng cách chiếm quyền điều khiển PC và máy chủ của công ty, họ có thể loại bỏ cả hai chi phí đó.

Ông nói: “Nếu bạn có thể tận dụng tối đa một CPU đa chiều khổng lồ, nó tốt hơn nhiều so với máy tính xách tay của ai đó. Sprickerhoff khuyên các công ty nên tìm cách sử dụng CPU bất thường như một dấu hiệu khả dĩ cho thấy việc khai thác Bitcoin đang diễn ra.

Beardsley của Rapid7 cho biết ngay cả các hệ thống phân tích hành vi cũng không thể phát hiện ra tất cả các cuộc tấn công không có lọc. “Bạn phụ thuộc vào việc để ý khi nào các sự kiện bất thường bắt đầu xảy ra, chẳng hạn như tài khoản người dùng của tôi bị xâm phạm và tôi bắt đầu kết nối với một loạt máy mà tôi chưa từng giao tiếp trước đây”, anh nói.

Thật khó để bắt các cuộc tấn công này trước khi chúng kích hoạt cảnh báo hoặc nếu chúng làm điều gì đó mà các thuật toán hành vi không đề phòng. Ông nói: “Nếu đối thủ chậm chạp và yếu kém thì việc phát hiện ra [cuộc tấn công] sẽ khó hơn rất nhiều. “Với những thứ chúng tôi thấy, đó có thể là sự thiên vị về lựa chọn – chúng tôi chỉ thấy những thứ vụng về vì đó là những thứ dễ nhìn thấy nhất. Nếu bạn là người siêu lén lút, tôi sẽ không nhìn thấy nó.”

Làm thế nào bạn có thể bảo vệ trước các cuộc tấn công vô danh?

Một cách để bảo vệ chống lại sự lây nhiễm fileless attack là giữ cho phần mềm của bạn luôn được cập nhật. Điều này đặc biệt bao gồm các ứng dụng của Microsoft và sự ra mắt của bộ Microsoft 365 bao gồm các biện pháp bảo mật nâng cao. Microsoft cũng đã nâng cấp gói Windows Defender để phát hiện hoạt động bất thường từ PowerShell.

Chìa khóa thực sự để chống lại thành công các cuộc tấn công fileless attack là một cách tiếp cận tích hợp nhằm giải quyết toàn bộ vòng đời của mối đe dọa. Bằng cách có một phòng thủ nhiều lớp, bạn có được lợi thế trước những kẻ tấn công bằng cách có thể điều tra mọi giai đoạn của chiến dịch trước, trong và sau một cuộc tấn công.

Hai điều đặc biệt quan trọng:

Khả năng nhìn thấy và đo lường những gì đang xảy ra: khám phá các kỹ thuật được sử dụng bởi cuộc tấn công, giám sát các hoạt động trong PowerShell hoặc các công cụ tạo tập lệnh khác, truy cập dữ liệu mối đe dọa tổng hợp và nắm được các hoạt động của người dùng.

Khả năng kiểm soát trạng thái của hệ thống mục tiêu: tạm dừng các quy trình tùy ý, khắc phục các quy trình là một phần của cuộc tấn công và cách ly các thiết bị bị nhiễm. Làm gián đoạn thành công các cuộc tấn công fileless attack đòi hỏi một cách tiếp cận tổng thể có thể mở rộng quy mô và nhanh chóng phân tầng các hành động thích hợp ở nơi và thời điểm chúng được yêu cầu.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật