Cách thức hoạt động của mã độc không dùng tệp và giải pháp phòng chống

09:14 | 17/04/2019

Mã độc không dùng tệp (fileless malware) là mối đe dọa an toàn thông tin đã được biết đến từ lâu, tuy nhiên loại mã độc này đang ngày càng trở nên phổ biến trên thế giới. Theo báo cáo của Học viện Ponemon (Mỹ) năm 2017 cho thấy, 77% là tỷ lệ số vụ tấn công an ninh mạng thành công nhằm vào các doanh nghiệp sử dụng phương thức tấn công bằng mã độc không dùng tệp. Chúng ẩn mình tốt hơn các loại mã độc thông thường, sử dụng nhiều kỹ thuật khác nhau để tồn tại lâu dài, sau đó có thể phá hoại các quy trình nghiệp vụ và cơ sở hạ tầng của tổ chức. Nội dung dưới đây sẽ trình bày cách thức hoạt động của mã độc không dùng tệp, cùng những giải pháp để đối phó với chúng.

Cách thức hoạt động của mã độc không dùng tệp

Phát tán mã độc thông qua các lỗ hổng bảo mật trong văn bản tài liệu

Mã độc không dùng tệp có thể lây nhiễm thông qua những phương thức truyền thống. Chúng có thể tồn tại dưới dạng mã độc macro của các script (JavaScript hoặc Visual Basic) được nhúng trong các văn bản tài liệu Office, PDF, các tệp lưu trữ hoặc các tệp tin dường như vô hại. Sau khi được người dùng truy cập, những macro này sẽ thực thi script độc hại, thường sử dụng những công cụ thông thường như là PowerShell để phát tán, tải về và thực thi thêm nhiều mã độc, script hoặc payload khác.

Cung cấp payload thông qua các lỗ hổng bảo mật trong bộ nhớ

Sở dĩ người ta gọi là "Mã độc không dùng tệp" là do cơ chế tải về và thực thi mã độc được thực hiện trực tiếp trong bộ nhớ. Phương thức hoạt động này làm cho việc phát hiện mã độc trở nên khó khăn hơn so với các loại mã độc ở dạng file .exe, khi chúng thực hiện ghi tệp tin vào ổ đĩa hệ thống. Mã độc không dùng tệp sử dụng nhiều phương thức khác nhau để thực thi trong bộ nhớ, phần lớn chúng sử dụng cơ chế ẩn mình, thường là một quy trình chính thống để tránh bị phát hiện.

Cài mã độc thông qua mô hình tấn công dựa vào script

Mã độc không dùng tệp sử dụng script có shellcode hoặc mã nhị phân (binaries) phức tạp, đã được biên dịch hoặc được nhúng, do đó chúng không tạo ra các tệp tin trên ổ đĩa. Điều này cho phép mã độc này tấn công hoặc ảnh hưởng tới hệ điều hành, ứng dụng của hệ thống, đồng thời làm giảm khả năng phát hiện của các phần mềm antivirus thông thường. Các tấn công sử dụng script độc hại rất linh hoạt, bởi chúng có thể được chạy từ một tệp tin hoặc trực tiếp trên giao diện dòng lệnh.

Cài mã độc bằng cách chiếm quyền các công cụ CNTT và quản trị hệ thống

Mã độc không dùng tệp chiếm quyền điều khiển các tính năng, cũng như các công cụ và tiện ích quản trị hệ thống, chủ yếu là những công cụ và tiện ích tích hợp. Động cơ của chúng chủ yếu là lợi nhuận và do thám mạng. Mã độc còn chiếm quyền các tiện ích của giao diện dòng lệnh như tiện ích Microsoft Register Server (regsvr32) để tải và thực thi các DLL độc hại, hoặc cài đặt các phiên bản đã bị sửa đổi của các công cụ kiểm thử xâm nhập như Cobalt Strike để tiếp tục chiếm quyền hệ thống.

Duy trì sự tồn tại dai dẳng bằng các kỹ thuật không dùng tệp

Sau khi mã độc đã thiết lập được vị trí trong thiết bị đầu cuối, mạng hoặc máy chủ, nó thường cố gắng duy trì sự tồn tại, kể cả khi thiết bị đã được khởi động lại. Các mã độc không dùng tệp sử dụng những kỹ thuật đặc biệt để duy trì sự tồn tại dai dẳng, chủ yếu bằng cách tạo ra các điểm tải payload (load point), nơi các payload có thể được khởi động lại. Những kỹ thuật này còn chiếm quyền sử dụng các công cụ và tiện ích của hệ điều hành Windows. Một cơ chế duy trì sự tồn tại dai dẳng là lưu mã độc hoặc tệp tin trong thanh ghi của hệ thống.

Giải pháp phòng chống mã độc không dùng tệp của Trend Micro

Hãng bảo mật Trend Micro, một trong những nhà cung cấp giải pháp an toàn mạng hàng đầu trên toàn cầu với hơn 30 năm kinh nghiệm, đã công bố bước phát triển mới của giải pháp đảm bảo an toàn thiết bị đầu cuối tiên tiến Trend Micro Apex One™. Đây là giải pháp nổi bật trong lĩnh vực đảm bảo an toàn thiết bị đầu cuối, với rất nhiều tính năng được cung cấp dưới dạng một agent duy nhất, với tính nhất quán giữa mô hình triển khai tại chỗ và mô hình Phần mềm như một dịch vụ (SaaS). Giải pháp được đơn giản hóa này cải thiện khả năng phát hiện và ứng phó tự động, cũng như cung cấp thông tin hỗ trợ ra quyết định để tối đa hóa an toàn bảo mật dành cho khách hàng và tổ chức của họ, mang lại lợi ích và cơ hội trong tình hình nhân lực và kỹ năng an toàn mạng đang thiếu hụt như hiện nay.

Các bộ phận đảm bảo an toàn CNTT đang ngày càng bị quá tải với số lượng sản phẩm cần thiết để bảo vệ toàn diện cho các thiết bị đầu cuối ngày càng nhiều. Được kết hợp với một số lượng ngày càng lớn các cảnh báo và thông tin bản ghi log rời rạc, việc phản ứng kịp thời trước các mối đe dọa an toàn thông tin tinh vi như hiện nay là hết sức khó khăn.

Ông Kevin Simzer, Giám đốc Điều hành của Trend Micro cho biết, phiên bản mới nhất của Trend Micro có những tiến bộ để giải quyết những vấn đề đảm bảo an toàn thiết bị đầu cuối cấp thiết nhất mà ngành CNTT hiện đang phải đối mặt. Ngay cả khi với những giải pháp được coi là thế hệ mới, hoạt động bảo vệ hiệu quả vẫn yêu cầu nhiều lớp bảo mật. Đó cũng là yếu tố nền tảng trong chiến lược của Trend Micro. Giải pháp Apex One™ là sự lựa chọn tuyệt vời dành cho những doanh nghiệp đang tìm kiếm giải pháp thay thế cho giải pháp antivirus truyền thống, hoặc đang gặp khó khăn trong việc triển khai các giải pháp thế hệ mới.

Giải pháp Apex One™ hoạt động với mục tiêu giám sát và cô lập các vụ tấn công nhằm vào thiết bị đầu cuối ngay từ đầu. Việc bảo vệ thiết bị đầu cuối mở rộng giúp đối phó với nhiều kỹ thuật tấn công nhằm mục đích chiếm quyền điều khiển các thiết bị đầu cuối máy khách Windows và Mac, giành quyền truy cập vào các tài nguyên và phá hủy các payload. Giải pháp theo dõi và cô lập tấn công đa vector có thể phát hiện những kỹ thuật và ngăn chặn ngay từ sớm - trước khi tổ chức/ doanh nghiệp phải gánh chịu bất kỳ thiệt hại nào. Giải pháp này có thể cùng hoạt động với các giải pháp antivirus hiện tại của tổ chức/ doanh nghiệp để hình thành thêm một tuyến phòng thủ.

Ba tính năng mới nổi bật của Giải pháp Trend Micro Apex One™ bao gồm:

Phát hiện và ứng phó tự động

Apex One™ được phát triển dựa trên các kỹ thuật đảm bảo an toàn XGen™ - một sự kết hợp nhiều thế hệ của chức năng phòng thủ và ứng phó với nguy cơ mất an toàn thông tin, với khả năng áp dụng đúng công nghệ vào thời điểm phù hợp một cách thông minh. Sản phẩm này có khả năng vá lỗ hổng phần mềm kịp thời được hỗ trợ bởi sáng kiến Zero Day Initiative của Trend Micro, cùng với một loạt các công nghệ hiện đại để phát hiện và ngăn chặn các tấn công tinh vi, bao gồm nguy cơ bị tấn công bằng mã độc không dùng tệp.

Hỗ trợ việc ra quyết định

Apex One™ cung cấp khả năng phát hiện và ứng phó mở rộng trên thiết bị đầu cuối (endpoint detection & response - EDR). Ngoài ra, nó còn kết nối với tùy chọn dịch vụ phát hiện và ứng phó được quản lý (managed detection and response - MDR) của Trend Micro để nâng cao năng lực đội ngũ nội bộ bằng năng lực tìm kiếm nguy cơ an toàn thông tin và giám sát cảnh báo, hỗ trợ việc ra quyết định cho doanh nghiệp.

Tất cả trong một (all in one)

Apex One™ cung cấp khả năng đảm bảo an toàn đa dạng từ một agent duy nhất, trong khi nhiều nhà cung cấp giải pháp khác chỉ cung cấp được một hoặc hai khả năng. Đặc biệt, chức năng EDR mạnh mẽ của Apex One™ với các công cụ phát hiện và ứng phó tự động sẽ góp phần đơn giản hóa hoạt động triển khai.

Những tính năng nổi bật này của giải pháp Trend Micro Apex One™ kết hợp với nhau mang đến cơ hội tăng trưởng lớn cho những đối tác kênh phân phối đang tìm cách cung cấp một sản phẩm có giá trị cao hơn với khả năng đáp ứng nhu cầu về đảm bảo an toàn thông tin cho các doanh nghiệp.

Ông Doug Cahill, chuyên gia cao cấp về phân tích giải pháp an toàn mạng kiêm Giám đốc tập đoàn tư vấn CNTT Enterprise Strategy Group (Mỹ) cho rằng, hiện nay các nhà lãnh đạo của đối tác và những người có thẩm quyền ra quyết định về CNTT khá lúng túng trước nhiều luồng thông tin khác nhau trên thị trường an toàn mạng. Đối với an toàn thiết bị đầu cuối, ông khuyến nghị tập trung vào hiệu năng đã được kiểm chứng, sự cải tiến về khả năng đảm bảo an toàn và độ linh hoạt của các mô hình triển khai của từng giải pháp đang được xem xét. Với khả năng EDR trong cùng một agent, dễ triển khai và cung cấp sự phòng thủ cần thiết vào đúng thời điểm, Trend Micro cung cấp một cách tiếp cận mới về bảo vệ thiết bị đầu cuối.

Ông Tim Masey, Giám đốc An ninh mạng của hãng sản xuất quần áo Carhartt (Mỹ) phát biểu rằng, doanh nghiệp của ông phải đối mặt với áp lực liên tục về an toàn thông tin, cần phải đối phó với những nguy cơ mất an toàn thông tin ngày càng tinh vi như mã độc không dùng tệp và mã độc tống tiền, trong khi vẫn đáp ứng được các tiêu chuẩn về tuân thủ quy định an toàn thông tin. Hiện nay, Trend Micro cung cấp cho doanh nghiệp của ông giải pháp đảm bảo an toàn thiết bị đầu cuối tiên tiến, hiệu quả. Ông kỳ vọng được sử dụng những chức năng mở rộng của Apex One™.”

Phiên bản một agent của sản phẩm sẽ đơn giản hóa hoạt động triển khai, trong khi vẫn đáp ứng được các yêu cầu về bảo đảm an toàn và tuân thủ các quy định rất khắt khe hiện nay. Apex One™ tiếp tục phát triển sản phẩm OfficeScan hiện tại của Trend Micro. Các khách hàng đang sử dụng OfficeScan sẽ nhận được Apex One™ dưới dạng một bản cập nhật thường xuyên hoàn toàn miễn phí. Những tính năng nhất định như điều tra EDR yêu cầu thêm bản quyền, tùy thuộc vào bản quyền hiện tại.

Để tìm hiểu thêm thông tin về giải pháp Apex One™, bạn đọc vui lòng truy cập tại đây.

 Trend Micro

Trend Micro Incorporated là một trong những nhà cung cấp giải pháp an toàn mạng hàng đầu trên toàn cầu, giúp hoạt động trao đổi thông tin số của thế giới được an toàn hơn. Các giải pháp sáng tạo dành cho người dùng, doanh nghiệp và chính phủ của Trend Micro cung cấp khả năng đảm bảo an toàn đa lớp dành cho trung tâm dữ liệu, môi trường điện toán đám mây, mạng và thiết bị đầu cuối. Tất cả các sản phẩm của Trend Micro đều phối hợp hoạt động liền mạch với nhau để chia sẻ thông tin về nguy cơ mất an toàn, cũng như cung cấp một giải pháp đối phó với nguy cơ mất an toàn được kết nối, với thông tin và kiểm soát tập trung, qua đó hỗ trợ hoạt động bảo vệ với hiệu năng và tốc độ cao hơn. Với hơn 6.000 nhân viên tại hơn 50 quốc gia và thông tin mới nhất về nguy cơ mất an toàn thông tin với quy mô toàn cầu, Trend Micro bảo vệ an toàn cho thế giới kết nối.

Để tìm hiểu thêm thông tin về Trend Micro, bạn đọc vui lòng truy cập vào đường dẫn: www.trendmicro.com.