Các cuộc tấn công, bảo vệ và phát hiện phần mềm độc hại không lọc

Phần mềm độc hại không lọc(Fileless Malware) có thể là một thuật ngữ mới đối với hầu hết nhưng ngành công nghiệp bảo mật đã biết nó trong nhiều năm. Năm ngoái, hơn 140 doanh nghiệp trên toàn thế giới đã bị tấn công bởi Phần mềm độc hại không lọc này -(Fileless Malware –) bao gồm các ngân hàng, công ty viễn thông và các tổ chức chính phủ. Phần mềm độc hại không lọc(Fileless Malware) , như tên giải thích là một loại phần mềm độc hại không chạm vào đĩa hoặc sử dụng bất kỳ tệp nào trong quá trình này. Nó được tải trong bối cảnh của một quy trình hợp pháp. Tuy nhiên, một số công ty bảo mật tuyên bố rằng cuộc tấn công không lọc để lại một tệp nhị phân nhỏ trong máy chủ có khả năng xâm nhập để bắt đầu cuộc tấn công phần mềm độc hại. Các cuộc tấn công như vậy đã chứng kiến ​​sự gia tăng đáng kể trong vài năm qua và chúng có mức độ rủi ro cao hơn so với các cuộc tấn công bằng phần mềm độc hại truyền thống.

phần mềm độc hại vô danh

Các cuộc tấn công phần mềm độc hại không lọc

Các cuộc tấn công không có phần mềm độc hại(Fileless Malware) còn được gọi là các cuộc tấn công không có phần mềm độc hại(Non-Malware attacks) . Họ sử dụng một bộ kỹ thuật điển hình để xâm nhập vào hệ thống của bạn mà không sử dụng bất kỳ tệp phần mềm độc hại nào có thể phát hiện được. Trong vài năm qua, những kẻ tấn công đã trở nên thông minh hơn và đã phát triển nhiều cách khác nhau để phát động cuộc tấn công.

Phần(Fileless) mềm độc hại không lọc lây nhiễm vào các máy tính không để lại tệp nào trên ổ cứng cục bộ, vượt qua các công cụ pháp y và bảo mật truyền thống.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Phần mềm độc hại không lọc nằm trong Bộ nhớ truy cập ngẫu nhiên(Random Access Memory) của hệ thống máy tính của bạn và không có chương trình chống vi-rút nào kiểm tra bộ nhớ trực tiếp - vì vậy đây là chế độ an toàn nhất để những kẻ tấn công xâm nhập vào PC và lấy cắp tất cả dữ liệu của bạn. Ngay cả những chương trình chống vi-rút tốt nhất đôi khi cũng bỏ sót phần mềm độc hại đang chạy trong bộ nhớ.

Một số vụ lây nhiễm Phần mềm độc hại không lọc gần đây đã(Fileless Malware) lây nhiễm các hệ thống máy tính trên toàn thế giới là - Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 , v.v.

Phần mềm độc hại không lọc hoạt động như thế nào

Phần mềm độc hại không có bộ lọc khi xâm nhập vào Bộ nhớ(Memory) có thể triển khai các công cụ tích hợp sẵn trong Windows và quản trị hệ thống của bạn như PowerShell , SC.exenetsh.exe để chạy mã độc và có được quyền truy cập quản trị vào hệ thống của bạn, để mang ra lệnh và lấy cắp dữ liệu của bạn. Phần mềm độc hại không lọc(Fileless Malware) đôi khi cũng có thể ẩn trong Rootkit(Rootkits)(Rootkits) hoặc Registry của hệ điều hành Windows.

Sau khi xâm nhập, những kẻ tấn công sử dụng bộ đệm Hình thu nhỏ của Windows(Windows Thumbnail) để ẩn cơ chế phần mềm độc hại. Tuy nhiên, phần mềm độc hại vẫn cần một tệp nhị phân tĩnh để xâm nhập vào máy tính chủ và email là phương tiện phổ biến nhất được sử dụng cho cùng một tệp. Khi người dùng nhấp vào tệp đính kèm độc hại, nó sẽ ghi một tệp trọng tải được mã hóa vào Windows Registry .

Phần mềm độc hại không lọc(Fileless Malware) cũng được biết là sử dụng các công cụ như MimikatzMetaspoilt để đưa mã vào bộ nhớ PC của bạn và đọc dữ liệu được lưu trữ ở đó. Những công cụ này giúp những kẻ tấn công xâm nhập sâu hơn vào PC của bạn và lấy cắp tất cả dữ liệu của bạn.

Phân tích hành vi và phần mềm độc hại không lọc(Fileless)

Vì hầu hết các chương trình chống vi-rút thông thường sử dụng chữ ký để xác định một tệp phần mềm độc hại, phần mềm độc hại không lọc rất khó phát hiện. Do đó, các công ty bảo mật sử dụng phân tích hành vi để phát hiện phần mềm độc hại. Giải pháp bảo mật mới này được thiết kế để giải quyết các cuộc tấn công và hành vi trước đây của người dùng và máy tính. Bất kỳ hành vi bất thường nào dẫn đến nội dung độc hại sau đó sẽ được thông báo bằng các cảnh báo.

Khi không có giải pháp điểm cuối nào có thể phát hiện phần mềm độc hại không lọc, phân tích hành vi sẽ phát hiện bất kỳ hành vi bất thường nào như hoạt động đăng nhập đáng ngờ, giờ làm việc bất thường hoặc sử dụng bất kỳ tài nguyên không điển hình nào. Giải pháp bảo mật này thu thập dữ liệu sự kiện trong các phiên mà người dùng sử dụng bất kỳ ứng dụng nào, duyệt trang web, chơi trò chơi, tương tác trên mạng xã hội, v.v.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Cách bảo vệ và phát hiện phần mềm độc hại không lọc(Fileless Malware)

Thực hiện theo các biện pháp phòng ngừa cơ bản để bảo mật máy tính Windows của bạn(precautions to secure your Windows computer) :

  • Áp dụng(Apply) tất cả các Bản cập nhật Windows mới nhất -(Windows Updates –) đặc biệt là các bản cập nhật bảo mật cho hệ điều hành của bạn.
  • Đảm(Make) bảo rằng tất cả phần mềm đã cài đặt của bạn đều được vá và cập nhật lên phiên bản mới nhất
  • Sử dụng một sản phẩm bảo mật tốt có thể quét bộ nhớ máy tính của bạn một cách hiệu quả và cũng có thể chặn các trang web độc hại có thể đang lưu trữ Khai thác(Exploits) . Nó sẽ cung cấp tính năng giám sát hành vi(Behavior) , quét bộ nhớ và bảo vệ (Memory)Boot Sector .
  • Hãy cẩn thận trước khi tải xuống bất kỳ tệp đính kèm email nào(downloading any email attachments) . Điều này là để tránh tải xuống tải trọng.
  • Sử dụng Tường lửa(Firewall) mạnh cho phép bạn kiểm soát lưu lượng Mạng(Network) một cách hiệu quả .

Đọc tiếp(Read next) : Cuộc tấn công của Living Off The Land(Living Off The Land attacks) là gì?



About the author

Tôi là một chuyên gia Windows 10 được đề xuất với hơn 10 năm kinh nghiệm trong ngành phần mềm. Tôi có kiến ​​thức chuyên môn về cả Explorer và Office 365, đồng thời tôi đặc biệt có kỹ năng trong việc cá nhân hóa và tùy chọn giao diện cho người dùng của mình. Kỹ năng của tôi là trọng tâm của công việc kinh doanh của tôi, đó là cung cấp dịch vụ khách hàng tuyệt vời thông qua các bài đánh giá trực tuyến và tận dụng các công nghệ như AI để cải thiện hỗ trợ.



Related posts