Phần mềm độc hại vô danh có thể là một thuật ngữ mới cho hầu hết nhưng ngành công nghiệp bảo mật đã biết nó trong nhiều năm. Đầu năm nay, hơn 140 doanh nghiệp trên toàn thế giới đã bị tấn công bởi Phần mềm độc hại vô danh này - bao gồm ngân hàng, viễn thông và các tổ chức chính phủ. Phần mềm độc hại vô danh, như tên giải thích là một loại phần mềm độc hại không chạm vào đĩa hoặc sử dụng bất kỳ tệp nào trong quá trình này. Nó gtes được tải trong bối cảnh của một quá trình hợp pháp. Tuy nhiên, một số công ty bảo mật cho rằng cuộc tấn công vô danh đã để lại một tệp nhị phân nhỏ trong máy chủ bị xâm nhập để khởi tạo cuộc tấn công phần mềm độc hại. Các cuộc tấn công như vậy đã chứng kiến sự gia tăng đáng kể trong vài năm qua và chúng nguy hiểm hơn các cuộc tấn công phần mềm độc hại truyền thống.
Cuộc tấn công phần mềm độc hại không có danh mục
Các cuộc tấn công phần mềm độc hại vô danh cũng được gọi là Tấn công không phải phần mềm độc hại. Chúng sử dụng một bộ kỹ thuật điển hình để truy cập vào hệ thống của bạn mà không cần sử dụng bất kỳ tệp phần mềm độc hại nào có thể phát hiện được. Trong vài năm qua, những kẻ tấn công đã trở nên thông minh hơn và đã phát triển nhiều cách khác nhau để khởi động cuộc tấn công.
Phần mềm độc hại vô danh lây nhiễm các máy tính để lại không có tệp nào trên ổ cứng cục bộ, tránh các công cụ bảo mật và pháp y truyền thống.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Phần mềm độc hại vô danh nằm trong Bộ nhớ truy cập tạm thời của hệ thống máy tính của bạn, và không có chương trình chống vi-rút nào kiểm tra trực tiếp bộ nhớ - vì vậy đây là chế độ an toàn nhất để kẻ tấn công xâm nhập vào PC của bạn và ăn cắp tất cả dữ liệu của bạn. Ngay cả các chương trình diệt virus tốt nhất đôi khi cũng bỏ lỡ phần mềm độc hại đang chạy trong bộ nhớ.
Một số các nhiễm trùng phần mềm độc hại không có tên tuổi gần đây có các hệ thống máy tính bị nhiễm trên toàn thế giới là - Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, v.v.
Phần mềm độc hại không hoạt động như thế nào
Các phần mềm độc hại vô danh khi nó rơi vào Ký ức có thể triển khai các công cụ được xây dựng sẵn của Windows và hệ thống quản trị của bạn như PowerShell, SC.exevà netsh.exe để chạy mã độc hại và nhận quyền truy cập quản trị vào hệ thống của bạn, để thực hiện các lệnh và lấy cắp dữ liệu của bạn. Phần mềm độc hại vô danh đôi khi cũng có thể ẩn trong Rootkit hoặc là Đăng ký của hệ điều hành Windows.
Khi ở trong, kẻ tấn công sử dụng bộ nhớ cache Windows Thumbnail để ẩn cơ chế phần mềm độc hại. Tuy nhiên, phần mềm độc hại vẫn cần một mã nhị phân tĩnh để vào máy chủ lưu trữ và email là phương tiện phổ biến nhất được sử dụng cho cùng một loại. Khi người dùng nhấp vào tệp đính kèm độc hại, nó sẽ ghi tệp tải trọng được mã hóa trong Windows Registry.
Phần mềm độc hại vô danh cũng được biết là sử dụng các công cụ như Mimikatz và Metaspoilt để chèn mã vào bộ nhớ máy tính của bạn và đọc dữ liệu được lưu trữ ở đó. Những công cụ này giúp những kẻ tấn công xâm nhập sâu hơn vào PC của bạn và ăn cắp tất cả dữ liệu của bạn.
Phân tích hành vi và phần mềm độc hại vô danh
Vì hầu hết các chương trình chống vi-rút thông thường đều sử dụng chữ ký để xác định tệp phần mềm độc hại, phần mềm độc hại vô danh khó phát hiện. Do đó, các công ty bảo mật sử dụng phân tích hành vi để phát hiện phần mềm độc hại. Giải pháp bảo mật mới này được thiết kế để giải quyết các cuộc tấn công và hành vi trước đây của người dùng và máy tính. Bất kỳ hành vi bất thường nào trỏ đến nội dung độc hại đều được thông báo bằng cảnh báo.
Khi không có giải pháp điểm cuối nào có thể phát hiện phần mềm độc hại vô danh, phân tích hành vi phát hiện bất kỳ hành vi bất thường nào như hoạt động đăng nhập đáng ngờ, giờ làm việc bất thường hoặc sử dụng bất kỳ tài nguyên không điển hình nào. Giải pháp bảo mật này nắm bắt dữ liệu sự kiện trong các phiên mà người dùng sử dụng bất kỳ ứng dụng nào, duyệt một trang web, chơi trò chơi, tương tác trên phương tiện truyền thông xã hội, v.v.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Cách bảo vệ chống lại và phát hiện phần mềm độc hại vô danh
Làm theo các biện pháp phòng ngừa cơ bản để bảo mật máy tính Windows của bạn:
- Áp dụng tất cả các bản cập nhật Windows mới nhất - đặc biệt là các bản cập nhật bảo mật cho hệ điều hành của bạn.
- Đảm bảo rằng tất cả phần mềm đã cài đặt của bạn được vá và cập nhật lên phiên bản mới nhất
- Sử dụng một sản phẩm bảo mật tốt có hiệu quả có thể quét bộ nhớ máy tính của bạn và cũng chặn các trang web độc hại có thể đang lưu trữ Khai thác. Nó sẽ cung cấp giám sát hành vi, bộ nhớ quét và bảo vệ khu vực khởi động.
- Hãy cẩn thận trước khi tải xuống bất kỳ tệp đính kèm email nào. Điều này là để tránh tải xuống tải trọng.
- Sử dụng Tường lửa mạnh cho phép bạn kiểm soát hiệu quả lưu lượng truy cập Mạng.
Nếu bạn cần đọc thêm về chủ đề này, hãy truy cập Microsoft và xem qua bài báo này của McAfee.
