Giải ngố về malware fileless - loại mã độc không chương trình virus thông thường nào có thể phát hiện ra được

    Nguyễn Hải,  

    Nhờ vào cơ chế hoạt động đặc biệt của mình, các malware fileless này thực sự trở nên vô hình trước mắt các chương trình chống virus thông thường.

    Từ lâu, các chương trình chống virus đã trở thành một phần mềm tiêu chuẩn để bảo vệ người dùng trước các mối nguy từ Internet. Nhưng một loại mã độc mới xuất hiện với tên gọi malware fileless (hay không cần file) có khả năng gây tổn thương đến máy tính của bạn mà không chương trình virus thông thường nào có thể phát hiện ra được.

    Vậy nhiễm mã độc malware fileless là gì

    Bản thân tên của chúng đã cho thấy chính xác ý nghĩa của nó. Đó là một loại mã độc malware hay virus nhưng không sử dụng bất kỳ file nào trong quá trình hoạt động.

    Tuy nhiên để hiểu rõ ý nghĩa của cái tên này, chúng ta vẫn cần tóm tắt lại cách virus truyền thống hoạt động như thế nào:

    - Các malware hay virus đặt các file nhiễm mã độc vào ổ cứng.

    - Trình chống virus phân tích các file độc hại này (hay còn gọi là tải công việc – payload).

    - Khi xác định được mối nguy hiểm, chương trình chống virus sẽ cô lập hoặc xóa các file nhiễm mã độc và giữ cho máy tính an toàn.

    Trong khi đó, loại mã độc mới này được gọi là fileless bởi vì không có file nào được đưa vào hệ thống trên ổ cứng. Hậu quả của việc này là gì? Dưới đây là vài điều bạn có thể dự đoán.

    A. Các chương trình chống virus truyền thống sẽ không thể xác định được loại mã độc này.

    B. Khi không còn các biện pháp bảo vệ bổ sung này, những kẻ tấn công có thể gây ra nhiều loại thiệt hại khác nhau.

    Vậy cách lây nhiễm mã độc fileless này hoạt động như thế nào

    Dưới đây là một kịch bản thực tế về cách một mã độc fileless có thể gây tổn thương cho máy tính của bạn.

    - Đầu tiên, bạn sử dụng Chrome hay bất cứ trình duyệt nào hỗ trợ plugin Flash hay Javascript.

    - Plugin Flash của bạn đã lỗi thời vì bạn chưa có thời gian để cài đặt các bản cập nhật.

    - Điều tiếp theo là bạn truy cập vào một website đang lưu trữ một bộ kit khai thác Angler.

    - Bộ kit khai thác sẽ quét và tìm ra một lỗ hổng trong plugin Flash của bạn. Ngay lập tức, nó bắt đầu chạy một payload trong bộ nhớ của tiến trình (process) Chrome.

    - Ví dụ, nếu payload này là một dòng ransomware nào đó, nó sẽ kết nối tới các máy chủ Command & Control do các hacker điều khiển để nhận được key mã hóa.

    - Bước cuối cùng là mã hóa dữ liệu trên chiếc PC của bạn, khóa cứng những dữ liệu đó và yêu cầu một khoản tiền chuộc rất lớn để bạn có thể truy cập lại vào chúng.

    Như bạn có thể thấy, payload (một phần trong malware thực thi các hành động độc hại) được tiêm trực tiếp vào trong tiến trình đang chạy trên bộ nhớ RAM của máy tính để thực hiện việc khai thác.

    Để tránh bị phát hiện bởi các chương trình chống virus truyền thống, những kẻ tấn công thường không chọn cài đặt chương trình malware vào ổ đĩa cứng, do nó có thể bị phát hiện thông qua quá trình quét các ký hiệu số.

    Mặc dù vậy, các giải pháp chống virus truyền thống cũng có thể phát hiện các payload độc hại nếu chúng tấn công vào ổ đĩa cứng hay chạy trên bộ nhớ máy tính (điều rất hiếm hoi), nhưng chỉ sau khi việc tấn công khai thác đã xảy ra.

    Các bộ kit khai thác – một công cụ không thể thiếu để phát tán mã độc fileless

    Để việc lây nhiễm malware fileless diễn ra thành công, các bộ kit khai thác (các exploit kit) đóng một vai trò quan trọng. Các bộ kit khai thác là các phần mềm được thiết kế để tìm các lỗ hổng, các điểm yếu hay các lỗi trong ứng dụng và sử dụng chúng để chiếm quyền truy cập trong máy tính hay bất kỳ hệ điều hành nào.

    Bộ kit khai thác Angler ở trên là một ví dụ như vậy. Bộ kit đặc biệt này không chỉ có thể truyền tải các mã độc fileless, nó còn rất linh hoạt và có tỷ lệ bị phát hiện thấp. Điều này có nghĩa là nó có thể truyền tải một hàng loạt các loại malware, từ các Trojan ngân hàng cho đến các ransomware, mà không bị các phần mềm chống virus truyền thống phát hiện.

    Hai nguyên nhân cốt lõi làm thúc đẩy sự gia tăng việc phát tán malware fileless:

    1. Sự xuất hiện của loại hình kinh doanh “exploit kits as a service”, trong đó các bộ kit khai thác có thể được mua bán hoặc cho thuê như các sản phẩm thương mại. Do vậy, các loại tội phạm mạng có thể dễ dàng thực thi các cuộc tấn công kiểu mới này.

    2. Các hacker đang tạo ra malware với số lượng ngày càng nhiều, khi hiện đang có đến 230.000 mẫu malware mới xuất hiện mỗi ngày.

    Vậy những loại thiệt hại mà phương pháp nhiễm mã độc fileless này gây ra là gì và làm thế nào bạn có thể tự bảo vệ bản thân khỏi chúng.

    Tại sao giới tội phạm mạng lại sử dụng phương pháp malware fileless này:

    Đã từ lâu, tội phạm mạng đã cho thấy mình là những người tháo vát và sáng tạo như thế nào trong việc phát tán mã độc. Và mã độc fileless này chính là một minh chứng rõ ràng cho điều đó. Tuy nhiên, mục đích của các hacker khi thực hiện các cuộc tấn công này thường chỉ bao gồm những điều dưới đây.

    - Trở nên vô hình: khả năng tránh bị các sản phẩm bảo mật phát hiện càng lâu càng tốt.

    - Chiếm quyền ưu tiên: khả năng khai thác một lỗ hổng để cho phép các hacker quyền truy cập quản trị vào hệ thống, vì vậy họ có thể làm bất kỳ điều gì mình muốn.

    - Thu thập thông tin: để thu thập càng nhiều dữ liệu càng tốt từ nạn nhân và từ máy tính nạn nhân (để sau đó sử dụng vào các cuộc tấn công khác).

    - Tính bền vững: khả năng duy trì các malware độc hại trong hệ thống trong thời gian lâu nhất có thể mà không bị phát hiện.

    Khi sử dụng phương pháp phát tán mã độc fileless này, các hacker tạo ra malware đã phải đánh đổi tính bền vững này lấy tính vô hình. Với cách tiếp cận này, họ có thể che giấu malware mã độc cho tới khi nó kích hoạt các hoạt động như dự định. Ngay khi bộ kit khai thác mang mã độc fileless của hacker tìm được đường để lọt vào hệ thống của máy tính, malware có thể thực hiện trực tiếp mục đích của mình.

    Cách nhiễm malware fileless xuất hiện vào tháng Tám năm 2014, khi Trojan Poweliks lộ diện. Ban đầu nó được thiết kế để thực hiện việc gian lận click, nhưng sau đó nó đã tiến hóa để làm được nhiều việc hơn nữa. Với loại mã độc gần như vô hình với các chương trình chống virus này, các hacker giờ đây có thể:

    - Tạo ra loại malware mới có thể lây nhiễm vào hệ thống mà không kích hoạt các cơ cấu phát hiện mã độc truyền thống.

    - Thu được lợi nhuận từ những vụ lây nhiễm malware rộng rãi thành công do phát tán loại malware mới.

    - Chạy các loại malware ăn cắp thông tin để thu thập thông tin về máy tính PC nạn nhân trước khi lây nhiễm nó với một loại malware khác.

    - Di chuyển payload vào Windows registry để tồn tại lâu bền hơn trong máy tính sau khi tiến hành khai thác.

    - Sử dụng các bộ khai thác tinh vi, linh hoạt hay thậm chí có tính module để tìm kiếm và tận dụng các lỗ hổng nhanh hơn.

    - Sử dụng một số lượng lớn các lỗ hổng Zero-Day để gây tổn thương cho hàng loạt máy tính.

    - Kiếm tiền nhanh và dễ dàng từ việc phát tán ransomware cho các máy tính nạn nhân.

    Nhưng liệu cách thức lây nhiễm malware fileless này có nhược điểm gì hay không? Trên thực tế, tất nhiên là có. Bởi vì các malware fileless này được chạy trên bộ nhớ RAM của máy tính, nó chỉ có thể hoạt động khi bạn bật máy tính lên. Điều này có nghĩa là những kẻ tấn công chỉ có một cơ hội nhỏ để thực thi cuộc tấn công và thâm nhập vào hệ điêu hành máy tính của bạn.

    Tuy nhiên, có một thực tế rằng, hiện tại chúng ta thường để máy tính bật trong thời gian dài hơn nhiều so với trước đây, vì vậy những kẻ tội phạm mạng sẽ có nhiều thời gian hơn để thực hiện việc phát tán mã độc.

    Vậy làm thế nào để bảo vệ máy tính trước những cuộc tấn công fileless

    Khi xuất hiện lần đầu, malware fileless sẽ làm các máy tính chạy vô cùng chậm, bởi vì nó sử dụng bộ nhớ RAM để thực thi cuộc tấn công. Và tất nhiên cách làm này làm cho các nạn nhân rất dễ phát hiện ra. Tuy nhiên, những tên tội phạm đã nhanh chóng nâng cấp chiến thuật và code của mình để làm việc lây nhiễm fileless trở nên không thể nhận ra.

    Vì vậy, cách tốt nhất để tự bảo vệ bản thân trước việc phát tán malware fileless này là ngăn chặn chúng trước khi chúng xảy ra. Nghe có vẻ rất có lý đấy, nhưng thực sự thì bạn nên làm những gì?

    - Cài đặt các bản cập nhật bảo mật mới nhất cho ứng dụng và hệ điều hành của mình: dù rất nhiều người bỏ qua việc cập nhật bảo mật, nhưng trên thực tế, nó có thể giúp loại bỏ đến 85% nguy cơ trở thành mục tiêu tấn công.

    - Chặn các trang web lưu trữ các bộ kit khai thác: Trong khi các chương trình chống virus thông thường có thể bị các malware fileless qua mặt dễ dàng, những phần mềm này có thể phát hiện các trang web độc hại và chặn truy cập, hoặc cảnh báo cho bạn biết rủi ro khi truy cập vào chúng. Như vậy các bộ kit khai thác sẽ khó có thể chạm tới máy tính của bạn.

    - Chặn việc truyền tải xuống payload từ các máy chủ Command & Control của hacker: ngay cả khi đã lọt vào máy tính của bạn, các bộ kit cũng cần kết nối với máy chủ của hacker để tải xuống payload (các malware fileless). Nếu máy tính của bạn được bảo vệ đúng cách, bạn có thể phát hiện và chặn việc kết nối tới các máy chủ độc hại và tải xuống payload này.

    - Chặn việc liên lạc giữa máy tính PC với các máy chủ của kẻ tấn công: Ngay cả khi các payload đã được tải xuống máy tính của bạn, nhưng nếu không kết nối được tới máy chủ của các hacker, những tên tội phạm mạng không thể khai thác được dữ liệu hay lây nhiễm các loại malware khác, như ransomware cho máy tính của bạn.

    Theo Heimdal Security

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ