Mã độc fileless - mối đe dọa vô hình đối với các bộ lọc bảo mật truyền thống

Mã độc fileless đang ngày càng lan rộng nhanh chóng

Trend Micro Incorporated- công ty chuyên cung cấp các giải pháp an ninh mạng hàng đầu thế giới đã công bố báo cáo sự gia tăng các cuộc tấn công của mã độc fileless malware – loại mã độc không cần sử dụng bất kỳ tập tin được thiết kế để lẩn tránh sự phòng ngừa của các phần mềm dò tìm dấu vết. Chỉ tính nửa đầu năm 2019 đã tăng 265% so với nửa đầu năm 2018. 

Cụ thể, những kẻ tấn công đang làm việc một cách thông minh hơn để nhắm mục tiêu vào các doanh nghiệp và môi trường sẽ tạo ra lợi tức đầu tư lớn nhất.

Ông Jon Clay, Giám đốc phụ trách mảng đe dọa toàn cầu đối với truyền thông của Trend Micro cho biết: “Sự tinh vi và tàng hình là tên của trò chơi an ninh mạng ngày nay, khi các cuộc tấn công tội phạm và công nghệ của công ty trở nên kết nối và thông minh hơn. Khi phân tích những kẻ tấn công, chúng tôi thấy đó là các cuộc tấn công có chủ đích, nhắm mục tiêu và xảo quyệt, lén lút lợi dụng con người, quy trình và công nghệ. Tuy nhiên, về mặt kinh doanh, chuyển đổi kỹ thuật số và di chuyển đám mây đang mở rộng và phát triển bề mặt của công ty. Các doanh nghiệp cần một đối tác công nghệ có kết hợp chuyên môn giữa con người với các công nghệ bảo mật tiên tiến để phát hiện, tương quan, ứng phó và khắc phục các mối đe dọa một cách tốt hơn”.

Cùng với sự gia tăng các mối đe dọa không có hồi kết trong nửa đầu năm nay, những kẻ tấn công đang ngày càng triển khai các mối đe dọa vô hình đối với các bộ lọc bảo mật truyền thống, vì những cuộc tấn công này được thực thi trong bộ nhớ của hệ thống, nằm trong sổ đăng ký hoặc lạm dụng các công cụ hợp pháp. Các bộ công cụ khai thác cũng đã trở lại, với mức tăng 136% so với cùng kỳ năm 2018.

Phần mềm tiền điện tử độc hại vẫn là mối đe dọa được phát hiện nhiều nhất trong nửa đầu năm 2019. Những kẻ tấn công ngày càng triển khai các phần mềm tiền điện tử độc hại trên các máy chủ và trong môi trường đám mây. Khác với dự đoán khác, số lượng bộ định tuyến liên quan đến các cuộc tấn công trong nước đã tăng thêm 64% so với nửa đầu năm 2018 với nhiều biến thể Mirai luôn kiếm tìm các thiết bị tiếp xúc.

Ngoài ra, các kế hoạch tống tiền kỹ thuật số đã tăng vọt tới 319% so với nửa cuối năm 2018, phù hợp với các dự đoán trước đó. Thỏa hiệp email doanh nghiệp (BEC) vẫn là một mối đe dọa lớn, với việc phát hiện tăng 52% so với sáu tháng qua. Các tệp, email và URL liên quan đến Ransomware cũng tăng 77% so với cùng kỳ năm ngoái.

Tổng cộng, Trend Micro đã chặn hơn 26,8 tỷ mối đe dọa trong nửa đầu năm 2019, nhiều hơn 6 tỷ cuộc so với cùng kỳ năm ngoái. Đáng chú ý là, 91% các mối đe dọa này đã xâm nhập vào mạng công ty qua email. Việc giảm thiểu các mối đe dọa tiên tiến này đòi hỏi hệ thống phòng thủ thông minh có thể tương quan dữ liệu từ các cổng, mạng, máy chủ và điểm cuối để xác định và ngăn chặn các cuộc tấn công một cách tốt nhất.

Làm thế nào để bảo vệ máy tính trước những cuộc tấn công của mã độc fileless

Khi xuất hiện lần đầu, mã độc fileless sẽ làm các máy tính chạy vô cùng chậm, bởi vì nó sử dụng bộ nhớ RAM để thực thi cuộc tấn công. Và tất nhiên cách làm này làm cho các nạn nhân rất dễ phát hiện ra. Tuy nhiên, những tên tội phạm đã nhanh chóng nâng cấp chiến thuật và code của mình để làm việc lây nhiễm fileless trở nên không thể nhận ra.

Vì vậy, cách tốt nhất để tự bảo vệ bản thân trước việc phát tán malware fileless này là ngăn chặn chúng trước khi chúng xảy ra bằng cách:

Cài đặt các bản cập nhật bảo mật mới nhất cho ứng dụng và hệ điều hành của mình: dù rất nhiều người bỏ qua việc cập nhật bảo mật, nhưng trên thực tế, nó có thể giúp loại bỏ đến 85% nguy cơ trở thành mục tiêu tấn công.

Chặn các trang web lưu trữ các bộ kit khai thác: Trong khi các chương trình chống virus thông thường có thể bị các malware fileless qua mặt dễ dàng, những phần mềm này có thể phát hiện các trang web độc hại và chặn truy cập, hoặc cảnh báo cho bạn biết rủi ro khi truy cập vào chúng. Như vậy các bộ kit khai thác sẽ khó có thể chạm tới máy tính của bạn.

Chặn việc truyền tải xuống payload từ các máy chủ Command & Control của hacker: Ngay cả khi đã lọt vào máy tính của bạn, các bộ kit cũng cần kết nối với máy chủ của hacker để tải xuống payload (các malware fileless). Nếu máy tính của bạn được bảo vệ đúng cách, bạn có thể phát hiện và chặn việc kết nối tới các máy chủ độc hại và tải xuống payload này.

Chặn việc liên lạc giữa máy tính PC với các máy chủ của kẻ tấn công: Ngay cả khi các payload đã được tải xuống máy tính của bạn, nhưng nếu không kết nối được tới máy chủ của các hacker, những tên tội phạm mạng không thể khai thác được dữ liệu hay lây nhiễm các loại malware khác, như ransomware cho máy tính.

An Dương (T/h)