Áp dụng một cách đơn giản các phỏng đoán và các công cụ dùng tệp (file-based tools) đối với tấn công không dùng tệp (fileless attack) là một chiến lược không hiệu quả. Bài viết này trình bày 05 thách thức trong việc phát hiện tấn công bằng mã độc không dùng tệp.
Các cuộc tấn công sử dụng mã độc không dùng tệp (fileless malware) được coi là một hình thức phạm tội cơ hội hoàn hảo. Hướng tấn công ban đầu có thể bắt đầu từ một bức thư điện tử kinh doanh có vẻ vô hại, đi kèm với đường dẫn tới một hóa đơn hoặc bản cập nhật nào đó. Tuy nhiên, ẩn chứa trong đường dẫn có thể là một trang với tập mã JavaScript dẫn đến các mối đe dọa lớn hơn. Tập lệnh đó có thể tồn tại mà hoàn toàn không sử dụng tệp tin do chạy ngầm, truy cập vào trình PowerShell và ra lệnh cho máy tính của người dùng. Nguy hiểm hơn, nó có thể sử dụng các thông tin xác thực của người dùng để tìm kiếm và truy cập vào các nơi khác.
Trong bối cảnh mạng và máy tính thương mại như hiện nay, hình thức tấn công bằng mã độc không dùng tệp chỉ cần vài giây để bắt đầu gây thiệt hại và lây lan. Thiệt hại có thể được gây ra theo nhiều cách và hậu quả có thể rất nguy hiểm đối với tổ chức khi dữ liệu của họ đứng trước nguy cơ bị xóa bỏ, phá hủy hoặc mã hóa. Vấn đề trở nên phức tạp hơn khi đội ngũ công nghệ thông tin và an ninh rà soát dữ liệu khó có thể tìm ra được hướng tấn công ban đầu. Họ không tìm ra được bằng chứng do tin tặc đã thoát khỏi tất cả các tầng bảo mật mà không để lại chút dấu vết nào.
Tấn công bằng mã độc không dùng tệp là một mối nguy hiểm thực sự đối với các tổ chức, nhưng rủi ro này vẫn có thể được giảm thiểu. Bước đầu tiên để đảm bảo an toàn chính là đào tạo. Đội ngũ an ninh cần phải nhìn nhận tấn công bằng mã độc dùng tệp (file-based malware) và mã độc không dùng tệp (fileless malware) là hai hình thức tấn công hoàn toàn khác nhau. Áp dụng một cách đơn giản các phỏng đoán và công cụ dùng tệp đối với các cuộc tấn công bằng mã độc không dùng tệp là một chiến lược không hiệu quả. Các tổ chức cần phải hiểu được 05 thách thức trong việc phát hiện mã độc không dùng tệp như sau:
- Phân tích mã không dùng tệp với phương thức không phân biệt hệ điều hành (OS-agnostic)
Tấn công với mã độc thường được thiết kế để hoạt động trong môi trường cấu hình của một mức vá cụ thể cho một hệ điều hành hoặc sản phẩm. Ví dụ, để trở thành một mối nguy hại an toàn mạng, thì có thể cần một phiên bản hệ điều hành Windows có cài đặt trình duyệt Firefox, trong đó hệ điều hành và trình duyệt cần được cài đặt với hai bản vá cụ thể. Tính đặc hiệu trên chính là phương thức giúp kẻ tấn công có thể nhắm đến những hệ thống đơn lẻ và tránh bị phát hiện bởi sandbox hoặc các cơ chế bảo vệ giới hạn môi trường khác.
- Phát hiện và phân tích mã bị che giấu, làm rối
Tấn công bằng mã độc không dùng tệp thường sử dụng các kỹ thuật giúp che giấu, làm rối mã độc, khiến các công cụ phát hiện mã độc không tìm ra độc hại, hoặc thậm chí không phân tích được lưu lượng trao đổi ngay từ đầu. Ví dụ, những khai thác bằng mã độc không dùng tệp cố gắng che giấu mã độc hại bằng các kỹ thuật làm rối mã như phép XOR hoặc mã hóa chuỗi. Mã độc không dùng tệp cũng có thể được làm rối trong những văn bản PDF hoặc Microsoft Office tưởng chừng như vô hại.
- Phát hiện phạm vi tấn công bằng mã độc không dùng tệp mà không gây ảnh hưởng tới hiệu suất mạng và máy chủ
Tấn công bằng mã độc không dùng tệp thường được ẩn trong những trao đổi dựa trên web trong phạm vi mạng. Để cô lập chúng khỏi các hoạt động vô hại, tất cả các lưu lượng web sử dụng mã JavaScript đều phải được phân tích. Tất cả các trang web đều sử dụng một hình thức nào đó của JavaScript, nên đây là một thách thức lớn đối với các công cụ phát hiện tấn công bằng mã độc không dùng tệp dựa trên web khi đối mặt với vô số trao đổi trong mỗi giây. Trong khi đó, đối với các công cụ phát hiện mã độc dựa trên máy chủ, thách thức này có thể dẫn đến tiêu tốn tài nguyên đáng kể trên máy tính người dùng cuối, ảnh hưởng đến hiệu suất công việc.
- Xác định mã được khôi phục sẽ kích hoạt các hoạt động vô hại hay nguy hiểm
Nhiều ứng dụng và tiến trình vô hại sử dụng các tập mã script với những mục đích hợp lệ. Những tập mã như vậy viết các cookies và thực hiện các hoạt động làm thay đổi máy chủ. Tuy nhiên, tấn công bằng mã độc không dùng tệp cũng hoạt động với cách thức giống như thế. Phân biệt các hoạt động bình thường với các hoạt động nguy hiểm chính là thách thức chính của việc phát hiện tấn công không dùng tệp. Tấn công bằng mã độc không dùng tệp gây khó khăn đối với các nhà phân tích trong việc điều tra thủ công vì thông thường sẽ có ít mẫu để phân tích sau khi bị lây nhiễm hơn tấn công bằng mã độc dùng tệp. Những kẻ tấn công bằng mã độc không dùng tệp vẫn tiếp tục phát triển các kỹ thuật tấn công, nên các cuộc tấn công bằng mã độc không dùng tệp ngày càng giống các hoạt động thông thường, khiến việc nắm bắt các mối đe dọa trở nên khó khăn hơn.
- Phát hiện các mối đe dọa theo thời gian thực
Các hệ thống xử lý sau (post-processing) được thiết kế để tìm ra hành vi độc hại sau khi sự kiện đã diễn ra. Những hệ thống này bao gồm các công cụ như sandbox và phát hiện hành vi bất thường. Mặc dù các hệ thống này cuối cùng cũng sẽ tìm ra mối nguy hiểm, song chúng thường không phát hiện ra tấn công cho đến khi một hoặc vài hệ thống đã bị xâm phạm và chịu thiệt hại. Những kẻ tấn công biết điều này và chúng tận dụng khoảng trễ từ lúc phát hiện đến khi khắc phục thiệt hại nhằm trục lợi. Trong môi trường các mối đe dọa như hiện nay, mối nguy hại nào càng tồn lại lâu trong mạng thì sẽ gây ra rủi ro ngày càng lớn.
Thay đổi trong cách suy nghĩ
Trong khi mã độc không dùng tệp không phải là một mối đe dọa an toàn mạng mới, thì độ tinh vi và mức độ của các kỹ thuật mà tin tặc thực hiện để tấn công đang phát triển với một tốc độ nhanh chóng. Để giải quyết các thách thức nêu trên, các đội ngũ an ninh có thể bắt đầu đưa ra nền tảng cần thiết, đồng thời thiết lập các trọng tâm về phương pháp đảm bảo an toàn trong những năm tới.
Tuy nhiên, để chuẩn bị đối phó với mối đe dọa ngày càng lớn từ mã độc không dùng tệp, các đội ngũ an ninh phải trải qua thay đổi trong cách suy nghĩ, khởi đầu bằng việc tái kiểm tra một cách toàn diện các sự cố không có hướng tấn công ban đầu rõ ràng trong quá khứ. Tìm hiểu liệu sự cố đó có phải là tấn công không dùng tệp hay không sẽ giúp đội ngũ an ninh ưu tiên việc đào tạo và đầu tư. Sau đó, một khi đội ngũ an ninh phát hiện ra các vấn đề đang tồn tại và bắt đầu quá trình giải quyết những vấn đề này, cùng với các nguyên nhân gốc rễ hay những thiếu sót, họ có thể sử dụng kết quả đạt được cho việc khảo sát, thử nghiệm các công cụ giúp khắc phục các thiếu sót trong việc phát hiện tấn công bằng mã độc không dùng tệp.
Đỗ Đoàn Kết (Theo Dark Reading)