Theo công ty cổ phần an toàn thông tin CyRadar (Việt Nam), trong những năm gần đây đã xuất hiện ba hình thức tấn công an ninh mạng phổ biến nhất. Các hình thức này tuy không quá mới nhưng đã được các kẻ tấn công phát triển và nâng cấp khiến các hệ thống an ninh bảo mật khó phát hiện hơn, bao gồm:
- (phishing attack): Đây là một hình thức tấn công mạng mà kẻ tấn công giả mạo một tổ chức hoặc cá nhân được tin cậy để lừa đảo người dùng và thu thập thông tin cá nhân nhạy cảm như tên đăng nhập, mật khẩu, số thẻ tín dụng hoặc thông tin tài khoản ngân hàng. Tấn công lừa đảo có nhiều hình thức khác nhau, dưới đây là một số hình thức phổ biến:
Email Phishing: Hình thức tấn công này chủ yếu từ các tin nhắn giả mạo được gửi qua email, thường có nội dung yêu cầu người nhận cung cấp thông tin cá nhân như tên đăng nhập, mật khẩu, số thẻ tín dụng và thông tin nhạy cảm khác. Email thường được thiết kế để giống hệt các thông điệp chính thức từ các tổ chức như ngân hàng, dịch vụ tài chính, hoặc công ty công nghệ.
Website Phishing: Kẻ tấn công tạo ra các trang web giả mạo các trang web phổ biến như ngân hàng, trang web mua sắm, hoặc trang web dịch vụ. Những trang web này có thể yêu cầu người dùng nhập thông tin cá nhân và tài khoản, sau đó sử dụng thông tin này để đánh cắp thông tin nhạy cảm khác.
Spear Phishing: Một dạng tinh vi hơn của email phishing, spear phishing nhắm vào các cá nhân hoặc tổ chức cụ thể bằng cách sử dụng thông tin cá nhân được thu thập trước đó để làm cho thông điệp giả mạo trở nên thuyết phục hơn.
SMS Phishing (Smishing): Tương tự như email phishing, nhưng tin nhắn văn bản được sử dụng thay vì email. Kẻ tấn công sẽ gửi tin nhắn giả mạo yêu cầu người nhận truy cập vào một trang web hoặc gọi điện đến số điện thoại cung cấp thông tin cá nhân.
Voice Phishing (Vishing): Kẻ tấn công sử dụng điện thoại để gọi điều hướng người dùng đến các cuộc gọi giả mạo, thường mạo danh là các dịch vụ cung cấp thông tin quan trọng nhưng thực tế là để lừa đảo thông tin cá nhân.
Social Media Phishing: Kẻ tấn công sử dụng các trang mạng xã hội để gửi tin nhắn giả mạo, tạo ra các trang web lừa đảo thông qua các liên kết độc hại trên mạng xã hội.
Clone Phishing: Kẻ tấn công tạo ra một bản sao của một email hợp pháp đã được gửi trước đó, nhưng thay đổi một số chi tiết, ví dụ như các liên kết hay tệp đính kèm để lừa đảo người nhận.
- Phần mềm gián điệp (spyware): Một dạng phần mềm độc hại hoạt động ẩn trong hệ thống để đánh cắp thông tin dữ liệu trái phép, thông qua thao tác bàn phím, ảnh chụp màn hình, email, dữ liệu trình duyệt, thông tin đăng nhập thẻ tín dụng, tài khoản,… Phần mềm gián điệp được cài đặt một cách bí mật như là một thành phần đi kèm của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người dùng có thể tải về và cài đặt dễ dàng từ Internet.
- : Với kiểu tấn công này, các kẻ tấn công sẽ xâm nhập, kiểm soát và thực hiện các hoạt động độc hại bằng cách khai thác các phần mềm dễ bị tấn công mà người dùng hay sử dụng, chẳng hạn như Microsoft Word, trình duyệt Chrome hoặc phần mềm đã được triển khai trên máy tính mục tiêu. Kẻ tấn công cũng có thể khai thác các lỗ hổng bảo mật để có quyền truy cập vào các công cụ hệ điều hành như PowerShell hoặc Registry. Thay vì tải các tệp độc hại hoặc ghi lại nội dung vào ổ cứng, kẻ tấn công khai thác các lỗ hổng ứng dụng để chạy script và tải mã độc trực tiếp vào bộ nhớ RAM. Ví dụ về tấn công bằng mã độc fileless được minh họa như Hình 1.
Hình 1. Ví dụ hình thức tấn công bằng mã độc fileless
Trong ví dụ trên, khi người dùng truy cập Internet bằng trình duyệt web bị điều hướng tới trang web giả mạo (malicious website). Khi đó, flash - một công cụ hỗ trợ tương tác giữa trình duyệt với máy tính được khởi chạy. Tuy nhiên, flash cũng đi kèm với rất nhiều lỗi bảo mật nghiêm trọng. Flash kích hoạt tập lệnh Powershell và tải xuống các tệp bổ sung chứa mã độc từ một máy chủ khác trên mạng, sau đó tiêm nhiễm mã độc vào RAM và thực thi. Giống như tất cả các cuộc tấn công mạng, mục đích chung là giành quyền kiểm soát máy tính để thực hiện các mục tiêu như tống tiền nạn nhân, đánh cắp dữ liệu,...
Phân tích quy trình tấn công mã độc fileless là quá trình nghiên cứu và hiểu rõ về cách một cuộc tấn công không sử dụng tệp thực hiện các bước để xâm nhập, lan truyền và thực hiện hành động độc hại không để lại dấu vết trên ổ đĩa cứng. Phân tích quy trình tấn công này giúp tổ chức triển khai các biện pháp phòng ngừa và đưa ra phản ứng phù hợp để ngăn chặn và giảm thiểu tác động của các cuộc tấn công này.
Quy trình tấn công mã độc fileless có thể được kẻ tấn công tiến hành theo 4 giai đoạn như sau:
Xâm nhập ban đầu
Tấn công mã độc fileless thường bắt đầu bằng việc kẻ tấn công gửi email chứa các liên kết độc hại hoặc tệp tin đính kèm với mục đích lừa đảo người dùng. Như đã được đề cập, spear phishing là một kỹ thuật tấn công mục tiêu, trong đó, kẻ tấn công tập trung vào một cá nhân cụ thể, doanh nghiệp, hoặc tổ chức để lừa đảo thông tin nhạy cảm hoặc tiếp cận hệ thống máy tính. So với phương pháp phishing thông thường, spear phishing đòi hỏi một lượng lớn thông tin riêng tư và có khả năng định hướng đối tượng để tạo ra các thông điệp lừa đảo có tính cá nhân và tính thuyết phục.
Thu thập thông tin
Sau khi kẻ tấn công giành được quyền truy cập vào hệ thống, họ có thể thực hiện các hình thức tấn công tiếp theo để thu thập thông tin như sau:
PowerShell hoặc Scripting Language: Kẻ tấn công sử dụng PowerShell hoặc các ngôn ngữ kịch bản khác để thực thi các lệnh độc hại mà không cần tạo ra các tệp đính kèm. PowerShell có khả năng tải xuống và thực thi tệp tin từ Internet. Kẻ tấn công có thể sử dụng chức năng này để tải về mã độc từ máy chủ từ xa và thực hiện nó trực tiếp từ bộ nhớ. PowerShell cũng có thể được sử dụng để vượt qua các cơ chế xác thực an toàn như Application Whitelisting (AWL) - một phương pháp bảo mật được sử dụng để bảo vệ hệ thống máy tính khỏi phần mềm không được ủy quyền bằng cách chỉ cho phép các ứng dụng đã được phê duyệt khởi chạy. Khi người dùng cố gắng thực thi một ứng dụng, hệ thống kiểm tra xem nó có trong whitelist không. Nếu có, ứng dụng được phép chạy, nếu không, nó sẽ bị chặn. Tuy nhiên, PowerShell có thể được sử dụng đã vượt qua cơ chế bảo mật này bằng cách chạy mã độc không cần thiết lập tệp tin.
Reflective DLL Injection: Chèn mã độc vào bộ nhớ, đây là quá trình chèn lệnh vào một tiến trình đang chạy. Lệnh được sử dụng ở đây là ở dạng thư viện liên kết động (DLL) để thực hiện các chức năng độc hại không để lại dấu vết trên ổ đĩa. Quy trình tấn công DLL Injection được thể hiện trong Hình 2.
Hình 2. Quy trình tấn công DLL Injection
Thiết lập backdoor
Khi mã độc xâm nhập và kiểm soát hệ thống, nó thường thiết lập một backdoor để cho phép kẻ tấn công truy cập vào máy mục tiêu. Kẻ tấn công có thể sử dụng Registry và Windows Management Instrumentation (WMI) để duy trì sự tồn tại và tránh bị phát hiện. Kovter và Poweliks là hai ví dụ về mã độc fileless sử dụng Windows Registry để lây nhiễm cho người dùng. Mã độc fileless có thể thực hiện đăng ký một hành động vào WMI với dòng lệnh được thể hiện trong Hình 3.
Hình 3. Tấn công mã độc fileless sử dụng WMI
Thực thi mã độc fileless Sau khi đã tạo được thành phần cư trú (có khả năng khởi động cùng hệ thống), thành phần ban đầu này chủ yếu sẽ thực hiện hành vi kết nối đến máy chủ để tải về và thực thi các đoạn mã độc khác nhau trên bộ nhớ, với các hành vi độc hại thường thấy như: Tắt các ứng dụng anti-virus, tìm cách dò quét, lây lan trong mạng, thu thập đánh cắp thông tin, mã hóa dữ liệu,...
Tấn công bằng mã độc fileless là một mối đe dọa thực sự đối với các tổ chức, nhưng rủi ro này vẫn có thể được giảm thiểu. Một số giải pháp được đề xuất như sau:
Đào tạo nâng cao nhận thức về an ninh mạng
Kẻ tấn công khi thực hiện tấn công fileless thường sử dụng để gửi mã độc. Đào tạo nâng cao nhận thức về an toàn thông tin mạng là một phương pháp tiếp cận hiệu quả giúp người dùng giảm thiểu nguy cơ bị tấn công với những khuyến nghị nên truy cập các trang web an toàn và nhấn mạnh sự cần thiết phải thận trọng khi mở tệp đính kèm email.
Phân tích và phát hiện hành vi bất thường
Phân tích mã độc là việc sử dụng các công cụ, kỹ thuật nhằm xác định hành vi độc hại trên hệ thống mạng. Về phương pháp thực hiện, có hai phương pháp phân tích mã độc chủ yếu là phân tích tĩnh và phân tích động.
Phân tích tĩnh mô tả việc phân tích mã, cấu trúc của một phần mềm mà không cần thực thi chúng nhằm mục đích kiểm tra xem tệp tin, phần mềm có phải mã độc hay không, đồng thời cố gắng xác định hành vi của mã độc. Trong khi đó, phân tích động là việc phân tích các hành vi, chức năng của mã độc bằng cách thực thi phần mềm độc hại. Không giống như phân tích tĩnh, phân tích động cho phép quan sát chức năng thực sự của phần mềm độc hại. Đối với mã độc không sử dụng tệp, các tổ chức nên thực hiện phân tích và phát hiện hành vi bất thường để xác định các hoạt động có thể cho thấy một cuộc tấn công bằng mã độc fileless đang xảy ra.
Cài đặt phần mềm anti-virus
Việc phát hiện mã độc fileless có thể là một nhiệm vụ đầy thách thức đối với một số phần mềm anti-virus. Aqua Security, là một công cụ điều tra và bảo mật thời gian thực có thể phát hiện và phòng ngừa tấn công bằng mã độc fileless hiệu quả.
Cập nhật hệ điều hành và phần mềm ứng dụng
Một trong những biện pháp hiệu quả để bảo đảm an toàn cho hệ thống tránh lây nhiễm mã độc là cập nhật hệ điều hành và tất cả phần mềm, ứng dụng với các bản vá bảo mật mới nhất. Ngoài ra, để chủ động phát hiện sớm các mối đe dọa đáng ngờ, cá nhân và tổ chức cũng cần thường xuyên cập nhật các chương trình, phần mềm anti-virus để kịp thời ngăn chặn các dạng mã độc trên hệ thống mạng và máy tính.
|
TÀI LIỆU THAM KHẢO [1]. . [2]. . [3]. . [4]. . |
Quách Ngọc Tăng, Trương Đình Dũng Trường (Cao đẳng Kỹ thuật Thông tin, Binh chủng Thông tin - Liên lạc)
08:00 | 01/04/2024
13:00 | 04/05/2024
10:00 | 06/12/2023
10:00 | 16/08/2024
Trong những năm gần đây, công nghệ Deepfake đã trở nên ngày càng phổ biến hơn, cho phép tạo ra các video thực đến mức chúng ta khó có thể phân biệt với các video quay thực tế. Tuy nhiên, công nghệ này đã bị các tác nhân đe dọa lợi dụng để tạo ra những nội dung giả mạo, hoán đổi khuôn mặt nhằm mục đích lừa đảo, gây ảnh hưởng tiêu cực đến xã hội. Do đó, việc phát triển các công cụ phát hiện Deepfake mang tính cấp bách hơn bao giờ hết. Bài viết này sẽ giới thiệu tổng quan về một số kỹ thuật và công cụ phát hiện Deepfake hiệu quả.
08:00 | 08/08/2024
Trí tuệ nhân tạo (AI) có khả năng xác định và ưu tiên các rủi ro, mang lại cho các chuyên gia IT cơ hội phát hiện ngay lập tức mã độc trong mạng của họ và phát triển chiến lược phản ứng sự cố. Hiện nay, AI đóng vai trò quan trọng trong quản lý an toàn thông tin (ATTT), đặc biệt là trong việc phản ứng với sự cố, dự đoán việc xâm phạm, kiểm soát hiệu suất và quản lý hàng tồn kho. Bài viết này giới thiệu về các ứng dụng của AI trong quản lý ATTT bằng cách xem xét những lợi ích và thách thức của nó, đồng thời đề xuất các lĩnh vực cho các nghiên cứu trong tương lai.
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024
