Tổng quan về Fileless Malware Attacks và cách phòng chống

02/07/2018

Không giống như các cuộc tấn công được thực hiện bằng cách sử dụng phần mềm độc hại truyền thống. các cuộc tấn công mã độc fileless  không bắt người tấn công cài đặt phần mềm lên máy của nạn nhân. Điều này có nghĩa là không có signature cho phần mềm antivirus để phát hiện ra chúng, làm giảm đáng kể hiệu quả của các chương trình antivirus trong việc phát hiện các cuộc tấn công mã độc fileless. Và quan trọng hơn, những cuộc tấn công như thế này khả năng thành công cao hơn gấp 10 lần trong việc lây nhiễm các máy tính so với các cuộc tấn công dựa trên file.

 


Thay vì tải các file độc hại xuống hoặc ghi nội dung vào ổ cứng, kẻ tấn công khai thác lỗ hổng ứng dụngđể chèn mã trực tiếp vào RAM. Fileless Malware Attacks có thể tận dụng các ứng dụng văn phòng hoặc công cụ quản trị của windows như Powershell hoặc Windows Management Instrumentation (WMI) để chạy script và tải mã độc trực tiếp vào bộ nhớ.

Giống như tất cả các cuộc tấn công, mục đích là để giành quyền kiểm soát máy tính và đạt được mục tiêu của kẻ tấn công, chẳng hạn như tống tiền dữ liệu(ransomware), đánh cắp dữ liệu / thông tin đăng nhập và các tấn công khác.
tan-cong-ma-đoc-fileless_fileless-malware-attacks-3.png

Trong hình minh họa ở trên một email lừa đảo chứa liên kết đưa người dùng đến trang web độc hại. Khai thác trình duyệt kích hoạt chạy script PowerShell, sau đó download thêm một script mã độc khác từ một site remote thông thường nó là script lớn hơn. script này chứa mã độc fileless mã độc này sẽ được load vào ram và chạy trực tiếp trên ram.
tan-cong-ma-đoc-fileless_fileless-malware-attacks-1.png
Trong ví dụ thứ 2, người dùng có thể nhận được email lừa đảo với tệp đính kèm .doc chứa macro. Nếu người dùng bật macro, về cơ bản là tập lệnh VBA, nó sẽ kích hoạt tập lệnh powershell tải xuống các file bổ xung chứa mã độc fileless từ một server khác trên mạng, sau đó nó sẽ inject mã độc vào RAM và thực thi nó.

Cách ngăn chặn Fileless Malware Attacks

Doanh nghiệp phải đảm bảo rằng tất cả các nhân viên của được đào tạo về những mối nguy hiểm khi mở file đính kèm được gửi từ người dùng xa lạ hoặc ngay cả đối tượng tin cậy. Mọi bản vá do nhà cung cấp phát hành phải được cài đặt ngay lập tức.

Ngoài ra, các doanh nghiệp cần:

Backup các dữ liệu quan trọng
Hạn chế thực thi các script không cần thiết
Tắ thực thi macro
Theo dõi log security cho các các traffic unauthorized
Triển khai endpoint security
…..
Trích: ( Phòng Nghiệp Vụ )