Blog

Cảnh báo sự xuất hiện của malware không dựa trên file

05/03/2017 - 06:06

Một báo cáo mới đây của Kaspersky cho thấy xu hướng phát triển malware không dựa trên file - hay còn gọi là mã độc tàng hình - nhằm dễ dàng qua mặt các chương trình diệt virus đang trở nên phổ biến hơn.

 

Một phần mềm chống malware thông thường hoạt động bằng cách quét ổ cứng (đĩa cứng) để tìm tập tin (file) độc hại, sau đó đánh dấu file tìm thấy để xóa hay cô lập nó. Tuy nhiên, cách làm này có vẻ không còn hiệu quả là bao khi phần mềm phòng, chống virus không tìm thấy file nào độc hại trên hệ thống. Đó chính là cách mà một kiểu tấn công đang dần phổ biến hiện nay áp dụng, qua mặt được chương trình diệt virus thông thường và vượt được lớp phòng vệ của hàng chục ngân hàng trên thế giới.

 

Tin tặc sử dụng kỹ thuật cấy mã độc vào các thành phần quan trọng của máy tính, qua mặt được các chương trình quét virus dựa trên file.

 

Loại malware không dựa trên file như vậy tránh bị phát hiện bằng cách ẩn mình dưới những điểm không ngờ đến, như bộ nhớ truy cập ngẫu nhiên của hệ thống hay ở nhân kernel hệ thống, nghĩa là nó không phụ thuộc vào file trên ổ cứng để chạy.

Kỹ thuật xâm nhập hệ thống này đã nổi lên cách nay vài năm, được giới chuyên gia cho là kiểu tấn công phức tạp tầm quốc gia, và gần đây thì kiểu tấn công này trở nên phổ biến hơn nhiều. Kỹ thuật này không chỉ tấn công đến những mục tiêu ưu tiên cao như trước mà theo hãng bảo mật Kaspersky Lab vừa tung ra báo cáo mới đây, cho rằng malware không dựa trên file đã nhiễm vào hơn 140 viện tài chính, tổ chức chính phủ và các công ty truyền thông của khoảng 40 quốc gia.

Có ý kiến cho rằng, loại mã độc tàng hình này được phát triển trên nền tảng của "siêu vũ khí không gian mạng" Stuxnet.

Kaspersky không tự mình phát hiện mà ngân hàng tìm đến công ty bảo mật này sau khi phát hiện malware chạy lén lút trong bộ nhớ của một trong những mạch điều khiển chính (trong một máy chủ trên mạng Windows xử lý các truy vấn xác thực bảo mật). Tấn công này ghi lại các thông tin đăng nhập của quản trị viên để tin tặc có thể thâm nhập sâu hơn nữa vào hệ thống mạng ngân hàng, thu thập thêm nhiều thông tin đăng nhập và mục tiêu cuối cùng là có đủ thông tin để rút tiền từ ATM.

Điều khiến kiểu tấn công này nguy hại và khó phát hiện, diệt trừ chính là bởi nó trú ngụ trong những thành phần của kiến trúc máy tính, nên khó cho người dùng thông thường xác định và truy cập được, nên ít có thể tiếp cận được. Tuy vẫn có thể loại trừ malware dạng này nhưng nhiều tổ chức vẫn chưa tập trung xác định nó ngay từ đầu.

Trong một báo cáo bảo mật hồi tháng 12 năm ngoái, công ty bảo mật Carbon Black phát hiện tỷ lệ tấn công malware không dựa trên file trong nhóm khách hàng của hãng tăng vọt, từ 3% đầu năm 2016 lên đến 13% đến tháng 11/2016.

Theo Kaspersky phát hiện, có hơn 70% trường hợp nhiễm malware mà hãng phát hiện sử dụng mã PowerShell độc hại để chiếm dụng lưu trữ RAM. 

Malware không dựa trên file và ransomware ngày một phổ biến hơn, giới công nghệ cho rằng tin tặc đang tiến tới một giai đoạn phát triển mới. Còn giới bảo mật không chỉ dựa trên những công nghệ bảo mật cũ và cập nhật kém nữa mà cần đưa ra những giải pháp phù hợp hơn với tình hình.

Theo PC World

Tin liên quan