Gia tăng sử dụng công cụ hợp pháp trong các cuộc tấn công mạng

17:00 | 26/08/2020 | HACKER / MALWARE

Theo điều tra của nhóm ứng cứu khẩn cấp toàn cầu Kaspersky, khoảng 30% các vụ tấn công mạng có liên quan đến các công cụ quản trị và quản lý từ xa hợp pháp được phát hiện trong năm 2019. Điều này dẫn đến việc kẻ tấn công có thể duy trì tránh bị phát hiện trong khoảng thời gian dài.

Gia tăng sử dụng công cụ hợp pháp trong các cuộc tấn công mạng

Các phần mềm, công cụ giám sát và quản lý giúp quản trị viên thực hiện các tác vụ như xử lý sự cố, hỗ trợ kỹ thuật cho người dùng. Tuy nhiên, tội phạm mạng cũng lợi dụng các công cụ này trong quá trình tấn công mạng vào hạ tầng của một công ty. Các công cụ, phần mềm này cho phép kẻ tấn công chạy các tiến trình trên thiết bị đầu cuối, truy cập và lấy các thông tin nhạy cảm, vượt qua các lớp phòng thủ, bảo vệ mạng.

Việc phân tích dữ liệu ẩn danh từ các trường hợp phản ứng sự cố cho thấy, có 18 công cụ hợp pháp khác nhau đã bị kẻ tấn công lợi dụng cho các mục đích xấu. Công cụ được sử dụng nhiều nhất là PowerShell chiếm 25% các trường hợp. PsExec đứng thứ hai với tỷ lệ 22%. Ứng dụng này được sử dụng để chạy tiến trình trên các thiết bị đầu cuối từ xa. Theo sau là SoftPerfect Network Scanner với 14% các trường hợp được sử dụng để truy xuất thông tin về môi trường mạng.

Điều này khiến các giải pháp bảo mật khó phát hiện các tấn công. Bởi hành động của các công cụ này vừa có thể là một phần trong hành động của tội phạm hoặc vừa có thể là các tác vụ do quản trị viên thực hiện.

Tuy nhiên, các chuyên gia của Kaspersky cũng lưu ý rằng đôi khi các hành động nguy hại bằng cách sử dụng phần mềm hợp pháp cũng bộc lộ khá nhanh. Ví dụ, chúng thường được sử dụng trong tấn công của mã độc tống tiền và thiệt hại gây ra là khá rõ ràng. Thời gian tấn công trung bình cho các cuộc tấn công này là 1 ngày.

“Để tránh bị phát hiện và ẩn náu lâu dài trong một hệ thống mạng đã bị chiếm quyền lâu nhất có thể, kẻ tấn công thường sử dụng các phần mềm vốn được phát triển cho các hành động thông thường của người dùng, các tác vụ của quản trị viên và gỡ lỗi hệ thống. Với các công cụ này, kẻ tấn công có thể thu thập thông tin về hệ thống mạng và sau đó thực hiện mở rộng tấn công, thay đổi cài đặt phần cứng, phần mềm hoặc thực hiện một số hành động nguy hại.

Ví dụ, họ có thể sử dụng các phần mềm hợp pháp để mã hóa chính dữ liệu của khách hàng. Các phần mềm hợp pháp này cũng có thể giúp kẻ tấn công ẩn náu, tránh bị phát hiện bởi đội ngũ chuyên gia an ninh mạng, vì họ chỉ phát hiện ra tấn công khi đã có thiệt hại xảy ra. Sẽ không thể loại bỏ các công cụ này, tuy nhiên việc triển khai các hệ thống giám sát và ghi nhật ký (log) sẽ giúp phát hiện các hành vi bất thường trong hệ thống mạng và các tấn công mạng ngay khi mới ở giai đoạn đầu”, Konstantin Sapronov, Trưởng nhóm ứng cứu khẩn cấp toàn cầu của Kasperksy chia sẻ.

Ông Stephan Neumeier, Giám đốc điều hành Kaspersky Châu Á Thái Bình Dương lưu ý rằng, “Thực tế tội phạm mạng đang sử dụng các công cụ truy cập từ xa hợp pháp để tấn công một hệ thống mà không bị phát hiện trong thời gian dài, cho thấy tầm quan trọng của việc cần nhanh chóng phát hiện và phản ứng sự cố trong khi bảo vệ hệ thống khỏi một mối đe dọa chưa biết (unknown threat) có thể ẩn náu trong hệ thống và sử dụng một công cụ hợp pháp. Số lượng của các cuộc tấn công thành công như vậy đã tăng lên 30%, đây sẽ là mối quan tâm lớn của CIO và CISO - những người đảm nhận trách nhiệm lớn trong việc bảo vệ mạng của khỏi các mối đe dọa nghiêm trọng như tấn công zero-day và mã độc tống tiền.

Triển khai một giải pháp phát hiện và phản ứng trên thiết bị đầu cuối (Endpoint Detection and Response - EDR) để phát hiện các sự cố và phản ứng kịp có thể giúp ích rất lớn cho đội ngũ bảo mật. Giải pháp này không chỉ cung cấp báo cáo real-time về các hành động khác nhau đang diễn ra mà cũng đồng thời cảnh báo về các mối đe dọa đang ngờ, tiềm ẩn ngay cả khi chúng được ngụy trang dưới công cụ quản trị hợp pháp”

Để phát hiện và phản ứng những tấn công như vậy một cách kịp thời, các tổ chức nên triển khai giải pháp EDR kèm theo dịch vụ quản lý phát hiện và phản ứng (Manage Detection and Response - MDR). Đồng thời, Kaspersky cũng khuyến nghị các biện pháp sau:

Thứ nhất, Hạn chế quyền truy cập đối với các công cụ quản lý từ xa từ đị chỉ IP bên ngoài. Đảm bảo rằng giao diện điều khiển từ xa này chỉ có thể truy cập từ một số thiết bị nhất định.

Thứ hai, Thực thi chính sách mật khẩu đối với toàn bộ hệ thống công nghệ thông tin và triển khai xác thực đa nhân tố.

Cuối cùng, Tuân thủ nguyên tắc hạn chế quyền của người dùng và chỉ cung cấp quyền đủ để họ thực hiện công việc.

Trọng Huấn

‹ › ×

Tin liên quan

Hoa Kỳ đứng đầu trong danh sách bị tấn công mạng nghiêm trọng của CSIS

14:00 | 16/07/2020

Tính đến tháng 6/2020, theo dữ liệu mới ghi lại những vụ tấn công mạng nghiêm trọng từ Trung tâm Nghiên cứu Chiến lược và Quốc tế (Center for Strategic and International Studies - CSIS), có trụ sở tại Hoa Kỳ cho biết: Hoa Kỳ cho đến nay đã bị ảnh hưởng nặng nề hơn bất kỳ buốc gia nào khác trên thế giới với 156 cuộc tấn công mạng nghiêm trọng.

Cảnh báo nguy cơ tấn công mạng vào các hệ thống thông tin dùng thiết bị F5 BIG-IP

11:00 | 08/07/2020

Nguy cơ tấn công mạng vào hệ thống thông tin của các cơ quan, tổ chức sử dụng thiết bị F5 BIG-IP vừa được Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT cảnh báo tới các đơn vị chuyên trách CNTT của các Bộ, ngành, địa phương; các tập đoàn, tổng công ty nhà nước và các ngân hàng, tổ chức tài chính.

Tin tặc tăng cường các hoạt động tấn công tại Mỹ

11:00 | 24/12/2020

Bộ An ninh Nội địa (DHS) của Mỹ cho biết, nhiều tin tặc đang mở rộng diện tấn công từ các cơ quan chính phủ sang các cá nhân sử dụng phần mềm mạng phổ biến. Cụ thể, tin tặc đã sử dụng nhiều kỹ thuật khác bên cạnh việc phá hỏng các bản cập nhật của SolarWinds - phần mềm được hàng trăm nghìn công ty và cơ quan chính phủ Mỹ sử dụng.

Sử dụng RMS và Teamviewer tấn công vào lĩnh vực công nghiệp

08:00 | 06/01/2021

Trong báo cáo gần đây nhất của Kaspersky, các nhà nghiên cứu đã đưa ra thông tin chi tiết về những thay đổi trong kỹ thuật và công cụ của các chiến dịch tấn công mạng nhắm vào các hệ thống công nghiệp.

Hãng bảo mật Malwarebytes là nạn nhân của hacker SolarWinds

11:00 | 22/01/2021

Trong thông báo hôm 19/1/2021, hãng bảo mật Malwarebytes cho biết, dù không dùng phần mềm của SolarWinds nhưng vẫn bị hacker tấn công một số email của công ty. Trước đó, chúng đã xâm nhập thành công Microsoft Office 365 và Microsoft Azure.

Kaspersky Threat Attribution Engine - công cụ hỗ trợ thông tin tấn công APT

16:00 | 12/06/2020

Phần mềm Kaspersky Threat Attribution Engine của Kaspersky giúp nhận diện sự liên quan giữa mã độc với nhóm hoặc chiến dịch tấn công APT cụ thể. Thông tin này giúp các chuyên gia bảo mật ưu tiên đối phó các mối đe dọa rủi ro cao, thay vì tập trung vào những sự cố ít nghiêm trọng hơn.

Threat Intelligence là gì, doanh nghiệp Việt có nên trang bị?

14:00 | 14/10/2020

Tấn công mạng diễn ra hàng ngày, thường xuyên, phức tạp và ẩn giấu nhằm phá vỡ lớp bảo vệ bên ngoài của các doanh nghiệp. Các kỹ thuật mới của tin tặc buộc các công ty an ninh mạng cũng phải cải tiến việc bảo vệ, một trong số đó là sự ra đời của Cyber Threat Intelligence, nghĩa là thông tin tình báo về mối đe dọa an ninh mạng.

Tin cùng chuyên mục

Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến

14:00 | 24/04/2024

Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.