Hầu hết các phần mềm độc hại hiện nay đều biết cách lẩn tránh các dịch vụ chống phần mềm độc hại dựa trên chữ ký truyền thống, đến các endpoint một cách dễ dàng. Do đó, các tổ chức thiếu cách tiếp cận bảo mật theo lớp thường sẽ bị rơi vào tình trạng bấp bênh. Hơn nữa, tội phạm mạng cũng thành công trong việc lừa người dùng để lộ ra thông tin đăng nhập hoặc đánh cắp thông tin xác thực nhờ vào việc sử dụng lại danh sách mật khẩu phổ biến.
Đã có nhiều thay đổi trong bức tranh toàn cảnh các mối đe dọa an ninh mạng trong thập kỷ qua, nhưng endpoint vẫn luôn là mục tiêu mà giới tội phạm mạng nhắm tới. Tin tặc đã kiên nhẫn hơn trước, khi chúng thâm nhập bước đầu vào một hệ thống để tiến hành xâm nhập vào endpoint.
Ví dụ về cuộc tấn công ransomware vào Norsk Hydro: Lần lây nhiễm ban đầu xảy ra ba tháng trước khi kẻ tấn công thực thi ransomware và khóa nhiều hệ thống máy tính của nhà sản xuất. Trong thời gian đó, Norsk có thể phát hiện ra tấn công trước khi thiệt hại xảy ra, nhưng thực tế là hầu hết các doanh nghiệp không có sẵn một chiến lược bảo mật nhiều lớp phức tạp.
Báo cáo về vi phạm dữ liệu gần đây nhất của IBM cũng cho thấy, các doanh nghiệp phải mất trung bình 280 ngày để xác định và ngăn chặn những vụ vi phạm. Trong thời gian đó kẻ tấn công có thể lập kế hoạch cho cuộc tấn công lớn hơn. Vậy, chính xác thì những kẻ tấn công đang làm gì với khoảng thời gian đó? Làm thế nào để họ xâm nhập endpoint mà không bị phát hiện?
Hầu hết các báo cáo đều chỉ ra rằng khoảng 90% các cuộc tấn công mạng đều bắt đầu bằng lừa đảo. Từ thông tin xác thực bị xâm nhập đến một trojan truy cập từ xa đang chạy trên máy tính là kết quả của một vụ lừa đảo thành công. Đối với lừa đảo thông tin xác thực, các tác nhân đe dọa đã tận dụng các miền phụ có thể tùy chỉnh của những dịch vụ đám mây nổi tiếng để lưu trữ các biểu mẫu xác thực hợp pháp.
Ảnh chụp màn hình trên là từ phòng thí nghiệm WatchGuard Threat Lab gần đây đã gặp phải. Liên kết trong email đã được tùy chỉnh cho từng người nhận, cho phép kẻ tấn công điền địa chỉ email của nạn nhân vào biểu mẫu giả để tăng độ tin cậy. Mail lừa đảo này thậm chí còn được lưu trữ trên miền do Microsoft sở hữu, mặc dù trên miền phụ (servicemanager00) nhưng lại bị kiểm soát bởi kẻ tấn công.
Trong trường hợp lừa đảo bằng phần mềm độc hại, phần lớn những kẻ tấn công đã ngừng đính kèm tệp thực thi phần mềm độc hại vào email. Bởi hầu hết mọi người đều nhận ra rằng việc khởi chạy tệp đính kèm email có thể thực thi (*.exe) là một ý tưởng tồi và hầu hết các dịch vụ và ứng dụng email đều có các biện pháp bảo vệ để ngăn chặn một số ít người dùng nhấp vào những tệp đó. Thay vào đó, những kẻ tấn công sử dụng các tệp nhỏ gọn, thường ở dạng tài liệu Office có macro hoặc tệp JavaScript.
Phương pháp sử dụng tệp tài liệu office hoạt động tốt nhất khi người nhận chưa cập nhật cài đặt Microsoft Office của họ hoặc chưa được hướng dẫn để tránh các tài liệu được kích hoạt macro. Phương pháp JavaScript là một phương pháp phổ biến gần đây sử dụng công cụ tạo tập lệnh tích hợp sẵn của Windows để bắt đầu cuộc tấn công. Trong cả hai trường hợp, công việc duy nhất của tệp này là xác định hệ điều hành của nạn nhân, sau đó kết nối về máy chủ và tải các đối tượng cần thiết.
Đối tượng đó thường là trojan hoặc botnet truy cập từ xa ở một số dạng bao gồm bộ công cụ như keylogger, shell script-injection và khả năng tải xuống các môđun bổ sung. Sự lây nhiễm thường không bị giới hạn trong thời gian dài sau đó. Những kẻ tấn công có thể sử dụng vị trí hiện tại của mình để xác định các mục tiêu khác trên mạng của nạn nhân và trói buộc họ.
Thậm chí còn dễ dàng hơn nếu những kẻ tấn công kiểm soát được một danh sách thông tin xác thực hợp lệ và tổ chức chưa triển khai xác thực đa yếu tố. Nó cho phép tác nhân đe dọa đi vào thẳng hệ thống. Sau đó, chúng có thể sử dụng các dịch vụ của chính nạn nhân như các công cụ tạo tập lệnh Windows tích hợp sẵn và các dịch vụ triển khai phần mềm nhằm tạo ra một cuộc tấn công trực tiếp để thực hiện các hành động độc hại. Các tác nhân đe dọa tận dụng PowerShell để triển khai phần mềm độc hại tồn tại trong bộ nhớ máy tính nhằm chuẩn bị mã hóa hoặc lọc dữ liệu quan trọng.
Phòng thí nghiệm WatchGuard gần đây đã xác định được sự lây nhiễm đang diễn ra khi giới thiệu một khách hàng mới. “Vào thời điểm chúng tôi đến, kẻ đe dọa đã ở trên mạng của nạn nhân một thời gian nhờ xâm phạm ít nhất một tài khoản cục bộ và một tài khoản miền có quyền quản trị. Nhóm của chúng tôi không thể xác định chính xác cách mà kẻ đe dọa có được thông tin xác thực hoặc họ đã hiện diện trên mạng bao lâu, nhưng ngay sau khi các dịch vụ săn tìm mối đe dọa của chúng tôi được bật, các chỉ báo ngay lập tức sáng lên để xác định vi phạm.
Trong cuộc tấn công này, các tác nhân đe dọa đã sử dụng kết hợp Visual Basic Scripts và hai bộ công cụ PowerShell phổ biến là PowerSploit và Cobalt Strike để xâm nhập mạng của nạn nhân và khởi chạy phần mềm độc hại. Bộ giải mã mã shell của Cobalt Strike cho phép các tác nhân đe dọa tải xuống các lệnh độc hại, tải chúng vào bộ nhớ và thực thi chúng trực tiếp từ đó mà không cần chạm vào ổ cứng của nạn nhân. Các cuộc tấn công phần mềm độc hại không có tập tin (fileless malware) này có thể khó phát hiện bằng các công cụ chống phần mềm độc hại truyền thống dựa vào việc quét các tệp để xác định các mối đe dọa.
Ở những nơi khác trên mạng, các tác nhân đe dọa sử dụng PsExec, một công cụ tích hợp sẵn trong Windows, để khởi chạy trojan truy cập từ xa với các đặc quyền cấp hệ thống nhờ thông tin đăng nhập quản trị viên miền bị xâm phạm. Các tác nhân đe dọa cố gắng lấy dữ liệu nhạy cảm sang tài khoản DropBox bằng công cụ quản lý lưu trữ đám mây dựa trên dòng lệnh”.
May mắn thay, họ đã có thể xác định và dọn dẹp phần mềm độc hại một cách nhanh chóng. Tuy nhiên, nếu nạn nhân không thay đổi thông tin đăng nhập đã bị đánh cắp, kẻ tấn công có thể bắt đầu lại cuộc tấn công theo ý muốn. Nếu nạn nhân triển khai công cụ Endpoint Detection & Response (EDR) nâng cao như một phần của chiến lược bảo mật phân lớp, họ có thể đã ngăn chặn hoặc làm giảm thiệt hại được tạo ra từ các thông tin đăng nhập bị đánh cắp đó.
Những kẻ tấn công đang nhắm mục tiêu vào các doanh nghiệp một cách ngẫu nhiên, ngay cả với các tổ chức, doanh nghiệp nhỏ. Chỉ dựa vào một lớp bảo vệ đơn giản không còn hiệu quả để giữ an toàn cho tổ chức, doanh nghiệp. Bất kể quy mô của một tổ chức lớn hay nhỏ, điều quan trọng là phải áp dụng phương pháp bảo mật phân lớp có thể phát hiện và ngăn chặn các cuộc tấn công endpoint.
Điều này có nghĩa là tổ chức, doanh nghiệp phải trang bị các biện pháp bảo vệ từ gateway xuống đến endpoint, bao gồm cả đào tạo người dùng ở giữa. Qua đó, vai trò của xác thực đa yếu tố có thể là sự khác biệt giữa việc ngăn chặn một cuộc tấn công hay trở thành một chủ đề của một thống kê vi phạm khác.
Thông tin liên hệ Nhà phân phối giải pháp Firewall WatchGuard: ITMAP ASIA JSC Địa chỉ: 555 Trần Hưng Đạo, P. Cầu Kho, Quận 1, TP.HCM. Website: itmapasia.com, watchguard.itmapasia.com; Email: info@itmapasia.com. Điện thoại: 028 5404 0717 - 5404 0799. |
Nguyễn Liên
12:00 | 25/05/2012
15:00 | 28/07/2020
08:00 | 13/12/2021
16:37 | 20/07/2016
13:00 | 26/02/2021
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
14:00 | 23/11/2023
Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.
14:00 | 09/11/2023
Vào tháng 8/2023, các nhà nghiên cứu tại nhóm thông tin tình báo về mối đe dọa của công ty an ninh mạng Group-IB (Singapore) đã phát hiện một Trojan Android chưa từng được biết đến trước đây nhắm mục tiêu vào các tổ chức tài chính ngân hàng ở Việt Nam. Các nhà nghiên cứu đặt tên Trojan mới này là GoldDigger để chỉ một hoạt động GoldActivity cụ thể trong tệp APK. Trong bài viết này sẽ đưa ra những phân tích chính về hoạt động của GoldDigger dựa theo báo cáo của Group-IB mới đây.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024