Phần mềm độc hại không có tệp: Mối đe dọa mà phần mềm chống vi-rút của bạn không phải lúc nào cũng có thể nhìn thấy

Phần mềm độc hại không có tệp: Mối đe dọa

Hầu hết các công cụ an ninh mạng đều được xây dựng dựa trên một giả định đơn giản: phần mềm độc hại để lại các tệp. Phần mềm độc hại không dùng tệp được thiết kế đặc biệt để đánh bại giả định đó. Thay vì thả một tệp thực thi đáng ngờ vào ổ cứng, nó hoạt động hoàn toàn trong bộ nhớ, sử dụng các công cụ đáng tin cậy của chính hệ thống để chống lại bạn và hầu như không để lại gì cho trình quét chống vi-rút truyền thống tìm thấy.

Phần mềm độc hại không có tệp là gì?

Phần mềm độc hại không dùng tệp là một loại phần mềm độc hại hoạt động chủ yếu trong bộ nhớ của máy tính, chiếm quyền điều khiển các công cụ hệ thống tích hợp, hợp pháp. Không giống như phần mềm độc hại truyền thống, nó tránh cài đặt phần mềm có thể nhận dạng hoặc để lại chữ ký trên ổ cứng, khiến các chương trình chống vi-rút tiêu chuẩn cực kỳ khó phát hiện.

Mặc dù thuật ngữ “không có tệp” cho thấy không có tệp nào liên quan nhưng điều này có thể gây hiểu nhầm đôi chút. Vi phạm ban đầu thường bắt đầu bằng một điểm truy cập quen thuộc, chẳng hạn như email lừa đảo, tệp đính kèm độc hại hoặc trang web bị xâm nhập. Điều khiến cuộc tấn công trở nên vô dụng là việc thực thi nó: một khi được kích hoạt, hoạt động độc hại cốt lõi sẽ chạy hoàn toàn trong bộ nhớ của hệ thống thay vì thông qua các tệp được ghi vào đĩa.

Trong trường hợp điển hình, người dùng có thể mở một tài liệu bị nhiễm và vô tình kích hoạt macro. Thay vì tải xuống một loại vi-rút truyền thống, hành động này ra lệnh cho các tiện ích đáng tin cậy của chính hệ điều hành thực hiện thiệt hại.

Ví dụ: những kẻ tấn công thường vũ khí hóa PowerShell — một công cụ mà các chuyên gia CNTT sử dụng hàng ngày để tự động hóa các tác vụ — để tải xuống các tải trọng độc hại, thu thập dữ liệu nhạy cảm hoặc thay đổi cấu hình hệ thống. Họ cũng có thể khai thác Công cụ quản lý Windows để âm thầm giám sát và điều khiển các thiết bị. Vì các công cụ quản trị này được tin cậy theo mặc định nên hoạt động độc hại sẽ kết hợp hoàn hảo với các hoạt động hàng ngày của hệ thống. Điều này cho phép các cuộc tấn công bằng phần mềm độc hại không dùng tệp có thể vượt qua các biện pháp phòng vệ bảo mật truyền thống và không bị phát hiện lâu hơn nhiều so với phần mềm độc hại thông thường.

Tại sao các cuộc tấn công bằng phần mềm độc hại không sử dụng tệp lại khó bị phát hiện?

Phần mềm chống vi-rút truyền thống thường tìm kiếm các tệp độc hại đã biết hoặc các đoạn mã có thể nhận dạng được. Một cuộc tấn công không dùng dữ liệu có thể không tạo ra những manh mối rõ ràng đó.

Thay vào đó, đội bảo mật có thể cần tìm kiếm hành vi bất thường. Ví dụ bao gồm tài khoản người dùng chạy các lệnh quản trị mà tài khoản này chưa từng sử dụng trước đây hoặc thiết bị đột nhiên kết nối với máy chủ lạ.

Về mặt cá nhân, những hành động này có thể không phải lúc nào cũng nguy hiểm. Thách thức là xác định khi nào một số sự kiện bất thường tạo thành một mô hình cho thấy một cuộc tấn công đang diễn ra.

Những cách doanh nghiệp có thể giảm nguy cơ phần mềm độc hại không dùng tệp

Phần mềm độc hại không dùng tệp rất khó ngăn chặn bằng một biện pháp bảo mật duy nhất. Phương pháp tiếp cận theo lớp kết hợp tính năng ngăn chặn, kiểm soát truy cập, bảo vệ mạng và giám sát liên tục mang lại khả năng bảo vệ mạnh mẽ hơn.

Huấn luyện nhân viên nhận biết các dấu hiệu cảnh báo

Nhiều cuộc tấn công bắt đầu bằng email lừa đảo, liên kết đáng ngờ hoặc tệp đính kèm không mong muốn. Đào tạo an ninh mạng thường xuyên giúp nhân viên nhận ra các dấu hiệu cảnh báo này và báo cáo các thông báo bất thường trước khi chúng dẫn đến vi phạm an ninh.

Luôn cập nhật hệ thống và ứng dụng

Cài đặt kịp thời các bản cập nhật bảo mật trên các hệ điều hành, trình duyệt, Microsoft Office và các ứng dụng kinh doanh khác. Các bản vá này giải quyết các lỗ hổng đã biết mà kẻ tấn công có thể khai thác để giành quyền truy cập vào thiết bị hoặc khởi chạy các lệnh độc hại.

Kiểm soát những ứng dụng và tập lệnh nào có thể chạy

Danh sách trắng ứng dụng chỉ cho phép các chương trình, tập lệnh và công cụ được phê duyệt hoạt động trên các thiết bị của công ty. Điều này có thể chặn phần mềm trái phép và giảm cơ hội cho kẻ tấn công lạm dụng các tính năng hệ thống hợp pháp. Các doanh nghiệp nên thường xuyên xem xét danh sách ứng dụng đã được phê duyệt để đảm bảo luôn có sẵn các công cụ thiết yếu.

Hạn chế quyền truy cập quản trị

Nhân viên chỉ được quyền truy cập vào hệ thống và thông tin họ cần cho vai trò của mình. Việc giới hạn đặc quyền của quản trị viên khiến kẻ tấn công khó thay đổi cài đặt bảo mật, xâm phạm các thiết bị bổ sung hoặc tiếp cận dữ liệu nhạy cảm hơn.

Các hệ thống quan trọng riêng biệt

Phân đoạn mạng chia hệ thống của công ty thành các phần riêng biệt với các biện pháp kiểm soát truy cập được xác định. Nếu một thiết bị bị xâm phạm, phân đoạn này có thể giúp ngăn chặn kẻ tấn công di chuyển qua mạng và tiếp cận các ứng dụng quan trọng hoặc thông tin bí mật.

Giám sát hoạt động và chuẩn bị cho sự cố

Các công cụ bảo mật hiệu quả sẽ có tầm nhìn xa hơn các tệp độc hại đã biết và phát hiện hành vi bất thường. Ví dụ: họ có thể gắn cờ một ứng dụng Microsoft Office bất ngờ khởi chạy PowerShell hoặc cố gắng sửa đổi cài đặt hệ thống.

Giám sát liên tục giúp các nhóm bảo mật điều tra và ngăn chặn hoạt động đáng ngờ một cách nhanh chóng. Các doanh nghiệp cũng nên duy trì một kế hoạch ứng phó sự cố được ghi lại để giải thích cách đánh giá cảnh báo, cách ly các thiết bị bị ảnh hưởng, khôi phục hoạt động và liên lạc trong một cuộc tấn công.

Bạn lo lắng rằng thiết lập bảo mật hiện tại của bạn có thể không được trang bị để phát hiện phần mềm độc hại không dùng tệp? Trao đổi với các chuyên gia an ninh mạng của chúng tôi về việc xây dựng chiến lược phòng thủ nhiều lớp cho các mối đe dọa mà doanh nghiệp phải đối mặt ngày nay.