Vai trò của Malware trong tấn công có chủ đích APT
Trong bài viết này, bạn sẽ học thêm về một thể loại tấn công mới nay được biết đến với cái tên phần mềm độc hại nâng cao – những con bot, botnet, và những chương trình hoặc người chỉ huy botnet, điều gì có thể khiến chúng hoạt động, và tại sao chúng lại đặc biệt nguy hiểm.
Sự nổi dậy của phần mềm độc hại nâng cao (Advanced Malware) đang tái cơ cấu cảnh quan các chiến dịch tấn công và buộc các doanh nghiệp phải suy xét lại về cách họ bảo vệ bản thân. Nhìn chung, malware nâng cao đã vượt hơn cả các chiến lược phòng chống malware truyền thống và cùng lúc, đã có thể tự tạo dựng chỗ đứng cho bản thân trong doanh nghiệp nơi các nhóm tội phạm và các quốc gia dân tộc có thể dùng để đánh cắp thông tin và tấn công các tài sản quý giá của mục tiêu.
Nhận ra các đặc điểm chính của phần mềm độc hại nâng cao
Các nhóm bảo mật thông tin của doanh nghiệp đã và đang đấu tranh với đa dạng cái loại phần mềm độc hại khác nhau trong vòng hơn hai thập kỷ nay. Tuy nhiên, tất cả những năm kinh nghiệm đó không có nghĩa là các doanh nghiệp này đang nắm thế thắng trong cuộc đấu tranh này. Các dữ liệu phân tích thế giới thực của công ty mạng lưới Palo Alto đã liên tiếp tìm thấy ít nhất 40% đến 50% phần mềm malware mới được phát hiện còn thiếu chữ ký số từ bất cứ các nhà cung cấp phần mềm chống virus hàng đầu trong mạng lưới các doanh nghiệp.
Tỷ lệ thấp như thế là do một vài yếu tố. Một vài phần mềm malware có khả năng biến dị hoặc có thể được cập nhật để tránh bị phát hiện bởi các chữ ký số của malware truyền thống. Thêm vào đó, các phần mềm malware nâng cao đang ngày càng được chuyên môn hóa đến mức kẻ tấn công sẽ sớm có thể phát triển một phần mềm malware có khả năng tự điều chỉnh để nhắm vào một cá nhân hoặc mạng lưới cụ thể nào đó.
Các botnet là một ví dụ điển hình để hiểu các đặc điểm đặc biệt của những phần mềm độc hại nâng cao này. Những con bot (máy xâm nhiễm riêng lẻ) và botnet (mạng lưới những con bot làm việc với nhau) vốn nổi tiếng khó khăn cho các phương án chống virus/chống malware truyền thống để phát hiện được chúng. Các con bot lợi dụng mạng lưới để đoạt quyền lực và địa vị. Một con bot dưới sự kiểm soát từ xa bởi một kẻ tấn công (hay bot-herder) có thể được nâng cấp – y hệt như mọi ứng dụng khác – để kẻ tấn công có thể thay đổi hướng đi và đào sâu vào trong mạng lưới, dựa trên những gì hắn tìm được, hoặc để thích nghi với những thay đổi và những biện pháp đối phó của mục tiêu.
Đây là một biến chuyển quan trọng nếu so với các loại phần mềm malware trước đây, thường ít hay nhiều gồm một nhóm các agent độc lập chỉ đơn giản làm xâm nhiễm và tự nhân đôi chúng. Các botnet – và phần lớn các phần mềm malware nâng cao – thường có một trung tâm, từ đó xâm nhiễm ra các ứng dụng. Tương tự như cách mà Internet đã thay đổi những thứ vốn bất khả thi trong mảng máy tính cá nhân, việc có thể truy cập mạng lưới ở mọi nơi cũng đang thay đổi tính khả thi trong thế giới của các phần mềm độc hại. Hiện nay, mọi phần mềm độc hại malware của cùng một loại có thể làm việc chung để hướng tới cùng một mục tiêu, với từng máy bị xâm nhiễm xây dựng sức mạnh và giá trị của các botnet. Các botnet có thể tiến hóa để theo đuổi những mục tiêu mới hoặc thích nghi với những thay đổi trong các biện pháp an ninh.
Tiếp theo, ta bàn về một vài các đặc điểm tính năng đặc biệt và quan trọng của botnet ở các phần dưới:
Phân chia và chống lỗi
Các phần mềm malware nâng cao lợi dụng hết mức có thể tính bền lâu của Internet. Một botnet có thể có nhiều server kiểm soát ở xung quanh thế giới, với nhiều phương án rút lui. Các con bot cũng có thể lợi dụng các bot xâm nhiễm khác như một kênh kết nối, cung cấp cho chúng những lối liên kết với số lượng gần như là vô hạn nhằm thích nghi với các sự thay đổi trong quyền kiểm soát dữ liệu hoặc để cập nhật code của chúng khi cần.
Đa chức năng
Những lượt cập nhật từ các server kiểm soát cũng có thể thay đổi chức năng của các con bot hoàn toàn. Chức năng đa năng này tạo ra một phương pháp tiếp cận mới cho các bot-herder (chương trình chỉ huy botnet), giờ đây đã có thể sử dụng các nhóm botnet cho một nhiệm vụ cụ thể như thu thập số thẻ tín dụng, trong khi ở những nhóm khác trong botnet đang cùng lúc đó gửi spam. Điểm quan trọng ở đây là sự xâm nhiễm chính là mấu chốt quan trọng nhất. Bởi vì tính năng của chúng thì luôn luôn có thể được thay đổi sau nếu cần.
Bền bỉ và thông minh
Bởi các con bot đều khó bị phát hiện và có thể dễ dàng thay đổi chức năng, chúng đặc biệt phù hợp cho các vụ xâm nhập vào mạng lưới lâu dài và có mục tiêu cụ thể. Vì thường các con bot nằm dưới quyền kiểm soát của một người chỉ huy bot từ xa, botnet dường như thể bạn đang có một tên tội phạm mạng xâm nhập vào trong mạng lưới của bạn hơn là một chương trình độc hại đơn thuần. Ví dụ, một con bot có thể được dùng để khai thác thông tin về tổ chức của mạng lưới đó, sau đó tìm những mục tiêu, và gắn vào các backdoor (cửa sau) vào mạng lưới phòng ngừa trường hợp bot bị phát hiện.
Mối đe dọa đến các doanh nghiệp
Dựa vào sự dẻo dai và khả năng tấn công vào các lớp phòng ngự, những botnet trở thầnh một mối đe dọa to lớn cho các doanh nghiệp. Phần mềm malware nâng cao gần như không có giới hạn về chức năng – từ gửi spam đến đánh cắp thông tin mật và trao đổi bí mật của đối tượng. Đến cùng thì tác động của phần mềm malware lớn đến đâu đều dựa vào người tấn công: một con bot vốn đang gửi spam ngày hôm trước có thể chuyển sang đánh cắp thông tin dữ liệu thẻ tín dụng ngày tiếp theo.
Đợt tấn công xâm nhập có mục tiêu
Các botnet còn là thành phần then chốt của các đợt tấn công có mục tiêu, tinh vi và lâu dài. Những loại botnet thường vô cùng khác so với các người họ hàng lớn hơn của chúng.Thay vì cố xâm nhiễm một số lượng lớn các máy móc để phát động những lần tấn công vĩ mô, những con botnet nhỏ này nhắm vào việc tấn công các hệ thống cụ thể có giá trị cao mà chúng có thể dùng để tấn công và xâm nhập sâu hơn vào mạng lưới mục tiêu. Trong các trường hợp này, một máy bị xâm nhiễm có thể được lợi dụng để đoạt quyền truy cập vào những hệ thống được bảo vệ và cấy vào một cửa sau trong mạng lưới phòng trường hợp bất kì thành phần nào bị phát hiện.
Những dạng đe dọa này thường luôn luôn không thể phát hiện được nếu sử dụng phần mềm chống virus. Chúng đại diện cho một trong các mối đe dọa nguy hiểm nhất đến các doanh nghiệp. Đấy là do chúng đặc biệt nhắm vào những thông tin có giá trị nhất của tổ chức, như các nghiên cứu và phát triển, các tài sản trí tuệ, các kế hoạch chiến lược, các dữ liệu kinh tế, và các thông tin của khách hàng.
Công ty Aurora: Ví dụ thực trong thế giới thực
Công ty Aurora là một ví dụ gần đây cho dạng tấn công xác định mục tiêu mà, dẫu được cho là không tinh vi cho lắm, cũng gây ra nhiều tổn thất và dẫn tới tài khoản trí tuệ của họ bị đánh cắp. Lượt tấn công nhắm vào khoảng 34 tổ chức trong đó bao gồm Google, hệ thống Adobe, mạng lưới Juniper, và Rackspace, bắt đầu vào sớm năm 2009 và dường nhất bắt nguồn từ Trung Quốc. Cuộc tấn công sử dụng nhiều và đa dạng các loại phần mềm malware và sử dụng phần lớn là hệ thống tên miền động ( Dynamic DNS – DDNS) để kiểm soát.
DDoS và botnet
Một thay đổi nhỏ trong mô hình spam botnet dùng các con bot như một phần của tấn công từ chối dịch vụ (DDoS) – làm quá tải một server của mục tiêu hay mạng lưới có lưu thông từ một nhóm số lượng lớn các endpoint bị xâm nhiễm. Trong những trường hợp như thế, doanh nghiệp với các máy bị nhiễm thường không phải mục tiêu của cuộc tấn công. Thay vào đó, các máy bị xâm nhiễm được dùng để làm quá tải lưu thông của một vài mục tiêu khác. Người điều khiển bot lợi dùng qui mô lớn của botnet khổng lồ này để tạo ra dòng lưu thông nhằm làm quá tải mạng lưới và tài nguyên của server của mục tiêu. Các dạng tấn công DDoS thường nhắm vào các công ty cụ thể dựa vào lý do cá nhân hoặc chính trị, hoặc để tống tiền mục tiêu để chúng ngừng đợt tấn công lại.
Botnet DDoS đại diện cho một mối đe dọa đôi cho doanh nghiệp. Bởi bản thân doanh nghiệp có thể có tiềm năng trở thành mục tiêu bị tấn công DDoS, dẫn tới kết quả bị tốn thời gian chết và mất hiệu suất làm việc. Ngay cả khi doanh nghiệp không phải là mục tiêu chính thì bất cứ một máy bị xâm nhiễm nào tham gia vào cuộc tấn công cũng lấy được một lượng các tài nguyên mạng lưới giá trị và từ đó dễ dàng bị gán vào tội trạng, ngay cả khi không có chủ ý.
Loại bot Skunkx là một ví dụ hiện nay cho botnet DDoS. Nó có khả năng thực hiện nhiều dạng tán công DDoS bao gồm UDP flood, SYN flood, và HTTP flood và chúng thường dàn trải khắp MSN và Yahoo!Messenger.
Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.
Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com
(Dịch bởi Vina Aspire)
Thegioibantin.com | Vina-Aspire News
Nguồn: Cybersecurity for Dummies