Để phòng, chống và ngăn chặn mã độc hiệu quả

10:45 AM 22/10/2018 In bài viết

Bùng nổ mã độc khai thác tiền ảo

Một năm sau khi các cuộc tấn công WannaCry và NotPetya bùng nổ, xu hướng tấn công không gian mạng bằng các mẫu phần mềm độc hại mới được thiết kế ngày càng trở nên tinh vi và phức tạp hơn. Theo báo cáo mới nhất của hãng bảo mật mạng McAfee Labs công bố tháng 9/2018, số lượng các cuộc tấn công phần mềm độc hại khai thác tiền ảo được tin tặc sử dụng đã tiếp tục tăng lên. Mặc dù ít phổ biến hơn so với phần mềm ransomware, xu hướng tấn công không gian mạng bằng phần mềm khai thác tiền ảo đang tăng lên nhanh chóng và trở thành yếu tố đe dọa không gian mạng mới. Sau khi tăng lên tới con số 400.000 trong quý 4 năm 2017, các mẫu phần mềm khai thác tiền ảo tăng nhanh 629% lên đến hơn 2,9 triệu mẫu trong quý 1 năm 2018. Xu hướng này tiếp tục trong quý 2, theo các chuyên gia an ninh mạng của McAfee Labs, tổng số mẫu tăng là 86% với hơn 2,5 triệu mẫu mới.

Sự bùng nổ của mã độc khai thác tiền ảo 

Sự phát triển gia tăng của mã độc

Trong một số trường hợp, việc tấn công mã hóa nhắm vào các nhóm cụ thể chứ không phải là một nhóm lớn. Ví dụ, một sự cố phần mềm khai thác tiền ảo đã nhắm mục tiêu là các game thủ trên một diễn đàn của Nga bằng cách giả vờ là một “mod” với mục tiêu tăng cường chất lượng trò chơi. Game thủ đã bị lừa tải xuống phần mềm độc hại sử dụng tài nguyên máy tính của họ để kiếm lợi nhuận.

Mặc dù các phần mềm độc hại đào tiền điện tử chủ yếu vẫn nhắm vào  máy tính cá nhân, song chúng cũng đang ngày càng chuyển sự chú ý của chúng sang các thiết bị như điện thoại thông minh và các tiện ích khác có kết nối Internet. Ví dụ, điện thoại Android ở Trung Quốc và Hàn Quốc đã bị phần mềm độc hại ADB.Miner lợi dụng để khai thác Monero cho tin tặc.

Theo Christian Beek, nhà khoa học hàng đầu thuộc nhóm nghiên cứu về mối đe dọa nâng cao của McAfee (Advanced Threat Research – ATR), thì sự quan tâm đến các thiết bị khác ngoài máy tính cá nhân để thiết lập phần mềm độc hại được gây ra bởi thực tế là chúng có số lượng lớn hơn và thường có kiểm soát bảo mật yếu hơn

Thông thường, đối tượng tấn công thường phát tán phần mềm độc hại thông qua những tập tin thực thi hoặc các tập tin Downloader, trong đó cho phép cài đặt mã độc. Khi người dùng thực thi tập tin này trên máy tính (có khả năng bị khai thác lỗ hổng) thì không thấy có bất kỳ dấu hiệu bất thường nào.

Theo phân tích mới nhất của PaloAlto, một trong những hình thức được đối tượng tấn công sử dụng để phát tán mã độc đào tiền ảo, mã độc mã hóa tư liệu và mã độc ăn trộm thông tin gần đây là yêu cầu người dùng cập nhật phiên bản Flash. Theo đó khi người dùng chấp nhận cập nhật thì bản cập nhật Flash giả mạo này sẽ cài đặt mã độc có tên XMRig, đồng thời cũng cập nhật cả phiên bản Flash có xác nhận và thông báo từ trình cài đặt Adobe (cải tiến so với những hình thức giả mạo trước đây), do đó người dùng không thể nhận ra những hoạt động bất thường, trong khi đó mã độc XMRig vẫn đang chạy như tiến trình nền trên máy tính người dùng và thực hiện nhiều chức năng độc hại mà người dùng khôngbiết.

Kết hợp hiệu quả giữa phòng, chống và ngăn chặn

Có thể thấy, trong những năm gần đây, mã độc gia tăng với tốc độ chóng mặt dưới nhiều kỹ thuật tinh vi nhằm đánh cắp thông tin và kiểm soát các hệ thống trên khắp thế giới. Do đó, phòng, chống và ngăn chặn mã độc đã trở thành một vấn đề được nhiều tổ chức, doanh nghiệp quan tâm. Một tiến tình xử lý sự cố mã độc bao gồm 4 bước: chuẩn bị; phát hiện và phân tích; ngăn chặn/loại trừ/khôi phục, và hoạt động sau sự cố. Để bảo vệ an toàn cho hệ thống của mình trước mọi mối đe dọa tiềm tàng từ mã độc, các tổ chức, doanh nghiệp cần tuân thủ chặt chẽ 4 bước trên. 

Chuẩn bị

Các Doanh nghiệp cần thực hiện các biện pháp sẵn sàng ứng phó với sự cố mã độc bao gồm xây dựng và duy trì các kỹ năng liên quan đến phát hiện, xử lý mã độc trong đội ứng phó sự cố, tạo điều kiện truyền thông tới các nhân viên trong doanh nghiệp về tác hại của mã độc

Pha đầu tiên bao gồm các hoạt động chuẩn bị sẵn sàng cho ứng cứu sự cố mã độc như phát triển tập các thủ tục xử lý và chương trình huấn luyện ứng cứu sự cố mã độc cho đội ngũ chuyên trách. Pha chuẩn bị cũng bao gồm việc áp dụng các chính sách, hoạt động nâng cao nhận thức, giảm thiểu nguy cơ và ứng dụng các công cụ ngăn chặn mã độc để sẵn sàng cho bất cứ khi nào sự cố xảy ra và trang bị các công cụ và tài nguyên phục vụ việc phòng tránh sự cố mã độc.

Phát hiện và phân tích

Ngay cả khi áp dụng đủ các biện pháp kể trên thì vẫn còn nhiều khả năng tồn tại rủi ro và không biện pháp nào là không thể bị qua mặt. Vì vậy mà việc phát hiện, xác định mã độc là cần thiết để cảnh báo doanh nghiệp bất cứ khi nào sự cố xảy ra. Phát hiện, cảnh báo sớm là khâu đặc biệt quan trọng, phát hiện mã độc càng sớm, xử lý kịp thời thì ảnh hưởng và thiệt hại do mã độc gây ra càng được giảm thiểu về cả quy mô và mức độ nghiêm trọng. Sau khi xác định và đánh giá, các chuyên viên xử lý sự cố mã độc cần xác định loại, phạm vi và mức độ nghiêm trọng của sự cố nhanh nhất có thể để đưa ra phương án khắc phục thích hợp nhất.

Ngăn chặn/loại trừ/khôi phục

Tùy vào từng sự cố, doanh nghiệp cần áp dụng những hành động thích hợp dựa trên mức độ nghiêm trọng để giảm thiểu thiệt hại, gỡ bỏ mã độc và khôi phục lại hệ thống. Doanh nghiệp có thể cần thực hiện lại bước phát hiện và phân tích trong khi ngăn chặn/loại trừ và khôi phục – ví dụ, ngay cả khi pha phát hiện/phân tích ban đầu được thực hiện xong thì những phát hiện bổ sung trong quá trình ngăn chặn/loại trừ/khôi phục cũng khiến doanh nghiệp phải thực hiện lại công đoạn rà quét/phát hiện và phân tích.

Ngoài ra, doanh nghiệp nên có các chiến lược và thủ tục thích hợp để đưa ra các quyết định liên quan đến phương án ngăn chặn sự cố tiếp diễn dựa vào mức độ thiệt hại chấp nhận được. Các phương án ngăn chặn sự cố tiếp diễn có thể dựa trên 4 chiến lược chính: dựa vào sự tham gia của người dùng, áp dụng hệ thống phòng thủ tự động, các dịch vụ có thể tạm dừng, và chặn một số loại kết nối mạng cụ thể.

Khôi phục hệ thống sau sự cố

Hai khía cạnh chính của việc khôi phục hệ thống sau sự cố mã độc là phục hồi chức năng, dữ liệu của máy tính bị lây nhiễm và gỡ các biện pháp ngăn chặn tạm thời. Doanh nghiệp nên xem xét cẩn thận các tình huống xấu nhất có thể xảy ra, chẳng hạn như mối đe dọa từ một mẫu mã độc mới đòi hỏi phải cài đặt lại số lượng lớn các máy trạm và xác định xem các máy chủ sẽ được phục hồi như thế nào trong những trường hợp này.

Bên cạnh đó, doanh nghiệp cần lập báo cáo chi tiết về nguyên nhân của sự cố, thiệt hại mà sự cố gây ra, từ đó tổng kết và rút ra các bài học kinh nghiệm cũng như các biện pháp cần thực hiện để ngăn chặn các cuộc tấn công mã độc trong tương lai.

TH (Theo: https://www.mcafee.com, http://mic.gov.vn, https://securitybox.vn)