Deep Instinct là công ty đã phát hiện ra botnet này trên các thiết bị thuộc về một trong những khách hàng sản xuất thiết bị viễn thông của công ty này.
Arik Solomon, Phó chủ tịch phụ trách Nghiên cứu và Phát triển (R&D) tại Deep Instinct đã trao đổi với Enterprise Innovation để tìm hiểu thêm về mối đe dọa mới này và những gì chúng ta có thể làm để phòng tránh nó.
Mối đe dọa mới này là gì?
Solomon cho hay trong vài năm qua, chúng tôi đã chứng kiến nhiều cách lây lan mã độc khác nhau, chủ yếu thông qua hạ tầng phát tán phần mềm độc hại chủ yếu là trang web đen. Gần đây, chúng tôi đã nhận thấy một botnet rất tinh vi đã được phát hiện, ngăn chặn trong môi trường đang hoạt động nhờ giải pháp an ninh mạng “học sâu” (deep learning) của chúng tôi.
Có tên là “MyIobot”, botnet tinh vi mới này sử dụng ba lớp kỹ thuật né tránh khác nhau, bao gồm sử dụng các máy chủ điều khiển và ra lệnh để tải về payload (payload là một phần mềm được viết ra để thực hiện các hành động tấn công trên máy tính của mục tiêu). Sự kết hợp và tinh vi của những kỹ thuật này chưa bao giờ được thấy trước đây.
Mylobot kết hợp các kỹ thuật độc hại khác nhau: Kỹ thuật chống VM, Kỹ thuật chống sandbox (một kỹ thuật quan trọng trong lĩnh vực bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại để chúng không thể làm hỏng hệ thống máy tính, hay cài cắm các mã độc nhằm ăn cắp thông tin cá nhân của bạn); Kỹ thuật chống gỡ lỗi (de-bug); Gói các phần bên trong bằng một tệp tài nguyên được mã hóa; Tấn công bằng mã lệnh (code injection); Xử lý rỗng - một kỹ thuật mà kẻ tấn công tạo ra một quy trình mới trong trạng thái bị treo và thay thế hình ảnh của nó bằng một hình ảnh bị ẩn; Reflective EXE – triển khai các tệp EXE trực tiếp từ bộ nhớ, mà không cần chúng trên ổ nhớ. Nó cũng có cơ chế trì hoãn 14 ngày trước khi truy cập vào các máy chủ điều khiển và lệnh của nó.
Thực tế là tất cả mọi thứ diễn ra trong bộ nhớ khiến việc phát hiện và theo dõi trở nên khó khăn hơn.
Việc truy tìm máy chủ điều khiển và lệnh cho thấy rằng nó được liên kết với các phần mềm độc hại khác (sử dụng cùng một máy chủ), đó là một dấu hiệu lớn về cơ sở hạ tầng lây nhiễm phổ biến, thường thấy trong thị trường web đen.
Payload tiềm năng là gì?
Solomon cho biết các botnet về mặt lý thuyết có thể thực hiện bất cứ điều gì - tùy thuộc vào payload. Payload có thể thay đổi từ các cuộc tấn công DDoS, đánh cắp dữ liệu, và thậm chí việc cài đặt mã độc tống tiền có thể gây ra thiệt hại to lớn.
Một khi Mylobot được cài đặt, botnet này sẽ tắt Windows Defender và Windows Update, đồng thời chặn các cổng bổ sung trên tường lửa. Nó cũng tắt và xóa bất kỳ tập tin EXE nào chạy từ thư mục APPDATA, có thể gây mất dữ liệu.
Chức năng chính của botnet cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống của người dùng - nó hoạt động như một cổng để tải xuống các payload bổ sung từ các máy chủ điều khiển và ra lệnh. Thiệt hại dự kiến ở đây phụ thuộc vào payload mà kẻ tấn công quyết định phân phối. Nó có thể thay đổi từ việc tải xuống và thực thi phần mềm ransomware và trojans ngân hàng, cùng các phần mềm khác.
Điều này có thể dẫn đến mất rất nhiều dữ liệu, do đó cần phải tắt máy tính để thực hiện khôi phục, có thể dẫn đến thảm họa trong các DN. Thực tế là botnet hoạt động như một cổng cho các payload bổ sung, đặt doanh nghiệp vào nguy cơ bị rò rỉ dữ liệu nhạy cảm, tiếp theo là nguy cơ cài đặt các trình keylogger (trình theo dõi bàn phím)/trojans ngân hàng.
Một trong những tính năng độc đáo và thú vị nhất của botnet tinh vi này là cách nó chấm dứt và xóa các đối tượng (instance) (được hiểu là phiên bản của một lớp) của các phần mềm độc hại khác. Nó kiểm tra các thư mục đã biết mà phần mềm độc hại “sống” trong các thư mục đó (thư mục “Dữ liệu ứng dụng” (Application Data) và nếu một tệp nào đó đang chạy, nó sẽ ngay lập tức dừng xóa tệp đó. Nó thậm chí còn nhắm đến các thư mục cụ thể của các botnet khác như DorkBot.
Chúng tôi nghi ngờ hành vi hiếm và riêng biệt này là do việc kiếm tiền trong trang web đen. Những kẻ tấn công cạnh tranh với nhau để có càng nhiều “máy tính ma” (zombie) càng tốt để tăng giá trị của những kẻ tấn công khi đề xuất dịch vụ cho những kẻ tấn công khác, đặc biệt là khi đi đến các cơ sở hạ tầng trải rộng. Càng nhiều máy tính bị nhiễm phần mềm độc hại thì càng kẻ tấn công càng kiếm được nhiều tiền. Đây là điều chúng tôi phát hiện với Mylobot.
MyIobot được phát hiện như thế nào?
Theo Solomon, mặc dù sự phức tạp này trong cấu trúc của phần mềm độc hại này cực kỳ hiếm gặp, nhưng giải pháp bảo mật học sâu của Deep Instinct có thể phát hiện và ngăn chặn nó trên môi trường sản xuất của khách hàng, do đó tiết kiệm cho công ty hàng triệu USD có thể bị tổn thất do thiệt hại về CNTT và mất dữ liệu.
Một lần nữa, đây là một minh chứng cho tính ưu việt của các giải pháp dựa trên học sâu trong cuộc chiến an ninh mạng.
DN nên giảm thiểu/chống lại phần mềm độc hại mới này như thế nào?
Solomon cho biết các DN cần có một loạt các biện pháp an toàn mạng tại chỗ để bảo vệ mạng CNTT của DN mình, khách hàng và dữ liệu an toàn. Điều này bao gồm các công tác tiến hành kiểm tra tự động và cập nhật phần mềm; sẵn sàng sao lưu và bảo hiểm; và nâng cao nhận thức và đào tạo nhân viên về các hành vi trên mạng và các thực tiễn đạo đức.
Các nhân viên, thường xuyên di chuyển hoặc đi lại và phải truy cập vào các tài nguyên số và mạng CNTT của công ty bằng các thiết bị di động của họ, cần thực hiện các thao tác mạng di động an toàn như nhận thức rõ hơn khi vào email hoặc các trang web, truy cập mạng Wi-Fi không an toàn, bảo mật thiết bị của bạn bằng các khóa chuyển đổi riêng như vân tay và hệ thống nhận diện khuôn mặt, giới hạn các loại ứng dụng di động mà các ứng dụng này cơ bản chỉ để đáp ứng công việc.
Đối với các DN thiếu chuyên gia bảo mật mạng, các bước đơn giản vẫn có thể là một thách thức - và với những biện pháp tại chỗ này, không có gì đảm bảo rằng công ty sẽ không phải là nạn nhân cho các mối đe dọa trên mạng.
An ninh mạng là một cuộc chơi không bao giờ kết thúc. Các loại mã độc mới và tinh vi hơn sẽ chỉ tiếp tục xuất hiện. Các hệ thống bảo mật chỉ đơn giản dựa vào các bản vá để phát hiện các virus và các mối đe dọa sẽ không bao giờ đủ. Khi các mối đe dọa trên mạng ngày càng trở nên tinh vi, an ninh sẽ là một thách thức liên tục cho tất cả các DN mọi lúc. Một công ty không thể để mất cảnh giác cho dù chỉ một giây.
Do đó, điều quan trọng là các DN có các giải pháp tại chỗ để không chỉ ngăn chặn các mối đe dọa mà còn có thể phát hiện và cô lập trước khi chúng lan rộng hoặc leo thang. Áp dụng trí tuệ nhân tạo (AI) là một cách để làm điều này - đặc biệt là phần AI tiên tiến nhất là học sâu.
Các giải pháp an ninh mạng học sâu lấy cảm hứng từ bộ não con người. Bằng cách liên tục đào tạo “bộ não” của hệ thống này, các công ty có thể yên tâm rằng họ sẽ luôn luôn đi trước vài bước trước bất kỳ mối đe dọa nào trong tương lai và khi các cuộc tấn công trở nên tinh vi hơn, thì “bộ não” cũng hoàn thiện hơn.
Hơn nữa, nó không yêu cầu giao tiếp của một chuyên gia (tức là một con người) để giúp nó hiểu tầm quan trọng của mỗi đầu vào mới, cho bạn thêm lớp hỗ trợ và giám sát suốt ngày đêm mà các công ty đang tìm kiếm.
.png "Bizfly Cloud nhà tài trợ tại VietOpenInfra 2025: Kỷ nguyên mới - Kỷ nguyên đột phá số của Việt Nam")
