Nhiễm virus hay gặp phải ransomware có lẽ là lỗi ám ảnh với rất nhiều người. Nhưng bạn nghĩ sao nếu như có một loại mã độc tấn công vào hệ thống của bạn mà bạn không thể tìm thấy hay có thể xóa nó đi ngay cả khi bạn phát hiện ra nó. Fileless malware là một dạng mã độc có thể tàng hình trước các phần mềm antivirus, defender cơ bản. Vậy fileless malware là gì và cách thức hoạt động của loại mã độc này ra sao. Cùng MVTECH tìm hiểu trong bài viết này.
Table of Contents
ToggleFileless malware là gì?
Như tên gọi của nó Fileless malware là một dạng mã độc hoạt động mà không cần đến một file nào lưu trữ trên ổ đĩa cứng của máy tính. Bằng cách đó, Fileless malware có thể hoạt động mà không cần một “ nơi trú ngụ” cụ thể. Vì thế rất khó có thể các phương pháp thông thường để có thể phát hiện ra nó.
Dựa trên cách thực hoạt động của các chương trình diệt vi rút truyền thống, bằng cách quét tất cả các file trên hệ thống của máy tính và tìm thấy các nguy cơ nhiễm vi rút. Nếu như các chương trình này không gây bất kỳ dấu vết nào gây ảnh hưởng tới hệ thống file, thì rất khó để các chương trình diệt virus có thể nhận ra và loại bỏ chúng. Đây chính là sức mạnh lớn nhất của Fileless malware, chúng gần như có thể tàng hình trước các công cụ, phần mềm diệt virus
Cách thức hoạt động của malware như thế nào?
MẶc dù kẻ tấn công không cài đặt bất kỳ chương trình nào trên máy tính của bạn, nhưng chúng vẫn có quyền truy cập vào hệ thống của bạn. Fileless malware có thể hoạt động hoàn toàn trong RAM của PC. RAM được sử dụng để lưu trữ phần mềm trong khi các chương trình nền đang hoạt động, vì vậy các phần mềm độc hại này sẽ lẻn vào trong RAM và thực hiện công việc của mình mà không bị phát hiện.
Fileless có thể xâm nhập vào hệ thống thông qua các lỗ hổng của phần mềm, chẳng hạn như plugin trình duyệt. Phổ biến nhất có thể là plugin Flash hay các plugin miễn phí cài trên trình duyệt của bạn. Ngay cả việc tích hợp macro với các ứng dụng quen thuộc như Word, Excel cũng có thể tiềm ẩn rủi ro rất lớn khiến bạn bị nhiễm phần mềm độc hại.
Trú ngụ trong RAM có nghĩa là phần mềm độc hại không bị những chương trình diệt virus, chuyên kiểm tra các hệ thống file phát hiện. Nhưng nó cũng đi kèm với một nhược điểm. Phần mềm độc hại dựa trên hệ thống file vẫn tồn tại khi PC bị tắt, do ổ cứng ghi nhớ dữ liệu sau khi máy tính tắt nguồn. Tuy nhiên, RAM bị xóa khi tắt máy, có nghĩa là bất kỳ phần mềm độc hại dựa trên RAM nào bên trong cũng bị “diệt vong” theo. Như vậy, fileless malware được thiết kế để tàng hình và nhanh chóng thực hiện công việc của mình trước khi PC tắt.
Ví dụ: Tin tặc có thể lừa nạn nhân nhấp vào liên kết hoặc tệp đính kèm trong email lừa đảo. Để dụ nạn nhân nhấp vào tệp đính kèm hoặc liên kết. Kẻ tấn công có thể sử dụng những chiêu bài để dụ dỗ nạn nhân truy cập vào đường liên kết này rồi sau đó chuyển sang một liên kết khác. Sau đó, phần mềm độc hại xâm nhập vào hệ thống của bạn và lây lan từ thiết bị này sang thiết bị khác.
Những kẻ tấn công lúc này có thể truy cập vào toàn bộ dữ liệu của bạn và tự ẩn mình vào trong các công cụ mà quản trị viên hệ thống tin cậy. Các công cụ này có thể nằm trên Windows hoặc công cụ ẩn như PowerShell
Phân loại các loại Fileless Malware
Có 4 loại mã độc fileless phổ biến nhất có thể kể tới:
Fileless Malware dựa trên bộ nhớ: Là loại phần mềm fileless phổ biến nhất, nằm trong RAM của hệ thống và các vùng lưu trữ dễ thay đổi khó có thể phát hiện.
Fileless Malware dựa vào các Script: chúng sử dụng các ngôn ngữ script chẳng hạn như PowerShell hay JavaScript để thực thi mã độc trong bộ nhớ của hệ thống đích.
Fileless Malware dựa vào các tệp Macro: Sử dụng macro được tích hợp trong tài liệu. Chẳng như tệp trong các ứng dụng Microsoft Office hoặc PDF để thực thi mã độc song song khi khởi chạy các chương trình này.
Fileless Malware dựa trên nền Registry của hệ thống, cơ sở dữ liệu lưu trữ thông tin cấu hình cho hệ điều hành và phần mềm đã cài đặt.
Làm sao để bảo vệ chống lại các phần mềm Fileless Malware
Bây giờ bạn phải lo lắng về cách có thể tự cứu mình khỏi mối đe dọa nghiêm trọng này.
Luôn cập nhật phần mềm của bạn: Phần mềm độc hại Fileless dựa vào việc khai thác các lỗ hổng trên ứng dụng phần mềm hợp pháp. Việc cập nhật phiên bản thường xuyên sẽ giúp vá các lỗ hổng này lại và ngăn các cuộc tấn công tương tự nhắm vào điểm yếu này.
Sử dụng phần mềm chống virus: Mặc dù phần mềm chống vi rút truyền thống có thể không hiệu quả trước phần mềm fileless. Nhưng các giải pháp bảo vệ endpoint chuyên dụng, phạt hiện các hành vi bất thường hoặc kiểm soát ứng dụng sẽ giúp phát hiện và ngăn chặn trước khi các phần mềm độc hại này có thể hoạt động.
Sử dụng đặc quyền tối thiểu – Least Privileged: Fileless malware thường yêu cầu đặc quyền quản trị để thực hiện các cuộc tấn công. Việc sử dụng nguyên tắc đặc quyền sẽ tạo các giới hạn truy cập của người dùng để giảm tối thiểu tác động bởi các cuộc tấn công.
Không sử dụng các macro không đáng tin cậy: Cố gắng không cài đặt các macro nếu nó không thật sự cần thiết cho các ứng dụng của bạn. Sử dụng và lựa chọn macro từ nguồn đáng tin cậy.
Không cài đặt các plugin theo yêu cầu của trang web nếu bạn chưa biết rõ về trang web đó. Kiểm soát thường xuyên về sự thay đổi của các ứng dụng hoặc công suất hoạt động của máy tính.