• Chia sẻ bài viết Trend Micro ra cảnh báo trước mã độc mới - fileless malware lên Linkhay
  • Giúp ictnews sửa lỗi

Trend Micro ra cảnh báo trước mã độc mới - fileless malware

ictnews
Loại mã độc mới tấn công vào các file EXE/DLL nhưng không để lại dấu vết, có thể gây những tác hại lớn trong tương lai.

Các chuyên gia bảo mật dành hầu hết thời gian để đối phó các mối đe dọa trên mạng mỗi ngày trong khi những kẻ tấn công mạng thì lại dành thời gian của chúng để nghĩ ra cách mới nhằm tránh bị phát hiện. Một trong những cách mới này là fileless malware – loại mã độc không cần sử dụng bất kỳ tập tin nào trong quá trình hoạt động – được thiết kế để lẩn tránh sự phòng ngừa của các phần mềm dò tìm dấu vết mã độc.

Mô hình tấn công của mã độc mới - Nguồn: Trend Micro

Hãng bảo mật Trend Micro (Nhật Bản) đã phát hiện ra một ví dụ về mối đe dọa mới này. Hiện cách thức tấn công mới này vẫn chưa tạo ra tác động lớn, nhưng nó là lời cảnh báo mạnh vì hacker có thể dùng các mã độc mới dựa trên cách thức này có sức phá hoại cao hơn.

Hãng bảo mật trên đã phát hiện trojan đặc biệt JS_POWMET trong cuộc tấn công. Quá trình tấn công bắt đầu bằng việc thâm nhập vào Windows Registry: trojan được tải về khi người dùng truy cập các trang web độc hại hoặc được kéo về bởi một mã độc khác, sau đó nó tự động được thêm vào một mục tự động khởi chạy trong Registry. Mã tự động này sẽ kéo JS_POWMET về từ một máy chủ kiểm soát. Việc sửa đổi Registry cho phép các hacker sử dụng mã để tùy ý thực thi các hoạt động mà không lưu lại tập tin XML trên máy.

Khi JS_POWMET được thực thi, nó sẽ tải về một tập tin khác, TROJ_PSINJECT. TROJ_PSINJECT sẽ kết nối tới một trang web để tải về một tập tin bình thường gọi là favicon. Tập tin này sẽ được giải mã để qua các bước khác xâm nhập các tập tin EXE/DLL. Một khi kiểm soát các file EXE hay DLL, hàng loạt đoạn chương trình sẽ được thực thi bởi mã độc thông qua lệnh PowerShell. Mã độc sẽ thu thập các thông tin hệ thống bao gồm đặc quyền của quản trị viên, phiên bản hệ điều hành, địa chỉ IP…

Các thu thập trên không quá nguy hiểm nhưng Trend Micro cảnh báo rằng tác giả của JS_POWMET có thể dễ dàng sử dụng cách thức tấn công này cho các mã độc “tiến hóa” hơn nhằm phục vụ mục đích tấn công cao hơn, thu thập nhiều thông tin cá nhân hơn từ các nạn nhân.  

Hãng bảo mật cho rằng một trong những phương thức hiệu quả để ngăn ngừa tác hại của fileless malware là giới hạn quyền truy cập thông qua môi trường sandbox cô lập các mối đe dọa, tách thiết bị đầu cuối ra khỏi các kết nối mạng quan trọng. Đối với mã độc đặc biệt này, có thể phòng ngừa bằng cách vô hiệu hóa bản thân Powershell nếu các thành phần khác của Windows không cần đến nó.

Hãng này cũng cảnh báo các tổ chức và người dùng cá nhân nên đề cao cảnh giác với các tập tin và mã độc, chúng sẽ luôn tìm cách để xâm nhập vào các hệ thống có sự đề phòng lỏng lẻo.

Hải Đăng

Tương tác trực tiếp với ICTnews trên Facebook

Trend Micro phát hành công cụ giải mã ransomware miễn phí
ICTnews - Trend Micro (Nhật Bản) vừa phát hành công cụ giải mã tập tin bị mã hóa bởi ransomware.
Kaspersky, Synmantec và Trend Micro diệt virus tốt nhất cho doanh nghiệp trên nền Windows 10
ICTnews – Cả 3 phần mềm Kaspersky, Symantec và Trend Micro đều đạt điểm tuyệt đối trong bài kiểm tra của AV-TEST về khả năng diệt virus trên...
Trend Micro: Khu vực Châu Á - Thái Bình Dương chiếm 33,7% trong tổng số 1,2 tỷ cuộc tấn công ransomware
ICTnews - Nửa đầu năm 2017, Trend Micro đã ngăn chặn hơn 1,2 tỷ cuộc tấn công của mã độc mã hóa dữ liệu tống tiền (ransomware) trên toàn cầu....
loading...

Video đang được xem nhiều

  • Chia sẻ bài viết Trend Micro ra cảnh báo trước mã độc mới - fileless malware lên Linkhay
  • Giúp ictnews sửa lỗi

Bài viết chưa có bình luận nào.

lên đầu trang