Các nhà nghiên cứu giải thích cách ransomware vượt qua kiểm tra bảo mật

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

ransomware bypass bảo mật

SecurityDaily – Gần đây, các nhà nghiên cứu đã giải thích chi tiết cách thức các ransomware có thể vượt qua các quy trình kiểm tra bảo mật.

Các cuộc tấn công ransomware từ lâu đã trở thành mối đe dọa nghiêm trọng đối với tất cả người dùng internet, đặc biệt là trong lĩnh vực kinh doanh. Mặc dù thực hiện đầy đủ các thực hành bảo mật nhưng các doanh nghiệp vẫn thường xuyên trở thành nạn nhân của các cuộc tấn công ransomware. Gần đây, các nhà nghiên cứu đã giải thích chi tiết cách thức các ransomware có thể vượt qua (bypass) các kiểm tra bảo mật.

Xem thêm: Ransomware là gì?

Các chiến thuật phổ biến mà ransomware áp dụng để vượt qua bảo mật

Các nhà nghiên cứu từ SophosLabs gần đây đã xuất bản whitepaper, liệt kê chi tiết cách thức mà hầu hết các ransomware vượt qua các biện pháp bảo mật. Các nhà nghiên cứu đã phân tích các biến thể ransomware phổ biến nhất và phát hiện ra các chiến thuật mà các hacker thường áp dụng. 

ransomware vượt qua bảo mật

Dưới đây là phần tổng hợp nhanh về các kỹ thuật mà SophosLabs đã trình bày trong nghiên cứu mới được công bố.

Ký mã

Một cách tiếp cận chứa nhiều rủi ro nhưng khả thi nhất mà hầu hết các ransomware áp dụng để “vượt mặt” các chương trình bảo mật là ký mã (code signing). Những kẻ tấn công sẽ ký mã độc với chứng chỉ xác thực hợp pháp, nhờ vậy mà chúng có thể trốn tránh tất cả các quy trình kiểm tra từ các công cụ bảo mật cho các mã không dấu.

Leo thang đặc quyền và chuyển động bên

Nhiều ransomware khai thác các lỗ hổng khác nhau để vượt qua các truy cập bị hạn chế. Các ransomware này sẽ tiến hành leo thang đặc quyền bằng cách lạm dụng các thông tin nhận dạng mà các hacker đánh cắp được.

Sau khi leo thang đặc quyền, những kẻ tấn công sau đó sẽ vô hiệu hóa cơ chế phòng thủ của thiết bị mục tiêu và cài đặt RAT để lan rộng ra toàn hệ thống. Chẳng hạn, những kẻ này sẽ chiếm lấy Giao thức máy tính từ xa (Remote Desktop Protocol – RDP) và phá hủy mọi bản sao lưu để xóa bỏ tùy chọn khôi phục của nạn nhân.

Nhắm mục tiêu đầu tiên vào các hoạt động khai thác mạng  

Các cuộc tấn công ransomware nhắm vào các doanh nghiệp thường sử dụng phương pháp tiếp cận ‘mạng đầu tiên’. Vì hầu hết các tổ chức lưu trữ tài liệu kinh doanh trên nhiều máy chủ được kết nối trên một mạng nên ransomware có xu hướng mã hóa các ổ đĩa mạng trước tiên. Chiến lược này chủ yếu nhắm tới các nhân viên (bao gồm cả nhân viên làm việc tại văn phòng và đội ngũ làm việc từ xa) của công ty nạn nhân khiến họ không thể thực hiện công việc của mình.

Chiến thuật đa luồng

Hầu hết các CPU hiện đại đều sở hữu công nghệ Đa luồng đồng thời (Silutaneous Multithreading – SMT) hoặc Siêu phân luồng (Hyper-Threading HT) để đạt được hiệu năng tốt hơn. Do đó, những kẻ tấn công cũng thiết kế các ransomware để khai thác công nghệ này nhằm gây thiệt hại nhanh và nặng nề hơn cho nạn nhân.

Đổi tên tập tin và mã hóa

Ransomware gây thiệt hại cho nạn nhân bằng cách mã hóa các tệp thông qua sao chép hoặc ghi đè lên các nội dung gốc. Tiếp đến, các phần mềm độc hại này sẽ đổi tên các tệp để người dùng trực quan hóa dữ liệu để sau đó chúng có thể thực hiện hành vi tấn công.

Cơ chế này cũng giúp các ransomware phát hiện các tệp đã được mã hóa để tránh mã hóa kép. Hơn nữa, điều này cũng sẽ giúp các hacker có thể ngăn chặn mã hóa trong trường hợp có một cuộc tấn công ransomware khác cũng nhắm mục tiêu vào cùng một thiết bị.

Các nhà nghiên cứu cũng đã phân tích một số kỹ thuật khác bao gồm thay đổi hình nền, mã hóa bằng proxy, v.v. Với phân tích này, các nhà nghiên cứu tin rằng các chuyên gia CNTT có thể hiểu rõ hơn về các chiến thuật phổ biến của ransomware để từ đó có thể thiết kế các biện pháp đối phó phù hợp.

LHN