Malware không chừa cả máy ảo

Hãng bảo mật Symantec cho biết nhiều phần mềm độc hại được sử dụng để xâm nhập nhanh vào môi trường máy ảo với chiến thuật mới được thiết kế để vượt qua các bước kiểm tra bảo mật.

Ngày càng nhiều doanh nghiệp sử dụng các phần mềm máy ảo VM (virtual machine) trong các hoạt động hàng ngày của họ. Vì vậy, bọn tội phạm mạng cũng lợi dụng việc này để đưa các phần mềm độc hại (malware) xâm nhập vào các hệ thống máy tính thông qua máy ảo để tránh bị phát hiện. Điều đó có nghĩa là môi trường máy ảo không còn an toàn đối với malware nữa.

Symantec đã nghiên cứu 200.000 mẫu malware do khách hàng gửi đến từ năm 2012. Những mẫu malware này được cho chạy trên một máy ảo và một máy tính bình thường để xem mẫu nào sẽ ngưng hoạt động khi phát hiện máy ảo. Candid Wueest, một nhà nghiên cứu của Symantec, cho biết kết quả chỉ có 18% phần mềm malware được nhận thấy ngưng thực thi khi phát hiện chúng đang chạy trên môi trường máy ảo.

Malware không chừa cả máy ảo

Báo cáo của Symantec cho biết, một thủ thuật mà malware thường thực hiện để tránh bị các phần mềm bảo mật phát hiện khi khởi động trên máy ảo chỉ đơn giản là chờ đợi. Thông thường, nếu một tập tin không có bất kỳ hành động nào đáng ngờ trong vòng 5 hoặc 10 phút đầu thì hệ thống sẽ quyết định tập tin đó là vô hại. Các loại malware ngày nay sẽ chờ đợi một số lượng nhất định các cú nhấn chuột trước khi tự giải mã và bắt đầu hành động xâm nhập hệ thống.Những kẻ viết ra malware thường muốn chiếm lấy càng nhiều hệ thống máy tính càng tốt. Vì vậy, nếu malware không thể chạy trên môi trường máy ảo thì số lượng máy tính mà chúng có thể xâm nhập sẽ bị giảm đáng kể. Do đó, không có gì ngạc nhiên khi hầu hết những mẫu malware ngày nay có thể chạy bình thường trên một máy ảo.

Điều này sẽ khiến cho các hệ thống tự động khó hoặc thậm chí không thể phát hiện và đưa ra một kết luận chính xác về phần mềm độc hại này trong một thời gian ngắn, theo báo cáo của Symantec.

Các nhà quản trị hệ thống lo ngại rằng những malware loại này sẽ dễ dàng xâm nhập vào các máy chủ chạy môi trường ảo. Nhìn chung, sự thay đổi này dù sao cũng là một cơ hội tốt cho các nhà nghiên cứu bảo mật vì hầu hết malware sẽ tiếp tục có thể chạy và bị phát hiện trên môi trường máy ảo.

Các kỹ sư của Symantec luôn tìm kiếm các kỹ thuật mới mà những phần mềm độc hại có thể sử dụng để vượt qua hệ thống phân tích tự động. Với sự kết hợp các phương pháp chủ động phát hiện khác nhau, Symantec sắp tới sẽ đưa ra các giải pháp có thể đảm bảo an toàn tối đa cho các hệ thống máy ảo đối với malware.

Theo PCWorl VN