Giải mã một cuộc tấn công Endpoint

17:00 | 17/11/2020 | HACKER / MALWARE
Các cuộc tấn công mạng ngày càng trở nên tinh vi, khi các công cụ và dịch vụ trên dark web, web chính thống cho phép tội phạm mạng có thể tạo ra những mối đe dọa có khả năng vượt qua các công cụ bảo mật.

Hầu hết các phần mềm độc hại hiện nay đều biết cách lẩn tránh các dịch vụ chống phần mềm độc hại dựa trên chữ ký truyền thống, đến các endpoint một cách dễ dàng. Do đó, các tổ chức thiếu cách tiếp cận bảo mật theo lớp thường sẽ bị rơi vào tình trạng bấp bênh. Hơn nữa, tội phạm mạng cũng thành công trong việc lừa người dùng để lộ ra thông tin đăng nhập hoặc đánh cắp thông tin xác thực nhờ vào việc sử dụng lại danh sách mật khẩu phổ biến.

Đã có nhiều thay đổi trong bức tranh toàn cảnh các mối đe dọa an ninh mạng trong thập kỷ qua, nhưng endpoint vẫn luôn là mục tiêu mà giới tội phạm mạng nhắm tới. Tin tặc đã kiên nhẫn hơn trước, khi chúng thâm nhập bước đầu vào một hệ thống để tiến hành xâm nhập vào endpoint. 

Ví dụ về cuộc tấn công ransomware vào Norsk Hydro: Lần lây nhiễm ban đầu xảy ra ba tháng trước khi kẻ tấn công thực thi ransomware và khóa nhiều hệ thống máy tính của nhà sản xuất. Trong thời gian đó, Norsk có thể phát hiện ra tấn công trước khi thiệt hại xảy ra, nhưng thực tế là hầu hết các doanh nghiệp không có sẵn một chiến lược bảo mật nhiều lớp phức tạp.

Báo cáo về vi phạm dữ liệu gần đây nhất của IBM cũng cho thấy, các doanh nghiệp phải mất trung bình 280 ngày để xác định và ngăn chặn những vụ vi phạm. Trong thời gian đó kẻ tấn công có thể lập kế hoạch cho cuộc tấn công lớn hơn. Vậy, chính xác thì những kẻ tấn công đang làm gì với khoảng thời gian đó? Làm thế nào để họ xâm nhập endpoint mà không bị phát hiện?

Hầu hết các báo cáo đều chỉ ra rằng khoảng 90% các cuộc tấn công mạng đều bắt đầu bằng lừa đảo. Từ thông tin xác thực bị xâm nhập đến một trojan truy cập từ xa đang chạy trên máy tính là kết quả của một vụ lừa đảo thành công. Đối với lừa đảo thông tin xác thực, các tác nhân đe dọa đã tận dụng các miền phụ có thể tùy chỉnh của những dịch vụ đám mây nổi tiếng để lưu trữ các biểu mẫu xác thực hợp pháp. 

Ảnh chụp màn hình trên là từ phòng thí nghiệm WatchGuard Threat Lab gần đây đã gặp phải. Liên kết trong email đã được tùy chỉnh cho từng người nhận, cho phép kẻ tấn công điền địa chỉ email của nạn nhân vào biểu mẫu giả để tăng độ tin cậy. Mail lừa đảo này thậm chí còn được lưu trữ trên miền do Microsoft sở hữu, mặc dù trên miền phụ (servicemanager00) nhưng lại bị kiểm soát bởi kẻ tấn công.

Trong trường hợp lừa đảo bằng phần mềm độc hại, phần lớn những kẻ tấn công đã ngừng đính kèm tệp thực thi phần mềm độc hại vào email. Bởi hầu hết mọi người đều nhận ra rằng việc khởi chạy tệp đính kèm email có thể thực thi (*.exe) là một ý tưởng tồi và hầu hết các dịch vụ và ứng dụng email đều có các biện pháp bảo vệ để ngăn chặn một số ít người dùng nhấp vào những tệp đó. Thay vào đó, những kẻ tấn công sử dụng các tệp nhỏ gọn, thường ở dạng tài liệu Office có macro hoặc tệp JavaScript.

Phương pháp sử dụng tệp tài liệu office hoạt động tốt nhất khi người nhận chưa cập nhật cài đặt Microsoft Office của họ hoặc chưa được hướng dẫn để tránh các tài liệu được kích hoạt macro. Phương pháp JavaScript là một phương pháp phổ biến gần đây sử dụng công cụ tạo tập lệnh tích hợp sẵn của Windows để bắt đầu cuộc tấn công. Trong cả hai trường hợp, công việc duy nhất của tệp này là xác định hệ điều hành của nạn nhân, sau đó kết nối về máy chủ và tải các đối tượng cần thiết.

Đối tượng đó thường là trojan hoặc botnet truy cập từ xa ở một số dạng bao gồm bộ công cụ như keylogger, shell script-injection và khả năng tải xuống các môđun bổ sung. Sự lây nhiễm thường không bị giới hạn trong thời gian dài sau đó. Những kẻ tấn công có thể sử dụng vị trí hiện tại của mình để xác định các mục tiêu khác trên mạng của nạn nhân và trói buộc họ.

Thậm chí còn dễ dàng hơn nếu những kẻ tấn công kiểm soát được một danh sách thông tin xác thực hợp lệ và tổ chức chưa triển khai xác thực đa yếu tố. Nó cho phép tác nhân đe dọa đi vào thẳng hệ thống. Sau đó, chúng có thể sử dụng các dịch vụ của chính nạn nhân như các công cụ tạo tập lệnh Windows tích hợp sẵn và các dịch vụ triển khai phần mềm nhằm tạo ra một cuộc tấn công trực tiếp để thực hiện các hành động độc hại. Các tác nhân đe dọa tận dụng PowerShell để triển khai phần mềm độc hại tồn tại trong bộ nhớ máy tính nhằm chuẩn bị mã hóa hoặc lọc dữ liệu quan trọng.

Phòng thí nghiệm WatchGuard gần đây đã xác định được sự lây nhiễm đang diễn ra khi giới thiệu một khách hàng mới. “Vào thời điểm chúng tôi đến, kẻ đe dọa đã ở trên mạng của nạn nhân một thời gian nhờ xâm phạm ít nhất một tài khoản cục bộ và một tài khoản miền có quyền quản trị. Nhóm của chúng tôi không thể xác định chính xác cách mà kẻ đe dọa có được thông tin xác thực hoặc họ đã hiện diện trên mạng bao lâu, nhưng ngay sau khi các dịch vụ săn tìm mối đe dọa của chúng tôi được bật, các chỉ báo ngay lập tức sáng lên để xác định vi phạm.

Trong cuộc tấn công này, các tác nhân đe dọa đã sử dụng kết hợp Visual Basic Scripts và hai bộ công cụ PowerShell phổ biến là PowerSploit và Cobalt Strike để xâm nhập mạng của nạn nhân và khởi chạy phần mềm độc hại. Bộ giải mã mã shell của Cobalt Strike cho phép các tác nhân đe dọa tải xuống các lệnh độc hại, tải chúng vào bộ nhớ và thực thi chúng trực tiếp từ đó mà không cần chạm vào ổ cứng của nạn nhân. Các cuộc tấn công phần mềm độc hại không có tập tin (fileless malware) này có thể khó phát hiện bằng các công cụ chống phần mềm độc hại truyền thống dựa vào việc quét các tệp để xác định các mối đe dọa.

Ở những nơi khác trên mạng, các tác nhân đe dọa sử dụng PsExec, một công cụ tích hợp sẵn trong Windows, để khởi chạy trojan truy cập từ xa với các đặc quyền cấp hệ thống nhờ thông tin đăng nhập quản trị viên miền bị xâm phạm. Các tác nhân đe dọa cố gắng lấy dữ liệu nhạy cảm sang tài khoản DropBox bằng công cụ quản lý lưu trữ đám mây dựa trên dòng lệnh”.

May mắn thay, họ đã có thể xác định và dọn dẹp phần mềm độc hại một cách nhanh chóng. Tuy nhiên, nếu nạn nhân không thay đổi thông tin đăng nhập đã bị đánh cắp, kẻ tấn công có thể bắt đầu lại cuộc tấn công theo ý muốn. Nếu nạn nhân triển khai công cụ Endpoint Detection & Response (EDR) nâng cao như một phần của chiến lược bảo mật phân lớp, họ có thể đã ngăn chặn hoặc làm giảm thiệt hại được tạo ra từ các thông tin đăng nhập bị đánh cắp đó.

Những kẻ tấn công đang nhắm mục tiêu vào các doanh nghiệp một cách ngẫu nhiên, ngay cả với các tổ chức, doanh nghiệp nhỏ. Chỉ dựa vào một lớp bảo vệ đơn giản không còn hiệu quả để giữ an toàn cho tổ chức, doanh nghiệp. Bất kể quy mô của một tổ chức lớn hay nhỏ, điều quan trọng là phải áp dụng phương pháp bảo mật phân lớp có thể phát hiện và ngăn chặn các cuộc tấn công endpoint.

Điều này có nghĩa là tổ chức, doanh nghiệp phải trang bị các biện pháp bảo vệ từ gateway xuống đến endpoint, bao gồm cả đào tạo người dùng ở giữa. Qua đó, vai trò của xác thực đa yếu tố có thể là sự khác biệt giữa việc ngăn chặn một cuộc tấn công hay trở thành một chủ đề của một thống kê vi phạm khác.

Thông tin liên hệ

Nhà phân phối giải pháp Firewall WatchGuard: ITMAP ASIA JSC

Địa chỉ: 555 Trần Hưng Đạo, P. Cầu Kho, Quận 1, TP.HCM.

Website: itmapasia.com, watchguard.itmapasia.com; Email: info@itmapasia.com.

Điện thoại: 028 5404 0717 - 5404 0799.

Nguyễn Liên

Tin cùng chuyên mục

Tin mới