Mã độc fileless là gì?
Mã độc fileless (fileless malware) còn có tên gọi khác là “non-malware”, “memory-based malware” hay “living off the land attacks”. Dùng để xác định loại mã độc lây nhiễm vào hệ thống mà không để lại tệp thực thi trên đĩa như các dòng mã độc thông thường. Vậy nếu mã độc fileless không lưu trữ trên ổ cứng, thì nó sẽ tồn tại ở đâu?
1. Trong RAM
Bộ nhớ truy cập ngẫu nhiên (RAM) máy tính cho phép thông tin được lưu trữ và truy xuất tạm thời. Một số dòng mã độc fileless có thể nằm trong RAM của bạn và ở đó cho đến khi được thực thi. Loại mã độc fileless này tương đối hiếm vì nó chỉ có thể tồn tại cho đến khi bạn khởi động lại máy tính, thao tác này sẽ xóa hoàn toàn bộ nhớ RAM. Tiêu biểu là mã độc Code Red lây nhiễm hàng trăm nghìn máy tính bằng cách khai thác lỗ hổng trong máy chủ web Microsoft IIS vào năm 2001.
2. Trong Windows Registry
Mã độc fileless có thể tồn tại trong Windows Registry. Windows Registry là một cơ sở dữ liệu khổng lồ lưu trữ các cài đặt cho hệ điều hành Windows cũng như tất cả các ứng dụng sử dụng registry. Kovter và Poweliks là hai ví dụ về mã độc fileless sử dụng Windows Registry để lây nhiễm cho người dùng.
Trong hầu hết các trường hợp, mã độc fileless lợi dụng các công cụ gốc của Windows như PowerShell và Windows Management Instrumentation (WMI).
Cách ngăn chặn mã độc fileless
Không thể phủ nhận tính lén lút và khó phát hiện của mã độc fileless, nhưng tin tốt là có một số cách bạn có thể thực hiện để giảm thiểu nguy cơ lây nhiễm.
1. Luôn cập nhật hệ điều hành và ứng dụng
Một trong những cách hiệu quả để giữ an toàn cho hệ thống của bạn khỏi mã độc là cập nhật tất cả phần mềm với các bản vá bảo mật mới nhất. Theo số liệu từ CISA, có thể ngăn chặn tới 85% tất cả các cuộc tấn công nhắm mục tiêu bằng cách áp dụng các bản vá phần mềm mới nhất. Để đảm bảo an tâm tối đa, hãy đảm bảo bật cập nhật tự động trong cài đặt ứng dụng của bạn.
2. Vô hiệu hóa PowerShell
Windows PowerShell là một công cụ của Microsoft được sử dụng để quản lý cấu hình và tự động hóa tác vụ. Thật không may, PowerShell lại trở thành “trợ thủ đắc lực” của mã độc fileless cũng như một số dòng mã độc khác. Nếu bạn không cần dùng đến PowerShell (hầu hết người dùng phổ thông không sử dụng đến), hãy làm theo các bước sau để tắt nó:
- Windows 10:
- Nhấn phím Windows
- Gõ “Control Panel”
- Mở “Control Panel”
- Click vào “Programs”
- Click vào “Turn Windows features on or off”
- Cuộn xuống đến “Windows PowerShell” và bỏ chọn
- Click OK
3. Theo dõi nhật ký lưu lượng truy cập đáng ngờ
Cả mã độc fileless và mã độc thông thường ít nhiều để lại manh mối về sự tồn tại của chúng, phổ biến nhất là ở dạng ảnh hưởng đến lưu lượng truy cập mạng của bạn. Nếu bạn nhận thấy hoạt động mạng bất thường, thì có thể bạn đã bị nhiễm mã độc. Do đó hãy sử dụng tường lửa để giúp bạn ngăn chặn và phát hiện các kết nối bất thường.
4. Sử dụng phần mềm chống mã độc có thể phát hiện theo hành vi
Việc phát hiện mã độc fileless có thể là một nhiệm vụ đầy thách thức đối với một số phần mềm chống mã độc. Do đó hãy chọn phần mềm chống mã độc có thể phân tích hành vi của hệ thống và xác định chính xác hoạt động đáng ngờ. Bằng cách nhận ra các thay đổi đối với các mẫu hành vi thông thường của hệ thống, các giải pháp bảo mật này có thể xác định hoạt động độc hại và kịp thời ngăn chặn cũng như loại bỏ mối đe dọa.
5. Áp dụng nguyên tắc đặc quyền tối thiểu
Hãy đảm bảo rằng mọi người dùng trên hệ thống chỉ có đặc quyền tối thiểu cần thiết để thực hiện nhiệm vụ của họ. Điều này giúp hạn chế thiệt hại ở mức tối thiểu nếu một mã độc fileless lọt qua hệ thống phòng thủ của máy tính.
(Theo White hat)