Skip to content

Fileless Malware là gì và cách để chống lại chúng

Fileless nghĩa là…không có file, nếu chúng ta dịch như thế 😂 Đây chính là 1 biến thể mới của malware xuất hiện trong những năm gần đây.

Các bạn chắc đã quen với các định nghĩa về malware, trojan, spyware,…gần đây thì có thêm ransomware. Tất cả đều có 1 điểm chung là tồn tại dưới dạng 1 tệp tin trong hệ thống (file .exe).

Fileless malware có thể tấn công máy tính của bạn mà không cần phải tồn tại dưới dạng 1 tệp tin thực thi trên ổ đĩa hệ thống. Điều này gây nhiều khó khăn cho các phần mềm antivirus truyền thống.

Thế Fileless Malware là gì?

Định nghĩa đơn giản nhất của Fileless Malware là loại malware sử dụng chính những công cụ của hệ thống để tiến hành thực thi những hành động xấu. Cuộc tấn công sẽ diễn ra rất bình thường như 1 tiến trình của hệ thống thực thi, điều đó làm cho Fileless Malware rất khó phát hiện.

Trên Windows, Fileless Malware thường nhắm đến Powershell và Windows Management Instrumentation (WMI), cuộc tấn công sẽ sử dụng các tiến trình đó để thực thi phần mềm độc hại hoặc thực thi những lệnh để tấn công máy tính của nạn nhân. Tất cả đều thực hiện mà không cần phải có file thực thi nào.

Các kỹ thuật thường được Fileless Malware thực hiện:

  • Mã độc được lưu trữ trong Windows Management Instrumentation (WMI).
  • Mã độc truyền các command line đến Powershell để thực thi.
  • Mã độc chứa trong registry hoặc OS scheduler task, và được thực thi bởi OS scheduler.
  • Những cách khác.

Vài ví dụ về Fileless Malware

Một trong những kỹ thuật thường được Fileless Malware thực hiện đó chính là sử dụng các tiến trình của Windows để thực hiện các script độc hại không được lưu trên máy tính. Các ví dụ bên dưới mình lấy từ bài viết của Kaspersky.

Thực hiện script độc hại nhờ tiến trình mshta của Windows
Sử dụng rundll32 để thực thi mã javascript đôc hại

Fileless Malware tấn công diễn ra như thế nào?

Đa số mã độc Fileless sẽ sử dụng Powershell để thực hiện tấn công. Powershell là 1 công cụ rất hữu ích, cho phép ta can thiệp vào mọi thứ trên Windows.

Example of a fileless attack kill chain
1 ví dụ về việc tấn công của Fileless Malware (nguồn: Mcafee)

Bên trên là 1 ví dụ về việc tấn công của mã độc fileless. Hacker thường sẽ dùng social engineering để dẫn dụ người dùng click vào các đường link hoặc mở file đính kèm trong các email lừa đảo.

Làm cách nào để chống lại Fileless Malware

Hiện tại đa số các phần mềm Antivirus có tiếng đều đã hỗ trợ chống lại Fileless Malware. Microsoft cũng đã nâng cấp Windows Defender để có thể phát hiện và ngăn chặn các hành động bất thường của Powershell.

LMT Anti Logger cũng được trang bị tính năng Fileless Malware Protection, giúp bảo vệ bạn khỏi các cuộc tấn công của các mã độc fileless.

Fileless Malware Protection in LMT Anti Logger

LMT Anti Logger sẽ chặn các tiến trình thực thi nếu phát hiện chúng có command line ứng với các rules như hình. Bạn có thể xem thêm video demo này:

Published inblog

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *