Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Nâng cao khả năng phòng vệ trước các cuộc tấn công Ransomware

Updated
8 min read
Nâng cao khả năng phòng vệ trước các cuộc tấn công Ransomware
M
Mai Đức Nam Anh
Part of seriesNewsletters

Khởi nguồn là những cuộc tấn công nhắm tới việc mã hoá đĩa mềm (floppy-disk) trong thập niên 1980, tính tới thời điểm hiện tại mã độc tống tiền Ransomware đã không còn là vấn đề nằm trong phạm vi hẹp của bảo mật mà đã phát triển, tiến hoá dưới dạng Ransomware-as-a-Service (RaaS) nguy hiểm hơn và trở thành vấn đề lớn đối với lĩnh vực tài chính doanh nghiệp.

**Ransomware-as-a-Service** (RaaS) là thuật ngữ nói về mô hình kinh doanh trong thế giới của tội phạm mạng. Các nhóm tin tặc sẽ cung cấp mã độc tới những người có nhu cầu (kể cả những người không có kiến thức liên quan tới công nghệ thông tin) cho những cuộc tấn công có chủ đích. Cùng với sự phát triển của thời đại 4.0, việc tiếp cận với các dịch vụ bất hợp pháp này trở nên dễ dàng hơn bao giờ hết. Điều này làm gia tăng chóng mặt các cuộc tấn công mạng có sử dụng mã độc tống tiền nhắm tới các tổ chức, tập đoàn doanh nghiệp lớn hoặc các công ty với quy mô nhỏ và người dùng phổ thông.

Hình 1: Sự phát triển của mã độc tống tiền Ransomware - Nguồn: Pentera

Ransomware đã đi một chặng đường dài trong quá trình tiến hoá của mình. Từ mục đích hù doạ người dùng bằng cách khoá máy tính với locker ransomware, giờ đây nó trở thành một ngành công nghiệp tội phạm với trị giá hàng tỷ đô la. Ransomware ngày nay không chỉ dừng lại ở việc mã hoá dữ liệu của nạn nhân, nó khai thác các dữ liệu quan trọng và sử dụng những dữ liệu nhạy cảm này để tống tiền nạn nhân. Việc này có thể diễn ra theo từng đợt, giá trị từ các đợt tống tiền có thể tăng gấp hai, gấp ba sau mỗi thông báo nạn nhân nhận được, gây thiệt hại nặng nề. Nguy hiểm hơn, các nhóm tin tặc có thể sử dụng RaaS để liên kết, hợp tác với nhau trong các chiến dịch tấn công diện rộng, đe doạ an toàn an ninh không gian mạng toàn cầu.

Ba giai đoạn của tấn công ransomware

Mặc dù được vận hành bởi các nhóm tin tặc khác nhau, tồn tại dưới nhiều cái tên và tính năng khác nhau, song các cuộc tấn công sử dụng mã độc tống tiền ransomware đều có một điểm chung trong phương pháp, giai đoạn triển khai và thực hiện. Không có cuộc tấn công mã hoá nào ngay lập tức diễn ra sau khi tin tặc đã xâm nhập thành công vào hệ thống của nạn nhân. Có thể liệt kê các giai đoạn này như sau:

  1. Pre-Encryption: Đây là giai đoạn đặt nền móng. Trước khi bắt đầu một cuộc tấn công, tin tặc cần thực hiện các hành động thiết yếu nhằm tối đa hoá thiệt hại có thể gây ra, đồng thời giảm thiểu việc bị phát hiện bởi các biện pháp phòng vệ trên hệ thống. Một số hành động cần thiết cần thực hiện trong giai đoạn này có thể liệt kê như:

    • Ngăn chặn khả năng sao lưu trên hệ thống*:* Các bản sao lưu, shadow copy sẽ bị xoá nhằm ngăn chặn khả năng khôi phục của hệ thống.

    • Thiết lập tính bền vững*:* Tiêm những phần mềm độc hại vào các chương trình, quy trình hợp lệ nhằm che giấu sự tồn tại, đồng thời thiết lập tính bền vững trong hệ thống bị lây nhiễm.

    • Khởi tạo Mutex*: viết tắt của *Mutual Exclusion Object, là cơ chế cơ chế đồng bộ trong lập trình, sử dụng để kiểm soát quyền truy cập của nhiều luồng (threads) vào tài nguyên chung trong một chương trình nhằm tránh các tình trạng xung đột hoặc trạng thái không nhất quán khi nhiều luồng cố gắng truy cập tài nguyên cùng lúc. Thiết lập Mutex trên hệ thống bị lây nhiễm nhằm đảm bảo ransomware có thể chạy mà không xảy ra bất kỳ vấn đề phát sinh hay sự cố gián đoạn nào.

  2. Encryption: Một khi đã hoàn tất các thiết lập trong giai đoạn Pre-Encryption, cuộc tấn công bằng mã độc ransomware chính thức bắt đầu. Những mã độc tống tiền này có thể hoạt động mạnh mẽ, thực hiện mã hoá toàn bộ dữ liệu trên hệ thống chỉ trong vài phút, hoặc lén lút thực hiện mã hoá âm thầm và thông báo tới nạn nhân sau khi đã hoàn tất quá trình.

  3. Post-Encryption: Là giai đoạn cuối cùng của cuộc tấn công, khi này toàn bộ dữ liệu của nạn nhân đã bị mã hoá. Tin tặc để lại thông điệp tống tiền trong các ghi chú hiển thị trên màn hình của hệ thống hoặc đính kèm trong thư mục cùng với dữ liệu bị mã hoá. Nạn nhân lúc này phải lựa chọn trả tiền (thông thường là qua các ví tiền điện tử) cho tin tặc hoặc bỏ chi phí rất cao thuê đội ngũ chuyên gia an ninh mạng để tiến hành giải mã. Cũng trong giai đoạn này, tin tặc sẽ theo dõi hoạt động, phản ứng của nạn nhân thông qua các máy chủ C2 (Conmand & Control) để cá nhân hoá thông điệp tống tiền với mỗi nạn nhân.

Dưới góc nhìn bảo mật, các cuộc tấn công sử dụng mã độc tống tiền ransomware hoàn toàn có thể ngăn chặn được bằng cách chủ động giám sát các IOC (Indicators of Compromise). Đây là giải pháp mạnh mẽ trong thời điểm ngày càng gia tăng số lượng và độ phức tạp trong các cuộc tấn công mạng hiện nay, giúp những giải pháp phòng thủ phát hiện và ngăn chặn sớm các cuộc tấn công thông qua các dấu hiệu thu thập được.

IOCs: Dấu hiệu cảnh báo sớm

IOC - Indicators of Compromise, là yếu tố quan trọng nhất trong việc ngăn chặn các cuộc tấn công mạng có sử dụng mã độc tống tiền ransomware. Thông qua các chỉ số IOC được thống kê, các biện pháp phòng thủ có thể phát hiện sớm các dấu hiệu, hành vi nguy hiểm đối với hệ thống như:

  1. Shadow copy deletion: Các hành vi ngăn chặn khả năng khôi phục của hệ thống như xoá bỏ các bản sao lưu hoặc shadow copy có thể bị phát hiện thông qua các IOC với những dấu hiện nhận biết riêng biệt. Thông thường, ransomware sẽ thực hiện các câu lệnh trong Powershell (đối với hệ điều hành windows) như vssadmin.exe delete shadows , qua đó đảm bảo khoá toàn bộ dữ liệu, đồng thời tăng áp lực lên nạn nhân về việc khôi phục lại dữ liệu bị mã hoá.

  2. Mutex creation: Việc thiết lập này ngăn ngừa nhiều mã độc khởi chạy cùng lúc trên hệ thống của nạn nhân, đảm bảo quá trình mã hoá dữ liệu được diễn ra suôn sẻ. Lợi dụng đặc điểm này, một số biện pháp phòng thủ có thể dựa trên các IOC đã biết và tạo ra các mutex giả, đánh lừa mã độc trong quy trình hoạt động và ngăn chặn quá trình mã hoá.

  3. Process injection: Giúp mã độc tránh bị phát hiện trên hệ thống. Một số kỹ thuật tiêm phổ biến mà mã độc thường sử dụng có thể kể đến như: DLL Injection - tiêm mã độc vào chương trình hợp lệ, Reflective DLL Loading - vượt qua lớp bảo vệ bằng cách chèn DLL mà không cần lưu trữ hoặc ghi trên hệ thống, APC Injection - tiêm mã độc vào không gian bộ nhớ của một tiến trình hợp lệ.

  4. Service termination: Để đảm bảo mã hóa không bị gián đoạn và ngăn chặn các nỗ lực khôi phục dữ liệu trong quá trình tấn công, ransomware thực hiện vô hiệu hoá các dịch vụ bảo mật như: Phần mềm diệt virus, EDR, Backup agent, Cơ sở dữ liệu hệ thống… thông qua các lệnh quản trị hoặc API để vô hiệu hóa các dịch vụ này, ví dụ: taskkill /F /IM MsMpEng.exe # Terminates Windows Defender để vô hiệu hoá Windows Defender.

Chủ động trong đối phó với các cuộc tấn công ransomware

Trên thực tế, nhiều tổ chức, tập đoàn, doanh nghiệp lớn thường chỉ thực hiện đánh giá các biện pháp bảo mật trong nội bộ với tần suất rất ít, đôi khi chỉ mỗi năm một lần. Điều này mở ra cơ hội rất lớn cho kẻ tấn công có thể tiếp cận và gây thiệt hại lớn cho hệ thống. Ransomware liên tục phát triển, nếu như hệ thống bảo vệ không được đánh giá và cập nhật các IOC thường xuyên, nó sẽ trở nên vô dụng, dễ dàng bị qua mặt và không thể ngăn chặn sớm cuộc tấn công nhắm tới hệ thống, điều mà vốn dĩ là nhiệm vụ mà nó cần phải thực hiện.

Hình 2: Các bước duy trì khả năng bảo vệ trước các cuộc tấn công ransomware - Nguồn: Pentera

Cần phải xác định rằng hệ thống luôn nằm trong tình trạng đối mặt với các cuộc tấn công ransomware. Không có giải pháp bảo mật nào là an toàn tuyệt đối. Các tổ chức, tập đoàn, doanh nghiệp cần thực hiện đánh giá thường xuyên, hoặc có một quy trình đánh giá tự động mức độ an toàn của hệ thống trước các cuộc tấn công ransomware.

Xây dựng đội ngũ sẵn sàng ứng phó với các cuộc tấn công ransomware là điều cần thiết đối với các tổ chức, tập đoàn, doanh nghiệp. Một trung tâm SOC - Security Operations Center chịu trách nhiệm đảm bảo giám sát bảo mật 24/7, phát hiện các dấu hiệu, hành vi đáng ngờ và đưa ra những phương án xử lý, ngăn chặn kịp thời đối với bất cứ hoạt động nào có thể dẫn đến các cuộc tấn công ransomware trên hệ thống. Ngoài ra, tổ chức các buổi diễn tập giả định thường xuyên cũng góp phần nâng cao khả năng xử lý sự cố của trung tâm SOC nói riêng và của tổ chức nói chung, giúp đơn vị phòng thủ này chủ động và tự tin hơn trong việc kiểm soát các vấn đề có thể xảy ra trong tương lai.

Tham khảo

  1. PENTERA: Continuous Ransomware Validation: Why Annual Testing Isn’t Enough

  2. The Hacker News: Becoming Ransomware Ready: Why Continuous Validation Is Your Best Defense

#fiscybersec#threat-intelligence#ransomware

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.

Nâng cao khả năng phòng vệ trước các cuộc tấn công Ransomware