Modular Malware – Phương pháp tấn công tàng hình mới nhằm đánh cắp dữ liệu

Phần mềm độc hại – malware – tấn công dưới nhiều hình thức và quy mô khác nhau. Thêm vào đó, sự tinh vi của phần mềm độc hại đã phát triển đáng kể qua nhiều năm. Những kẻ tấn thừa nhận ra rằng cố gắng đưa toàn gói phần mềm độc hại đột nhập vào hệ thống một lần duy nhất không phải bao giờ cũng chính là cách hiệu quả nhất.

Theo thời gian, ứng dụng độc hại đã trở thành các mô-đun. Một số biến thể ứng dụng độc hại có thể sử dụng các mô-đun không giống nhau để thay đổi cách chúng ảnh hưởng đến hệ thống mục tiêu. Vậy modular malware là gì và nó hoạt động như thế nào? Hãy cùng tìm hiểu qua bài viết sau đây!

Modular malware là gì?

Modular malware (malware dạng mô-đun/mô-đun malware) là mối dọa dẫm nguy hiểm, tiến công hệ thống ở các thời kì khác nhau. Thay vì tấn công trực tiếp, mô-đun malware có cách tiếp cận phụ.

Nó làm điều đó bằng phương pháp chỉ cài đặt các thành phần thiết yếu đầu tiên. Sau đó, thay vì tạo sự phô trương và cảnh báo người sử dụng về sự tồn tại của nó, mô-đun đầu tiên hướng đến hệ thống và an ninh mạng; những phần nhận trách nhiệm chính, loại cách thức bảo vệ nào đang được áp dụng, nơi mà các ứng dụng độc hại có thể tìm thấy lỗ hổng, những gì khai thác có cơ hội thành đạt cao nhất, v.v…

Sau khi phát hiện thành công môi trường cục bộ, mô-đun malware thời kì trước mắt cũng đều có thể liên lạc với máy chủ ra lệnh và khống chế (C2) của nó. C2 sau đó có thể phản hồi bằng cách gửi thêm hướng dẫn cùng với các mô-đun malware bổ sung để tận dụng môi trường cụ thể mà ứng dụng độc hại đang hoạt động.

Mô-đun malware có lợi hơn so với những ứng dụng độc hại gom tất cả chức năng vào một payload duy nhất, cụ thể:

• Kẻ tạo ra ứng dụng độc hại có thể mau chóng thay đổi nhận dạng của ứng dụng độc hại để tránh mọi chương trình diệt virus và bảo mật khác.
• Mô-đun malware cấp phép mở rộng chức năng cho nhiều môi trường khác nhau. Trong đó, kẻ tạo nên phần mềm độc hại cũng đều có thể phản ứng với những mục đích cụ thể, hoặc đánh dấu các mô-đun cụ thể để sử dụng trong số môi trường cụ thể.
• Các mô-đun mới đầu rất nhỏ và đơn giản thay đổi hơn.
• Kết hợp nhiều mô-đun malware giúp các nhà nghiên cứu bảo mật đoán được điều gì sẽ diễn ra tiếp theo.

Mô-đun malware không phải là mối đe dọa mới. Các nhà phát triển ứng dụng độc hại đã sử dụng hữu hiệu các chương trình mô-đun malware trong 1 thời gian dài. Sự khác biệt là các nhà nghiên cứu bảo mật đang gặp phải nhiều mô-đun malware hơn trong nhiều tình huống khác nhau. Các nhà nghiên cứu cũng từng phát giác ra botnet Necurs khổng lồ (khét tiếng vì phân phối các biến thể ransomware của Dridex và Locky) làm lây truyền các mô-đun malware.

Ví dụ về mô-đun malware

Có một số thí dụ về mô-đun malware rất thú vị. Dưới đây là một vài trong số đó.

VPNFilter

VPNFilter là một phiên bản ứng dụng độc hại gần đây tấn công các thiết bị router và Internet of Things (IoT). Phần mềm độc hại này hoạt động trong ba giai đoạn.

Phần mềm độc hại giai đoạn trước mắt liên lạc với một máy chủ ra lệnh và điều khiển để tải xuống mô-đun giai đoạn hai. Mô-đun thời kì thứ hai thu thập dữ liệu, thi hành các lệnh và có thể can thiệp vào việc quản lý thiết bị (bao gồm khả năng “đóng băng” router, thiết bị IoT hoặc NAS). Giai đoạn thứ 2 cũng cũng có thể có thể tải xuống mô-đun giai đoạn thứ ba, thứ hoạt động như các plugin cho giai đoạn thứ hai. Mô-đun ba giai đoạn bao gồm một gói phát hiện lưu lượng SCADA, một mô-đun làm lây nhiễm và mô-đun cấp phép phần mềm độc hại giai đoạn 2 giao tiếp bằng mạng Tor.

Bạn có thể tìm hiểu thêm về VPNFilter qua bài viết sau: Cách phát hiện malware VPNFilter trước lúc nó phá hủy router.

T9000

Các nhà nghiên cứu bảo mật của Palo Alto Networks đã phát giác ra phần mềm độc hại T9000 (không liên quan đến Terminator hay Skynet).

T9000 là một công cụ thu thập tin tức và dữ liệu. Sau khi cài đặt, T9000 cấp phép kẻ tiến công “nắm bắt dữ liệu được mã hóa, chụp ảnh màn hình của các ứng dụng cụ thể và nhắm mục đích cụ thể đến người dùng Skype” cũng giống các file sản phẩm Microsoft Office. T9000 kèm theo với những mô-đun không trùng lặp được thiết kế để né 24 sản phẩm bảo mật khác nhau, thay đổi quy trình cài đặt của nó để không bị phát hiện.

DanaBot

DanaBot là một Trojan ngân hàng đa thời kì với các plugin không trùng lặp mà kẻ tấn công sử dụng để mở rộng chức năng của nó. Ví dụ, tháng 5 năm 2018, DanaBot đã được phát hiện trong một loạt các cuộc tiến công vào các ngân hàng Úc. Vào thời điểm đó, các nhà nghiên cứu đã phát hiện ra một gói plugin phát hiện lây nhiễm, một plugin xem từ xa VNC, một plugin thu thập dữ liệu và một plugin Tor cho phép giao tiếp an toàn.

“DanaBot là một Trojan ngân hàng, có nghĩa là nó nhất thiết phải nhắm mục đích theo địa lý ở một góc độ nào đó”, theo blog Proofpoint DanaBot. “Mặc dù có nhiều biện pháp phòng ngừa được áp dụng như chúng ta đã thấy trong chiến dịch của Hoa Kỳ, nhưng vẫn đơn giản nhận thấy sự phát triển tích cực, mở rộng về địa lý và sự tinh vi của các phần mềm độc hại ngày càng tăng. Bản thân phần mềm độc hại chứa 1 số tính năng chống phân tích, cũng giống các mô-đun đánh cắp thông tin và điều khiển từ xa được cập nhật thường xuyên, làm tăng thêm sự dọa dẫm của nó đối với những mục tiêu.”

Marap, AdvisorsBot và CobInt

Bài viết đang kết hợp ba biến thể mô-đun malware thành một phần vì các nhà nghiên cứu bảo mật tuyệt hảo tại Proofpoint đã khám phá cả ba loại này cùng lúc. Các biến thể mô-đun malware này mang nét tương đồng nhưng có những cách sử dụng khác nhau. Hơn nữa, CobInt là phần nào của chiến dịch Cobalt Group, một tổ chức tội phạm có quan hệ với một bản kê dài các tội phạm mạng trong nghề ngân hàng và tài chính.

Marap và AdvisorsBot được tạo nên nhằm mục đích nhắm đến toàn bộ hệ thống mục tiêu để phòng vệ và lập bản đồ mạng, sau đó định vị xem liệu phần mềm độc hại có nên tải xuống toàn bộ payload hay không. Nếu hệ thống đích đáp ứng được nhu cầu (ví dụ, có mức giá trị), ứng dụng độc hại sẽ tiếp tục giai đoạn thứ 2 của cuộc tấn công.

Giống như các phiên bản mô-đun malware khác, Marap, AdvisorsBot và CobInt tuân theo quy trình ba bước. Giai đoạn trước mắt thường là một email có file đính kèm bị nhiễm ứng dụng độc hại với mục đích khai thác ban đầu. Nếu trọng trách khai thác thi hành xong, phần mềm độc hại ngay tức thì yêu cầu giai đoạn thứ hai. Giai đoạn thứ hai mang mô-đun trinh sát để đánh giá các biện pháp an ninh và cảnh quan mạng của hệ thống đích. Nếu ứng dụng độc hại cho thấy mọi thứ đều phù hợp, giai đoạn cuối cùng sẽ tải xuống mô-đun thứ ba, kể cả cả payload chính.

Mayhem

Mayhem là một phiên bản mô-đun malware hơi cũ. Nó xuất hiện lần trước mắt vào năm 2014. Tuy nhiên, Mayhem vẫn chính là một thí dụ về mô-đun malware tuyệt vời. Phần mềm độc hại, được phát hiện bởi các nhà nghiên cứu bảo mật tại Yandex, nhắm mục tiêu các máy chủ web Linux và Unix. Nó cài đặt thông qua một tập lệnh PHP độc hại.

Sau khi cài đặt, tập lệnh có thể gọi một số plugin xác định việc sử dụng tối ưu ứng dụng độc hại.

Các plugin cho dù là một trình phá khóa mật khẩu brute force nhắm vào các tài khoản FTP, WordPress và Joomla, một trình thu thập dữ liệu web để tìm kiếm các máy chủ dễ bị tổn thương khác cùng một công cụ khai thác lỗ hổng Heartbleed OpenSLL.

DiamondFox

Biến thể phần mô-đun malware cuối cùng trong bài viết hôm nay cũng chính là một trong những phiên bản hoàn thiện nhất. Đây cũng là một trong những điều đáng lo ngại nhất, vì một vài lý do.

Lý do thứ nhất, DiamondFox là một botnet mô-đun bán trên các diễn đàn ngầm khác nhau. Các tội phạm mạng tiềm năng cũng đều có thể mua gói botnet mô-đun DiamondFox để truy cập vào 1 loạt các khả năng tiến công nâng cao. Công cụ này được cập nhật đều đều và, giống như mọi thứ các công ty trực tuyến khác, đã hỗ trợ khách hàng cá nhân. (Nó cho dù còn có 1 bản ghi sự thay đổi!)

Lý do thứ hai, botnet mô-đun DiamondFox đi cùng với 1 loạt các plugin. Các tính năng này được tắt bật thông qua trang tổng quan, phù hợp với một phần mềm thông minh tại nhà. Các plugin cho dù là các công cụ gián điệp phù hợp, các công cụ đánh cắp tin tức xác thực, các công cụ DDoS, keylogger, spam mail, và sẽ cho dù cả một bộ quét RAM.

Làm thế nào để ngăn chặn một cuộc tiến công Modular Malware?

Tại thời điểm hiện tại, không có công cụ cụ thể nào cũng có thể bảo vệ người sử dụng chống lại một biến thể mô-đun malware cả. Ngoài ra, một số biến thể mô-đun malware có độ rộng địa lý giới hạn. Ví dụ, Marap, AdvisorsBot và CobInt chủ đạo được tìm thấy ở Nga và các quốc gia CIS.

Các nhà nghiên cứu Proofpoint đã chỉ ra rằng mặc dầu bị giới hạn về địa lý như hiện tại, nếu các tội phạm khác nhìn thấy một tổ chức tội phạm đã được thành lập sử dụng mô-đun malware, chúng chắc chắn sẽ làm theo.

Nhận thức về kiểu cách mô-đun malware tiếp cận hệ thống của bạn là rất quan trọng. Phần lớn các trường hợp được ghi nhận đã sử dụng file đính kèm email bị nhiễm phần mềm độc hại, thường chứa tài liệu Microsoft Office với tập lệnh VBA độc hại. Kẻ tiến công sử dụng cách thức này chính vì rất dễ dàng để gửi email bị nhiễm phần mềm độc hại đến hàng triệu mục đích tiềm năng. Hơn nữa, phần khai thác ban đầu rất nhỏ và đơn giản cải trang thành một file Office bình thường.

Như mọi khi, hãy đáp ứng bạn luôn cập nhật hệ thống của mình và cân nhắc đầu tư vào một phần mềm diệt virus có chất lượng. Điều đó rất đáng giá đấy!

Xem thêm:

• Bạn đã biết bao nhiêu loại malware và đã biết phương pháp phòng chống chúng chưa?
• Phân biệt các dạng Malware
• Những nguy cơ từ malware và cách phòng tránh

phần mềm độc hại,malware,Modular Malware,Modular Malware là gì,tấn công tàng hình,đánh cắp dữ liệu,ví dụ về Modular Malware,VPNFilter,T9000,DanaBot,Marap,AdvisorsBot,CobInt,Mayhem,DiamondFox,cách ngăn chặn một cuộc tấn công Malware Modular

Nội dung Modular Malware – Phương pháp tấn công tàng hình mới nhằm đánh cắp dữ liệu được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.