CÁCH HACKER CỐ GẮNG VƯỢT QUA CÁC TÍNH NĂNG BẢO VỆ CỦA PHẦN MỀM ANTIVIRUS.

Trong thế giới ngày nay, phần mềm chống virus là một khía cạnh bảo mật quan trọng cho các thiết bị đầu cuối bao gồm máy tính và máy chủ, từ người dùng cá nhân đến các tổ chức lớn. Phần mềm chống virus cung cấp biện pháp bảo vệ quan trọng chống lại các mối đe dọa trên mạng nhưng không phải là không thể sai lầm. Có nhiều kỹ thuật khác nhau mà tội phạm mạng sử dụng để vượt qua phần mềm chống virus.

1. Phần mềm antivirus hoạt động như thế nào ?

Mục tiêu của phần mềm chống virus là xác định xem một tệp có độc hại hay không và nó cần thực hiện việc này một cách nhanh chóng để tránh ảnh hưởng đến trải nghiệm của người dùng. Hai phương pháp được sử dụng rộng rãi mà các giải pháp chống virus sử dụng để tìm kiếm phần mềm độc hại là Heuristic-based scanning và Signature-based scanning:

Heuristic-based scanning kiểm tra chức năng của tệp, sử dụng thuật toán và mẫu để xác định xem phần mềm có đang thực hiện điều gì đó đáng ngờ hay không.

Signature-based scanning kiểm tra dạng tệp, tìm kiếm các chuỗi và mẫu khớp với các mẫu phần mềm độc hại đã biết.

Người tạo phần mềm độc hại có thể chọn tương tác theo hai cách với phần mềm chống virus, một là trên disk và một là trong bộ nhớ. Trên disk, một ví dụ điển hình sẽ là một tệp thực thi đơn giản. Phần mềm chống virus có nhiều thời gian hơn để quét và phân tích tệp trên đĩa. Nếu được tải vào bộ nhớ, phần mềm chống virus sẽ có ít thời gian tương tác hơn và nhìn chung phần mềm độc hại có nhiều khả năng thực thi thành công hơn.

2. Hạn chế của phần mềm Antivirus.

Mặc dù phần mềm chống virus là một cách được khuyên dùng để giữ an toàn cho hệ thống nhưng xét cho cùng, nó không khiến thiết bị không thể bị hack. Một chương trình chống virus thông thường sử dụng cơ sở dữ liệu về chữ ký của phần mềm độc hại được tạo thành từ phần mềm độc hại đã được xác định trước đó.

Bất cứ khi nào một mẫu phần mềm độc hại mới được phát hiện, chữ ký số của mẫu đó sẽ được tạo và thêm vào cơ sở dữ liệu. Điều này có nghĩa là có một khoảng thời gian dễ bị tấn công giữa lúc phần mềm độc hại mới được lưu hành và các chương trình chống virus cập nhật cơ sở dữ liệu của chúng. Trong thời gian đó, phần mềm độc hại có khả năng gây ra sự tàn phá. Vì vậy, mặc dù phần mềm chống virus cung cấp lớp bảo mật bổ sung nhưng chúng không giảm thiểu hoàn toàn các mối đe dọa.

Ngoài ra, số lượng ngôn ngữ độc lập của hệ điều hành (HĐH) có thể được sử dụng để viết phần mềm độc hại ngày càng tăng, điều đó có nghĩa là một chương trình phần mềm độc hại có khả năng tác động đến nhiều đối tượng hơn. Khi các mối đe dọa trên mạng trở nên phức tạp hơn, các chương trình chống virus phải phát triển để theo kịp. Với việc tin tặc liên tục phát triển các kỹ thuật của chúng để vượt qua các chương trình chống virus và do bối cảnh bảo mật ngày nay phức tạp nên đây là một thách thức.

3. Kỹ thuật trốn tránh phần mềm Antivirus.

Để đạt được mục tiêu của mình, hacker đã phát triển một loạt kỹ thuật trốn tránh như:

  • Code packing and encryption: Phần lớn worm và Trojan được đóng gói và mã hóa (Code packing and encryption). Để phát hiện worm và Trojan được đóng gói và mã hóa, chương trình chống virus phải thêm phương pháp giải nén và giải mã mới hoặc thêm chữ ký mới cho từng mẫu của chương trình độc hại.
  • Code mutation: Bằng cách trộn mã của virus Trojan với các hướng dẫn spam để mã có giao diện khác, mặc dù Trojan vẫn giữ chức năng ban đầu tội phạm mạng cố gắng ngụy trang phần mềm độc hại của chúng. Đôi khi Code mutation xảy ra trong thời gian thực trong tất cả hoặc gần như tất cả các trường hợp Trojan được tải xuống từ một trang web bị nhiễm virus. 
  • Stealth techniques: Các công nghệ rootkit thường được Trojan sử dụng có thể chặn và thay thế các chức năng của hệ thống để làm cho tệp bị nhiễm trở nên vô hình đối với hệ điều hành và các chương trình chống virus.
  • Chặn các chương trình chống virus và cập nhật cơ sở dữ liệu chống virus: Nhiều Trojan và worm mạng sẽ tích cực tìm kiếm các chương trình diệt virus trong danh sách các ứng dụng đang hoạt động trên máy tính nạn nhân. Phần mềm độc hại sau đó sẽ cố gắng: Chặn phần mềm diệt virus; Làm hỏng cơ sở dữ liệu chống virus; Ngăn chặn hoạt động chính xác của quá trình cập nhật phần mềm chống virus. Để đánh bại phần mềm độc hại, chương trình chống vi-rút phải tự bảo vệ mình bằng cách kiểm soát tính toàn vẹn của cơ sở dữ liệu và ẩn các quy trình của nó khỏi Trojan.
  • Masking the code on a website: Các nhà cung cấp phần mềm chống virus nhanh chóng tìm hiểu địa chỉ của các trang web chứa tệp virus Trojan và các nhà phân tích virus của họ sau đó sẽ nghiên cứu nội dung của các trang web này và thêm phần mềm độc hại mới vào cơ sở dữ liệu của họ. Tuy nhiên, trong nỗ lực chống lại quá trình quét chống virus, một trang web có thể được sửa đổi để khi test chống virus gửi yêu cầu, một tệp không phải Trojan sẽ được tải xuống thay vì Trojan.
  • Quantity attacks: Trong một cuộc tấn công số lượng, một lượng lớn phiên bản Trojan mới được phát tán trên internet trong một khoảng thời gian ngắn. Kết quả là các công ty cung cấp phần mềm chống virus nhận được số lượng lớn mẫu mới để phân tích. Tội phạm mạng hy vọng rằng thời gian phân tích từng mẫu sẽ tạo cơ hội cho mã độc của chúng xâm nhập vào máy tính của người dùng.
  • Zero day threats: Chương trình chống virus của bạn được cập nhật thường xuyên. Điều này thường là để đáp lại mối đe dọa zero-day. Đây là một kỹ thuật trốn tránh phần mềm độc hại trong đó tội phạm mạng khai thác lỗ hổng phần mềm hoặc phần cứng, sau đó phát hành phần mềm độc hại trước khi chương trình chống virus có thể vá nó.
  • Fileless malware: Đây là một phương pháp mới hơn để chạy phần mềm độc hại trên máy mà không yêu cầu lưu trữ bất kỳ thứ gì trên máy được nhắm mục tiêu. Phần mềm độc hại không dùng tệp hoạt động hoàn toàn trong bộ nhớ của máy, cho phép nó vượt qua các trình quét chống virus. Việc truy cập một trang web bị nhiễm virus không trực tiếp mang đến phần mềm độc hại. Thay vào đó, nó sử dụng lỗ hổng đã biết trước đó trong một chương trình liên quan để hướng dẫn máy tải phần mềm độc hại xuống vùng bộ nhớ và từ đó, nó được thực thi. Điều khiến phần mềm độc hại không dùng tệp trở nên nguy hiểm là khi phần mềm độc hại hoàn thành công việc của nó hoặc máy được cài đặt lại, bộ nhớ sẽ bị xóa và không có bằng chứng nào cho thấy tội phạm đã cài đặt phần mềm độc hại.
  • Lừa đảo: Lừa đảo trực tuyến là một trong những kỹ thuật phổ biến nhất mà tội phạm mạng sử dụng để đánh cắp thông tin. Trong một cuộc tấn công lừa đảo, kẻ tấn công đánh lừa nạn nhân bằng cách giả vờ là một nguồn đáng tin cậy hoặc được biết đến. Nếu người dùng nhấp vào liên kết độc hại hoặc tải xuống tệp bị nhiễm độc, kẻ tấn công có thể truy cập vào mạng của họ và sau đó đánh cắp thông tin nhạy cảm. Phần mềm chống vi-rút chỉ có thể phát hiện các mối đe dọa đã biết và không có hiệu quả đáng tin cậy trước các biến thể mới.
  • Browser-based attacks: Phần mềm chống virus không có quyền truy cập vào các hệ điều hành cho phép các cuộc tấn công dựa trên trình duyệt vượt qua chúng. Những cuộc tấn công này lây nhiễm vào thiết bị của bạn bằng cách sử dụng các tập lệnh và mã độc hại. Để ngăn chặn các cuộc tấn công này, một số trình duyệt bao gồm các công cụ phòng thủ tích hợp nhưng phải được sử dụng nhất quán và chính xác để có hiệu quả.
  • Encoding the payload: Một kỹ thuật khác mà phần mềm độc hại vượt qua phần mềm chống virus là mã hóa tải trọng. Tội phạm mạng thường sử dụng các công cụ để thực hiện việc này một cách thủ công và khi phần mềm độc hại được phân phối và kích hoạt, nó sẽ được giải mã và gây thiệt hại. Điều này thường được thực hiện thông qua một chương trình tiêu đề nhỏ được gắn vào mặt trước của virus được mã hóa. Phần mềm chống virus không coi chương trình này là mối đe dọa và virus được mã hóa chỉ được coi là dữ liệu. Vì vậy, khi tiêu đề được kích hoạt nó sẽ giải mã phần mềm độc hại vào vùng bộ nhớ, sau đó chuyển bộ đếm chương trình đến vùng đó và thực thi phần mềm độc hại.

4. Cách bảo vệ chống lại các kỹ thuật trốn tránh phần mềm độc hại.

Để đảm bảo an ninh tối ưu, tốt nhất bạn nên đầu tư vào phương pháp tiếp cận nhiều lớp đối với an ninh mạng. Các công cụ bổ sung mà bạn có thể sử dụng để ngăn chặn tội phạm mạng xâm nhập vào mạng của mình bao gồm:

  • Mã hóa thiết bị: Thiết bị mã hóa đảm bảo rằng không ai có thể truy cập vào dữ liệu chứa trong đó nếu không có mật khẩu hoặc khóa chính xác. Ngay cả khi thiết bị bị đánh cắp hoặc bị nhiễm phần mềm độc hại, việc mã hóa thích hợp có thể ngăn chặn truy cập trái phép.
  • Xác thực đa yếu tố: MFA yêu cầu người dùng nhập nhiều thông tin để truy cập tài khoản, chẳng hạn như mã có giới hạn thời gian. Điều này mang lại sự bảo mật cao hơn việc chỉ dựa vào mật khẩu. Điều này đặc biệt quan trọng nếu bạn có thông tin cá nhân hoặc nhạy cảm trên thiết bị hoặc tài khoản.
  • Quản lý mật khẩu: Mật khẩu rất quan trọng để giữ an toàn cho tài khoản và mạng nhưng điều quan trọng là phải sử dụng mật khẩu mạnh dành riêng cho mỗi tài khoản. Mật khẩu mạnh có ít nhất 15 ký tự (lý tưởng là nhiều hơn) và được tạo thành từ sự kết hợp của chữ hoa và chữ thường, số và ký hiệu. Trình quản lý mật khẩu có thể giúp bạn theo dõi chúng là một kho bảo mật cho các mật khẩu duy nhất và giữ chúng an toàn trước tin tặc.
  • Đào tạo nâng cao nhận thức về an ninh mạng: Khi tội phạm mạng ngày càng gia tăng, các doanh nghiệp nên dạy nhân viên của mình về những rủi ro liên quan đến các cuộc tấn công mạng cũng như cách xử lý nếu chúng xảy ra. Bằng cách giáo dục người dùng về bối cảnh mối đe dọa trên mạng, bạn có thể giúp họ nhận ra hoạt động đáng ngờ, chẳng hạn như email lừa đảo, v.v.
  • Phát hiện và phản hồi điểm cuối: Giải pháp EDR giám sát hoạt động của mạng và điểm cuối, đồng thời lưu trữ các nhật ký này. Công nghệ EDR có thể cung cấp cho nhân viên bảo mật dữ liệu họ cần để hiểu bản chất của cuộc tấn công mạng, đưa ra cảnh báo tự động và biện pháp khắc phục điểm cuối.