• Thứ Tư, 15/10/2014 23:35 (GMT+7)

    Chặn các cuộc tấn công bằng cơ chế phát hiện thông minh hơn

    Huy Thắng
    (PCWorldVN) Để tránh sự chú ý, tin tặc ngày nay sử dụng các công cụ tương tự như quản trị viên. Tuy nhiên, bạn vẫn có thể phát hiện được chúng bất kể khi nào nếu có kế hoạch tốt.

    Những cuộc tấn công qua mạng đang ngày càng trở nên khó khăn hơn để phát hiện vì bọn tội phạm mạng ngày càng tinh vi, sử dụng những mô hình tấn công mới. Điều quan trọng là bạn phải hiểu những mô hình mới này và đưa chúng vào danh sách cần quan tâm khi xây dựng kế hoạch bảo mật hệ thống mạng cho doanh nghiệp. Hacker ngày nay sử dụng các công cụ hợp pháp vốn sẽ không bị các phần mềm chống malware phát hiện. Phương pháp tấn công này tuy không phải là mới nhưng được nhiều tin tặc đang sử dụng đối với hầu hết - nếu không phải tất cả - các hoạt động bất chính của chúng.

    Gần đây, những kẻ tấn công đã sử dụng phương pháp APT (advanced persistent threat) hoặc các phương pháp tấn công phức tạp khác để có thể xâm nhập vào hệ thống mạng một doanh nghiệp hầu như chỉ bằng cách lừa người dùng tải về và thực thi phần mềm độc hại bên trong mạng. Sau khi xâm nhập, chúng sẽ tải nhiều công cụ tấn công hơn vào máy tính nạn nhân đầu tiên bị nhiễm, lấy thông tin đăng nhập và chuyển sang các máy trạm, máy chủ khác. Trong vòng một thời gian ngắn, chúng sẽ có được quyền truy cập đến một máy chủ điều khiển tên miền, sử dụng một công cụ “băm” mật khẩu, lấy tất cả thông tin đó và thực hiện các hành vi xấu xa.

    Các nhà quản trị mạng cần bổ sung những công cụ hiện đại để phát hiện hacker.
    Nhưng theo các nhà nghiên cứu bảo mật, hiện tại thì những kẻ tấn công có xu hướng ít sử dụng phần mềm độc hại. Chúng có thể thực hiện với một công cụ, kịch bản hoặc ngôn ngữ lập trình được xây dựng với mục đích xấu. Rất nhiều kịch bản độc hại mới dựa trên các công cụ lập trình PowerShell, Perl và PHP được sử dụng để sao chép các tập tin, thông tin đăng nhập và thậm chí đưa mã độc hại vào các quá trình đang chạy. Phương pháp dùng mã độc rất khó bị phát hiện.

    Shellshock là một ví dụ điển hình về công cụ hợp pháp được xây dựng cho mục đích cấy ghép mã độc hại rất khó phát hiện. Trong thế giới Windows, những kẻ tấn công từ lâu đã sử dụng các lệnh tích hợp trong Windows và DOS để thực hiện xâm nhập.

    Để đối phó với hacker, các nhà quản trị mạng cần bổ sung những phương pháp phát hiện các tập tin độc hại vào kế hoạch bảo mật chính của họ. Trong vô số các biện pháp ngăn chặn tin tặc đột nhập vào hệ thống thì "honeypot" (tạm gọi là Mắt ong) được xem là một trong những cạm bẫy hiệu quả được thiết kế với mục đích này. Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật. Honeypot là một hệ thống cảnh báo sớm. Chỉ cần sử dụng vài máy tính là bạn có thể sẵn sàng biến chúng thành honeypot. Đó là các tốt nhất cho để phát hiện những thứ gần như không thể phát hiện.

    Tiếp theo, đối với các dữ liệu có giá trị cao, hãy xem xét cho phép các phương pháp phát hiện ghi lại mọi động thái của kẻ tấn công. Chẳng hạn, nếu kẻ tấn công đang chạy JavaScript hay PHP, hãy phát hiện việc sử dụng các đoạn mã “jscript.exe”, “jscript.dll” hoặc “php.exe”. Tuy nhiên, việc đó vẫn chưa đủ. Bạn cần phải bắt toàn bộ kịch bản và các lệnh thực thi kịch bản.

    Cuối cùng, hãy chắc chắn rằng công cụ bạn đang sử dụng có thể phát hiện loại phần mềm độc hại chỉ có trong bộ nhớ. Nhiều vụ rò rỉ thông tin thanh toán của khách hàng gần đây đều liên quan đến phần mềm độc hại chỉ có trong bộ nhớ. Tin tặc đã xem đây là một trong những thành công của chúng và ngày càng tạo ra nhiều biến thể hơn.

    Những kẻ tấn công luôn luôn cố gắng để chiếm được quyền quản lý hệ thống máy tính từ các quản trị viên. Đây được xem như là một cuộc đấu tranh của những người luôn làm tốt hơn.