Phân tích 700.000 cuộc tấn công trong thế giới thực cho thấy cách thức các cuộc tấn công bộ nhớ trốn tránh các biện pháp bảo vệ và đề xuất các biện pháp giảm thiểu.
Theo Báo cáo Đe dọa Bản địa Đám mây năm 2023 của Aqua Security, báo cáo đã kiểm tra các cuộc tấn công bộ nhớ trong các mạng và chuỗi cung ứng phần mềm, các tác nhân đe dọa đang tập trung vào các khai thác nhằm tránh bị phát hiện và không bị phát hiện trong các hệ thống.
Bộ phận nghiên cứu của công ty bảo mật đám mây gốc, Nautilus, đã ghi nhận mức tăng 1.400% trong các cuộc tấn công bộ nhớ so với những gì công ty đã báo cáo trong nghiên cứu năm 2022 của mình. Theo Aqua Security, Nautilus đã phân tích 700.000 cuộc tấn công trong thời gian nghiên cứu kéo dài 6 tháng trên mạng toàn cầu của các honeypot.
Nhóm Nautilus đã báo cáo rằng hơn 50% các cuộc tấn công tập trung vào việc trốn tránh phòng thủ và bao gồm các kỹ thuật giả mạo chẳng hạn như các tệp được thực thi từ /tmp, một vị trí được sử dụng để lưu trữ các tệp tạm thời. Các cuộc tấn công cũng liên quan đến các tệp hoặc thông tin bị xáo trộn, chẳng hạn như tải động mã, tải các thư viện – độc hại trong trường hợp này – vào bộ nhớ trong thời gian chạy, không để lại dấu vết kỹ thuật số đáng ngờ.
Assaf Morag, trưởng nhóm nghiên cứu tình báo về mối đe dọa của Aqua Nautilus, cho biết việc nhóm phát hiện ra HeadCrab, một phần mềm độc hại dựa trên Redis đã xâm phạm hơn 1.200 máy chủ, đã làm sáng tỏ cách thức các cuộc tấn công bộ nhớ đang lẩn tránh các giải pháp không cần tác nhân, theo dõi, vá lỗi và quét hệ thống từ xa . Điều này là do, không giống như các hệ thống dựa trên tác nhân, chúng không được cài đặt trên các máy khách, Morag giải thích.
Ông nói: “Khi nói đến bảo mật thời gian chạy, chỉ tính năng quét dựa trên tác nhân mới có thể phát hiện các cuộc tấn công như thế này được thiết kế để trốn tránh các công nghệ quét dựa trên khối lượng và chúng rất quan trọng khi các kỹ thuật trốn tránh tiếp tục phát triển”.
Chuyển đến:
Các cuộc tấn công bộ nhớ là gì?
Tấn công bộ nhớ (hay còn gọi là tấn công Living-Off-The-Land hoặc Fileless) khai thác phần mềm, ứng dụng và giao thức tồn tại trong hệ thống mục tiêu để thực hiện các hoạt động độc hại. Như Jen Osborn, phó giám đốc thông tin về mối đe dọa tại Đơn vị 42 của Palo Alto Networks, giải thích, các cuộc tấn công bộ nhớ rất khó theo dõi vì chúng không để lại dấu vết kỹ thuật số.
- Các cuộc tấn công bộ nhớ không yêu cầu kẻ tấn công đặt mã hoặc tập lệnh trên hệ thống.
- Các cuộc tấn công bộ nhớ không được ghi vào đĩa mà thay vào đó sử dụng các công cụ như PowerShell, Windows Management Instrumentation hoặc thậm chí là công cụ lưu mật khẩu Mimikatz để tấn công.
“Họ là [launching memory exploits] bởi vì chúng khó bị phát hiện và khó tìm thấy hơn sau này, bởi vì nhiều khi chúng không được ghi vào nhật ký,” Osborn nói.
XEM: CTO Prisma Cloud của Palo Alto Networks Ory Segal thảo luận về mã cho bảo mật đám mây (TechRepublic)
Trong một blog năm 2018, Josh Fu, hiện là giám đốc tiếp thị sản phẩm của công ty phần mềm quản lý điểm cuối Tanium, giải thích rằng các cuộc tấn công bộ nhớ nhằm mục đích cung cấp hướng dẫn hoặc trích xuất dữ liệu từ RAM hoặc ROM. Trái ngược với các cuộc tấn công tập trung vào các thư mục tệp đĩa hoặc khóa đăng ký, các cuộc tấn công vào bộ nhớ rất khó phát hiện, ngay cả bằng phần mềm chống vi-rút.
Fu lưu ý rằng các cuộc tấn công bộ nhớ thường hoạt động như sau:
- Đầu tiên, một tập lệnh hoặc tệp sẽ đến điểm cuối. Nó tránh bị phát hiện vì nó trông giống như một tập hợp các hướng dẫn, thay vì có các tính năng điển hình của tệp.
- Những hướng dẫn sau đó được tải vào máy.
- Khi chúng thực thi, kẻ tấn công sử dụng các công cụ và tài nguyên của chính hệ thống để thực hiện cuộc tấn công.
Fu đã viết rằng những người bảo vệ có thể giúp ngăn chặn và giảm thiểu các cuộc tấn công bộ nhớ bằng cách:
- Luôn cập nhật về các bản vá lỗi.
- Chặn các trang web chạy Flash, Silverlight hoặc JavaScript hoặc chặn chúng chạy trên các trang web yêu cầu bật chúng.
- Hạn chế sử dụng macro trong tài liệu.
- Nghiên cứu bài báo này về cách những kẻ tấn công sử dụng Mimikatz để trích xuất mật khẩu.
Lỗ hổng chuỗi cung ứng phần mềm đám mây được phát hiện
Báo cáo của Aqua Nautilus, cũng xem xét các rủi ro trong chuỗi cung ứng phần mềm đám mây bao gồm cấu hình sai, đã quan sát thấy rằng các tác nhân đang khai thác các gói phần mềm và sử dụng chúng làm vectơ tấn công. Ví dụ: họ đã phát hiện ra một lỗ hổng logic mà họ gọi là “lập kế hoạch gói” cho phép kẻ tấn công ngụy trang các gói độc hại thành mã hợp pháp.
Ngoài ra, các nhà nghiên cứu đã báo cáo một lỗ hổng trong tất cả các phiên bản Node.js có thể cho phép nhúng mã độc vào các gói, dẫn đến leo thang đặc quyền và sự tồn tại của phần mềm độc hại trong môi trường Windows.
Công ty đã báo cáo rằng 10 lỗ hổng bảo mật hàng đầu được xác định trên mạng toàn cầu của họ vào năm 2022 (không bao gồm Log4Shell, mức cao áp đảo so với các lỗ hổng còn lại) hầu hết liên quan đến khả năng thực thi mã từ xa. “Điều này củng cố ý tưởng rằng những kẻ tấn công đang tìm kiếm quyền truy cập ban đầu và chạy mã độc trên các hệ thống từ xa,” các tác giả cho biết (Hình A).
Hình A
Bảo vệ môi trường thời gian chạy là rất quan trọng
Theo báo cáo, các cuộc tấn công bộ nhớ khai thác khối lượng công việc trong thời gian chạy, nơi mã thực thi, đang trở thành mục tiêu ngày càng phổ biến đối với các tác nhân đe dọa tìm cách đánh cắp dữ liệu hoặc làm gián đoạn hoạt động kinh doanh.
Các tác giả cho biết việc giải quyết các lỗ hổng và cấu hình sai trong mã nguồn là rất quan trọng vì:
- Có thể mất thời gian để ưu tiên và khắc phục các lỗ hổng đã biết, điều này có thể khiến môi trường thời gian chạy bị lộ.
- Những người hành nghề bảo mật có thể không biết hoặc bỏ sót các vectơ tấn công chuỗi cung ứng, tạo ra một liên kết trực tiếp và không kiểm soát được với môi trường sản xuất.
- Các cấu hình sản xuất quan trọng vẫn có thể bị bỏ qua trong môi trường đám mây tốc độ cao, phức tạp và nhiều nhà cung cấp.
- Các lỗ hổng zero-day có khả năng xảy ra, do đó cần thiết phải có một hệ thống giám sát các sự kiện độc hại trong quá trình sản xuất.
Các tác giả của nghiên cứu cũng cho biết rằng chỉ quét các tệp độc hại đã biết và liên lạc mạng, sau đó chặn chúng và cảnh báo cho các nhóm bảo mật là không đủ. Các doanh nghiệp cũng nên theo dõi các chỉ báo về hành vi nguy hiểm, chẳng hạn như các nỗ lực trái phép để truy cập dữ liệu nhạy cảm, cố gắng che giấu các quy trình trong khi nâng cao đặc quyền và mở các cửa hậu tới các địa chỉ IP không xác định.