Mất cả tháng để phát hiện sự xâm nhập từ "cửa sau" (backdoor) và đánh cắp dữ liệu của tin tặc trong hệ thống mạng doanh nghiệp - Ảnh minh họa: bankinfosecurity |
Trong báo cáo mới từ Hãng bảo mật Trend Micro, các cuộc tấn công từ "cửa sau" (backdoor) không chỉ tập trung nhắm vào ngành công nghiệp bán lẻ, bao gồm cả các cuộc tấn công của bên thứ ba vào các doanh nghiệp mục tiêu, mà còn gây nguy hiểm cho bất kỳ doanh nghiệp nào có dùng ứng dụng "cửa sau".
Theo Trend Micro, những cuộc tấn công theo phương thức này thật sự đáng lo ngại vì chúng thường không bị phát hiện trong thời gian lên đến vài tháng. Điều đó có nghĩa hacker có thể duy trì kiểm soát trên các hệ thống mạng của doanh nghiệp, nhiều cơ hội đánh cắp dữ liệu và nắm rõ cách liên lạc thông tin của hệ thống.
"Hacker đã tìm ra cách qua mặt các biện pháp an ninh và khả năng phát hiện xâm nhập thông thường, do đó, chỉ dựa vào tường lửa và các giải pháp chống phần mềm độc hại là chưa đủ", theo báo cáo của Trend Micro.
"Mỗi doanh nghiệp cần luôn duy trì hoạt động với giả định rằng họ đã bị xâm nhập từ đó có những kịch bản ứng phó khẩn cấp và gia tăng độ an toàn thông tin".
Giải mã tấn công bằng "cửa sau"
Một "cửa sau" (backdoor) là bất kỳ cổng truy cập hoặc ứng dụng nào cho phép truy cập vào một máy chủ hoặc một mạng lưới bằng cách qua mặt quy trình xác thực và các thủ tục và cơ chế bảo mật thông thường khác.
"Cửa sau" thường gặp nhất trên các hệ thống mạng doanh nghiệp là kênh truy cập từ xa.
"Có nhiều kỹ thuật backdoor khác nhau được sử dụng, cho phép những kẻ tấn công ra lệnh và kiểm soát hệ thống mạng mục tiêu của chúng. Việc tìm hiểu về chúng có thể giúp các quản trị viên IT phát hiện hiệu quả hơn sự hiện diện của chúng và bảo vệ các hệ thống mạng mà họ quản lý trước các cuộc tấn công có mục tiêu". - Trend Micro nêu trong báo cáo của mình |
Các nhà nghiên cứu bảo mật của Trend Micro cho biết: mặc dù "cửa sau" đem lại sự tiện lợi và cải thiện liên lạc thông tin trong mạng lưới giữa các máy chủ, chúng cũng là "con dao hai lưỡi", cung cấp tin tặc các điểm truy xuất đến các máy chủ ra lệnh và kiểm soát (máy chủ C&C).
Tom Kellermann nói về lý do vì sao sự xuất hiện của các phần mềm gây hại đa nền tảng (cross-platform malware, hoạt động được trên nhiều nền tảng khác nhau) đang tạo điều kiện cho các cuộc tấn công diễn ra.
Tom Kellermann, giám đốc bảo mật mạng của Trend Micro cho biết: Những kẻ tấn công đang ngày càng sử dụng các công cụ mới, chẳng hạn như malware đa nền tảng, để khai thác đồng thời nhiều "cửa sau". Một khi đã vào được bên trong mạng lưới, malware đa nền tảng sẽ tìm đến máy chủ C&C thông qua một quá trình được gọi "cổng kết hợp" (port binding).
Cổng kết hợp này cho phép sự lưu thông bên trong mạng lưới đó, vì vậy những kẻ tấn công có thể “di chuyển” mà không bị phát hiện từ máy chủ này sang máy chủ khác, Kellermann cho biết.
Tấn công có mục tiêu vào hệ thống mạng doanh nghiệp
"Tin tặc đang sử dụng chính hạ tầng IT của bạn để chống lại bạn," Kellermann giải thích. "Nhiều backdoor chính là mấu chốt vấn đề. Điểm chính của bài báo này là trình bày cách mà chúng ta có thể cải thiện sự ứng phó khi sự cố xảy ra (incident response)".
Mô hình lợi dụng cửa sau và thâm nhập mạng lưới doanh nghiệp của tin tặc - Nguồn: Trend Micro |
Bài báo cáo nói rằng bảo mật đầu cuối cũng rất quan trọng để đảm bảo các cổng không được tái sử dụng cho các hoạt động mã độc. "Các quản trị viên IT cần phải biết tất cả các phương tiện có thể mà từ đó mạng lưới của họ có thể bị phá vỡ và sau đó phải tìm được cách để bảo vệ nó".
Báo cáo đặc biệt đề cập đến những nguy cơ liên quan đến phần mềm Radmin Server - một ứng dụng truy cập từ xa thông dụng sử dụng kỹ thuật kết nối cổng. Theo nghiên cứu của Trend Micro, hacker đã biến đổi thành công nội dung của Radmin Server để thâm nhập vào các mạng lưới mục tiêu.
Nhà nghiên cứu về mối đe dọa Andrew Komarov, Giám đốc điều hành của công ty trí thông minh nhân tạo mạng (cyber-intelligence) IntelCrawler, cho biết các backdoor là những công cụ cơ bản mà bọn tội phạm dùng để xâm nhập các mạng lưới. Tất cả mọi thứ từ gián điệp mạng đến đánh cắp dữ liệu thẻ thanh toán đều liên quan đến sự xâm nhập bằng backdoor.
"Đây thực sự là một xu hướng rất rõ ràng", ông nói. "Báo cáo từ Trend Micro đề cập đến sự biến đổi Radmin, nhưng chúng tôi cũng tìm thấy rất nhiều công cụ tự chế cho việc quản lý từ xa đã bị sử dụng bởi nhiều trojan ngân hàng. ... Có rất nhiều cách để thiết lập một kênh điều khiển từ xa sử dụng các cổng và các giao thức ứng dụng không tiêu chuẩn (non-standard port)".
"Bạn cần phải hiểu rõ các hành vi, phương thức mới của tin tặc, và hiểu rằng bạn rất có thể có backdoor hai mặt (một cho hoạt động bình thường, một bị xâm nhiễm)", ông nói. "Đây là lúc cần hiểu rõ các chiến thuật của chúng, chẳng hạn như việc lạm dụng các nền tảng hợp pháp".
Theo Trend Micro
Tối đa: 1500 ký tự
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận