Công cụ gỡ bỏ phần mềm độc hại tự động bằng công nghệ giống vắc xin: Đột phá trong chống botnet
ECHO tự động loại bỏ phần mềm độc hại (malware) từ bên trong chính mã của nó.
Các cuộc tấn công bằng phần mềm độc hại, đặc biệt là những vụ liên quan đến botnet, gây thiệt hại nghiêm trọng cho hệ thống doanh nghiệp và thường không bị phát hiện đến khi đã quá muộn.
Trong lĩnh vực an ninh mạng, botnet là mạng lưới các thiết bị kỹ thuật số (như máy tính, smartphone, thiết bị IoT...) đã nhiễm phần mềm độc hại và bị kiểm soát từ xa bởi một kẻ tấn công duy nhất, thường được gọi là botmaster (kẻ điều khiển botnet).
Các thiết bị nhiễm phần mềm độc hại trong mạng lưới này được gọi là bot (hoặc zombie). Kẻ tấn công có thể ra lệnh cho toàn bộ mạng lưới botnet thực hiện các hành động phối hợp mà người dùng sở hữu thiết bị không hề hay biết.
Mục đích của việc tạo ra botnet rất đa dạng và thường là bất hợp pháp, bao gồm:
- Tấn công từ chối dịch vụ phân tán (DDoS): Sử dụng sức mạnh tính toán và băng thông của hàng ngàn, hàng triệu thiết bị để làm quá tải máy chủ hoặc dịch vụ trực tuyến, khiến chúng không thể truy cập được với người dùng hợp pháp.
- Gửi thư rác (spam) và lừa đảo (phishing): Sử dụng các thiết bị trong botnet để gửi đi một lượng lớn email rác hoặc lừa đảo.
- Đánh cắp dữ liệu và thông tin nhạy cảm: Thu thập thông tin cá nhân, tài khoản ngân hàng, mật khẩu… từ các thiết bị nhiễm phần mềm độc hại.
- Phân phối phần mềm độc hại khác: Sử dụng botnet như nền tảng để lây nhiễm thêm phần mềm độc hại cho các thiết bị khác.
- Tạo doanh thu bất hợp pháp: Cho các tội phạm mạng khác thuê botnet hoặc sử dụng nó để thực hiện các hành vi gian lận quảng cáo.
Tóm lại, botnet là mạng lưới các thiết bị bị chiếm quyền điều khiển, được sử dụng bởi tội phạm mạng để thực hiện các hoạt động độc hại quy mô lớn một cách tự động và phối hợp.
Theo trang Techxplore, các nhà nghiên cứu tại Georgia Tech đã phát triển công cụ mang tên ECHO, có khả năng xoay chuyển tình thế bằng cách sử dụng chính cơ sở hạ tầng của phần mềm độc hại để gỡ bỏ nó. ECHO khai thác một đặc điểm then chốt có mặt trong nhiều chủng loại phần mềm độc hại: Cơ chế cập nhật từ xa được tích hợp sẵn. Bằng cách xác định và tái sử dụng cơ chế này, ECHO có thể triển khai một đoạn mã tùy chỉnh giúp vô hiệu hóa phần mềm độc hại từ bên trong.
Georgia Tech (viết tắt của Georgia Institute of Technology) là viện đại học công lập hàng đầu Mỹ, tọa lạc tại thành phố Atlanta, bang Georgia. Georgia Tech nổi tiếng với các chương trình đào tạo và nghiên cứu xuất sắc trong lĩnh vực khoa học, công nghệ, kỹ thuật và toán học (STEM). Trường được xếp hạng cao trong các bảng xếp hạng uy tín của Mỹ và thế giới, đặc biệt mạnh về các ngành kỹ thuật, khoa học máy tính, quản trị kinh doanh và kiến trúc.
ECHO có khả năng sử dụng chính cơ sở hạ tầng của các phần mềm độc hại để gỡ bỏ chúng - Ảnh: Shutterstock
Vô hiệu hóa thành công 523 trong số 702 mẫu phần mềm độc hại trên Android
Botnet từ lâu đã là mối đe dọa nghiêm trọng với an ninh mạng, có thể khiến quy trình làm việc bị gián đoạn, làm lộ dữ liệu nhạy cảm và gây tổn thất tài chính.
Thông thường, việc loại bỏ botnet là một quy trình thủ công, phức tạp và có thể kéo dài hàng ngày hoặc hàng tuần. ECHO ra đời nhằm thay đổi điều đó.
Trong quá trình thử nghiệm, ECHO đã vô hiệu hóa thành công 523 trong số 702 mẫu phần mềm độc hại trên hệ điều hành Android, đạt tỷ lệ thành công 75%.
Ý tưởng chiếm quyền điều khiển các kênh liên lạc của phần mềm độc hại không hoàn toàn mới. Năm 2019, hãng Avast và chính quyền Pháp từng hợp tác để triệt phá botnet Retadup ở khu vực Mỹ Latinh. Dù thành công, nhưng nỗ lực này rất khó tái hiện.
“Đây là cách tiếp cận rất hay, nhưng lại đòi hỏi công sức cực kỳ lớn. Vì thế, đội ngũ của tôi đã ngồi lại và nhận ra chúng tôi có thể biến cách làm này thành kỹ thuật khoa học, có hệ thống và có thể tái hiện, thay vì chỉ là một nỗ lực đơn lẻ, phụ thuộc vào con người và rất vất vả”, ông Brendan Saltaformaggio, phó giáo sư tại Georgia Tech, cho biết.
Avast là công ty chuyên về phần mềm an ninh mạng và antivirus, có trụ sở tại Cộng hòa Séc. Avast cũng là một trong những thương hiệu phần mềm antivirus nổi tiếng và được sử dụng rộng rãi trên toàn cầu.
ECHO hoạt động bằng công nghệ giống vắc xin như sau:
- Trước tiên lập bản đồ cách phần mềm độc hại triển khai mã.
- Sau đó phân tích xem liệu các kênh triển khai này có thể được sử dụng lại để mang theo một đoạn mã “lành tính” nhằm vô hiệu hóa mã độc ban đầu hay không.
- Khi đã xác thực, đoạn mã dùng để khắc phục này sẽ được kiểm tra thử và triển khai.
Quy trình đó giúp rút ngắn đáng kể thời gian phản ứng với botnet và giảm thiểu thiệt hại tiềm tàng.
ECHO hiện được mở mã nguồn trên GitHub, không nhằm thay thế các giải pháp bảo mật truyền thống mà bổ sung cho chúng.
GitHub là nền tảng và dịch vụ dựa trên web được sử dụng rộng rãi cho việc kiểm soát phiên bản và cộng tác phát triển phần mềm.
“Chúng ta sẽ không bao giờ đạt được giải pháp hoàn hảo, nhưng có thể nâng độ khó đến mức mà kẻ tấn công cảm thấy không còn đáng để triển khai phần mềm độc hại theo cách đó nữa”, Brendan Saltaformaggio giải thích.
Các tổ chức đang sử dụng phần mềm antivirus, nền tảng bảo vệ điểm cuối (EPP) và công cụ bảo mật khác có thể dùng ECHO để đơn giản hóa quy trình khắc phục sau khi phát hiện bị tấn công mạng.
EPP là giải pháp bảo mật toàn diện được thiết kế để bảo vệ các "điểm cuối" của mạng lưới doanh nghiệp. Điểm cuối là các thiết bị kết nối vào mạng, chẳng hạn máy tính để bàn, laptop, máy chủ, smartphone, máy tính bảng và các thiết bị IoT.
EPP thường tích hợp nhiều công nghệ bảo mật khác nhau vào một giải pháp duy nhất để cung cấp khả năng bảo vệ đa lớp cho các thiết bị điểm cuối. Những tính năng phổ biến của EPP gồm:
- Antivirus và antimalware: Phát hiện và loại bỏ vi rút cùng phần mềm độc hại đã biết cũng như mới nổi.
- Tường lửa cá nhân: Kiểm soát lưu lượng mạng ra vào thiết bị để ngăn chặn truy cập trái phép.
- Ngăn chặn xâm nhập: Giám sát hoạt động trên thiết bị để phát hiện và ngăn chặn các hành vi đáng ngờ có thể là dấu hiệu của một cuộc tấn công mạng.
- Mã hóa dữ liệu: Bảo vệ dữ liệu trên thiết bị khỏi bị truy cập trái phép trong trường hợp thiết bị bị mất hoặc đánh cắp.
- Ngăn ngừa mất dữ liệu: Giúp kiểm soát việc truyền dữ liệu nhạy cảm ra khỏi mạng.
- Kiểm soát ứng dụng và thiết bị: Quản lý những ứng dụng nào được phép chạy và thiết bị ngoại vi nào (như ổ đĩa USB) được phép kết nối.
- Phân tích hành vi: Sử dụng các kỹ thuật phân tích để phát hiện hoạt động bất thường có thể chỉ ra sự tồn tại của phần mềm độc hại hoặc cuộc tấn công, ngay cả khi không có chữ ký vi rút nào được biết đến.
Botnet Retadup bị triệt phá như thế nào?
Retadup là botnet quy mô lớn hoạt động thông qua một loại mã độc dạng sâu (worm) cùng tên. Botnet này từng lây nhiễm cho hàng trăm nghìn máy tính trên khắp thế giới, tập trung chủ yếu ở khu vực Mỹ Latinh. Retadup thực hiện nhiều hoạt động độc hại, gồm cả đào tiền mã hóa trái phép trên các máy tính bị nhiễm và phát tán các loại mã độc khác.
Điểm đáng chú ý là Retadup bị triệt phá thành công vào năm 2019 nhờ sự phối hợp giữa Avast và các nhà chức trách Pháp. Họ đã chiếm quyền kiểm soát máy chủ chỉ huy và botnet, sau đó gửi lệnh tới các máy tính bị lây nhiễm để tự gỡ bỏ phần mềm độc hại Retadup.
Chiến dịch này đã vô hiệu hóa hơn 850.000 máy tính khỏi mạng lưới botnet Retadup mà người dùng không cần thực hiện bất kỳ thao tác nào.
Việc triệt phá botnet Retadup là ví dụ thành công về sự hợp tác giữa khu vực tư nhân (các công ty bảo mật) và cơ quan thực thi pháp luật trong cuộc chiến chống tội phạm mạng.
