Sử dụng các phần mềm được phát triển cho người sử dụng để làm công cụ tấn công là chiêu bài được tội phạm mạng ngụy trang, sử dụng rộng rãi.
Đây là phát hiện được đưa ra trong báo cáo mới có tên “Incident Response Analytics Report” (Báo cáo phân tích ứng phó sự cố) của Kaspersky.
Theo báo cáo, những phần mềm để thực hiện các nhiệm vụ của người quản trị viên và chẩn đoán hệ thống được tội phạm mạng sử dụng phổ biến nhằm tránh bị phát hiện khi thực hiện các cuộc tấn công mạng.
Báo cáo chỉ ra, gần 1/3 các cuộc tấn công mạng mà nhóm Ứng cứu khẩn cấp toàn cầu của Kaspersky đã điều tra vào năm 2019 liên quan đến các công cụ quản lý và điều hành từ xa hợp pháp. Do đó, những kẻ tấn công có thể không bị phát hiện trong một thời gian dài hơn. Ví dụ, các cuộc tấn công mạng đánh cắp dữ liệu bí mật có thời gian trung bình là 122 ngày.
Phần mềm giám sát và quản lý giúp quản trị viên CNTT và mạng thực hiện các công việc hàng ngày của họ, như khắc phục sự cố và cung cấp hỗ trợ kỹ thuật cho nhân viên. Tuy nhiên, tội phạm mạng cũng có thể tận dụng các công cụ hợp pháp này trong các cuộc tấn công mạng vào cơ sở hạ tầng của công ty.
Phần mềm này cho phép chúng chạy các quy trình trên thiết bị đầu cuối, truy cập và trích xuất thông tin nhạy cảm. Phân tích dữ liệu ẩn danh từ các trường hợp phản hồi sự cố, Kaspersky phát hiện có khoảng 18 công cụ hợp pháp khác nhau đã bị kẻ tấn công lạm dụng cho mục đích xấu.
Cụ thể, công cụ quản trị mạnh PowerShell được tội phạm sử dụng phổ biến (chiếm 25% tổng các cuộc tấn công) cho nhiều mục đích của chúng từ thu thập thông tin cho đến chạy phần mềm độc hại. Một số các công cụ khác như PsExec (ứng dụng bảng điều khiển này nhằm khởi chạy các quy trình trên các thiết bị đầu cuối từ xa) có tần suất bị sử dụng chiếm tới 22% trong các cuộc tấn công. Tiếp theo là SoftPerfect Network Scanner (14%), nhằm truy xuất thông tin về môi trường mạng.
Konstantin Sapronov, Trưởng nhóm Ứng cứu khẩn cấp toàn cầu tại Kaspersky, cho biết: “Với những công cụ này, những kẻ tấn công có thể thu thập thông tin về các mạng công ty và tiếp đó thay đổi cài đặt phần mềm và phần cứng hoặc thậm chí thực hiện một số hành động độc hại”.
“Không thể loại trừ các công cụ này vì nhiều lý do, tuy nhiên, hệ thống ghi nhật ký và giám sát được triển khai đúng cách sẽ giúp phát hiện hoạt động đáng ngờ trong mạng và các cuộc tấn công phức tạp sớm hơn”, Sapronov cho biết thêm.
Để giảm thiểu khả năng phần mềm quản lý từ xa được sử dụng để xâm nhập vào cơ sở hạ tầng, Kapersky khuyến nghị các tổ chức nên hạn chế quyền truy cập từ các địa chỉ IP bên ngoài.
Hơn nữa, cần đảm bảo rằng các giao diện điều khiển từ xa chỉ có thể được truy cập từ một số điểm cuối hạn chế, thực thi chính sách mật khẩu nghiêm ngặt cho tất cả các hệ thống CNTT và triển khai xác thực đa yếu tố. Ngoài ra, cần tuân theo nguyên tắc cung cấp các đặc quyền có giới hạn cho nhân viên và chỉ cấp các tài khoản có đặc quyền cao cho những người cần thiết để hoàn thành công việc của họ.
Nguồn ictvietnam.vn