Khi nghĩ về quá trình một loại virus lây nhiễm vào hệ thống, bạn có thể tưởng tượng ra tình huống ai đó mở file thực thi bị nhiễm virus trên PC của mình. Điều này sau đó sẽ làm lây nhiễm phần mềm độc hại trên hệ thống. Từ đó, phần mềm độc hại có thể đánh cắp thông tin, bắt đầu một cuộc tấn công cryptojacking hoặc làm hỏng hệ thống file.
Ngày nay, phần mềm diệt virus là một phần quan trọng của máy tính, vì vậy thật khó để loại tấn công này diễn ra. Tuy nhiên, gần đây, một phương pháp phát tán phần mềm độc hại mới đã gia tăng đột biến - bằng cách hoàn toàn không sử dụng đến các file!
Fileless Malware là gì?
Fileless Malware là phần mềm độc hại hoạt động mà không cần đến một file nào trên hệ thống file của máy tính. Bằng cách đó, fileless malware có thể hoạt động mà không cần một "nơi trú ngụ" có thể sẽ tiết lộ sự hiện diện của nó.
Nếu xem xét về cách thức hoạt động của một chương trình diệt virus truyền thống, bạn có thể thấy lý do tại sao fileless malware lại đi theo con đường thú vị này. Một phần mềm diệt virus sẽ kiểm tra tất cả các file trên hệ thống file của máy tính để tìm bất kỳ thứ gì có nguy cơ đã bị nhiễm virus.
Tất nhiên, nếu phần mềm độc hại không để lại bất kỳ dấu vết nào trên chính hệ thống file, thì không có cách nào chương trình diệt virus có thể nhận ra và loại bỏ nó. Đây là sức mạnh lớn nhất của fileless malware. Nó có khả năng tàng hình tốt hơn các phần mềm độc hại truyền thống khác.
Fileless malware trú ngụ ở đâu?
Vậy nếu phần mềm độc hại không trú ngụ trên hệ thống file của máy tính, thì nó đang được lưu trữ ở đâu? Ý tưởng đằng sau fileless malware là nó có thể hoạt động hoàn toàn trong RAM của PC. RAM được sử dụng để lưu trữ phần mềm trong khi nó đang chạy, vì vậy phần mềm độc hại có thể lẻn vào RAM, nơi nó có thể thực hiện công việc của mình đồng thời tránh bị phát hiện.
Nó có thể xâm nhập vào hệ thống bằng cách sử dụng lỗ hổng trong phần mềm hiện có, chẳng hạn như thông qua plugin trình duyệt, lỗ hổng trong các "tuyến phòng thủ" của hệ điều hành, hoặc macro trong các chương trình như Word.
Trú ngụ trong RAM có nghĩa là phần mềm độc hại không bị những chương trình diệt virus, chuyên kiểm tra các hệ thống file phát hiện, nhưng nó cũng đi kèm với một nhược điểm. Phần mềm độc hại dựa trên hệ thống file vẫn tồn tại khi PC bị tắt, do ổ cứng ghi nhớ dữ liệu sau khi máy tính tắt nguồn. Tuy nhiên, RAM bị xóa khi tắt máy, có nghĩa là bất kỳ phần mềm độc hại dựa trên RAM nào bên trong cũng bị "diệt vong" theo. Như vậy, fileless malware được thiết kế để tàng hình và nhanh chóng thực hiện công việc của mình trước khi PC tắt.
Làm thế nào để tránh fileless malware?
Bây giờ, bạn đã biết fileless malware là gì. Vậy làm thế nào để tránh bị fileless malware tấn công.
Tránh các macro không đáng tin cậy
Cố gắng không cài đặt bất kỳ macro nào không xuất phát từ một nguồn uy tín. Rất có thể các macro trên những trang web mờ ám được lập trình để tận dụng những lỗ hổng bảo mật trong phần mềm mà bạn đang chạy macro. Chỉ sử dụng các macro từ những nguồn tốt, đáng tin cậy.
Luôn cập nhật phần mềm
Vì các macro fileless cần một lỗ hổng bảo mật để tấn công hệ thống, nên tốt nhất là giữ cho phần mềm luôn được cập nhật bằng các bản vá bảo mật mới nhất, bao gồm cả hệ điều hành, nơi có thể có những tiến trình gốc bị tấn công bởi fileless malware.
Sử dụng một phần mềm diệt virus tốt
Một chương trình diệt virus cơ bản sẽ chỉ quét hệ thống file, nhưng các phần mềm nâng cao hơn có khả năng kiểm tra những mối đe dọa trong khi quét. Nếu bạn lo lắng về fileless malware, có một số phần mềm diệt virus miễn phí có thể kiểm tra RAM xem có bất kỳ thứ gì đang lén lút trú ngụ trong đó không.
Mặc dù phần mềm độc hại được lan truyền rộng rãi hơn bằng cách sử dụng một file thực thi, nhưng không phải lúc nào cũng như vậy. Bây giờ, bạn đã biết fileless malware hoạt động ra sao và cách đánh bại nó.
Fileless malware có phải là mối quan tâm lớn đối với bạn không? Hãy chia sẻ ý kiến của bạn với mọi người trong phần bình luận dưới đây nhé!
