Beaconing là một trong những dấu hiệu đầu tiên của một cuộc tấn công mạng. Bài viết sau đây sẽ cung cấp mọi thông tin bạn cần biết. 

Tội phạm mạng có nhiều dạng, từ các cuộc tấn công bằng mạng botnet cho đến phần mềm tống tiền (ransomware). Tuy có nhiều điểm khác biệt,chúng thường bắt đầu theo cách tương tự và malware beaconing là một trong những dấu hiệu phổ biến mà bạn sẽ thấy. Vậy, malware beaconing là gì?

Giống như cách một đèn tín hiệu (beacon) trong ngọn hải đăng báo hiệu cho các tàu gần đó, beaconing trong kết nối mạng (networking) là một tín hiệu kỹ thuật số định kỳ. Trong trường hợp của malware beaconing, những tín hiệu đó đi qua lại giữa một thiết bị bị nhiễm độc và một máy chủ điều khiển và kiểm soát (command-and-control, viết tắt là C2) ở một nơi khác, cho phép tội phạm mạng kiểm soát phần mềm độc hại từ xa.

Các loại Beaconing khác nhau

Malware beaconing cho phép tin tặc biết rằng chúng đã lây nhiễm hệ thống thành công để chúng có thể gửi lệnh và thực hiện một cuộc tấn công. Đây thường là dấu hiệu đầu tiên của các cuộc tấn công từ chối dịch vụ phân tán (Denial-of-service attack, viết tắt là DDoS), hình thức tấn công này đã tăng 55% từ năm 2020 đến năm 2021. Các hoạt động gửi tín hiệu này cũng có nhiều dạng khác nhau.

Một trong những kiểu phổ biến nhất là DNS Beaconing. Máy chủ bị nhiễm sử dụng các yêu cầu thông thường của hệ thống tên miền (Domain Name System, viết tắt là DNS) để ẩn tín hiệu của nó. Bằng cách đó, các tín hiệu giữa phần mềm độc hại và máy chủ C2 trông giống như giao tiếp mạng bình thường.

Một số hoạt động báo hiệu phần mềm độc hại sử dụng HTTPS, giao thức truyền thông tin được mã hóa mà bạn thường thấy khi sử dụng Internet hàng ngày. Vì HTTPS mã hóa hầu hết mọi thông tin giữa máy khách và dịch vụ web nên nó có thể là một nơi lý tưởng để che giấu các hành động độc hại.

Dù là loại nào, tất cả các loại malware beaconing đều cố gắng che giấu giao tiếp giữa tác nhân đe dọa và thiết bị bị nhiễm. Nếu che giấu thành công hoạt động báo hiệu của chúng, tội phạm mạng có thể chiếm lấy máy bị nhiễm, gây ra thiệt hại đáng kể.

Ví dụ về các cuộc tấn công Beaconing

Một số cuộc tấn công mạng lớn nhất gần đây bắt đầu bằng malware beaconing. Ví dụ, vụ hack SolarWinds khổng lồ đã sử dụng cách này để tải các phần của một phần mềm độc hại phức tạp lên các thiết bị khác nhau. May mắn là tuy hàng nghìn thiết bị tải xuống phần mềm độc hại, nhưng chưa đến 100 thực sự bị lây nhiễm.

Các cuộc tấn công khác sử dụng beaconing để lây nhiễm nhiều thiết bị nhằm thực hiện hack DDoS. Tội phạm mạng lây nhiễm hàng trăm hoặc thậm chí hàng nghìn thiết bị, sau đó gửi tín hiệu thông qua hoạt động beaconing để khiến tất cả chúng hoạt động cùng một lúc. Một trong những cuộc tấn công này đã khiến Tạp chí InfoSecurity không thể truy cập được trong một thời gian ngắn vào năm 2021.

Một trong những kỹ thuật tấn công beaconing phổ biến nhất sử dụng Cobalt Strike , một công cụ kiểm tra khả năng thâm nhập. Các cuộc tấn công nhằm che giấu hoạt động beaconing đã tăng 161% từ năm 2019 đến năm 2020.

Cách chuyên gia bảo mật ngăn chặn các cuộc tấn công beaconing

Các cuộc tấn công beaconing có thể gây ra những hậu quả nghiêm trọng, nhưng không phải là không thể ngăn chặn. Một trong những cách tốt nhất mà các đội bảo mật chống lại chúng là tìm kiếm chính hoạt động đó. Trong khi tự phát sóng đến máy chủ C2, phần mềm độc hại cũng có thể vô tình tiết lộ vị trí của nó cho các nhóm bảo mật.

Một số phần mềm độc hại có thể ẩn khỏi phần mềm chống vi-rút nhưng hoạt động beaconing khó che giấu hơn. Những tín hiệu này ngắn và đều đặn, làm cho chúng khác biệt so với giao tiếp mạng bình thường (network communication). Các công cụ bảo mật tự động có thể phát hiện ra những tín hiệu này và tìm ra phần mềm độc hại.

Cách bảo vệ tốt nhất chống lại malware beaconing là ngăn chặn nó lây nhiễm vào thiết bị ngay từ đầu. Tường lửa mạnh mẽ hơn, công cụ phát hiện mối đe dọa hiệu quả hơn và hành vi người dùng an toàn hơn có thể ngăn phần mềm độc hại xâm nhập vào máy tính. Malware không thể báo hiệu (beacon) cho một tác nhân đe dọa nếu nó không có trên một thiết bị.

Nhiều cuộc tấn công hủy diệt bắt đầu với hoạt động beaconing

Beaconing thường là một dấu hiệu đầu tiên của một cuộc tấn công lớn hơn, như sự cố ransomware SolarWinds. Nó có thể che giấu dễ dàng hơn nên đã trở thành một lựa chọn yêu thích của tội phạm mạng. Mặc dù vậy,, các chuyên gia bảo mật vẫn có thể ngăn chặn nó. 

Có kiến ​​thức phong phú về định nghĩa beaconing và cách tội phạm mạng sử dụng nó có thể giữ cho các công ty an toàn. Hiểu được các mối đe dọa ảnh hưởng đến hệ thống như thế nào giúp bạn dễ dàng phát hiện và bảo vệ chúng hơn.

Dịch từ: https://www.makeuseof.com/what-is-beaconing-in-security/

Vân Nguyễn