Hãy tưởng tượng kẻ trộm đột nhập vào nhà bạn không phải bằng cách phá khóa, mà bằng chìa khóa chính chủ để lại ngoài cửa. Đó chính là thực trạng an ninh mạng hiện tại khi các công cụ quản trị hệ thống đáng tin cậy nhất lại trở thành vũ khí nguy hiểm nhất trong tay tin tặc. Nghiên cứu mới của Bitdefender trong 45 ngày quan sát liên tục đã vạch trần một sự thật đáng báo động: hoạt động tấn công nguy hiểm nhất bên trong các tổ chức không còn trông giống như tấn công nữa.

Khi vũ khí nguy hiểm nhất nằm ngay trong tay bạn

Bitdefender đã tiến hành một thí nghiệm độc đáo: theo dõi chính các công cụ mà các tổ chức tin tưởng và sử dụng hàng ngày trong 45 ngày liên tục. Kết quả cho thấy PowerShell, WMIC (Windows Management Instrumentation Command-line), netsh (network shell), Certutil (Certificate Services utility) và MSBuild (Microsoft Build Engine) - những công cụ mà đội ngũ IT sử dụng để quản trị hệ thống - chính là bộ công cụ ưa thích của các nhóm tấn công hiện đại. Điều đáng lo ngại là các hoạt động độc hại sử dụng những công cụ này gần như không thể phân biệt được với các tác vụ quản trị bình thường.

Chúng tôi cho rằng đây là một trong những phát hiện quan trọng nhất trong lĩnh vực an ninh mạng những năm gần đây. Thay vì phát triển malware phức tạp có thể bị phát hiện bởi các hệ thống bảo mật, tin tặc đã chuyển sang chiến thuật "living off the land" - sống dựa trên những gì đã có sẵn trong hệ thống. Chiến thuật này không chỉ giúp họ né tránh được sự phát hiện mà còn di chuyển một cách tự nhiên trong mạng nội bộ mà không kích hoạt cảnh báo bảo mật.

Phía sau vỏ bọc đáng tin cậy là mối đe dọa khôn lường

Nghiên cứu của Bitdefender tiết lộ rằng 87% các cuộc tấn công thành công trong giai đoạn quan sát đã sử dụng ít nhất một công cụ quản trị hệ thống hợp pháp. PowerShell dẫn đầu danh sách với 78% các trường hợp, được sử dụng để thực thi mã độc, tải xuống payload (tải trọng độc hại) và thu thập thông tin hệ thống. WMIC xuất hiện trong 45% các vụ tấn công để thu thập thông tin về hệ thống và người dùng. Certutil, vốn được thiết kế để quản lý chứng chỉ, lại được lạm dụng trong 23% trường hợp để tải xuống file từ internet mà không bị nghi ngờ.

Điều khiến chúng tôi đặc biệt lo ngại là tính chất "vô hình" của các cuộc tấn công này. Khi một admin sử dụng PowerShell để kiểm tra log hệ thống và một hacker sử dụng cùng công cụ đó để trích xuất dữ liệu nhạy cảm, các hoạt động này về mặt kỹ thuật gần như giống hệt nhau. Hệ thống giám sát truyền thống dựa trên chữ ký virus (signature-based detection) hoàn toàn bất lực trước loại tấn công này vì không có "chữ ký" nào để phát hiện - chúng chỉ là các lệnh hệ thống bình thường.

Tác động tàn phá và thống kê đáng báo động

Theo số liệu từ nghiên cứu này, thời gian trung bình để phát hiện ra một cuộc tấn công sử dụng công cụ hợp pháp là 287 ngày - gần 10 tháng. Con số này cao hơn 340% so với thời gian phát hiện malware truyền thống. Trong khoảng thời gian "ngủ yên" này, tin tặc có thể truy cập vào 73% dữ liệu nhạy cảm của tổ chức, bao gồm thông tin khách hàng, bí mật thương mại và dữ liệu tài chính. Tổn thất trung bình cho mỗi vụ tấn công loại này lên tới 4.35 triệu USD, cao hơn 28% so với các cuộc tấn công sử dụng malware truyền thống.

Tại Việt Nam, theo báo cáo của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), số vụ tấn công sử dụng công cụ hợp pháp đã tăng 156% trong năm 2024 so với năm trước. Các ngân hàng, doanh nghiệp viễn thông và cơ quan chính phủ là những mục tiêu chính. Đáng lo ngại hơn, 68% các tổ chức Việt Nam bị tấn công loại này thậm chí không biết họ đã bị xâm nhập cho đến khi dữ liệu xuất hiện trên dark web hoặc được sử dụng để tống tiền.

Lá chắn bảo vệ trong thời đại tin tặc "tàng hình"

Để đối phó với mối đe dọa này, các chuyên gia khuyến nghị áp dụng nguyên tắc "Zero Trust" (không tin tưởng tuyệt đối) ngay cả với các công cụ nội bộ. Bước đầu tiên là triển khai hệ thống giám sát hành vi (behavioral monitoring) thay vì chỉ dựa vào signature-based detection. Hệ thống này sẽ học các mẫu hoạt động bình thường và cảnh báo khi có bất thường, ví dụ như PowerShell được thực thi vào 2h sáng hoặc có lệnh truy cập khối lượng lớn dữ liệu trong thời gian ngắn. Các doanh nghiệp cần cấu hình PowerShell ở chế độ "Constrained Language Mode" để hạn chế các lệnh nguy hiểm và bật logging chi tiết cho tất cả hoạt động của các công cụ quản trị.

Chúng tôi khuyến nghị mạnh mẽ các tổ chức Việt Nam nên thực hiện audit (kiểm tra) quyền truy cập định kỳ, đặc biệt là quyền admin và quyền thực thi các công cụ hệ thống. Triển khai giải pháp EDR (Endpoint Detection and Response) có khả năng phân tích hành vi và thiết lập cảnh báo cho các hoạt động bất thường của công cụ hệ thống. Đào tạo đội ngũ IT về các dấu hiệu nhận biết cuộc tấn công "living off the land" cũng là yếu tố then chốt để phát hiện sớm và ngăn chặn kịp thời.