Giấu tin trong ảnh - Kiểu tấn công nhiều doanh nghiệp vẫn chủ quan

Doanh nghiệp (DN) và người dùng cuối thường xuyên được nhắc nhở về việc nhấp vào những liên kết và tài liệu không đáng tin cậy. Tuy nhiên, việc nhấp chuột vào những hình ảnh không đáng tin cậy lại ít được khuyến cáo, trong khi những hình ảnh này lại tiềm ẩn rất nhiều nguy cơ.

Hình ảnh ít khi được xếp vào nhóm đầu danh sách về việc có những lỗ hổng bảo mật. Tuy nhiên, chúng ta vẫn phải thận trọng với những tệp tin tiềm ẩn nguy cơ này. Tại sao vậy? Vì các tin tặc có thể sử dụng những kỹ thuật ẩn mã hình ảnh (hay còn gọi là giấu tin trong ảnh -  image steganography) để thực hiện các hoạt động độc hại và cuối cùng là xâm phạm mạng doanh nghiệp.

Kỹ thuật giấu tin trong ảnh đã thích nghi với kỷ nguyên số. Kỹ thuật giấu tin (steganography) ban đầu được những cá nhân bất chính sử dụng nhằm trích xuất dữ liệu từ các tổ chức. Ví dụ, những tác nhân độc hại có thể chụp một bức ảnh gia đình, giấu những bí mật của công ty trong hình ảnh và gửi hình ảnh đó tới các email cá nhân của chúng  - tức là che giấu hoạt động gián điệp trong bức ảnh đơn giản. 

Ngày nay, tin tặc sử dụng kỹ thuật ẩn mã để làm xáo trộn các tải trọng (payload) được nhúng bên trong hình ảnh mà các biện pháp bảo mật truyền thống không thể phát hiện nhằm phát tán phần mềm độc hại.

Các cuộc tấn công steganography hoạt động như thế nào?

Mặc dù có nhiều dạng steganography, nhưng cách phổ biến nhất là sử dụng một công cụ được gọi là steghide (một công cụ dòng lệnh đơn giản để thực hiện việc giấu tin). Khi sử dụng steghide, tin tặc có xu hướng ẩn những payload trong các điểm ảnh. Chúng chuyển đổi payload thành chương trình mã hóa Base-64 và ẩn nó trong siêu dữ liệu. Nó thường được thêm vào dưới những trường siêu dữ liệu về chứng chỉ (certificate metadata) bởi trường chứng chỉ có độ dài vô hạn và mã hóa Base-64 thường được sử dụng trong trường này cho các chứng chỉ.

Hình ảnh độc hại có thể được phát tán dưới dạng một tệp đính kèm hoặc tin tặc có thể đăng hình ảnh trên một trang web công cộng kèm liên kết để cung cấp payload. Khi sử dụng phương pháp steghide, hình ảnh có thể bị sửa đổi một chút trên các bit và byte, nhưng khi tin tặc nhúng payload vào siêu dữ liệu thì hình ảnh không bị thay đổi chút nào. Điều này khiến cho việc phát hiện bằng mắt thường là gần như không thể.

Khi payload được phát tán, hầu hết các tin tặc tìm cách kết xuất mật khẩu băm của quản trị viên và kết nối thông qua giao thức điều khiển máy tính từ xa (Remote Desktop Protocol - RDP) với các nút khác trên mạng. Chúng sẽ xâm nhập càng nhiều máy tính càng tốt bằng cách triển khai ransomware và yêu cầu công ty mà chúng đã xâm nhập phải trả tiền - một kế hoặc sinh lợi cao cho các tin tặc. 

Các cuộc tấn công giấu tin trong ảnh là một xu hướng tấn công hấp dẫn cho các tác nhân đe dọa vì các bộ công cụ có thể dễ dàng truy nhập và tải xuống, đồng thời cũng bởi những cuộc tấn công này dễ dàng tránh được sự phát hiện của các giải pháp bảo mật truyền thống. 

Về mặt kỹ thuật, những công cụ sử dụng cho các cuộc tấn công này thậm chí còn không được coi là những công cụ tấn công (hack). Chúng có thể được tải xuống qua Linux shell một cách đơn giản như lệnh apt-get cài đặt steghide hay apt-get cài đặt exiftool (ứng dụng xem, sửa, xóa siêu dữ liệu).

Làm thế nào để các tổ chức có thể tránh được những kiểu tấn công này?

Tin tặc sử dụng giấu tin trong ảnh như một kỹ thuật lẩn tránh và kỹ thuật phát tán, vì sau khi tin tặc có quyền truy nhập vào một máy tính trong mạng công ty thì cả công ty sẽ mất quyền kiểm soát. Sau đó các tin tặc thường triển khai mã độc tống tiền (ransomware) hoặc payload khác mà chúng kiểm soát được. Vì xu hướng tấn công này thường hay bị bỏ ngỏ nên nhiều tổ chức dễ bị tấn công và có thể phải chịu những thiệt hại nếu họ không chủ động hơn trong các chiến lược bảo mật của mình.

Điều đầu tiên mà các tổ chức cần hiểu là những kiểu tấn công này rất tinh vi và không có quá trình đào tạo về nhận biết lừa đảo nào cho người dùng cuối để phát hiện những mối đe dọa này.

Việc triển khai các giải pháp bảo mật loại bỏ hoàn toàn người dùng cuối khỏi chương trình là cần thiết trong việc ngăn chặn những kiểu tấn công này khỏi việc xâm hại dữ liệu và các mạng của doanh nghiệp. Công nghệ cung cấp phương pháp tiếp cận cố định (deterministic approach) có thể xác định và chỉ cho phép thông qua những phần tử nội dung tốt với người dùng cuối – thay vì ngăn chặn mã độc và phát hiện không đáng tin cậy - là cách tốt nhất để các tổ chức tự bảo vệ mình.

Các chương trình phát hiện việc giấu tin được xây dựng có mục đích hiện nay là bằng chứng chứng minh tính khả thi nhưng còn chậm và có tỷ lệ phát hiện tương đối thấp nên chưa phù hợp với các công cụ bảo mật hiện đại hiện có trên thị trường. Để chống lại những kiểu đe dọa này, các DN cần ưu tiên và áp dụng các chiến lược tập trung vào các môi đe dọa của lỗ hổng  zero-day đang bị tin tặc lợi dụng để nhắm mục tiêu vào DN.