Trong bối cảnh an ninh mạng ngày càng phức tạp, các chuyên gia tội phạm mạng tinh vi đang ưa chuộng các cuộc tấn công mạng “Living off the Land” (LotL). Khả năng ẩn mình khó tin của chúng là lý do chính. Thay vì triển khai mã độc dễ bị phát hiện, những kẻ tấn công sử dụng chính các công cụ đáng tin cậy mà đội ngũ IT dùng hàng ngày. Điển hình như PowerShell, Windows Management Instrumentation (WMI) và nhiều tiện ích tích hợp sẵn trên hầu hết mọi máy tính.

Living off the Land (LotL) là gì?

Các cuộc tấn công LotL là một chiến thuật tấn công mạng sử dụng các công cụ và tiện ích hệ thống hợp pháp, được cài đặt sẵn. Mục đích là để thực hiện các hoạt động độc hại, thay vì triển khai mã độc tùy chỉnh hay công cụ tấn công bên ngoài.

Những kẻ tấn công thường khai thác các tiện ích hệ thống phổ biến sau:

• PowerShell: Một môi trường dòng lệnh và scripting mạnh mẽ của Microsoft.
• Windows Management Instrumentation (WMI): Một giao diện quản lý cho phép truy cập dữ liệu và điều khiển hoạt động trên hệ thống Windows. Chi tiết về cách WMI bị lạm dụng có thể tìm thấy tại đây.
• PsExec: Công cụ cho phép thực thi tiến trình trên hệ thống từ xa.
• Bitsadmin: Công cụ dòng lệnh để tạo, quản lý và giám sát các tác vụ truyền tải file.
• Net Command: Dùng để quản lý các tài nguyên mạng, người dùng, nhóm.
• SvcUtil.exe: Tiện ích tạo mã máy khách cho các dịch vụ web.
• Mshta.exe: Tiện ích thực thi các tệp HTML ứng dụng (HTA).
• Certutil.exe: Tiện ích quản lý chứng chỉ, có thể được lạm dụng để tải xuống tệp.

Sự thành công của các cuộc tấn công này đến từ thách thức lớn. Đó là việc phân biệt giữa hoạt động quản trị hợp pháp và việc sử dụng độc hại cùng một công cụ. Hệ thống giám sát bảo mật thường coi đây là hoạt động bảo trì IT thông thường.

Vỏ bọc hoàn hảo này cho phép các mối đe dọa tinh vi hoạt động không bị phát hiện trong thời gian dài. Chúng đạt được mục tiêu thông qua các khả năng hệ thống đáng tin cậy, được cài đặt sẵn.

Hạn chế của Giải pháp Bảo mật Truyền thống trong Phát hiện Xâm nhập

Khi kẻ tấn công sử dụng các công cụ hệ thống hợp pháp, phần mềm bảo mật truyền thống thường cho rằng mọi thứ đều bình thường. Điều này cho phép chúng đi qua mà không bị kiểm tra. Điều này có thể giữ cho các mối đe dọa ẩn mình trong nhiều tháng, trong khi kẻ xâm nhập âm thầm đánh cắp dữ liệu hoặc cài đặt backdoor.

Bảo mật dựa trên chữ ký rất hiệu quả trong việc phát hiện những kẻ sử dụng các phương pháp tấn công đã biết trước đó. Tuy nhiên, nó hoàn toàn bất lực khi đối mặt với những kẻ sử dụng công cụ hợp pháp và sự sáng tạo.

Khi một kẻ tấn công khởi chạy PowerShell hoặc WMI, không có chữ ký độc hại nào để phát hiện. Đây là những tiện ích đáng tin cậy mà đội ngũ IT của bạn sử dụng hàng chục lần mỗi ngày.

Các quy tắc tĩnh cũng gặp phải vấn đề tương tự. Bạn không thể cấm PowerShell khỏi mạng mà không làm ảnh hưởng đến hoạt động IT của mình. Điều này giống như cố gắng ngăn chặn cướp ngân hàng bằng cách cấm tất cả nhân viên bảo vệ mang theo chìa khóa.

Các hệ thống dựa trên quy tắc cố gắng khắc phục lỗ hổng này bằng cách gắn cờ các hoạt động đáng ngờ tiềm ẩn. Tuy nhiên, chúng thường gây ra tình trạng “mệt mỏi vì cảnh báo” với quá nhiều cảnh báo sai (false positives). Đồng thời, chúng vẫn bỏ lỡ các cuộc tấn công mạng tinh vi.

Vai trò của Học máy (ML) trong Phát hiện LotL

Học máy (ML) đang thay đổi cuộc chơi. Nó nhận ra khi hành vi của ai đó không hoàn toàn khớp với thông tin đăng nhập của họ, ngay cả khi mọi thứ trông có vẻ hợp pháp. ML thực hiện điều tương tự như não bộ con người, nhưng với sự chú ý chi tiết hơn.

Hệ thống ML giám sát mọi quá trình thực thi, đối số dòng lệnh, kết nối mạng và truy cập tệp trên toàn bộ cơ sở hạ tầng của bạn. Nó học được điều gì là “bình thường” đối với mỗi người dùng, hệ thống và công cụ.

Ví dụ, PowerShell thực thi một lệnh được mã hóa base64, chạy vào thời điểm bất thường, được kích hoạt bởi một tiến trình cha (parent process) lạ. Đồng thời, nó ngay lập tức bắt đầu tạo kết nối mạng đến các tên miền đáng ngờ. Mỗi yếu tố riêng lẻ có thể được giải thích, nhưng sự kết hợp tạo ra một mẫu không phải là công việc IT hàng ngày.

Một hệ thống ML được đào tạo với đủ dữ liệu có thể phát hiện những sự kết hợp tinh vi này. Điều này giúp chúng không bị bỏ qua bởi các công cụ bảo mật truyền thống và các nhà phân tích giàu kinh nghiệm.

Hiệu quả của ML đạt được khi các phương pháp tiếp cận ML khác nhau hoạt động cùng nhau. Các mô hình học có giám sát (supervised learning) giống như có một người cố vấn. Họ đã chứng kiến hàng nghìn cuộc tấn công mạng trước đây và có thể phát hiện các kỹ thuật họ nhận ra từ quá trình đào tạo.

Học không giám sát (unsupervised learning) giống như có một người mới quan sát cực kỳ tinh ý. Họ nhận thấy những điều bất thường ngay cả khi không thể giải thích chính xác lý do. Các tổ chức phải áp dụng các phương pháp phát hiện dựa trên ML để đi trước các chiến thuật LotL đang phát triển.

Nguồn Dữ liệu Quan trọng cho Phát hiện Dựa trên ML

Hiệu quả của việc phát hiện dựa trên ML phụ thuộc vào việc thu thập dữ liệu toàn diện. Dữ liệu này cần nắm bắt đầy đủ ngữ cảnh của các hoạt động hệ thống. Điều này giống như việc có các camera an ninh không chỉ ghi lại ai vào tòa nhà mà còn theo dõi nhiều yếu tố khác. Ví dụ như mô hình đi bộ của họ, họ nói chuyện với ai, họ ở trong mỗi phòng bao lâu, và liệu hành vi của họ có khớp với mục đích đã nêu khi họ ở đó hay không.

Dữ liệu Telemetry Điểm cuối (Endpoint Telemetry)

Telemetry điểm cuối cung cấp lớp dữ liệu nền tảng. Các sự kiện tạo tiến trình (process creation events) có thể tiết lộ công cụ nào tin tặc đã sử dụng và toàn bộ ngữ cảnh. Bao gồm các đối số dòng lệnh, mối quan hệ tiến trình cha-con, thời gian thực thi và điều kiện môi trường.

Khả năng hiển thị chi tiết này cho phép các mô hình ML phân biệt giữa các tác vụ quản trị thường xuyên và các hoạt động có khả năng độc hại sử dụng cùng một công cụ.

Phân tích đối số dòng lệnh có thể đặc biệt có giá trị. Kẻ tấn công thường sử dụng các tham số cụ thể hoặc kỹ thuật che giấu (obfuscation) khác với các mẫu quản trị điển hình.

Theo dõi phả hệ tiến trình (process genealogy tracking) tiết lộ các chuỗi thực thi. Chúng có thể chỉ ra việc di chuyển ngang (lateral movement) hoặc cố gắng leo thang đặc quyền (privilege escalation).

Phân tích Lưu lượng Mạng và Dữ liệu Hành vi

Phân tích lưu lượng mạng tương quan việc sử dụng công cụ hệ thống với các giao tiếp bên ngoài. Điều này giúp xác định các nỗ lực đánh cắp dữ liệu (data exfiltration) hoặc giao tiếp điều khiển và kiểm soát (command-and-control). Đây là những loại giao tiếp mà bảo mật vành đai truyền thống có thể bỏ lỡ.

Tích hợp Phân tích Hành vi Người dùng và Thực thể (UEBA) bổ sung ngữ cảnh quan trọng. Nó xem xét vai trò người dùng, các mẫu truy cập điển hình và các đường cơ sở hành vi lịch sử. Điều này đặc biệt hữu ích cho việc phát hiện xâm nhập dựa trên hành vi.

Tích hợp với nguồn cấp dữ liệu tình báo mối đe dọa (threat intelligence feeds) tăng cường độ chính xác phát hiện. Nó kết hợp các chỉ số độc hại đã biết và các kỹ thuật tấn công mới nổi. Điều này giúp các mô hình ML nhận diện các mối đe dọa. Đồng thời, nó giảm tỷ lệ cảnh báo sai thông qua hiểu biết ngữ cảnh về các hoạt động kinh doanh hợp pháp.

Tìm hiểu thêm về các chỉ số mối đe dọa trên CISA.gov.

Thách thức và Giải pháp Triển khai Hệ thống ML Bảo mật

Mặc dù có những lợi thế đáng kể, các hệ thống phát hiện dựa trên ML cũng đặt ra một số thách thức trong việc triển khai và vận hành. Các tổ chức phải giải quyết chúng một cách cẩn thận để chống lại các tấn công mạng phức tạp.

Tỷ lệ Cảnh báo Sai (False Positive Rates)

Tỷ lệ cảnh báo sai là một mối quan tâm chính. Đặc biệt là trong các giai đoạn triển khai ban đầu khi các mô hình thiết lập các mẫu hành vi cơ sở. Các hoạt động quản trị hợp pháp nhưng bất thường có thể kích hoạt cảnh báo, có khả năng làm quá tải các nhóm vận hành bảo mật. Họ sẽ phải xử lý các sự kiện lành tính cần điều tra và xử lý.

Trôi Mô hình (Model Drift) và Sự Thích nghi của Kẻ Tấn công

Trôi mô hình là một yếu tố quan trọng khác. Các phương pháp tấn công và môi trường tổ chức liên tục phát triển. Các mô hình ML yêu cầu đào tạo lại thường xuyên với dữ liệu hiện tại để duy trì hiệu quả và độ chính xác của việc phát hiện.

Những kỹ thuật này đại diện cho một thách thức liên tục. Những kẻ tấn công có kinh nghiệm điều chỉnh chiến thuật của mình. Mục đích là để vượt qua các mẫu phát hiện mà hệ thống ML đã học được thông qua các chu kỳ đào tạo trước đó.

Chuyên môn và Giám sát của Con người

Hệ thống ML đòi hỏi chuyên môn đặc biệt để triển khai, bảo trì và quản lý liên tục hiệu quả. Các tổ chức phải đầu tư đáng kể vào việc đào tạo nhân viên bảo mật. Họ cần giải thích chính xác các cảnh báo do ML tạo ra, hiểu quy trình ra quyết định của mô hình và duy trì hiệu suất hệ thống tối ưu theo thời gian.

Giám sát của con người vẫn là điều cần thiết. Các hệ thống tự động có thể bỏ lỡ thông tin ngữ cảnh mà các nhà phân tích bảo mật có kinh nghiệm sẽ nhận ra là quan trọng hoặc lành tính.

Các Thực tiễn Tốt nhất để Phát hiện LotL Dựa trên ML

Triển khai ML thành công đòi hỏi một nền tảng thu thập dữ liệu chất lượng cao, toàn diện. Dữ liệu này phải đến từ tất cả các điểm cuối và phân đoạn mạng quan trọng. Các tổ chức nên ưu tiên ghi nhật ký rộng rãi các sự kiện tạo tiến trình, các đối số dòng lệnh chi tiết, các mẫu kết nối mạng và các hoạt động hệ thống tệp. Điều này nhằm cung cấp cho các mô hình ML đủ thông tin ngữ cảnh để phân tích hành vi chính xác.

Các Yếu tố Thành công Quan trọng khác

• Lựa chọn chỉ số hành vi: Cẩn thận chọn các chỉ số hành vi. Chúng cần cung cấp sự khác biệt có ý nghĩa giữa các hoạt động quản trị hợp pháp và việc sử dụng công cụ độc hại. Quá trình lựa chọn này đòi hỏi sự hiểu biết sâu sắc về các mẫu hoạt động bình thường và các phương pháp tấn công mạng tiêu chuẩn.
• Kiến trúc phát hiện lai (Hybrid Detection Architectures): Kết hợp khả năng ML với các quy tắc được xây dựng chuyên nghiệp và tình báo mối đe dọa hiện tại. Điều này tạo ra các hệ thống phát hiện mạnh mẽ và đáng tin cậy hơn bất kỳ cách tiếp cận đơn lẻ nào được triển khai riêng lẻ. Phương pháp tích hợp này tận dụng thế mạnh nhận dạng mẫu của ML. Đồng thời, nó kết hợp chuyên môn của con người và các chỉ số mối đe dọa đã được thiết lập từ các nguồn trong ngành.
• Đánh giá và tinh chỉnh liên tục: Đánh giá, giám sát hiệu suất và tinh chỉnh hệ thống ML một cách có hệ thống. Điều này để đảm bảo hiệu quả bền vững khi các mẫu sử dụng hợp pháp và kỹ thuật tấn công phát triển.
• Quy trình phản ứng sự cố: Thiết lập các quy trình toàn diện để điều tra cảnh báo và phản ứng sự cố. Cung cấp đào tạo chuyên biệt cho các nhóm bảo mật để giải thích các phát hiện do ML tạo ra một cách hiệu quả và duy trì hiệu suất hệ thống tối ưu thông qua các chu kỳ hoạt động liên tục.

Xu hướng Tương lai trong Phát hiện LotL

Những tiến bộ trong Trí tuệ Nhân tạo có thể giải thích được (Explainable AI – XAI) giải quyết một trong những hạn chế chính của các công cụ bảo mật dựa trên ML. Nó cung cấp thông tin chi tiết rõ ràng hơn về việc tạo ra các cảnh báo cụ thể. Tính minh bạch này giúp các nhà phân tích bảo mật hiểu các quyết định của mô hình và xây dựng lòng tin vào khả năng phát hiện tự động.

Phát triển công cụ mã nguồn mở và chia sẻ trong cộng đồng đang đẩy nhanh đổi mới trong các kỹ thuật phát hiện LotL. Những nỗ lực hợp tác cho phép các tổ chức hưởng lợi từ tình báo mối đe dọa và phương pháp phát hiện được chia sẻ. Điều này cải thiện khả năng phòng thủ tổng thể trên các ngành.

Các cuộc tấn công mạng LotL đại diện cho một thách thức cơ bản đối với các phương pháp an ninh mạng truyền thống. Tuy nhiên, ML mang lại một giải pháp đầy hứa hẹn thông qua phân tích hành vi và phát hiện bất thường. Các hệ thống dựa trên ML có thể xác định các mối đe dọa tinh vi. Chúng vượt qua các biện pháp bảo mật thông thường bằng cách tập trung vào cách kẻ xấu sử dụng công cụ hợp pháp.

Thành công đòi hỏi cam kết học hỏi liên tục, cải thiện mô hình và các chiến lược bảo mật thích ứng. Khi những kẻ tấn công mạng trở nên tinh vi hơn, khả năng phòng thủ phải phát triển tương ứng. Điều này khiến ML trở nên hữu ích và thiết yếu cho các hoạt động an ninh mạng hiện đại.