Fileless Malware là gì?
Fileless Malware (mã độc không file) là một dạng mã độc đặc biệt, không lưu trữ dưới dạng tệp trên ổ cứng mà hoạt động trực tiếp trong bộ nhớ RAM.
Khác với virus hay trojan truyền thống thường cài đặt phần mềm độc hại, loại mã độc này tận dụng chính các công cụ và tiến trình hợp pháp có sẵn trong hệ điều hành, chẳng hạn như PowerShell, Windows Management Instrumentation (WMI), MSHTA hoặc macro trong Microsoft Office.
Thuật ngữ “Fileless Malware” bắt đầu được sử dụng phổ biến từ đầu những năm 2000, gắn liền với các chiến dịch tấn công mạng quy mô lớn như Code Red (2001) hay SQL Slammer (2003).
Những mã độc này có khả năng lây lan cực nhanh mà không để lại tệp độc hại trên ổ đĩa, toàn bộ hoạt động diễn ra trong bộ nhớ.
Theo chuyên gia an ninh mạng Lenny Zeltser, sự xuất hiện của các cuộc tấn công này đánh dấu sự phổ biến của khái niệm “fileless”, mô tả một dạng mã độc khó phát hiện và gần như “vô hình” trước các biện pháp bảo mật truyền thống.
Vì sao Fileless Malware nguy hiểm?
Theo SentinelOne, điểm đáng lo ngại nhất của Fileless Malware nằm ở chỗ nó không để lại dấu vết trên ổ cứng như virus hay trojan thông thường. Thay vì cài đặt một chương trình độc hại, mã độc này chạy trực tiếp trong bộ nhớ RAM, khiến các phần mềm diệt virus truyền thống – vốn dựa trên việc quét tệp – gần như bất lực trước hình thức tấn công này.
Đáng chú ý, Fileless Malware còn ẩn mình dưới vỏ bọc hợp pháp. Tin tặc khai thác những công cụ sẵn có của hệ điều hành như PowerShell, Windows Management Instrumentation (WMI) hay macro trong Microsoft Office. Đây đều là công cụ hợp pháp, khó phân biệt giữa hoạt động bình thường và hành vi bị lợi dụng cho mục đích độc hại.
Một thách thức khác là khả năng truy vết hạn chế. Do chỉ tồn tại trong RAM, khi máy tính tắt, phần lớn dấu vết của Fileless Malware cũng biến mất, gây khó khăn cho việc điều tra và thu thập bằng chứng.
Không dừng lại ở đó, loại mã độc này có thể duy trì hiện diện lâu dài trong hệ thống thông qua các thiết lập như Registry, tác vụ hẹn giờ (Scheduled Tasks) hoặc sự kiện WMI. Nhờ vậy, ngay cả khi hệ thống khởi động lại, Fileless Malware vẫn có thể kích hoạt và tiếp tục hoạt động.
Chính nhờ cơ chế hoạt động tinh vi và khó phát hiện này, Fileless Malware thường ẩn náu lâu dài trong hệ thống, tạo điều kiện cho tin tặc thu thập thông tin, leo thang đặc quyền hoặc chuẩn bị cho những đợt tấn công quy mô lớn.
Đây là lý do các chuyên gia an ninh mạng đánh giá Fileless Malware là một trong những mối đe dọa nguy hiểm bậc nhất hiện nay.
Cách phòng ngừa và phát hiện Fileless Malware
Khác với các loại virus truyền thống thường để lại dấu vết trên ổ cứng, Fileless Malware ẩn náu trực tiếp trong bộ nhớ, khiến nhiều phần mềm diệt virus dựa trên cơ chế quét tệp trở nên kém hiệu quả. Điều này buộc các chuyên gia an ninh mạng phải tìm kiếm những biện pháp phòng vệ toàn diện và linh hoạt hơn.
1. Giám sát hành vi theo thời gian thực
Theo CrowdStrike, chìa khóa nằm ở khả năng phân tích tiến trình đang chạy để phát hiện hành vi bất thường, ngay cả khi không có tệp độc hại nào xuất hiện. Đây cũng là lý do “phòng thủ dựa trên chữ ký” dần nhường chỗ cho phương pháp dựa trên hành vi.
2. Thu hẹp bề mặt tấn công
Microsoft Defender khuyến nghị kiểm soát chặt chẽ quyền truy cập vào các công cụ thường bị lợi dụng như PowerShell, WMI hay macro trong Microsoft Office. Việc tắt macro theo mặc định và chỉ cấp quyền cho đối tượng thực sự cần thiết giúp giảm đáng kể nguy cơ xâm nhập.
3. Cập nhật và vá lỗ hổng kịp thời
Fortinet cảnh báo rằng các lỗ hổng chưa được vá là “cửa ngõ vàng” cho tấn công fileless. Do đó, cập nhật hệ điều hành và phần mềm thường xuyên không chỉ là thói quen tốt mà còn là lá chắn quan trọng chống lại những chiến dịch tấn công tinh vi.
4. Nâng cao nhận thức an ninh mạng
Theo Palo Alto Networks, yếu tố con người đóng vai trò quyết định. Nhiều cuộc tấn công fileless bắt nguồn từ email lừa đảo hoặc tài liệu chứa macro độc hại. Vì vậy, đào tạo và nâng cao ý thức cảnh giác cho nhân viên chính là một “lá chắn mềm” nhưng cực kỳ hiệu quả.
Tựu trung lại, Fileless Malware có thể xem là “mã độc tàng hình” trong thế giới số: không để lại tệp trên ổ cứng, chỉ hoạt động trong bộ nhớ và khéo léo lợi dụng công cụ hợp pháp để che giấu. Chính vì vậy, việc bảo vệ hệ thống không chỉ phụ thuộc vào công cụ bảo mật, mà còn đòi hỏi sự cảnh giác thường xuyên của người dùng.
Cập nhật hệ thống, kiểm soát các tính năng dễ bị khai thác và trang bị kiến thức an toàn thông tin là những bước đi thiết thực để giảm thiểu rủi ro. Khi công nghệ và con người cùng chủ động, những mối đe dọa “vô hình” như Fileless Malware sẽ khó có cơ hội gây hại lâu dài.
