Đề án Thạc sĩ: Nghiên cứu phát triển fileless malware phục vụ kiểm thử an toàn thông tin

Trong bối cảnh không gian mạng ngày càng phức tạp và các mối đe dọa an toàn thông tin (ATTT) không ngừng gia tăng, việc chủ động đánh giá và tăng cường khả năng phòng thủ của các tổ chức trở nên cấp thiết hơn bao giờ hết. Các phương pháp kiểm thử ATTT truyền thống, mặc dù hữu ích, đôi khi không đủ để mô phỏng các kỹ thuật tấn công tinh vi mà tội phạm mạng sử dụng. Một trong những xu hướng tấn công nguy hiểm và khó phát hiện bậc nhất hiện nay là fileless malware (mã độc không tệp). Loại mã độc này, với khả năng hoạt động chủ yếu trong bộ nhớ và tận dụng các công cụ hợp pháp có sẵn trên hệ thống (Living Off The Land - LOTL), đặt ra thách thức lớn cho các giải pháp bảo mật truyền thống. Đề án này tập trung vào việc nghiên cứu và phát triển các kỹ thuật fileless malware nhằm phục vụ kiểm thử an toàn thông tin, từ đó nâng cao năng lực phòng thủ và đối phó với các mối đe dọa ngày càng tinh vi.

Các chuyên gia an toàn thông tin, nhà nghiên cứu bảo mật, kỹ sư kiểm thử xâm nhập (pentester), sinh viên và giảng viên chuyên ngành an toàn thông tin, cũng như các tổ chức quan tâm đến bảo vệ hệ thống khỏi các mối đe dọa mạng tiên tiến.

Đề án này đi sâu nghiên cứu và phát triển các kỹ thuật fileless malware nhằm mục đích tăng cường khả năng kiểm thử an toàn thông tin và nâng cao năng lực phòng thủ chống lại các mối đe dọa mạng tiên tiến. Luận văn bắt đầu bằng việc trình bày cơ sở lý thuyết về fileless malware, bao gồm định nghĩa, lịch sử phát triển, vòng đời tấn công, và so sánh với malware truyền thống. Đặc biệt, nó phân tích các cơ chế phát hiện mã độc của các giải pháp Antivirus (AV) và Endpoint Detection and Response (EDR), đồng thời chỉ ra những thách thức cố hữu khi phát hiện mã độc không tệp.
Tiếp theo, nghiên cứu đi sâu vào các kỹ thuật tấn công fileless malware phổ biến như lạm dụng PowerShell, WMI, kỹ thuật thực thi trong bộ nhớ, và các phương pháp Living Off The Land (LOTL). Đề án cũng khám phá các chiến lược bypass hiệu quả để vượt qua các cơ chế phát hiện của AV/EDR. Từ đó, các module Proof of Concept (PoC) an toàn và có kiểm soát đã được phát triển dựa trên các kỹ thuật này, có khả năng triển khai payload C2 như Mythic Hannibal.
Mục tiêu thực nghiệm bao gồm việc xây dựng môi trường lab an toàn, thiết kế và thực hiện các kịch bản tấn công thực tế sử dụng các PoC này để đánh giá hiệu quả của các kỹ thuật bypass trên các giải pháp AV cụ thể như Windows Defender và Microsoft Defender for Endpoint. Kết quả mong đợi là một báo cáo phân tích chi tiết, bộ mã nguồn PoC, và đánh giá thực nghiệm về khả năng bypass của fileless malware, cùng với các đề xuất giải pháp nâng cao khả năng phát hiện và phòng chống. Nghiên cứu này cung cấp cái nhìn sâu sắc và công cụ thiết thực cho các chuyên gia an toàn thông tin để đối phó hiệu quả hơn với các cuộc tấn công mã độc không tệp ngày càng tinh vi.