TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG BỘ MƠN MÃ ĐỘC MÁY TÍNH BÁO CÁO ĐỀ TÀI THẢO LUẬN Đề tài: MÃ ĐỘC TRONG TẤN CÔNG APT Giáo viên hướng dẫn : Vũ Việt Dũng Sinh viên thực : Vũ Thanh Tùng Lớp : ATTT – K17A MÃ ĐỘC TRONG TẤN CÔNG APT I : Trình bày mã độc 1.1 Khái niệm APT tên viết tắt Advanced Persistent Threat - thuật ngữ rộng dùng để mô tả chiến dịch công, thường nhóm kẻ cơng, sử dụng kỹ thuật cơng nâng cao để diện tồn lâu dài mạng Internet nhằm khai thác liệu có độ nhạy cảm cao Tấn công mạng dạng APT kiểu công có chủ đích khó phát hiện, hacker lợi dụng lỗ hỏng bảo mật phần mềm (zeroday malware) công thông qua malware tiên tiến mà phần mềm virus phát Mục tiêu vụ công này, thường lựa chọn nghiên cứu cẩn thận Chúng thường bao gồm doanh nghiệp lớn, tổ chức an ninh quan phủ Hậu công lớn:  Bị đánh cắp tài sản trí tuệ (ví dụ: bí mật thương mại sáng chế…)  Thơng tin nhạy cảm bị xâm nhập (ví dụ: liệu nhân nhân viên…)  Cơ sở hạ tầng quan trọng tổ chức bị phá hủy (ví dụ: sở liệu, máy chủ quản trị…)  Chiếm đoạt toàn tên miền tổ chức Thực cơng APT địi hỏi nhiều tài ngun cơng ứng dụng web bình thường Nhưng kẻ phạm tội thường nhóm tội phạm mạng có kinh nghiệm có hỗ trợ tài lớn Một số cơng APT cịn phủ tài trợ sử dụng làm vũ khí chiến tranh mạng Các kỹ thuật công phổ biến như: RFI, SQL injection, XSS, lừa đảo thường kẻ công sử dụng để thiết lập chỗ đứng mạng mục tiêu Tiếp theo, mã độc thường sử dụng để mở rộng phạm vi trì diện mạng mục tiêu 1.2 Miêu tả cụ thể mã độc APT a Cách giao tiếp APT không cụ thễ, rõ ràng không để lại signature nên chương trình anti-virus phát b Malware APT phát tán hệ thống có khoảng thời gian cụ thể tiến hành công c Sử dụng công nghệ tiên tiến lợi dụng lỗ hỏng zero-day phần mềm (các phần mềm chưa cập nhật vá – patches từ nhà cung cấp) II : Vòng đời hoạt động APT “Vòng đời” công APT mô tả theo ba giai đoạn sau, giai đoạn có nhiều bước Giai đoạn 1: Xâm nhập Các doanh nghiệp thường bị xâm nhập thông qua đường sau: ứng dụng web, tài nguyên mạng bất cẩn nhân viên Bắt đầu kẻ công thường cố gắng tải lên tệp tin độc hại thông qua lỗ hổng web, ứng dụng mạng qua kỹ thuật công lừa đảo, mối đe dọa mà tổ chức lớn phải đối mặt Ngồi ra, kẻ cơng dồng thời thực cuốc công DDOS chống lại mục tiêu Điều thường dùng để đánh lạc hướng nhân viên quản trị, làm cho họ cảnh giác Khi thâm nhập vào mạng mục tiêu, kẻ cơng nhanh chóng cài đặt cửa hậu để truy cập dễ dàng hơn, mã độc hoạt động ẩn cho phép truy cập từ xa Mã độc đến từ loại Trojan đánh dấu phần mềm hợp pháp Giai đoạn 2: Mở rộng phạm vi Sau đứng vững mạng mục tiêu, kẻ công chuyển sang mở rộng diện họ mạng mục tiêu Kẻ công thực rà quét hệ thống khác mạng, thu thập thông tin nhân viên, thực phát tán mã độc để chiếm quyền truy cập vào liệu nhạy cảm Bằng cách này, kẻ cơng thu thập thông tin kinh doanh quan trọng, bao gồm thông tin dòng sản phẩm, liệu nhân viên hồ sơ tài Tùy thuộc vào mục tiêu cơng cuối cùng, dự liệu tích lũy bán cho công ty cạnh tranh, sửa đổi phá hủy dịng sản phẩm cơng ty sử dụng để chiếm toàn tổ chức Nếu động lực phá hoại, giai đoạn sử dụng để kiểm soát chức quan trọng thao tác chúng theo trình tự để gây thiệt hại tối đa Chắc hạn việc kẻ công xóa tồn sở liệu cơng ty làm sập hệ thống mạng để kéo dài thời gian khôi phục liệu Giai đoạn 3: Khai thác Trong công APT tiến hành, thông tin bị đánh cắp thường lưu trữ vị trí an tồn mạng bị cơng Khi liệu thu thập đủ, kẻ công phải xuất liệu mà không bị phát Thông thường, chiến thuật gây nhiễu loạn sử dụng để đánh lừa đội ngũ bảo vệ cơng ty để thơng tin chuyển ngồi Điều xảy dạng công DDOS, rà quét website ứng dụng mạng III : Các cách thức mà APT lây nhiễm hoạt động? APT lây nhiễm qua nhiều thức khác nhau: a) Phương thích lợi dụng người qua Spear phising Email hay cịn gọi Social Engineering Attacks, cơng thơng qua trang web giả mạo nhằm lợi dụng nhiều người tải file malware từ Internet b) Sử dụng phần mềm/giao thức remote tạo cửa hậu cho phép hacker đánh cắp liệu mà không bị phát hiện, sử dụng C&C Server điều khiển máy bị nhiễm nhằm đánh cắp liệu phá hoại hệ thống mạng c) Sử dụng nhiều biện pháp khác bao gồm lợi dụng bẻ khóa mật Administrator nhằm đánh cắp thơng tin tài khoản quan trọng bao gồm hệ thống Windows Domain Tác hại/mục tiêu công APT nào? a Tác hại: o Mất thông tin cá nhân, quan trọng nhân viên khách hàng o Thiệt hại danh tiếng doanh nghiệp o Mất quyền sỡ hữu trí tuệ vấn đề liên quan đến luật pháp, tài o Mất sẵn sàng hệ thống làm ảnh hưởng đến hoạt động kinh doanh doanh nghiệp b Mục tiêu: o o o o Đánh cắp thông tin liệu quan trọng từ đối tượng Giám sát theo dõi đối tượng bị công Phá hoạt đối tương bị cơng APT Thu thập thơng tin tình báo có tính chất thù địch o Đánh cắp liệu bán lại bí mật kinh doanh cho đối thủ o Làm uy tín quan tổ chức o Phá hoại, gây bất ổn hạ tầng CNTT, viễn thơng, điện lực… c Một số ví dụ điển hình công APT: Tháng 3/2013, cán ngành Cơng an có nhận thư điện tử gửi đích danh từ địa email mang tên cán thuộc Bộ Khoa học Công nghệ Email có chữ ký với đầy đủ thơng tin, số điện thoại di động người gửi, kèm theo tập văn đính kèm cơng văn mang tên “CV xin xác nhận LLKH- CN.doc” Nhận thấy email có số điểm nghi vấn, đồng chí liên lạc với người gửi biết hộp thư email thực bị đánh cắp password từ lâu chủ sở hữu quyền sử dụng Người gửi email không quen biết cán công an Bằng biện pháp nghiệp vụ, quan chuyên môn xác định email gửi lên máy chủ Yahoo từ máy tính nối mạng có địa IP 118.145.2.250 nước ngồi, thông qua công ty cung cấp dịch vụ internet nước Cơ quan cảnh sát khẳng định virus backdoor có chức gửi truy vấn tới máy chủ có địa IP 182.242.233.53 nước ngồi thơng qua nhà cung cấp dịch vụ Nếu không bị phát ngăn chặn, virus bắt đầu trình âm thầm đánh cắp liệu mà nạn nhân Qua ví dụ thấy, rõ ràng kẻ công nghiên cứu kỹ nạn nhân mà định nhằm tới, từ chức danh đến nội dung công việc thực Với cách tiếp cận này, làm việc không gian mạng mà không cảnh giác dễ dàng bị “mắc bẫy” Kẻ cơng tổ chức cơng từ bên biên giới hoàn toàn “ảo” Điều làm cho việc truy xét, tìm thủ phạm để ngăn chặn truy cứu trách nhiệm khó khăn Kỹ thuật cơng hồn tồn khơng có đặc biệt: kẻ cơng đánh cắp mật người trung gian, giả mạo thư điện tử, cài đặt backdoor… Đây kỹ thuật xuất từ lâu tồn phổ biến https://www.vietnamplus.vn/fireeye-cong-bo-nhom-tin-tac-tan-cong-viet-namtrong-10-nam-qua/324418.vnp (Nhóm APT30 cơng APT việt nam 10 năm) https://vietgiaitri.com/sau-vu-vietnam-airlines-bi-hack-vncert-cong-bo-nhung-madoc-can-ngan-chan-20160804i2553606/ https://zingnews.vn/web-vietnam-airlines-bi-hack-lo-400000-du-lieu-khach-hangpost669677.html (Web Vietnam Airlines bị hack, lộ 400.000 liệu khách hàng) https://nld.com.vn/cong-nghe/canh-bao-ve-dot-tan-cong-apt-vao-to-chuc-nganhang-tai-viet-nam-20180724115239594.htm (tấn công APT vào tổ chức, ngân hàng Việt Nam) http://ictvietnam.vn/nhung-bai-hoc-rut-ra-tu-cuoc-tan-cong-mang-apt-vaosinghealth-4509.htm công APT vào Tổ chức Y tế lớn Singapore SingHealth Demo công APT https://www.facebook.com/watch/?v=228926144441776 IV : Phát ngăn chặn công APT Việc phát ngăn chặn công APT cần phải có phương pháp tiếp cận nhiều mặt nhà quản trị mạng, nhà cung cấp bảo mật người dùng cá nhân Giám sát đường truyền Theo dõi lưu lượng truy cập vào xem phương pháp tốt để ngăn chặn việc cài cắm cửa hậu, ngăn chặn việc trích xuất liệu bị đánh cắp Kiểm tra lưu lượng truy cập mạng giúp cảnh báo cho nhân viên an ninh hành vi bất thường có liên quan tới hành vi công Một tường lửa ứng dụng web triển khai gateway giúp bảo ứng dụng web khỏi công RFI, SQL injection… thường dùng cho việc tiếp cận mạng tổ chức từ phía kẻ cơng Giám sát lưu lượng nội bộ, sử dụng tường lửa giúp cho quản trị viên xem xét chi tiết cách người dùng tương tác mạng công ty, đồng thời giúp xác định bất thường lưu lượng nội Whitelist ứng dụng tên miền Whitelist để kiểm sốt tên miền truy cập từ mạng công ty, ứng dụng cài đặt nhân viên cơng ty Đây phương pháp hữu ích khác để giảm tỷ lệ thành công cơng APT cách giảm thiểu bề mặt bị công Tuy nhiên, biện pháp bảo mật khơng phải điều dễ dàng, tên miền ứng dụng đáng tin cậy bị xâm nhập Để có whitelist hiệu quả, phải thực thi sách cập nhật cách nghiêm ngặt để đảm bảo người dùng bạn chạy phiên ứng dụng xuất danh sách Kiểm soát truy cập Đối với kẻ công, nhân viên thường điểm yếu dễ bị công vì: Những nhân viên bất cẩn bỏ qua sách an ninh mạng vơ tình cấp quyền truy cập vào mối đe dọa tiềm ẩn Những nhân viên xấu cố ý lạm dụng thông tin người dùng họ để cấp quyền truy cập vào thủ phạm Người dụng bị thông tin mật thông tin sử dụng kẻ cơng Phát triển sách kiểm sốt hiệu u cầu có đánh giá tồn diện nhân viên tổ chức – đặc biệt thông tin mà họ truy cập Các thông tin quan trọng phải bảo đảm với xác thực hai yếu tố (2FA) Điều giúp cho thông tin quan trọng an toàn Các biện pháp khuyến cáo khác Ngoài biện pháp trên, biện pháp thực hành tốt để đảm bảo an toàn mạng bạn: - Vá phần mềm hệ điều hành nhanh - Mã hóa kết nối từ xa để tránh việc bị nghe đường truyền - Có lọc thư rác quét virus cho hệ thống mail - Thực chế ghi nhật ký để giám sát điều tra V : Chống lại APT Một điều dễ nhận thấy chuỗi thao tác, cần thao tác bị phát chặn đứng, cơng APT coi thất bại Nếu tình sau xảy cơng APT khó thành cơng:  Khơng có thơng tin nạn nhân (tên tuổi, địa email, số điện thoại,…), khơng có mơ tả hệ thống nạn nhân, việc đưa kịch cơng bế tắc  Khơng có điểm yếu, lỗ hổng hệ thống (lỗi hệ điều hành, lỗi ứng dụng, lỗi phần mềm bên thứ 3), kẻ công khơng có hội để lợi dụng lấn sâu, khai thác hệ thống  Phát ngăn chặn kịp thời kết nối tới máy chủ điều khiển  Phát ngăn chặn kịp thời hành động phát tán, cài đặt mã độc hại hệ thống 10 Chính cơng APT tỉ mỉ, bao gồm nhiều bước dường thiết kế riêng cho cá nhân, điểm yếu APT thành cơng với số nạn nhân định, thất bại môi trường nạn nhân thay đổi Từ nhận định này, số chun gia an tồn thơng tin giới đề xuất áp dụng mơ hình “Phomát Thụy sỹ – Swiss Cheese” để chống lại APT Nguyên tắc mô hình là: Một miếng phomat có lỗ thủng ta khéo léo sếp chúng so le với nhau, hệ thống bịt kín Từ nguyên tắc này, việc triển khai hành động cụ thể chống lại cơng APT theo số bước sau:  Nắm rõ giá trị tài ngun thơng tin hệ thống, từ xác định biện pháp cất giữ, bảo vệ cách phù hợp tài nguyên trọng yếu  Có hệ thống biện pháp an tồn thơng tin bản, phù hợp với thực trạng nhiệm vụ hệ thống Điều giúp nhà quản lý an tồn thơng tin tổ chức kịp thời phát chặn đứng khâu cơng Ví dụ: hệ thống SIEM giúp sớm phát hành vi luồng công  Luôn quan tâm tới luồng di chuyển liệu quan trọng, kiểm soát hành vi diễn tài nguyên trọng yếu hệ thống – công cụ tự động, hay thao tác quản lý hàng ngày 11  Kịp thời áp dụng biện pháp cụ thể, giải pháp, cơng cụ nhằm có “lát phomát” thích hợp, che kín lỗ hổng hệ thống APT sản phẩm “may đo”, biện pháp chưa cho hồn cảnh, song chúng góp phần vào định hướng để giúp hệ thống máy tính an tồn trước cơng APT dai dẳng, có chủ đích 12 ...MÃ ĐỘC TRONG TẤN CƠNG APT I : Trình bày mã độc 1.1 Khái niệm APT tên viết tắt Advanced Persistent Threat - thuật ngữ rộng dùng để mô tả chiến dịch công, thường nhóm kẻ cơng,... http://ictvietnam.vn/nhung-bai-hoc-rut-ra-tu-cuoc-tan-cong-mang -apt- vaosinghealth-4509.htm công APT vào Tổ chức Y tế lớn Singapore SingHealth Demo công APT https://www.facebook.com/watch/?v=228926144441776 IV : Phát ngăn chặn công APT Việc phát ngăn chặn công APT cần phải... cụ thể mã độc APT a Cách giao tiếp APT không cụ thễ, rõ ràng không để lại signature nên chương trình anti-virus phát b Malware APT phát tán hệ thống có khoảng thời gian cụ thể tiến hành công c