Tội phạm công nghệ cao năm 2011 định hướng phịng chống cơng mạng doanh nghiệp Đại tá TS Trần Văn Hịa Phó cục trưởng Cục cảnh sát phịng chống tội phạm sử dụng cơng nghệ cao Hanoi – 2012 Nội dung chính: 1- Tình hình tội phạm công nghệ cao năm 2012 2- Xu hướng dự báo tình hình tội phạm CNC thời gian tới 3- Giải pháp hướng dẫn doanh nghiệp phòng chống Viet Nam Hitech Crime Investigation Department Page Tình hình tội phạm công nghệ cao năm 2012 Một số hoạt động công mạng nguy hiểm mới: 1- Tấn cơng phần mềm gián điệp – trojan có chức năng: + Điều khiển từ xa; + Ghi thông tin gõ bàn phím; + Duyệt file liệu, lấy cắp thông tin; + Ghi log gửi qua email FTP; + Điều khiển bật webcam, chụp ảnh, chụp hình; + Mã hóa liệu gửi đi; + Tự động cập nhật lệnh từ trung tâm điều khiển; + Quét tập tin; + Chủ yếu lấy thông tin tài khoản ngân hàng Viet Nam Hitech Crime Investigation Department Page Tình hình tội phạm cơng nghệ cao năm 2012 Một số trojan nguy hiểm, lây lan là: - Trojan “Sinh Tử Lệnh” lây qua phần mềm Unikey, taọ Botnet - Zeus (phát tán rộng từ tháng năm 2009) - Spyeye (xuất từ tháng 12 năm 2009) - Trojan-Banker (xuất từ tháng năm 2009) - Ainslot.L (xuất từ tháng năm 2011) Viet Nam Hitech Crime Investigation Department Page Tình hình tội phạm cơng nghệ cao năm 2012 - Một biến thể ZeuS có tên ZitMo: lây nhiễm vào điện thoại di động, để lấy cắp mã mTans, ngân hàng gửi qua tin nhắn SMS tới điện thoại, để rút tiền từ tài khoản - Các Trojan trạng thái “chờ” đến dịch vụ ngân hàng trực tuyến thực hiện, để lấy cắp thơng tin thẻ tín dụng Viet Nam Hitech Crime Investigation Department Page Tình hình tội phạm cơng nghệ cao năm 2012 Viet Nam Hitech Crime Investigation Department Page Tình hình tội phạm công nghệ cao năm 2012 - Mua bán lỗ hổng sôi động mạng - Mua bán virus, trojan Zues, Spyeye, chí mạng botnet để công từ chối dịch vụ phát tán thư rác - Dữ liệu bị lấy cắp, kể thông tin thẻ ngân hàng, thông tin cá nhân, doanh nghiệp… rao bán công khai mạng Ví dụ: thơng tin chia sẻ FaceBook bị hacker sử dụng vào mục đích tội phạm 80% số người chia sẻ thơng tin cá nhân mình, để lộ thông tin bảo mật cho “bạn bè” FaceBook, Viet Nam Hitech Crime Investigation Department Page 2- TẤN CƠNG CƠ SỞ DỮ LiỆU, WEBSITE -Tấn cơng xâm nhập để lấy cắp, phá hoại liệu xảy thường xuyên: - Vụ công website forum.bkav.com.vn ngày14/02/2012, cài đặt backdoor lên máy chủ, chép toàn sở liệu website vào 02 tập tin dump.sql dump.zip chia sẻ trang chủ website http://forum.bkav.com.vn/includes/dump.sql cho tải tự Viet Nam Hitech Crime Investigation Department Page 2- TẤN CÔNG CƠ SỞ DỮ LiỆU, WEBSITE Bốn phương pháp truy cập bất hợp pháp thường gặp: Tấn công lỗ hổng bảo mật web SQL Injection, chủ yếu công deface, truy cập vào sửa đổi liệu trang web Cài đặt sniffer mạng LAN, cài keylogger, spyware, cách gửi email kèm theo attached file, quảng cáo kèm đường dẫn, sử dụng USB, sử dụng proxy , lấy username, password Admin, Tấn công thông qua mạng nội LAN, VPN, Tấn công thông qua lỗ hổng bảo mật website sử dụng chung server chung hệ thống máy chủ nhà cung cấp dịch vụ ISP, làm cầu nối cơng đích Viet Nam Hitech Crime Investigation Department Page 2- TẤN CÔNG CƠ SỞ DỮ LiỆU, WEBSITE Thể cụ thể: Năm 2011, 200 trang web Việt Nam bị hacker nước ngồi cơng: -Phần lớn trang web đơn vị nhỏ, thuê host dùng chung, chạy hệ thống cũ, - ISP không cập nhật vá cần thiết, có nhiều lỗi thơng thường, dễ bị công phương pháp công cụ phổ biến Viet Nam Hitech Crime Investigation Department Page 10 Viet Nam Hitech Crime Investigation Department Page 16 Tấn công Viet Nam Hitech Crime Investigation Department Page 17 -Tấn công sử dụng phần mềm TOR Viet Nam Hitech Crime Investigation Department Page 18 Một số vụ công với virus Sinh Tử Lệnh Thủ đoạn nhúng virus vào phần mềm phổ biến Việt Nam nhóm hacker với biệt danh “Sinh Tử Lệnh” sử dụng để công nhiều vụ năm 2011: - Sáng ngày 1/3/2012 ,website http://unikey.org/ bị tin tặc trỏ link tải phần mềm Unikey website giả SourceForge.net - Các file Unikey website chứa virus “Sinh Tử Lệnh”, tạo thành mạng Botnet, điều khiển virus hosting nước ngồi - Có chức điều khiển từ xa, backdoor, keylogger, lấy cắp thông tin, công DDOS - Hacker sử dụng virus Sinh Tử Lệnh nhiều lần công bkav.com.vn, vietnamnet.vn Viet Nam Hitech Crime Investigation Department Page 19 Tổng hợp thông tin tập lệnh Sinh Tử Lệnh Mã lệnh Mô tả Tham số 101 Load dll In: Dll ID 105 Enum windows title Out: “%Temp% \ ypt*.tmp” 106 Post WM_CLOSE message In: Process ID 107 Liệt kê process chạy Out: %Temp% 108 Terminate process theo Pid In: Process ID 109 Terminate process theo Name In: Process name 110 Upload file lên FTP server In: Đường dẫn đến file cần lấy (FTP server, username, password chưa debug ra) 111 Giải mã chạy file exe In: Đường dẫn đến file bị mã hóa 112 Chụp hình qua webcam, ghi file In: Đường dẫn 113 Kiểm tra tồn webcam driver Out: có/khơng 114 Quay video webcam, ghi file In: Đường dẫn 115 Tạo file (nội dung trắng) In: Đường dẫn 125 Write liệu pipe (\\.\pipe\NannedPipe) In: Dữ liệu cần write 126 Gửi danh sách phần mềm cài đặt máy server 127 Reboot system 128 Shutdown system 131 Liệt kê danh sách ổ đĩa 132 Lấy clipboard 133 Create pipe (\\.\pipe\NannedPipe) 136 Suspend thread theo ThreadID In: ThreadID 139 Giải mã dll đăng ký service dll In: %Dll Path% 151 Hook bàn phím (kelogger) 140 Update 401 Xóa file theo Dll ID In: Đường dẫn tới file log In: Link update Viet Nam Hitech Tham Crime Investigation Department chiếu bảng Dll ID Page 20 Điều tra vụ công vietnamnet.vn Vụ công DDOS vietnamnet.vn, sử dụng virus oxdex.com/logo.jpg: - hacker cấy virus oxdex.com/logo.jpg vào file unikey40RC2-1101-win32.zip tải lên trang http://***.com.vn/ - virus nhận lệnh điều khiển từ server Anh địa http://oxdex.com/logo.jpg, địa IP 178.162.225.254 nhà cung cấp dịch vụ Internet Santrex - C50 đề nghị Cảnh sát Anh hỗ trợ xác minh thông tin liên quan đến máy chủ có địa IP 178.162.225.254 Anh, Đây virus “Sinh Tử Lệnh” Viet Nam Hitech Crime Investigation Department Page 21 Tội phạm gian lận thẻ ngân hàng Lấy cắp, mua bán thông tin thẻ ngân hàng: 1- Tấn công truy cập vào website mua bán hàng trực tuyến để lấy cắp thông tin thẻ ngân hàng 2- Phishing, 3- Mua bán thông tin thẻ ngân hàng mạng (website UG) 4- Sử dụng Keylogger, spyware… để lấy cắp thông tin thẻ ngân hàng 5- Skimming Viet Nam Hitech Crime Investigation Department Page 22 Diễn đàn tội phạm mạng ww.Vefamily.com Giao diện forum Viet Nam Hitech Crime Investigation Department GiẢI PHÁP PHÒNG CHỐNG CỦA DOANH NGHIỆP -Nhận thức đe dọa bảo mật DN vừa nhỏ năm 2011 cho thấy, phần lớn DN chưa quan tâm đến bảo mật - Thiếu biện pháp phòng ngừa để bảo vệ liệu Viet Nam Hitech Crime Investigation Department Page 24 GiẢI PHÁP PHÒNG CHỐNG CỦA DOANH NGHIỆP Một số giải pháp an ninh mạng: - Cập nhật vá hệ điều hành: Hầu hết máy chủ ISP cho thuê sử dụng chung hệ điều hành thường không hỗ trợ cập nhật vá định kỳ, nguyên nhân làm cho website thuê dịch vụ bị công hàng loạt - Bị lỗi SQL injection, lập trình khơng trọng đến bảo mật, hầu hết có lỗi SQL injection - Áp dụng hệ thống firewall: phần lớn website hosting vài ISP lớn VDC, Hostvn.net, MatBao, PA Việt Nam dùng chung webserver, dễ bị công - Server thường không cofig để chống lại DOS Khi bị công DDOS sử dụng chung SQL server, khơng thể chống đỡ bị cơng DDOS Viet Nam Hitech Crime Investigation Department Page 25 Một số giải pháp phịng ngừa Doanh nghiệp Doanh nghiệp có mạng máy tính riêng phải tập trung giải đồng vấn đề: 1- Xây dựng sở hạ tầng công nghệ: Hệ thống thiết bị, phần mềm an tồn thơng tin: - hệ thống firewall, - thiết bị phát ngăn chặn xâm nhập, cơng cụ dị quét lỗ hổng bảo mật, thiết bị giám sát an ninh mạng, phần mềm chống mã độc , - Đánh giá mức an toàn hệ thống theo định kỳ, Cập nhật vá, - Bảo mật liệu lưu trữ liệu đường truyền, Viet Nam Hitech Crime Investigation Department Page 26 Một số giải pháp phòng ngừa Doanh nghiệp 2- Xây dựng Quy trình: - Quy trình đánh giá thiết bị, - Quy trình kiểm tra lỗ hổng an ninh, - Quy trình phản ứng, xử lý cố, nguy an tồn TT, - Quy trình giám sát kiểm sốt truy cập, - Quy trình lưu liệu, - Quy trình kiểm tra đảm bảo hoạt động liên tục hệ thống, - Quy trình gửi nhận thơng tin mạng chun dùng, - Quy trình nâng cấp hệ thống mạng; - Quy trình quản lý người sử dụng; - Xây dựng hệ thống: Quản trị an ninh tổ chức (Enterprise security management - ESM) Quản trị rủi ro tổ chức (Enterprise risk management - ERM) Viet Nam Hitech Crime Investigation Department Page 27 Một số giải pháp phòng ngừa Doanh nghiệp 3- Quản lý người: - Đội ngũ chuyên trách, - Đào tạo nâng cao nghiệp vụ, 4- Ứng dụng công nghệ phịng ngừa cho hệ thống máy chủ: - Ln có hệ thống tường lửa (Firewalls); - Sử dụng mật mã (Cryptography); - Sử dụng mật sử dụng lần - Có cơng cụ phân tích khả bị công Viet Nam Hitech Crime Investigation Department Page 28 Một số giải pháp phòng ngừa Doanh nghiệp Những đơn vị lớn, cần đầu tư: - Hệ thống phát xâm nhập IDS (Intrusion detection system) - Hệ thống ngăn ngừa xâm nhập IPS (Intrusion prevention system) - Công nghệ phát (Detection Technology): để ghi lại dấu vết bị công, chống xâm nhập bất hợp pháp, chống loại virus, phần mềm gián điệp (như keylogger, trojan horse, điều khiển từ xa, backdoor), hệ thống lọc IP chống DDOS Viet Nam Hitech Crime Investigation Department Page 29 Vietnam Hightech Crime Police Department Thank you http://www.hitechcrime.vn hoatv@hitechcrime.vn Viet Nam Hitech Crime Investigation Department Page 30 ...Nội dung chính: 1- Tình hình tội phạm cơng nghệ cao năm 2012 2- Xu hướng dự báo tình hình tội phạm CNC thời gian tới 3- Giải pháp hướng dẫn doanh nghiệp phòng chống Viet Nam Hitech Crime Investigation... Department Page Tình hình tội phạm công nghệ cao năm 2012 Viet Nam Hitech Crime Investigation Department Page Tình hình tội phạm cơng nghệ cao năm 2012 - Mua bán lỗ hổng sôi động mạng - Mua bán virus,... Nam Hitech Crime Investigation Department Page Tình hình tội phạm công nghệ cao năm 2012 Một số hoạt động công mạng nguy hiểm mới: 1- Tấn công phần mềm gián điệp – trojan có chức năng: + Điều khiển