Đề tài phân tích chuỗi tấn công Cyber Kill Chain trong cyber attack, báo cáo này sẽ giúp bạn hiểu rõ hơn về Cyber Kill Chain. Bên trong báo cáo có demo cụ thể, file đi kèm có slide báo cáo. Ngoài ra, còn có những phương pháp phòng thủ cho cá nhân và cho doanh nghiệp
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP CƠ SỞ ĐỀ TÀI: PHÂN TÍCH CHUỖI TẤN CƠNG CYBER KILL CHAIN Cán bợ hướng dẫn: ThS Nguyễn Văn Phác Sinh viên thực hiện: - Khổng Đức Chức AT170408 - Nguyễn Trường Giang AT170414 - Lê Xuân Hinh AT170418 Lớp: L04 Hà Nội, 2023 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP CƠ SỞ ĐỀ TÀI: PHÂN TÍCH CHUỖI TẤN CƠNG CYBER KILL CHAIN Nhận xét cán bộ hướng dẫn: Điểm chuyên cần: Điểm báo cáo: Xác nhận của cán bợ hướng dẫn MỤC LỤC LỜI NĨI ĐẦU DANH MỤC HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẮT .6 CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG VÀ CHUỖI TẤN CÔNG CYBER KILL CHAIN 1.1 Tổng quan an ninh mạng 1.1.1 Thực trạng an tồn khơng gian mạng 1.1.2 Tổng quan vấn đề bảo mật thông tin 1.1.3 Các nguyên tắc bảo mật thông tin bao gồm 1.2 Chuỗi công Cyber Kill Chain .10 1.2.1 Chuỗi công Cyber Kill Chain 10 1.2.2 Tầm quan trọng phân tích chuỗi cơng Cyber Kill Chain 11 CHƯƠNG II: CƠ SỞ LÝ THUYẾT, PHÂN TÍCH CHUỖI TẤN CƠNG CYBER KILL CHAIN 12 2.1 Cơ sở lý thuyết chuỗi công Cyber kill chain .12 2.2 Phân tích chuỗi công Cyber kill chain 12 2.2.1 Reconnaissance: thu thập thông tin mục tiêu 12 2.2.2 Weaponization: tạo công cụ công 13 2.2.3 Delivery: chuyển giao công cụ công tới mục tiêu 15 2.2.4 Exploitation: tận dụng lỗ hổng mục tiêu để thực công 16 2.2.5 Installation: cài đặt phần mềm độc hại vào mục tiêu 17 2.2.6 Command and Control: tiến hành điều khiển máy tính mục tiêu để lấy thông tin .18 2.2.7 Actions on Objectives: tiến hành hành động theo mục đích đặt ban đầu 19 CHƯƠNG III: XÂY DỰNG KỊCH BẢN THỰC NGHIỆM, ĐỀ XUẤT PHƯƠNG ÁN PHÒNG THỦ 21 3.1 Xây dựng kịch thực nghiệm 21 3.1.1 Chuẩn bị 21 3.1.2 Thực triển khai thực nghiệm .24 3.2 Đề xuất phương án phòng thủ 35 3.2.1 Đối với người dùng cá nhân 35 3.2.2 Đối với tổ chức, doanh nghiệp 37 KẾT LUẬN 40 TÀI LIỆU THAM KHẢO 42 DANH MỤC HÌNH VẼ Hình 1.1 Chuỗi cơng Cyber Kill Chain Hình 2.1 Network reconnaisance …………………… ………………………… 12 Hình 2.2 Các loại Malware phổ biến 14 Hình 2.3 Một số loại hình Phishing Attacks 15 Hình 2.4 Khai thác lỗ hổng MS17-010 16 Hình 2.5 Command wget để tải file 17 Hình 2.6 Thực tạo persistence Task scheduler .18 Hình 2.7 Thực hiến lấy thơng tin Client .19 Hình 3.1 Hình ảnh cơng cụ Nmap……………………………………………… 21 Hình 3.2 Cơng cụ Metasploit 22 Hình 3.3 Cơng cụ VMware WorkStation 23 Hình 3.4 Hình ảnh công cụ Mimikatz 24 Hình 3.5 Ví dụ phần mềm Keylogger .24 Hình 3.6 Sử dụng công cụ Nmap để quét địa IP cổng .25 Hình 3.7 Sử dụng công cụ Nmap để quét lỗ hổng 26 Hình 3.8 Sử dụng Metasploit để tạo mã độc 26 Hình 3.9 Tìm kiếm modun khai thác MS17-010 27 Hình 3.10 Cài đặt thông số để khai thác MS17-010 .27 Hình 3.11 Chạy exploit lỗ hổng MS17-010 28 Hình 3.12 Chiếm shell nạn nhân 28 Hình 3.13 Thiết lập thơng số để Bypass UAC 29 Hình 3.14 Chọn target session để Bypass UAC .29 Hình 3.15 Bypass UAC thành công 29 Hình 3.16 Upload file mã độc lên máy nạn nhân 30 Hình 3.17 Upload tool Mimikatz lên máy nạn nhân .30 Hình 3.18 Upload spyware Keylogger 30 Hình 3.19 File execute.bat dùng để bỏ qua sách thực thi 30 Hình 3.20 Giải nén file Mimikatz upload từ trước 31 Hình 3.21 Thay đổi sách thực thi RemoteSigned 31 Hình 22 Chạy file Keylogger.ps1 .31 Hình 3.23 Ẩn file Keylogger.ps1 tránh bị phát .31 Hình 3.24 Tạo persistence cho Keylogger 32 Hình 3.25 Tạo task scheduler cho phép khởi động StartUp 32 Hình 3.26 Tạo persistence Registry .32 Hình 3.27 Chạy tool Mimikatz .32 Hình 3.28 Bật giao thực Wdigest windows 33 Hình 3.29 Lấy mật máy nạn nhân 33 Hình 3.30 Trích xuất file log.txt 33 Hình 3.31 Theo dõi hình máy nạn nhân real time 34 Hình 3.32 Bật webcam máy nạn nhân 34 Hình 3.33 Cách thức hacker đánh cắp chiếm đoạt tài khoản 35 Hình 3.34 Cấu tạo USB Rubber Ducky 36 Hình 3.35 Hình thức Phishing email đánh cắp thông tin cá nhân 36 Hình 3.36 Hình ảnh giải pháp SIEM IBM QRadar .37 Hình 3.37 Đội Pentest công ty cổ phần an ninh mạng Việt Nam (VSEC) .38 Hình 3.38 Backup liệu lên Cloud .38 Hình 3.39 Đào tạo nhận thức an tồn thơng tin 39 DANH MỤC CÁC TỪ VIẾT TẮT XSS Cross Site Script DDoS Distributed denial-of-service IP Internet Protocol HTTP Hyper Text Transfer Protocol HTTPS Hypertext Transfer Protocol Security IRC Internet Relay Chat DNS Domain name system Nmap Network Mapper ICMP Internet Control Message Protocol ARP Address Resolution Protocol SNMP Simple Network Monitoring Protocol TCP Transmission Control Protocol UDP User Datagram Protocol SAM Software Asset Management PTH Pass-the-hash PTT Pass-the-ticket SMB Server Message Block UAC User Account Control LỜI NÓI ĐẦU Trong thời đại số hóa nay, bảo mật mạng vấn đề cấp bách tổ chức, doanh nghiệp cá nhân Việc ngày nhiều công mạng xảy ra, với phát triển phần mềm độc hại, phương thức công ngày tinh vi cơng từ phía bên ngồi ngày phổ biến Để bảo vệ mạng thơng tin mình, chuyên gia bảo mật mạng cần phải sử dụng phương pháp kỹ thuật tiên tiến để ngăn chặn công trước chúng gây hậu nghiêm trọng Mơ hình Cyber Kill Chain phương pháp tiên tiến để phát ngăn chặn cơng mạng Mơ hình cho phép chun gia bảo mật mạng phân tích đối phó với cơng cách phân tích giai đoạn chuỗi cơng Do đó, nhóm chúng em chọn đề tài “Phân tích chuỗi cơng Cyber Kill Chain” nhằm đưa cho người nhìn tổng quan bước mà kẻ công xâm nhập thực hành vi độc hại thiết bị mạng người dùng Từ đưa phương pháp phát ngăn chặn công mạng CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG VÀ CHUỖI TẤN CÔNG CYBER KILL CHAIN 1.1 Tổng quan an ninh mạng 1.1.1 Thực trạng an tồn khơng gian mạng Hiện nay, tình trạng an tồn khơng gian mạng gặp phải nhiều thách thức rủi ro bảo mật Một số vấn đề bao gồm: - Tấn cơng mạng: Các hành vi công mạng ngày phức tạp tinh vi Các công bao gồm phishing, malware, ransomware, hacking công từ chối dịch vụ (DDoS) trở nên phổ biến Những cơng gây thiệt hại nghiêm trọng cho tổ chức cá nhân - Lỗ hổng bảo mật: Các lỗ hổng bảo mật ứng dụng phần mềm làm tăng rủi ro bảo mật Sự gia tăng thiết bị kết nối internet: Sự phổ biến thiết bị kết nối internet đồng hồ thơng minh, máy tính bảng camera an ninh làm tăng đa dạng điểm công tiềm Điều đặc biệt thiết bị không bảo mật cách - Sự bất ổn trị tình trạng xung đột: Các xung đột tình trạng bất ổn trị dẫn đến cơng mạng chí chiến tranh mạng Những cơng làm hỏng sở hạ tầng mạng, gây thiệt hại cho kinh tế gây ảnh hưởng đến đời sống người dân - Sự cố bảo mật bên thứ ba: Các công ty thường cung cấp dịch vụ sản phẩm cho nhau, khiến cho nhiều đoạn mã phát triển trì bên thứ ba Nếu bên thứ ba bị công bị công mạng, thông tin cá nhân liệu quan trọng người dùng bị đánh cắp sử dụng sai mục đích 1.1.2 Tổng quan vấn đề bảo mật thông tin Bảo mật thơng tin q trình bảo vệ thơng tin khỏi mối đe dọa tác động có hại đến thông tin như: giả mạo, mát, phá hủy lộ cho bên không ủy quyền Bảo mật thông tin không vấn đề tổ chức, mà trách nhiệm tất sử dụng thiết bị kết nối internet Vấn đề bảo mật thông tin ngày trở thành vấn đề cấp bách quan trọng công nghệ thông tin Mỗi ngày, tổ chức cá nhân đối mặt với mối đe dọa bảo mật virus, phần mềm độc hại, công mạng, trộm cắp thông tin cá nhân, thẻ tín dụng nhiều Các giải pháp bảo mật thông tin đa dạng áp dụng nhiều lĩnh vực, bao gồm: mã hóa liệu, quản lý quyền truy cập, tường lửa, phần mềm chống virus công mạng, giám sát phát sớm, giáo dục huấn luyện nhân viên an ninh thông tin Tuy nhiên, tên trộm mạng thông minh, giải pháp không đủ để ngăn chặn công tinh vi Vì vậy, việc tăng cường bảo mật thơng tin trình liên tục phải thực đặn 1.1.3 Các nguyên tắc bảo mật thơng tin bao gồm Tính bảo mật: Tính bảo mật tính chất đặc biệt thơng tin, đảm bảo thông tin truy cập sử dụng người ủy quyền không bị đánh cắp thay đổi đối tượng không ủy quyền Để đạt tính bảo mật, tổ chức cá nhân cần thực biện pháp bảo mật mã hóa liệu, sử dụng chứng thực xác thực người dùng, giám sát phát hoạt động bất thường mạng Tính tồn vẹn: Tính tồn vẹn tính chất thơng tin đảm bảo thông tin không bị thay đổi, sửa đổi phá hoại cách trái phép Để đạt tính tồn vẹn, tổ chức cá nhân cần áp dụng biện pháp bảo mật sử dụng chữ ký số, kiểm tra tính hợp lệ liệu, bảo vệ phần mềm hệ thống khỏi mã độc Tính sẵn sàng: Tính sẵn sàng đảm bảo thông tin truy cập sử dụng cách hợp lý đắn, theo quy định quy trình Để đạt tính sẵn sàng, tổ chức cá nhân cần xây dựng hệ thống quản lý thơng tin xác đáng tin cậy, áp dụng quy trình biện pháp bảo mật hợp lý đảm bảo thông tin cung cấp định dạng, thời điểm nơi đích đến Tính riêng tư: Tính riêng tư đảm bảo thông tin cá nhân truy cập sử dụng người ủy quyền Để đạt tính riêng tư, tổ chức cá nhân cần bảo vệ thông tin cá nhân khỏi truy cập sử dụng trái phép, sử dụng chứng thực xác thực người dùng, đảm bảo tính bảo mật thông tin áp dụng quy trình biện pháp bảo mật phù hợp