Nghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APTNghiên cứu phương pháp truy tìm chứng cứ số của tấn công APT
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - TRỊNH THỊ VÂN NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA TẤN CÔNG APT LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) Hà Nội, Năm 2016 HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - TRỊNH THỊ VÂN NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA TẤN CÔNG APT CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS Đỗ Xuân Chợ Hà Nội, Năm 2016 i LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố công trình khác Tác giả luận văn Trịnh Thị Vân ii LỜI CẢM ƠN Trên thực tế thành công mà không gắn liền với hỗ trợ, giúp đỡ Trong suốt thời gian từ bắt đầu học tập trường đến nay, em nhận nhiều quan tâm, giúp đỡ quý Thầy Cô Khoa Quốc tế đào tạo sau Đại học trường Học Viện Công nghệ ưu ch nh Vi n Thông với tri thức tâm huyết để truyền đạt vốn kiến thức quý báu luôn tạo điều kiện tốt cho em suốt thời gian học tập trường Em xin chân thành cảm ơn Thầy, Cô an lãnh đạo nhà trường! Với lòng biết ơn sâu sắc em xin gửi lời cảm ơn tới TS.Đỗ Xuân Chợ, Khoa Công nghệ Thông tin - Học viện Công Nghệ ưu Ch nh Vi n Thông, cán trực tiếp hướng dẫn khoa học cho em Thầy dành nhiều thời gian cho việc hướng dẫn em cách nghiên cứu, đọc tài liệu giúp đỡ em việc xây dựng chương trình Và cuối em xin bày tỏ lòng chân thành biết ơn sâu sắc tới lãnh đạo khoa Công Nghệ Thông Tin - Học Viện Công Nghệ ưu ch nh Vi n Thông bạn bè đồng nghiệp bên cạnh lúc em khó khăn tạo điều kiện thuận lợi giúp em hoàn thành luận văn Em xin chân thành cảm ơn! Hà Nội, ngày 18 tháng năm 2016 Học viên Trịnh Thị Vân iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC HÌNH VẼ vi MỞ ĐẦU CHƢƠNG 1: TỔNG QUAN VỀ CUỘC TẤN CÔNG APT VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG APT 1.1 Tổng quan công APT 1.1.1 Khái niệm APT 1.1.2 Các đặc điểm ch nh APT 1.1.3 Các giai đoạn công APT 1.1.4 Sự khác biệt APT hình thức công khác 12 1.2 Các giải pháp phòng chống công APT .14 1.2.1 Một số giải pháp phòng chống công APT 14 1.2.2 Các phương pháp phòng chống công APT 16 1.2.3 Con người 24 1.3 Kết luận chương 24 CHƢƠNG 2: NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA TẤN CÔNG APT 25 2.1 Tổng quan chứng số 25 2.1.1 Khái niệm chứng số 25 2.1.2 Đặc t nh chứng số 26 2.1.3 V tr tìm thấy chứng số: 26 2.1.4 Không gian lưu trữ 26 2.1.5 Lịch sử điều tra số 28 2.2 Kỹ thuật truy tìm chứng số 29 2.2.1 Khái niệm truy tìm chứng số 29 iv 2.2.2 Mục đ ch truy tìm chứng số 29 2.2.3 Các nguyên tắc điều tra chứng số 30 2.2.4 Thời điểm thực truy tìm chứng 32 2.2.5 Các bước thực truy tìm chứng số 32 2.3 Truy tìm chứng số công APT .35 2.3.1 Kỹ thuật phân t ch nhớ 35 2.3.2 Kỹ thuật điều tra mạng 39 2.4 Kết luận chương 41 CHƢƠNG 3: MÔ PHỎNG VÀ THỬ NGHIỆM 42 3.1 Giới thiệu công cụ thực mô 42 3.1.1 VMware Workstation 10 42 3.1.2 Kali Linux 42 3.1.3 Lỗ hổng CVE-2010-1240 43 3.2 Thực nghiệm công APT 44 3.2.1 Kịch công 44 3.2.2 Mô công 44 3.3 Thực nghiệm điều tra công APT 48 3.3.1 Kịch 48 3.3.2 Thực nghiệm điều tra .48 3.4 Khắc phục hậu 56 3.5 Kết luận chương 57 KẾT LUẬN 58 DANH MỤC TÀI LIỆU THAM KHẢO .60 v DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT Từ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt APT Advanced Persistent Threat Mối đe dọa liên tục nâng cao DLP Data Leak Prevention Ngăn chặn rò rỉ liệu DNS Domain Name System Hệ thống tên miền FTP File Transfer Protocol Giao thức chuyển nhượng tập tin Hyper Text Transfer Protocol Giao thức truyền tải siêu văn Hyper Text Transfer Protocol Trao đổi thông tin cách bảo mật Secure Internet IP Internet Protocol Giao thức kết nối Internet IPS Internet Protocols ộ giao thức liên mạng HTTP HTTPS ISO International Organization for Standardization Tổ chức tiêu chuẩn hóa quốc tế IT Information Technology Công nghệ thông tin NAC Network Access Control Điều khiển truy cập mạng RAM Random Access Memory RAT Remote Administrator Tools RSA Rivest Shamir Adleman SIEM SMTP Security Information Event Managemet Somple Mail Transfer Protocol ộ nhớ truy cập ngẫu nhiên Chương trình cho phép điều khiển máy t nh từ xa Mã hóa khóa công khai Giám sát an toàn mạng Giao thức truyền tải thư t n đơn giản Ngôn ngữ truy vấn mang t nh cấu SQL Structured Query Language SSL Secure Sockets Layer Tiêu chuẩn công nghệ bảo mật URL Uniform Resource Locator Tham chiếu tài nguyên mạng Internet USB Universal Serial Bus Chuẩn kết nối đa dụng WAF Web Application Firewall Tường lửa ứng dụng web trúc vi DANH MỤC CÁC HÌNH VẼ Hình 1.1: Các đặc điểm ch nh APT Hình 1.2: Các công cụ cho công APT Hình 1.3: Giả mạo email với nội dung đ nh kèm có mã độc Hình 1.4: Các giai đoạn công APT Hình 1.5: Các loại file đ nh kèm thông dụng công giả mạo email .9 Hình 1.6: Liên kết đến trang web chứa mã độc 10 Hình 1.7: Email đ nh kèm tệp mã độc hại .10 Hình 1.8: Email lừa đảo công RSA .11 Hình 1.9: Kết scan tệp đ nh kèm 11 Hình 1.10: Tấn công vào điểm yếu hệ thống 13 Hình 1.11: Các giai đoạn việc kiểm soát rủi ro công APT 17 Hình 1.12: Các giải pháp kỹ thuật/công nghệ đầu tư để đáp trả APT .18 Hình 2.1: Không gian lưu trữ 27 Hình 2.2: Không gian cấp phát 27 Hình 2.3: Không gian trống tập tin .27 Hình 2.4: a yếu tố trình điều tra chứng số 31 Hình 2.5: ốn giai đoạn điều tra số 33 Hình 2.6 V dụ phân t ch nhớ RAM .37 Hình 3.1: Giao diện Kali Linux 42 Hình 3.2: Hình minh họa giao diện metasploit 45 Hình 3.3: Sử dụng kiểm tra thông số module 46 Hình 3.4: Cài đặt cho tập tin chứa mã độc 46 Hình 3.5: Lắng nghe kết nối metasploit .47 Hình 3.6: Giả mạo email gửi cho nạn nhân 47 Hình 3.7: Kết nối khởi tạo 48 Hình 3.8: Phân tích thông tin file dump 49 Hình 3.9: Các tiến trình chạy 50 Hình 3.10: Các kết nối mạng 50 Hình 3.11: Liên kết đáng ngờ 51 Hình 3.12: Tệp tin PDF mở 010 editor 52 Hình 3.13: Giao diện tải tệp tin pdf 52 Hình 3.14: Giao diện mở tệp tin pdf 53 Hình 3.15: Giải nén thực thi payload 53 Hình 3.16: Các hàm tệp tin LAB1.pdf 54 Hình 3.17: Phân tích tệp tin Lab1.pdf IDA Pro .54 Hình 3.18: Phân tích tệp tin từ virutotal.com 56 MỞ ĐẦU Tính cấp thiết đề tài Ngày nay, với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hoà vào mạng toàn cầu Internet, an toàn bảo mật thông tin vấn đề quan trọng hàng đầu Cộng đồng công nghệ thông tin, đặc biệt doanh nghiệp, tổ chức có hạ tầng thông tin tiên tiến phải đối mặt với biến đổi, phức tạp ngày nguy an toàn thông tin Theo hiệp hội An Toàn Thông Tin Việt Nam tội phạm máy t nh liên tục gia tăng, đáng ý xuất công APT (Advanced Persistent Threats) vài năm trở lại APT thường sử dụng nhiều loại phương pháp, công nghệ tinh vi phức tạp để công mục tiêu cụ thể nhằm đạt thông tin mật nhạy cảm Hiện nay, nước lớn có công nghệ thông tin phát triển Mỹ, Anh, Ấn Độ… Việt Nam nghiên cứu triển khai biện pháp để phòng chống công Trong thực tế, từ nhiều năm qua, quan ch nh phủ ngành, doanh nghiệp lớn có vai trò đáng kể kinh tế lượng, hàng không, vi n thông … đ ch ngắm tội phạm công APT Các hacker trước phần lớn hoạt động động cá nhân, ngày nhiều công APT đánh cắp liệu động tài ch nh có động ch nh trị, mà đứng sau ch nh phủ quốc gia Dự báo thời gian tới, hình thức công APT tiếp tục di n biến phức tạp, khó lường Với việc kết hợp công nghệ liên tục thay đổi phương thức, thủ đoạn để tránh bị phát dẫn đến việc phòng chống vô khó khăn Theo di n biến tội phạn công APT liên tục phát triển có nhiều di n biến khó lường Vì cần phải có biện pháp truy tìm chứng số công nhằm giúp nhà quản trị hệ thống đưa phương án giải hữu hiệu Vì lý học viên chọn Đề tài "Nghiên cứu phương pháp truy tìm chứng số công APT Một lĩnh vực chưa nghiên cứu sâu rộng chưa có tài liệu khoa học, công trình nghiên cứu công bố Tổng quan vấn đề cần nghiên cứu Thuật ngữ APT (Advanced Persistent Threat) sử dụng để mô tả kiểu công dai dẳng có chủ đ ch vào thực thể nhắm đến APT loại công âm thầm, không phá hỏng file/máy t nh, chúng có khả “ ẩn khiến khó phát loại công Các vụ thất thoát liệu xảy với RSA, Citi ank Global Payments,… Kẻ công phối hợp biện pháp với khoa học, tỉ mỉ thông minh Tấn công APT sử dụng loại công cụ từ malware đơn giản, phức tạp, mã độc hại tạo để khai thác lỗ hổng “zero- day Khi đó, tổ chức mục tiêu APT tổ chức phải chịu thất bại nghiêm trọng hình thức công nhiều tháng nghiên cứu lập kế hoạch Trong khuôn khổ nghiên cứu Học Viện Công Nghệ ưu Ch nh Vi n Thông có số đề tài nghiên cứu xoay quanh vấn đề công APT như: đề tài “Tấn công APT lên hệ thống thông tin biện pháp phòng chống đồ án năm 2014 Sinh viên Đoàn Xuân Quỳnh Hay đề tài thạc sỹ kỹ thuật năm 2015 Nguy n Khánh Chi: “ Nghiên cứu phương pháp phòng chống công APT Tuy nhiên, chưa có tài liệu nêu cách truy tìm chứng dấu vết mà hacker để lại công APT, nhằm giúp phòng tránh lỗ hổng công APT nhằm vào Mục đích nghiên cứu Nghiên cứu công nghệ công APT: kỹ thuật, giai đoạn, mục đ ch, phương pháp… Nghiên cứu giải pháp công nghệ để phòng chống công APT Nghiên cứu phương pháp để truy tìm chứng số công APT ng dụng công nghệ truy tìm chứng số công APT Đối tƣợng phạm vi nghiên cứu Đối tượng nghiên cứu: Các phương pháp, giải pháp công nghệ nhằm truy tìm chứng số công APT vào hệ thống thông tin 46 Hình 3.3: Sử dụng kiểm tra thông số module Ở đây, cần quan tâm đến trường sau : FILENAME: Tên file pdf có chứa mã độc INFILENAME: Đường dẫn đến file pdf gốc Tiếp theo, kẻ công lựa chọn loại payload tiêm vào file cài đặt thông số LHOST IP kẻ công LPORT cổng lắng nghe Hình 3.4: Cài đặt cho tập tin chứa mã độc 47 Sau dùng lệnh exploit, chương trình tự động tạo file có chứa mã độc Tiếp tục, kẻ công sử dụng module multi hander để lắng nghe kết nối nạn nhân mở file pdf Hình 3.5: Lắng nghe kết nối metasploit Tiến hành gửi file chứa mã độc cho nạn nhân qua email Để tăng độ tin cậy d dàng đánh lừa nạn nhân, kẻ công giả mạo đường link tên miền đáng tin cậy Hình 3.6: Giả mạo email gửi cho nạn nhân 48 Ngay nạn nhân mở mail nhấp vào đường link, payload nhanh chóng khởi tạo kết nối đến máy kẻ công Từ đây, kẻ công có quyền truy cập vào máy t nh nạn nhân Hình 3.7: Kết nối đƣợc khởi tạo 3.3 Thực nghiệm điều tra công APT 3.3.1 Kịch Trong vai điều tra viên, điều tra viên nhận yêu cầu điều tra máy t nh bị nhi m mã độc Nhiệm vụ tìm thông tin kẻ công, file chứa mã độc hành vi Phương pháp truy tìm dựa kỹ thuật phân t ch nhớ Phân t ch dựa file dump memory máy tính nạn nhân Máy điều tra viên: Linux, Window Công cụ: Volatility, IDAPRo, TCPview, Process Monitor, 010 editor 3.3.2 Thực nghiệm điều tra Giai đoạn 1: Chuẩn bị - Máy tính điều tra viên có cài đặt hệ điều hành Window XP, Kali linux - Công cụ: Volatility, IDAPro, TCPView, Process Monitor, 010 editor Giai đoạn 2: Tiếp nhận liệu 49 Trước tiên, điều tra viên thực lấy liệu từ công Trong luận văn, điều tra viên tiếp nhận liệu từ nhớ File memory dump mã độc công file pdf để phân tích chứa mã độc Qúa trình tiếp nhận liệu, điều tra viên phân tích Trong bước tiếp theo, điều tra viên vừa phân tích thu thập liệu đánh giá kết phân tích liệu để từ định hướng cần phải tìm liệu chứng minh điều Giai đoạn 3: Phân tích liệu File cung cấp memory dump, điều tra viên sử dụng công cụ Volatility để phân t ch Hình 3.8: Phân tích thông tin file dump Điều tra viên có thông tin Hệ điều hành (Windows XP SP2 SP3) Kiểm tra danh sách tiến trình chạy lúc nhớ dump : 50 Hình 3.9: Các tiến trình chạy Điều tra viên thấy có tiến trình firefox.exe (trình duyệt Firefox), AcroRd32.exe (trình đọc PDF Acrobat Reader) Theo tình có khả mã độc lây nhi m thông qua file PDF người dùng sử dụng AcroRd32.exe để đọc Ngoài điều tra viên ý đến tiến trình có tên LA 1.pdf Đây ch nh mã độc lây nhi m vào máy Nhìn vào thời gian tiến trình, thấy máy t nh nạn nhân bị lây nhi m vào lúc 23h18’ ngày 15/6/2016 Để rõ tiến hành kiểm tra kết nối mạng mở lúc Hình 3.10: Các kết nối mạng 51 Nhận xét : - Có tiến trình kết nối đến mạng (PID 1884 – firefox.exe, PID 772LAB1.pdf) - Tiến trình firefox kết nối đến port 80 443 điều bình thường - Tiến trình Lab1.pdf mở kết nối đến 10.20.15.210:7777 Đây IP sử dụng mạng nội bộ, có khả lớn, kẻ công người công ty - Thực dump memory tiến trình kiểm tra tổng quát, điều tra viên thu vài địa đáng ngờ: http://spadesquad.com/test/tailieu.pdf - Đây đường dẫn có chứa file pdf Khả cao, ch nh file pdf nhi m mã đôc nạn nhân tải Hình 3.11: Liên kết đáng ngờ Như thấy, nạn nhân tải sử dụng chương trình Acrobat Reader, Mozilla Firefox phiên cũ Đồng thời truy cập vào trang web cho có chứa mã độc (http://spadesquad.com/test/tailieu.pdf) Điều tra viên tải lại file pdf tiến hành phân t ch loại hành vi mã độc 52 Hình 3.12: Tệp tin PDF đƣợc mở 010 editor Khi mở file PDF, đoạn javascript nhỏ xuất payload file có tên “LA 1.pdf Sau đó, đoạn shell nhỏ Windows kiểm tra tồn payload thư mục: “Desktop , “My Documents , “Documents , “Escritorio , “Mis Documentos Nếu payload tồn thư mục này, chương trình mở thư mục chạy payload “cmd.exe Hình 3.13: Giao diện tải tệp tin pdf 53 Hình 3.14: Giao diện mở tệp tin pdf Kiểm tra phần mềm Process Monitor, mở File PDF, chương trình yêu cầu chọn vị tr giải nén payload “LA 1.pdf quyền thực thi shellcode “cmd.exe Hình 3.15: Giải nén thực thi payload Khi đó, “LA 1.pdf gửi yêu cầu kết nối tới socket 10.20.15.210:7777 Tuy có phần mở rộng “.pdf thực chất file thực thi Ta nhận thấy file payload có phần mô tả “Apache ench command line utility Phân t ch sơ file “LA 1.pdf : 54 Hình 3.16: Các hàm tệp tin LAB1.pdf Qua phần import, điều tra viên thấy chương trình có sử dụng hàm thư viện ADVAPI32, WS2_32 WINSOCK32 Các hàm dùng để thực tạo kết nối thông qua socket Trong phần triển khai hàm nhận thấy rằng: kẻ công viết chương trình kỹ thuật viết shellcode chương trình obfuscate để nhằm che giấu làm khó người phân t ch Hình 3.17: Phân tích tệp tin Lab1.pdf IDA Pro 55 Theo hình 1.17 thấy kẻ công load hàm thư viện liên kết động để tránh bị phát V dụ hacker sử dụng đoạn để load thư viện WS2_32 Tiếp theo kẻ công gọi hàm thư viện có địa “0x6b8029 Việc gọi địa giúp kẻ công che giấu chức hàm Ngay sau đó, kẻ công liên tục gọi lệnh push liên tục để làm người điều tra khó theo dõi luồng thực thi chương trình Sau phân t ch tĩnh debug, kết luận chức ch nh payload khởi tạo kết nối đến socket đinh trước Sau phân tích file pdf thủ công, kết thu thông qua virustotal.com, điều tra viên kết luận file payload sửa đổi chương trình “Apache ench command line utility Nó có tác dụng backdoor, tạo kết nối tới server lắng nghe Từ kẻ công d dàng kiểm soát máy t nh nạn nhân thông qua kết nối 56 Hình 3.18: Phân tích tệp tin từ virutotal.com Bước 4: lập báo cáo Từ kết thu trên, rút kết luận cho trình điều tra như: - Nạn nhân bị công file pdf có chứa mã độc gửi qua mail - Khoảng thời gian bị công vào: 23h18’ ngày 15/6/2016 - Mã độc có nhiệm vụ khởi tạo kết nối đến máy kẻ công cho phép kẻ công chiếm quyền điều khiển máy nạn nhân - IP kẻ công có địa là: 10.20.15.210 Đây địa mạng nội Khả cao máy khác mạng nội bị lây nhi m kẻ công người mạng nội 3.4 Khắc phục hậu Mặc dù việc phân t ch điều tra coi đến hồi kết cần khắc phục hậu vá lỗ hổng có hệ thống để tránh cho việc bị công lần Một số hành động cần thực hiện: - Dừng tiến trình LAB1.pdf - Xóa file pdf có chứa mã độc - Tiến hành update vá cho Window Adobe Reader - Cài đặt phần mềm diệt virut kích hoạt firewall - Nâng cao khả tự phòng vệ cho người dùng Cần cẩn thận click vào 57 đường link email không rõ nguồn gốc 3.5 Kết luận chƣơng Nghiên cứu tìm hiểu công cụ phục vụ cho việc công APT công cụ phục vụ cho truy tìm chứng số nói chung cho truy tìm chứng số công APT Thực công APT sở công cụ kỹ thuật tiên tiến Quy trình công APT áp dụng hoàn toàn phù hợp với đặc điểm dấu hiệu công APT Kết công rằng, công APT thực chất kỹ thuật công cao cấp mà tập hợp kỹ thuật công đơn giản lợi dụng lỗ hổng người Thực truy tìm chứng số công APT công cụ kỹ thuật có Dựa phương pháp kỹ thuật điều tra nhớ phân t ch mã độc, học viên vấn đề quan trọng cần có điều tra là: người công, công qua lỗ hổng nào, công 58 KẾT LUẬN Kết đạt đƣợc Các kết đạt cụ thể sau: Trình bày tổng quan công APT bao gồm đặc điểm, giai đoạn, quy trình, mức độ nguy hiểm APT với công thông thường Trình bày số biện pháp, kỹ thuật công nghệ phòng chống công APT Kết nghiên cứu rằng: để đảm bảo an toàn bảo mật thông tin trước công APT áp dụng kỹ thuật, công cụ hay công nghệ mà cần phải áp dụng tổ hợp công nghệ với nhiều pha cần thực Cung cấp khái niệm bản, thuật ngữ chuyên ngành, phương pháp tiếp cận, ch nh sách nguyên tắc trình truy tìm chứng số Từ đưa nhìn tổng quát lĩnh vực truy tìm chứng số để hỗ trợ cách hiệu việc truy tìm chứng số công Trình bày phương pháp áp dụng để truy tìm chứng số công APT Từ kết nghiên cứu đánh giá phương pháp truy tìm chứng số, học viên được, phương pháp kỹ thuật truy tìm có ưu điểm nhược điểm riêng Tuy nhiên, luận văn, học viên lựa chọn kỹ thuật truy tìm nhớ để truy tìm chứng số công APT Từ sở lý thuyết giới thiệu, luận văn mô thực nghiệm công APT theo lý thuyết kịch quy trình công miêu tả thực truy tìm chứng số công APT công cụ kỹ thuật có Dựa phương pháp kỹ thuật điều tra nhớ phân t ch mã độc, học viên vấn đề quan trọng cần có điều tra là: người công, công qua lỗ hổng nào, công nào,… Từ kết đạt đưa nhận xét đánh giá 59 Định hƣớng phát triển Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: Tiếp tục hoàn thiện, nghiên cứu phương pháp truy tìm chứng số công mạng công APT Nghiên cứu áp dụng công nghệ IGDATA việc truy tìm chứng số công APT 60 DANH MỤC TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT [1] Trương Minh nhật Quang (2013), Mô hình ứng dụng hội chuẩn mã độc trực tuyến tiếp cận máy học Anti-virus, NX Lao động – Xã hội TÀI LIỆU TIẾNG ANH [2] Cunt P Garrison (2010), Digital Forensics for Network, Internet, and Cloud Computing, Elsevier, Waltham, USA [3] Eric Cole, Advanced Persistent Threat: Understanding the Danger and How to Protect Your Organization (2012), Elsevier, Waltham, USA [4] IPA(Information-technology Promotion Agency) (2011), Design and Operational Guide to Protect againt Advanced Persistent Threats, The Radicati Group, Inc [5] John Sammons (2012), The Basics of Digital Forensics: The Primer for Getting Started in Digital Forensics, Elsevier, Waltham, USA John R.Vacca (2005), Computer Forensics: Computer Crime Scene Investigation, Charles River Media, Boston, Massachusetts [6] [7] Jon Oltsik (2012), Understanding and Addressing APTs, The Enterprise Strategy Group TÀI LIỆU WEB [8] gfi.com,http://www.gfi.com/blog/advanced-persisdent-threat-apt-a-hyped-upmarketing-term-or-a-security-conern/, truy cập ngày 10/7/2016 [9] networkworld.com,http://www.networkwold.com/article/2199388/security/wha t-is-an-advanced-persistent-threat-anyway-.html, truy cập ngày 15/5/2016 [10] Pcworld.com,http://www.pcwold.com/article/kinh-doanh/an-toan-thongtin/2014/1223019/ngan-ngua-tham-hoa-ro-ri-thong-tin-voi-dlp/, truy cập ngày 30/5/2016 [11] Svtech.com, http://www.svtech.com.vn/article/1214/, truy cập ngày 01/6/2016 [12] Pcworld.com,http://www.pcworld.com.vn/b/chuyenmuc/chuyenmuc/2009/11/1 194927/tan-cong-ma-doc-doi-pho truy cập ngày 02/6/2016