Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-
NGUYỄN QUỐC TUẤN
NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CÔNG
CÓ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH LONG AN
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
TP.HỒ CHÍ MINH -2017
Trang 2HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-
NGUYỄN QUỐC TUẤN
NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CÔNG
CÓ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH LONG AN
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
Trang 3i
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất cứ công trình nào
TPHCM, Ngày 15 tháng 8 năm 2017 Học viên thực hiện luận văn
Nguyễn Quốc Tuấn
Trang 4ii
LỜI CÁM ƠN
Lời đầu tiên em xin gửi lời cảm ơn đến toàn thể quý thầy, cô giáo Học viện Công nghệ Bưu chính Viễn thông đã tận tình chỉ bảo em trong suốt thời gian học tập tại nhà trường
Em xin gửi lời cảm ơn sâu sắc đến thầy TS.Võ Văn Khang, người đã trực
tiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốt thời gian làm luận văn tốt nghiệp
Bên cạnh đó, để hoàn thành luận văn tốt nghiệp, em cũng đã nhận được rất nhiều sự giúp đỡ, những lời động viên quý báu của bạn bè, gia đình và đồng nghiệp
Em xin chân thành cảm ơn
Tuy nhiên, do thời gian có hạn, mặc dù đã nỗ lực hết sức mình, nhưng chắc rằng luận văn của em khó tránh khỏi thiếu sót Em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy cô và các bạn
Trân trọng cảm ơn
TPHCM, ngày 15 tháng 8 năm 2017
Học viên thực hiện luận văn
Nguyễn Quốc Tuấn
Trang 5iii
MỤC LỤC
LỜI CAM ĐOAN i
LỜI CÁM ƠN ii
MỤC LỤC iii
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v
DANH SÁCH BẢNG vi
DANH SÁCH HÌNH VẼ vii
MỞ ĐẦU 1
Chương 1 - TỔNG QUAN VỀ TẤN CÔNG APT 4
1.1 Tổng quan về tấn công có chủ đích APT 4
1.2 Lịch sử phát triển của tấn công APT 4
1.3 Tấn công APT thông qua công cụ malware 8
1.4 Tấn công APT thông qua các hình thức khác 8
1.5 Xác định các đặc tính của APT 10
1.6 Sự khác biệt của APT với các mối đe dọa truyền thống 12
1.7 Kết luận chương 1 15
Chương 2 - CÁCH THỨC TẤN CÔNG APT VÀ PHƯƠNG PHÁP PHÒNG CHỐNG 16
2.1 Phân tích các giai đoạn tấn công APT 16
2.2 Các thuật toán điều khiển và cập nhật tính năng của APT 21
2.3 Phương pháp phát hiện các cuộc tấn công APT 22
2.3.1 Phân tích tĩnh 22
2.3.2 Phân tích động 24
2.3.3 Cập nhật và phân tích thông qua các công cụ 26
2.4 Các công cụ phòng chống APT hiện đại và nguyên lý hoạt động 27
2.4.1 Công cụ của hãng bảo mật FireEye 27
2.4.2 Công cụ của hãng bảo mật McAfee 31
2.4.3 Công cụ của hãng bảo mật NPCore 33
2.5 Kết luận chương 2 35
Chương 3 - XÂY DỰNG VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TOÀN THÔNG TIN CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU TRƯỚC CÁC CUỘC TẤN CÔNG APT 36
3.1 Hiện trạng hạ tầng Trung tâm tích hợp dữ liệu tỉnh Long An 36
Trang 6iv
3.2 Các nguy cơ mất an toàn trên hệ thống thông tin 40
3.3 Giới thiệu về sự cần thiết bảo đảm an toàn thông tin đối với Trung tâm tích hợp dữ liệu tỉnh Long An 43
3.4 Mô hình hóa biện pháp bảo vệ Trung tâm Tích hợp dữ liệu tỉnh Long An chống lại các cuộc tấn công APT 47
3.4.1 Một số phương pháp phòng chống APT 47
3.4.2 Mô hình an toàn cho Trung tâm THDL 51
3.4.3 Khuyến nghị áp dụng yêu cầu kỹ thuật cho Trung tâm THDL 52
3.5 Phương pháp đánh giá an toàn thông tin theo hướng tiếp cận phòng chống APT 55
3.5.1 Giới thiệu về các công cụ đánh giá 55
3.5.2 Thực nghiệm tấn công 57
3.5.3 Kịch bản tấn công 57
3.5.4 Mô phỏng tấn công 58
3.5.5 Đề xuất giải pháp cho Trung tâm TTDL 62
3.5.6 Kết quả thử nghiệm và đánh giá 63
3.6 Kết luận chương 3 65
KẾT LUẬN VÀ KIẾN NGHỊ 66
DANH MỤC TÀI LIỆU THAM KHẢO 67
Trang 7v
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT
APT Advanced Persistent Threat Mối đe dọa liên tục nâng cao DNS Domain Name System Hệ thống tên miền
FTP File Transfer Protocol Giao thức chuyển nhượng tập tin HTTP Hyper Text Transfer
Protocol
Giao thức truyền tải siêu văn bản
HTTPS Hyper Text Transfer
Protocol Secure
Trao đổi thông tin một cách bảo mật trên Internet
IP Internet Protocol Giao thức kết nối Internet
ISO International Organization
for Standardization Tổ chức tiêu chuẩn hóa quốc tế WAF Web Application Firewall Tường lửa ứng dụng web
SIEM Security Information
Event Managemet Giám sát an toàn mạng TTDL Data Center Trung tâm tích hợp dữ liệu
AV Antivirus Phần mềm phòng chống virút DLP Data Leak Prevention Ngăn chặn rò rỉ dữ liệu
NAC Network Access Control Điều khiển truy cập mạng
URL Uniform Resource Locator Tham chiếu tài nguyên mạng
Internet DMZ Demilitarized Zone Vùng mạng trung lập giữa mạng
nội bộ và mạng internet SSL Secure Sockets Layer Tiêu chuẩn của công nghệ bảo
mật IDS/IPS Intrusion detection
Trang 8vi
DANH SÁCH BẢNG
1.1 Những khác biệt giữa tấn công APT và tấn công truyền
thống
14
3.1 Hiện trạng cơ sở hạ tầng của Trung tâm THDL 36 3.2 Hiện trạng máy chủ 37 3.3 Chi tiết tường lửa 39 3.4 Danh sách trang thông tin điện tử 44 3.5 Số lượng Email trong tháng 02/2017 45 3.6 Tình hình giải quyết hồ sơ Quý I/2017 của tỉnh 46 3.7 Tình hình trao đổi văn bản tính đến ngày 16/4/2017 46
Trang 9vii
DANH SÁCH HÌNH VẼ
1.1 Giả mạo email với nội dung đính kèm có mã độc 8 1.2 Kỹ thuật watering hole 10 1.3 Tấn công vào điểm yếu nhất của hệ thống 13 2.1 Các giai đoạn của cuộc tấn công APT 16 2.2 Các cửa hậu kết nối với các máy chủ C&C 17 2.3 Đoạn script sử dụng trinh sát dò quét thông tin 19 2.4 Thuật toán DGA trong mã độc Locky 22 2.5 Dấu hiệu nhận biết của phần mềm Darkcomet 27 2.6 Các thành phần FireEye tích hợp tạo thành giải
pháp phòng chống APT tổng thể FireEye
27
2.7 Mô hình tích hợp của FireEye 29 2.8 Môi trường giả lập FireEye MVX 30 2.9 Xử lý song song trong môi trường MVX 31 2.10 Giải pháp của hãng McAfee 31 2.11 Mô hình triển khai 32 2.12 Bảo mật của hãng NPCore 33 2.13 Mô hình hệ thống của Zombie ZERO 34 3.1 Mô hình Trung tâm THDL 40 3.2 Công khai tiến độ giải quyết hồ sơ hành chính và
văn bản điện tử của tỉnh
46
3.3 Mô hình Trung tâm TTDL hoàn chỉnh 51 3.4 Quét Cổng thông tin điện tử tỉnh (longan.gov.vn) 52 3.5 Giao diện Kali Linux 56 3.6 Giao diện Veil-Evasion 57 3.7 Tạo IP và Port để lắng nghe 59 3.8 Công cụ mFileBinder 59
Trang 10viii
3.10 Lắng nghe kết nối 61 3.11 Kết nối đã được tạo 62 3.12 Giao diện của USM 63 3.13 Giao diện ghi nhận sự cố 64 3.14 Giao diện chi tiết sự cố 64
Trang 111
MỞ ĐẦU
1 Tính cấp thiết của đề tài
Trong những năm gần đây, các cuộc tấn công mạng có quy mô và mức độ lớn gia tăng dẫn đến gây mất mát dữ liệu, thiệt hại về kinh tế Theo thống kê của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), năm 2016 có 13.000 trang web bị hack, đến 15/5/2017 có hơn 5.500 trang web bị hack với hơn 10.900 liên kết (URL) bị tấn công hoặc cài mã độc Trong quý I/2017, ghi nhận có 952 sự
cố website lừa đảo, 2.709 trang web bị tấn công thay đổi giao diện, 2.381 sự cố phát tán mã độc Trong đó, website của cơ quan nhà nước có 64 website bị tấn công thay đổi giao diện, 2 website bị phát tán mã độc, 3 website bị tấn công lừa đảo Đối với tỉnh Long An, Trung tâm tích hợp dữ liệu của tỉnh đang quản lý vận hành các hệ thống thông tin trọng điểm của tỉnh bao gồm: Hệ thống Cổng thông tin điện tử, hệ thống thư điện tử, hệ thống quản lý văn bản và điều hành, hệ thống một cửa điện tử phục vụ cho nhu cầu chỉ đạo điều hành của lãnh đạo tỉnh và công tác chuyên môn của các cơ quan hành chính nhà nước trên địa bàn tỉnh Vì vậy, việc đảm bảo an toàn thông tin cho Trung tâm tích hợp dữ liệu của tỉnh là vấn đề hết sức quan trọng
Theo các chuyên gia bảo mật trong thời gian tới, tình hình tội phạm mạng tiếp tục diễn biến phức tạp, khó lường Thay vì các kiểu tấn công trước đây đã dùng chúng sẽ sử dụng công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn
Một trong các dạng tấn công tiêu biểu, được nhắc đến rất nhiều hiện nay là tấn công APT (Advanced Persistent Threat) Tấn công APT là hình thức tấn công nguy hiểm, có chủ đích mục tiêu rõ ràng và sử dụng nhiều loại phương pháp, công nghệ tinh vi và phức tạp để tấn công vào mục tiêu nhằm đạt được những thông tin mật, nhạy cảm Theo thông tin từ Hiệp hội an toàn thông tin VNISA, tháng 5 năm
2015, Hãng bảo mật của Mỹ là FireEye đã công bố nghiên cứu và báo cáo của mình
về phương thức kỹ thuật và chỉ đích danh nhóm tấn công APT30 xuất phát từ Trung Quốc đã tấn công và thâm nhập nhiều năm qua vào các máy tính của Việt Nam đặc biệt là các đối tượng phóng viên báo đài Báo cáo đã cho thấy các kiểu tấn công
Trang 122
APT thông dụng đã được công bố vẫn tiếp tục uy hiếp đến an ninh thông tin tại Việt Nam, khi ý thức của người sử dụng vẫn chưa được nâng cao.Mặc dù thiệt hại mà cuộc tấn công APT gây ra rất nghiêm trọng tuy nhiên việc phòng chống tấn công APT hiện nay vẫn bị xem nhẹ và chưa được đầu tư đúng đắn Do đó, việc nghiên cứu về cơ chế hoạt động của tấn công APT và giải pháp phòng chống là điều rất quan trọng sẽ góp phần bảo vệ tốt hơn hệ thống thông tin của mình Từ đó học viên
đã chọn đề tài “nghiên cứu biện pháp phát hiện tấn công có chủ đích APT để
bảo vệ Trung tâm tích hợp dữ liệu tỉnh Long An” để có cái nhìn tổng quan về
tấn công APT, nghiên cứu các giải pháp phòng chống và từ đó đề xuất giải pháp phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ liệu tỉnh Long An
2 Tổng quan vấn đề cần nghiên cứu
Vấn đề bảo đảm an toàn thông tin cho các hệ thống thông tin là một trong những vấn đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng hệ thống thông tin Ngày nay, các cuộc tấn công trên không gian mạng đang có xu hướng nhắm vào các cơ quan hành chính nhà nước với những mục đích và có ý đồ rõ ràng nhằm gây nhiễu thông tin cũng như phá hoại thông tin của các tổ chức hành chính nhà nước (thu thập thông tin tình báo có tính chất thù địch, đánh cắp dữ liệu, làm mất uy tín của cơ quan tổ chức, phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực….) Việc nghiên cứu về cơ chế hoạt động của tấn công APT và giải pháp phòng chống nhằm đưa ra cái nhìn tổng quan về tấn công APT, tìm hiểu các biện pháp phát hiện cuộc tấn công APT, tìm hiểu các giải pháp phòng chống tấn công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ liệu tỉnh Long An
3 Mục đích nghiên cứu
Nghiên cứu công nghệ tấn công APT: kỹ thuật, giai đoạn, mục đích, phương pháp; tìm hiểu các biện phát phát hiện cuộc tấn công APT, tìm hiểu các giải pháp phòng chống tấn công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ liệu tỉnh Long An
Trang 133
4 Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu: Hiện trạng Trung tâm tích hợp dữ liệu tỉnh Long An; nghiên cứu các phương pháp tấn công, mã độc hại trong cuộc tấn công APT; vấn đề
an toàn thông tin tại Trung tâm tích hợp dữ liệu tỉnh Long An; cách thức tấn công APT vào hệ thống thông tin; giải pháp khắc phục, biện pháp bảo vệ chống lại các cuộc tấn công APT
Phạm vi nghiên cứu:Nghiên cứu các phương pháp tấn công trong cuộc tấn công có chủ đích APT
5 Phương pháp nghiên cứu
Nghiên cứu lý thuyết: Nghiên cứu lý thuyết về cơ chế hoạt động và lây nhiễm malware; nghiên cứu các hình thức tấn công APT phổ biến trong những năm gần đây; các phương pháp phát hiện và phòng chống APT
Khảo sát thực tế: Khảo sát mô hình Trung tâm Tích hợp dữ liệu tỉnh Long An; tìm hiểu các công cụ bảo vệ hiện hữu của Trung tâm Tích hợp dữ liệu tỉnh Long An
Luận văn gồm 3 chương và phần kết luận tập trung nghiên cứu những vấn đề sau:
Chương 1: Tổng quan về tấn công APT
Chương 2: Cách thức tấn công APT và phương pháp phòng chống
Chương 3: Xây dựng và đề xuất một số giải pháp bảo đảm an toàn thông tin cho Trung tâm tích hợp dữ liệu trước các cuộc tấn công APT
Trang 144
Chương 1 - TỔNG QUAN VỀ TẤN CÔNG APT
1.1 Tổng quan về tấn công có chủ đích APT
Advanced Persistent Threat là một từ viết tắt được phát triển bởi MANDIANT, nhưng đã được đề cập trước đó bởi Mike Cloppart, được dùng để mô
tả kiểu tấn công dai dẳng và có chủ đích vào một thực thể được nhắm đến Thông thường tấn công APT có sự chuẩn bị kỹ càng và được thực hiện, hỗ trợ bởi một tổ chức hoặc cao cấp hơn là chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ cá nhân, doanh nghiệp, chính phủ nước khác
Các thành phần của kỹ thuật tấn công APT [12]:
Advanced (Nâng cao): thuật ngữ Advanced chỉ các kiểu tấn công cao cấp
hơn các thể loại thông thường Trong APT, tin tặc sử dụng các malware và các biến thể khác nhau để tiến hành qua mặt và xâm nhập vào hệ thống Các malware này phần lớn có thể qua mặt được các phương pháp bảo vệ truyền thống khác như Firewall, IPS, và phần mềm diệt virus
Persistent (Dai dẳng): thuật ngữ Persistent mang ý nghĩa việc tấn công luôn
theo sát để đạt được mục đích của nó Mục tiêu tấn công sẽ không bị tấn công ngay tức thì mà các mã độc sẽ đi theo nhiều đường khác nhau cho đến khi xâm nhập vào
hệ thống, sau đó chờ thời cơ Chúng chỉ thực sự kích hoạt tấn công khi phát hiện đúng mục tiêu
Threat (Mối đe dọa): APT là một mối đe dọa bởi vì nó có tiềm lực và chủ
đích Các cuộc tấn công APT được thực hiện bởi các hoạt động kết hợp, có mục tiêu
cụ thể và kẻ tấn công có kỹ năng, có tổ chức và có nguồn tài trợ dồi dào
1.2 Lịch sử phát triển của tấn công APT
Câu hỏi chúng ta phải tự hỏi là: "Nguồn gốc cuộc tấn công APT có từ đâu?" Trước khi thuật ngữ APT được sử dụng, có một số phiên bản nguyên thủy của APT Ngày nay thiết lập một cuộc tấn công APT được dựa trên nền tảng cơ bản gọi là một botnet trong đó có máy chủ chỉ huy và kiểm soát (C&C) Hầu hết chúng được tự
Trang 155
động bởi những Bot (như Zombies) Botnet đã tồn tại trong một thời gian rất dài kể
từ năm 1999 Trước tấn công APT chúng được chỉ đạo phối hợp cẩn thận bởi một tổ chức tội phạm như cuộc tấn công APT
Một số cuộc tấn công APT điển hình [13]:
“Operation Aurora” là kiểu tấn công phối hợp, cách tấn công này chứa một đoạn mã máy tính được dùng để khai thác lỗ hổng bảo mật trong Internet Explorer nhằm chiếm quyền truy cập hệ thống máy tính Khi khai thác thành công chúng sẽ được mở rộng để tải về và kích hoạt các phần mềm độc hại trong hệ thống Các cuộc tấn công được khởi xướng một cách bí mật khi người dùng truy cập vào các trang web độc hại (trong khi người dùng lại tin rằng đó là các trang web có uy tín), cuối cùng các máy tính được kết nối tới 1 máy chủ từ xa
- NightDragon (2009 - 2011)
Trang 166
Một chiến dịch không gian mạng được phối hợp và có đích ngắm bắt đầu vào tháng 11/2009, có tên là “Con rồng Đêm” (Night Dragon), được tiến hành chống lại các công ty toàn cầu về dầu lửa, năng lượng và hóa dầu Cuộc tấn công sử dụng các
kỹ thuật gồm kỹ thuật xã hội, spear phishing, khai thác các lỗ hổng hệ điều hành, Sau việc xác định các công cụ, kỹ thuật và các hoạt động mạng được sử dụng trong các cuộc tấn công, McAfee khẳng định rằng các cuộc tấn công đó đã xuất phát trước tiên tại Trung Quốc Cuộc tấn công ăn cắp các sở hữu trí tuệ từ các công ty khí đốt và dầu mỏ lớn
- Operation Shady Rat (2006 – 2011)
Ngày 3/8/2011, hãng bảo mật McAfee cảnh báo: Mỹ và nhiều nước cùng một số tổ chức quốc tế và các công ty quốc phòng của Mỹ đang là mục tiêu của một chiến dịch tấn công mạng trên toàn cầu có tên "Chiến dịch Chuột náu mình" (Operation Shady RAT)
Các tin tặc đã thực hiện chiến dịch khủng bố an ninh mạng này từ năm 2006
và nhiều chuyên gia cho rằng tác giả của nó là các tin tặc tại Trung Quốc Có 72 mục tiêu "đã bị tổn thương" trong các cuộc tấn công mạng này, trong đó có nhiều website chính phủ của các nước Mỹ, Canađa, Ấn Độ, Hàn Quốc Ngoài ra, hệ thống máy tính của các tổ chức đa phương như Liên hợp quốc, Hiệp hội các quốc gia Đông Nam Á (ASEAN), Ủy ban Olympic Quốc tế (IOC), các Ủy ban Olympic quốc gia, một phòng thí nghiệm của Bộ Năng lượng Mỹ và nhiều tập đoàn quốc phòng Mỹ cũng nằm trong danh sách nạn nhân "Chiến dịch Chuột náu mình" Tin tặc còn tìm cách truy cập và đánh cắp những dữ liệu nhạy cảm về các hệ thống quân
sự và liên lạc vệ tinh của Mỹ
- Stuxnet (2010)
Phát hiện vào tháng 6/2010 một sâu máy tính có tên gọi “Stuxnet” đã tấn công một cơ sở hạt nhân của Iran tại Natanz Stuxnet đã nhiễm vào hơn 60.000 máy tính, quá nửa trong số đó là ở Iran
Stuxnet là một chương trình máy tính tinh vi được thiết kế để xâm nhập và giành quyền kiểm soát đối với các hệ thống từ xa theo một cách thức bán tự chủ Nó
Trang 177
đại diện cho một thế hệ mới các phần mềm độc hại dạng sử dụng một lần and-forget” malwares) Các đối tượng mà Stuxnet nhắm tới đều được cách ly (air-gapped), nghĩa là chúng không kết nối với mạng internet công cộng và sự xâm nhập đòi hỏi phải sử dụng các thiết bị trung gian ví dụ như USB để giành quyền tiếp cận
(“fire-và thiết lập kiểm soát Khai thác bốn lỗ hổng bảo mật zero-day vì vậy không có thời gian để phát triển và phân phối các miếng vá, Stuxnet đã sử dụng các password mặc định của Siemens để truy cập vào các hệ điều hành Windows khai thác triệt để những lỗ hổng để phá hoại “Stuxnet” đã phá hoại hoạt động của hàng nghìn máy li tâm ở cơ sở làm giàu hạt nhân Natans của Iran
- Năm 2016 xảy ra vụ tin tặc tấn công các sân bay tại Việt Nam ngày 29/7/2016
Cuộc tấn công mạng ngày 29/07/2016 vào công tác phục vụ bay của các sân bay Nội Bài, Tân Sơn Nhất… là cuộc tấn công mạng có chuẩn bị công phu (sử dụng
mã độc không bị nhận diện bởi các các phần mềm chống virus); xâm nhập cả chiều sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau, vùng miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự kiện kinh tế, chính trị Có dấu hiệu cho thấy hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014, tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/7/2016 và đã vượt qua được các công cụ giám sát an ninh thông thường (như các phần mềm chống virus)
Cuộc tấn công diễn ra trên diện rộng với 02 điểm chính là cảng hàng không Nội Bài và Tân Sơn Nhất, cùng với một số sân bay nhỏ khác cũng bị ảnh hưởng do
Trang 188
hệ thống CNTT phục vụ khách hàng được kết nối liên thông với nhau Ngoài ra website của Vietnam Airlines và hệ thống điều khiển màn hình, loa phát thanh của các sân bay trên cũng bị xâm nhập và thay đổi dữ liệu
1.3 Tấn công APT thông qua công cụ malware
Những kẻ tấn công APT có sẵn một kho công cụ để khởi động và duy trì cuộc tấn công Các công cụ cho tấn công APT (APT Toolkit):
Malware – viết tắt của malicious software (phần mềm độc hại), là một thuật ngữ chỉ bất kì chương trình phần mềm nào được tạo ra để thực hiện các hành động trái phép và thường là có hại Viruses, backdoors, keyloggers, ăn cắp mật khẩu và các chương trình Trojan khác, Word và Excel macro viruses, boot sector viruses, script viruses (batch, windows shell, java, vv ) Trojans, crimeware, spyware và adware là một vài ví dụ về các phần mềm được coi là độc hại
1.4 Tấn công APT thông qua các hình thức khác
- Kỹ thuật Social Engineering
Trong tấn công APT, kẻ tấn công sử dụng spear-phishing email (một dạng phishing) đính kèm với file có vẻ vô hại mà mục tiêu có khả năng sẽ mở Hoặc liên kết đến các trang web có nhúng mã độc hại (được biết đến như là một cuộc tấn công watering hole) Các chương trình khác như file (.xls, doc, txt,…) và PDF cũng được tận dụng khai thác để thực thi phần mềm độc hại
Các bước xâm nhập máy tính nạn nhân sử dụng spear phishing email được
mô tảnhư hình 1.1dưới đây:
Trang 199
Hình 1.1: Giả mạo email với nội dung đính kèm có mã độc
Tấn công “watering hole” là hình thức tấn công thông qua việc lừa người dùng truy cập vào các website chứa mã độc Kẻ tấn công thường nhắm đến các website có nhiều người truy cập, các trang web đen hoặc tạo ra các website riêng của chúng để lừa người dùng và cố gắng chèn các mã khai thác liên quan đến các lỗ hổng trình duyệt vào website Bất cứ khi nào người dùng truy cập vào website, các
mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng
Kỹ thuật tấn công “watering hole” thường hoạt động theo kịch bản sau [19]:
- Kẻ tấn công sẽ cố gắng thu thập các dữ liệu về tổ chức, doanh nghiệp mà
họ muốn tấn công Các thông tin thu thập có thể bao gồm danh sách các website mà các nhân viên hay thành phần lãnh đạo của tổ chức thường xuyên truy cập Và bắt đầu tìm kiếm các website mà họ để có thể xâm nhập, ngoài ra hacker thường sử dụng kỹ thuật tấn công “local attack” để tìm kiếm nhiều các website trên cùng một máy chủ để thực hiện tấn công
- Sau khi đã chiếm được quyền điều khiển của một website mà các nhân viên của tổ chức thường xuyên truy cập Hacker sẽ thực hiện chèn các mã khai thác vào website Thông thường thì sẽ là các lỗ hổng bao gồm cả lỗ hổng đã có bản vá hay các cả lỗ hổng Zero-day để khai thác qua trình duyệt, flash hay Java (Flash & java thường được cài đặt mặc định trên máy tính của người sử dụng)
- Bất cứ khi nào ai đó hoặc nhân viên của tổ chức truy cập vào website này thì lập tức mã độc sẽ được thực thi và hacker có thể chiếm được quyền điều khiển cũng như cài đặt các chương trình độc hại được điều khiển từ xa (RAT- Remote Administration Tool) lên máy tính nạn nhân từ đó khai thác các thông tin từ người dùng hoặc sử dụng chính máy đó làm zombie để tấn công các máy tính khác
Trang 2010
Hình 1.2: Kỹ thuật watering hole
- Khai thác các lỗ hổng Zero-day và các Exploit khác
Một zero-day exploit là một lỗ hổng trong một sản phẩm phần mềm mà cho phép một kẻ tấn công thực thi mã không mong muốn hoặc giành quyền kiểm soát máy tính của mục tiêu Những exploit này thường được khai thác trong các cuộc tấn công spear-phishing và watering hole Các kẻ tấn công khai thác các lỗ hổng zero-day chưa từng được biết đến hoặc chưa từng được công bố
- Insiders và Recruits
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết Đó chính là Insider Attack - tấn công nội bộ Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống của tổ chức, và di chuyển ra vào tự do trong tổ chức đó
- Forged và Fake Certificates (giả mạo chứng chỉ điện tử)
Thông thường kẻ tấn công sử dụng các chứng chỉ SSL giả mạo cho các website không có thật và mạo danh là một trang web hợp pháp Những kẻ tấn công thường sử dụng các chứng chỉ số tự ký (self-signed) hoặc các chứng chỉ ăn cắp được (những chứng chỉ này được hầu hết các trình duyệt chấp nhận)
1.5 Xác định các đặc tính của APT
Các đặc tính của tấn công APT:
Trang 21có thể mất vài tháng hoặc thậm chí vài năm Sử dụng nhiều các kỹ thuật, phương pháp khác nhau để tấn công vào mục tiêu đến khi thành công
Để đạt được mục đích đã đề ra thì hacker cần phải thực hiện rất nhiều các công đoạn khác nhau, tấn công vào nhiều các thành phần trong hệ thống do vậy một gợi ý trong việc phát hiện các tấn công APT là cần kết hợp, xâu chuỗi nhiều sự kiện
an ninh lại với nhau
APT dai dẳng vì kẻ tấn công rất kiên trì và tập trung để tránh bị phát hiện Nếu một tổ chức là mục tiêu của APT thì tổ chức đó có thể phải chịu một thất bại nghiêm trọng bởi hình thức tấn công này mất rất nhiều tháng nghiên cứu và lập kế hoạch
- Evasive (Tránh né và ẩn mình)
Tấn công APT được thiết kế có hệ thống để có thể tránh các sản phẩm bảo mật truyền thống mà hầu hết các tổ chức đã sử dụng như Firewall, IPS, Antivirus, … Một số ví dụ điển hình về khả năng tránh né và ẩn mình của APT:
+ Để đạt được quyền truy cập vào máy chủ của mục tiêu, tấn công phải tránh
bị tường lửa mạng phát hiện thì kẻ tấn công thường sử dụng các Port và Service hợp
lệ (như HTTP (80), HTTPS (443), SMTP (25),…) Khi đó, các thiết bị bảo mật sẽ không thể phát hiện ra mối nguy hại cho hệ thống để có thể ngăn chặn được tấn công
+ Những kẻ tấn công thường thiết kế những mã độc riêng cho từng mục tiêu
và chưa từng bị phát biện bởi AV vì không có trong tập mẫu Chính đặc điểm mới
Trang 2212
này khiến cho AV không thể bảo vệ được nạn nhân, nên nạn nhân rất khó biết được
sự tồn tại của tấn công mặc dù chúng đã đang tấn công hệ thống của mình
+ Khi gửi dữ liệu ra ngoài để tránh việc phát hiện của các IPS thì hacker thực hiện việc mã hóa dữ liệu Khi đó, dữ liệu của nạn nhân bị đánh cắp mà nạn nhân không hề biết
- Complex (Phức tạp)
Điểm khác biệt lớn giữa tấn công APT và các cuộc tấn công khác là việc APT
sử dụng phối kết hợp nhiều các kỹ thuật khác nhau một cách khoa học và bài bản nhằm những mục tiêu nhiều lỗ hổng bảo mật trong các tổ chức Lý do để gọi nó là Advanced Persistent Threat là bởi vì nó được lên kế hoạch rất khoa học và được thực hiện và phối hợp với tất cả các công cụ có sẵn Tấn công APT có mục tiêu là một tổ chức cụ thể (hoặc nhóm các tổ chức) APT có thể sử dụng một loạt các công
cụ từ malware đơn giản đến phức tạp Những mã độc hại được tạo ra để khai thác các lỗ hổng "zero-day" (các lỗ hổng chưa từng được biết đến hoặc chưa từng được công bố) Ví dụ, một cuộc tấn công APT có thể dựa trên kỹ thuật lừa đảo (social engineering) qua điện thoại để xác định cá nhân cần thiết trong tổ chức; lừa đảo email gửi đến những cá nhân cần thiết với các liên kết đến một trang web chứa mã Javascript để cài đặt công cụ truy cập từ xa,
1.6 Sự khác biệt của APT với các mối đe dọa truyền thống
Sự khác biệt quan trọng nhất giữa APT và các mối đe dọa truyền thống đó là đặc điểm targeted (mục tiêu) Trong khi việc bảo vệ vòng ngoài (vành đai) và sử dụng các kiểm soát an ninh tiêu chuẩn có thể bảo vệ một tổ chức từ những cuộc tấn công tiêu chuẩn, các kỹ thuật này có thể không đủ khi đối mặt với APT Các kẻ tấn công kiên nhẫn có thể chờ đợi những lỗ hổng mới để khai phá một điểm yếu hoặc
có thể kết hợp các lỗ hổng nhỏ thành một lỗ hổng lớn để tấn công
Một kẻ tấn công trong APT có thể mất vài tháng hoặc thậm chí nhiều năm để trích xuất dữ liệu của mục tiêu, đánh bại các hệ thống đầy đủ tính năng và cấu hình tốt Sau đây là một số đặc điểm khác biệt giữa APT và các hình thức tấn công khác:
Trang 2313
- Thu thập thông tin: APT thực hiện một số lượng lớn sự trinh sát thông tin
mã nguồn mở và đóng để làm tăng cơ hội thành công gần như 100%
- Low and slow: Các cuộc tấn công APT xảy ra trong thời gian dài những kẻ
tấn công APT thực hiện di chuyển low and slow (thấp và chậm) và giám sát liên tục cho đến khi đạt được mục tiêu của họ
- Hình thức tấn công liên tục nâng cao: APT được thiết kế để đáp ứng với
các yêu cầu của hoạt động gián điệp quốc tế hoặc phá hoại Mục tiêu của APT có thể bao gồm quân sự, chính trị hoặc thu thập thông tin tình báo kinh tế, dữ liệu bí mật thương mại làm gián đoạn hoạt động của tổ chức
- Nhắm vào các điểm yếu nhất của hệ thống:
Điểm yếu của hệ thống mà các kẻ tấn công APT thường nhắm đến đó là các
cá nhân Các tấn công truyền thống thường nhắm mục tiêu là các máy chủ bởi vì đó
là nơi chứa các dữ liệu quan trọng Tuy nhiên, các kẻ tấn công APT biết được rằng máy chủ là nơi được bảo vệ và thường khó khăn hơn nhiều để có thể đột nhập vào
Vì vậy, dễ dàng hơn khi nhắm mục tiêu vào những đối tượng có truy cập vào các thông tin quan trọng và những người dùng Việc lừa đảo người dùng mở một file đính kèm hoặc truy cập vào một liên kết là rất dễ dàng và nó trở thành một trong những phương pháp được ưa thích [19]
Tuy nhiên, cần xác định rằng đây không phải phương pháp duy nhất APT sử dụng Ngay sau khi phương pháp này không còn chứng minh được tính khả thi, các
kẻ tấn công sẽ nhanh chóng chuyển sang một phương pháp mới Ngoài ra, APT đảm bảo truy cập liên tục vào hệ thống của mục tiêu Tấn công vào điểm yếu nhất của hệ thống - thiết bị người dùng cuối được mô tả như hình 1.3
Trang 2414
Hình 1.3:Tấn công vào điểm yếu nhất của hệ thống
- Duy trì việc truy cập dài hạn:
APT thường muốn tiếp cận lâu dài vào tổ chức, luôn tìm kiếm thông tin có giá trị Tùy từng mục tiêu tấn công, kẻ tấn công không muốn ăn cắp những thông tin
mà đôi khi muốn gây ra các thiệt hại lâu dài
Quá trình tấn công diễn ra theo nhiều giai đoạn khác nhau và trong khoảng thời gian dài Đồng thời sử dụng nhiều công cụ, kỹ thuật khác nhau để tấn công vào mục tiêu
Trước khi thực hiện tấn công, kẻ tấn công thực hiện thăm dò về mục tiêu, chuẩn bị các công cụ đảm bảo cho cuộc tấn công sẽ thành công Để thực hiện xâm nhập vào hệ thống mục tiêu, những kẻ tấn công APT thường thực hiện gửi email có đính kèm mã độc hại hoặc liên kết đến trang web độc hại để dụ dỗ nạn nhân truy cập vào Sau khi xâm nhập thành công vào hệ thống nạn nhận, kẻ tấn công tìm cách cài đặt backdoor để giành quyền truy cập trong hệ thống mục tiêu đồng thời trích xuất dữ liệu để đưa ra bên ngoài Tấn công APT rất khó phát hiện và là cuộc tấn công nguy hiểm Vì vậy, việc hiểu biết để có phương pháp bảo vệ tối ưu là cần thiết [10]
Trong bảng 1.1, tổng kết lại những khác biệt giữa tấn công APT và các mối
đe dọa truyền thống
Bảng 1.1: Những khác biệt giữa tấn công APT và tấn công truyền thống
Tấn công truyền thống Tấn công APT
Kẻ tấn công Chủ yếu là cá nhân Nhóm có tổ chức, được xác
định và có nguồn lực tốt
Mục tiêu Không xác định, hệ thống chủ
yếu là cá nhân, đơn lẻ
Các tổ chức, cơ quan chính phủ, các doanh nghiệp thương mại cụ thể
Mục đích Lợi ích tài chính, khả năng thể
hiện bản thân Lợi thế cạnh tranh, lợi ích chiến lược
Tiếp cận Một lần, phá và lấy cắp trong
thời gian ngắn
Nỗ lực lặp đi lặp lại, di chuyển thấp và chậm, thích ứng để chống lại các phòng
Trang 2515
thủ, duy trì sự hiện diện dài hạn
1.7 Kết luận chương 1
Những kết quả đạt được trong chương 1 như sau:
- Trình bày các vấn đề cơ bản nhất về tấn công APT như khái niệm, lịch sử, các đặc điểm, các hình thức tấn công
- Trình bày về sự khác biệt giữa tấn công APT và các tấn công truyền thống
Trang 2616
Chương 2 - CÁCH THỨC TẤN CÔNG APT VÀ PHƯƠNG
PHÁP PHÒNG CHỐNG
2.1 Phân tích các giai đoạn tấn công APT
Tấn công APT có mục tiêu là một tổ chức cụ thể (hoặc nhóm các tổ chức)
APT có thể sử dụng một loạt các công cụ từ malware đơn giản đến phức tạp, những
mã độc hại được tạo ra để khai thác các lỗ hổng "zero-day" [5]
Các giai đoạn trong một cuộc tấn công APT [14] được mô tả như hình 2.1
Hình 2.1: Các giai đoạn của cuộc tấn công APT
- Tổn thương ban đầu (Initial Compromise)
Giai đoạn tổn thương ban đầu đại diện cho các phương pháp mà những kẻ
tấn công sử dụng để thâm nhập vào mạng của tổ chức mục tiêu Những kẻ tấn công
APT thường ngắm đích vào người sử dụng cá nhân trong môi trường của nạn nhân
Các thông điệp spear phishing có thể bao gồm việc gắn kèm mã độc hại, một liên
kết tới một tệp độc hại, hoặc một liên kết tới một website độc hại Ít thông dụng
hơn, những kẻ tấn công APT có thể cố gắng liên lạc với các nạn nhân và gửi các nội
dung độc hại thông qua các site mạng xã hội hoặc trình thông điệp tức thì (chat)
Chiến thuật phổ biến khác là làm tổn thương web có chiến lược, trong đó kẻ tấn
công đặt mã độc lên các website mà mọi người trong các tổ chức mục tiêu có khả
năng sẽ truy cập Khi họ truy cập các website đó trong quá trình làm nhiệm vụ
thông thường của họ, họ sẽ bị tổn thương nếu máy tính có khả năng bị tổn thương
do mã khai thác của kẻ tấn công Các nhóm APT cũng có thể tìm kiếm các máy chủ
trên Internet có khả năng bị lỗ hổng và tải lên các webshell để giành quyền truy cập
tới mạng nội bộ của mục tiêu, hoặc tìm kiếm các lỗ hổng khác trong hạ tầng công
cộng
Tổn thương ban
Leo thang quyền ưu tiên
Trinh sát
Trang 2717
- Thiết lập chỗ đứng (Establish Foothold)
Việc thiết lập chỗ đứng đảm bảo rằng các nhóm mối đe dọa APT có thể truy cập và kiểm soát một hoặc nhiều máy tính trong tổ chức của các nạn nhân từ bên ngoài mạng Một cửa hậu là phần mềm mà cho phép hacker gửi đi các lệnh tới hệ thống đó từ xa Trong hầu hết các trường hợp, các cửa hậu APT khởi tạo các kết nối đi ra ngoài tới máy chủ “chỉ huy và kiểm soát” - C&C (Command and Control) của hacker (hình 2.2) Các nhóm APT có thể ứng dụng các cửa hậu công khai (Gh0st RAT và Poison Ivy là những ví dụ phổ biến), ngoài ra phần lớn các cửa hậu được tùy biến riêng do hacker tự phát triển Các cửa hậu đó thường thiết lập kết nối đi ra ngoài từ mạng của nạn nhân tới máy tính được các tin tặc kiểm soát Các cửa hậu sẽ giúp cho các nhóm APT có quyền truy cập cơ bản tới một hệ thống, thường thông qua một lệnh shell hoặc giao diện đồ họa của người sử dụng
Hình 2.2: Các cửa hậu kết nối với các máy chủ C&C
- Leo thang quyền ưu tiên (Escalate Privileges)
Leo thang các quyền ưu tiên có liên quan tới việc có được các quyền cho phép truy cập tới nhiều tài nguyên hơn trong môi trường của nạn nhân Thông thường nhất điều này bao gồm việc giành được các tên người sử dụng và mật khẩu, nhưng nó cũng có thể bao gồm việc giành được sự truy cập tới các chứng thực hạ tầng khóa công khai - PKI (Public Key Infrastructure), phần mềm máy trạm mạng riêng ảo VPN (Virtual Private Network), các máy tính được ưu tiên hoặc các tài nguyên khác có yêu cầu truy cập tới các dữ liệu hoặc hệ thống có quan tâm Những
kẻ thâm nhập trái phép của APT (và những kẻ thâm nhập trái phép nói chung) ưu
Trang 28- Trinh sát nội bộ (Internal Reconnaissance)
Trong giai đoạn trinh sát nội bộ, kẻ thâm nhập trái phép thu thập thông tin về môi trường của nạn nhân Các tác nhân của các mối đe dọa APT sử dụng các lệnh
hệ điều hành được xây dựng sẵn (như các lệnh “net” của Windows) để giành lấy thông tin về mạng nội bộ, bao gồm các máy tính, các mối quan hệ tin cậy, người sử dụng, nhóm (hình 2.3) Để nhận diện các dữ liệu có quan tâm, chúng có thể thực hiện các liệt kê chia sẻ thư mục và mạng, hoặc tìm kiếm các dữ liệu theo phần mở rộng tệp, các từ khóa, hoặc ngày tháng được sửa đổi mới nhất Các dữ liệu có quan tâm có thể ở nhiều dạng, nhưng phổ biến nhất là các tài liệu, các nội dung của các tài khoản thư điện tử của người sử dụng, hoặc các cơ sở dữ liệu Vì thế các máy chủ tệp, máy chủ thư điện tử và các điều khiển miền thường là các mục tiêu của sự trinh sát nội bộ Một số nhóm APT ứng dụng các script tùy biến để tự động hóa qui trình trinh sát và nhận diện dữ liệu có quan tâm
Trang 2919
Hình 2.3: Đoạn script sử dụng trinh sát dò quét thông tin
Hình 2.3 cho thấy đoạn Script này thực hiện các chức năng như sau và lưu
các kết quả vào một tệp văn bản:
+ Hiển thị thông tin cấu hình mạng của nạn nhân
+ Liệt kê các dịch vụ đã bắt đầu trong hệ thống của nạn nhân
+ Liệt kê các tiến trình hiện đang chạy
+ Liệt kê các tài khoản trong hệ thống
+ Liệt kê các tài khoản với các quyền ưu tiên của người quản trị
+ Liệt kê các kết nối mạng hiện hành
+ Liệt kê các chia sẻ mạng được kết nối hiện hành
+ Liệt kê các hệ thống khác trong mạng
+ Liệt kê các máy tính các tài khoản mạng theo nhóm (“các trình kiểm soát
miền - domain controllers”, “những người sử dụng của miền - domain users”, “các
quản trị viên của miền - domain admins”, …)
- Dịch chuyển biên (Move Laterally)
Trong hầu hết các trường hợp, các hệ thống mà những kẻ thâm nhập trái
phép ban đầu gây tổn thương không có các dữ liệu mà chúng muốn Vì thế chúng
phải dịch chuyển biên bên trong một mạng tới các máy tính khác, hoặc chứa các dữ
liệu đó, hoặc cho phép chúng truy cập nó Các nhóm APT lợi dụng các ủy quyền
của người sử dụng bị tổn thương hoặc các công cụ truyền hàm băm để giành được
sự truy cập bổ sung tới các máy tính và các thiết bị trong mạng của một nạn nhân
Chúng thường sử dụng các ủy quyền bị tổn thương bằng PsExec hoặc Windows
Trang 3020
Task Scheduler (trình lập lịch các tác vụ của Windows) (“at.exe”) để thực thi các lệnh và cài đặt các phần mềm độc hại lên các hệ thống ở xa Các hành động này là khó để dò tìm ra vì những người quản trị hệ thống hợp pháp cũng sử dụng các kỹ thuật đó để thực hiện các hành động quản trị trong mạng
- Duy trì sự hiện diện (Maintain Presence)
Trong giai đoạn này, những kẻ thâm nhập trái phép tiến hành các hành động
để đảm bảo sự kiểm soát liên tục đối với các hệ thống chủ chốt trong môi trường mạng từ bên ngoài của mạng đó Các nhóm APT thường cài đặt các cửa hậu mới (các cửa hậu khác so với các cửa hậu được cài đặt trong giai đoạn Thiết lập Chỗ đứng) trong môi trường đó trong quá trình của chiến dịch Chúng có thể cài đặt các
họ phần mềm độc hại khác nhau vì sự dư thừa dự phòng và làm cho khó xác định và loại bỏ được tất cả các điểm truy cập của chúng Hơn nữa, các nhóm APT có thể thiết lập các phương pháp truy cập mạng mà không có liên quan tới các cửa hậu, sao cho chúng có thể duy trì được sự hiện diện thậm chí nếu nhân viên an ninh mạng phát hiện được và loại bỏ phần mềm độc hại đó Các phương pháp đó có thể bao gồm sử dụng các ủy quyền PKI hoặc VPN hợp lệ, cho phép những kẻ thâm nhập trái phép ngụy trang như là một người sử dụng hợp pháp để giành được sự truy cập tới mạng của một tập đoàn và các tài nguyên nội bộ Trong một số trường hợp các tác nhân với đe dọa APT đã từng có khả năng phá vỡ xác thực 2 yếu tố để duy trì sự truy cập tới mạng của một nạn nhân và các tài nguyên của nó
- Hoàn tất nhiệm vụ (Complete Mission)
Mục tiêu chính của APT là ăn cắp các dữ liệu, bao gồm sở hữu trí tuệ, các hợp đồng hoặc thương thảo kinh doanh, các tài liệu chính sách hoặc các bản ghi nhớ nội bộ Một khi các nhóm của APT tìm thấy được các tệp mong muốn trong các hệ thống bị tổn thương, chúng thường nén các tệp đó trong các tệp lưu trữ trước khi ăn cắp chúng Phổ biến nhất, chúng sử dụng tiện ích RAR cho tác vụ này, nhưng cũng
có thể sử dụng các tiện ích có sẵn công khai khác như ZIP hoặc 7-ZIP Các tác nhân của các mối đe dọa APT không chỉ nén dữ liệu, mà còn thường xuyên bảo vệ bằng mật khẩu cho những dữ liệu đó Từ đó chúng sử dụng các phương pháp khác nhau
Trang 3121
để truyền các tệp ra khỏi mạng của nạn nhân, bao gồm FTP, các công cụ truyền tệp tùy biến, hoặc các cửa hậu đang tồn tại
2.2 Các thuật toán điều khiển và cập nhật tính năng của APT
Máy chủ C&C đóng một vai trò thiết yếu trong việc điều khiển phần mềm độc hại Những kẻ tấn công thiết lập các máy chủ C&C để phân phối các lệnh hoặc thu thập dữ liệu nhạy cảm từ các máy tính của nạn nhân
Các thiết lập C&C đơn giản dựa trên các IP được mã hóa cứng có thể dễ dàng được phát hiện Nhà phân tích có thể liệt kê danh sách đen địa chỉ IP hoặc tên miền của máy chủ C&C và có thể cấm truy cập hoặc rộng hơn gỡ bỏ máy chủ xuống Để hạn chế việc bị phát hiện máy chủ C&C, hiện nay các biến thể của mã độc đã sử dụng thuật toán sinh tên miền (Domain Generation Algorithm – DGA) để tương thích với phương pháp giao tiếp với C&C thông thường của mã độc [21]
Các mã độc sử dụng DGA để định kỳ tạo ra một số lượng lớn các tên miền
có thể sử dụng truyền thông với máy chủ C&C, và chỉ để một tên miền sống vào một thời điểm nhất định, các máy tính bị lây nhiễm mã độc sẽ cố gắng liên lạc với một số tên miền nhất định này mỗi ngày để nhận các bản cập nhật tính năng và lệnh
từ máy chủ C&C Những tên miền được sinh ra trong DGA phần lớn không được đăng ký và là những tên miền không tồn tại NXDomain (Non-eXistent Domain)
Kẻ tấn công lợi dụng DGA có thể qua mặt cơ chế chặn theo tên miền, chống đánh sập tên miền và chống phân tích động và trích xuất tên miền C&C
Ví dụ: Đoạn mã giả được đánh dấu trong hình 2.4 thể hiện mã độc Locky (một loại mã độc ransomware) sử dụng DGA sinh tên miền mới dựa trên ngày tháng năm hiện tại Với thuật toán này, 6 địa chỉ C&C được tạo ra mỗi ngày
Trang 32Phân tích tĩnh có ưu điểm là an toàn hơn phân tích động; vì mã thực thi không chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu … Chỉ cần có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích chúng ta
Trang 3323
vô tình thực thi mã độc (click đúp, hoặc chạy thư viện mã độc) Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên môi trường mà
nó không thực thi (ví dụ phân tích mã độc trên Windows trong hệ điều hành Linux)
Kỹ thuật lấy thông tin ban đầu về file
Trước khi làm bất kì việc gì, chúng ta nên tính toán giá trị băm cho mỗi file cần phân tích Thông thường sẽ sử dụng các hàm mã hoá MD5, SHA Sau khi tính toán, chúng ta có thể biết được mã độc có tự thay đổi nó hay không
Kỹ thuật quét virus
Nếu file được kiểm tra là một phần của một mã độc nổi tiếng, hoặc đã được phân tích bởi các công ty an ninh mạng, diệt vius, thì có khả năng nó sẽ được nhận
ra bởi một chương trình diệt virus Khi đó nhiệm vụ của người phân tích là sẽ tìm kiếm thông tin từ nhà cung cấp phần mềm diệt virus, qua đó nắm được cơ bản hành
vi, cách thức lây lan, hoạt động của mã độc đó, tuy nhiên nó chỉ nằm ở mức cơ bản
Phát hiện các trình packer
Packer là một trình bảo vệ, nén file thực thi, thường được sử dụng để bảo vệ file thực thi khỏi quá trình dịch ngược, và để giảm dung lượng file Chúng có thể thay đổi luồng thực thi của chương trình, mã hoá các chuỗi, tránh debug… Khi thực thi, các lớp bảo vệ này được tự động gỡ ra, và chương trình sẽ hoạt động như chương trình ban đầu Có rất nhiều các mã độc sử dụng nhiều packer khác nhau nhằm gây khó khăn cho người phân tích
Sử dụng chuỗi tìm được
Để hiểu được những gì một chương trình thông thường làm, chúng ta thường tìm đọc các tài liệu đi kèm, hướng dẫn sử dụng… Với mã độc cũng tương tự, tuy nhiên không có tài liệu hay hướng dẫn Thay vào đó là những thông tin hữu ích trong file thực thi là điều đáng chú ý
Công cụ xem cấu trúc của file thực thi (trên windows gọi chung là PE file):
PE file (portable executable) là định dạng được sử dụng bởi các file thực thi của hệ điều hành Windows Có nhiều thông tin quan trọng mà định dạng này cung cấp như:
Trang 3424
- Ngày tháng biên dịch
- Các hàm trong thư viện được chương trình gọi
- Hàm mà chương trình hay thư viện cung cấp
- Biểu tượng, menu, phiên bản và các chuỗi tích hợp trong tài nguyên file
Công cụ dịch ngược
Sau khi đã có thông tin cơ bản về mã độc ở các bước trên, công việc chính tiếp theo là hiểu cách hoạt động của nó, bằng cách xem mã thực thi ở dạng có thể hiểu được (dưới dạng ngôn ngữ assembly) Rất nhiều những công cụ có khả năng dịch ngược từ mã máy sang mã assembly Tuy nhiên hiện nay công cụ được ưa thích, rất mạnh, và dễ sử dụng đó là IDA (Interactive Disassember)
Các công cụ so sánh file
Dùng để so sánh các file trước và sau khi hệ thống bị lây nhiễm mã độc Giả
sử có một file chưa lây nhiễm, và một người gửi đến trung tâm phân tích một file đã nhiễm mã độc, thì đây là công cụ cần sử dụng đầu tiên Không chỉ đưa ra thông tin
về những byte khác nhau, các công cụ này còn có khả năng đưa ra mã assembly của những đoạn đó, giúp cho người phân tích dễ dàng thấy được các hoạt động của mã độc
2.3.2 Phân tích động
Phân tích động (Dynamic analysis): dựa vào hành vi thực thi của mã độc để đưa ra đánh giá về ảnh hưởng của mã độc đối với hệ thống Phân tích động là phân tích cách hoạt động của virus khi nó được thực thi, nó kết nối đến đâu, lây lan như thế nào, cài đặt những gì vào hệ thống, thay đổi thành phần nào, hoạt động ra sao Thông thường việc phân tích động mã độc thường thông qua hệ thống máy ảo Sandbox Phân tích động thường dựa vào các công cụ monitor hệ thống mạng (như ProcessMon, TCPView, Autoruns…)
Ưu điểm:
-Cho cái nhìn nhanh chóng và tổng quát về mã độc được phân tích
- Giám sát được các hành động của phần mềm độc hại khi thực hiện trên hệ thống
Trang 3525
Nhược điểm:
-Với những hành vi bất thường của mã độc thì việc phân tích còn hạn chế
- Đôi khi rất khó có thể thực thi được phần mềm độc hại do cần tham số thực thi
Quá trình phân tích động có thể mô hình theo các bước sau đây:
-Bước 1 Bật chương trình Process Explorer
- Bước 2 Bật chương trình bắt gói tin Wireshark
- Bước 3 Khởi động chương trình SysAnalyzer
- Bước 4 Khởi động chương trình Regshot và chạy lấy thông tin registry hiện thời của hệ thống lần đầu tiên
- Bước 5 Load mã độc hại vào chương trình SysAnalyzer để chạy mã độc hại
- Bước 6 Chạy tiếp chương trình Regshot để so sánh thông tin registry đã thay đổi những gì
- Bước 7 Kiểm tra chương trình Process Explorer, Svchost Process Analyzer
- Bước 8 Kiểu tra chương trình Wireshark và TCPView để xem các thông tin về kết nối
Đối với các mẫu không phải virus (trojan, adware, worm, …) hoặc các mẫu không cần phân tích mà chỉ cần theo dõi hành vi tác động lên hệ thống thì chỉ cần dừng lại ở bước phân tích qua các công cụ giám sát Đối với các mẫu virus (có hành
vi lây file) hoặc các mẫu khác cần phân tích để lấy các đoạn mã cụ thể, cần thực hiện giai đoạn phân tích để lấy các thông tin chi tiết hơn
Sau giai đoạn theo dõi và phát hiện mã độc, chúng ta đã có các thông tin cơ bản liên quan tới mẫu cần phân tích: Các tài nguyên mẫu tác động tới: các file, thư mục, key trên thanh ghi, cách thức hoạt động cơ bản (Hình thức, cách thức và trình
tự lây lan, phá hoại) Nhiệm vụ của việc phân tích nhằm: Tìm ra triệt để các hành vi phá hoại, phân tích để diệt mẫu toàn diện nhất
Trang 3626
Để phân tích nhằm tìm cách thức lây file, ta sử dụng chương trình mồi và sử dụng ProcessMonitor để theo dõi được thư mục nào là thư mục đầu tiên mà mẫu cần phân tích, đưa các chương trình mồi vào và theo dõi sự thay đổi của chương trình mồi Nếu chương trình mồi bị thay đổi, ta chuyển sang bước tiếp theo, nếu không, ta thay thế bằng các chương trình mồi khác và tiếp tục thử khi chọn được chương trình mồi hợp lý
Để phân tích các hành vi ta cần dựa vào các hành vi cần theo dõi từ giai đoạn kiểm tra, theo dõi và phát hiện chúng ta sẽ lựa chọn các API tương ứng Tương tác tới registry, có các API: RegCloseKey, RegOpenKeyEx, RegQueryInfoKey, RegQueryValueEx…
Tương tác tới các trình duyệt để lấy Cookie: các API tương tác tới file, đồng thời quan sát thư mục liên quan tới browser: mở cổng hậu, tạo các socket kết nối: WSAStartup, WSASocket, WSAConnect, WSAAccept, WSASend, WSARec
Từ các hành vi này, ta tiến hành đặt các break point tại các API quan tâm và tìm được vị trí các đoạn mã mong muốn
Mỗi phương pháp đều có điểm mạnh, điểm yếu riêng Vì thế khi phân tích
mã độc cần kết hợp cả 2 phương pháp phân tích tĩnh và phân tích động mới hiệu quả
2.3.3 Cập nhật và phân tích thông qua các công cụ thu thập thông tin tình
báo
“Indicator of Compromise” hay IOC là những mảnh dữ liệu cho thấy dấu vết của sự đột nhập còn lưu lại trên hệ thống Những dữ liệu đó là những đoạn log, những email còn lưu lại, địa chỉ IP của việc download dữ liệu, giá trị md5 của các malware,… IOC giúp cho các tổ chức chia sẽ thông tin về mối đe dọa một cách nhanh chóng, ngày nay tham gia cộng đồng OpenIOC, sử dụng OpenIOC framework sẽ có khả năng phát hiện các mối đe dọa tiên tiến nhất
Một trong những công cụ thông dụng để tiến hành điều tra các dấu hiệu tấn công trên máy chủ đó là công cụ Redline [22]
Trang 3727
Ví dụ: Đoạn mã XML trong hình 2.5 là dấu hiệu nhận biết của công cụ
Darkcomet – đây là một RAT- Remote Administration Tool phổ biến
Hình 2.5: Dấu hiệu nhận biết của phần mềm Darkcomet 2.4 Các công cụ phòng chống APT hiện đại và nguyên lý hoạt động
2.4.1 Công cụ của hãng bảo mật FireEye
Các thành phần của giải pháp FireEye
Giải pháp phòng chống mối hiểm họa thế hệ mới của FireEye (Web, Email,
File, Central Management và Malware Analysis) là giải pháp với cơ chế
signature-less, ngăn chặn các cuộc tấn công có mục tiêu, zero-day, APT qua các kênh Web,
Email và File
Trang 38- FireEye Email Malware Protection System(MPS) - Cung cấp bảo vệ chống lại các cuộc tấn công lừa đảo(spear phishing) bằng cách phát hiện và ngăn chặn phần mềm độc hại tiên tiến lây nhiễm người dùng cuối thông qua các file đính kèm
và các URL được nhúng trong email
- FireEye File Malware Protection System (MPS) - Cung cấp quản lý mối đe dọa chủ động cho các doanh nghiệp chia sẻ file qua mạng(CIFS & NFS) File MPS thực hiện việc quét theo manual, theo lịch trình(schedule), quét từ xa và có thể truy cập file chia sẻ trên mạng để phát hiện phần mềm độc hại mà không ảnh hưởng đến hiệu suất của hệ thống
- FireEye Central Management System(CMS) - Cho phép các thiết bị FireEye chia sẻ dư liệu với nhau và quản lý tập trung Ví dụ: trong email có link, Email MPS sẽ gửi qua Web MPS để quét trang link tới trang web qua CMS
- FireEye Malware Analysis System(MAS) - Thực hiện phân tích chi tiết của phần mềm độc hại tiên tiến, zero-day, và các cuộc tấn công APT nhúng trong các định dạng tập tin phổ biến, file đính kèm email, địa chỉ web, những chương trình độc hại
- FireEye Dynamic Threat Intelligence - Cloud cho phép tất cả thiết bị FireEye trên thế giới chia sẻ thông tin về các mã độc, URL độc hại, IP của máy chủ C&C đã được phát hiện bởi các thiết bị FireEye Khách hàng có lựa chọn chia sẻ 2 chiều hay 1 chiều Ở chế độ 1 chiều khách hàng sẽ nhận được các bản cập nhật tuy nhiên sẽ không chia sẻ lại bất kỳ thông tin nào ra ngoài
Mô hình tích hợp
Việc tích hợp các giải pháp FireEye cho phép tất cả các URL trong email được gửi đến Web MPS với mức độ ưu tiên cao trong quá trình phân tích email
Trang 3929
Web MPS sẽ phân tích khi người dùng nhấp vào link liên kết trong email Sử dụng cùng nhau, Email MPS cung cấp phân tích tập tin đính kèm email và bối cảnh, Web MPS phân tích các web URL, File MPS quét và phân tích file, MAS cung cấp các chi tiết về malware phục vụ việc điều tra, và CMS tương quan các URL độc hại với email và nạn nhân đưa ra cái nhìn tổng quan về cuộc tấn công
Hình 2.7: Mô hình tích hợp của FireEye
Tất cả các phát hiện của MPS Web, File MPS, và Email MPS có thể được lọc bởi CMS để tích hợp với hệ thống phân tích MAS Ví dụ, khi MAS được kết nối với CMS, cho phép tùy chọn một mẫu phần mềm độc hại được phát hiện bởi các email, tập tin, hoặc các hệ thống Web MPS và "Submit to MAS" để đưa ra các phân tích sâu hơn phục vụ việc điều tra cuộc tấn công
Tất cả các thiết bị của FireEye – MAS, MPS Web, MPS Email, và File MPS – thực thi file nghi ngờ, file đính kèm, tập tin, và URL Tự động quét phần mềm độc hại đáng nghi ngờ thông qua một quy tắc (rules) lọc để so sánh nó với các thiết lập hiện có được biết đến, sau đó chuyển qua môi trường giả lập ảo của FireEye (VX)
để được thực thi