1. Trang chủ
  2. » Công Nghệ Thông Tin

Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)

78 860 12

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 78
Dung lượng 2,67 MB

Nội dung

Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN QUỐC TUẤN

NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CÔNG

CÓ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH LONG AN

LUẬN VĂN THẠC SĨ KỸ THUẬT

(Theo định hướng ứng dụng)

TP.HỒ CHÍ MINH -2017

Trang 2

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN QUỐC TUẤN

NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CÔNG

CÓ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH LONG AN

CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN

Trang 3

i

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất cứ công trình nào

TPHCM, Ngày 15 tháng 8 năm 2017 Học viên thực hiện luận văn

Nguyễn Quốc Tuấn

Trang 4

ii

LỜI CÁM ƠN

Lời đầu tiên em xin gửi lời cảm ơn đến toàn thể quý thầy, cô giáo Học viện Công nghệ Bưu chính Viễn thông đã tận tình chỉ bảo em trong suốt thời gian học tập tại nhà trường

Em xin gửi lời cảm ơn sâu sắc đến thầy TS.Võ Văn Khang, người đã trực

tiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốt thời gian làm luận văn tốt nghiệp

Bên cạnh đó, để hoàn thành luận văn tốt nghiệp, em cũng đã nhận được rất nhiều sự giúp đỡ, những lời động viên quý báu của bạn bè, gia đình và đồng nghiệp

Em xin chân thành cảm ơn

Tuy nhiên, do thời gian có hạn, mặc dù đã nỗ lực hết sức mình, nhưng chắc rằng luận văn của em khó tránh khỏi thiếu sót Em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy cô và các bạn

Trân trọng cảm ơn

TPHCM, ngày 15 tháng 8 năm 2017

Học viên thực hiện luận văn

Nguyễn Quốc Tuấn

Trang 5

iii

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CÁM ƠN ii

MỤC LỤC iii

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v

DANH SÁCH BẢNG vi

DANH SÁCH HÌNH VẼ vii

MỞ ĐẦU 1

Chương 1 - TỔNG QUAN VỀ TẤN CÔNG APT 4

1.1 Tổng quan về tấn công có chủ đích APT 4

1.2 Lịch sử phát triển của tấn công APT 4

1.3 Tấn công APT thông qua công cụ malware 8

1.4 Tấn công APT thông qua các hình thức khác 8

1.5 Xác định các đặc tính của APT 10

1.6 Sự khác biệt của APT với các mối đe dọa truyền thống 12

1.7 Kết luận chương 1 15

Chương 2 - CÁCH THỨC TẤN CÔNG APT VÀ PHƯƠNG PHÁP PHÒNG CHỐNG 16

2.1 Phân tích các giai đoạn tấn công APT 16

2.2 Các thuật toán điều khiển và cập nhật tính năng của APT 21

2.3 Phương pháp phát hiện các cuộc tấn công APT 22

2.3.1 Phân tích tĩnh 22

2.3.2 Phân tích động 24

2.3.3 Cập nhật và phân tích thông qua các công cụ 26

2.4 Các công cụ phòng chống APT hiện đại và nguyên lý hoạt động 27

2.4.1 Công cụ của hãng bảo mật FireEye 27

2.4.2 Công cụ của hãng bảo mật McAfee 31

2.4.3 Công cụ của hãng bảo mật NPCore 33

2.5 Kết luận chương 2 35

Chương 3 - XÂY DỰNG VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TOÀN THÔNG TIN CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU TRƯỚC CÁC CUỘC TẤN CÔNG APT 36

3.1 Hiện trạng hạ tầng Trung tâm tích hợp dữ liệu tỉnh Long An 36

Trang 6

iv

3.2 Các nguy cơ mất an toàn trên hệ thống thông tin 40

3.3 Giới thiệu về sự cần thiết bảo đảm an toàn thông tin đối với Trung tâm tích hợp dữ liệu tỉnh Long An 43

3.4 Mô hình hóa biện pháp bảo vệ Trung tâm Tích hợp dữ liệu tỉnh Long An chống lại các cuộc tấn công APT 47

3.4.1 Một số phương pháp phòng chống APT 47

3.4.2 Mô hình an toàn cho Trung tâm THDL 51

3.4.3 Khuyến nghị áp dụng yêu cầu kỹ thuật cho Trung tâm THDL 52

3.5 Phương pháp đánh giá an toàn thông tin theo hướng tiếp cận phòng chống APT 55

3.5.1 Giới thiệu về các công cụ đánh giá 55

3.5.2 Thực nghiệm tấn công 57

3.5.3 Kịch bản tấn công 57

3.5.4 Mô phỏng tấn công 58

3.5.5 Đề xuất giải pháp cho Trung tâm TTDL 62

3.5.6 Kết quả thử nghiệm và đánh giá 63

3.6 Kết luận chương 3 65

KẾT LUẬN VÀ KIẾN NGHỊ 66

DANH MỤC TÀI LIỆU THAM KHẢO 67

Trang 7

v

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

APT Advanced Persistent Threat Mối đe dọa liên tục nâng cao DNS Domain Name System Hệ thống tên miền

FTP File Transfer Protocol Giao thức chuyển nhượng tập tin HTTP Hyper Text Transfer

Protocol

Giao thức truyền tải siêu văn bản

HTTPS Hyper Text Transfer

Protocol Secure

Trao đổi thông tin một cách bảo mật trên Internet

IP Internet Protocol Giao thức kết nối Internet

ISO International Organization

for Standardization Tổ chức tiêu chuẩn hóa quốc tế WAF Web Application Firewall Tường lửa ứng dụng web

SIEM Security Information

Event Managemet Giám sát an toàn mạng TTDL Data Center Trung tâm tích hợp dữ liệu

AV Antivirus Phần mềm phòng chống virút DLP Data Leak Prevention Ngăn chặn rò rỉ dữ liệu

NAC Network Access Control Điều khiển truy cập mạng

URL Uniform Resource Locator Tham chiếu tài nguyên mạng

Internet DMZ Demilitarized Zone Vùng mạng trung lập giữa mạng

nội bộ và mạng internet SSL Secure Sockets Layer Tiêu chuẩn của công nghệ bảo

mật IDS/IPS Intrusion detection

Trang 8

vi

DANH SÁCH BẢNG

1.1 Những khác biệt giữa tấn công APT và tấn công truyền

thống

14

3.1 Hiện trạng cơ sở hạ tầng của Trung tâm THDL 36 3.2 Hiện trạng máy chủ 37 3.3 Chi tiết tường lửa 39 3.4 Danh sách trang thông tin điện tử 44 3.5 Số lượng Email trong tháng 02/2017 45 3.6 Tình hình giải quyết hồ sơ Quý I/2017 của tỉnh 46 3.7 Tình hình trao đổi văn bản tính đến ngày 16/4/2017 46

Trang 9

vii

DANH SÁCH HÌNH VẼ

1.1 Giả mạo email với nội dung đính kèm có mã độc 8 1.2 Kỹ thuật watering hole 10 1.3 Tấn công vào điểm yếu nhất của hệ thống 13 2.1 Các giai đoạn của cuộc tấn công APT 16 2.2 Các cửa hậu kết nối với các máy chủ C&C 17 2.3 Đoạn script sử dụng trinh sát dò quét thông tin 19 2.4 Thuật toán DGA trong mã độc Locky 22 2.5 Dấu hiệu nhận biết của phần mềm Darkcomet 27 2.6 Các thành phần FireEye tích hợp tạo thành giải

pháp phòng chống APT tổng thể FireEye

27

2.7 Mô hình tích hợp của FireEye 29 2.8 Môi trường giả lập FireEye MVX 30 2.9 Xử lý song song trong môi trường MVX 31 2.10 Giải pháp của hãng McAfee 31 2.11 Mô hình triển khai 32 2.12 Bảo mật của hãng NPCore 33 2.13 Mô hình hệ thống của Zombie ZERO 34 3.1 Mô hình Trung tâm THDL 40 3.2 Công khai tiến độ giải quyết hồ sơ hành chính và

văn bản điện tử của tỉnh

46

3.3 Mô hình Trung tâm TTDL hoàn chỉnh 51 3.4 Quét Cổng thông tin điện tử tỉnh (longan.gov.vn) 52 3.5 Giao diện Kali Linux 56 3.6 Giao diện Veil-Evasion 57 3.7 Tạo IP và Port để lắng nghe 59 3.8 Công cụ mFileBinder 59

Trang 10

viii

3.10 Lắng nghe kết nối 61 3.11 Kết nối đã được tạo 62 3.12 Giao diện của USM 63 3.13 Giao diện ghi nhận sự cố 64 3.14 Giao diện chi tiết sự cố 64

Trang 11

1

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Trong những năm gần đây, các cuộc tấn công mạng có quy mô và mức độ lớn gia tăng dẫn đến gây mất mát dữ liệu, thiệt hại về kinh tế Theo thống kê của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), năm 2016 có 13.000 trang web bị hack, đến 15/5/2017 có hơn 5.500 trang web bị hack với hơn 10.900 liên kết (URL) bị tấn công hoặc cài mã độc Trong quý I/2017, ghi nhận có 952 sự

cố website lừa đảo, 2.709 trang web bị tấn công thay đổi giao diện, 2.381 sự cố phát tán mã độc Trong đó, website của cơ quan nhà nước có 64 website bị tấn công thay đổi giao diện, 2 website bị phát tán mã độc, 3 website bị tấn công lừa đảo Đối với tỉnh Long An, Trung tâm tích hợp dữ liệu của tỉnh đang quản lý vận hành các hệ thống thông tin trọng điểm của tỉnh bao gồm: Hệ thống Cổng thông tin điện tử, hệ thống thư điện tử, hệ thống quản lý văn bản và điều hành, hệ thống một cửa điện tử phục vụ cho nhu cầu chỉ đạo điều hành của lãnh đạo tỉnh và công tác chuyên môn của các cơ quan hành chính nhà nước trên địa bàn tỉnh Vì vậy, việc đảm bảo an toàn thông tin cho Trung tâm tích hợp dữ liệu của tỉnh là vấn đề hết sức quan trọng

Theo các chuyên gia bảo mật trong thời gian tới, tình hình tội phạm mạng tiếp tục diễn biến phức tạp, khó lường Thay vì các kiểu tấn công trước đây đã dùng chúng sẽ sử dụng công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn

Một trong các dạng tấn công tiêu biểu, được nhắc đến rất nhiều hiện nay là tấn công APT (Advanced Persistent Threat) Tấn công APT là hình thức tấn công nguy hiểm, có chủ đích mục tiêu rõ ràng và sử dụng nhiều loại phương pháp, công nghệ tinh vi và phức tạp để tấn công vào mục tiêu nhằm đạt được những thông tin mật, nhạy cảm Theo thông tin từ Hiệp hội an toàn thông tin VNISA, tháng 5 năm

2015, Hãng bảo mật của Mỹ là FireEye đã công bố nghiên cứu và báo cáo của mình

về phương thức kỹ thuật và chỉ đích danh nhóm tấn công APT30 xuất phát từ Trung Quốc đã tấn công và thâm nhập nhiều năm qua vào các máy tính của Việt Nam đặc biệt là các đối tượng phóng viên báo đài Báo cáo đã cho thấy các kiểu tấn công

Trang 12

2

APT thông dụng đã được công bố vẫn tiếp tục uy hiếp đến an ninh thông tin tại Việt Nam, khi ý thức của người sử dụng vẫn chưa được nâng cao.Mặc dù thiệt hại mà cuộc tấn công APT gây ra rất nghiêm trọng tuy nhiên việc phòng chống tấn công APT hiện nay vẫn bị xem nhẹ và chưa được đầu tư đúng đắn Do đó, việc nghiên cứu về cơ chế hoạt động của tấn công APT và giải pháp phòng chống là điều rất quan trọng sẽ góp phần bảo vệ tốt hơn hệ thống thông tin của mình Từ đó học viên

đã chọn đề tài “nghiên cứu biện pháp phát hiện tấn công có chủ đích APT để

bảo vệ Trung tâm tích hợp dữ liệu tỉnh Long An” để có cái nhìn tổng quan về

tấn công APT, nghiên cứu các giải pháp phòng chống và từ đó đề xuất giải pháp phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ liệu tỉnh Long An

2 Tổng quan vấn đề cần nghiên cứu

Vấn đề bảo đảm an toàn thông tin cho các hệ thống thông tin là một trong những vấn đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng hệ thống thông tin Ngày nay, các cuộc tấn công trên không gian mạng đang có xu hướng nhắm vào các cơ quan hành chính nhà nước với những mục đích và có ý đồ rõ ràng nhằm gây nhiễu thông tin cũng như phá hoại thông tin của các tổ chức hành chính nhà nước (thu thập thông tin tình báo có tính chất thù địch, đánh cắp dữ liệu, làm mất uy tín của cơ quan tổ chức, phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực….) Việc nghiên cứu về cơ chế hoạt động của tấn công APT và giải pháp phòng chống nhằm đưa ra cái nhìn tổng quan về tấn công APT, tìm hiểu các biện pháp phát hiện cuộc tấn công APT, tìm hiểu các giải pháp phòng chống tấn công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ liệu tỉnh Long An

3 Mục đích nghiên cứu

Nghiên cứu công nghệ tấn công APT: kỹ thuật, giai đoạn, mục đích, phương pháp; tìm hiểu các biện phát phát hiện cuộc tấn công APT, tìm hiểu các giải pháp phòng chống tấn công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ liệu tỉnh Long An

Trang 13

3

4 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu: Hiện trạng Trung tâm tích hợp dữ liệu tỉnh Long An; nghiên cứu các phương pháp tấn công, mã độc hại trong cuộc tấn công APT; vấn đề

an toàn thông tin tại Trung tâm tích hợp dữ liệu tỉnh Long An; cách thức tấn công APT vào hệ thống thông tin; giải pháp khắc phục, biện pháp bảo vệ chống lại các cuộc tấn công APT

Phạm vi nghiên cứu:Nghiên cứu các phương pháp tấn công trong cuộc tấn công có chủ đích APT

5 Phương pháp nghiên cứu

Nghiên cứu lý thuyết: Nghiên cứu lý thuyết về cơ chế hoạt động và lây nhiễm malware; nghiên cứu các hình thức tấn công APT phổ biến trong những năm gần đây; các phương pháp phát hiện và phòng chống APT

Khảo sát thực tế: Khảo sát mô hình Trung tâm Tích hợp dữ liệu tỉnh Long An; tìm hiểu các công cụ bảo vệ hiện hữu của Trung tâm Tích hợp dữ liệu tỉnh Long An

Luận văn gồm 3 chương và phần kết luận tập trung nghiên cứu những vấn đề sau:

Chương 1: Tổng quan về tấn công APT

Chương 2: Cách thức tấn công APT và phương pháp phòng chống

Chương 3: Xây dựng và đề xuất một số giải pháp bảo đảm an toàn thông tin cho Trung tâm tích hợp dữ liệu trước các cuộc tấn công APT

Trang 14

4

Chương 1 - TỔNG QUAN VỀ TẤN CÔNG APT

1.1 Tổng quan về tấn công có chủ đích APT

Advanced Persistent Threat là một từ viết tắt được phát triển bởi MANDIANT, nhưng đã được đề cập trước đó bởi Mike Cloppart, được dùng để mô

tả kiểu tấn công dai dẳng và có chủ đích vào một thực thể được nhắm đến Thông thường tấn công APT có sự chuẩn bị kỹ càng và được thực hiện, hỗ trợ bởi một tổ chức hoặc cao cấp hơn là chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ cá nhân, doanh nghiệp, chính phủ nước khác

Các thành phần của kỹ thuật tấn công APT [12]:

Advanced (Nâng cao): thuật ngữ Advanced chỉ các kiểu tấn công cao cấp

hơn các thể loại thông thường Trong APT, tin tặc sử dụng các malware và các biến thể khác nhau để tiến hành qua mặt và xâm nhập vào hệ thống Các malware này phần lớn có thể qua mặt được các phương pháp bảo vệ truyền thống khác như Firewall, IPS, và phần mềm diệt virus

Persistent (Dai dẳng): thuật ngữ Persistent mang ý nghĩa việc tấn công luôn

theo sát để đạt được mục đích của nó Mục tiêu tấn công sẽ không bị tấn công ngay tức thì mà các mã độc sẽ đi theo nhiều đường khác nhau cho đến khi xâm nhập vào

hệ thống, sau đó chờ thời cơ Chúng chỉ thực sự kích hoạt tấn công khi phát hiện đúng mục tiêu

Threat (Mối đe dọa): APT là một mối đe dọa bởi vì nó có tiềm lực và chủ

đích Các cuộc tấn công APT được thực hiện bởi các hoạt động kết hợp, có mục tiêu

cụ thể và kẻ tấn công có kỹ năng, có tổ chức và có nguồn tài trợ dồi dào

1.2 Lịch sử phát triển của tấn công APT

Câu hỏi chúng ta phải tự hỏi là: "Nguồn gốc cuộc tấn công APT có từ đâu?" Trước khi thuật ngữ APT được sử dụng, có một số phiên bản nguyên thủy của APT Ngày nay thiết lập một cuộc tấn công APT được dựa trên nền tảng cơ bản gọi là một botnet trong đó có máy chủ chỉ huy và kiểm soát (C&C) Hầu hết chúng được tự

Trang 15

5

động bởi những Bot (như Zombies) Botnet đã tồn tại trong một thời gian rất dài kể

từ năm 1999 Trước tấn công APT chúng được chỉ đạo phối hợp cẩn thận bởi một tổ chức tội phạm như cuộc tấn công APT

Một số cuộc tấn công APT điển hình [13]:

“Operation Aurora” là kiểu tấn công phối hợp, cách tấn công này chứa một đoạn mã máy tính được dùng để khai thác lỗ hổng bảo mật trong Internet Explorer nhằm chiếm quyền truy cập hệ thống máy tính Khi khai thác thành công chúng sẽ được mở rộng để tải về và kích hoạt các phần mềm độc hại trong hệ thống Các cuộc tấn công được khởi xướng một cách bí mật khi người dùng truy cập vào các trang web độc hại (trong khi người dùng lại tin rằng đó là các trang web có uy tín), cuối cùng các máy tính được kết nối tới 1 máy chủ từ xa

- NightDragon (2009 - 2011)

Trang 16

6

Một chiến dịch không gian mạng được phối hợp và có đích ngắm bắt đầu vào tháng 11/2009, có tên là “Con rồng Đêm” (Night Dragon), được tiến hành chống lại các công ty toàn cầu về dầu lửa, năng lượng và hóa dầu Cuộc tấn công sử dụng các

kỹ thuật gồm kỹ thuật xã hội, spear phishing, khai thác các lỗ hổng hệ điều hành, Sau việc xác định các công cụ, kỹ thuật và các hoạt động mạng được sử dụng trong các cuộc tấn công, McAfee khẳng định rằng các cuộc tấn công đó đã xuất phát trước tiên tại Trung Quốc Cuộc tấn công ăn cắp các sở hữu trí tuệ từ các công ty khí đốt và dầu mỏ lớn

- Operation Shady Rat (2006 – 2011)

Ngày 3/8/2011, hãng bảo mật McAfee cảnh báo: Mỹ và nhiều nước cùng một số tổ chức quốc tế và các công ty quốc phòng của Mỹ đang là mục tiêu của một chiến dịch tấn công mạng trên toàn cầu có tên "Chiến dịch Chuột náu mình" (Operation Shady RAT)

Các tin tặc đã thực hiện chiến dịch khủng bố an ninh mạng này từ năm 2006

và nhiều chuyên gia cho rằng tác giả của nó là các tin tặc tại Trung Quốc Có 72 mục tiêu "đã bị tổn thương" trong các cuộc tấn công mạng này, trong đó có nhiều website chính phủ của các nước Mỹ, Canađa, Ấn Độ, Hàn Quốc Ngoài ra, hệ thống máy tính của các tổ chức đa phương như Liên hợp quốc, Hiệp hội các quốc gia Đông Nam Á (ASEAN), Ủy ban Olympic Quốc tế (IOC), các Ủy ban Olympic quốc gia, một phòng thí nghiệm của Bộ Năng lượng Mỹ và nhiều tập đoàn quốc phòng Mỹ cũng nằm trong danh sách nạn nhân "Chiến dịch Chuột náu mình" Tin tặc còn tìm cách truy cập và đánh cắp những dữ liệu nhạy cảm về các hệ thống quân

sự và liên lạc vệ tinh của Mỹ

- Stuxnet (2010)

Phát hiện vào tháng 6/2010 một sâu máy tính có tên gọi “Stuxnet” đã tấn công một cơ sở hạt nhân của Iran tại Natanz Stuxnet đã nhiễm vào hơn 60.000 máy tính, quá nửa trong số đó là ở Iran

Stuxnet là một chương trình máy tính tinh vi được thiết kế để xâm nhập và giành quyền kiểm soát đối với các hệ thống từ xa theo một cách thức bán tự chủ Nó

Trang 17

7

đại diện cho một thế hệ mới các phần mềm độc hại dạng sử dụng một lần and-forget” malwares) Các đối tượng mà Stuxnet nhắm tới đều được cách ly (air-gapped), nghĩa là chúng không kết nối với mạng internet công cộng và sự xâm nhập đòi hỏi phải sử dụng các thiết bị trung gian ví dụ như USB để giành quyền tiếp cận

(“fire-và thiết lập kiểm soát Khai thác bốn lỗ hổng bảo mật zero-day vì vậy không có thời gian để phát triển và phân phối các miếng vá, Stuxnet đã sử dụng các password mặc định của Siemens để truy cập vào các hệ điều hành Windows khai thác triệt để những lỗ hổng để phá hoại “Stuxnet” đã phá hoại hoạt động của hàng nghìn máy li tâm ở cơ sở làm giàu hạt nhân Natans của Iran

- Năm 2016 xảy ra vụ tin tặc tấn công các sân bay tại Việt Nam ngày 29/7/2016

Cuộc tấn công mạng ngày 29/07/2016 vào công tác phục vụ bay của các sân bay Nội Bài, Tân Sơn Nhất… là cuộc tấn công mạng có chuẩn bị công phu (sử dụng

mã độc không bị nhận diện bởi các các phần mềm chống virus); xâm nhập cả chiều sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau, vùng miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự kiện kinh tế, chính trị Có dấu hiệu cho thấy hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014, tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/7/2016 và đã vượt qua được các công cụ giám sát an ninh thông thường (như các phần mềm chống virus)

Cuộc tấn công diễn ra trên diện rộng với 02 điểm chính là cảng hàng không Nội Bài và Tân Sơn Nhất, cùng với một số sân bay nhỏ khác cũng bị ảnh hưởng do

Trang 18

8

hệ thống CNTT phục vụ khách hàng được kết nối liên thông với nhau Ngoài ra website của Vietnam Airlines và hệ thống điều khiển màn hình, loa phát thanh của các sân bay trên cũng bị xâm nhập và thay đổi dữ liệu

1.3 Tấn công APT thông qua công cụ malware

Những kẻ tấn công APT có sẵn một kho công cụ để khởi động và duy trì cuộc tấn công Các công cụ cho tấn công APT (APT Toolkit):

Malware – viết tắt của malicious software (phần mềm độc hại), là một thuật ngữ chỉ bất kì chương trình phần mềm nào được tạo ra để thực hiện các hành động trái phép và thường là có hại Viruses, backdoors, keyloggers, ăn cắp mật khẩu và các chương trình Trojan khác, Word và Excel macro viruses, boot sector viruses, script viruses (batch, windows shell, java, vv ) Trojans, crimeware, spyware và adware là một vài ví dụ về các phần mềm được coi là độc hại

1.4 Tấn công APT thông qua các hình thức khác

- Kỹ thuật Social Engineering

Trong tấn công APT, kẻ tấn công sử dụng spear-phishing email (một dạng phishing) đính kèm với file có vẻ vô hại mà mục tiêu có khả năng sẽ mở Hoặc liên kết đến các trang web có nhúng mã độc hại (được biết đến như là một cuộc tấn công watering hole) Các chương trình khác như file (.xls, doc, txt,…) và PDF cũng được tận dụng khai thác để thực thi phần mềm độc hại

Các bước xâm nhập máy tính nạn nhân sử dụng spear phishing email được

mô tảnhư hình 1.1dưới đây:

Trang 19

9

Hình 1.1: Giả mạo email với nội dung đính kèm có mã độc

Tấn công “watering hole” là hình thức tấn công thông qua việc lừa người dùng truy cập vào các website chứa mã độc Kẻ tấn công thường nhắm đến các website có nhiều người truy cập, các trang web đen hoặc tạo ra các website riêng của chúng để lừa người dùng và cố gắng chèn các mã khai thác liên quan đến các lỗ hổng trình duyệt vào website Bất cứ khi nào người dùng truy cập vào website, các

mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng

Kỹ thuật tấn công “watering hole” thường hoạt động theo kịch bản sau [19]:

- Kẻ tấn công sẽ cố gắng thu thập các dữ liệu về tổ chức, doanh nghiệp mà

họ muốn tấn công Các thông tin thu thập có thể bao gồm danh sách các website mà các nhân viên hay thành phần lãnh đạo của tổ chức thường xuyên truy cập Và bắt đầu tìm kiếm các website mà họ để có thể xâm nhập, ngoài ra hacker thường sử dụng kỹ thuật tấn công “local attack” để tìm kiếm nhiều các website trên cùng một máy chủ để thực hiện tấn công

- Sau khi đã chiếm được quyền điều khiển của một website mà các nhân viên của tổ chức thường xuyên truy cập Hacker sẽ thực hiện chèn các mã khai thác vào website Thông thường thì sẽ là các lỗ hổng bao gồm cả lỗ hổng đã có bản vá hay các cả lỗ hổng Zero-day để khai thác qua trình duyệt, flash hay Java (Flash & java thường được cài đặt mặc định trên máy tính của người sử dụng)

- Bất cứ khi nào ai đó hoặc nhân viên của tổ chức truy cập vào website này thì lập tức mã độc sẽ được thực thi và hacker có thể chiếm được quyền điều khiển cũng như cài đặt các chương trình độc hại được điều khiển từ xa (RAT- Remote Administration Tool) lên máy tính nạn nhân từ đó khai thác các thông tin từ người dùng hoặc sử dụng chính máy đó làm zombie để tấn công các máy tính khác

Trang 20

10

Hình 1.2: Kỹ thuật watering hole

- Khai thác các lỗ hổng Zero-day và các Exploit khác

Một zero-day exploit là một lỗ hổng trong một sản phẩm phần mềm mà cho phép một kẻ tấn công thực thi mã không mong muốn hoặc giành quyền kiểm soát máy tính của mục tiêu Những exploit này thường được khai thác trong các cuộc tấn công spear-phishing và watering hole Các kẻ tấn công khai thác các lỗ hổng zero-day chưa từng được biết đến hoặc chưa từng được công bố

- Insiders và Recruits

Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết Đó chính là Insider Attack - tấn công nội bộ Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống của tổ chức, và di chuyển ra vào tự do trong tổ chức đó

- Forged và Fake Certificates (giả mạo chứng chỉ điện tử)

Thông thường kẻ tấn công sử dụng các chứng chỉ SSL giả mạo cho các website không có thật và mạo danh là một trang web hợp pháp Những kẻ tấn công thường sử dụng các chứng chỉ số tự ký (self-signed) hoặc các chứng chỉ ăn cắp được (những chứng chỉ này được hầu hết các trình duyệt chấp nhận)

1.5 Xác định các đặc tính của APT

Các đặc tính của tấn công APT:

Trang 21

có thể mất vài tháng hoặc thậm chí vài năm Sử dụng nhiều các kỹ thuật, phương pháp khác nhau để tấn công vào mục tiêu đến khi thành công

Để đạt được mục đích đã đề ra thì hacker cần phải thực hiện rất nhiều các công đoạn khác nhau, tấn công vào nhiều các thành phần trong hệ thống do vậy một gợi ý trong việc phát hiện các tấn công APT là cần kết hợp, xâu chuỗi nhiều sự kiện

an ninh lại với nhau

APT dai dẳng vì kẻ tấn công rất kiên trì và tập trung để tránh bị phát hiện Nếu một tổ chức là mục tiêu của APT thì tổ chức đó có thể phải chịu một thất bại nghiêm trọng bởi hình thức tấn công này mất rất nhiều tháng nghiên cứu và lập kế hoạch

- Evasive (Tránh né và ẩn mình)

Tấn công APT được thiết kế có hệ thống để có thể tránh các sản phẩm bảo mật truyền thống mà hầu hết các tổ chức đã sử dụng như Firewall, IPS, Antivirus, … Một số ví dụ điển hình về khả năng tránh né và ẩn mình của APT:

+ Để đạt được quyền truy cập vào máy chủ của mục tiêu, tấn công phải tránh

bị tường lửa mạng phát hiện thì kẻ tấn công thường sử dụng các Port và Service hợp

lệ (như HTTP (80), HTTPS (443), SMTP (25),…) Khi đó, các thiết bị bảo mật sẽ không thể phát hiện ra mối nguy hại cho hệ thống để có thể ngăn chặn được tấn công

+ Những kẻ tấn công thường thiết kế những mã độc riêng cho từng mục tiêu

và chưa từng bị phát biện bởi AV vì không có trong tập mẫu Chính đặc điểm mới

Trang 22

12

này khiến cho AV không thể bảo vệ được nạn nhân, nên nạn nhân rất khó biết được

sự tồn tại của tấn công mặc dù chúng đã đang tấn công hệ thống của mình

+ Khi gửi dữ liệu ra ngoài để tránh việc phát hiện của các IPS thì hacker thực hiện việc mã hóa dữ liệu Khi đó, dữ liệu của nạn nhân bị đánh cắp mà nạn nhân không hề biết

- Complex (Phức tạp)

Điểm khác biệt lớn giữa tấn công APT và các cuộc tấn công khác là việc APT

sử dụng phối kết hợp nhiều các kỹ thuật khác nhau một cách khoa học và bài bản nhằm những mục tiêu nhiều lỗ hổng bảo mật trong các tổ chức Lý do để gọi nó là Advanced Persistent Threat là bởi vì nó được lên kế hoạch rất khoa học và được thực hiện và phối hợp với tất cả các công cụ có sẵn Tấn công APT có mục tiêu là một tổ chức cụ thể (hoặc nhóm các tổ chức) APT có thể sử dụng một loạt các công

cụ từ malware đơn giản đến phức tạp Những mã độc hại được tạo ra để khai thác các lỗ hổng "zero-day" (các lỗ hổng chưa từng được biết đến hoặc chưa từng được công bố) Ví dụ, một cuộc tấn công APT có thể dựa trên kỹ thuật lừa đảo (social engineering) qua điện thoại để xác định cá nhân cần thiết trong tổ chức; lừa đảo email gửi đến những cá nhân cần thiết với các liên kết đến một trang web chứa mã Javascript để cài đặt công cụ truy cập từ xa,

1.6 Sự khác biệt của APT với các mối đe dọa truyền thống

Sự khác biệt quan trọng nhất giữa APT và các mối đe dọa truyền thống đó là đặc điểm targeted (mục tiêu) Trong khi việc bảo vệ vòng ngoài (vành đai) và sử dụng các kiểm soát an ninh tiêu chuẩn có thể bảo vệ một tổ chức từ những cuộc tấn công tiêu chuẩn, các kỹ thuật này có thể không đủ khi đối mặt với APT Các kẻ tấn công kiên nhẫn có thể chờ đợi những lỗ hổng mới để khai phá một điểm yếu hoặc

có thể kết hợp các lỗ hổng nhỏ thành một lỗ hổng lớn để tấn công

Một kẻ tấn công trong APT có thể mất vài tháng hoặc thậm chí nhiều năm để trích xuất dữ liệu của mục tiêu, đánh bại các hệ thống đầy đủ tính năng và cấu hình tốt Sau đây là một số đặc điểm khác biệt giữa APT và các hình thức tấn công khác:

Trang 23

13

- Thu thập thông tin: APT thực hiện một số lượng lớn sự trinh sát thông tin

mã nguồn mở và đóng để làm tăng cơ hội thành công gần như 100%

- Low and slow: Các cuộc tấn công APT xảy ra trong thời gian dài những kẻ

tấn công APT thực hiện di chuyển low and slow (thấp và chậm) và giám sát liên tục cho đến khi đạt được mục tiêu của họ

- Hình thức tấn công liên tục nâng cao: APT được thiết kế để đáp ứng với

các yêu cầu của hoạt động gián điệp quốc tế hoặc phá hoại Mục tiêu của APT có thể bao gồm quân sự, chính trị hoặc thu thập thông tin tình báo kinh tế, dữ liệu bí mật thương mại làm gián đoạn hoạt động của tổ chức

- Nhắm vào các điểm yếu nhất của hệ thống:

Điểm yếu của hệ thống mà các kẻ tấn công APT thường nhắm đến đó là các

cá nhân Các tấn công truyền thống thường nhắm mục tiêu là các máy chủ bởi vì đó

là nơi chứa các dữ liệu quan trọng Tuy nhiên, các kẻ tấn công APT biết được rằng máy chủ là nơi được bảo vệ và thường khó khăn hơn nhiều để có thể đột nhập vào

Vì vậy, dễ dàng hơn khi nhắm mục tiêu vào những đối tượng có truy cập vào các thông tin quan trọng và những người dùng Việc lừa đảo người dùng mở một file đính kèm hoặc truy cập vào một liên kết là rất dễ dàng và nó trở thành một trong những phương pháp được ưa thích [19]

Tuy nhiên, cần xác định rằng đây không phải phương pháp duy nhất APT sử dụng Ngay sau khi phương pháp này không còn chứng minh được tính khả thi, các

kẻ tấn công sẽ nhanh chóng chuyển sang một phương pháp mới Ngoài ra, APT đảm bảo truy cập liên tục vào hệ thống của mục tiêu Tấn công vào điểm yếu nhất của hệ thống - thiết bị người dùng cuối được mô tả như hình 1.3

Trang 24

14

Hình 1.3:Tấn công vào điểm yếu nhất của hệ thống

- Duy trì việc truy cập dài hạn:

APT thường muốn tiếp cận lâu dài vào tổ chức, luôn tìm kiếm thông tin có giá trị Tùy từng mục tiêu tấn công, kẻ tấn công không muốn ăn cắp những thông tin

mà đôi khi muốn gây ra các thiệt hại lâu dài

Quá trình tấn công diễn ra theo nhiều giai đoạn khác nhau và trong khoảng thời gian dài Đồng thời sử dụng nhiều công cụ, kỹ thuật khác nhau để tấn công vào mục tiêu

Trước khi thực hiện tấn công, kẻ tấn công thực hiện thăm dò về mục tiêu, chuẩn bị các công cụ đảm bảo cho cuộc tấn công sẽ thành công Để thực hiện xâm nhập vào hệ thống mục tiêu, những kẻ tấn công APT thường thực hiện gửi email có đính kèm mã độc hại hoặc liên kết đến trang web độc hại để dụ dỗ nạn nhân truy cập vào Sau khi xâm nhập thành công vào hệ thống nạn nhận, kẻ tấn công tìm cách cài đặt backdoor để giành quyền truy cập trong hệ thống mục tiêu đồng thời trích xuất dữ liệu để đưa ra bên ngoài Tấn công APT rất khó phát hiện và là cuộc tấn công nguy hiểm Vì vậy, việc hiểu biết để có phương pháp bảo vệ tối ưu là cần thiết [10]

Trong bảng 1.1, tổng kết lại những khác biệt giữa tấn công APT và các mối

đe dọa truyền thống

Bảng 1.1: Những khác biệt giữa tấn công APT và tấn công truyền thống

Tấn công truyền thống Tấn công APT

Kẻ tấn công Chủ yếu là cá nhân Nhóm có tổ chức, được xác

định và có nguồn lực tốt

Mục tiêu Không xác định, hệ thống chủ

yếu là cá nhân, đơn lẻ

Các tổ chức, cơ quan chính phủ, các doanh nghiệp thương mại cụ thể

Mục đích Lợi ích tài chính, khả năng thể

hiện bản thân Lợi thế cạnh tranh, lợi ích chiến lược

Tiếp cận Một lần, phá và lấy cắp trong

thời gian ngắn

Nỗ lực lặp đi lặp lại, di chuyển thấp và chậm, thích ứng để chống lại các phòng

Trang 25

15

thủ, duy trì sự hiện diện dài hạn

1.7 Kết luận chương 1

Những kết quả đạt được trong chương 1 như sau:

- Trình bày các vấn đề cơ bản nhất về tấn công APT như khái niệm, lịch sử, các đặc điểm, các hình thức tấn công

- Trình bày về sự khác biệt giữa tấn công APT và các tấn công truyền thống

Trang 26

16

Chương 2 - CÁCH THỨC TẤN CÔNG APT VÀ PHƯƠNG

PHÁP PHÒNG CHỐNG

2.1 Phân tích các giai đoạn tấn công APT

Tấn công APT có mục tiêu là một tổ chức cụ thể (hoặc nhóm các tổ chức)

APT có thể sử dụng một loạt các công cụ từ malware đơn giản đến phức tạp, những

mã độc hại được tạo ra để khai thác các lỗ hổng "zero-day" [5]

Các giai đoạn trong một cuộc tấn công APT [14] được mô tả như hình 2.1

Hình 2.1: Các giai đoạn của cuộc tấn công APT

- Tổn thương ban đầu (Initial Compromise)

Giai đoạn tổn thương ban đầu đại diện cho các phương pháp mà những kẻ

tấn công sử dụng để thâm nhập vào mạng của tổ chức mục tiêu Những kẻ tấn công

APT thường ngắm đích vào người sử dụng cá nhân trong môi trường của nạn nhân

Các thông điệp spear phishing có thể bao gồm việc gắn kèm mã độc hại, một liên

kết tới một tệp độc hại, hoặc một liên kết tới một website độc hại Ít thông dụng

hơn, những kẻ tấn công APT có thể cố gắng liên lạc với các nạn nhân và gửi các nội

dung độc hại thông qua các site mạng xã hội hoặc trình thông điệp tức thì (chat)

Chiến thuật phổ biến khác là làm tổn thương web có chiến lược, trong đó kẻ tấn

công đặt mã độc lên các website mà mọi người trong các tổ chức mục tiêu có khả

năng sẽ truy cập Khi họ truy cập các website đó trong quá trình làm nhiệm vụ

thông thường của họ, họ sẽ bị tổn thương nếu máy tính có khả năng bị tổn thương

do mã khai thác của kẻ tấn công Các nhóm APT cũng có thể tìm kiếm các máy chủ

trên Internet có khả năng bị lỗ hổng và tải lên các webshell để giành quyền truy cập

tới mạng nội bộ của mục tiêu, hoặc tìm kiếm các lỗ hổng khác trong hạ tầng công

cộng

Tổn thương ban

Leo thang quyền ưu tiên

Trinh sát

Trang 27

17

- Thiết lập chỗ đứng (Establish Foothold)

Việc thiết lập chỗ đứng đảm bảo rằng các nhóm mối đe dọa APT có thể truy cập và kiểm soát một hoặc nhiều máy tính trong tổ chức của các nạn nhân từ bên ngoài mạng Một cửa hậu là phần mềm mà cho phép hacker gửi đi các lệnh tới hệ thống đó từ xa Trong hầu hết các trường hợp, các cửa hậu APT khởi tạo các kết nối đi ra ngoài tới máy chủ “chỉ huy và kiểm soát” - C&C (Command and Control) của hacker (hình 2.2) Các nhóm APT có thể ứng dụng các cửa hậu công khai (Gh0st RAT và Poison Ivy là những ví dụ phổ biến), ngoài ra phần lớn các cửa hậu được tùy biến riêng do hacker tự phát triển Các cửa hậu đó thường thiết lập kết nối đi ra ngoài từ mạng của nạn nhân tới máy tính được các tin tặc kiểm soát Các cửa hậu sẽ giúp cho các nhóm APT có quyền truy cập cơ bản tới một hệ thống, thường thông qua một lệnh shell hoặc giao diện đồ họa của người sử dụng

Hình 2.2: Các cửa hậu kết nối với các máy chủ C&C

- Leo thang quyền ưu tiên (Escalate Privileges)

Leo thang các quyền ưu tiên có liên quan tới việc có được các quyền cho phép truy cập tới nhiều tài nguyên hơn trong môi trường của nạn nhân Thông thường nhất điều này bao gồm việc giành được các tên người sử dụng và mật khẩu, nhưng nó cũng có thể bao gồm việc giành được sự truy cập tới các chứng thực hạ tầng khóa công khai - PKI (Public Key Infrastructure), phần mềm máy trạm mạng riêng ảo VPN (Virtual Private Network), các máy tính được ưu tiên hoặc các tài nguyên khác có yêu cầu truy cập tới các dữ liệu hoặc hệ thống có quan tâm Những

kẻ thâm nhập trái phép của APT (và những kẻ thâm nhập trái phép nói chung) ưu

Trang 28

- Trinh sát nội bộ (Internal Reconnaissance)

Trong giai đoạn trinh sát nội bộ, kẻ thâm nhập trái phép thu thập thông tin về môi trường của nạn nhân Các tác nhân của các mối đe dọa APT sử dụng các lệnh

hệ điều hành được xây dựng sẵn (như các lệnh “net” của Windows) để giành lấy thông tin về mạng nội bộ, bao gồm các máy tính, các mối quan hệ tin cậy, người sử dụng, nhóm (hình 2.3) Để nhận diện các dữ liệu có quan tâm, chúng có thể thực hiện các liệt kê chia sẻ thư mục và mạng, hoặc tìm kiếm các dữ liệu theo phần mở rộng tệp, các từ khóa, hoặc ngày tháng được sửa đổi mới nhất Các dữ liệu có quan tâm có thể ở nhiều dạng, nhưng phổ biến nhất là các tài liệu, các nội dung của các tài khoản thư điện tử của người sử dụng, hoặc các cơ sở dữ liệu Vì thế các máy chủ tệp, máy chủ thư điện tử và các điều khiển miền thường là các mục tiêu của sự trinh sát nội bộ Một số nhóm APT ứng dụng các script tùy biến để tự động hóa qui trình trinh sát và nhận diện dữ liệu có quan tâm

Trang 29

19

Hình 2.3: Đoạn script sử dụng trinh sát dò quét thông tin

Hình 2.3 cho thấy đoạn Script này thực hiện các chức năng như sau và lưu

các kết quả vào một tệp văn bản:

+ Hiển thị thông tin cấu hình mạng của nạn nhân

+ Liệt kê các dịch vụ đã bắt đầu trong hệ thống của nạn nhân

+ Liệt kê các tiến trình hiện đang chạy

+ Liệt kê các tài khoản trong hệ thống

+ Liệt kê các tài khoản với các quyền ưu tiên của người quản trị

+ Liệt kê các kết nối mạng hiện hành

+ Liệt kê các chia sẻ mạng được kết nối hiện hành

+ Liệt kê các hệ thống khác trong mạng

+ Liệt kê các máy tính các tài khoản mạng theo nhóm (“các trình kiểm soát

miền - domain controllers”, “những người sử dụng của miền - domain users”, “các

quản trị viên của miền - domain admins”, …)

- Dịch chuyển biên (Move Laterally)

Trong hầu hết các trường hợp, các hệ thống mà những kẻ thâm nhập trái

phép ban đầu gây tổn thương không có các dữ liệu mà chúng muốn Vì thế chúng

phải dịch chuyển biên bên trong một mạng tới các máy tính khác, hoặc chứa các dữ

liệu đó, hoặc cho phép chúng truy cập nó Các nhóm APT lợi dụng các ủy quyền

của người sử dụng bị tổn thương hoặc các công cụ truyền hàm băm để giành được

sự truy cập bổ sung tới các máy tính và các thiết bị trong mạng của một nạn nhân

Chúng thường sử dụng các ủy quyền bị tổn thương bằng PsExec hoặc Windows

Trang 30

20

Task Scheduler (trình lập lịch các tác vụ của Windows) (“at.exe”) để thực thi các lệnh và cài đặt các phần mềm độc hại lên các hệ thống ở xa Các hành động này là khó để dò tìm ra vì những người quản trị hệ thống hợp pháp cũng sử dụng các kỹ thuật đó để thực hiện các hành động quản trị trong mạng

- Duy trì sự hiện diện (Maintain Presence)

Trong giai đoạn này, những kẻ thâm nhập trái phép tiến hành các hành động

để đảm bảo sự kiểm soát liên tục đối với các hệ thống chủ chốt trong môi trường mạng từ bên ngoài của mạng đó Các nhóm APT thường cài đặt các cửa hậu mới (các cửa hậu khác so với các cửa hậu được cài đặt trong giai đoạn Thiết lập Chỗ đứng) trong môi trường đó trong quá trình của chiến dịch Chúng có thể cài đặt các

họ phần mềm độc hại khác nhau vì sự dư thừa dự phòng và làm cho khó xác định và loại bỏ được tất cả các điểm truy cập của chúng Hơn nữa, các nhóm APT có thể thiết lập các phương pháp truy cập mạng mà không có liên quan tới các cửa hậu, sao cho chúng có thể duy trì được sự hiện diện thậm chí nếu nhân viên an ninh mạng phát hiện được và loại bỏ phần mềm độc hại đó Các phương pháp đó có thể bao gồm sử dụng các ủy quyền PKI hoặc VPN hợp lệ, cho phép những kẻ thâm nhập trái phép ngụy trang như là một người sử dụng hợp pháp để giành được sự truy cập tới mạng của một tập đoàn và các tài nguyên nội bộ Trong một số trường hợp các tác nhân với đe dọa APT đã từng có khả năng phá vỡ xác thực 2 yếu tố để duy trì sự truy cập tới mạng của một nạn nhân và các tài nguyên của nó

- Hoàn tất nhiệm vụ (Complete Mission)

Mục tiêu chính của APT là ăn cắp các dữ liệu, bao gồm sở hữu trí tuệ, các hợp đồng hoặc thương thảo kinh doanh, các tài liệu chính sách hoặc các bản ghi nhớ nội bộ Một khi các nhóm của APT tìm thấy được các tệp mong muốn trong các hệ thống bị tổn thương, chúng thường nén các tệp đó trong các tệp lưu trữ trước khi ăn cắp chúng Phổ biến nhất, chúng sử dụng tiện ích RAR cho tác vụ này, nhưng cũng

có thể sử dụng các tiện ích có sẵn công khai khác như ZIP hoặc 7-ZIP Các tác nhân của các mối đe dọa APT không chỉ nén dữ liệu, mà còn thường xuyên bảo vệ bằng mật khẩu cho những dữ liệu đó Từ đó chúng sử dụng các phương pháp khác nhau

Trang 31

21

để truyền các tệp ra khỏi mạng của nạn nhân, bao gồm FTP, các công cụ truyền tệp tùy biến, hoặc các cửa hậu đang tồn tại

2.2 Các thuật toán điều khiển và cập nhật tính năng của APT

Máy chủ C&C đóng một vai trò thiết yếu trong việc điều khiển phần mềm độc hại Những kẻ tấn công thiết lập các máy chủ C&C để phân phối các lệnh hoặc thu thập dữ liệu nhạy cảm từ các máy tính của nạn nhân

Các thiết lập C&C đơn giản dựa trên các IP được mã hóa cứng có thể dễ dàng được phát hiện Nhà phân tích có thể liệt kê danh sách đen địa chỉ IP hoặc tên miền của máy chủ C&C và có thể cấm truy cập hoặc rộng hơn gỡ bỏ máy chủ xuống Để hạn chế việc bị phát hiện máy chủ C&C, hiện nay các biến thể của mã độc đã sử dụng thuật toán sinh tên miền (Domain Generation Algorithm – DGA) để tương thích với phương pháp giao tiếp với C&C thông thường của mã độc [21]

Các mã độc sử dụng DGA để định kỳ tạo ra một số lượng lớn các tên miền

có thể sử dụng truyền thông với máy chủ C&C, và chỉ để một tên miền sống vào một thời điểm nhất định, các máy tính bị lây nhiễm mã độc sẽ cố gắng liên lạc với một số tên miền nhất định này mỗi ngày để nhận các bản cập nhật tính năng và lệnh

từ máy chủ C&C Những tên miền được sinh ra trong DGA phần lớn không được đăng ký và là những tên miền không tồn tại NXDomain (Non-eXistent Domain)

Kẻ tấn công lợi dụng DGA có thể qua mặt cơ chế chặn theo tên miền, chống đánh sập tên miền và chống phân tích động và trích xuất tên miền C&C

Ví dụ: Đoạn mã giả được đánh dấu trong hình 2.4 thể hiện mã độc Locky (một loại mã độc ransomware) sử dụng DGA sinh tên miền mới dựa trên ngày tháng năm hiện tại Với thuật toán này, 6 địa chỉ C&C được tạo ra mỗi ngày

Trang 32

Phân tích tĩnh có ưu điểm là an toàn hơn phân tích động; vì mã thực thi không chạy trên môi trường, nên chúng ta không cần lo lắng những vấn đề như: mã độc sẽ format ổ cứng, xóa file, lây lan vào những file hệ thống, lấy cắp dữ liệu … Chỉ cần có một mối nguy hiểm có thể xảy ra, là trong quá trình phân tích chúng ta

Trang 33

23

vô tình thực thi mã độc (click đúp, hoặc chạy thư viện mã độc) Cũng có thể giảm thiểu, loại bỏ các nguy cơ này bằng cách phân tích tĩnh mã độc trên môi trường mà

nó không thực thi (ví dụ phân tích mã độc trên Windows trong hệ điều hành Linux)

Kỹ thuật lấy thông tin ban đầu về file

Trước khi làm bất kì việc gì, chúng ta nên tính toán giá trị băm cho mỗi file cần phân tích Thông thường sẽ sử dụng các hàm mã hoá MD5, SHA Sau khi tính toán, chúng ta có thể biết được mã độc có tự thay đổi nó hay không

Kỹ thuật quét virus

Nếu file được kiểm tra là một phần của một mã độc nổi tiếng, hoặc đã được phân tích bởi các công ty an ninh mạng, diệt vius, thì có khả năng nó sẽ được nhận

ra bởi một chương trình diệt virus Khi đó nhiệm vụ của người phân tích là sẽ tìm kiếm thông tin từ nhà cung cấp phần mềm diệt virus, qua đó nắm được cơ bản hành

vi, cách thức lây lan, hoạt động của mã độc đó, tuy nhiên nó chỉ nằm ở mức cơ bản

Phát hiện các trình packer

Packer là một trình bảo vệ, nén file thực thi, thường được sử dụng để bảo vệ file thực thi khỏi quá trình dịch ngược, và để giảm dung lượng file Chúng có thể thay đổi luồng thực thi của chương trình, mã hoá các chuỗi, tránh debug… Khi thực thi, các lớp bảo vệ này được tự động gỡ ra, và chương trình sẽ hoạt động như chương trình ban đầu Có rất nhiều các mã độc sử dụng nhiều packer khác nhau nhằm gây khó khăn cho người phân tích

Sử dụng chuỗi tìm được

Để hiểu được những gì một chương trình thông thường làm, chúng ta thường tìm đọc các tài liệu đi kèm, hướng dẫn sử dụng… Với mã độc cũng tương tự, tuy nhiên không có tài liệu hay hướng dẫn Thay vào đó là những thông tin hữu ích trong file thực thi là điều đáng chú ý

Công cụ xem cấu trúc của file thực thi (trên windows gọi chung là PE file):

PE file (portable executable) là định dạng được sử dụng bởi các file thực thi của hệ điều hành Windows Có nhiều thông tin quan trọng mà định dạng này cung cấp như:

Trang 34

24

- Ngày tháng biên dịch

- Các hàm trong thư viện được chương trình gọi

- Hàm mà chương trình hay thư viện cung cấp

- Biểu tượng, menu, phiên bản và các chuỗi tích hợp trong tài nguyên file

Công cụ dịch ngược

Sau khi đã có thông tin cơ bản về mã độc ở các bước trên, công việc chính tiếp theo là hiểu cách hoạt động của nó, bằng cách xem mã thực thi ở dạng có thể hiểu được (dưới dạng ngôn ngữ assembly) Rất nhiều những công cụ có khả năng dịch ngược từ mã máy sang mã assembly Tuy nhiên hiện nay công cụ được ưa thích, rất mạnh, và dễ sử dụng đó là IDA (Interactive Disassember)

Các công cụ so sánh file

Dùng để so sánh các file trước và sau khi hệ thống bị lây nhiễm mã độc Giả

sử có một file chưa lây nhiễm, và một người gửi đến trung tâm phân tích một file đã nhiễm mã độc, thì đây là công cụ cần sử dụng đầu tiên Không chỉ đưa ra thông tin

về những byte khác nhau, các công cụ này còn có khả năng đưa ra mã assembly của những đoạn đó, giúp cho người phân tích dễ dàng thấy được các hoạt động của mã độc

2.3.2 Phân tích động

Phân tích động (Dynamic analysis): dựa vào hành vi thực thi của mã độc để đưa ra đánh giá về ảnh hưởng của mã độc đối với hệ thống Phân tích động là phân tích cách hoạt động của virus khi nó được thực thi, nó kết nối đến đâu, lây lan như thế nào, cài đặt những gì vào hệ thống, thay đổi thành phần nào, hoạt động ra sao Thông thường việc phân tích động mã độc thường thông qua hệ thống máy ảo Sandbox Phân tích động thường dựa vào các công cụ monitor hệ thống mạng (như ProcessMon, TCPView, Autoruns…)

Ưu điểm:

-Cho cái nhìn nhanh chóng và tổng quát về mã độc được phân tích

- Giám sát được các hành động của phần mềm độc hại khi thực hiện trên hệ thống

Trang 35

25

Nhược điểm:

-Với những hành vi bất thường của mã độc thì việc phân tích còn hạn chế

- Đôi khi rất khó có thể thực thi được phần mềm độc hại do cần tham số thực thi

Quá trình phân tích động có thể mô hình theo các bước sau đây:

-Bước 1 Bật chương trình Process Explorer

- Bước 2 Bật chương trình bắt gói tin Wireshark

- Bước 3 Khởi động chương trình SysAnalyzer

- Bước 4 Khởi động chương trình Regshot và chạy lấy thông tin registry hiện thời của hệ thống lần đầu tiên

- Bước 5 Load mã độc hại vào chương trình SysAnalyzer để chạy mã độc hại

- Bước 6 Chạy tiếp chương trình Regshot để so sánh thông tin registry đã thay đổi những gì

- Bước 7 Kiểm tra chương trình Process Explorer, Svchost Process Analyzer

- Bước 8 Kiểu tra chương trình Wireshark và TCPView để xem các thông tin về kết nối

Đối với các mẫu không phải virus (trojan, adware, worm, …) hoặc các mẫu không cần phân tích mà chỉ cần theo dõi hành vi tác động lên hệ thống thì chỉ cần dừng lại ở bước phân tích qua các công cụ giám sát Đối với các mẫu virus (có hành

vi lây file) hoặc các mẫu khác cần phân tích để lấy các đoạn mã cụ thể, cần thực hiện giai đoạn phân tích để lấy các thông tin chi tiết hơn

Sau giai đoạn theo dõi và phát hiện mã độc, chúng ta đã có các thông tin cơ bản liên quan tới mẫu cần phân tích: Các tài nguyên mẫu tác động tới: các file, thư mục, key trên thanh ghi, cách thức hoạt động cơ bản (Hình thức, cách thức và trình

tự lây lan, phá hoại) Nhiệm vụ của việc phân tích nhằm: Tìm ra triệt để các hành vi phá hoại, phân tích để diệt mẫu toàn diện nhất

Trang 36

26

Để phân tích nhằm tìm cách thức lây file, ta sử dụng chương trình mồi và sử dụng ProcessMonitor để theo dõi được thư mục nào là thư mục đầu tiên mà mẫu cần phân tích, đưa các chương trình mồi vào và theo dõi sự thay đổi của chương trình mồi Nếu chương trình mồi bị thay đổi, ta chuyển sang bước tiếp theo, nếu không, ta thay thế bằng các chương trình mồi khác và tiếp tục thử khi chọn được chương trình mồi hợp lý

Để phân tích các hành vi ta cần dựa vào các hành vi cần theo dõi từ giai đoạn kiểm tra, theo dõi và phát hiện chúng ta sẽ lựa chọn các API tương ứng Tương tác tới registry, có các API: RegCloseKey, RegOpenKeyEx, RegQueryInfoKey, RegQueryValueEx…

Tương tác tới các trình duyệt để lấy Cookie: các API tương tác tới file, đồng thời quan sát thư mục liên quan tới browser: mở cổng hậu, tạo các socket kết nối: WSAStartup, WSASocket, WSAConnect, WSAAccept, WSASend, WSARec

Từ các hành vi này, ta tiến hành đặt các break point tại các API quan tâm và tìm được vị trí các đoạn mã mong muốn

Mỗi phương pháp đều có điểm mạnh, điểm yếu riêng Vì thế khi phân tích

mã độc cần kết hợp cả 2 phương pháp phân tích tĩnh và phân tích động mới hiệu quả

2.3.3 Cập nhật và phân tích thông qua các công cụ thu thập thông tin tình

báo

“Indicator of Compromise” hay IOC là những mảnh dữ liệu cho thấy dấu vết của sự đột nhập còn lưu lại trên hệ thống Những dữ liệu đó là những đoạn log, những email còn lưu lại, địa chỉ IP của việc download dữ liệu, giá trị md5 của các malware,… IOC giúp cho các tổ chức chia sẽ thông tin về mối đe dọa một cách nhanh chóng, ngày nay tham gia cộng đồng OpenIOC, sử dụng OpenIOC framework sẽ có khả năng phát hiện các mối đe dọa tiên tiến nhất

Một trong những công cụ thông dụng để tiến hành điều tra các dấu hiệu tấn công trên máy chủ đó là công cụ Redline [22]

Trang 37

27

Ví dụ: Đoạn mã XML trong hình 2.5 là dấu hiệu nhận biết của công cụ

Darkcomet – đây là một RAT- Remote Administration Tool phổ biến

Hình 2.5: Dấu hiệu nhận biết của phần mềm Darkcomet 2.4 Các công cụ phòng chống APT hiện đại và nguyên lý hoạt động

2.4.1 Công cụ của hãng bảo mật FireEye

Các thành phần của giải pháp FireEye

Giải pháp phòng chống mối hiểm họa thế hệ mới của FireEye (Web, Email,

File, Central Management và Malware Analysis) là giải pháp với cơ chế

signature-less, ngăn chặn các cuộc tấn công có mục tiêu, zero-day, APT qua các kênh Web,

Email và File

Trang 38

- FireEye Email Malware Protection System(MPS) - Cung cấp bảo vệ chống lại các cuộc tấn công lừa đảo(spear phishing) bằng cách phát hiện và ngăn chặn phần mềm độc hại tiên tiến lây nhiễm người dùng cuối thông qua các file đính kèm

và các URL được nhúng trong email

- FireEye File Malware Protection System (MPS) - Cung cấp quản lý mối đe dọa chủ động cho các doanh nghiệp chia sẻ file qua mạng(CIFS & NFS) File MPS thực hiện việc quét theo manual, theo lịch trình(schedule), quét từ xa và có thể truy cập file chia sẻ trên mạng để phát hiện phần mềm độc hại mà không ảnh hưởng đến hiệu suất của hệ thống

- FireEye Central Management System(CMS) - Cho phép các thiết bị FireEye chia sẻ dư liệu với nhau và quản lý tập trung Ví dụ: trong email có link, Email MPS sẽ gửi qua Web MPS để quét trang link tới trang web qua CMS

- FireEye Malware Analysis System(MAS) - Thực hiện phân tích chi tiết của phần mềm độc hại tiên tiến, zero-day, và các cuộc tấn công APT nhúng trong các định dạng tập tin phổ biến, file đính kèm email, địa chỉ web, những chương trình độc hại

- FireEye Dynamic Threat Intelligence - Cloud cho phép tất cả thiết bị FireEye trên thế giới chia sẻ thông tin về các mã độc, URL độc hại, IP của máy chủ C&C đã được phát hiện bởi các thiết bị FireEye Khách hàng có lựa chọn chia sẻ 2 chiều hay 1 chiều Ở chế độ 1 chiều khách hàng sẽ nhận được các bản cập nhật tuy nhiên sẽ không chia sẻ lại bất kỳ thông tin nào ra ngoài

Mô hình tích hợp

Việc tích hợp các giải pháp FireEye cho phép tất cả các URL trong email được gửi đến Web MPS với mức độ ưu tiên cao trong quá trình phân tích email

Trang 39

29

Web MPS sẽ phân tích khi người dùng nhấp vào link liên kết trong email Sử dụng cùng nhau, Email MPS cung cấp phân tích tập tin đính kèm email và bối cảnh, Web MPS phân tích các web URL, File MPS quét và phân tích file, MAS cung cấp các chi tiết về malware phục vụ việc điều tra, và CMS tương quan các URL độc hại với email và nạn nhân đưa ra cái nhìn tổng quan về cuộc tấn công

Hình 2.7: Mô hình tích hợp của FireEye

Tất cả các phát hiện của MPS Web, File MPS, và Email MPS có thể được lọc bởi CMS để tích hợp với hệ thống phân tích MAS Ví dụ, khi MAS được kết nối với CMS, cho phép tùy chọn một mẫu phần mềm độc hại được phát hiện bởi các email, tập tin, hoặc các hệ thống Web MPS và "Submit to MAS" để đưa ra các phân tích sâu hơn phục vụ việc điều tra cuộc tấn công

Tất cả các thiết bị của FireEye – MAS, MPS Web, MPS Email, và File MPS – thực thi file nghi ngờ, file đính kèm, tập tin, và URL Tự động quét phần mềm độc hại đáng nghi ngờ thông qua một quy tắc (rules) lọc để so sánh nó với các thiết lập hiện có được biết đến, sau đó chuyển qua môi trường giả lập ảo của FireEye (VX)

để được thực thi

Ngày đăng: 07/11/2017, 13:59

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1]. Li, F., Lai, A., & Ddl, D. (2011), "Evidence of Advanced Persistent Threat: A case study of malware for political espionage", Malicious and Unwanted Software (MALWARE), 2011 6th International Conference on, IEEE Sách, tạp chí
Tiêu đề: Evidence of Advanced Persistent Threat: A case study of malware for political espionage
Tác giả: Li, F., Lai, A., & Ddl, D
Năm: 2011
[2]. Binde, B., McRee, R., & O’Connor, T. J. (2011), “Assessing outbound traffic to uncover advanced persistent threat”, SANS Institute, Whitepaper Sách, tạp chí
Tiêu đề: Assessing outbound traffic to uncover advanced persistent threat”
Tác giả: Binde, B., McRee, R., & O’Connor, T. J
Năm: 2011
[3]. Jason Andress (2011), “Advanced persistent threat-attacker sophistication continues to grow”, Information System Security Association, pages 18–24 Sách, tạp chí
Tiêu đề: Advanced persistent threat-attacker sophistication continues to grow”, "Information System Security Association
Tác giả: Jason Andress
Năm: 2011
[4]. Shuai, Zhang. "The Detection and Defense about APT Attack." Information Security and Technology 9 (2011): 028 Sách, tạp chí
Tiêu đề: The Detection and Defense about APT Attack
Tác giả: Shuai, Zhang. "The Detection and Defense about APT Attack." Information Security and Technology 9
Năm: 2011
[6]. De Vries, J. A. (2012), “Towards a roadmap for development of intelligent data analysis based cyber attack detection systems” Sách, tạp chí
Tiêu đề: Towards a roadmap for development of intelligent data analysis based cyber attack detection systems
Tác giả: De Vries, J. A
Năm: 2012
[7]. Caglayan, A., Toothaker, M., Drapeau, D., Burke, D., & Eaton, G. (2012), “Behavioral analysis of botnets for threat intelligence”, Information Systems and E-Business Management, 10, 491-519 Sách, tạp chí
Tiêu đề: Behavioral analysis of botnets for threat intelligence”, "Information Systems and E-Business Management, 10
Tác giả: Caglayan, A., Toothaker, M., Drapeau, D., Burke, D., & Eaton, G
Năm: 2012
[8]. Sloan, R. (2014), “Advanced Persistent Threat”, Engineering & Technology Reference, 1(1) Sách, tạp chí
Tiêu đề: Advanced Persistent Threat”, "Engineering & Technology Reference, 1
Tác giả: Sloan, R
Năm: 2014
[9]. Mirza, N. A. S., Abbas, H., Khan, F., & Al Muhtadi, J. (2014), "Anticipating Advanced Persistent Threat (APT) countermeasures using collaborative security mechanisms", Biometrics and Security Technologies (ISBAST), 2014 International Symposium on, IEEE Sách, tạp chí
Tiêu đề: Anticipating Advanced Persistent Threat (APT) countermeasures using collaborative security mechanisms
Tác giả: Mirza, N. A. S., Abbas, H., Khan, F., & Al Muhtadi, J
Năm: 2014
[10]. Chen, P., Desmet, L., & Huygens, C. (2014, September), “A study on advanced persistent threats”,In IFIP International Conference on Communications and Multimedia Security (pp. 63-72), Springer Berlin Heidelberg Sách, tạp chí
Tiêu đề: A study on advanced persistent threats”,"In IFIP International Conference on Communications and Multimedia Security (pp. 63-72)
Tác giả: Chen, P., Desmet, L., & Huygens, C
Năm: 2014
[11]. Slot, T., & Kargl, F. (2015), “Detection of APT Malware through External and Internal Network Traffic Correlation” Sách, tạp chí
Tiêu đề: Detection of APT Malware through External and Internal Network Traffic Correlation
Tác giả: Slot, T., & Kargl, F
Năm: 2015
[17]. Svtech.com, http://www.svtech.com.vn/article/1214/, truy cập ngày 05/6/2016 Sách, tạp chí
Tiêu đề: Svtech.com
[18]. Pcworld.com.vn,http://www.pcworld.com.vn/b/chuyenmuc/chuyenmuc/2009/11/1 194927/tan-cong-ma-doc-doi-pho. truy cập ngày 05/6/2016 Sách, tạp chí
Tiêu đề: Pcworld.com.vn
[19]. gfi.com,http://www.gfi.com/blog/advanced-persisdent-threat-apt-a-hyped-up- marketing-term-or-a-security-conern/, truy cập ngày 15/7/2016 Sách, tạp chí
Tiêu đề: gfi.com
[20]. securitydaily.net, http://securitydaily.net/ky-thuat-tan-cong-watering-hole-attack/, truy cập ngày 20/10/2016 Sách, tạp chí
Tiêu đề: securitydaily.net
[21]. en.wikipedia.org,https://en.wikipedia.org/wiki/Domain_generation_algorithm, truy cập ngày 24/3/2017 Sách, tạp chí
Tiêu đề: en.wikipedia.org
[22]. openioc.org, http://www.openioc.org/, truy cập ngày 20/4/2017 Sách, tạp chí
Tiêu đề: openioc.org
[23]. veil-framework.com, https://www.veil-framework.com/, truy cập ngày 20/4/2017 Sách, tạp chí
Tiêu đề: veil-framework.com
[5]. Jon Oltsik (2012), Understanding and Addressing APTs, The Enterprise Strategy Group Khác
[13]. Kern Issa. The Evolution of APTs (Advanced Persistent Threats) Khác
[14]. Mandiant. APT1: Exposing One of China's Cyber Espionage Units. Các trang web Khác

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w