Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERT
i LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tác giả luận văn Phan Thị Phương ii LỜI CẢM ƠN Tôi xin chân thành cảm ơn tới khoa Quốc tế & Đào tạo sau đại học Học viện Cơng nghệ Bưu Viễn thơng thầy tận tình giảng dạy giúp đỡ truyền đạt cho tơi nhiều kiến thức bổ ích cho hoạt động thực tiễn thân đúc kết kiến thức vào luận văn Đặc biệt, tơi xin bày tỏ lòng biết ơn sâu sắc tới Tiến sỹ Nguyễn Trọng Đường, người tận tình hướng dẫn đóng góp nhiều ý kiến q báu giúp tơi hồn thành luận văn Mặc dù cố gắng hoàn thành luận văn, với thời gian khả cho phép, nên luận văn tránh khỏi thiếu sót, hạn chế Tơi mong góp ý chân thành thầy cô, bạn bè để luận văn hoàn thiện Xin chân thành cảm ơn! Hà Nội, tháng năm 2018 HỌC VIÊN Phan Thị Phương iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC TỪ VIẾT TẮT v DANH MỤC BẢNG vi DANH MỤC CÁC HÌNH VẼ vii MỞ ĐẦU .1 CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN .4 1.1 Khái niệm an tồn thơng tin 1.1.1 Khái niệm an tồn thơng tin 1.1.2 Mục tiêu an tồn thơng tin 1.1.3 Nhiệm vụ an tồn thơng tin 1.1.4 Một số thuật ngữ an tồn thơng tin 1.2 Lỗ hổng điểm yếu an tồn thơng tin 1.1.5 Lỗ hổng bảo mật 1.1.6 Điểm yếu an tồn thơng tin 1.3 Một số kỹ thuật công tin tặc 13 1.1.7 Quy trình cơng tin tặc 13 1.1.8 Một số kiểu công phổ biến 18 1.4 Kết luận chương 23 CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG MÃ ĐỘC 24 2.1 Tổng quan mã độc máy tính 24 2.1.1 Khái niệm mã độc 24 2.1.2 Phân loại mã độc 24 2.1.3 Cách thức lây nhiễm mã độc 29 2.1.4 Tác hại mã độc 31 iv 2.2 Xu hướng công mã độc 33 2.2.1 Các xu hướng công mã độc giới 33 2.2.2 Các xu hướng công mã độc Việt Nam 37 2.3 Một số biện pháp phòng chống mã độc 44 2.4 Kết luận chương 47 CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG BẰNG MÃ ĐỘC TẠI TRUNG TÂM VNCERT 48 3.1 Quy trình phát xử lý mã độc trung tâm VNCERT 48 3.1.1 Phát mã độc 48 3.1.2 Bóc gỡ mã độc 59 3.1.3 Các kỹ thuật phân tích mã độc 62 3.2 Triển khai giải pháp phát phòng chống cơng mã độc trung tâm VNCERT 65 3.2.1 Giới thiệu giải pháp 65 3.2.2 Mô hình triển khai 68 3.2.3 Cài đặt cấu hình hệ thống 69 3.3 Thử nghiệm đánh giá kết 73 3.3.1 Môi trường triển khai 73 3.3.2 Đánh giá kết 73 3.3.3 Một số điểm hạn chế hệ thống 77 3.4 Kết luận chương 77 TÀI LIỆU THAM KHẢO 81 v DANH MỤC CÁC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt DNS Domain Name System Hệ thống phân giải tên miền DoS Denial of Service Tấn công từ chối dịch vụ DDoS Distribute Denial of Service Tấn công từ chối dịch vụ phân tán LDAP Denial of Service UDP User Datagram Protocol DLL Dynamic Link Library HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn PHP Hypertext Preprocessor Một ngơn ngữ lập trình NAT Network Address Translation Chuyển đổi địa mạng NIST National Institute of Standards Viện tiêu chuẩn Công nghệ Giao thức không liên kết and Technology SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản URL Uniform Resource Locator Đường dẫn nguồn tài nguyên internet VNCERT Vietnam Computer Emergency Response Team Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam vi DANH MỤC BẢNG Hình 3.18 Các thơng tin tập tin 63 Hình 3.19 Các cơng cụ sử dụng để phân tích hoạt động mã độc 64 vii DANH MỤC CÁC HÌNH VẼ Hình 1.1 Mơ hình C-I-A (Confidentiality, Integrity, Availability) Hình 1.2 Mơ hình D-P-R (Detection, Prevention, Response) Hình 1.3 Mức độ rủi ro theo mối đe dọa lỗ hổng Hình 1.4 Mơ hình TCP/IP 10 Hình 1.5 Quy trình thực cơng tin tặc 13 Hình 1.6 Mơ hình cơng từ chối dịch vụ phân tán 19 Hình 2.1 Phân loại mã độc 25 Hình 2.2 Tổn thất mã độc gây năm 2012 32 Hình 2.3 Thiệt hại mã độc gây năm 2016 33 Hình 3.1 Màn hình wireshark 50 Hình 3.2 Màn hình lọc gói tin 50 Hình 3.3 Màu sắc gói tin 51 Hình 3.4 Màn hình mở gói tin 51 Hình 3.5 Màn hình lọc gói tin theo thơng tin 52 Hình 3.6 Hiển thị lọc 52 Hình 3.7 Màn hình xem chi tiết gói tin 52 Hình 3.8 Chi tiết thời gian giao tiếp server-client 53 Hình 3.9 Khung hiển thị chi tiết thơng tin 54 Hình 3.10 Cách filter theo ngữ cảnh 54 Hình 3.11 Sử dụng TCPView 55 Hình 3.12 Process Explorer 56 Hình 3.13 Dừng ứng dụng lạ với Process Explorer 57 Hình 3.14 Kiểm tra hệ thống với Process Explorer 57 Hình 3.15 Quy trình bóc gỡ mã độc 59 Hình 3.16 Nhận diện vị trí tự động khởi động mã độc 61 Hình 3.17 Chấm dứt tiến trình xác định độc hại 61 viii Hình 3.20 Mã nguồn Maltrail 67 Hình 3.21 Blacklist sử dụng Maltrail 68 Hình 3.22 Kiến trúc Maltrail 68 Hình 3.23 Mơ hình triển khai 69 Hình 3.24 Cài đặt sensor 69 Hình 3.25 Cài đặt server 70 Hình 3.26 Cấu hình hệ thống 70 Hình 3.27 Giao diện báo cáo Maltrail 71 Hình 3.28 Cách tùy biến danh sách 72 Hình 3.29 Kết phát VNCERT 75 MỞ ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày trở nên phổ biến đời sống ngày hầu hết lĩnh vực Song song với phát triển hàng loạt nguy an tồn thơng tin Trong năm gần đây, Website Internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt công tin tặc Xu hướng cơng, phát tán phần mềm có mã độc vào quan, doanh nghiệp hình thái giới tội phạm tin tặc mang tính chất quốc gia Bên cạnh loại mã độc phổ biến xuất dạng mã độc mới, mã độc đính kèm tập tin văn Hầu hết người nhận Email mở tập tin văn đính kèm bị nhiễm mã độc khai thác lỗ hổng phần mềm Khi xâm nhập vào máy tính, mã độc âm thầm kiểm sốt tồn máy tính nạn nhân, mở cổng hậu, cho phép tin tặc điều khiển máy tính nạn nhân từ xa Chúng nhận lệnh tin tặc tải mã độc khác máy tính để ghi lại thao tác bàn phím, chụp hình, lấy cắp tài liệu Có nhiều website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ cơng gây thiệt hại nghiêm trọng có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Các công tin tặc gia tăng số lượng mức độ nghiêm trọng Vì vậy, bảo đảm an tồn thơng tin trở thành nhu cầu thực tế cấp thiết Song song với cách mạng cơng nghiệp 4.0 diễn nhiều nước phát triển Nó mang đến cho nhân loại hội để thay đổi mặt kinh tế, tiềm ẩn nhiều rủi ro khôn lường Những yếu tố cốt lõi Kỹ thuật số CMCN 4.0 là: Trí tuệ nhân tạo (AI), Vạn vật kết nối - Internet of Things (IoT) liệu lớn (Big Data) Trên lĩnh vực công nghệ sinh học, Cách mạng Công nghiệp 4.0 tập trung vào nghiên cứu để tạo bước nhảy vọt Nông nghiệp, Thủy sản, Y dược, chế biến thực phẩm, bảo vệ môi trường, lượng tái tạo, hóa học vật liệu Cuối lĩnh vực Vật lý với robot hệ mới, máy in 3D, xe tự lái, vật liệu (graphene, skyrmions…) công nghệ nano Hiện Cách mạng Công nghiệp 4.0 diễn nước phát triển Mỹ, châu Âu, phần châu Á Bên cạnh hội mới, cách mạng công nghiệp 4.0 đặt cho nhân loại nhiều thách thức phải đối mặt [12] IoT hay Internet Of Things (vạn vật kết nối Internet) trở thành xu hướng giới, nhiên báo cáo từ công ty bảo mật lưu ý xu hướng gây thiệt hại nặng nề chịu công hacker Theo chuyên gia hãng phần mềm diệt virus Trend Micro, IoT thay đổi giới xung quanh, cách mạng công nghiệp Nhưng theo thống kê Trend Micro, IoT phát triển, với cơng mạng gây thiệt hại hàng triệu đô la Điều đáng lo hai năm qua, khả bị tấn công thiết bị IoT tăng đáng kể Khác với cá nhân, công vào hệ thống IoT có nguy làm tổn hại hồ sơ y tế, thơng tin thẻ tín dụng, dẫn đến hậu lớn nhiều Theo ước tính Trend Micro, năm 2020 số lượng thiết bị kết nối IoT tăng lên lúc mối đe dọa ngày nhiều Tuy nhiên, doanh nghiệp chưa có cách giải an ninh IoT hiệu [13] Việc Nghiên cứu xu hướng công mã độc giải pháp phòng chống cơng cần thiết, nhằm đưa xu hướng phương pháp phù hợp với thực tiễn Việt Nam Xuất phát từ nhu cầu thực tế cấp thiết việc để phát mã độc hệ thống, luận văn tập trung vào việc nghiên cứu xu hướng, kịch công mã độc, giải pháp phù hợp phát máy tính thiết bị IoT bị nhiễm mã độc mạng nội nhằm phát sớm có giải pháp bóc gỡ hiệu Luận văn gồm ba chương sau: 69 Hình 3.23 Mơ hình triển khai 3.2.3 Cài đặt cấu hình hệ thống Cài đặt Sensor sudo apt-get install git python-pcapy git clone https://github.com/stamparm/maltrail.git cd maltrail sudo python sensor.py Hình 3.24 Cài đặt sensor 70 Cài đặt Server git clone https://github.com/stamparm/maltrail.git cd maltrail python server.py Hình 3.25 Cài đặt server Cấu hình hệ thống Hình 3.26 Cấu hình hệ thống 71 Client Browser: http://localhost:8338 User: admin Pass: changeme! Hình 3.27 Giao diện báo cáo Maltrail Tùy biến danh sách 72 Hình 3.28 Cách tùy biến danh sách Mơ tả: Tại VNCERT giải pháp phát mã độc triển khai dựa tảng nguồn mở, ứng dụng phần mềm Maltrail để ghi nhận cảnh báo gói tin xác định có khả nhiễm mã độc Từ tiến hành bóc tách thủ công sử dụng phần mềm để xử lý mã độc nhân tố bị nhiễm Mơ hình triển khai thực sau Hệ thống mạng VNCERT từ phía internet vào gồm thành phần: Router, firewall, switch truy cập cho thiết bị nội mạng (hình 3.23), Switch truy cập sử dụng loại có khả span port, đẩy toàn lưu lượng cổng router sang port span Nhờ đặt thiết bị để thu toàn lưu lượng internet phân tích Với hạ tầng vậy, VNCERT tiến hành đặt hệ thống Maltrail nối vào ports pan để ghi nhận lưu lượng 73 Hệ thống Maltrail cài đặt tất thiết bị phần cứng để tiết kiệm chi phí ( lưu lượng chưa đến mức cần phân tải) Bao gồm: sensor, server hệ thống báo cáo Cơ chế hoạt động sau: - Khi liệu người dùng trao đổi qua switch nói trên, tồn liệu mirror sang span port, đẩy vào module sensor, đó, sensor thực capture tồn lưu lượng này, lưu vào file pcap đường dẫn xác định trước - Module server thực định kỳ cập nhật thông tin virus cac blacklist nói vào sở liệu Maltrail - Server định quét so sánh thông tin từ nguồn ( tức liệu sensor gửi về) sở liệu virus, từ phân tích vào báo cáo cho người quản trị kết phân tích, nghi ngờ hình 3.27 - Sau có kết phân tích, cán quản trị mạng bảo mật phối hợp thực bóc gỡ mã độc theo quy trình nêu mục 3.1.2 3.3 Thử nghiệm đánh giá kết 3.3.1 Môi trường triển khai Hệ thống triển khai thử nghiệm Trung tâm VNCERT môi trường mã nguồn mở sử dụng hệ điều hành Ubuntu Hệ thống Maltrail cài đặt công bố rộng rãi Github địa chỉ: https://github.com/stamparm/maltrail 3.3.2 Đánh giá kết Hệ thống hoạt động ổn định 24/24 với số kết đạt phát hầu hết máy tính, thiết bị (IOT) bị nhiễm mã độc có kết nối đến nguồn công bố 74 Đối với công tác cảnh báo ứng cứu cố Trung tâm VNCERT, chẳng hạn theo Công văn số 298/VNCERT-ĐPƯC việc phát dấu hiệu chiến dịch công nhằm vào hệ thống thông tin quan trọng Việt Nam thông qua việc phát tán điều khiển mã độc có chủ đích (APT) Để phát máy tính, thiết bị mạng có kết nối đến địa C&C Server theo phụ lục sau đây: [24] 75 76 Hình 3.29 Kết phát VNCERT 77 Để phát máy tính, thiết bị mạng có kết nối đến domain địa IP hệ thống Maltrail làm điều 3.3.3 Một số điểm hạn chế hệ thống Hệ thống dừng lại việc phát thiết bị, máy tính mạng bị nhiễm mã độc có kết nối Internet đến nguồn công bố, bao gồm: - 58 nguồn cung cấp blacklist hàng ngày (VD: alienvault, autoshun, badips, ) - 413 static sinkhole trail lists (manually collected) - static malware trail lists dựa IOCs từ AV reports - 16 static suspicious trail lists (VD browser_hijacking, computrace, dynamic_domain, ipinfo, superfish, ) - 13 heuristic mechanisms Khi phát thiết bị, máy tính mạng bị nhiễm mã độc cán kỹ thuật Trung tâm VNCERT tiến hành bốc gỡ xữ lý mã độc theo bước phần Đối với loại mã độc khơng có kết nối ngồi loại mã độc có kết nối đến nguồn chưa cơng bố hệ thống chưa phát cách tự động Để phát loại mã độc cần phải thực rà sốt lại tồn thành phần máy tính, thiết bị 3.4 Kết luận chương Trong phần nội dung chương này, luận văn làm số yêu cầu bao gồm: trình bày quy trình xử lý mã độc trung tâm VNCERT, triển khai giải pháp phát phòng chống cơng mã độc vncert Tác giả cài đặt thử nghiệm giải pháp đưa Việc sử dụng phần mềm mã nguồn mở Maltrail triển khai máy chủ hệ điều hành Ubuntu Kết cho thấy giải pháp 78 khuyến nghị phát hầu hết máy tính, thiết bị (IOT) bị nhiễm mã độc có kết nối đến nguồn cơng bố Mặt khác, giải pháp dừng lại việc phát thiết bị, máy tính mạng bị nhiễm mã độc có kết nối Internet đến nguồn công bố 79 KẾT LUẬN An tồn thơng tin Việt Nam trở thành vấn đề nóng bỏng qua hàng loạt vụ việc hệ thống lớn bị công Luận văn nêu điểm yếu, lỗ hổng an thông tin kỹ thuật công phổ biến tin tặc, đánh giá tình hình xu hướng công mã độc giới việt nam từ đưa biện pháp khắc phục phòng chống Mặt khác, kỹ thuật cơng tin tặc ngày tinh vi, phức tạp Quy trình phát xử lý mã độc trung tâm Vncert giải pháp phát phòng chống chống cơng đưa cách nhìn hệ thống cách thức đảm bảo an tồn thơng tin Các kết đat cụ thể luận văn gồm: - Nghiên cứu tổng quan an tồn thơng tin, lỗ hổng, điểm yếu an tồn thơng tin, khái quát kỹ thuật công tin tặc từ quy trình cơng đưa cụ thể kiểu công phổ biến - Nghiên cứu mã độc xu hướng công mã độc tin tặc giới Việt Nam Bài trình bày rõ biện pháp phòng chống mã độc Bài đề xuất giải pháp phòng chống công mã độc áp dụng cho đơn vị vừa nhỏ cụ thể áp dụng trung tâm VNCERT Nội dung đưa giải pháp phát mã độc - Maltrail hệ thống phát lưu lượng độc hại Tuy nhiên mơ hình giải pháp số điểm hạn chế dừng lại việc phát thiết bị, máy tính mạng bị nhiễm mã độc có kết nối Internet đến nguồn công bố Đối với loại mã độc khơng có kết nối ngồi loại mã độc có kết nối đến nguồn chưa cơng bố hệ thống chưa phát cách tự động Để phát loại mã độc cần phải thực rà sốt lại tồn thành phần máy tính, thiết bị 80 Trên tồn luận văn thạc sỹ kỹ thuật tác giả Trong q trình thực khơng tránh khỏi thiếu sót, tác giả mong nhận đóng góp ý kiến thầy cô bạn 81 TÀI LIỆU THAM KHẢO DANH MỤC CÁC TÀI LIỆU TIẾNG VIỆT [1] PGS.TS Nguyễn Hiếu Minh (2012), Giáo trình Tổng quan an ninh mạng, Học viện Kỹ thuật Quân [2] Nguyễn Thành Nam (2009), Nghệ thuật tận dụng lỗi phần mềm, NXB Khoa học kỹ thuật [3] Nguyễn Hồng Thái (2006), Cài đặt cấu hình Iptables, Trường Đại Học Bách Khoa TP Hồ Chí Minh [4] Ngơ Anh Vũ (2005), Virus tin học huyền thoại & thực tế, NXB Tổng hợp TP Hồ Chí Minh DANH MỤC CÁC TÀI LIỆU TIẾNG ANH [5] Lawrence C Miller (2012), Modern Malware for Dummies Guide [6] Michael Hale Ligh, Steven Adair, Blake Hartstein, Matthew Richard (2010), Malware Analyst's Cookbook [7] Michael Sikorski, Andrew Honig (2008), Practical Malware Analysis [8] Peter Mell, Karen Kent, Joseph Nusbaum (2005), Guide to Malware Incident Prevention and Handling [9] Miroslav Stampar (2016), Maltrail - Malicious traffic detection system DANH MỤC CÁC WEBSITE [10] http://vi.wikipedia.org/wiki/An_tồn_thơng_tin [11] http://ictnews.vn/home/Bao-mat/19/Hang-loat-bao-dien-tu-lon-dangbi-tan-cong-DDoS/110465/index.ict [12] https://news.zing.vn/cach-mang-cong-nghiep-40-la-gipost750267.html [13] https://iotvietnam.com/xu-huong-iot-co-the-khien-cac-cuoc-tan-congmang-nang-ne-hon/ 82 [14] http://how.vndemy.com/background/security/1504-tam-giac-bao-matcia/ [15] https://manthang.wordpress.com/2012/05/17/cac-yeu-cau-va-thanhphan-cua-mang-tin-cay-2/ [16] https://anninhmang.net/tu-hoc-quan-tri-mang/tu-hoc-an-ninhmang/cac-giai-doan-tan-cong-cua-hacker/ [17] https://www.owasp.org/index.php/Top_10_2017-Top_10 [18] http://vi.wikipedia.org/wiki/Phần_mềm_độc_hại [19] https://www.bkav.com.vn/ho_tro_khach_hang/-/chi_tiet/383980/tongket-an-ninh-mang-nam-2015-va-du-bao-xu-huong-2016 [20] http://bsa.isoftware.nl/ [21] http://zerowine.sourceforge.net/ [22] http://www.sans.org/reading-room/whitepapers/malicious/malwareanalysis-introduction-2103 [23] http://congdonglinux.vn/forum/showthread.php?130 [24] http://vncert.gov.vn/ [25] https://github.com/stamparm/maltrail ... hại mã độc 31 iv 2.2 Xu hướng công mã độc 33 2.2.1 Các xu hướng công mã độc giới 33 2.2.2 Các xu hướng công mã độc Việt Nam 37 2.3 Một số biện pháp phòng chống. .. chống mã độc 44 2.4 Kết luận chương 47 CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG BẰNG MÃ ĐỘC TẠI TRUNG TÂM VNCERT 48 3.1 Quy trình phát xử lý mã độc trung tâm VNCERT. .. để phát mã độc hệ thống, luận văn tập trung vào việc nghiên cứu xu hướng, kịch công mã độc, giải pháp phù hợp phát máy tính thiết bị IoT bị nhiễm mã độc mạng nội nhằm phát sớm có giải pháp bóc