Đang tải... (xem toàn văn)
Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERT
1 LỜI NÓI ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng cơng nghệ thông tin, Internet ngày trở nên phổ biến đời sống ngày hầu hết lĩnh vực Song song với phát triển hàng loạt nguy an toàn thông tin Trong năm gần đây, website internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt cơng tin tặc Xu hướng công, phát tán phần mềm có mã độc vào quan, doanh nghiệp hình thái giới tội phạm tin tặc mang tính chất quốc gia Bên cạnh loại mã độc phổ biến xuất dạng mã độc mới, mã độc đính kèm tập tin văn Hầu hết người nhận email mở tập tin văn đính kèm bị nhiễm mã độc khai thác lỗ hổng phần mềm Khi xâm nhập vào máy tính, mã độc âm thầm kiểm sốt tồn máy tính nạn nhân, mở cổng hậu, cho phép tin tặc điều khiển máy tính nạn nhân từ xa Chúng nhận lệnh tin tặc tải mã độc khác máy tính để ghi lại thao tác bàn phím, chụp hình, lấy cắp tài liệu Có nhiều website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp…Các công tin tặc gia tăng số lượng mức độ nghiêm trọng Vì vậy, bảo đảm an tồn thơng tin trở thành nhu cầu thực tế cấp thiết Việc Nghiên cứu xu hướng cơng mã độc giải pháp phòng chống công cần thiết, nhằm đưa xu hướng phương pháp phù hợp với thực tiễn Việt Nam Xuất phát từ nhu cầu thực tế cấp thiết việc để phát mã độc hệ thống, luận văn tập trung vào việc nghiên cứu xu hướng, kịch công mã độc, giải pháp phù hợp phát mã độc mạng nội đảm bảo an tồn thơng tin 2 Luận văn gồm ba chương sau: Chương 1: Tổng quan an tồn thơng tin Chương 2: Mã độc xu hướng công mã độc Chương 3: Giải pháp phòng chống cơng mã độc trung tâm VNCERT Cuối phần đánh giá, kết luận hướng phát triển Luận văn CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 1.1 Khái niệm an tồn thơng tin 1.1.1 Khái niệm an tồn thơng tin An tồn thông tin hoạt động bảo vệ tài sản thơng tin lĩnh vực rộng lớn Nó bao gồm sản phẩm quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thơng tin, An tồn thơng tin liên quan đến hai khía cạnh an tồn mặt vật lý an toàn mặt kỹ thuật 1.1.2 Mục tiêu an tồn thơng tin Một thơng tin gọi an tồn thỏa mãn ba tiêu chí tính bí mật, tính tồn vẹn tính sẵn sàng, ba tiêu chí đứng ba đỉnh tam giác đều, hay cònđược gọi mơ hình tam giác bảo mật C – I – A (Confidentiality, Integrity, Availability) 1.1.3 Nhiệm vụ an tồn thơng tin Để đảm bảo an ninh cho mạng cần: • Phát nhanh • Phản ứng nhanh • Ngăn chặn kịp thời Đây nhiệm vụ khó khăn cho nhà quản lý nhà cung cấp dịch vụ mạng 3 1.1.4 Một số thuật ngữ an tồn thơng tin 1.2 Lỗ hổng điểm yếu an tồn thơng tin 1.2.1 Lỗ hổng bảo mật • Mối đe dọa (Threats) • Lỗ hổng (Vulnerabilities) • Sự rủi ro (Risk) 1.2.2 Điểm yếu an tồn thơng tin • Điểm yếu cơng nghệ • Điểm yếu cấu hình • Điểm yếu sách • Điểm yếu người 1.3 Một số kỹ thuật công tin tặc 1.3.1 Một số kỹ thuật cơng tin tặc • Thu thập thơng tin • Qt rà sốt mạng • Thực thâm nhập • Duy trì kết nối 1.3.2 Một số kiểu công phổ biến 1.3.2.1 Tấn công sử dụng mã độc hại 1.3.2.2 Tấn công từ chối dịch vụ (DOS) 1.3.2.3 Tấn công vật lý 1.3.2.4 Tấn công tràn đệm 1.3.2.5 Tấn công Brute Force 1.3.2.6 Tấn công ứng dụng web 1.4 Kết luận chương Trong chương 1, tác giả trình bày Trong chương đưa số khái niệm an tồn thơng tin, lỗ hổng, điểm yếu an tồn thơng tin quy trình, kiểu cơng phổ biến tin tặc 4 CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG MÃ ĐỘC 2.1 Tổng quan mã độc máy tính 2.1.1 Khái niệm mã độc Theo Wikipedia, phần mềm độc hại hay gọi mã độc loại phần mềm hệ thống tay tin tặc hay kẻ phá hoại tạo nhằm gây hại cho máy tính Tùy theo cách thức mà tin tặc dùng, nguy hại loại phần mềm độc hại có khác từ chỗ hiển thị cửa sổ hù dọa việc phá hoại, ăn cắp thông tin công chiếm quyền điều khiển máy tính lây nhiễm sang máy tính khác virus thể sinh vật Theo NIST, mã độc định nghĩa chương trình chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống Theo định nghĩa mã độc hại bao hàm nhiều thể loại như: virus, worm, trojan, 2.1.2 Phân loại mã độc • Virus • Worm • Trojan • Rootkit 2.1.3 Cách thức lây nhiễm mã độc • Lây nhiễm theo cách cổ điển • Lây nhiễm qua thư điện tử • Lây nhiễm qua mạng Internet 2.1.4 Tác hại mã độc 2.2 Xu hướng công mã độc 2.2.1 Các xu hướng công mã độc giới • Tấn cơng thơng tin thầm lặng gây niềm tin • Nguy cơng mạng đám mây • Tấn cơng mạng tự học • Bảo mật liệu cấu giá • Sự hợp tác kẻ thù tin tặc 2.2.2 Các xu hướng công mã độc Việt Nam • • • Mã độc tống tiền- Ransomeware Sử dụng mạng xã hội- nguy lây nhiễm mã độc, lừa đảo Khai thác công từ thiết bị IoT (Internet of ThingsInternet kết nối vạn vật • Các cơng có chủ đích nhằm vào quan phủ hệ thống hạ tầng trọng yếu • Các website cá nhân, tổ chức Việt Nam mục tiêu cơng 2.3 Một số biện pháp phòng chống mã độc • Sử dụng phần mềm an toàn • Sử dụng Anti-Virus • Sử dụng tường lửa • Sử dụng hệ thống phát xâm nhập • Cập nhật vá lỗi cho hệ điều hành ứng dụng • Bảo vệ tổng quát bảo vệ theo chiều sâu 2.4 Kết luận chương Trong chương II, tác giả trình bày tổng quan mã độc máy tính, cách thức lây nhiễm tác hại nó, nêu tình hình xu hướng cơng mã độc giới Việt Nam, biện pháp phòng chống mã độc CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG BẰNG MÃ ĐỘC TẠI TRUNG TÂM VNCERT 3.1 Quy trình phát xử lý mã độc trung tâm VNCERT 3.1.1 Phát mã độc Để phát mã độc chạy máy tính, người dùng cần sử dụng kết hợp nhiều công cụ hỗ trợ miễn phí khác để tìm mã độc Các công cụ bao gồm: Công cụ giám sát registry: Regshot, Autoruns, Comodo Công cụ theo dõi tiến trình thực thi: Process XP, KillSwitch Cơng cụ theo dõi lưu lượng mạng: Wireshark, Tcpdump Công cụ phát rootkit hệ thống: Kaspersky TDSSKiller Để xác định tập tin có phải mã độc hay khơng, người dùng kiểm tra cơng cụ quét virus khác việc sử dụng trang quét virus trực tuyến http://virustotal.com 3.1.2 Bóc gỡ mã độc Quy trình bóc gỡ sau: Hình 3.15 Quy trình bóc gỡ mã độc a) Ngắt kết nối mạng Trong trường hợp máy tính bị nhiễm mã độc cần phải ngắt kết nối mạng để xử lý nhằm tránh số trường hợp mã độc tự lây lan qua môi trường mạng số loại mã độc kết nối C&C Server để nhận lệnh điều khiển Để ngắt kết nối mạng thực hiện: • Kết nối internet dây: Rút dây để ngắt kết nối Internet • Ngắt kết nối internet Wifi: Tạm disconnect wifi để ngắt mạng • Khơng muốn rút dây ngắt wifi: Sử dụng disable mạng để ngắt kết nối b) Nhận diện tiến trình drivers độc hại Sử dụng Process Explore để nhận diện tiến trình độc hại thơng qua số yếu tố như: • Khơng có icon (biểu tượng) • Khơng có thơng tin mơ tả tên cơng ty • Khơng có ký tên Microsoft images • Chú trọng đến tiến trình chạy từ thư mục Windows từ thư mục User Profile • Tiến trình packed • Bao gồm nhiều URLs lạ phần strings tiến trình • Có kết nối TCP/IP • Có chứa DLLs services khả nghi c) Nhận diện xóa bỏ vị trí tự động khởi động mã độc • Nhận diện vị trí tập tin mã độc • Nhận diện vị trí khóa Registry giúp mã độc tự động khởi động d) Chấm dứt tiến trình xác định độc hại • Khi xác định nghi ngờ tiến trình độc hại cần phải chấm dứt tiến trình • Kích phải chuột vào tiến trình chọn Kill Process e) Xóa bỏ tập tin mã độc • Xóa bỏ tập tin mã độc nhận diện • Xóa bỏ khóa Registry giúp mã độc tự động khởi động f) Khởi động lại máy tính tiếp tục nhận diện loại mã độc khác • Thực lại bước tương tự để tìm kiếm gỡ bỏ mã độc 3.1.3 Các kỹ thuật phân tích mã độc • Phân tích sơ lược • Phân tích hoạt động • Phân tích mã thực thi mã độc • Phương pháp phân tích mã độc tự động 3.2 Triển khai giải pháp phát phòng chống cơng mã độc trung tâm VNCERT 3.2.1 Giới thiệu giải pháp Giải pháp pháp phát phòng chống cơng mã độc trung tâm VNCERT sử dụng phần mềm mã nguồn mở Maltrail triển khai máy chủ chạy hệ điều hành Ubuntu Maltrail hệ thống phát lưu lượng độc hại, sử dụng blacklist công khai có sẵn có chứa trail độc hại đáng ngờ Kết hợp với trail tĩnh biên dịch từ báo cáo AV khác danh sách người dùng tùy chỉnh Các trail bao gồm: domain name, URL, IP address HTTP User-Agent,… Ngồi ra, sử dụng chế heuristic tiên tiến phát mối đe dọa chưa biết Ý tưởng hệ thống tạo cơng bố cách kết hợp nhiều kiện thành “Threat“ Ưu tiên hoạt động độc hại từ bên (ví dụ: phần mềm độc hại), từ cảnh báo CERT Sử dụng kết sẵn có hình thức blacklists cơng khai malicious trails (IOCs) công khai Hệ thống tối ưu 9 Hiện Maltrail có: • 58 nguồn cung cấp blacklist hàng ngày (VD: alienvault, autoshun, badips, ) • 413 static sinkhole trail lists (manually collected) • static malware trail lists dựa IOCs từ AV reports • 16 static suspicious trail lists (VD browser_hijacking, computrace, dynamic_domain, ipinfo, superfish, ) • 13 heuristic mechanisms (VD: port scanning, long domains, sinkhole responses, suspicious HTTP requests, suspicious HTTP user agents, excessive NXDOMAIN, etc.) 3.2.2 Mơ hình triển khai Hình 3.22 Kiến trúc Maltrail Sensor thành phần để theo dõi điều tra lưu lượng truy cập để tìm kiếm “trails" Server thành phần lưu trữ kiện Sensor dạng CSV phục vụ phân tích theo yêu cầu từ client Client thành phần để phân tích báo cáo liệu thơ Trong cấu hình mặc định, Server Sensor chạy máy 10 Hình 3.23 Mơ hình triển khai 3.2.3 Cài đặt cấu hình hệ thống Cài đặt Sensor sudo apt-get install git python-pcapy git clone https://github.com/stamparm/maltrail.git cd maltrail sudo python sensor.py 11 Hình 3.24 Cài đặt sensor Cài đặt Server git clone https://github.com/stamparm/maltrail.git cd maltrail python server.py 12 Hình 3.25 Cài đặt server Cấu hình hệ thống Hình 3.26 Cấu hình hệ thống 13 Client Browser: http://localhost:8338 User: admin Pass: changeme! Hình 3.27 Giao diện báo cáo Maltrail Tùy biến danh sách 14 Hình 3.28 Cách tùy biến danh sách Cơ chế hoạt động sau: - Khi liệu người dùng trao đổi qua switch nói trên, tồn liệu mirror sang span port, đẩy vào module sensor, đó, sensor thực capture tồn lưu lượng này, lưu vào file pcap đường dẫn xác định trước - Module server thực định kỳ cập nhật thông tin virus cac blacklist nói vào sở liệu Maltrail - Server định quét so sánh thông tin từ nguồn ( tức liệu sensor gửi về) sở liệu virus, 15 từ phân tích vào báo cáo cho người quản trị kết phân tích, nghi ngờ hình 3.27 - Sau có kết phân tích, cán quản trị mạng bảo mật phối hợp thực bóc gỡ mã độc theo quy trình nêu mục 3.1.2 3.3 Thử nghiệm đánh giá kết 3.3.1 Môi trường triển khai Hệ thống triển khai thử nghiệm Trung tâm VNCERT môi trường mã nguồn mở sử dụng hệ điều hành Ubuntu Hệ thống Maltrail cài đặt công bố rộng rãi Github địa chỉ: https://github.com/stamparm/maltrail 3.3.2 Đánh giá kết Hệ thống hoạt động ổn định 24/24 với số kết đạt phát hầu hết máy tính, thiết bị (IOT) bị nhiễm mã độc có kết nối đến nguồn công bố Đối với công tác cảnh báo ứng cứu cố Trung tâm VNCERT, chẳng hạn theo Công văn số 298/VNCERT-ĐPƯC việc phát dấu hiệu chiến dịch công nhằm vào hệ thống thông tin quan trọng Việt Nam thông qua việc phát tán điều khiển mã độc có chủ đích (APT) 16 3.3.3 Một số điểm hạn chế hệ thống Hệ thống dừng lại việc phát thiết bị, máy tính mạng bị nhiễm mã độc có kết nối Internet đến nguồn công bố, bao gồm: 58 nguồn cung cấp blacklist hàng ngày (VD: alienvault, autoshun, badips, ) 413 static sinkhole trail lists (manually collected) static malware trail lists dựa IOCs từ AV reports 16 static suspicious trail lists (VD browser_hijacking, computrace, dynamic_domain, ipinfo, superfish, ) 13 heuristic mechanisms Khi phát thiết bị, máy tính mạng bị nhiễm mã độc cán kỹ thuật Trung tâm VNCERT tiến hành bốc gỡ xữ lý mã độc theo bước phần Đối với loại mã độc khơng có kết nối ngồi loại mã độc có kết nối đến nguồn chưa cơng bố hệ thống chưa phát cách tự động Để phát loại mã độc cần phải thực rà sốt lại tồn thành phần máy tính, thiết bị 3.4 Kết luận chương Trong phần nội dung chương này, luận văn làm số yêu cầu bao gồm: trình bày quy trình xử lý mã độc trung tâm VNCERT, triển khai giải pháp phát phòng chống công mã độc vncert Tác giả cài đặt thử nghiệm giải 17 pháp đưa Việc sử dụng phần mềm mã nguồn mở Maltrail triển khai máy chủ hệ điều hành Ubuntu Kết cho thấy giải pháp khuyến nghị phát hầu hết máy tính, thiết bị (IOT) bị nhiễm mã độc có kết nối đến nguồn công bố Mặt khác, giải pháp dừng lại việc phát thiết bị, máy tính mạng bị nhiễm mã độc có kết nối Internet đến nguồn công bố KẾT LUẬN An tồn thơng tin Việt Nam trở thành vấn đề nóng bỏng qua hàng loạt vụ việc hệ thống lớn bị công Luận văn nêu điểm yếu, lỗ hổng an thông tin kỹ thuật công phổ biến tin tặc, đánh giá tình hình xu hướng công mã độc giới việt nam từ đưa biện pháp khắc phục phòng chống Mặt khác, kỹ thuật công tin tặc ngày tinh vi, phức tạp Quy trình phát xử lý mã độc trung tâm Vncert giải pháp phát phòng chống chống cơng đưa cách nhìn hệ thống cách thức đảm bảo an tồn thơng tin Các kết đat cụ thể luận văn gồm: - Nghiên cứu tổng quan an tồn thơng tin, lỗ hổng, điểm yếu an tồn thơng tin, khái qt kỹ thuật cơng tin tặc từ quy trình cơng đưa cụ thể kiểu công phổ biến 18 - Nghiên cứu mã độc xu hướng công mã độc tin tặc giới Việt Nam Bài trình bày rõ biện pháp phòng chống mã độc Bài đề xuất giải pháp phòng chống cơng mã độc áp dụng cho đơn vị vừa nhỏ cụ thể áp dụng trung tâm VNCERT Nội dung đưa giải pháp phát mã độc Maltrail hệ thống phát lưu lượng độc hại Tuy nhiên mơ hình giải pháp số điểm hạn chế dừng lại việc phát thiết bị, máy tính mạng bị nhiễm mã độc có kết nối Internet đến nguồn công bố Đối với loại mã độc khơng có kết nối ngồi loại mã độc có kết nối đến nguồn chưa cơng bố hệ thống chưa phát cách tự động Để phát loại mã độc cần phải thực rà sốt lại tồn thành phần máy tính, thiết bị Trên tồn luận văn thạc sỹ kỹ thuật tác giả Trong q trình thực khơng tránh khỏi thiếu sót, tác giả monghận đóng góp ý kiến thầy cô bạn ... pháp phân tích mã độc tự động 3.2 Triển khai giải pháp phát phòng chống cơng mã độc trung tâm VNCERT 3.2.1 Giới thiệu giải pháp Giải pháp pháp phát phòng chống cơng mã độc trung tâm VNCERT sử dụng... công đưa cụ thể kiểu công phổ biến 18 - Nghiên cứu mã độc xu hướng công mã độc tin tặc giới Việt Nam Bài trình bày rõ biện pháp phòng chống mã độc Bài đề xu t giải pháp phòng chống cơng mã độc. .. 2: Mã độc xu hướng công mã độc Chương 3: Giải pháp phòng chống cơng mã độc trung tâm VNCERT Cuối phần đánh giá, kết luận hướng phát triển Luận văn CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN