CHƯƠNG 1. TONG QUAN VE HE THONG PHÁT HIỆN XÂM NHAP
1.3. Các mối de doa hệ thống pho biến
Trong bao cao Endpoint, Indentity and Cloud, Top Cyber Attacks 2023 So Far
(Endpoint, Danh tinh, Cloud, những mối de doa hang đầu 2023 cho đến nay) của SentinelOne đã chỉ ra rằng, các mối đe doạ chính đối với hệ thống bao gồm ransomeware, tấn công từ chối dịch vụ, fileless malware (tan công không dựa trên
file)... Cũng theo như báo cáo 2022 Unit 42 Incident Response Report (Báo cáo ứng
phó sự cố) cũng chỉ ra rằng, các cuộc tan công vét cạn cũng góp 20% các cuộc tan
công thành công [4]. Báo cáo Endpoint Security Visibility Report 2022 của Tanium
cũng chỉ ra rang Malware (Ransomeware, Trojan, Rootkit...) cũng là mối de doa lớn nhất đối với các tổ chức hiện nay. Phần nay của đồ án sẽ tìm hiểu về một số mối de doa phổ biến đối với các tổ chức hiện nay.
1.3.1. Ransomware
Theo Endpoint Security Visibility Report 2022 của Tanium, mối de doa lớn nhất đối với các hệ thong của tô chức là Malware (Ransomware, Trojan...) chiếm tới 35%
các mối đe doạ. Ransomware là một phần mềm độc hại [5]. Cũng trong báo cáo
Endpoint, Identity and Cloud, Top Cyber Attacks 2023 So Far, ransomware là một
trong những mối de doa lớn đối với các hệ thống. [1]
Ransomware là một phần mềm độc hại sử dụng để mã hoá các thông tin của nạn
nhân dé nhằm các mục đích xấu như đòi tiền chuộc, phá hoại hệ thông. ..Các dữ liệu
quan trọng của người dùng hoặc tô chức khiến họ không thể truy cập được vào file, cơ sở dữ liệu hoặc ứng dụng. Ransomware thường được thiết kế dé lây lan trên mạng và nhăm mục tiêu vào cơ sở dữ liệu hoặc máy chủ file và do đó có thé làm tê liệt toàn bộ tổ chức. Các tội phạm sẽ yêu cầu một khoản tiền vô cùng lớn dé có thé cấp quyền truy cập và sẽ gây thiệt hại vô cùng lớn cho doanh nghiệp và các tô chức.
Vũ Thanh Tú — B1I9DCAT165 7
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về hệ thống phát hiện xâm nhập
Ransomware sử dụng mã hoá bất đối xứng, sử dụng một cặp khoá dé mã hoá và giải mã và do kẻ tan công năm giữ. Kẻ tan công chỉ cung cấp khoá riêng cho nạn nhân khi mà nạn nhân trả được số tiền mà chúng yêu cầu dé giải mã các file trên hệ thống bị
chúng mã hoá. Thông thường, ransomware được đính kèm trong các email độc hại.
Sau khi khai thác thành công, ransomware sẽ thực thi một file nhị phân độc hại trên hệ
thống bị nhiễm. File nhị phân này sẽ tìm kiếm và mã hoá các file có giá trị như Microsoft Word, hình ảnh, cơ sở dữ liệu.... Chúng cũng có thé khai thác các lỗ hỗng trên hệ thống và mạng đề có thê lây lan sang hệ thống khác.
1.3.2. Tấn công từ chối dịch vụ
Tấn công từ chối dich vu (Denial Of Service) là một cuộc tan công làm gián đoạn,
“sập” một hệ thống, hoặc mạng khiến người dùng không thẻ truy cập được. Tan công từ chối dịch vụ thực hiện bằng cách gây ngập lụt lượng truy cập vào hệ thống nạn nhân hoặc gửi cho nạn nhân những thông tin gây ra sự có.
Có hai phương pháp chính của tấn công từ chối dịch vụ đó chính là flooding services (gây ngập lụt) và crashing services (gây sập). Tan công ngập lụt xảy ra khi hệ thống nạn nhân nhận quá nhiều lưu lượng truy cập khiến máy chủ bị quá tải, khiến chúng chạy chậm lại thậm chí là dừng han. Một số cuộc tấn công phổ biến:
- Tan công tràn bộ đệm: Là việc một ứng dụng cố gang ghi dữ liệu vượt ra khỏi phạm vi của bộ đệm (cả giới hạn trên và giới hạn dưới). Kết qua là dir liệu có thé đè lên các bộ nhớ liền kề. Dữ liệu bị ghi đè có thé bao gồm các dữ liệu khác, hoặc cả luồng hoạt động của chương trình. Lỗi tràn bộ đệm có thể khiến chương trình dừng hoạt động, gây mat dữ liệu hoặc thậm chí giúp kẻ tan công kiểm soát được hệ thống. [6]
- ICMP Flood: Hay còn được gọi là Smurf/Ping of Death là một cuộc tan công trong đó kẻ tấn công gửi một lượng lớn gói tin ICMP với dia chỉ IP nguồn là địa chỉ máy nạn nhân đến một mạng sử dụng địa chỉ quảng bá (IP Broadcast Address). Các máy trong mạng nhận được thông điệp ICMP sẽ gửi trả lời đến địa chỉ IP nguồn trong thông điệp ICMP (máy nạn nhân). Nếu số lượng phản hôi rất lớn sẽ khiến máy nạn nhân bị ngập lụt.
- SYN Flood: Kẻ tan công gửi một lượng lớn gói tin yêu cầu kết nối (SYN-REQ) đến máy tính nạn nhân, máy tính nạn nhân sẽ ghi nhận yêu cầu kết nối và dành một chỗ trong bảng lưu kết nối lưu yêu cầu kết nối và gửi một gói tin xác nhận kết nối đến máy kẻ tấn công (SYN-ACK). Kẻ tấn công sẽ không trả lời xác nhận kết nối, máy tính của nạn nhân vẫn lưu một lượng lớn yêu cầu kết nối khiến những người dùng khác không thê kết nối được.
Vũ Thanh Tú — BI9DCAT165 8
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về hệ thống phát hiện xâm nhập
Tan công từ chối dịch vu phân tán (Distributed Denial of Service Attack) là một loại tấn công DoS gây ngập lụt các máy nạn nhân với một lượng lớn các yêu cầu kết nối giả mạo. Ddos khác DoS ở phạm vi tan công, số lượng máy tham gia tan công DoS thường rất nhỏ, chỉ gồm một số ít máy tại một địa điểm có định nên việc truy vết kẻ tan công rất dé. Tuy nhiên, số lượng máy tham gia tan công DDoS thường rất lớn, có thê lên đến hàng ngàn, hàng trăm ngàn máy từ rất nhiều địa điểm khác nhau trên thế
ĐIỚI.
1.3.3. Rootkit
Rootkit là một chương trình hoặc tập hợp của các chương trình độc hại cung cấp cho các mối đe doạ quyền truy cập và kiểm soát từ xa trên máy tính hoặc hệ thống khác. Các rootkit đều tạo một cửa hậu trên hệ thống nạn nhân dé đưa phần mềm độc hại bao gồm virut, ransomware, chương trình keylogger và các phần mềm độc hại khác hoặc để sử dụng cho các cuộc tan cong tiép theo. Rootkit ngăn chan việc phát hiện bằng cách vô hiệu quá các phần mềm chống virus.
Vi rootkit không thé lây lan nên nó dựa vào một số phương pháp dé lây nhiễm vào máy tính. Khi người dùng không may cài đặt các chương trình có rootkit trên hệ thống, các rootkit sẽ tự cài đặt và an giấu cho đến khi tin tặc kích hoạt chúng. Rootkit sẽ chứa các phần mềm độc hại, bao gồm đánh cắp các thông tin nhạy cảm, trình vô hiệu hoá các phần mềm chống virus, keylogger, đánh cắp quyền điều khiển máy tinh dé biến nó thành bot, phục vụ cho các cuộc tấn công từ chối dịch vụ phân tán.
Rootkit có thể được cài đặt thông qua một số kỹ thuật tấn công xã hội, qua các email lừa đảo, cài đặt các phần mềm độc hại, các file PDF hay Microsoft Word độc hại, kết nối với máy tính, USB đã bị nhiễm hoặc tải các phần mềm bị nhiễm rootkit từ
các trang web không an toàn.
Một số hậu quả khi hệ thống bị nhiễm rootkit:
- Nhiễm các phần mềm độc hại: Rootkit có thể cài đặt các phần mềm độc hại lên máy tính, hệ thống hoặc mạng như virus, sâu, ransomware, trojan, phần mềm gián điệp, các phần mềm quảng cáo...
- Loại bỏ các tập tin: Rookit có thé xoá các tập tin trên hệ thống.
- _ Đánh cắp các thông tin cá nhân: Rootkit sẽ cài các keylogger lên hệ thống nan nhân để theo dõi các thao tác của nạn nhân, chúng cũng có thể spam các email chứa rootkit khi người dùng mở email. Rootkit có thể đánh cắp các thông tin của người dùng như mật khẩu, thông tin ngân hàng... và sau đó chuyền lại cho
tin tặc.
- Thay đổi cấu hình hệ thống: Rootkit có thé sửa đổi cấu hình hệ thống, an đi và xoá dấu vết khiến các phần mềm bảo mật không thể phát hiện được chúng.
Vũ Thanh Tú — BI9DCAT165 9
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về hệ thống phát hiện xâm nhập
Rootkit cũng có thê tạo ra các spam khiến việc tắt hoặc huỷ bỏ chúng là rất khó khăn. Nó cũng cung cấp cho kẻ tan công quyên truy cập hoặc thay đổi quyền dé kẻ tan công có thé dé dàng thao tác trên hệ thống.
1.3.4. Virus, Sâu, Trojan
Virus là một chương trình có thể nhiễm vào các chương trình khác băng cách sửa đổi các chương trình này. Nếu các chương trình đã bị sửa đổi chứa virus được kích hoạt thì nó sẽ tiếp tục lây nhiễm sang các chương trình khác. Virus có khả năng lây lan sang các chương trình mà nó tiếp xúc giống như virus sinh học. Nó có thể thực hiện mọi việc như một chương trình bình thường. Khi đã lây nhiễm vào một chương trình, virus sẽ tự động thực hiện khi chương trình này chạy. Có nhiều con đường lây nhiễm virus như: sao chép file, tải các phần mềm độc hại từ nguồn không tin cậy, qua các
email lừa đảo...
Sâu (Worms) có khả năng lây nhiễm từ máy này sang máy khác mà không cần sự
trợ giúp của người dùng (khác với email virus). Khi sâu lây nhiễm vào một máy, nó sẽ
tan công lây nhiễm sang các máy khác. Các sâu trên mang sử dụng các kết nối mang dé lây lan từ may này sang máy khác và cách thức hoạt động của sâu tương tự virus.
Một số phương pháp lây lan của sâu:
- Lay lan qua thư điện tử: sử dụng email để gửi ban copy của sâu đến các máy
khác.
- Lay lan thông qua khả năng thực thi từ xa: Sâu thực thi một ban copy của nó
nhờ lợi dụng các lỗ hong trên hệ điều hành, các dich vu hoặc phần mềm ứng
dụng.
- Lay lan qua đăng nhập từ xa: sâu đăng nhập vào hệ thống ở xa như một người
dùng và sử dụng lệnh copy bản thân từ máy này sang máy khác.
Trojan là một loại mã độc, thường giả danh các chương trình có ích nhằm lừa người dùng kích hoạt chúng. Trojan thường sử dụng để thực thi gián tiếp các tác vụ mà tác giả của chúng không thé thực hiện trực tiếp do không có quyền truy nhập. Khi máy tính bị nhiễm trojan thì cũng có thể lây sang máy tính khác. Kẻ tan công sẽ biến máy tinh này thành một Zombie, nghĩa là kẻ tan công có quyền điều khiển từ xa mà người dùng không biết. Sau đó, kẻ tan công sử dụng máy tinh zombie này dé chiếm quyền điều khiển nhiều máy tính khác tạo thành mạng botnet, sử dụng cho cuộc tấn công từ chối dịch vụ phân tán. Trojan cũng có thê lây nhiễm vào điện thoại thông minh hoặc máy tính bảng bằng cách sử dụng các phần mềm độc hại trên thiết bị di động.
1.3.5. Fileless malware
Theo truyền thống, các phần mềm chống virus và bảo mật hệ thống tập trung vào các tệp thực thi dé phát hiện và ngăn chặn các phần mềm độc hại. Theo báo cáo (Báo
Vũ Thanh Tú — BI9DCAT165 10
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về hệ thống phát hiện xâm nhập
cáo chi số rủi ro doanh nghiệp HI 2018) cho thấy các cuộc tan công không dựa trên file đã tăng 94% trong khoảng thời gian từ tháng 1 đến tháng 6. [7] Các cuộc tan công Powershell đã tăng vọt từ 2.5 cuộc tấn công trên 1000 hệ thống vào cuối tháng 5 năm 2018 lên 5,2 cuộc tấn công trên 1000 hệ thống vào cuối tháng 6 năm 2018.
Tan công phần mềm độc hại không dùng file là mã độc không yêu cầu sử dụng tệp
thực thi trên hệ thống file của endpoint. Nó thường được đưa vào các tiến trình đang
chạy và chỉ thực thi trên RAM. Điều này khiến các phần mềm chống virus truyền thống không thé phát hiện do không có tệp dé quét.
Một số cách để chạy mã này trên thiết bị mà không sử dụng tệp thực thi. Chúng thường sử dụng các tiến trình hệ thong có sẵn và được hệ điều hành tin cậy.
- VBScript - Jscript
- Batch files - Powershell
- Windows Manager Instrumentation (WMI)
- Mshta và runddl32 (hoặc một số file có chữ ky của Windows khác có kha năng
chạy mã độc).
Dạng phổ biến nhất là kẻ tan công sử dụng các kỹ thuật xã hội khiến người dùng mở các liên kết trong email lừa đảo hoặc trên các trang web lừa đảo. Sau đó liên kết hoặc trang web đó sẽ tải ứng dụng Flash và thực hiện một số hành động khai thắc dé lay nhiém vao máy của nan nhân. Sau đó, phần mềm độc hại sử dụng shellcode dé chạy lệnh cho phép nó tải xuống và thực thi các payload trong bộ nhớ va sẽ không dé lại dấu vét. Tuy theo mục đích của kẻ tấn công, các phần mềm độc hại có thể xâm
phạm vào dữ liệu nhạy cảm, gây hư hỏng cho máy tính nạn nhân hoặc thực hiện các
hành động có hại khác như đánh cắp và mã hoá dir liệu.
Loại phần mềm độc hại này sử dụng các phần mềm hoặc tiến trình sẵn có trên hệ
điều của máy tính bị nhiễm. Các phần mềm chống virus truyền thống không thể phát hiện các hành vi của nó và không có mã hoặc chữ ký nhận đạng. Ngoài ra, phần mềm
độc hại không nằm trong bộ nhớ của hệ thống. Các phần mềm độc hại dùng tệp ở mức
độ nâng cao hơn có thể kết hợp với các phần mềm độc hại khác dé tạo điều kiện cho kẻ tan công thực hiện tan công mạng phức tạp.
1.3.6. Tan công brute-force
Brute-force attack là một tan công sử dụng phương pháp thử và sai dé bẻ khoá mật khẩu, thông tin đăng nhập và các khoá mã hoá. Đây là một tấn công đơn giản nhưng đem lại hiệu quả cao dé có được quyền truy cập trái phép vào các tài khoản cá nhân
cũng như hệ thống và mang của tổ chức. Kẻ tan công thử nhiều lần tên người dùng và
Vũ Thanh Tú — BI9DCAT165 11
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về hệ thống phát hiện xâm nhập
mật khâu, thường sử dung máy tinh dé kiểm tra các t6 hợp khác nhau cho đến khi tìm thấy thông tin đăng nhập chính xác. Cái tên “brute-force” xuất phát từ việc những kẻ tấn công có gang giành quyền truy cập vảo tài khoản người dùng. Tuy đây là một
phương pháp tan công cũ, nhưng tan công brute-force van là một cách thức tan công
phổ biến đối với tin tặc.
Một số loại tan công brute-force:
Simple Brute Force Attack (Tan công vét cạn đơn giản): Loại tan công này xảy
ra khi kẻ tấn công cố gắng đăng nhập vào tài khoản người dùng mà không sử
dụng phần mềm nào. Loại tan công nay thường thông qua việc kẻ tan công nhập
các tô hợp mật khẩu hoặc mã PIN. Loại tan công này phô biến do người dùng thường đặt các mật khâu dé đoán và thông dụng như “123456”, “abc123”... hay liên quan tới các thông tin cá nhân như họ tên, ngày sinh....
Dictionary Attack (Tan công từ điển): Kẻ tấn công sẽ xây dựng một danh sách từ điển mật khâu và sau đó tấn công vào nạn nhân. Kiểu tấn công này thường tốn thời gian và tỉ lệ thành công thấp, kém hiệu quả hơn so với các phương
pháp mới hơn.
Hybrid Brute Force Attack (Tan công vét cạn hỗn hợp): Loại tan công nay xây
ra khi kẻ tan công kết hợp tan công từ điển và tấn công vét cạn đơn giản. Điều
này xảy ra khi kẻ tấn công biết tên người dùng, sau đó thực hiện một cuộc tấn công từ điển và tan công vét cạn đơn giản dé khám phá các tổ hợp mật khâu. Kẻ tấn công sẽ bắt đầu với một danh sách mật khâu có tiềm năng, sau đó thử nghiệm các tổ hợp ký tự, chữ cái để tìm ra kết quả chính xách. Cách tiếp cận này cho phép tin tặc phá được các mật khâu kết hợp từ các từ thông dụng với
số.
Reverse Brute Force Attack (Tan công vét cạn đảo ngược): Loại tấn công này xảy ra khi kẻ tan công biết mật khẩu trước (mật khâu được phát hiện thông qua các vi phạm mạng). Sau đó kẻ tấn công sẽ có danh sách hàng triệu tên người dùng dé tìm thông tin đăng nhập chính xác. Kẻ tan công cũng sử dụng mật khâu yếu hay được sử dụng dé tìm kiếm thông tin đăng nhập trùng khớp trong cơ sở
dữ liệu người dùng.
Credential Stuffing (Chèn thông tin xác thực): Loại tan công này thường nhắm vào những mật khẩu yếu. Kẻ tan công thu thập được các tô hợp tên người ding và mật khẩu mà chúng đã đánh cắp, sau đó chúng kiểm tra trên các nơi đăng
nhập khác xem liệu có sử dụng được cho các nơi khác hay không. Ví dụ chúng
ta sử dụng một mật khâu hoặc tài khoản cho rất nhiều mạng xã hội khác nhau
(do thói quen người dùng đặt để tiện và tránh quên), điều này vô tình giúp kẻ tan công có thé sử dụng và đánh cắp được thông tin của chúng ta trên nhiều nền tảng khác nhau.
Vũ Thanh Tú — BI9DCAT165 12