KẾT QUẢ THỬ NGHIỆM

Một phần của tài liệu Nghiên cứu giải pháp an toàn an ninh thông tin cho các cơ quan tổ chức dựa trên chuẩn ISO - 17799 (Trang 83)

Thời gian thử nghiệm hệ thống: 01 tháng (Từ 29/08/2011 đến 28/09/2011) 3.3.1. Phòng chống mã độc hại trên Gateway cho hệ thống email

a) Kết quả thử nghiệm:

- Tổng số thư điện tử đã quét trên Gateway: 2.719

- Mã độc hại phát hiện: 6

- Spam: 42

- File nhiễm virus: 1

82

Hình 3-9 Kết quả quét virus và Spam trên IMSS

b) Đánh giá kết quả thử nghiệm

Với kết quả thử nghiệm trên cho thấy hệ thống Firewall (Check Point & Nokia) triển khai trên Gateway đã thực hiện tốt chức năng về chống virus, spam mail và các tấn công qua đường thư điện tử. Trên gateway của đơn vị A không cần thiết triển khai thêm một giải pháp quét luồng SMTP riêng biệt mà tận dụng tính năng sẵn có trên Firewall nhằm giảm độ trễ của của thư điện tử do phải qua nhiều hệ thống lọc mà vẫn đảm bảo dịch vụ thư điện tử tại đơn vị A ở mức độ an toàn chấp nhận được.

83

3.3.2. Phòng chống mã độc hại trên Máy chủ thƣ điện tử

a) Kết quả thử nghiệm trên máy chủ thƣ điện tử MS Exchange Kết quả xử lý Hành động Số email có virus Số lƣợng file nhiễm Số lần phát hiện

Thành công Thay thế file 7 6 15

Thành công Làm sạch file 7 3 14

84

Hình 3-11 Tổng quan về mã độc hại trên mailbox

85

b) Đánh giá kết quả thử nghiệm

Nhìn vào bảng thống kê mã độc hại quét được trong các mailbox thì việc phát tán mã độc hại qua hệ thống thư điện tử của đơn vị A không nhiều. Các địa chỉ email có chứa mã độc hại đều là email nội bộ. Các email từ ngoài gửi vào đã được hệ thống Firewall trên gateway xử lý tốt.

86

3.3.3. Phòng chống mã độc hại trên máy chủ và máy trạm a) Kết qủa của quá trình thử nghiệm a) Kết qủa của quá trình thử nghiệm

Kết quả xử lý Hành động Số máy nhiễm Số lƣợng file nhiễm Số lần phát hiện Thành công Làm sạch file 125 3 10.262

Thành công Xóa file 129 69 2.279

Tiếp tục xử lý Không xóa được file

5 4 32

Tiếp tục xử lý Chưa định nghĩa 6 1 10

87

88

89

90

91

Hình 3-19 20 máy nhiễm mã độc hại nhiều nhất

b) Đánh giá mã độc hại lây nhiễm nhiều nhất trong hệ thống:

- Xuất hiện trên hệ thống chủ yếu là:

Các sâu mạng (worm): 11/26 chiếm 42,3%

Họ Vi rút: 8/26 chiếm 30,8%

Xem xét một số mã độc xuất hiện nhiều trong hệ thống:

Vi rút PE_SALITY.AZ: số lần phát hiện là 7.010.

Loại vi rút này được Trend Micro phát hiện vào 18/02/2006 và có các bí danh khác Virus.Win32.Sality.l W32.HLLP.Sality.O (Symantec), W32/Sality-

92

AI (Sophos), (Kaspersky), W32/Sality.L (Avira), W32/Sality.K (chính xác) (F- Prot), W32/Sality.n (McAfee).

Các ảnh hƣởng của vi rút này nhƣ sau:

- Lây nhiễm vào các máy tính chạy hệ điều hành Windows 98, Me, XP, NT, 2000, Server 2003, 2008

- Đánh giá nguy cơ gây hại tổng thể: Thấp - Khả năng phát tán: Trung bình

- Khả năng gây hại: Trung bình

Mô tả cách thức lây nhiễm:

- Lây nhiễm vào các file thực thi trong thư mục gốc của Windows và các file nằm bên trong thư mục Windows. Hành động này gây ra các ứng dụng cần thiết không thực hiện đúng.

- Đặc biệt, vi rút này còn thực hiện việc cấy vào máy lây nhiễm một backdoor có tên BKDR_SALITY.AE để mở một cổng sau ngẫu nhiên và đợi các lệnh thực thi nhằm mục đích phá hoại từ ngoài vào.

Nhận xét: Do là họ vi rút nên khả năng tự nhân bản của PE_SALITY.AZ trong hệ thống mạng của đơn vị A là lớn. Dẫn đến việc hầu hết các máy tính trong mạng đều nhiễm loại vi rút này do không cài đặt các phần mềm bảo vệ hoặc các phần mềm không bản quyền nên không có khả năng cập nhật được các mẫu virus.

Sâu WORM_DOWNAD.AD:số lần phát hiện là 97.000

Các ảnh hƣởng của sâu này nhƣ sau:

- Lây nhiễm vào các máy chạy hệ điều hành Windows 2000, Windows XP, Windows Server 2003, 2008.

- Đánh giá nguy cơ gây hại tổng thể: Thấp - Khả năng phá hoại: Trung bình

- Khả năng phát tán: Cao

Mô tả cách thức lây nhiễm:

- Tự thả bản sao của mình vào tất cả các ổ cứng vật lý sẵn có, phát tán qua ổ cứng di động, qua lỗ hổng bảo mật và qua mạng chia sẻ.

- Khai thác một lỗ hổng bảo mật trên dịch vụ của máy chủ. Khi khai thác nó cho phép người dùng từ xa thực thi đoạn mã trên hệ thống bị nhiễm để tiếp tục truyền trên mạng.

93

- Sâu này còn lan truyền trên mạng Internet bằng cách gửi đoạn mã khai thác đến các địa chỉ Internet ngẫu nhiên.

- Nó tạo ra một tập hợp các URLs có chứa 250 trang web ngẫu nhiên mỗi ngày, dựa trên các tiêu chuẩn thời gian UTC.

- Ngăn chặn không cho máy tính bị nhiễm truy cập đến các trang web có chứa những đoạn mã mà chủ yếu liên quan đến chương trình chống virus.

- Nó có thể được tải xuống máy tính bởi phần mềm độc hại khác. - Nó cho biết thêm mục đăng ký để cho phép thực hiện tự động tại tất cả các hệ thống khởi động.

- Thay đổi mục đăng ký để vô hiệu hóa các dịch vụ hệ thống khác nhau.

- Sửa đổi mục registry nào đó để ẩn các tập tin ẩn.

(Chi tiết xin tham khảo Phụ lục. Thông số kỹ thuật của một số mã độc hại xuất hiện nhiều trên hệ thống thử nghiệm)

Nhận xét: Các máy bị nhiễm sâu WORM_DOWNAD.AD trong mạng đều không được triển khai bản vá lỗ hổng bảo mật Microsoft Security Bulletin MS08-067 – Critical. Đây là lỗ hổng trong dịch vụ máy chủ có thể Cho phép thực thi mã từ xa (958644). Như vậy, nếu chỉ sử dụng phần mềm chống virus thì không hiệu quả trong việc xử lý triệt để loại sâu này, đòi hỏi các máy trong mạng của đơn vị A phải cài miếng vá Microsoft Security Bulletin MS08-067 .

Mã độc hại Mal_DownadJ: số lần phát hiện là 1.325

Loại mã độc hại Mal_DownadJ bị nghi ngờ có hành động như họ trojan Troj_Downad. Các biến thể của họ Trojan này có nhiệm vụ hướng các máy tính bị nhiễm đến các trang web có chứa virus hoặc thả các biến thể Worm_Downad vào trong hệ thống.

WORM_DOWNAD: số lần phát hiện là 865.

Đây là biến thể thuộc họ Worm_Downad. Do vậy tương tự như sâu

WORM_DOWNAD.AD, sâu này cũng khai thác lỗ hổng bảo mật Microsoft Security Bulletin MS08-067.

Trojan EXPL_CPLNK.SM:số lần phát hiện là 526.

94

- Lây nhiễm vào các máy chạy hệ điều hành Windows 2000, Windows XP, Windows 7, Windows Server 2003, 2008.

- Đánh giá nguy cơ gây hại tổng thể: Thấp - Khả năng phá hoại: Cao

- Khả năng phát tán: Cao

Cách thức lấy nhiễm:

- Khai thác lỗ hổng MS10-046 trong Windows Sell cho phép thực thi mã từ xa.

- Trojan EXPL_CPLNK.SM sử dụng cơ chế tự khởi động để thực thi các mã độc hại chính một cách tự động.

Nhiệm vụ của Trojan EXPL_CPLNK.SM là thả loạt các Trojan và Sâu sau vào trong máy tính bị nhiễm:

- WORM_OTORUN.ASH

- TROJ_ZBOT.BXW

- WORM_SALITY.RL

- WORM_WEBMONER.JC

- WORM_OTORUN.KR

Nhận xét: Với đặc tính như trên, có thể xem Trojan EXPL_CPLNK.SM là nguồn phát tán một số các mã độc hại khác vào trong hệ thống mạng của đơn vị A như WORM_SALITY.RL, WORM_OTORUN.KR…Nếu như chống được Trojan EXPL_CPLNK.SM thì các máy có thể tránh được nguy cơ lây nhiễm 1 tổ hợp mã độc hại khác nhau.

c) Khuyến nghị về vấn đề bảo mật trên máy trạm và máy chủ

Với kết quả thử nghiệm và phân tích về mã độc hại lây nhiễm trên hệ thống máy chủ/ máy trạm như trên cho thấy kết luận sau là đúng với hiện trạng của đơn vị A “Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng mồi ngon cho virus khai thác và phát tán với tốc độ rất nhanh từ một client ra toàn bộ hệ thống client mạng trong một khoảng thời gian ngắn”. Do vậy, đảm bảo việc phòng chống mã độc hại trên hệ thống máy chủ và máy trạm đạt hiệu quả cao nhất, ngoài việc sử dụng các phần mềm chống mã độc hại đòi hỏi các máy chạy hệ điều hành Windows phải luôn được cập nhật các bản vá lỗ hổng kịp thời trong suốt quá trình “sống” . Đơn vị A có

95

thể lựa chọn chính sách cho các máy cập nhật định kỳ các miếng vá bảo bảo mật theo một trong hai phương thức sau:

1.Xây dựng hệ thống cập nhật tập trung các miếng vá cho hệ điều hành trên hệ thống máy trạm: sử dụng hệ thống WSUS của Microsoft.

Hoặc:

2.Thiết lập chính sách cập nhật định kỳ hàng ngày trên từng máy trạm thông qua tính năng Windows Update sẵn có trên các hệ điều hành của Microsoft.

96

KẾT LUẬN

Trong nội dung luận văn đã trình bày các vấn đề liên quan đến an toàn an ninh thông tin và tổng quan về ISO 17799. Để đánh giá một hệ thống công nghệ thông tin đảm bảo được mức độ an toàn như khuyến cáo của ISO 17799 là một bài toán lớn với các đơn vị tại Việt nam do khó khăn trong việc không biết phải làm thế nào để đạt các tiêu chuẩn. Qua khảo sát hạ tầng mạng và hiện trạng hệ thống An ninh bảo mật tại một số đơn vị cùng với việc lựa chọn các chỉ dẫn của NIST về cách thực thi các giải pháp, chính sách nhằm đảm bảo an toàn an ninh cho một hệ thống Công nghệ thông tin, luận văn đề xuất một mô hình và cách lựa chọn các giải pháp phòng chống mã độc hại, giảm các nguy cơ do vi rút gây ra trên hệ thống.

Kết quả chính của Luận văn gồm có:

1/ Nghiên cứu tài liệu và thực tế để hệ thống lại các vấn đề sau: + Tổng quan về An toàn an ninh hệ thống thông tin và ISO 17799

+ Khảo sát hiện trạng và đánh giá về an toàn và an ninh hệ thống thông tin tại một số đơn vị tại Việt Nam.

2/ Đề xuất hướng giải quyết việc mất an toàn an ninh trên hệ thống do mã độc hại gây ra trên hệ thống dựa trên kết quả khảo sát

+ Lựa chọn giải pháp phù hợp (dựa vào các hướng dẫn trong tài liệu của NIST) + Triển khai thử nghiệm thực tế.

+ Đánh giá kết quả triển khai

Hƣớng phát triển của đề tài: Luận văn có một số hướng phát triển trong thời gian tới như:

1/ Ứng dụng một số các giải pháp phòng chống Sâu mạng.

2/ Dựa vào các chỉ dẫn của NIST để tiếp tục có những đánh giá về việc sử dụng các sản phẩm ATAN như tường lửa, định danh và xác thực, phát hiện và chống tấn công xâm nhập…hướng tới một giải pháp An toàn thông tin tổng thể đáp ứng được chuẩn ISO 17799.

97

TÀI LIỆU THAM KHẢO

Tiếng Việt

1. http://www.misoft.com.vn/ 2. http://www.mi2.com.vn/

3. http://www.bkav.com.vn/

4. Vương Trung Thắng (2008), Giải pháp McAfee Total Security, Công ty Mi2, tr. 3, 5.

5. Nguyễn Mạnh Cường (2007), Tổng thể giải pháp chống mã độc hại Trend Micro, Công ty Misoft, tr. 1, 3, 5-7.

Tiếng Anh

1. John Wack, Ken Cutler , Jamie Pole, NIST Special Publication 800-41,

Guidelines on Firewalls and Firewall Policy, 75 pages (Jan. 2002), pp 3-19 2. Gary Stoneburner, Alice Goguen, and Alexis Feringa, NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Publ. 800-30, 54 pages (July 2002), pp. 8-24

3. Information technology – Security techniques – Code of Practice for information security management ISO/IEC17799:2005(E), Second edition 2005-06-15, pp. 4, 7, 9-11, 14, 19, 23, 29, 31, 37, 42-46, 52, 60, 65-66, 77, 90, 95, 100.

4. W.T.Polk & L.E.Bassaham, NIST-Antivirus-sp800-5, Anti-Virus Tool and Techniques, December 2, 1992. pp. 3-4, 27, 35-37

5. Peter Mell , Karen Kent, Joseph Nusbaum, NIST Special Publication 800- 83, Guide to Malware Incident Prevention and Handling, November 2005. pp. 2-11, 3-6, 3-18, 4-1.

6. Trend Micro Incoporated, Interscan Messaging Security Suite 7.1 for Windows - Administrator’s Guides, November 2009

7. Trend Micro Incoporated, OfficeScan 10.5 - Administrator’s Guides, May 2011

8. Trend Micro Incoporated, ScanMail™ Suite for Microsoft™ Exchange 10.2 - Administrator’s Guides, September 2011

9. http://about-threats.trendmicro.com 10.http://www.microsoft.com

98

PHỤ LỤC

THÔNG SỐ KỸ THUẬT CỦA MỘT SỐ LOẠI MÃ ĐỘC HẠI XUẤT HIỆN NHIỀU TRÊN HỆ THỐNG THỬ NGHIỆM 1.Vi rút PE_SALITY.AZ

Thông số kỹ thuật

Sử dụng cơ chế tự khởi động

File vi rút đăng ký nó như một dịch vụ của hệ thống để có khả năng tự động kích hoạt mỗi khi hệ thống được bật. Nó tạo ra các khóa trong Registry như sau:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ abp470n5

Sửa đổi các thông tin trên hệ thống

- Thay đổi các giá trị trong registry để vô hiệu hóa tính năng Security Center: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center AntiVirusDisableNotify = "1" AntiVirusOverride = "1" FirewallDisableNotify = "1" FirewallOverride = "1" UacDisableNotify = "1" UpdatesDisableNotify = "1"

Giá trị mặc định của các thông số trên trong hệ thống là “0” - Thay đổi các giá trị trong registry để vô hiệu hóa tính năng Task Manager:

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\policies\ system DisableRegistryTools = "1" HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\policies\ system DisableTaskMgr = "1"

99

- Thay đổi các giá trị trong registry để qua mặt các phần mềm diệt vi rút và tường lửa: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Security Center\Svc AntiVirusDisableNotify = "1" AntiVirusOverride = "1" FirewallDisableNotify = "1" FirewallOverride = "1" UacDisableNotify = "1" UpdatesDisableNotify = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\System EnableLUA = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile DoNotAllowExceptions = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\ List

{malware path and file name} = "{malware path and file name}:*:Enabled:ipsec"

HKEY_CURRENT_USER\Software\Afuoupfa - Thay đổi giá trị trong registry để tắt tính năng của Tường lửa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile

100 - Tự động xóa các giá trị trong registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot AlternateShell = "cmd.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot\Network Các file bị nhiễm:

Vi rút PE_SALITY.AZ lây nhiễm vào tất các các file thực thi có đuôi .EXE - Lây nhiễm vào các ổ cứng/Ổ di động/Đĩa mềm: thả file AUTORUN.INF vào trong các ổ đĩa. Khi người dùng truy cập ổ đĩa, file này sẽ tự động thả các bản sao của vi rút PE_SALITY.AZ. File AUTORUN.INF có cấu trúc như sau:

[AutoRun]

;{random characters}

shell\opeN\defAUlt=1

;{random characters}

shEll\oPen\commaNd= {random filename} SHELl\eXplore\CommaND = {random filename}

;{random characters}

open={random filename}

sheLl\aUtoplay\cOmmand={random filename}

- Tải mã độc hại về máy tính từ Internet: máy tính bị nhiễm Vi rút PE_SALITY.AZ sẽ tự động kết nối đến các URLs sau:

 http://{BLOCKED}alingaindore.com/logo.gif Phát hiện ra trojan TROJ_IFRAMER.AH

 http://{BLOCKED}areindia.com/mainf.gif Phát hiện ra trojan TROJ_SPAMBOT.BC

Như vậy, máy tính sẽ tải về máy tính các loại vi raút và mã độc hại khác nhau theo phương thức trên.

101

Vi rút tự tắt các tiến trình sau trên hệ thống nếu như nó thấy:

 aswUpdSv

 avast! Antivirus

 avast! Mail Scanner

 avast! Web Scanner

 AVP  BackWeb Plug-in - 4476822  bdss  BGLiveSvc  BlackICE  CAISafe  ccEvtMgr  ccProxy  ccSetMgr

 F-Prot Antivirus Update

Monitor

 F-Secure Gatekeeper Handler

Starter  fsbwsys  FSDFWD  fshttps  InoRPC  InoRT  InoTask  ISSVC  LavasoftFirewall  LIVESRV  McAfeeFramework  McShield  McTaskManager  navapsvc  NOD32krn  OutpostFirewall  PAVFIRES  PAVFNSVR  PavProt  PavPrSrv  PAVSRV  PcCtlCom  PersonalFirewal  PREVSRV

 ProtoPort Firewall service

Một phần của tài liệu Nghiên cứu giải pháp an toàn an ninh thông tin cho các cơ quan tổ chức dựa trên chuẩn ISO - 17799 (Trang 83)

Tải bản đầy đủ (PDF)

(111 trang)