Tấn công NotPetya đã làm nổi bật tầm quan trọng của công việc bảo mật mạng hệ thống và nâng cao nhận thức về mạng ninh.. Cải thiện mạng lưới ninh mạng : Đề tài cũng có thể đóng góp ý
Trang 1Trường Đại Học Tài Chính Ngân Hàng Hà Nội
Khoa Công Nghệ Thông Tin
AN TOÀN VÀ BẢO MẬT THÔNG TIN
ĐỀ TÀI: Burp Suite Trong Kiểm Thử Bảo Mật Ứng Dụng Web Tên sinh viên :Nguyễn Quang Huy
Mã sinh viên:2154800744
Lớp : D10.48.05
Giảng viên hướng dẫn: Tiến sĩ Bùi Đức Tiến
Hà Nội Ngày 22 tháng 10 năm 2024
Trang 2Mục Lục
1. Lý do làm đề tài
Vụ tấn công NotPetya đã gây thiệt hại tỷ đô la và ảnh hưởng đến nhiều doanh nghiệp và tổ chức trên toàn thế giới Công việc nghiên cứu NotPetya giúp hiểu
rõ hơn về cách thức tấn công mạng quy mô lớn có thể gây tổn hại nghiêm trọng cho cả nền kinh tế toàn cầu
Tấn công NotPetya đã làm nổi bật tầm quan trọng của công việc bảo mật mạng hệ thống và nâng cao nhận thức về mạng ninh Do đó, việc phân tích sự kiện này có thể giúp rút bài học để ngăn chặn các cuộc tấn công tương tự trong tương lai
Phòng tiện ích và bảo vệ hệ thống : Nghiên cứu NotPetya cung cấp thông tin
chi tiết về các phương pháp mà mã độc sử dụng để xâm nhập và truyền lan, giúp đưa ra các giải pháp phòng bổ sung và bảo vệ hiệu quả hơn cho các hệ thống networksystem
Cải thiện mạng lưới ninh mạng : Đề tài cũng có thể đóng góp ý kiến cho
việc phát triển các phương pháp và công cụ mới để nâng cao khả năng bảo vệ trước các mối đe dọa mạng lưới.
Phân tích kỹ thuật : Đề tài cho phép nghiên cứu chuyên sâu về cơ chế hoạt
động của ransomware, cụ thể là cách NotPetya mã hóa dữ liệu và khai thác ổ bảo mật Điều này mang lại kiến thức có giá trị trong lĩnh vực mạng lưới
Trang 3 Đánh giá tác động kinh tế - xã hội : Ngoài khía cạnh kỹ thuật, nghiên cứu
còn có thể đánh giá tác động của NotPetya đối với các ngành công nghiệp và
xã hội, từ đó đề xuất những chiến lược quản lý rủi ro phù hợp
Thử thách trong bảo mật thông tin : Sự phát triển không ngừng nghỉ của các
mối liên kết an ninh mạng, như NotPetya, đặt ra nhiều công thức trong công việc bảo vệ thông tin Nghiên cứu về vấn đề này không chỉ giúp hiểu rõ các phương pháp tấn công hiện đại mà còn giúp đóng góp vào công việc tìm kiếm giải pháp mới
II. GIỚI THIỆU VỀ NOTPETYA.
1. Mã độc tống tiền
NotPetya là một dạng mã độc tiền (ransomware) xuất hiện vào tháng 6 năm
2017 Mặc dù được phân loại là ransomware, NotPetya không thực sự nhắm mục tiêu kiếm tiền nạn nhân mà chủ yếu được thiết kế để gây tổn hại nghiêm trọng Quan trọng đối với hệ thống máy tính và dữ liệu của tổ chức
2. Tên gọi
Tên gọi "NotPetya" xuất phát từ sự tương đồng của nó với mã độc Petya, một ransomware xuất hiện trước đó vào năm 2016 Tuy nhiên, NotPetya đã có những cải tiến và phương thức hoạt động khác hơn, do đó, các nhà nghiên cứu
đã đặt tên cho nó là "NotPetya" để phân biệt với phiên bản trước đó
3 Đặc điểm
Cơ chế truyền lan : NotPetya tận dụng lỗ bảo mật EternalBlue trong giao
thức SMB của Windows để xâm nhập và lan truyền qua nội bộ mạng Nó cũng sử dụng các phương pháp khác như tấn công mật khẩu yếu và khai thác các công cụ quản lý hệ thống để tự động phát tán
Trang 4 Quá trình mã hóa : Khi xâm nhập vào hệ thống, NotPetya mã hóa dữ liệu
bằng cách ghi đè lên Bảng tệp chính (MFT) của tệp hệ thống NTFS, khiến người dùng không thể truy cập vào các tệp tệp Đồng thời, mã độc này vẫn có thể in vào Master Boot Record (MBR), khiến máy tính không thể khởi động lại bình thường
Yêu cầu tiền Chế : NotPetya hiển thị thông báo yêu cầu nhân viên trả tiền
Chế độ (thường bằng Bitcoin) để khôi phục quyền truy cập vào dữ liệu Tuy nhiên, bất kỳ chấp nhận công việc nhân viên nào thực hiện thanh toán hay không,
dữ liệu thường không thể khôi phục do thiết kế của mã độc này nỗ lực hơn là thu lợi
Tác động nghiêm trọng : NotPetya đã gây tổn hại đến tỷ lệ đô la cho nhiều tổ
chức lớn, đặc biệt là ở Ukraine, nhưng cũng gây ảnh hưởng nghiêm trọng đến nhiều doanh nghiệp toàn cầu, bao gồm các tập đoàn như Maersk, Merck và
FedEx
III. NGUỒN GỐC VÀ PHÁT TÁN.
1. Xuất phát
NotPetya xuất hiện lần đầu tiên vào ngày 27 tháng 6 năm 2017, với mục tiêu ban đầu vào các tổ chức ở Ukraine Mã độc này đã được phát tán thông qua một bản cập nhật phần mềm kế toán phổ biến có tên là MEDoc, một phần mềm thường được sử dụng để khai báo thuế và quản lý tài chính Khi phiên bản cài đặt máy tính bị nhiễm virus này của MEDoc, NotPetya đã được cài đặt vào hệ thống và bắt đầu lan truyền
2 Phương thức
Khai thác lỗ kho bảo mật : Mã độc tận dụng lỗ ổ EternalBlue trong giao thức
SMB (Server Message Block) của Windows, lỗ ổ này đã được nhóm hacker Shadow Brokers phát hiện và công bố trước đó EternalBlue cho phép NotPetya xâm nhập vào các máy tính không được bảo vệ mà người dùng không cần phải quét
Công cụ quản lý hệ thống : Ngoài việc sử dụng ổ ổ SMB, NotPetya cũng
khai thác các công cụ quản lý và bảo trì hệ thống để lan truyền các máy tính trong cùng một mạng nội bộ, như PsExec và Windows Management
Instrumentation ( WMI)
Trang 5 Mật khẩu yếu : Mã độc này cũng có khả năng tấn công các tài khoản người
dùng với mật khẩu yếu, cho phép nó xâm nhập vào các hệ thống mà không cần khai thác hố sâu
3. Lây lan
Sau khi xâm nhập vào một máy tính, NotPetya sẽ bắt đầu quá trình truyền lan ra toàn bộ mạng nội bộ của tổ chức Các bước trải lan bao gồm:
Phát tán qua nội bộ mạng : NotPetya sử dụng các phương thức như SMB và
các công cụ quản lý để tự động truyền lan đến các máy tính khác trong cùng một mạng mà người dùng không cần phải bảo vệ
Mã hóa dữ liệu trên các thiết bị lân cận : Khi mã hóa độc xâm nhập vào
các máy tính khác, nó sẽ thực hiện quá trình mã hóa dữ liệu tương tự như trên máy tính đầu tiên, tạo ra việc khôi phục trở lại nên khó khăn hoặc không thể thực hiện
Thời gian truyền lan nhanh : Với khả năng lây lan tự động qua mạng,
NotPetya có thể truyền nhiễm hàng triệu thiết bị trong một khoảng thời gian rất ngắn, tạo ra thiệt hại lớn cho các tổ chức và doanh nghiệp
IV. TÁC ĐỘNG CỦA NOTPETYA.
1. Thiệt hại
Mất dữ liệu: Nhiều tổ chức không thể truy cập vào các tệp tin quan trọng và
dữ liệu khách hàng Việc khôi phục dữ liệu thường mất thời gian và không đảm bảo thành công
Hệ thống hỏng hóc: NotPetya làm hỏng hệ thống máy chủ và máy trạm, yêu
cầu phải thay thế hoặc phục hồi hệ thống từ đầu
Ảnh hưởng đến thương hiệu: Một số công ty đã mất uy tín và lòng tin từ
khách hàng do không thể bảo vệ dữ liệu của họ
Trang 62. Chi Phí
Ước tính thiệt hại lên đến 10 tỷ USD, bao gồm:
Chi phí phục hồi: Theo ước tính, chi phí phục hồi cho các công ty lớn có thể
lên tới hàng triệu đô la Ví dụ, Maersk đã báo cáo thiệt hại khoảng 300 triệu đô
la chỉ riêng trong quý 3 năm 2017
Mất doanh thu: Nhiều tổ chức phải ngừng hoạt động trong thời gian dài, dẫn
đến doanh thu bị mất Công ty FedEx ước tính thiệt hại khoảng 300 triệu đô la, một phần do sự gián đoạn này
Chi phí pháp lý: Một số doanh nghiệp phải đối mặt với kiện tụng và chi phí
bồi thường cho khách hàng do vi phạm bảo mật
3. Gián đoạn
NotPetya đã gây ra gián đoạn lớn trong hoạt động kinh doanh:
Gián đoạn chuỗi cung ứng: Nhiều công ty, đặc biệt là trong lĩnh vực logistics
và sản xuất, không thể vận chuyển hàng hóa đúng thời hạn, gây ra sự chậm trễ
và thiệt hại cho các bên liên quan
Khó khăn trong quản lý: Việc mất quyền truy cập vào hệ thống quản lý đã
gây khó khăn cho các doanh nghiệp trong việc theo dõi và điều phối công việc
Tác động đến người tiêu dùng: Người tiêu dùng bị ảnh hưởng do dịch vụ
chậm trễ, sản phẩm không có sẵn, hoặc dữ liệu cá nhân không được bảo vệ
Trang 7V. CÁCH THỨC HOẠT ĐỘNG.
1 Lợi dụng lỗ hổng
NotPetya chủ yếu khai thác lỗ hổng bảo mật trong giao thức SMB (Server
Message Block) của Windows, cụ thể là lỗ hổng CVE-2017-0144 Lỗ hổng này cho phép mã độc truy cập và xâm nhập vào hệ thống mà không cần xác thực Nó cũng sử dụng phương thức “EternalBlue,” một công cụ được phát hiện và công bố bởi nhóm tin tặc NSA
2 Lây lan mạng
Sau khi xâm nhập vào một máy tính, NotPetya có khả năng tự động lây lan sang các máy tính khác trong cùng một mạng nội bộ bằng cách:
Quét mạng: Mã độc quét các máy tính trong mạng để tìm kiếm các máy chủ
dễ bị tổn thương và lây nhiễm
Sử dụng thông tin đăng nhập: NotPetya có thể thu thập thông tin đăng nhập
từ hệ thống bị xâm nhập và sử dụng chúng để truy cập vào các máy tính khác trong mạng
Cập nhật phần mềm giả mạo: Nó cũng lây lan thông qua các bản cập nhật
phần mềm giả mạo, đặc biệt trong các tổ chức sử dụng phần mềm quản lý cập nhật
3 Mã hoá dữ liệu
Khi đã xâm nhập thành công vào hệ thống:
Mã hóa dữ liệu: NotPetya bắt đầu mã hóa các tệp tin trên ổ đĩa của máy tính,
bao gồm cả các tệp hệ thống, văn bản, hình ảnh, và tài liệu Điều này làm cho người dùng không thể truy cập vào dữ liệu của họ
Trang 8 Khó khăn trong việc khôi phục: Khác với các ransomware thông thường,
NotPetya không cung cấp cách khôi phục dữ liệu hoặc yêu cầu tiền chuộc rõ ràng, khiến cho việc khôi phục dữ liệu gần như không thể thực hiện được
Thay đổi bảng phân vùng: NotPetya cũng có thể thay đổi bảng phân vùng
của ổ đĩa, làm cho hệ thống không thể khởi động lại
VI. CÁC BIỆN PHÁP PHÒNG NGỪA.
1 Cập nhật
Cập nhật hệ điều hành và phần mềm: Luôn giữ cho hệ điều hành và các
ứng dụng được cập nhật phiên bản mới nhất để bảo vệ trước các lỗ hổng bảo mật Các bản vá thường xuyên được phát hành để khắc phục các vấn đề bảo mật
Sử dụng các bản vá bảo mật: Đặc biệt chú ý đến các bản vá cho giao thức
SMB và các lỗ hổng tương tự mà NotPetya có thể khai thác
2 Sao lưu
Thực hiện sao lưu định kỳ: Đảm bảo dữ liệu quan trọng được sao lưu thường
xuyên và lưu trữ ở nơi an toàn (như ổ cứng ngoài hoặc dịch vụ đám mây)
Kiểm tra khả năng phục hồi: Thực hiện kiểm tra định kỳ để đảm bảo rằng
quá trình khôi phục dữ liệu từ sao lưu diễn ra suôn sẻ và không gặp vấn đề gì
3 Đào tạo
Đào tạo nhân viên về an ninh mạng: Cung cấp chương trình đào tạo cho
nhân viên về cách nhận diện các mối đe dọa, như email lừa đảo hoặc phần mềm độc hại, giúp họ có khả năng phòng ngừa tốt hơn
Khuyến khích thực hành an toàn: Nhấn mạnh tầm quan trọng của việc
không mở các tệp đính kèm hoặc liên kết không rõ nguồn gốc và giữ thông tin đăng nhập cá nhân an toàn
4 Bảo mật
Trang 9 Sử dụng phần mềm diệt virus và tường lửa: Cài đặt và cập nhật phần mềm
diệt virus, cũng như cấu hình tường lửa để phát hiện và ngăn chặn các mối đe dọa
Quản lý quyền truy cập: Hạn chế quyền truy cập của người dùng chỉ cho
những người cần thiết Sử dụng các biện pháp xác thực hai yếu tố (2FA) để bảo vệ thông tin nhạy cảm
Giám sát hệ thống: Thiết lập hệ thống giám sát để phát hiện các hoạt động
bất thường, giúp phát hiện sớm các cuộc tấn công hoặc mã độc
VII. TÓM TẮT.
1. Điểm chính
NotPetya là một loại mã độc xuất hiện vào tháng 6 năm 2017, gây ra thiệt hại
lớn cho nhiều tổ chức trên toàn cầu
Mã độc này lợi dụng lỗ hổng bảo mật trong giao thức SMB để lây lan và mã hóa dữ liệu trên hệ thống
Thiệt hại từ NotPetya bao gồm mất dữ liệu, chi phí phục hồi và gián đoạn hoạt động kinh doanh
2. Nhận thức
Hiểu biết về NotPetya và các mối đe dọa tương tự là rất quan trọng đối với mọi tổ chức
Nhận thức về các phương thức tấn công và tác động của mã độc sẽ giúp nâng cao khả năng phòng ngừa
Nhân viên cần được đào tạo để nhận diện các dấu hiệu của cuộc tấn công mạng và thực hiện các biện pháp an toàn
3. Hành động
Cập nhật thường xuyên hệ điều hành và phần mềm để bảo vệ trước các lỗ
hổng bảo mật
Trang 10 Thực hiện sao lưu dữ liệu định kỳ và kiểm tra khả năng khôi phục để đảm
bảo an toàn cho thông tin quan trọng
Đào tạo nhân viên về an ninh mạng và các thực hành bảo mật tốt.
Áp dụng các biện pháp bảo mật như phần mềm diệt virus, tường lửa, và
quản lý quyền truy cập để tăng cường bảo vệ hệ thống
CVE-2017-0144: Thông tin chi tiết về lỗ hổng bảo mật khai thác bởi NotPetya
NIST
Báo cáo của Maersk về thiệt hại do NotPetya: Đánh giá tác động kinh tế và
thiệt hại của NotPetya đối với công ty Maersk
Phân tích về NotPetya: Bài viết từ các chuyên gia an ninh mạng về cách thức
hoạt động và tác động của NotPetya Symantec
Hướng dẫn phòng ngừa mã độc: Tài liệu từ các tổ chức an ninh mạng cung cấp
hướng dẫn về cách bảo vệ hệ thống khỏi các cuộc tấn công CISA
Nghiên cứu về ransomware: Các nghiên cứu và báo cáo về ransomware, bao
gồm NotPetya và các biến thể khác Europol
Tài liệu của Microsoft về bảo mật: Hướng dẫn và thông tin từ Microsoft về cách
bảo vệ hệ thống Windows khỏi các mối đe dọa mạng Microsoft Security
Bài viết trên các diễn đàn chuyên ngành: Các phân tích và thảo luận từ các
chuyên gia an ninh mạng về NotPetya và các tác động của nó Krebs on Security
1. Bài học
Trang 11Cuộc tấn công của NotPetya đã mang lại nhiều bài học quan trọng về an ninh mạng Một trong những điểm chính là sự cần thiết phải duy trì một hệ thống bảo mật vững chắc và chủ động Các tổ chức phải nhận thức rằng rủi ro từ mã độc có thể gây ra thiệt hại lớn không chỉ về tài chính mà còn về uy tín Ngoài ra, việc đào tạo nhân viên về nhận thức an ninh mạng là rất quan trọng, vì con người thường là yếu tố yếu nhất trong chuỗi bảo mật
2. Chuẩn bị
Để đối phó với các mối đe dọa mạng như NotPetya, các tổ chức cần chuẩn bị một cách kỹ lưỡng bằng cách:
Cập nhật liên tục hệ thống và phần mềm để bảo vệ khỏi lỗ hổng bảo mật.
Thực hiện sao lưu định kỳ dữ liệu quan trọng, đảm bảo khả năng khôi phục
nhanh chóng trong trường hợp bị tấn công
Đào tạo nhân viên về an ninh mạng và khuyến khích thực hành tốt.
Triển khai các biện pháp bảo mật mạnh mẽ, như phần mềm diệt virus, tường
lửa, và giám sát hệ thống để phát hiện hoạt động bất thường
3. Hợp tác
Hợp tác giữa các bộ phận trong tổ chức, cũng như giữa các tổ chức khác nhau, là rất cần thiết để nâng cao khả năng phòng ngừa và phản ứng Việc chia sẻ thông tin về các mối đe dọa và các biện pháp bảo vệ có thể giúp các tổ chức khác chuẩn bị tốt hơn Hợp tác với các chuyên gia an ninh mạng và tham gia vào các diễn đàn, hội thảo cũng sẽ giúp cập nhật kiến thức và xu hướng mới trong lĩnh vực bảo mật
An ninh mạng không chỉ là trách nhiệm của bộ phận IT mà là nhiệm vụ chung của toàn bộ tổ chức Việc hợp tác, chuẩn bị và nâng cao nhận thức sẽ tạo ra một môi trường an toàn hơn cho mọi người