Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERT (tt)

Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERTNghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công tại Trung tâm VNCERT

LỜI NÓI ĐẦU

Hiện nay với sự phát triển mạnh mẽ của khoa học kỹ thuật nói chung và công nghệ thông tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày càng trở nên phổ biến trong đời sống hằng ngày cũng như trong hầu hết các lĩnh vực Song song với sự phát triển đó là hàng loạt các nguy cơ về mất an toàn thông tin Trong những năm gần đây, các website trên internet, cũng như dữ liệu của

cá cá nhân, tổ chức, chính phủ … đã bị nhiều đợt tấn công của tin tặc

Xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm tin tặc mang tính chất quốc gia Bên cạnh các loại mã độc đã phổ biến thì cũng xuất hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản Hầu hết người nhận được email đã mở tập tin văn bản đính kèm

và bị nhiễm mã độc khai thác lỗ hổng của phần mềm Khi xâm nhập vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu, cho phép tin tặc điều khiển máy tính nạn nhân từ

xa Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu Có rất nhiều các website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều dữ liệu quan trọng bị đánh cắp Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp…Các cuộc tấn công của tin tặc đang gia tăng về số lượng và mức độ nghiêm trọng Vì vậy, bảo đảm

an toàn thông tin đang trở thành một nhu cầu thực tế cấp thiết

Việc Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống tấn công là rất cần thiết, nhằm đưa ra các xu hướng và phương pháp phù hợp với thực tiễn tại Việt Nam

Xuất phát từ nhu cầu thực tế cấp thiết của việc để phát hiện

mã độc trong hệ thống, bài luận văn này tập trung vào việc nghiên cứu xu hướng, kịch bản tấn công mã độc, giải pháp phù hợp phát hiện mã độc trong mạng nội bộ đảm bảo an toàn thông tin

Luận văn gồm ba chương như sau:

Chương 1: Tổng quan về an toàn thông tin

Chương 2: Mã độc và xu hướng tấn công bằng mã độc

Chương 3: Giải pháp phòng chống tấn công bằng mã độc tại trung tâm VNCERT

Cuối cùng là phần đánh giá, kết luận và hướng phát triển của Luận văn

CHƯƠNG 1 TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN

TẤN CÔNG MẠNG 1.1 Khái niệm cơ bản trong an toàn thông tin

1.1.1 Khái niệm về an toàn thông tin

An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,

An toàn thông tin liên quan đến hai khía cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật

1.1.2 Mục tiêu của an toàn thông tin

Một thông tin được gọi là an toàn khi nó thỏa mãn ba tiêu chí là tính bí mật, tính toàn vẹn và tính sẵn sàng, ba tiêu chí này đứng trên

ba đỉnh của một tam giác đều, hay cònđược gọi là mô hình tam giác bảo mật C – I – A (Confidentiality, Integrity, Availability)

1.1.3 Nhiệm vụ của an toàn thông tin

Để đảm bảo an ninh cho một mạng thì cần:

• Phát hiện nhanh

• Phản ứng nhanh

• Ngăn chặn kịp thời

Đây là một nhiệm vụ hết sức khó khăn cho các nhà quản lý và các nhà cung cấp dịch vụ mạng

1.1.4 Một số thuật ngữ trong an toàn thông tin

1.2 Lỗ hổng và điểm yếu trong an toàn thông tin

1.2.1 Lỗ hổng bảo mật

• Mối đe dọa (Threats)

• Lỗ hổng (Vulnerabilities)

• Sự rủi ro (Risk)

1.2.2 Điểm yếu an toàn thông tin

• Điểm yếu công nghệ

• Điểm yếu cấu hình

• Điểm yếu chính sách

• Điểm yếu con người

1.3 Một số kỹ thuật tấn công của tin tặc

1.3.1 Một số kỹ thuật tấn công của tin tặc

• Thu thập thông tin

• Quét và rà soát mạng

• Thực hiện thâm nhập

• Duy trì kết nối

1.3.2 Một số kiểu tấn công phổ biến

1.3.2.1 Tấn công sử dụng mã độc hại

1.3.2.2 Tấn công từ chối dịch vụ (DOS)

1.3.2.3 Tấn công vật lý

1.3.2.4 Tấn công tràn bộ đệm

1.3.2.5 Tấn công Brute Force

1.3.2.6 Tấn công ứng dụng web

1.4 Kết luận chương

Trong chương 1, tác giả đã trình bày Trong chương này sẽ đưa

ra một số khái niệm về an toàn thông tin, lỗ hổng, điểm yếu trong an toàn thông tin và các quy trình, các kiểu tấn công phổ biến của tin tặc

CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG

MÃ ĐỘC

2.1 Tổng quan về mã độc máy tính

2.1.1 Khái niệm mã độc

Theo Wikipedia, phần mềm độc hại hay còn gọi là mã độc là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ phá hoại tạo ra nhằm gây hại cho các máy tính Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các loại phần mềm độc hại này có khác nhau

từ chỗ chỉ hiển thị các cửa sổ hù dọa cho đến việc phá hoại, ăn cắp thông tin hoặc tấn công chiếm quyền điều khiển máy tính và lây nhiễm sang các máy tính khác như là virus trong cơ thể của các sinh vật

Theo NIST, mã độc được định nghĩa là một chương trình được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống Theo định nghĩa này mã độc hại bao hàm rất nhiều thể loại như: virus, worm, trojan,

2.1.2 Phân loại mã độc

• Virus

• Worm

• Trojan

• Rootkit

2.1.3 Cách thức lây nhiễm mã độc

• Lây nhiễm theo cách cổ điển

• Lây nhiễm qua thư điện tử

• Lây nhiễm qua mạng Internet

2.1.4 Tác hại của mã độc

2.2 Xu hướng tấn công bằng mã độc

2.2.1 Các xu hướng tấn công bằng mã độc trên thế giới

• Tấn công mạng tự học

• Bảo mật dữ liệu và cơ cấu giá

• Sự hợp tác giữa kẻ thù và tin tặc

2.2.2 Các xu hướng tấn công bằng mã độc tại Việt Nam

• Mã độc tống tiền- Ransomeware

• Sử dụng mạng xã hội- nguy cơ lây nhiễm mã độc, lừa đảo

• Khai thác và tấn công từ các thiết bị IoT (Internet of Things- Internet kết nối vạn vật

• Các cuộc tấn công có chủ đích nhằm vào cơ quan chính phủ

và hệ thống hạ tầng trọng yếu

• Các website của các cá nhân, tổ chức của Việt Nam luôn là mục tiêu tấn công

2.3 Một số biện pháp phòng chống mã độc

• Sử dụng phần mềm an toàn

• Sử dụng Anti-Virus

• Sử dụng tường lửa

• Sử dụng các hệ thống phát hiện xâm nhập

• Cập nhật các bản vá lỗi cho hệ điều hành và ứng dụng

• Bảo vệ tổng quát và bảo vệ theo chiều sâu

2.4 Kết luận chương

Trong chương II, tác giả đã trình bày tổng quan về mã độc máy tính, cách thức lây nhiễm và tác hại của nó, nêu ra tình hình xu hướng tấn công bằng mã độc trên thế giới và tại Việt Nam, biện pháp phòng chống mã độc

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG BẰNG

MÃ ĐỘC TẠI TRUNG TÂM VNCERT

3.1 Quy trình phát hiện và xử lý mã độc tại trung tâm VNCERT 3.1.1 Phát hiện mã độc

Để có thể phát hiện được mã độc đang chạy trên máy tính, người dùng cần sử dụng kết hợp nhiều công cụ hỗ trợ miễn phí khác nhau

để tìm mã độc Các công cụ này bao gồm:

Công cụ giám sát registry: Regshot, Autoruns, Comodo

Công cụ theo dõi tiến trình đang thực thi: Process XP, KillSwitch

Công cụ theo dõi lưu lượng mạng: Wireshark, Tcpdump

Công cụ phát hiện rootkit trên hệ thống: Kaspersky TDSSKiller

Để xác định một tập tin có phải là mã độc hay không, người dùng có thể kiểm tra nó bằng các công cụ quét virus khác nhau bằng việc sử dụng các trang quét virus trực tuyến như http://virustotal.com

3.1.2 Bóc gỡ mã độc

Quy trình bóc gỡ như sau:

Hình 3.15 Quy trình bóc gỡ mã độc

a) Ngắt kết nối mạng

Trong trường hợp khi máy tính bị nhiễm mã độc cần phải ngắt kết nối mạng để xử lý nhằm tránh một số trường hợp mã độc tự lây lan qua môi trường mạng hoặc một số loại mã độc kết nối C&C Server để nhận lệnh điều khiển Để ngắt kết nối mạng có thể thực hiện:

• Kết nối internet bằng dây: Rút dây ra để ngắt kết nối Internet

• Ngắt kết nối internet bằng Wifi: Tạm disconnect wifi

để ngắt mạng

• Không muốn rút dây hoặc ngắt wifi: Sử dụng chắc năng disable mạng để ngắt kết nối

b) Nhận diện các tiến trình và drivers độc hại

Sử dụng Process Explore để nhận diện các tiến trình độc hại thông qua một số yếu tố như:

• Không có icon (biểu tượng)

• Không có thông tin mô tả hoặc tên công ty

• Không có ký tên Microsoft images

• Chú trọng đến các tiến trình đang chạy từ thư mục Windows hoặc từ thư mục User Profile

• Tiến trình được packed

• Bao gồm nhiều URLs lạ trong phần strings của tiến trình

• Có kết nối TCP/IP

• Có chứa các DLLs hoặc services khả nghi

c) Nhận diện và xóa bỏ các vị trí tự động khởi động của mã độc

• Nhận diện vị trí tập tin mã độc

• Nhận diện vị trí khóa Registry giúp mã độc tự động khởi động

d) Chấm dứt các tiến trình đã xác định là độc hại

• Khi đã xác định hoặc nghi ngờ tiến trình độc hại thì cần phải chấm dứt tiến trình đó

• Kích phải chuột vào tiến trình và chọn Kill Process

e) Xóa bỏ các tập tin mã độc

• Xóa bỏ các tập tin mã độc đã được nhận diện

• Xóa bỏ các khóa Registry giúp mã độc tự động khởi động

f) Khởi động lại máy tính và tiếp tục nhận diện các loại mã độc khác

• Thực hiện lại các bước tương tự như trên để tìm kiếm

và gỡ bỏ mã độc

3.1.3 Các kỹ thuật phân tích mã độc

• Phân tích sơ lược

• Phân tích hoạt động

• Phân tích mã thực thi của mã độc

• Phương pháp phân tích mã độc tự động

3.2 Triển khai giải pháp phát hiện và phòng chống tấn công bằng mã độc tại trung tâm VNCERT

3.2.1 Giới thiệu về giải pháp

Giải pháp pháp phát hiện và phòng chống tấn công bằng mã độc tại trung tâm VNCERT sử dụng phần mềm mã nguồn mở Maltrail triển khai trên máy chủ chạy hệ điều hành Ubuntu

Maltrail là một hệ thống phát hiện lưu lượng độc hại, sử dụng các blacklist công khai có sẵn có chứa các trail độc hại hoặc đáng ngờ Kết hợp với các trail tĩnh được biên dịch từ các báo cáo của các

AV khác nhau và danh sách do người dùng tùy chỉnh Các trail có thể bao gồm: domain name, URL, IP address hoặc HTTP User-Agent,… Ngoài ra, nó sử dụng các cơ chế heuristic tiên tiến có thể phát hiện các mối đe dọa chưa biết

Ý tưởng của hệ thống là sẽ tạo ra ít công bố bằng cách kết hợp nhiều sự kiện thành “Threat“ Ưu tiên các hoạt động độc hại từ bên trong (ví dụ: phần mềm độc hại), từ cảnh báo của CERT Sử dụng các kết quả sẵn có dưới hình thức blacklists công khai và malicious trails (IOCs) công khai Hệ thống không phải là tối ưu

Hiện tại Maltrail có:

• 58 nguồn cung cấp blacklist hàng ngày (VD: alienvault, autoshun, badips, )

• 413 static sinkhole trail lists (manually collected)

• 3 static malware trail lists dựa trên IOCs từ AV reports

• 16 static suspicious trail lists (VD browser_hijacking, computrace, dynamic_domain, ipinfo, superfish, )

• 13 heuristic mechanisms (VD: port scanning, long domains, sinkhole responses, suspicious HTTP requests, suspicious HTTP user agents, excessive NXDOMAIN, etc.)

3.2.2 Mô hình triển khai

Hình 3.22 Kiến trúc của Maltrail

 Sensor là thành phần để theo dõi và điều tra lưu lượng truy cập để tìm kiếm “trails"

 Server là thành phần lưu trữ các sự kiện của Sensor dưới dạng CSV và phục vụ phân tích theo yêu cầu từ client

 Client là thành phần để phân tích và báo cáo trên các dữ liệu thô

 Trong cấu hình mặc định, Server và Sensor sẽ chạy trên cùng một máy

Hình 3.23 Mô hình triển khai

3.2.3 Cài đặt và cấu hình hệ thống

Cài đặt Sensor

sudo apt-get install git python-pcapy

git clone https://github.com/stamparm/maltrail.git

cd maltrail

sudo python sensor.py

Hình 3.24 Cài đặt sensor Cài đặt Server

git clone https://github.com/stamparm/maltrail.git

cd maltrail

python server.py

Hình 3.25 Cài đặt server Cấu hình hệ thống

Hình 3.26 Cấu hình hệ thống

Client

Browser: http://localhost:8338

User: admin

Pass: changeme!

Hình 3.27 Giao diện báo cáo của Maltrail

Tùy biến danh sách

Hình 3.28 Cách tùy biến danh sách

Cơ chế hoạt động như sau:

- Khi dữ liệu của người dùng trao đổi qua switch đã nói trên, toàn bộ dữ liệu được mirror sang span port, và đẩy vào module sensor, khi đó, sensor thực hiện capture toàn

bộ lưu lượng này, lưu vào file pcap tại một đường dẫn xác định trước

- Module server thực hiện định kỳ cập nhật thông tin mới

về virus cũng như cac blacklist đã nói trên vào cơ sở dữ liệu của Maltrail

- Server định kì thực hiện quét và so sánh các thông tin từ nguồn ( tức dữ liệu sensor gửi về) và cơ sở dữ liệu virus,

từ đó phân tích vào báo cáo cho người quản trị các kết quả phân tích, nghi ngờ như hình 3.27

- Sau khi có kết quả phân tích, các cán bộ quản trị mạng và bảo mật phối hợp thực hiện bóc gỡ mã độc theo quy trình

đã nêu ở mục 3.1.2

3.3 Thử nghiệm và đánh giá kết quả

3.3.1 Môi trường triển khai

Hệ thống đang được triển khai thử nghiệm tại Trung tâm VNCERT trên môi trường mã nguồn mở sử dụng hệ điều hành Ubuntu

Hệ thống Maltrail được cài đặt đã được công bố rộng rãi trên Github tại địa chỉ: https://github.com/stamparm/maltrail

3.3.2 Đánh giá kết quả

Hệ thống hoạt động ổn định 24/24 với một số kết quả đạt được như phát hiện được hầu hết các máy tính, thiết bị (IOT) bị nhiễm mã độc có kết nối đến các nguồn đã được công bố

Đối với công tác cảnh báo và ứng cứu sự cố tại Trung tâm VNCERT, chẳng hạn theo Công văn số 298/VNCERT-ĐPƯC về việc phát hiện

ra dấu hiệu của chiến dịch tấn công nhằm vào các hệ thống thông tin quan trọng tại Việt Nam thông qua việc phát tán và điều khiển mã độc có chủ đích (APT)

3.3.3 Một số điểm hạn chế của hệ thống

Hệ thống chỉ dừng lại ở việc phát hiện các thiết bị, máy tính trong mạng bị nhiễm mã độc có kết nối ra Internet đến những nguồn

đã được công bố, bao gồm:

 58 nguồn cung cấp blacklist hàng ngày (VD: alienvault, autoshun, badips, )

 413 static sinkhole trail lists (manually collected)

 3 static malware trail lists dựa trên IOCs từ AV reports

 16 static suspicious trail lists (VD browser_hijacking, computrace, dynamic_domain, ipinfo, superfish, )

 13 heuristic mechanisms

Khi phát hiện các thiết bị, máy tính trong mạng bị nhiễm mã độc thì các cán bộ kỹ thuật của Trung tâm VNCERT sẽ tiến hành bốc

gỡ và xữ lý mã độc theo các bước như phần trên

Đối với các loại mã độc không có kết nối ra ngoài hoặc các loại mã độc có kết nối đến các nguồn chưa được công bố thì hệ thống chưa phát hiện được một cách tự động Để phát hiện được các loại

mã độc như thế cần phải thực hiện rà soát lại toàn bộ các thành phần trên các máy tính, thiết bị

3.4 Kết luận chương

Trong phần nội dung của chương này, luận văn đã làm được một số yêu cầu bao gồm: trình bày về quy trình và xử lý mã độc tại trung tâm VNCERT, triển khai giải pháp phát hiện và phòng chống tấn công bằng mã độc tại vncert Tác giả đã cài đặt và thử nghiệm giải