Phân tích chuỗi tấn công Cyber Kill Chain
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.12 MB, 43 trang )
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP CƠ SỞ
ĐỀ TÀI:
PHÂN TÍCH CHUỖI TẤN CƠNG CYBER KILL CHAIN
Cán bộ hướng dẫn:
ThS. Nguyễn Văn Phác
Sinh viên thực hiện:
- Khổng Đức Chức
AT170408
- Nguyễn Trường Giang
AT170414
- Lê Xuân Hinh
AT170418
Lớp: L04
Hà Nội, 2023
0
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP CƠ SỞ
ĐỀ TÀI:
PHÂN TÍCH CHUỖI TẤN CƠNG CYBER KILL CHAIN
Nhận xét của cán bộ hướng dẫn:..............................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
..................................................................................................................................
Điểm chuyên cần:.....................................................................................................
Điểm báo cáo:...........................................................................................................
Xác nhận của cán bộ hướng dẫn
1
MỤC LỤC
LỜI NĨI ĐẦU..........................................................................................................7
DANH MỤC HÌNH VẼ...........................................................................................4
DANH MỤC CÁC TỪ VIẾT TẮT.........................................................................6
CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG VÀ CHUỖI TẤN CÔNG
CYBER KILL CHAIN............................................................................................8
1.1. Tổng quan về an ninh mạng..........................................................................8
1.1.1 Thực trạng an tồn khơng gian mạng hiện nay...........................................8
1.1.2 Tổng quan về vấn đề bảo mật thông tin......................................................8
1.1.3 Các nguyên tắc cơ bản của bảo mật thông tin bao gồm..............................9
1.2. Chuỗi tấn công Cyber Kill Chain...............................................................10
1.2.1 Chuỗi tấn công Cyber Kill Chain.............................................................10
1.2.2 Tầm quan trọng của phân tích chuỗi tấn công Cyber Kill Chain.............11
CHƯƠNG II: CƠ SỞ LÝ THUYẾT, PHÂN TÍCH CHUỖI TẤN CƠNG
CYBER KILL CHAIN..........................................................................................12
2.1 Cơ sở lý thuyết của chuỗi tấn cơng Cyber kill chain.................................12
2.2 Phân tích chuỗi tấn công Cyber kill chain..................................................12
2.2.1 Reconnaissance: thu thập thông tin về mục tiêu.....................................12
2.2.2 Weaponization: tạo ra một công cụ tấn công..........................................13
2.2.3 Delivery: chuyển giao công cụ tấn công tới mục tiêu............................15
2.2.4 Exploitation: tận dụng các lỗ hổng của mục tiêu để thực hiện tấn công 16
2.2.5 Installation: cài đặt phần mềm độc hại vào mục tiêu..............................17
2.2.6 Command and Control: tiến hành điều khiển máy tính của mục tiêu để
lấy thông tin.......................................................................................................18
2.2.7 Actions on Objectives: tiến hành các hành động theo mục đích đặt ra ban
đầu......................................................................................................................19
CHƯƠNG III: XÂY DỰNG KỊCH BẢN THỰC NGHIỆM, ĐỀ XUẤT
PHƯƠNG ÁN PHÒNG THỦ................................................................................21
3.1 Xây dựng kịch bản thực nghiệm..................................................................21
3.1.1 Chuẩn bị................................................................................................21
2
3.1.2 Thực hiện triển khai thực nghiệm.........................................................24
3.2 Đề xuất phương án phòng thủ.....................................................................35
3.2.1. Đối với người dùng cá nhân................................................................35
3.2.2. Đối với tổ chức, doanh nghiệp.............................................................37
KẾT LUẬN.............................................................................................................40
TÀI LIỆU THAM KHẢO.....................................................................................42
DANH MỤC HÌNH VẼ
3
Hình 1.1 Chuỗi tấn cơng Cyber Kill Chain................................................................9
Hình 2.1 Network reconnaisance ……………………..…………………………..12
Hình 2.2. Các loại Malware phổ biến......................................................................14
Hình 2.3. Một số loại hình Phishing Attacks...........................................................15
Hình 2.4. Khai thác lỗ hổng MS17-010...................................................................16
Hình 2.5. Command wget để tải file về...................................................................17
Hình 2.6. Thực hiện tạo persistence bằng Task scheduler.......................................18
Hình 2.7. Thực hiến lấy thơng tin Client.................................................................19
Hình 3.1. Hình ảnh cơng cụ Nmap………………………………………………...21
Hình 3.2. Cơng cụ Metasploit..................................................................................22
Hình 3.3. Cơng cụ VMware WorkStation................................................................23
Hình 3.4. Hình ảnh cơng cụ Mimikatz.....................................................................24
Hình 3.5. Ví dụ về một phần mềm Keylogger.........................................................24
Hình 3.6. Sử dụng cơng cụ Nmap để qt địa chỉ IP và cổng.................................25
Hình 3.7. Sử dụng cơng cụ Nmap để quét lỗ hổng..................................................26
Hình 3.8. Sử dụng Metasploit để tạo mã độc...........................................................26
Hình 3.9. Tìm kiếm modun khai thác MS17-010....................................................27
Hình 3.10. Cài đặt thơng số để khai thác MS17-010...............................................27
Hình 3.11. Chạy exploit lỗ hổng MS17-010............................................................28
Hình 3.12. Chiếm được shell của nạn nhân.............................................................28
Hình 3.13. Thiết lập các thơng số để Bypass UAC..................................................29
Hình 3.14. Chọn target và session để Bypass UAC.................................................29
Hình 3.15. Bypass UAC thành cơng........................................................................29
Hình 3.16. Upload file mã độc lên máy nạn nhân....................................................30
Hình 3.17. Upload tool Mimikatz lên máy nạn nhân...............................................30
Hình 3.18. Upload spyware Keylogger....................................................................30
Hình 3.19. File execute.bat dùng để bỏ qua chính sách thực thi..............................30
Hình 3.20. Giải nén file Mimikatz đã upload từ trước.............................................31
Hình 3.21. Thay đổi chính sách thực thi RemoteSigned..........................................31
Hình 3 22. Chạy file Keylogger.ps1.........................................................................31
Hình 3.23. Ẩn file Keylogger.ps1 tránh bị phát hiện...............................................31
Hình 3.24. Tạo persistence cho Keylogger..............................................................32
Hình 3.25. Tạo task scheduler cho phép khởi động khi StartUp.............................32
Hình 3.26. Tạo persistence bằng Registry...............................................................32
4
Hình 3.27. Chạy tool Mimikatz...............................................................................32
Hình 3.28. Bật giao thực Wdigest trên windows.....................................................33
Hình 3.29. Lấy được mật khẩu của máy nạn nhân...................................................33
Hình 3.30. Trích xuất file log.txt..............................................................................33
Hình 3.31. Theo dõi màn hình máy nạn nhân dưới real time..................................34
Hình 3.32. Bật webcam trên máy nạn nhân.............................................................34
Hình 3.33. Cách thức hacker đánh cắp chiếm đoạt tài khoản..................................35
Hình 3.34. Cấu tạo của một chiếc USB Rubber Ducky...........................................36
Hình 3.35. Hình thức Phishing email đánh cắp thơng tin cá nhân...........................36
Hình 3.36. Hình ảnh giải pháp SIEM IBM QRadar.................................................37
Hình 3.37. Đội Pentest của cơng ty cổ phần an ninh mạng Việt Nam (VSEC).......38
Hình 3.38. Backup dữ liệu lên Cloud.......................................................................38
Hình 3.39. Đào tạo nhận thức an tồn thơng tin......................................................39
5
DANH MỤC CÁC TỪ VIẾT TẮT
XSS
Cross Site Script
DDoS
Distributed denial-of-service
IP
Internet Protocol
HTTP
Hyper Text Transfer Protocol
HTTPS
Hypertext Transfer Protocol Security
IRC
Internet Relay Chat
DNS
Domain name system
Nmap
Network Mapper
ICMP
Internet Control Message Protocol
ARP
Address Resolution Protocol
SNMP
Simple Network Monitoring Protocol
TCP
Transmission Control Protocol
UDP
User Datagram Protocol
SAM
Software Asset Management
PTH
Pass-the-hash
PTT
Pass-the-ticket
SMB
Server Message Block
UAC
User Account Control
6
LỜI NĨI ĐẦU
Trong thời đại số hóa hiện nay, bảo mật mạng là một trong những vấn đề cấp
bách nhất đối với các tổ chức, doanh nghiệp và cá nhân. Việc ngày càng nhiều các
cuộc tấn công mạng xảy ra, với sự phát triển của các phần mềm độc hại, phương
thức tấn công ngày càng tinh vi và tấn công từ phía bên ngồi ngày càng phổ biến.
Để bảo vệ mạng thơng tin của mình, các chun gia bảo mật mạng cần phải sử
dụng các phương pháp và kỹ thuật tiên tiến để ngăn chặn các cuộc tấn công trước
khi chúng gây ra hậu quả nghiêm trọng. Mơ hình Cyber Kill Chain là một trong
những phương pháp tiên tiến nhất để phát hiện và ngăn chặn các cuộc tấn công
mạng. Mơ hình này cho phép các chun gia bảo mật mạng phân tích và đối phó
với các cuộc tấn cơng bằng cách phân tích từng giai đoạn của chuỗi tấn cơng.
Do đó, nhóm chúng em chọn đề tài “Phân tích chuỗi tấn công Cyber Kill
Chain” nhằm đưa ra cho mọi người một cái nhìn tổng quan nhất về các bước mà
một kẻ tấn công xâm nhập và thực hiện hành vi độc hại trên các thiết bị mạng của
người dùng. Từ đó đưa ra những phương pháp phát hiện và ngăn chặn các cuộc tấn
công mạng.
7
CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG VÀ CHUỖI TẤN CÔNG
CYBER KILL CHAIN
1.1. Tổng quan về an ninh mạng
1.1.1 Thực trạng an tồn khơng gian mạng hiện nay
Hiện nay, tình trạng an tồn khơng gian mạng đang gặp phải nhiều thách thức
và rủi ro bảo mật. Một số vấn đề chính bao gồm:
- Tấn cơng mạng: Các hành vi tấn công mạng đang ngày càng phức tạp và
tinh vi hơn. Các cuộc tấn công bao gồm phishing, malware, ransomware, hacking
và các cuộc tấn công từ chối dịch vụ (DDoS) đang trở nên phổ biến hơn. Những
cuộc tấn công này có thể gây ra thiệt hại nghiêm trọng cho các tổ chức và cá nhân.
- Lỗ hổng bảo mật: Các lỗ hổng bảo mật trong các ứng dụng và phần mềm
đang làm tăng rủi ro bảo mật. Sự gia tăng của các thiết bị kết nối internet: Sự phổ
biến của các thiết bị kết nối internet như đồng hồ thông minh, máy tính bảng và
camera an ninh đang làm tăng sự đa dạng của các điểm tấn công tiềm năng. Điều
này đặc biệt đúng khi các thiết bị này không được bảo mật đúng cách.
- Sự bất ổn chính trị và tình trạng xung đột: Các cuộc xung đột và tình trạng
bất ổn chính trị có thể dẫn đến các cuộc tấn cơng mạng và thậm chí là chiến tranh
mạng. Những cuộc tấn cơng này có thể làm hỏng cơ sở hạ tầng mạng, gây ra thiệt
hại cho nền kinh tế và gây ảnh hưởng đến đời sống của người dân.
- Sự cố bảo mật bên thứ ba: Các công ty thường cung cấp dịch vụ và sản
phẩm cho nhau, và khiến cho nhiều đoạn mã được phát triển và duy trì bởi bên thứ
ba. Nếu một bên thứ ba này bị tấn công hoặc bị tấn công mạng, thông tin cá nhân
và dữ liệu quan trọng của người dùng có thể bị đánh cắp hoặc sử dụng sai mục
đích.
1.1.2 Tổng quan về vấn đề bảo mật thông tin
Bảo mật thơng tin là q trình bảo vệ thơng tin khỏi các mối đe dọa hoặc
những tác động có hại đến thông tin như: giả mạo, mất mát, phá hủy hoặc lộ ra cho
các bên không được ủy quyền. Bảo mật thông tin không chỉ là vấn đề của các tổ
chức, mà còn là trách nhiệm của tất cả chúng ta khi sử dụng các thiết bị kết nối
internet.
Vấn đề bảo mật thông tin ngày nay trở thành một trong những vấn đề cấp
bách và quan trọng nhất của công nghệ thông tin. Mỗi ngày, các tổ chức và cá nhân
8
đều đối mặt với các mối đe dọa bảo mật như virus, phần mềm độc hại, tấn công
mạng, trộm cắp thơng tin cá nhân, thẻ tín dụng và nhiều hơn nữa.
Các giải pháp bảo mật thông tin đa dạng và được áp dụng trong nhiều lĩnh
vực, bao gồm: mã hóa dữ liệu, quản lý quyền truy cập, tường lửa, phần mềm chống
virus và tấn công mạng, giám sát và phát hiện sớm, và giáo dục và huấn luyện
nhân viên về an ninh thông tin.
Tuy nhiên, đối với các tên trộm mạng thông minh, những giải pháp này không
đủ để ngăn chặn các cuộc tấn cơng tinh vi. Vì vậy, việc tăng cường bảo mật thơng
tin là một q trình liên tục và phải được thực hiện đều đặn.
1.1.3 Các nguyên tắc cơ bản của bảo mật thơng tin bao gồm
Tính bảo mật: Tính bảo mật là tính chất đặc biệt của thông tin, đảm bảo thông
tin chỉ được truy cập và sử dụng bởi các người được ủy quyền và không bị đánh
cắp hoặc thay đổi bởi các đối tượng khơng được ủy quyền. Để đạt được tính bảo
mật, các tổ chức và cá nhân cần thực hiện các biện pháp bảo mật như mã hóa dữ
liệu, sử dụng chứng thực và xác thực người dùng, giám sát và phát hiện các hoạt
động bất thường trên mạng.
Tính tồn vẹn: Tính tồn vẹn là tính chất của thơng tin đảm bảo rằng thông tin
không bị thay đổi, sửa đổi hoặc phá hoại một cách trái phép. Để đạt được tính tồn
vẹn, các tổ chức và cá nhân cần áp dụng các biện pháp bảo mật như sử dụng chữ
ký số, kiểm tra tính hợp lệ của dữ liệu, bảo vệ phần mềm và hệ thống khỏi các mã
độc.
Tính sẵn sàng: Tính sẵn sàng đảm bảo thông tin được truy cập và sử dụng một
cách hợp lý và đúng đắn, theo đúng quy định và quy trình. Để đạt được tính sẵn
sàng, các tổ chức và cá nhân cần xây dựng hệ thống quản lý thơng tin chính xác và
đáng tin cậy, áp dụng các quy trình và biện pháp bảo mật hợp lý và đảm bảo rằng
thông tin được cung cấp đúng định dạng, đúng thời điểm và đúng nơi đích đến.
Tính riêng tư: Tính riêng tư đảm bảo rằng thơng tin cá nhân chỉ được truy cập
và sử dụng bởi những người được ủy quyền. Để đạt được tính riêng tư, các tổ chức
và cá nhân cần bảo vệ thông tin cá nhân khỏi sự truy cập và sử dụng trái phép, sử
dụng các chứng thực và xác thực người dùng, đảm bảo tính bảo mật của thơng tin
và áp dụng các quy trình và biện pháp bảo mật phù hợp.
9
Tính chính xác: Tính chính xác đảm bảo rằng thơng tin đưa ra là chính xác,
khơng có sai sót hay thơng tin sai lệch. Để đạt được tính chính xác, các tổ chức và
cá nhân cần đảm bảo tính xác thực của thông tin, đảm bảo rằng thông tin được
kiểm tra và xác minh trước khi được đưa ra, áp dụng các quy trình và biện pháp
kiểm sốt chất lượng thơng tin và đảm bảo tính chính xác của các tài liệu và báo
cáo.
1.2. Chuỗi tấn công Cyber Kill Chain
1.2.1 Chuỗi tấn cơng Cyber Kill Chain
Hình 1.1 Chuỗi tấn cơng Cyber Kill Chain
Chuỗi tấn công Cyber Kill Chain là một khái niệm được sử dụng trong lĩnh
vực bảo mật mạng để mô tả các giai đoạn trong một cuộc tấn cơng mạng. Mơ hình
Cyber Kill Chain gồm 7 giai đoạn:
- Reconnaissance (Thu thập thông tin): Hacker sẽ thu thập thông tin về mục
tiêu, bao gồm cả thông tin về mạng, hệ thống và người dùng.
- Weaponization (Vũ khí hóa): Hacker sẽ tạo ra phần mềm độc hại, ví dụ như
mã độc, Trojan, virus hoặc worm và chèn vào các tệp hoặc email để tấn công vào
hệ thống mục tiêu.
- Delivery (Phân phát): Phần mềm độc hại được chuyển đến hệ thống mục tiêu
thơng qua email, tệp đính kèm, hoặc các phương tiện khác.
- Exploitation (Khai thác): Phần mềm độc hại sẽ được kích hoạt trên hệ thống
mục tiêu và khai thác các lỗ hổng bảo mật để tấn công vào hệ thống.
- Installation (Cài đặt): Phần mềm độc hại được cài đặt trên hệ thống mục tiêu
và bắt đầu thu thập thông tin hoặc thực hiện các hành động độc hại.
10
- Command and Control (Điều khiển và kiểm soát): Hacker sử dụng phần mềm
độc hại để kiểm soát hệ thống mục tiêu và lấy thông tin cần thiết.
- Action on Objectives (Thực hiện mục tiêu): Hacker thực hiện các hành động
độc hại hoặc truy cập vào các tài khoản và dữ liệu mục tiêu để đánh cắp thông tin
hoặc phá hoại hệ thống.
1.2.2 Tầm quan trọng của phân tích chuỗi tấn cơng Cyber Kill Chain
Cyber Kill Chain là mơ hình chuỗi tấn công thông dụng nhất trong lĩnh vực
bảo mật mạng. Việc phân tích chuỗi tấn cơng Cyber Kill Chain giúp các chuyên
gia bảo mật có thể nhanh chóng phát hiện và đối phó với các cuộc tấn cơng mạng.
Với việc phân tích theo chuỗi tấn cơng, các chun gia có thể phát hiện ra các
bước, giai đoạn của cuộc tấn cơng và tìm ra các điểm yếu của hệ thống để từ đó có
các biện pháp bảo mật phù hợp.
Việc áp dụng phân tích chuỗi tấn cơng Cyber Kill Chain vào q trình bảo mật
thơng tin giúp cho các tổ chức có thể tăng cường khả năng phát hiện, ngăn chặn
các cuộc tấn công và giảm thiểu thiệt hại do tấn cơng gây ra.
Ngồi ra, phân tích chuỗi tấn công Cyber Kill Chain cũng giúp cho các
chuyên gia bảo mật có thể nắm rõ hơn về các kỹ thuật, phương pháp tấn cơng mới
để từ đó phát triển các biện pháp bảo mật mới, cập nhật để đối phó với các mối đe
dọa mới.
11
CHƯƠNG II: CƠ SỞ LÝ THUYẾT, PHÂN TÍCH CHUỖI TẤN CÔNG
CYBER KILL CHAIN
2.1 Cơ sở lý thuyết của chuỗi tấn công Cyber kill chain
Chuỗi tấn công Cyber Kill Chain là một mơ hình được phát triển bởi cơng ty
bảo mật Lockheed Martin, dựa trên mơ hình tấn cơng địa lý của qn đội Mỹ. Nó
được sử dụng để mơ tả q trình tấn cơng của các kẻ tấn cơng mạng và giúp các
chuyên gia bảo mật phát hiện và ngăn chặn các cuộc tấn công mạng.
Cơ sở lý thuyết của chuỗi tấn cơng Cyber Kill Chain là mơ hình tấn cơng tiên
tiến, trong đó kẻ tấn cơng sẽ phải thực hiện nhiều bước để đạt được mục tiêu cuối
cùng của họ. Các bước này có thể bao gồm phát hiện mục tiêu, tiếp cận, kiểm soát,
khai thác và tiếp tục duy trì quyền truy cập vào mục tiêu.
Chuỗi tấn cơng Cyber Kill Chain cũng giúp cho các chuyên gia bảo mật hiểu
được các điểm yếu của hệ thống mạng và tìm cách cải thiện hệ thống bảo mật để
ngăn chặn các cuộc tấn công từ đầu. Điều này bao gồm việc tăng cường kiểm soát
truy cập, cập nhật phần mềm và bảo vệ mạng khỏi các lỗ hổng bảo mật đã được
biết đến.
Trong tóm tắt, chuỗi tấn cơng Cyber Kill Chain cung cấp một khung nhìn chi
tiết về quá trình tấn công của kẻ tấn công mạng và giúp các chuyên gia bảo mật
nâng cao khả năng phát hiện và ngăn chặn các cuộc tấn cơng mạng.
2.2 Phân tích chuỗi tấn công Cyber kill chain
2.2.1 Reconnaissance: thu thập thông tin về mục tiêu
Trong chuỗi tấn công mạng Cyber Kill Chain, giai đoạn Reconnaissance là
giai đoạn đầu tiên và quan trọng nhất, nó thường được xem là bước đầu tiên trong
việc tiến hành một cuộc tấn công mạng thành công. Giai đoạn này thường được
tiến hành bằng cách thu thập thông tin về mục tiêu tấn công, bao gồm các thông tin
về môi trường mạng của mục tiêu, các hệ thống và ứng dụng được sử dụng, cũng
như các nhân viên và họ có thể có thơng tin mật quan trọng.
Để thu thập thơng tin, kẻ tấn cơng có thể sử dụng nhiều phương pháp khác
nhau, bao gồm:
12
- Phân tích các tài liệu cơng khai: Kẻ tấn cơng có thể thu thập thơng tin bằng
cách phân tích các tài liệu công khai như trang web, mạng xã hội, thơng tin chính
phủ hoặc thơng tin doanh nghiệp.
- Qt mạng: Kẻ tấn cơng có thể sử dụng các cơng cụ quét mạng để thu thập
thông tin về các hệ thống mạng mục tiêu. Các cơng cụ này có thể thu thập thông tin
về các máy chủ, địa chỉ IP, cổng mạng được mở và thông tin khác liên quan đến
mạng.
- Tấn cơng người dùng cuối: Kẻ tấn cơng có thể tiến hành tấn công phishing
hoặc tấn công độc hại để thu thập thông tin từ các người dùng cuối như tên đăng
nhập, mật khẩu, hoặc thông tin tài khoản ngân hàng.
- Theo dõi mạng: Kẻ tấn cơng có thể tiến hành theo dõi mạng để xác định các
điểm yếu trong hệ thống mạng của mục tiêu, bao gồm các thiết bị mạng, máy chủ
và ứng dụng.
Giai đoạn Reconnaissance là giai đoạn rất quan trọng trong q trình tấn cơng
và cũng là giai đoạn mà các biện pháp phòng thủ sẽ có hiệu quả cao nhất để phát
hiện và ngăn chặn các cuộc tấn cơng.
Hình 2.1 Network reconnaisance
13
2.2.2 Weaponization: tạo ra một công cụ tấn công
Giai đoạn Weaponization là giai đoạn thứ hai trong chuỗi tấn công Cyber Kill
Chain, trong đó kẻ tấn cơng sẽ thực hiện việc biến đổi mã độc và tạo ra các phần
mềm độc hại để tiến hành tấn công vào hệ thống mục tiêu.
Các bước thực hiện của giai đoạn Weaponization bao gồm:
- Tìm kiếm lỗ hổng bảo mật: Kẻ tấn cơng sử dụng nhiều cơng cụ để tìm kiếm
lỗ hổng bảo mật trên các hệ thống mục tiêu, bao gồm việc sử dụng các công cụ
quét lỗ hổng, thực hiện các cuộc tấn cơng mơ phỏng, tìm kiếm trên các diễn đàn
chuyên môn hay các nguồn thông tin công khai khác.Tạo ra mã độc và phần mềm
độc hại:
- Sau khi phát hiện được các lỗ hổng bảo mật, kẻ tấn công sử dụng các công
cụ tạo mã độc và phần mềm độc hại để khai thác các lỗ hổng này. Các cơng cụ này
bao gồm các trình tạo mã độc tự động, các công cụ packer để giấu mã độc và các
trình mã hóa để che giấu chúng.
- Tạo ra các tài liệu tấn công: Kẻ tấn công sử dụng các kỹ thuật xã hội đen để
tạo ra các tài liệu tấn công giả mạo nhằm lừa đảo người dùng và xâm nhập vào các
hệ thống mục tiêu. Ví dụ như email giả mạo từ ngân hàng, các trang web giả mạo
có chứa mã độc, tài liệu Word hay PDF giả mạo có chứa mã độc, hoặc các tài liệu
đính kèm trong email chứa mã độc.
- Kiểm tra và thử nghiệm phần mềm độc hại: Kẻ tấn công tiến hành kiểm tra
và thử nghiệm các phần mềm độc hại để đảm bảo chúng hoạt động tốt trên hệ
thống mục tiêu. Các cơng cụ thử nghiệm này bao gồm các trình giả lập hệ thống để
thử nghiệm mã độc, các công cụ kiểm tra tính bảo mật để phát hiện các điểm yếu
trên hệ thống mục tiêu.
Tóm lại, giai đoạn Weaponization là giai đoạn mà kẻ tấn công sẽ quyết định
phương thức và cơng cụ thực hiện tấn cơng của mình.
14
Hình 2.2. Các loại Malware phổ biến
2.2.3 Delivery: chuyển giao công cụ tấn công tới mục tiêu
Giai đoạn Delivery là giai đoạn tiếp theo trong chuỗi tấn công Cyber Kill
Chain, trong đó kẻ tấn cơng sử dụng các phương tiện để vận chuyển hoặc phân
phối phần mềm độc hại đến hệ thống mục tiêu. Giai đoạn này là cách để kẻ tấn
công đưa phần mềm độc hại vào hệ thống của nạn nhân.
Các phương tiện phổ biến được sử dụng trong giai đoạn Delivery bao gồm:
- Email giả mạo: Kẻ tấn công gửi email giả mạo cho nạn nhân với đường dẫn
đến trang web giả mạo hoặc tệp đính kèm chứa phần mềm độc hại.
- Quảng cáo giả mạo: Kẻ tấn công tạo ra các quảng cáo giả mạo trên các trang
web được truy cập bởi nạn nhân, và khi nạn nhân bấm vào quảng cáo, phần mềm
độc hại sẽ được tải xuống máy tính của nạn nhân.
- Khai thác các lỗ hổng bảo mật: Kẻ tấn cơng tìm kiếm các lỗ hổng bảo mật
trên các phần mềm và hệ điều hành được sử dụng trên hệ thống mục tiêu, và sử
dụng các công cụ khai thác để khai thác lỗ hổng đó để giao hàng phần mềm độc
hại.
- Các trang web giả mạo: Kẻ tấn công tạo ra các trang web giả mạo của các
trang web phổ biến như các trang web ngân hàng hoặc trang web mua sắm trực
15
tuyến, để lừa đảo nạn nhân nhập thông tin đăng nhập hoặc thơng tin tài khoản
thanh tốn.
Giai đoạn Delivery là một trong những giai đoạn nguy hiểm trong chuỗi tấn
công Cyber Kill Chain, vì nó là cách để kẻ tấn công đưa phần mềm độc hại vào hệ
thống của nạn nhân.
Hình 2.3. Một số loại hình Phishing Attacks
2.2.4 Exploitation: tận dụng các lỗ hổng của mục tiêu để thực hiện tấn công
Giai đoạn Exploitation là giai đoạn thứ ba trong chuỗi tấn cơng Cyber Kill
Chain, trong đó kẻ tấn cơng sử dụng các lỗ hổng bảo mật để khai thác và tấn công
vào hệ thống của nạn nhân.
Các phương pháp khai thác phổ biến được sử dụng trong giai đoạn
Exploitation bao gồm:
- Sử dụng các lỗ hổng bảo mật trên hệ điều hành và phần mềm: Kẻ tấn công
sử dụng các lỗ hổng bảo mật để tấn công vào hệ thống của nạn nhân, như lỗ hổng
tràn bộ đệm, MS17-010, lỗ hổng XSS, Log4j...
16
- Sử dụng các công cụ khai thác: Kẻ tấn công sử dụng các công cụ khai thác
để khai thác các lỗ hổng bảo mật, bao gồm các công cụ Metasploit, Nmap, Burp
Suite, và các công cụ khác.
- Tấn công vào các ứng dụng web: Kẻ tấn công sử dụng các lỗ hổng trong các
ứng dụng web để khai thác và lấy được quyền kiểm soát trên hệ thống của nạn
nhân. Ví dụ như khai thác lỗ hổng Log4j, kẻ tấn cơng có thể lấy được quyền kiểm
sốt web server. Từ đó thực hiện các hành vi tấn cơng tiếp theo.
- Sử dụng kỹ thuật social engineering: Kẻ tấn công sử dụng các kỹ thuật lừa
đảo, phishing, hoặc vishing để lừa đảo nạn nhân cung cấp thông tin đăng nhập
hoặc thơng tin nhạy cảm khác.
Hình 2.4. Khai thác lỗ hổng MS17-010
Giai đoạn Exploitation là giai đoạn rất nguy hiểm trong chuỗi tấn cơng Cyber
Kill Chain, vì nó cho phép kẻ tấn cơng có quyền kiểm sốt trên hệ thống của nạn
nhân và tiếp tục thực hiện các hành động độc hại tiếp theo.
2.2.5 Installation: cài đặt phần mềm độc hại vào mục tiêu
Chuỗi tấn công Installation là giai đoạn thứ năm trong Cyber Kill Chain. Sau
khi kẻ tấn công đã khai thác được một lỗ hổng và kiểm soát được máy chủ hoặc
thiết bị của nạn nhân, họ sẽ tiến hành cài đặt phần mềm độc hại trên hệ thống của
nạn nhân. Q trình này gồm hai giai đoạn chính:
- Tải xuống phần mềm độc hại: Kẻ tấn công sẽ tải xuống phần mềm độc hại từ
một máy chủ từ xa và cài đặt trên máy chủ hoặc thiết bị của nạn nhân. Phần mềm
độc hại này thường được mã hóa và giấu kín để tránh bị phát hiện.
- Cài đặt và thiết lập phần mềm độc hại: Sau khi tải xuống phần mềm độc hại,
kẻ tấn công sẽ tiến hành cài đặt và thiết lập phần mềm độc hại để có thể thực hiện
17
các hoạt động giám sát, thu thập thông tin, điều khiển hệ thống hay thực hiện các
hành động khác trên máy tính của nạn nhân.
Việc cài đặt phần mềm độc hại trên hệ thống của nạn nhân là một trong những
bước quan trọng trong chuỗi tấn cơng, vì nó cho phép kẻ tấn công tiếp tục thực
hiện các hoạt động gián điệp, kiểm soát và phá hoại hệ thống của nạn nhân.
Hình 2.5. Command wget để tải file về
2.2.6 Command and Control: tiến hành điều khiển máy tính của mục
tiêu để lấy thông tin
Chuỗi tấn công Command and Control là giai đoạn thứ sáu trong Cyber Kill
Chain. Sau khi kẻ tấn công đã cài đặt phần mềm độc hại trên hệ thống của nạn
nhân, họ sẽ cần thiết lập kết nối với máy chủ điều khiển từ xa (Command and
Control server - C2 server) để có thể điều khiển hệ thống của nạn nhân từ xa. Quá
trình này gồm hai giai đoạn chính:
- Thiết lập kết nối với máy chủ điều khiển: Sau khi kẻ tấn công đã cài đặt
phần mềm độc hại trên hệ thống của nạn nhân, họ sẽ cần thiết lập kết nối với máy
chủ điều khiển từ xa (C2 server). Kết nối này được thực hiện thông qua một giao
thức mạng như HTTP, HTTPS, IRC hay DNS. Khi kết nối thành công, kẻ tấn công
sẽ nhận được các lệnh từ máy chủ điều khiển để thực hiện các hoạt động giám sát,
thu thập thông tin hay điều khiển hệ thống.
- Giấu kín kết nối: Sau khi thiết lập kết nối thành công, kẻ tấn công sẽ cần
giấu kín kết nối với máy chủ điều khiển để tránh bị phát hiện. Để làm điều này, họ
sẽ sử dụng các kỹ thuật ẩn danh như mã hóa thơng tin, sử dụng kênh thông tin bất
thường hay thay đổi các địa chỉ IP của máy chủ điều khiển.
Kẻ tấn cơng cịn có thể sử dụng các kỹ thuật phức tạp hơn như định tuyến qua
nhiều máy chủ trung gian (proxies) để che giấu kết nối với máy chủ điều khiển
chính. Điều này làm cho q trình phát hiện và ngăn chặn rất khó khăn đối với các
chuyên gia bảo mật.
18
Khi kết nối được thiết lập và giấu kín, kẻ tấn cơng sẽ có thể tiếp tục kiểm sốt
và điều khiển hệ thống của nạn nhân từ xa, thực hiện các hoạt động giám sát, thu
thập thông tin hay thực hiện các cuộc tấn cơng khác.
Hình 2.6. Thực hiện tạo persistence bằng Task scheduler.
2.2.7 Actions on Objectives: tiến hành các hành động theo mục đích đặt ra
ban đầu
Giai đoạn Actions on Objectives (còn gọi là Giai đoạn hành động) trong chuỗi
tấn cơng là giai đoạn cuối cùng, trong đó kẻ tấn công sẽ thực hiện các hành động
để đạt được mục tiêu của họ, như truy cập, thay đổi, hoặc xóa dữ liệu, phá hoại hệ
thống, hoặc tiếp tục thâm nhập vào các hệ thống khác.
Giai đoạn này bao gồm các bước sau:
- Thu thập dữ liệu và tiến hành tấn cơng: Sau khi kẻ tấn cơng đã kiểm sốt
được hệ thống của nạn nhân thông qua các giai đoạn trước đó, họ sẽ bắt đầu thực
hiện các hành động để đạt được mục tiêu của mình. Các hành động này có thể bao
gồm thu thập thơng tin nhạy cảm, truy cập vào các tài khoản hoặc hệ thống khác,
thực hiện các cuộc tấn công khác hoặc phá hoại hệ thống.
- Tự động hóa các hoạt động: Kẻ tấn cơng có thể sử dụng các cơng cụ tự động
để thực hiện các hoạt động đó, giúp tiết kiệm thời gian và tăng độ chính xác. Các
cơng cụ này có thể là các script, malware, hay các công cụ quản lý hệ thống từ xa.
- Xóa dấu vết: Sau khi hồn tất các hành động, kẻ tấn cơng sẽ xóa dấu vết để
che giấu các hoạt động của họ và tránh bị phát hiện. Các hành động này có thể bao
gồm xóa các file log, các file cài đặt hoặc các tệp tin quan trọng khác.
- Lấy lại quyền kiểm soát: Cuối cùng, kẻ tấn cơng có thể cố gắng lấy lại
quyền kiểm soát hệ thống nếu bị đánh bại trong q trình tấn cơng. Điều này có thể
19
