HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
________________

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG HỆ THỐNG
GIÁM SÁT, PHÂN TÍCH, XỬ LÝ DẤU HIỆU
TẤN CƠNG CĨ CHỦ ĐÍCH TRÊN HỆ THỐNG
MÁY TÍNH ĐẦU CUỐI
Ngành: An tồn thơng tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Lê Công Sản
Lớp: AT15AT
Người hướng dẫn:
ThS.Trần Thị Thanh Thủy
Công ty CP Công Nghệ và Đầu tư 3T

Hà Nội, 2023


HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
_________________

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG HỆ THỐNG
GIÁM SÁT, PHÂN TÍCH, XỬ LÝ DẤU HIỆU

TẤN CƠNG CĨ CHỦ ĐÍCH TRÊN HỆ THỐNG
MÁY TÍNH ĐẦU CUỐI
Ngành: An tồn thơng tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Lê Công Sản
Lớp: AT15AT
Người hướng dẫn:
ThS.Trần Thị Thanh Thủy
Công ty CP Công Nghệ và Đầu tư 3T

Hà Nội, 2023



MỤC LỤC
MỤC LỤC.............................................................................................................i
DANH MỤC KÝ HIỆU VÀ VIẾT TẮT...........................................................iv
DANH MỤC HÌNH VẼ.......................................................................................v
LỜI CẢM ƠN....................................................................................................vii
LỜI NĨI ĐẦU..................................................................................................viii
CHƯƠNG 1. TỔNG QUAN VỀ TẤN CƠNG CĨ CHỦ ĐÍCH (APT)..........1
1.1. Tổng quan về tấn công APT....................................................................1
1.1.1. Khái niệm................................................................................................1
1.1.2. Đặc điểm của cuộc tấn công có chủ đích (APT).....................................1
1.1.3. Các cuộc tấn cơng APT điển hình...........................................................4
1.2. Giới thiệu mơ hình nghiên cứu Cyber Kill Chain.................................6
1.2.1. Cyber Kill Chain Framework..................................................................6
1.2.2. Các giai đoạn của cuộc tấn cơng APT dựa theo mơ hình Cyber Kill

Chain

10

1.3. Các cách thức mà APT có thể lây nhiễm và hoạt động.......................13
1.3.1. Các dấu hiệu cảnh báo về cuộc tấn cơng có chủ đích (APT)................13
1.3.2. Các cách thức mà APT có thể lây nhiễm..............................................14
1.3.3. Mục tiêu và tác hại của tấn công APT...................................................14
1.4. Tổng kết chương 1..................................................................................15
CHƯƠNG 2. GIẢI PHÁP PHÒNG CHỐNG CÁC CUỘC TẤN CƠNG
CĨ CHỦ ĐÍCH (APT)......................................................................................16
2.1. Phương pháp phát hiện cuộc tấn cơng APT.........................................16
2.1.1. Phân tích tĩnh.........................................................................................16
2.1.2. Phân tích động.......................................................................................18
2.2. Giải pháp phịng chống các cuộc tấn cơng có chủ đích (APT)............20
2.2.1. Đào tạo và nâng cao nhận thức cho nhân viên......................................21
2.2.2. Giám sát đường truyền..........................................................................22
2.2.3. Kiểm soát quyền truy cập......................................................................22


2.2.4. Whitelist các ứng dụng và tên miền......................................................23
2.2.5. Sử dụng mạng riêng ảo (VPN)..............................................................23
2.2.6. Tận dụng Sanbox...................................................................................23
2.2.7. Kiểm tra bảo mật và đánh giá lỗ hổng...................................................23
2.2.8. Quản lý bản vá.......................................................................................24
2.2.9. Threat Intelligence.................................................................................25
2.2.10. Kế hoạch ứng phó sự cố......................................................................26
2.3. Hệ thống phát hiện và phản hồi điểm cuối (EDR)...............................27
2.3.1. Định nghĩa và tầm quan trọng của EDR................................................27
2.3.2. Các thành phần chính của EDR.............................................................28

2.3.3. Chức năng chính của hệ thống an ninh EDR........................................28
2.3.4. Nguyên lí hoạt động của EDR...............................................................29
2.3.5. Những nguồn nhật ký của EDR.............................................................30
2.3.6. Lợi ích của việc sử dụng EDR...............................................................31
2.3.7. Sự khác biệt giữa EDR và Antivirus.....................................................32
2.3.8. Một số sản phẩm EDR...........................................................................33
2.4. Tổng kết chương 2..................................................................................36
CHƯƠNG 3. XÂY DỰNG HỆ THỐNG GIÁM SÁT, PHÂN TÍCH, XỬ
LÝ DẤU HIỆU TẤN CƠNG CĨ CHỦ ĐÍCH CHO CÁC MÁY TÍNH
ĐẦU CUỐI.........................................................................................................37
3.1. Mục tiêu xây dựng hệ thống..................................................................37
3.2. Mơ hình xây dựng hệ thống...................................................................37
3.3. Lựa chọn giải pháp xây dựng hệ thống................................................38
3.3.1. Các chức năng chính của giải pháp Xcitium EDR................................38
3.3.2. Lợi ích khi sử dụng giải pháp Xcitium EDR.........................................40
3.4. Triển khai hệ thống và đánh giá thử nghiệm.......................................40
3.4.1. Triển khai hệ thống................................................................................40
3.4.2. Thử nghiệm...........................................................................................47
3.5. Tổng kết chương 3..................................................................................62


KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN.......................................................63
TÀI LIỆU THAM KHẢO.................................................................................65
PHỤ LỤC...........................................................................................................66


DANH MỤC KÝ HIỆU VÀ VIẾT TẮT
APT

Advanced Persistent Threat


2FA

Two-Factor Authentication

AI

Artificial Intelligence

API

Application Programming Interface

C&C

Command and Control

CNTT

Công Nghệ Thông Tin

DDoS

Distributed Denial of Service

DLL

Dynamic Link Libraries

DLP


Data Loss Prevention

EDR

Endpoint Detection and Response

EPP

Endpoint Protection Platform

IDA Pro

The Interactive Disassembler Professional

IDS

Intrusion Detection System

IOC

Indicators Of Compromise

IoT

Internet of Things

IPS

Intrusion Prevention System


ISP

Internet Service Provider

RFI

Remote File Inclusion

SIEM

Security Information and Event Management

SSL

Secure Sockets Layer

TI

Threat Intelligence

TTPs

Tactics, Techniques and Procedures

VPN

Virtual Private Network

iv



DANH MỤC HÌN
Hình 1.1 Sơ đồ các bước tấn cơng theo Cyber Kill Chain Framework.............6
Hình 1.2 Vịng đời của một cuộc tấn cơng APT.............................................10
YHình 2.1 Ảnh minh họa cơng cụ IDA Pro....................................................17
Hình 2.2 Ảnh minh họa cơng cụ Exeinfo PE..................................................18
Hình 2.3 Ảnh minh họa cơng cụ Wireshark....................................................19
Hình 2.4 Ảnh minh họa cơng cụ Cuckoo Sandbox.........................................20
Hình 2.5 Một số thiết bị đầu cuối....................................................................27
Hình 2.6 Mơ hình hoạt động của hệ thống EDR.............................................29
Hình 2.7 Liệt kê quy trình trên thiết bị............................................................31
Hình 2.8 Kaspersky endpoint protection.........................................................33
Hình 2.9 McAfee endpoint protection.............................................................34
Hình 2.10 Xcitium Xcitium EDR endpoint protection...................................35
YHình 3.1 Mơ hình xây dựng hệ thống...........................................................38
Hình 3.2 Mơ hình triển khai............................................................................41
Hình 3.3 Link cài đặt Endpoint Manager Xcitium được gửi từ server...........42
Hình 3.4 Cài đặt thành cơng Endpoint Manager Xcitium...............................42
Hình 3.5 Cài đặt EDR cho endpoint................................................................43
Hình 3.6 Giao diện Xcitium EDR-Xcitium.....................................................44
Hình 3.7 Alerting các log gửi từ endpoint lên Server.....................................45
Hình 3.8 Các sự kiện thu thập được hiển thị trên tab Investigate..................46
Hình 3.9 Danh sách quản lý thiết bị điểm cuối...............................................46
Hình 3.10 Tạo tệp RTF độc hại.......................................................................47
Hình 3.11 Tạo trình shell độc hại bằng msfvenom.........................................48
Hình 3.12 Tạo phiên kết nối bằng trình msfconsole.......................................48
Hình 3.13 Trình kết nối tới máy nạn nhân......................................................49
Hình 3.14 Các kết nối và phiên được mở khi nạn nhân bấm vào tệp độc hại.49
Hình 3.15 Xem thơng tin máy nạn nhân.........................................................49

Hình 3.16 Liệt kê các file có trên máy nạn nhân.............................................50
Hình 3.17 Download file Thongtindangnhap.txt từ máy nạn nhân.................50
Hình 3.18 Upload file hacked.txt lên máy nạn nhân.......................................51
Hình 3.19 Upload file exe crackwindows.exe lên máy nạn nhân...................51
Hình 3.20 Upload file hacked.txt lên máy nạn nhân Windows 10 thành công
.........................................................................................................................52
v


Hình 3.21 Upload file exe crackwindows lên máy nạn nhân thành cơng.......52
Hình 3.22 Event Create Process khi nạn nhân tải file shell microsoftword.exe
.........................................................................................................................53
Hình 3.23 Event Network Connect khi nạn nhân bấm vào trình shell độc hại
.........................................................................................................................54
Hình 3.24 Event Write File hacked.txt được hacker upload...........................54
Hình 3.25 Event Write file crackwindows.exe được hacker upload...............55
Hình 3.26 Timeline event Network Connect file shell microsoftword.exe....55
Hình 3.27 Tree View event Network Connect file microsoftword.exe..........56
Hình 3.28 Remote Control vào máy endpoint Windows 10 để xử lý.............56
Hình 3.29 Tắt tiến trình bất thường ở Task Manager......................................57
Hình 3.30 Thực hiện xóa các file độc hại trên máy endpoint.........................57
Hình 3.31 Nâng quyền lên SYSTEM và sửa đổi khóa của Winlogon............59
Hình 3.32 Sự kiện Create Process để tạo khóa Shell WinLogon....................60
Hình 3.33 Sự kiện Registry để tạo khóa Shell Winlogon...............................60
Hình 3.34 Tiến trình crackwindows.exe được khởi tạo từ userinit.exe..........61
Hình 3.35 Truy cập đường dẫn Winlogon trong Registry Editor....................61
Hình 3.36 Xóa các khóa và file chứa shell độc hại.........................................62

vi



LỜI CẢM ƠN
Trước hết em xin bày tỏ lòng biết ơn và gửi lời cảm ơn chân thành đến
ThS.Vũ Đình Thu và ThS.Trần Thị Thanh Thủy đã giúp đỡ tận tình và hướng
dẫn em trong suốt quá trình tìm hiểu nghiên cứu và hoàn thành đồ án tốt
nghiệp.
Em xin chân thành cảm ơn các thầy, cơ trong Khoa An tồn thông tin trường Học viện kỹ thuật mật mã cũng như tất cả các thầy cô trong trường đã
trang bị cho em những kiến thức cơ bản cần thiết để giúp em có thể hồn
thành đồ án.
Em xin gửi lời cảm ơn tới các anh chị trong Trung tâm An ninh mạng –
Bkav đã nhiệt tình chia sẻ kiến thức giúp em học hỏi được rất nhiều trong quá
trình học tập và làm việc.
Và cuối cùng em muốn gửi lời cảm ơn sâu sắc tới gia đình, bạn bè,
người thân đã quan tâm, góp ý và giúp đỡ em trong suốt quá trình học tập và
nghiên cứu, những điều kiện tốt nhất để em hoàn thành đồ án tốt nghiệp này.
Vì thời gian có hạn và trình độ hiểu biết của bản thân em còn nhiều hạn
chế. Vậy nên chắc chắn sẽ khơng thể tránh khỏi những thiếu sót khi thực hiện
đồ án, em rất mong nhận được sự góp ý từ thầy cơ để có thể hồn thiện tốt
hơn đồ án của mình.
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN

Lê Công Sản

vii


LỜI NĨI ĐẦU
Trong những năm gần đây, tình hình tội phạm mạng tiếp tục diễn biến
phức tạp, khó lường. Nhiều cơng ty, doanh nghiệp là nạn nhân chính của các

cuộc tấn công được tin tặc lựa chọn cẩn thận và nghiên cứu trong nhiều tháng
trước khi bị xâm phạm. Thay vì các kiểu tấn cơng truyền thống, chúng sẽ sử
dụng các công nghệ mới và liên tục thay đổi phương thức để tránh bị phát
hiện khiến cho việc phòng chống trở nên rất khó khăn. Các cuộc tấn cơng
mạng có quy mô và mức độ lớn gia tăng dẫn đến gây mất mát dữ liệu, thiệt
hại về hệ thống và kinh tế cũng như danh tiếng của tổ chức. Một trong các
dạng tấn công tiêu biểu, tấn công APT (Advanced Persistent Threat) được xếp
hạng trong số những vụ lây nhiễm máy tính khó khăn hiện nay cần xác định
và tiêu diệt.
Để tránh được những mối đe dọa trên, đặc biệt là tấn cơng có chủ đích,
các tổ chức cần thực hiện một cách tiếp cận tồn diện. Điều này địi hỏi một
giải pháp bảo mật tích hợp, nhiều lớp. Triển khai một hệ thống có thể hoạt
động liền mạch nhau là cách tốt nhất để tăng cường bảo mật. Việc xây dựng
một hệ thống giám sát, phân tích, xử lý dấu hiệu tấn cơng có chủ đích trên hệ
thống máy tính đầu cuối sẽ đáp ứng được nhu cầu trên. Đồng thời giúp tổ
chức theo dõi, phát hiện, ngăn chặn các cuộc tấn công nhằm làm giảm thiệt
hại ở mức thấp nhất.
Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài
“Nghiên cứu giải pháp xây dựng hệ thống giám sát, phân tích, xử lý dấu hiệu
tấn cơng có chủ đích trên hệ thống máy tính đầu cuối” là nhằm xây dựng hệ
thống giám sát, phân tích, xử lý dấu hiệu tấn cơng có chủ đích để giúp nhận
biết được dấu hiệu của các mối đe dọa, hồn thiện hệ thống bảo mật và cịn
biết chính xác điều gì đã xảy ra, nơi tồn tại các lỗ hổng và cách chuẩn bị tốt
hơn cho các mối đe dọa trong tương lai.
Các nhiệm vụ đặt ra khi thực hiện đồ án bao gồm:
 Nghiên cứu về tấn cơng có chủ đích: đặc điểm, giai đoạn, cách thức,
mục tiêu, tác hại.
 Nghiên cứu giải pháp phòng chống, phương pháp phát hiện các cuộc
tấn cơng APT.
 Tìm hiểu giải pháp Phát hiện và phản hồi điểm cuối (EDR).

viii


 Xây dựng hệ thống giám sát, phân tích, xử lý dấu hiện tấn cơng có
chủ đích trên hệ thống máy tính đầu cuối.
Cấu trúc:
Chương 1. Tổng quan về tấn cơng có chủ đích (APT)
Chương 2. Giải pháp phịng chống các cuộc tấn cơng có chủ đích (APT)
Chương 3. Xây dựng hệ thống giám sát, phát hiện, phân tích xử lý dấu hiệu
tấn cơng có chủ đích cho các máy tính đầu cuối
Sau thời gian khoảng ba tháng thực hiện đồ án, các mục tiêu về cơ bản
đã đạt được. Tuy nhiên, thời gian thực hiện đồ án tương đối ngắn nên chắc
chắn khơng tránh khỏi thiếu sót. Rất mong được sự góp ý của các thầy cơ,
cũng như các bạn học viên để đồ án này được hoàn thiện hơn.
SINH VIÊN THỰC HIỆN ĐỒ ÁN

Lê Công Sản

ix


CHƯƠNG 1. TỔNG QUAN VỀ TẤN CƠNG CĨ CHỦ ĐÍCH (APT)
1.1. Tổng quan về tấn công APT
1.1.1. Khái niệm
APT là từ viết tắt của Advanced Persistent Threat – một thuật ngữ dùng
để mơ tả một cuộc tấn cơng có chủ đích. Trong đó, hacker hoặc nhóm hacker
sẽ thiết lập một sự hiện diện bất hợp pháp và lâu dài trên mạng để nhằm mục
đích khai thác những dữ liệu rất nhạy cảm. Tấn công APT thường nhắm tới
các tổ chức tư nhân, nhà nước hoặc cả hai vì các động cơ kinh doanh hoặc
chính trị. Quy trình tấn cơng này địi hỏi mức độ bí mật cao trong một thời

gian dài.
Trong cuộc tấn công APT, kẻ tấn công giành được quyền truy cập trái
phép vào mạng mục tiêu và ở đó mà khơng bị phát hiện trong một thời gian
dài. Trong APT, từ "Advanced" biểu thị việc sử dụng các kỹ thuật nâng cao
để khai thác các lỗ hổng tiềm ẩn trong hệ thống. Từ "Persistent" biểu thị sự
duy trì hệ thống C&C bên ngồi liên tục trích xuất dữ liệu và giám sát mạng
của nạn nhân. Từ "Threat" biểu thị sự tham gia của con người trong việc phối
hợp các hành động tấn công. Các cuộc tấn công APT là các cuộc tấn cơng rất
tinh vi, trong đó kẻ tấn công sử dụng mã độc được chế tạo tốt cùng với sự kết
hợp của nhiều khai thác zero day để giành quyền truy cập vào mạng của mục
tiêu. Các cuộc tấn công này sử dụng các kỹ thuật được lên kế hoạch và phối
hợp tốt, trong đó những kẻ tấn cơng xóa sạch bằng chứng về các hoạt động
độc hại sau khi mục tiêu nhất định đã được hoàn thành. Các cuộc tấn công
APT thường được thực hiện đối với các tổ chức sở hữu thơng tin có giá trị,
chẳng hạn như các ngành tài chính, y tế, quốc phịng và hàng khơng vũ trụ,
sản xuất và kinh doanh. Mục tiêu chính đằng sau các cuộc tấn cơng này là lấy
thơng tin nhạy cảm thay vì phá hoại các tổ chức và mạng của họ.
1.1.2. Đặc điểm của cuộc tấn cơng có chủ đích (APT)
Các cuộc tấn cơng có chủ đích bao gồm nhiều đặc điểm khác nhau, tùy
theo đó kẻ thù có thể thiết kế và lên kế hoạch cho các hoạt động của chúng để
khởi động thành công một cuộc tấn công. Theo các nhà nghiên cứu bảo mật
Sean Bodmer, Tiến sĩ Max Kilger, Jade Jones và Gregory Carpenter, một số
đặc điểm chính của APT như sau:

1


Mục tiêu: Mục tiêu chính đằng sau bất kỳ cuộc tấn công APT nào là
liên tục lấy thông tin nhạy cảm bằng cách giành quyền truy cập vào mạng của
tổ chức để kiếm tiền từ tội phạm. Các mục tiêu khác của APT có thể là gián

điệp hoặc mục tiêu chính trị hoặc chiến lược.
Kịp thời: Nó đề cập đến thời gian kẻ tấn công thực hiện từ việc đánh
giá hệ thống của mục tiêu để tìm các lỗ hổng cho đến việc khai thác chúng để
giành và duy trì quyền truy cập vào hệ thống mục tiêu.
Tài nguyên: Nó được định nghĩa là "lượng kiến thức, công cụ và kỹ
thuật cần thiết để thực hiện một cuộc tấn công." Các cuộc tấn công APT là
các cuộc tấn công tinh vi hơn được thực hiện bởi bọn tội phạm mạng có kỹ
năng cao và chúng tiêu tốn nhiều tài nguyên hơn.
Chấp nhận rủi ro: Mức độ chấp nhận rủi ro là "mức độ rủi ro mà một
thực thể sẵn sàng chấp nhận để đạt được kết quả mong muốn tiềm năng". Các
cuộc tấn công APT được lên kế hoạch và thực hiện tốt với kiến thức phù hợp
về mạng của mục tiêu, điều này giúp chúng không bị phát hiện trong mạng
trong một thời gian dài.
Kỹ năng và phương pháp: Nó được định nghĩa là "các phương pháp và
cơng cụ được sử dụng bởi những kẻ tấn công để thực hiện một cuộc tấn công
nhất định." Các phương pháp được sử dụng để thực hiện tấn công bao gồm
các kỹ thuật, kỹ thuật xã hội khác nhau để thu thập thông tin về mục tiêu, các
kỹ thuật ngăn chặn sự phát hiện của các cơ chế bảo mật và các kỹ thuật để
duy trì quyền truy cập trong một thời gian dài.
Hành động: Các cuộc tấn công APT tuân theo một số "hành động" kỹ
thuật nhất định khiến chúng khác với các loại tấn cơng mạng khác. Mục tiêu
chính đằng sau các cuộc tấn cơng như vậy là duy trì sự hiện diện của chúng
trong mạng của nạn nhân trong một thời gian dài và trích xuất càng nhiều dữ
liệu càng tốt.
Điểm xuất phát tấn công: Đề cập đến nhiều nỗ lực được thực hiện để
giành quyền truy cập vào mạng của mục tiêu. Điểm vào này có thể được sử
dụng để giành quyền truy cập vào mạng và khởi động các cuộc tấn công tiếp
theo. Để giành được quyền truy cập ban đầu thành công, kẻ tấn công cần thực
hiện nghiên cứu toàn diện để xác định các lỗ hổng và chức năng của hệ thống
trong mạng mục tiêu.

2


Những thành phần liên quan đến cuộc tấn cơng: Nó được định nghĩa là
"một số hệ thống máy chủ có liên quan đến cuộc tấn công." Các cuộc tấn
công APT thường được thực hiện bởi một nhóm tội phạm hoặc tổ chức tội
phạm.
Nguồn thơng tin: Nó được định nghĩa là "thu thập thông tin thông qua
các nguồn trực tuyến về các mối đe dọa cụ thể, có thể được khai thác thêm để
thực hiện các cuộc tấn công nhất định."
Nhiều giai đoạn: Một trong những đặc điểm quan trọng của APT là
chúng tuân theo nhiều giai đoạn để thực hiện một cuộc tấn công. Các giai
đoạn theo sau một cuộc tấn công APT là trinh sát, giành quyền truy cập, khai
thác, nắm bắt cơ hội và đánh cắp dữ liệu.
Điều chỉnh phù hợp với các lỗ hổng: Các mã độc hại được sử dụng để
thực hiện các cuộc tấn công APT được thiết kế và viết theo cách nhắm mục
tiêu vào các lỗ hổng cụ thể có trong mạng của nạn nhân.
Nhiều điểm truy cập: Khi kẻ thù xâm nhập vào mạng của mục tiêu, hắn
ta sẽ thiết lập kết nối với máy chủ để tải xuống mã độc cho các cuộc tấn công
tiếp theo. Trong giai đoạn đầu của q trình tấn cơng APT, kẻ thù tạo ra nhiều
điểm truy cập thơng qua máy chủ để duy trì quyền truy cập vào mạng mục
tiêu. Nếu một điểm vào được phát hiện và vá bởi nhà phân tích bảo mật, thì
hắn ta có thể sử dụng một điểm vào khác.
Trốn tránh các hệ thống phát hiện dựa trên chữ ký: APT thường sử
dụng các khai thác zero-day chưa từng được triển khai hoặc nhìn thấy trước
đây. Do đó, các cuộc tấn cơng APT có thể dễ dàng vượt qua các cơ chế bảo
mật như tường lửa, phần mềm chống vi-rút, IDS/IPS và bộ lọc thư rác.
Dấu hiệu cảnh báo cụ thể: Các cuộc tấn công APT thường không thể
phát hiện được, nhưng một số dấu hiệu của một cuộc tấn công bao gồm các
hoạt động tài khoản người dùng bất thường, sự hiện diện của một Trojan

backdoor để duy trì quyền truy cập vào mạng, chuyển tệp và tải lên tệp bất
thường cũng như các hoạt động cơ sở dữ liệu bất thường.

3


1.1.3. Các cuộc tấn cơng APT điển hình
a. OilRig (APT34)
OilRig là một APT được cho là đang hoạt động bên ngoài Iran dựa trên
sự hợp tác và báo cáo của nhiều cơng ty nghiên cứu bảo mật. OilRig (cịn
được gọi là Helix Kitten và APT34) đã nhắm mục tiêu vào nhiều ngành
thương mại và tổ chức chính phủ.
OilRig đã sử dụng kết hợp các lệnh và ứng dụng hệ điều hành tiêu
chuẩn trên các mục tiêu của họ nhưng cũng đã phát triển các cơng cụ của
riêng mình để thực hiện các mục tiêu tương tự.
OilRig đã sử dụng phương pháp lừa đảo trực tuyến như một chiến thuật
truy cập ban đầu. Mặc dù không phải là một cách tiếp cận sáng tạo, nhưng
điều quan trọng là hiểu được sự khác biệt giữa phishing và spearphishing.
Spearphishing, không giống như lừa đảo trực tuyến, sử dụng một thông báo
tùy chỉnh được thiết kế riêng cho người nhận. Tùy chỉnh này có thể hạ thấp sự
đề phòng của người nhận nhằm lừa họ thực hiện tải trọng độc hại, chẳng hạn
như mở một liên kết hoặc chạy một tệp đính kèm. OilRig đã sử dụng cả email
(chứa liên kết hoặc tệp đính kèm độc hại) cũng như thư LinkedIn có liên kết
độc hại.
Giai đoạn thực thi của OilRig, trình bày các chi tiết cụ thể của tệp đính
kèm email hoặc liên kết độc hại. Trong trường hợp này, tệp đính kèm là tài
liệu Microsoft Office có chứa mã thực thi. Các liên kết trỏ đến tập lệnh thực
thi hoặc tệp nhị phân. Cả hai đều được sử dụng để cài đặt QUADAGENT,
một tiện ích PowerShell do OilRig xây dựng để cho phép chúng truy cập vào
mục tiêu. QUADAGENT dựa trên nhiều giao thức tiêu chuẩn để kết nối

C&C, cho phép các thành viên OilRig thu thập thông tin hệ thống và chạy các
lệnh cục bộ. “Command and Control” mô tả khả năng phần mềm độc hại có
thể duy trì liên lạc với các đối thủ mà không yêu cầu kết nối được thiết lập,
liên tục để thực hiện các tác vụ.
Vào năm 2019, các cơng cụ hack của OilRig đã bị rị rỉ bởi các nguồn
bí ẩn, cùng với một mẫu dữ liệu từ các nạn nhân mà họ đã xâm phạm. Kể từ
đó, các nhà nghiên cứu đã kiểm tra chúng để khám phá các dấu hiệu có thể
được phần mềm và thiết bị bảo mật tận dụng để phát hiện tốt hơn bộ công cụ
của OilRig. Điều này khiến các bên tham gia OilRig phải đối mặt với nhiệm
4


vụ khó khăn và tốn kém trong việc phát triển các TTPs khác nhau cho các
chiến dịch của họ.
b. APT3
APT3 (Gothic Panda, UPS Team, Pirpi) là một nhóm có mối quan hệ
chặt chẽ với Bộ An ninh Nhà nước Trung Quốc theo nghiên cứu hợp tác của
nhiều nhà nghiên cứu bảo mật. APT3 trước đây đã nhắm mục tiêu vào các tổ
chức thương mại ở Hoa Kỳ nhưng sau đó đã nhắm mục tiêu vào các tổ chức
chính trị ở Hồng Kông. APT3 được biết là sử dụng phương pháp lừa đảo trực
tuyến, như OilRig, để giành được chỗ đứng, nhưng theo báo cáo của FireEye,
chúng dựa vào zero-day trong Adobe Flash để giành quyền thực thi mã trên
các mục tiêu của chúng.
Lỗ hổng zero-day được đặt tên như vậy vì sự tồn tại của nó chưa được
ghi nhận bởi bất kỳ tài ngun bảo mật cơng cộng nào. Nói tóm lại, “zeroday” đã trơi qua kể từ khi nhà cung cấp nhận thức được lỗ hổng bảo mật. Rõ
ràng, một zero-day trong tay kẻ thù là cực kỳ nguy hiểm và có thể cực kỳ khó
chống lại.
Phương pháp Persistence được APT3 sử dụng trên máy chủ nạn nhân.
APT3 tự tạo tài khoản người dùng cục bộ (ví dụ: support_388945a0) để giúp
xác thực máy chủ nạn nhân trong mạng bị xâm nhập dễ dàng hơn. Nếu mã

băm mật khẩu được tìm thấy và bẻ khóa, APT3 sẽ cố gắng xâm phạm các tài
khoản cấp miền hợp lệ cho mục đích tương tự.
Phương pháp thứ ba được APT3 sử dụng là tạo một tác vụ theo lịch
trình trong mơi trường Windows chạy với tư cách là người dùng cấp
SYSTEM. Tác vụ theo lịch trình được thực thi khi khởi động lại, thực thi một
tệp nhị phân độc hại tìm nạp các lệnh bổ sung từ cơ sở hạ tầng của APT3.
FireEye đã xác định hành vi này trong Operation Double Tap.
Kỹ thuật tác vụ theo lịch trình này cũng là một ví dụ về nâng cao đặc
quyền, vì lệnh được thực thi khi khởi động lại và có các đặc quyền cấp
SYSTEM. Một kỹ thuật khác liên quan đến việc lạm dụng các tính năng trợ
năng trong Windows. APT sẽ thay thế tệp nhị phân cho Sticky Keys bằng dấu
nhắc lệnh. Nếu các tác nhân APT3 được kết nối với mục tiêu đang chạy dịch
vụ đầu cuối mà khơng có xác thực cấp độ mạng, họ sẽ thấy màn hình đăng
nhập Windows. Tại màn hình này, kẻ thù sẽ nhấn Shift năm lần để kích hoạt
Sticky Keys, hay đúng hơn là dấu nhắc lệnh. Dấu nhắc lệnh sẽ chạy với các
5


đặc quyền ở cấp SYSTEM và cho phép các tác nhân APT3 chạy các lệnh có
đặc quyền mà khơng cần xác thực.
1.2. Giới thiệu mơ hình nghiên cứu Cyber Kill Chain
1.2.1. Cyber Kill Chain Framework
Hiện nay có khá nhiều security framework cho phép phân tích và đánh
giá khả năng bảo vệ an toàn hạ tầng CNTT của các tổ chức, doanh nghiệp
trước các hành vi tấn cơng nói chung và tấn cơng APT nói riêng. Trong đó,
phổ biến nhất có thể kể đến là: Cyber Kill Chain.
Được phát triển bởi Lockheed Martin, Cyber Kill Chain Framework là
một phần của mô hình Intelligence Driven Defense, cho phép xác định và
ngăn chặn các hành vi tấn công trên không gian mạng. Cyber Kill Chain là
một chuỗi các bước theo dõi những giai đoạn của một cuộc tấn cơng mạng,

tính từ giai đoạn thu thập thông tin (reconnaissance) cho đến khi thực hiện
đánh cắp dữ liệu. Cyber Kill Chain giúp các nhà phân tích xác định trước
được các bước đi, các giai đoạn của cuộc tấn cơng và từ đó đưa ra được các
biện pháp ngăn chặn kịp thời. Cyber Kill Chain cung cấp cái nhìn sâu sắc hơn
về các giai đoạn tấn cơng, giúp các nhà phân tích ln đi trước một bước so
với kẻ tấn công.
Theo Lockheed Martin, Cyber Kill Chain có thể xảy ra trong bảy giai
đoạn:

Hình 1.1 Sơ đồ các bước tấn công theo Cyber Kill Chain Framework
Do thám (Reconnaissance): Kẻ tấn công thực hiện do thám để thu thập
thông tin về mục tiêu càng nhiều càng tốt mục đích là để thăm dị các điểm
yếu trước khi cuộc tấn cơng bắt đầu. Hacker tìm kiếm những thơng tin như
6


thông tin công khai trên Internet, thông tin hệ thống và thơng tin tổ chức của
mục tiêu. Qua q trình do thám trên các cấp độ khác nhau, hacker có thể đạt
được các thông tin như khối mạng, địa chỉ IP cụ thể, thông tin chi tiết về nhân
viên, v.v. Hacker có thể sử dụng các cơng cụ tự động để quét thấy các cổng
mở, các dịch vụ, lỗ hổng trong ứng dụng và thông tin đăng nhập. Những
thông tin này có thể giúp hacker trong việc giành quyền truy cập vào mạng
mục tiêu.
Các hoạt động của hacker bao gồm:
 Thu thập thông tin về tổ chức mục tiêu bằng cách tìm kiếm thơng
tin trên Internet.
 Thực hiện việc phân tích các hoạt động và thơng tin cơng khai thu
thập được.
 Thu thập thông tin từ các trang mạng xã hội và dịch vụ web.
 Lấy thông tin về các trang web đã truy cập.

 Giám sát và phân tích trang web của tổ chức mục tiêu.
 Sử dụng Whois, DNS và (network footprinting) tạo ra một sơ đồ về
hệ thống mạng của một tổ chức.
 Thực hiện quét để xác định các cổng và dịch vụ đang mở.
Vũ khí hóa (Weaponizaion): Hacker sử dụng các thơng tin thu thập
được để xác định các lỗ hổng và từ đó xác định kĩ thuật tấn công vào mục
tiêu. Dựa trên các lỗ hổng được xác định trong q trình phân tích, hacker tạo
ra các file độc hại rồi lừa nạn nhân tải về hoặc sử dụng backdoor để gửi cho
nạn nhân. Hacker có thể nhắm tới các thiết bị mạng, hệ điều hành, thiết bị đầu
cuối hoặc thậm chí là cá nhân trong tổ chức. Ví dụ, hacker có thể gửi một
email lừa đảo tới mục tiêu, mail này chứa các phần đính kèm chẳng hạn như
vi-rút hoặc worm mà khi tải xuống sẽ cài đặt một backdoor giúp hacker đạt
được quyền truy cập từ xa vào máy nạn nhân.
Sau đây là các hoạt động của kẻ thù:
 Xác định phần mềm độc hại phù hợp dựa trên việc phân tích thông
tin thu thập được.
 Tạo một phần mềm độc hại mới hoặc tìm, sử dụng lại, sửa đổi phần
mềm độc hại có sẵn dựa trên lỗ hổng đã xác định.
 Tạo email lừa đảo.
 Tận dụng bộ công cụ khai thác và mạng botnet.
7


Phát tán (Delivery): Các file độc hại được tạo ra, việc tiếp theo sẽ là
phát tán chúng đến máy nạn nhân dưới dạng tệp đính kèm email hoặc thơng
qua liên kết độc hại ở các trang web hoặc ứng dụng web và cũng có thể qua
cổng USB. Đây là một giai đoạn quan trọng giúp đo hiệu quả bảo mật của tổ
chức có hiệu quả hay khơng, có chặn được nỗ lực xâm nhập của hacker hay
không.
Các hoạt động của hacker:

 Gửi email lừa đảo tới mục tiêu.
 Phân phối USB có chứa file độc hại cho mục tiêu.
 Thực hiện tấn công water hole phân tán file độc hại lên website.
 Sử dụng các công cụ hack khác nhau để chống lại hệ điều hành, ứng
dụng và máy chủ của mục tiêu.
Khai thác (Exploitation): Sau khi file độc hại được chuyển cho nạn
nhân, các file độc hại được kích hoạt. Trong đó, hacker có thể xâm nhập hệ
thống, cài đặt thêm một số công cụ bổ sung, sửa đổi chứng chỉ bảo mật và tạo
các file script mới cho những mục đích phạm pháp. Để ngăn chặn việc khai
thác các lỗ hổng như vậy, các nhà phân tích có thể sử dụng các chiến lược bảo
mật nhiều lớp, tập chung bảo mật nơi quan trọng nhất. Biện pháp phòng thủ
này cũng ngăn chặn việc khai thác các lỗ hổng zero-day. Ở giai đoạn này, tổ
chức có thể phải đối mặt với các mối đe dọa như tấn công xác thực và tấn
công ủy quyền, thực thi mã tùy ý, các mối đe dọa bảo mật vật lý và cấu hình
sai hệ thống.
Hành động của hacker:
 Khai thác lỗ hổng trên phần mềm hoặc phần cứng để có quyền truy
cập từ xa vào hệ thống mục tiêu.
 Tài liệu độc hại có chứa Macro.
Cài đặt (Installation): Hacker tải xuống và cài đặt nhiều phần mềm độc
hại hơn trên hệ thống mục tiêu để duy trì quyền truy cập vào mạng mục tiêu
trong một khoảng thời gian dài. Hacker có thể cài đặt một backdoor để truy
cập từ xa. Sau khi tiêm mã độc trên hệ thống mục tiêu, kẻ tấn cơng có thể phát
tán sang các hệ thống khác trong mạng. Ngoài ra, hacker sẽ cố gắng che dấu
các hoạt động độc hại trước các biện pháp, công cụ bảo mật càng lâu càng tốt.
Các nhà phân tích có thể thực hiện phân tích trong giai đoạn cài đặt này để
phát hiện và ngăn chặn việc các thiết bị đầu cuối bị ảnh hưởng.
8