HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG

---------------------------------------

TRỊNH THỊ VÂN

NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ
CỦA TẤN CÔNG APT

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

Hà Nội, Năm 2016


HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG

---------------------------------------

TRỊNH THỊ VÂN

NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ
CỦA TẤN CÔNG APT

CHUYÊN NGÀNH :

HỆ THỐNG THÔNG TIN

MÃ SỐ:

60.48.01.04

0

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. Đỗ Xuân Chợ

Hà Nội, Năm 2016


i

LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố
trong bất kỳ công trình nào khác.
Tác giả luận văn

Trịnh Thị Vân


ii

LỜI CẢM ƠN
Trên thực tế không có thành công nào mà không gắn liền với những sự hỗ
trợ, giúp đỡ. Trong suốt thời gian từ khi bắt đầu học tập tại trường đến nay, em đã
nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô Khoa Quốc tế và đào
tạo sau Đại học của trường Học Viện Công nghệ

ưu ch nh Vi n Thông đã cùng


với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu và luôn luôn
tạo mọi điều kiện tốt nhất cho em trong suốt thời gian học tập tại trường. Em xin
chân thành cảm ơn Thầy, Cô và an lãnh đạo nhà trường!
Với lòng biết ơn sâu sắc nhất em xin gửi lời cảm ơn tới TS.Đỗ Xuân Chợ,
Khoa Công nghệ Thông tin - Học viện Công Nghệ ưu Ch nh Vi n Thông, là cán
bộ trực tiếp hướng dẫn khoa học cho em. Thầy đã dành nhiều thời gian cho việc
hướng dẫn em cách nghiên cứu, đọc tài liệu và giúp đỡ em trong việc xây dựng
chương trình.
Và cuối cùng em xin bày tỏ lòng chân thành và biết ơn sâu sắc tới lãnh đạo
khoa Công Nghệ Thông Tin - Học Viện Công Nghệ

ưu ch nh Vi n Thông cùng

bạn bè đồng nghiệp đã luôn ở bên cạnh những lúc em khó khăn và tạo điều kiện
thuận lợi giúp em hoàn thành luận văn.
Em xin chân thành cảm ơn!
Hà Nội, ngày 18 tháng 6 năm 2016
Học viên

Trịnh Thị Vân


iii

MỤC LỤC
LỜI CAM ĐOAN ...................................................................................................... i
LỜI CẢM ƠN ........................................................................................................... ii
MỤC LỤC ................................................................................................................ iii
DANH MỤC CÁC HÌNH VẼ................................................................................. vi

MỞ ĐẦU ....................................................................................................................1
CHƢƠNG 1: TỔNG QUAN VỀ CUỘC TẤN CÔNG APT VÀ CÁC GIẢI
PHÁP PHÒNG CHỐNG TẤN CÔNG APT...........................................................4
1.1. Tổng quan về cuộc tấn công APT ....................................................................4
1.1.1. Khái niệm APT ..........................................................................................4
1.1.2. Các đặc điểm ch nh của APT.....................................................................5
1.1.3. Các giai đoạn tấn công APT ......................................................................8
1.1.4. Sự khác biệt giữa APT và các hình thức tấn công khác ..........................12
1.2. Các giải pháp phòng chống tấn công APT .....................................................14
1.2.1. Một số giải pháp phòng chống tấn công APT .........................................14
1.2.2. Các phương pháp phòng chống tấn công APT ........................................16
1.2.3. Con người ................................................................................................24
1.3. Kết luận chương 1 ..........................................................................................24
CHƢƠNG 2: NGHIÊN CỨU PHƢƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ
CỦA TẤN CÔNG APT ...........................................................................................25
2.1. Tổng quan về chứng cứ số. .............................................................................25
2.1.1. Khái niệm chứng cứ số ............................................................................25
2.1.2. Đặc t nh của chứng cứ số .........................................................................26
2.1.3. V tr có thể tìm thấy chứng cứ số: ..........................................................26
2.1.4. Không gian lưu trữ ...................................................................................26
2.1.5. Lịch sử điều tra số ....................................................................................28
2.2. Kỹ thuật truy tìm chứng cứ số ........................................................................29
2.2.1. Khái niệm truy tìm chứng cứ số ..............................................................29


iv

2.2.2. Mục đ ch truy tìm chứng cứ số ................................................................29
2.2.3. Các nguyên tắc trong điều tra chứng cứ số..............................................30
2.2.4. Thời điểm thực hiện truy tìm chứng cứ ...................................................32

2.2.5. Các bước thực hiện truy tìm chứng cứ số ................................................32
2.3. Truy tìm chứng cứ số của cuộc tấn công APT ...............................................35
2.3.1. Kỹ thuật phân t ch bộ nhớ........................................................................35
2.3.2. Kỹ thuật điều tra mạng ............................................................................39
2.4. Kết luận chương 2 ..........................................................................................41
CHƢƠNG 3: MÔ PHỎNG VÀ THỬ NGHIỆM ..................................................42
3.1. Giới thiệu về các công cụ thực hiện mô phỏng ..............................................42
3.1.1. VMware Workstation 10 .........................................................................42
3.1.2. Kali Linux ................................................................................................42
3.1.3. Lỗ hổng CVE-2010-1240 ........................................................................43
3.2. Thực nghiệm tấn công APT ...........................................................................44
3.2.1. Kịch bản tấn công ....................................................................................44
3.2.2. Mô phỏng tấn công ..................................................................................44
3.3. Thực nghiệm điều tra tấn công APT ..............................................................48
3.3.1. Kịch bản ...................................................................................................48
3.3.2. Thực nghiệm điều tra ...............................................................................48
3.4. Khắc phục hậu quả .........................................................................................56
3.5. Kết luận chương 3 ..........................................................................................57
KẾT LUẬN ..............................................................................................................58
DANH MỤC TÀI LIỆU THAM KHẢO ...............................................................60


v

DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT
Từ viết tắt

Nghĩa tiếng anh

Nghĩa tiếng việt


APT

Advanced Persistent Threat

Mối đe dọa liên tục nâng cao

DLP

Data Leak Prevention

Ngăn chặn rò rỉ dữ liệu

DNS

Domain Name System

Hệ thống tên miền

FTP

File Transfer Protocol

Giao thức chuyển nhượng tập tin

Hyper Text Transfer Protocol

Giao thức truyền tải siêu văn bản

Hyper Text Transfer Protocol


Trao đổi thông tin một cách bảo mật

Secure

trên Internet

IP

Internet Protocol

Giao thức kết nối Internet

IPS

Internet Protocols

ộ giao thức liên mạng

HTTP
HTTPS

ISO

International Organization for
Standardization

Tổ chức tiêu chuẩn hóa quốc tế

IT


Information Technology

Công nghệ thông tin

NAC

Network Access Control

Điều khiển truy cập mạng

RAM

Random Access Memory

RAT

Remote Administrator Tools

RSA

Rivest Shamir Adleman

SIEM
SMTP

Security Information Event
Managemet
Somple Mail Transfer Protocol


ộ nhớ truy cập ngẫu nhiên
Chương trình cho phép điều khiển
máy t nh từ xa
Mã hóa khóa công khai
Giám sát an toàn mạng
Giao thức truyền tải thư t n đơn giản
Ngôn ngữ truy vấn mang t nh cấu

SQL

Structured Query Language

SSL

Secure Sockets Layer

Tiêu chuẩn của công nghệ bảo mật

URL

Uniform Resource Locator

Tham chiếu tài nguyên mạng Internet

USB

Universal Serial Bus

Chuẩn kết nối tuần tự đa dụng


WAF

Web Application Firewall

Tường lửa ứng dụng web

trúc


vi

DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Các đặc điểm ch nh của APT ......................................................................5
Hình 1.2: Các công cụ cho tấn công APT ...................................................................6
Hình 1.3: Giả mạo email với nội dung đ nh kèm có mã độc ......................................7
Hình 1.4: Các giai đoạn của cuộc tấn công APT ........................................................8
Hình 1.5: Các loại file đ nh kèm thông dụng trong tấn công giả mạo bằng email .....9
Hình 1.6: Liên kết đến các trang web chứa mã độc ..................................................10
Hình 1.7: Email đ nh kèm tệp mã độc hại.................................................................10
Hình 1.8: Email lừa đảo tấn công RSA .....................................................................11
Hình 1.9: Kết quả scan tệp đ nh kèm ........................................................................11
Hình 1.10: Tấn công vào điểm yếu nhất của hệ thống ..............................................13
Hình 1.11: Các giai đoạn trong việc kiểm soát rủi ro tấn công APT ........................17
Hình 1.12: Các giải pháp kỹ thuật/công nghệ được đầu tư để đáp trả APT .............18
Hình 2.1: Không gian lưu trữ ....................................................................................27
Hình 2.2: Không gian cấp phát .................................................................................27
Hình 2.3: Không gian trống của tập tin .....................................................................27
Hình 2.4: a yếu tố căn bản trong quá trình điều tra chứng cứ số ...........................31
Hình 2.5: ốn giai đoạn của điều tra số ....................................................................33
Hình 2.6. V dụ về phân t ch bộ nhớ RAM ...............................................................37

Hình 3.1: Giao diện của Kali Linux ..........................................................................42
Hình 3.2: Hình minh họa giao diện metasploit. ........................................................45
Hình 3.3: Sử dụng và kiểm tra các thông số của module .........................................46
Hình 3.4: Cài đặt cho tập tin chứa mã độc ................................................................46
Hình 3.5: Lắng nghe kết nối trên metasploit .............................................................47
Hình 3.6: Giả mạo email và gửi cho nạn nhân ..........................................................47
Hình 3.7: Kết nối được khởi tạo................................................................................48
Hình 3.8: Phân tích các thông tin cơ bản của file dump ...........................................49
Hình 3.9: Các tiến trình đang chạy............................................................................50
Hình 3.10: Các kết nối mạng....................................................................................50
Hình 3.11: Liên kết đáng ngờ....................................................................................51
Hình 3.12: Tệp tin PDF được mở bằng 010 editor ...................................................52
Hình 3.13: Giao diện khi tải tệp tin pdf ....................................................................52
Hình 3.14: Giao diện khi mở tệp tin pdf ...................................................................53
Hình 3.15: Giải nén và thực thi payload ...................................................................53
Hình 3.16: Các hàm trong tệp tin LAB1.pdf.............................................................54
Hình 3.17: Phân tích tệp tin Lab1.pdf bằng IDA Pro ...............................................54
Hình 3.18: Phân tích tệp tin từ virutotal.com ............................................................56


1

MỞ ĐẦU
1. Tính cấp thiết của đề tài
Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức
phải hoà mình vào mạng toàn cầu Internet, an toàn và bảo mật thông tin là một
trong những vấn đề quan trọng hàng đầu. Cộng đồng công nghệ thông tin, đặc biệt
đối với các doanh nghiệp, tổ chức có hạ tầng thông tin tiên tiến hiện nay đang phải
đối mặt với sự biến đổi, phức tạp từng ngày của các nguy cơ mất an toàn thông tin.
Theo hiệp hội An Toàn Thông Tin Việt Nam hiện nay tội phạm máy t nh vẫn

đang liên tục gia tăng, đáng chú ý là sự xuất hiện của tấn công APT (Advanced
Persistent Threats) trong vài năm trở lại đây. APT thường sử dụng nhiều loại
phương pháp, công nghệ tinh vi và phức tạp để tấn công các mục tiêu cụ thể nhằm
đạt được thông tin mật nhạy cảm. Hiện nay, tại các nước lớn có nền công nghệ
thông tin phát triển như Mỹ, Anh, Ấn Độ… và ngay cả Việt Nam cũng đã đang
nghiên cứu và triển khai các biện pháp để phòng chống cuộc tấn công này.
Trong thực tế, từ nhiều năm qua, các cơ quan ch nh phủ như các bộ ngành,
các doanh nghiệp lớn có vai trò đáng kể trong nền kinh tế như năng lượng, hàng
không, vi n thông … đã là đ ch ngắm của tội phạm tấn công APT. Các hacker trước
đây phần lớn hoạt động vì động cơ cá nhân, nhưng ngày nay rất nhiều cuộc tấn công
APT đánh cắp dữ liệu ngoài động cơ tài ch nh còn có thể có động cơ ch nh trị, mà
đứng sau nó là một ch nh phủ hoặc một quốc gia. Dự báo thời gian tới, hình thức
tấn công APT tiếp tục di n biến phức tạp, khó lường. Với việc kết hợp các công
nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn đến
việc phòng chống là vô cùng khó khăn.
Theo di n biến như hiện nay thì tội phạn tấn công APT sẽ còn liên tục phát
triển và sẽ có nhiều di n biến khó lường. Vì vậy cần phải có những biện pháp truy
tìm chứng cứ số của cuộc tấn công này nhằm giúp các nhà quản trị hệ thống đưa ra
được những phương án giải quyết hữu hiệu nhất.
Vì những lý do trên học viên chọn Đề tài "Nghiên cứu phương pháp truy tìm
chứng cứ số của tấn công APT . Một lĩnh vực còn rất mới và chưa được nghiên cứu


2

sâu và rộng cũng như chưa có tài liệu khoa học, hoặc công trình nghiên cứu nào
công bố.

2. Tổng quan vấn đề cần nghiên cứu
Thuật ngữ APT (Advanced Persistent Threat) được sử dụng để mô tả kiểu

tấn công dai dẳng và có chủ đ ch vào một thực thể được nhắm đến. APT là loại tấn
công âm thầm, không phá hỏng file/máy t nh, chúng có khả năng “ ẩn mình khiến
chúng ta rất khó có thể phát hiện ra loại tấn công này. Các vụ thất thoát dữ liệu như
vậy đã từng xảy ra với RSA, Citi ank và Global Payments,…
Kẻ tấn công đã phối hợp các biện pháp với nhau rất khoa học, tỉ mỉ và thông
minh. Tấn công APT có thể sử dụng một loại công cụ từ malware đơn giản, phức
tạp, những mã độc hại được tạo ra để khai thác các lỗ hổng “zero- day . Khi đó, một
tổ chức nào là mục tiêu của APT thì tổ chức đó có thể phải chịu một thất bại nghiêm
trọng bởi hình thức tấn công này mất rất nhiều tháng nghiên cứu và lập kế hoạch.
Trong khuôn khổ nghiên cứu của Học Viện Công Nghệ

ưu Ch nh Vi n

Thông đã có một số đề tài nghiên cứu xoay quanh vấn đề tấn công APT như: đề tài
“Tấn công APT lên hệ thống thông tin và biện pháp phòng chống đồ án năm 2014
của Sinh viên Đoàn Xuân Quỳnh. Hay đề tài thạc sỹ kỹ thuật năm 2015 của Nguy n
Khánh Chi: “ Nghiên cứu phương pháp phòng chống tấn công APT . Tuy nhiên,
chưa có tài liệu nào nêu được cách truy tìm các chứng cứ cũng như các dấu vết mà
hacker để lại trong các cuộc tấn công APT, nhằm giúp chúng ta có thể phòng tránh
các lỗ hổng của tấn công APT nhằm vào.

3. Mục đích nghiên cứu
 Nghiên cứu công nghệ tấn công APT: kỹ thuật, giai đoạn, mục đ ch, phương pháp…
 Nghiên cứu các giải pháp công nghệ để phòng chống cuộc tấn công APT.
 Nghiên cứu các phương pháp để truy tìm chứng cứ số của tấn công APT.


ng dụng công nghệ truy tìm chứng cứ số của tấn công APT.

4. Đối tƣợng và phạm vi nghiên cứu

Đối tượng nghiên cứu: Các phương pháp, giải pháp công nghệ nhằm truy tìm
chứng cứ số của tấn công APT vào hệ thống thông tin.


3

Phạm vi nghiên cứu: Các kỹ thuật, các phương thức, các giải pháp, các công
nghệ mới để có thể truy tìm chứng cứ số của tấn công APT lên hệ thống thông tin.

5. Phƣơng pháp nghiên cứu
 Dựa trên cơ sở lý thuyết của tấn công APT;
 Dựa trên các công nghệ truy tìm chứng cứ số;
 Dựa trên đặc điểm nhận dạng của các cuộc tấn công mạng và đặc biệt là tấn công APT;
Nội dung luận văn gồm ba chương và phần kết luận:
Chương 1: Tổng quan về cuộc tấn công APT và các giải pháp phòng chống tấn
công APT.
Chương 2: Nghiên cứu phương pháp truy tìm chứng cứ số của tấn công APT.
Chương 3: Mô phỏng và thử nghiệm.


4

CHƢƠNG 1: TỔNG QUAN VỀ CUỘC TẤN CÔNG APT VÀ
CÁC GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG APT
1.1. Tổng quan về cuộc tấn công APT
Chương 1 trình bày một số khái niệm về tấn công APT, các đặc điểm ch nh
của các giai đoạn để thực hiện cuộc tấn công này và những điểm khác biệt giữa tấn
công APT và các cuộc tấn công khác. Cũng như các phương pháp phòng chống tấn
công APT trên 3 phương diện ch nh là quản lý rủi ro, các công nghệ sử dụng và
phương diện con người.


1.1.1. Khái niệm APT
Thuật ngữ APT (Advanced Persistent Threat) được sử dụng để mô tả kiểu
tấn công dai dẳng và có chủ đ ch vào một thực thể được nhắm đến. APT là loại tấn
công âm thầm, không phá hỏng file/máy t nh. APT đã trở thành một mối quan tâm
lớn cho các chuyên gia bảo mật trên toàn thế giới. Ngay từ đầu năm 2013, đã có
một loạt danh sách nối dài những nạn nhân của loại tấn công này như Facebook,
Twitter,…[3]
Các thành phần của từ viết tắt APT:

 Advanced (Nâng cao):
Hacker sử dụng các kĩ thuật nâng cao để tấn công vào hệ thống mục tiêu một
cách bài bản. Các tấn công APT phối kết hợp nhiều các kĩ thuật khác nhau một cách
khoa học. T nh “Advanced thể hiện ở khả năng ẩn mình, thay đổi liên tục khiến
cho việc phát hiện trở nên rất khó khăn.

 Persistent (Dai dẳng):
Hacker xác định cụ thể mục tiêu cần khai thác để thực hiện việc tấn công, ẩn
mình và khai thác theo từng giai đoạn. Sử dụng nhiều các kĩ thuật, phương pháp
khác nhau để tấn công vào mục tiêu đến khi thành công.

 Threat (Nguy cơ hay mối đe dọa):
APT là một mối đe dọa bởi vì nó có tiềm lực và chủ đ ch. Các cuộc tấn công
APT được thực hiện bởi các hoạt động kết hợp, có mục tiêu cụ thể và kẻ tấn công
có kĩ năng, có tổ chức và có nguồn tài trợ dồi dào.


5

1.1.2. Các đặc điểm chính của APT

Các đặc điểm ch nh của tấn công APT được mô tả trong Hình 1.1.

Hình 1.1: Các đặc điểm chính của APT

 Targeted (mục tiêu)
Hacker xác định một cách ch nh xác mục tiêu cụ thể để tấn công và khai thác
tới những tổ chức, những cá nhân, những quốc gia, nhà nước cụ thể,…

 Persistent (Dai dẳng)
Quá trình tấn công APT di n ra theo nhiều giai đoạn khác nhau trong một
thời gian dài. Sử dụng nhiều các kĩ thuật, phương pháp khác nhau để tấn công vào
mục tiêu đến khi thành công.

 Evasive (Tránh né và ẩn mình)
Tấn công APT được thiết kế để có thể “qua mặt được hầu hết các giải pháp
đảm bảo ATTT truyền thông như Firewall, IPS, Antivirus, …
V dụ: để tránh bị tường lửa phát hiện hacker thường sử dụng các Port và
Service hợp lệ như HTTP (80), HTTPS (443), SMTP (25),…
Khi gửi dữ liệu ra ngoài để tránh việc phát hiện của các IPS thì hacker thực
hiện việc mã hóa dữ liệu,…

 Complex (Phức tạp)


6

APT phối kết hợp nhiều các kĩ thuật khác nhau một cách khoa học và bài bản
nhằm những mục tiêu là lỗ hổng bảo mật trong các tổ chức. Các công cụ cho tấn
công APT được mô tả trong Hình 1.2.


Hình 1.2: Các công cụ cho tấn công APT

Những kẻ tấn công APT có một kho công cụ sẵn sàng để khởi động và duy
trì cuộc tấn công. ộ công cụ cho tấn công APT (APT Toolkit):

 Các Malware
Malware là thuật ngữ chung bao gồm nhiều loại phần mềm với một điểm
chung đó là xâm nhập thông tin hoặc một hệ thống vì một hoặc nhiều lý do.

 Kỹ thuật Social Engineering
Trong tấn công APT, kẻ tấn công sử dụng spear-phishing email (một dạng
phishing) đ nh kèm với file có vẻ vô hại mà mục tiêu có khả năng sẽ mở. Hoặc liên
kết đến các trang web có nhúng mã độc hại (được biết đến như là một cuộc tấn công
watering hole). Các chương trình khác như file text và PDF cũng được tận dụng
khai thác để thực thi phần mềm độc hại.
Các bước xâm nhập máy t nh nạn nhân sử dụng spear phishing email được
mô tả trong Hình 1.3.


7

Hình 1.3: Giả mạo email với nội dung đính kèm có mã độc

 Khai thác các lổ hổng Zero-day và các Exploit khác
Như đã đề cập trước đó, một zero-day exploit là một lỗ hổng trong một sản
phẩm phần mềm mà cho phép một kẻ tấn công thực thi mã không mong muốn hoặc
giành quyền kiểm soát máy t nh của mục tiêu. Những exploit này thường được khai
thác trong các cuộc tấn công spear-phishing và watering hole. Các kẻ tấn công khai
thác các lỗ hổng zero-day chưa từng được biết đến hoặc chưa từng được công bố.


 Insiders và Recruits
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa
chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân
viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó ch nh là
Insider Attack - tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì những
gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào
tự do trong công ty.

 Forged và Fake Certificates (giả mạo chứng chỉ điện tử)
Thông thường các tin tặc sử dụng các chứng chỉ SSL giả mạo cho các
website không có thật và mạo danh là một trang web hợp pháp. Những kẻ tấn công
thường sử dụng các chứng chỉ số tự k (self-signed) hoặc các chứng chỉ ăn cắp được
(những chứng chỉ này được hầu hết các trình duyệt chấp nhận).


8

1.1.3. Các giai đoạn tấn công APT
Tấn công APT có mục tiêu là một tổ chức cụ thể (hoặc nhóm các tổ chức).
APT có thể sử dụng một loạt các công cụ từ malware đơn giản đến phức tạp, những
mã độc hại được tạo ra để khai thác các lỗ hổng "zero-day" [7]
Những giai đoạn thường thấy trong một cuộc tấn công APT được mô tả trong
Hình 1.4.

Hình 1.4: Các giai đoạn của cuộc tấn công APT

 Giai đoạn Reconnaissance (Thăm dò/Trinh sát)
Trong giai đoạn khởi đầu này, những kẻ tấn công nghiên cứu các điểm xâm
nhập, các lỗ hổng, các cá nhân chủ chốt, và các tài sản quan trọng. Nghiên cứu các
vị tr văn phòng của mục tiêu, vị tr máy t nh của họ, công nghệ được sử dụng trong

công ty, cách họ giao tiếp (giữa các văn phòng, với khách hàng, nhà cung cấp và
các cổ đông), nhân viên, chi tiết liên lạc của nhân viên. Kẻ tấn công xây dựng hồ sơ
cho từng nhân viên được nhắm mục tiêu sử dụng thông tin trên mạng xã hội mà họ
là thành viên như Linkln, Facebook, Twitter, …

 Giai đoạn Preparation (chuẩn bị)
Những kẻ tấn công t ch cực chuẩn bị cho cuộc tấn công, phát triển và thử
nghiệm các công cụ và kĩ thuật th ch hợp để nhắm vào mục tiêu dự định. Có thể bao
gồm việc quét để xác định các lỗ hổng, viết mã độc, soạn thảo các email, các phần
cứng cần thiết như ổ đĩa flash US , xác định những cơ sở hạ tầng sử dụng để khởi


9

động các cuộc tấn công và kiểm soát các thông tin liên lạc, đăng k và thiết lập tài
khoản cần thiết (như địa chỉ email) và tiến hành thử nghiệm.

 Giai đoạn Targeting
Giai đoạn này thường bao gồm một hoặc nhiều phương pháp nhằm đạt được
quyền truy cập vào một máy chủ đặc quyền. Để d dàng vượt qua các phòng thủ
antivirus, kẻ tấn công cũng tạo ra các tài khoản webmail bằng việc sử dụng các tên
người có thật - các tên mà quen thuộc với người nhận, như một đồng nghiệp, lãnh
đạo công ty, và nhân viên phòng IT, hoặc cố vấn của công ty và sử dụng các tài
khoản đó để gửi đi các thư điện tử hoặc sử dụng mạng xã hội. Trong một vài trường
hợp, người nhận email không nghi ngờ và đã trả lời các nội dung lừa đảo, và tin
rằng họ đã liên lạc với những người mà họ biết.
Tấn công giả mạo bằng email có thể đ nh kèm các loại file khác nhau, thông
dụng nhất đó là XLS, PDF, doc, docx chiếm 70% trong số các email phishing mà
hãng Trend Micro đã giám sát. Các loại tệp tin đ nh kèm thông dụng trong tấn công
giả mạo bằng email được mô tả trong Hình 1.5


Hình 1.5: Các loại file đính kèm thông dụng trong tấn công giả mạo bằng email

Sử dụng email thông điệp spear (xiên cắm) phishing
Email chứa các liên kết đến các trang web chứa các malware mới chưa từng
được công bố hoặc chưa được khắc phục (zero-day).
Cách lây nhi m vào máy nạn nhân bằng cách liên kết đến trang web chứa mã
độc được mô tả trong Hình 1.6.


10

Hình 1.6: Liên kết đến các trang web chứa mã độc

Email đ nh kèm các tập tin có định dạng phổ biến như Office hay PDF. Những
file đ nh kèm này có thể bao gồm những đoạn mã tấn công chưa từng được công bố
và những lỗ hổng chưa từng được biết đến trước đó. Cách lây nhi m vào máy nạn
nhân bằng cách đ nh kèm tệp độc hại trong email được mô tả trong Hình 1.7

Hình 1.7: Email đính kèm tệp mã độc hại

 Email liên kết tới các tệp độc hại.
 Kỹ thuật xã hội (social engineering) để đạt được quyền truy cập vào thông tin tài
khoản người dùng đặc quyền.
Infect (lây nhi m): mã tùy chỉnh thường được cài đặt trên một máy chủ đặc
quyền. Mã này báo cáo lại với một vị tr điều khiển và giám sát với mạng và dữ liệu
khác để giúp cho những kẻ tấn công.


11


Cuộc tấn công vào RSA bắt đầu với cuộc tấn công spear phishing, kẻ tấn
công gửi một email với một file đ nh kèm Microsoft Excel được khai thác lỗ hổng
zero day trên Adobe Flash tới các người dùng được nhắm mục tiêu. Chỉ có bốn cá
nhân trong RSA là những người nhận được email độc hại. Email spear phishing
trong cuộc tấn công RSA được mô tả trong Hình 1.8.

Hình 1.8: Email lừa đảo tấn công RSA

Spear phishing khai thác các lỗ hổng zero-day đã d dàng vượt qua các
phương pháp phòng thủ truyền thống như Antivirus và Firewalls.
V dụ về một cuộc tấn công nhằm mục tiêu email liên quan đến một vụ tai
nạn hạt nhân tại nhà máy Fukushima. Hình ảnh dưới đây cho thấy không phát hiện
được virut nào đ nh kèm vào email. Không có phần mềm chống virut nào phát hiện
các virut này
Kết quả scan tệp đ nh kèm trong email được mô tả trong Hình 1.9.

Hình 1.9: Kết quả scan tệp đính kèm


12

Không ngạc nhiên khi mạng xã hội trở thành một phương tiện phổ biến trong
cuộc tấn công APT. Mạng xã hội làm giảm nhận thức của nạn nhân về các hoạt
động đang đe dọa.

 Giai đoạn Further Access (Leo thang đặc quyền)
Sau khi hệ thống nạn nhân đã bị xâm nhập, để đảm bảo truy cập và kiểm soát
các máy t nh của tổ chức nạn nhân từ bên ngoài, kẻ tấn công cài đặt các cửa hậu
phổ biến công khai (Ghost RAT, Poison Ivy,…); của thế giới ngầm; tự viết để thiết

lập kết nối giữa mạng của tổ chức nạn nhân với máy t nh do kẻ tấn công kiểm soát.

 Giai đoạn Data Gathering (Đánh cắp dữ liệu)
Sau khi truy cập mạng đã đạt được, dữ liệu có thể d dàng bị đánh cắp. Mật
khẩu, các tập tin, cơ sở dữ liệu, tài khoản email và dữ liệu có giá trị khác tất cả có
thể được gửi trở lại cho kẻ tấn công.

 Giai đoạn Maintenance and Administration (giai đoạn duy trì và quản trị)
Ngay cả sau khi các dữ liệu cần thiết đã bị đánh cắp, kẻ tấn công có thể quyết
định hiện diện. Tuy nhiên, vì mục tiêu của tấn công APT là thu thập được càng
nhiều thông tin càng tốt. Ch nh vì vậy kẻ tấn công thường tìn cách ẩn mình và duy
trì sự hiện hiện trong hệ thống. Điều này đòi hỏi sự thận trọng của kẻ tấn công để
tránh bị phát hiện và duy trì giám sát trên tài sản dữ liệu của mục tiêu để có thể tiếp
tục đánh cắp dữ liệu trong tương lai.

1.1.4. Sự khác biệt giữa APT và các hình thức tấn công khác
Sự khác biệt quan trọng nhất giữa APT và các mối đe dọa “bình thường đó
là đặc điểm targeted (mục tiêu). Trong khi việc bảo vệ vòng ngoài (vành đai) và sử
dụng các kiểm soát an ninh tiêu chuẩn có thể bảo vệ một tổ chức từ những cuộc tấn
công tiêu chuẩn, các kĩ thuật này có thể không đủ khi đối mặt với APT. Các kẻ tấn
công kiên nhẫn có thể chờ đợi những lỗ hổng mới để khai phá một điểm yếu hoặc
có thể kết hợp các lỗ hổng nhỏ thành một lỗ hổng lớn để tấn công.
Một kẻ tấn công trong APT có thể mất vài tháng hoặc thậm ch nhiều năm để
export dữ liệu của mục tiêu, đánh bại các hệ thống đầy đủ t nh năng và cấu hình tốt.
Sau đây là một số đặc điểm khác biệt giữa APT và các hình thức tấn công khác:


13

 Thu thập thông tin: APT thực hiện một số lượng lớn sự trinh sát thông tin mã

nguồn mở và đóng để làm tăng cơ hội thành công gần như 100%.
 Low and slow: Các cuộc tấn công APT xảy ra trong thời gian dài những kẻ tấn
công APT thực hiện di chuyển low and slow (thấp và chậm) và giám sát liên tục cho
đến khi đạt được mục tiêu của họ.
 Hình thức tấn công liên tục nâng cao: APT được thiết kế để đáp ứng với các yêu
cầu của hoạt động gián điệp quốc tế hoặc phá hoại. Mục tiêu của APT có thể bao gồm
quân sự, chính trị hoặc thu thập thông tin tình báo kinh tế, dữ liệu bí mật thương mại
làm gián đoạn hoạt động của tổ chức.
 Nhắm vào các điểm yếu nhất của hệ thống
Điểm yếu của hệ thống mà các kẻ tấn công APT thường nhắm đến đó là các
cá nhân. Các tấn công truyền thống thường nhắm mục tiêu là các máy chủ bởi vì đó
là nơi chứa các dữ liệu quan trọng. Tuy nhiên, các kẻ tấn công APT biết được rằng
máy chủ là nơi được bảo vệ và thường khó khăn hơn nhiều để có thể đột nhập vào.
Vì vậy, d dàng hơn khi nhắm mục tiêu vào những đối tượng có truy cập vào các
thông tin quan trọng và những người dùng. Việc lừa đảo người dùng mở một file
đ nh kèm hoặc click vào một liên kết là rất d dàng và nó trở thành một trong những
phương pháp được ưa th ch [8].
Cần nhận thức được rằng đây không phải phương pháp duy nhất APT sử
dụng. Ngay sau khi phương pháp này không còn chứng minh được t nh khả thi, các
kẻ tấn công sẽ nhanh chóng chuyển sang một phương pháp mới. Ngoài ra, APT đảm
bảo truy cập liên tục vào hệ thống của mục tiêu. Tấn công vào điểm yếu nhất của hệ
thống - thiết bị người dùng cuối được mô tả trong Hình 1.10.

Hình 1.10: Tấn công vào điểm yếu nhất của hệ thống


14

 Duy trì việc truy cập dài hạn
APT thường muốn tiếp cận dài hạn vào tổ chức, luôn tìm kiếm thông tin có

giá trị. Tùy từng mục tiêu tấn công, kẻ tấn công không muốn ăn cắp những thông tin
mà đôi khi muốn gây ra các thiệt hại lâu dài.
Quá trình tấn công di n ra theo nhiều giai đoạn khác nhau và trong khoảng
thời gian dài. Đồng thời sử dụng nhiều công cụ, kỹ thuật khác nhau để tấn công vào
mục tiêu.
Trước khi thực hiện tấn công, kẻ tấn công thực hiện thăm dò về mục tiêu đã
định, chuẩn bị các công cụ đảm bảo cho cuộc tấn công thành công. Để thực hiện
xâm nhập vào hệ thống mục tiêu, những kẻ tấn công APT thường thực hiện gửi
email có đ nh kèm tệp độc hại hoặc liên kết đến trang web độc hại để dụ dỗ nạn
nhân click vào. Sau khi xâm nhập thành công vào hệ thống nạn nhận, kẻ tấn công
tìm cách cài đặt backdoor để giành quyền truy cập trong hệ thống mục tiêu đồng
thời tr ch xuất dữ liệu để đưa ra bên ngoài. Tấn công APT rất khó phát hiện và là
cuộc tấn công nguy hiểm. Vì vậy, việc hiểu biết để có phương pháp phòng thủ tối
ưu là cần thiết. Phần tiếp theo sẽ trình bày về các phương pháp phòng chống APT.

1.2. Các giải pháp phòng chống tấn công APT
Phần này trình bày phương pháp phòng chống tấn công APT trên 3 phương
diện ch nh là quản lý rủi ro, các công nghệ sử dụng và phương diện con người.

1.2.1. Một số giải pháp phòng chống tấn công APT

 Chống lại những mối đe dọa: Giải pháp phòng chống thực sự cần cung cấp khả
năng chống lại các cuộc tấn công nhằm vào từng giai đoạn của vòng đời APT: trước
khi tải về, khi chúng lưu thông trong mạng cho đến khi chúng đã được cài đặt trên
thiết bị đầu cuối. Để làm được điều đó, giải pháp phòng chống cần có các t nh năng:
Nâng cao khả năng phát hiện phần mềm độc hại: Phân tích liên tục dòng dữ
liệu đi qua mạng, duy trì khả năng phát hiện với tỉ lệ sai sót thấp.
Giám định phần mềm độc hại: Mô tả chi tiết các phần mềm độc hại nhờ môi
trường ảo hóa được tạo ra trước đó để nắm rõ cách đăng nhập, thay đổi tập tin, thay
đổi cách vận hành hệ thống, cách đưa dữ liệu ra ngoài,…



15

Phòng chống các nguy cơ tại thời gian thực: Phân t ch lưu lượng mạng, cung
cấp khả năng phát hiện và phòng ngừa ngay tức khắc.
Tự động nhận biết các mối đe dọa: Nhanh chóng xác định các hoạt động
đáng ngờ và nguy hiểm, đồng thời tự động tiêu diệt những mối đe dọa đã từng được
hệ thống biết tới.
Chính sách linh hoạt: Có khả năng áp dụng các chuẩn mã nguồn mở, ví dụ
như YARA (YARA là một công cụ mã nguồn mở đa nền tảng được thiết kế để giúp
các chuyên gia bảo mật xác định và phân loại phần mềm độc hại).
Hiệu suất cao: Đảm bảo phân t ch lưu lượng cao (hàng Gigabit) trong thời
gian thực mà vẫn cung cấp khả năng hiển thị, phân tích và bảo vệ khỏi các mối đe
dọa trước khi chúng có thể gây tổn hại cho tổ chức.

 ảo vệ dữ liệu khỏi bị đánh cắp: Một giải pháp phòng chống toàn diện thực sự sẽ
trực tiếp phát hiện và ngăn chặn việc tiếp cận trái phép các thông tin nhạy cảm, có
giá trị. Các yêu cầu kỹ thuật cần có bao gồm:
Kiểm soát luồng dữ liệu: Bằng cách sử dụng những luật và kỹ thuật phức tạp
để ngăn chặn các hành vi trộm cắp dữ liệu nhạy cảm và bí mật ra khỏi mạng thông
tin.
Hiển thị nội dung: Cung cấp khả năng hiển thị, phân tích và kiểm soát tất cả
các giao thức, ứng dụng và các loại tập tin để bảo vệ chống lại các mối đe dọa tiên
tiến và ngăn chặn hành vi trộm cắp dữ liệu trong thời gian thực.
Hỗ trợ phân loại dữ liệu: Thông qua những cơ chế linh hoạt, bạn có thể xác
định các đặc tính của dữ liệu có giá trị tại mức nào sẽ được coi là nhạy cảm và tránh
cho chúng đi ra khỏi hệ thống mạng.
Cảnh báo: Cung cấp khả năng cảnh báo toàn diện, thông tin về các hoạt động
cho phép bạn phân loại nhanh chóng và khắc phục các mối đe dọa.


 Phân t ch được các vấn đề an ninh mạng: Một giải pháp phòng chống còn cung
cấp hồ sơ lịch sử của tất cả các hoạt động mạng, do đó, bạn có thể "quay ngược thời
gian để tìm kiếm những mối đe dọa mà hệ thống không hề biết tại thời điểm đó.
Các yêu cầu kỹ thuật gồm có:


16

Ghi lại đầy đủ dữ liệu: Thu thập thông tin chi tiết (siêu dữ liệu) về tất cả các
giao dịch trong mạng. Siêu dữ liệu này được lưu trữ trong bộ nhớ hệ thống và làm
cơ sở cho việc phát hiện sau này.
Phân t ch đa chiều: Phân tích nội dung và so sánh với nhiều nguồn khác nhau
như lịch sử của hệ thống, các ch nh sách được cài đặt sẵn cũng như các mối đe dọa
được cập nhật thường xuyên từ các tổ chức khác.
Tổng kết: Tự động cung cấp bản tổng kết và xu hướng trong hệ thống về các
yếu tố như máy chủ, các cảnh báo, vị trí hay các giao thức để có cái nhìn tổng quan
về những mối đe dọa đối với doanh nghiệp, tổ chức.
Báo cáo linh hoạt: Có khả năng đưa ra những bản báo cáo theo tiêu chuẩn
hay tùy chỉnh riêng dựa vào siêu dữ liệu được thu thập theo thời gian.
Cảnh báo nguy cơ: Với những giao dịch có nhiều nét tương đồng với các mối đe
dọa đã được biết đến cần cảnh báo cho nhân viên quản trị biết và có hướng xử lý [10].

1.2.2. Các phương pháp phòng chống tấn công APT
Một điều rất d nhận thấy là trong một chuỗi các thao tác, chỉ cần một trong các
thao tác bị phát hiện và chặn đứng, thì cuộc tấn công APT sẽ coi như thất bại. Nếu một
trong các tình huống sau đây xảy ra thì tấn công APT khó có thể thành công:
Không có các thông tin về nạn nhân (tên tuổi, địa chỉ email, số điện thoại…),
không có mô tả về hệ thống của nạn nhân, thì việc đưa ra kịch bản tấn công là bế tắc.
Không có các điểm yếu, các lỗ hổng trên hệ thống (lỗi trên hệ điều hành, lỗi

trên ứng dụng, lỗi do các phần mềm của bên thứ 3), kẻ tấn công sẽ không có cơ hội
để lợi dụng lấn sâu, khai thác hệ thống.
Phát hiện và ngăn chặn kịp thời kết nối tới máy chủ điều khiển.
Phát hiện và ngăn chặn kịp thời các hành động phát tán, cài đặt mã độc hại
trong hệ thống.
Ch nh vì tấn công APT rất tỉ mỉ, bao gồm nhiều bước và dường như được
thiết kế riêng cho từng cá nhân, do đó điểm yếu của APT là nó có thể thành công
với một số nạn nhân nhất định, nhưng sẽ thất bại nếu môi trường của nạn nhân thay
đổi. Tổ chức cần thực hiện biện pháp bảo mật bao gồm các hạng mục: Lập kế hoạch


17

quản lý rủi ro có thể xảy ra đối với tổ chức, xác định các hệ thống có nhiều khả
năng bị nhắm mục tiêu, thực hiện biện pháp phòng thủ đa tầng để chống lại APT và
nâng cao nhận thức an ninh và đào tạo, huấn luyện các cá nhân. Điều quan trọng là
mỗi tổ chức phải luôn có kế hoạch ứng phó APT trong trạng thái sẵn sàng [1].

 Quản lý rủi ro
Nhiệm vụ quan trọng nhất trong phòng chống APT đó là hiểu về những gì
cần bảo vệ. “Mỗi tổ chức phải lập kế hoạch quản lý rủi ro, phân bổ ngân sách và các
nguồn lực để bảo vệ các tài sản có giá trị nhất đối với các tổ chức, trong đó có thể
bao gồm các quy trình kinh doanh cũng như các thông tin quan trọng theo ông
Mike Westmacott - cố vấn an ninh tại Information Risk Management
ảo mật là việc hiểu rõ, quản lý và giảm nhẹ rủi ro đối với các tài sản quan
trọng nhất của tổ chức, vấn đề này hầu như chưa được các tổ chức quan tâm đúng
mức. Điều khiển rủi ro tấn công APT gồm các bước được mô tả trong Hình 1.11.

Hình 1.11: Các giai đoạn trong việc kiểm soát rủi ro tấn công APT


 Các công nghệ
Không giống như virus và trojan, APT là hình thức tấn công mạng thu hút
được sự chú ý. Theo nghiên cứu của ESG, 47% các tổ chức lớn cho thấy hàng loạt
cuộc tấn công APT gần đây là nguyên nhân của việc tăng ngân sách bảo mật thông
tin, triển khai các chương trình thông tin liên lạc để cảnh báo cho các nhân viên các
rủi ro APT, và lập lịch các cuộc họp thường xuyên hơn với CISOs và nhóm nghiên
cứu bảo mật. Ngoài ra, nghiên cứu ESG còn cho thấy gần 40% các tổ chức lớn đã
đầu tư vào công nghệ bảo mật mới như các công nghệ mã hóa dữ liệu, web
gateway, và các application firewall. Tỷ lệ các giải pháp kỹ thuật/công nghệ được
đầu tư để đáp trả APT năm 2011 được mô tả trong Hình 1.12.