i

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.

Tác giả luận văn

Phan Thị Phương


ii

LỜI CẢM ƠN

Tôi xin chân thành cảm ơn tới khoa Quốc tế & Đào tạo sau đại học của Học
viện Công nghệ Bưu chính Viễn thông và các thầy cô đã tận tình giảng dạy và giúp
đỡ truyền đạt cho tôi nhiều kiến thức bổ ích cho hoạt động thực tiễn của bản thân
cũng như đúc kết kiến thức vào bản luận văn này.
Đặc biệt, tôi xin bày tỏ lòng biết ơn sâu sắc tới Tiến sỹ Nguyễn Trọng
Đường, người đã tận tình hướng dẫn và đóng góp nhiều ý kiến quí báu giúp tôi hoàn
thành luận văn này.
Mặc dù đã rất cố gắng hoàn thành luận văn, nhưng với thời gian và khả năng
cho phép, nên luận văn không thể tránh khỏi còn những thiếu sót, hạn chế. Tôi rất
mong được sự góp ý chân thành của các thầy cô, bạn bè để bản luận văn của tôi
được hoàn thiện hơn.
Xin chân thành cảm ơn!
Hà Nội, tháng 1 năm 2018
HỌC VIÊN

Phan Thị Phương


iii

MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... i
LỜI CẢM ƠN ............................................................................................................ ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC CÁC TỪ VIẾT TẮT ............................................................................v
DANH MỤC BẢNG ................................................................................................. vi
DANH MỤC CÁC HÌNH VẼ.................................................................................. vii
MỞ ĐẦU .....................................................................................................................1
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN .......................................4
1.1 Khái niệm cơ bản trong an toàn thông tin.................................................................... 4
1.1.1.

Khái niệm về an toàn thông tin................................................................................ 4

1.1.2.

Mục tiêu của an toàn thông tin ................................................................................ 4

1.1.3.

Nhiệm vụ của an toàn thông tin .............................................................................. 6

1.1.4.

Một số thuật ngữ trong an toàn thông tin ........................................................... 7


1.2 Lỗ hổng và điểm yếu trong an toàn thông tin. ............................................................. 8
1.1.5.

Lỗ hổng bảo mật ............................................................................................................ 8

1.1.6.

Điểm yếu an toàn thông tin ....................................................................................... 9

1.3 Một số kỹ thuật tấn công của tin tặc .......................................................................... 13
1.1.7.

Quy trình tấn công của tin tặc ................................................................................ 13

1.1.8.

Một số kiểu tấn công phổ biến ............................................................................... 18

1.4 Kết luận chương ......................................................................................................... 23

CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG MÃ ĐỘC ............24
2.1 Tổng quan về mã độc máy tính .................................................................................. 24
2.1.1 Khái niệm mã độc ............................................................................................................... 24
2.1.2 Phân loại mã độc ................................................................................................................ 24
2.1.3 Cách thức lây nhiễm mã độc ........................................................................................... 29
2.1.4 Tác hại của mã độc ............................................................................................................ 31


iv


2.2 Xu hướng tấn công bằng mã độc ............................................................................... 33
2.2.1 Các xu hướng tấn công bằng mã độc trên thế giới ................................................ 33
2.2.2 Các xu hướng tấn công bằng mã độc tại Việt Nam ................................................ 37
2.3 Một số biện pháp phòng chống mã độc .................................................................... 44
2.4 Kết luận chương ......................................................................................................... 47

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG BẰNG MÃ ĐỘC TẠI
TRUNG TÂM VNCERT ..........................................................................................48
3.1 Quy trình phát hiện và xử lý mã độc tại trung tâm VNCERT ................................... 48
3.1.1 Phát hiện mã độc ................................................................................................................. 48
3.1.2. Bóc gỡ mã độc ..................................................................................................................... 59
3.1.3 Các kỹ thuật phân tích mã độc ....................................................................................... 62
3.2 Triển khai giải pháp phát hiện và phòng chống tấn công bằng mã độc tại trung tâm
VNCERT ......................................................................................................................... 65
3.2.1 Giới thiệu về giải pháp ...................................................................................................... 65
3.2.2 Mô hình triển khai .............................................................................................................. 68
3.2.3 Cài đặt và cấu hình hệ thống ........................................................................................... 69
3.3 Thử nghiệm và đánh giá kết quả ................................................................................ 73
3.3.1 Môi trường triển khai ....................................................................................................... 73
3.3.2 Đánh giá kết quả .................................................................................................................. 73
3.3.3 Một số điểm hạn chế của hệ thống ............................................................................... 77
3.4 Kết luận chương ......................................................................................................... 77

TÀI LIỆU THAM KHẢO .........................................................................................81


v

DANH MỤC CÁC TỪ VIẾT TẮT

Viết tắt

Tiếng Anh

Tiếng Việt

DNS

Domain Name System

Hệ thống phân giải tên miền

DoS

Denial of Service

Tấn công từ chối dịch vụ

DDoS

Distribute Denial of Service

Tấn công từ chối dịch vụ phân
tán

LDAP

Denial of Service

UDP


User Datagram Protocol

DLL

Dynamic Link Library

HTTP

Hypertext Transfer Protocol

Giao thức truyền tải siêu văn bản

PHP

Hypertext Preprocessor

Một ngôn ngữ lập trình

NAT

Network Address Translation

Chuyển đổi địa chỉ mạng

NIST

National Institute of Standards

Viện tiêu chuẩn và Công nghệ


Giao thức không liên kết

and Technology
SMTP

Simple Mail Transfer Protocol

Giao thức truyền tải thư tín đơn
giản

URL

Uniform Resource Locator

Đường dẫn nguồn tài nguyên
trên internet

VNCERT Vietnam Computer Emergency
Response Team

Trung tâm Ứng cứu khẩn cấp
máy tính Việt Nam


vi

DANH MỤC BẢNG
Hình 3.18 Các thông tin cơ bản của tập tin


63

Hình 3.19 Các công cụ được sử dụng để phân tích hoạt động mã độc

64


vii

DANH MỤC CÁC HÌNH VẼ
Hình 1.1

Mô hình C-I-A (Confidentiality, Integrity, Availability)

4

Hình 1.2

Mô hình D-P-R (Detection, Prevention, Response)

6

Hình 1.3

Mức độ rủi ro theo mối đe dọa và lỗ hổng

9

Hình 1.4


Mô hình TCP/IP

10

Hình 1.5

Quy trình thực hiện tấn công của tin tặc

13

Hình 1.6

Mô hình tấn công từ chối dịch vụ phân tán

19

Hình 2.1

Phân loại mã độc

25

Hình 2.2

Tổn thất do mã độc gây ra năm 2012

32

Hình 2.3


Thiệt hại do mã độc gây ra năm 2016

33

Hình 3.1

Màn hình wireshark

50

Hình 3.2

Màn hình lọc gói tin

50

Hình 3.3

Màu sắc gói tin

51

Hình 3.4

Màn hình mở gói tin

51

Hình 3.5


Màn hình lọc gói tin theo thông tin

52

Hình 3.6

Hiển thị bộ lọc

52

Hình 3.7

Màn hình xem chi tiết gói tin

52

Hình 3.8

Chi tiết thời gian giao tiếp server-client

53

Hình 3.9

Khung hiển thị chi tiết thông tin

54

Hình 3.10 Cách filter theo ngữ cảnh


54

Hình 3.11 Sử dụng TCPView

55

Hình 3.12 Process Explorer

56

Hình 3.13 Dừng ứng dụng lạ với Process Explorer

57

Hình 3.14 Kiểm tra hệ thống với Process Explorer

57

Hình 3.15 Quy trình bóc gỡ mã độc

59

Hình 3.16 Nhận diện vị trí tự động khởi động của mã độc

61

Hình 3.17 Chấm dứt các tiến trình đã xác định là độc hại

61



viii

Hình 3.20 Mã nguồn Maltrail

67

Hình 3.21 Blacklist được sử dụng bởi Maltrail

68

Hình 3.22 Kiến trúc của Maltrail

68

Hình 3.23 Mô hình triển khai

69

Hình 3.24 Cài đặt sensor

69

Hình 3.25 Cài đặt server

70

Hình 3.26 Cấu hình hệ thống

70


Hình 3.27 Giao diện báo cáo của Maltrail

71

Hình 3.28 Cách tùy biến danh sách

72

Hình 3.29 Kết quả phát hiện tại VNCERT

75


1

MỞ ĐẦU
Hiện nay với sự phát triển mạnh mẽ của khoa học kỹ thuật nói chung và
công nghệ thông tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày
càng trở nên phổ biến trong đời sống hằng ngày cũng như trong hầu hết các lĩnh vực.
Song song với sự phát triển đó là hàng loạt các nguy cơ về mất an toàn thông tin.
Trong những năm gần đây, các Website trên Internet, cũng như dữ liệu của cá cá
nhân, tổ chức, chính phủ … đã bị nhiều đợt tấn công của tin tặc. Xu hướng tấn công,
phát tán phần mềm có mã độc vào các cơ quan, doanh nghiệp là hình thái mới của
giới tội phạm tin tặc mang tính chất quốc gia. Bên cạnh các loại mã độc đã phổ biến
thì cũng xuất hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản.
Hầu hết người nhận được Email đã mở tập tin văn bản đính kèm và bị nhiễm mã
độc khai thác lỗ hổng của phần mềm. Khi xâm nhập vào máy tính, mã độc này âm
thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu, cho phép tin tặc điều
khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về

máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu. Có rất nhiều
các website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều dữ liệu quan trọng
bị đánh cắp. Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và có tác động tiêu
cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Các cuộc tấn công của
tin tặc đang gia tăng về số lượng và mức độ nghiêm trọng. Vì vậy, bảo đảm an toàn
thông tin đang trở thành một nhu cầu thực tế cấp thiết.
Song song với đó là cách mạng công nghiệp 4.0 đang diễn ra tại nhiều nước
phát triển. Nó mang đến cho nhân loại cơ hội để thay đổi bộ mặt các nền kinh tế,
nhưng tiềm ẩn nhiều rủi ro khôn lường. Những yếu tố cốt lõi của Kỹ thuật số trong
CMCN 4.0 sẽ là: Trí tuệ nhân tạo (AI), Vạn vật kết nối - Internet of Things (IoT) và
dữ liệu lớn (Big Data).
Trên lĩnh vực công nghệ sinh học, Cách mạng Công nghiệp 4.0 tập trung vào
nghiên cứu để tạo ra những bước nhảy vọt trong Nông nghiệp, Thủy sản, Y dược,
chế biến thực phẩm, bảo vệ môi trường, năng lượng tái tạo, hóa học và vật liệu.


2

Cuối cùng là lĩnh vực Vật lý với robot thế hệ mới, máy in 3D, xe tự lái, các vật liệu
mới (graphene, skyrmions…) và công nghệ nano.
Hiện Cách mạng Công nghiệp 4.0 đang diễn ra tại các nước phát triển như
Mỹ, châu Âu, một phần châu Á. Bên cạnh những cơ hội mới, cách mạng công
nghiệp 4.0 cũng đặt ra cho nhân loại nhiều thách thức phải đối mặt. [12]
IoT hay Internet Of Things (vạn vật kết nối Internet) đang trở thành xu
hướng của thế giới, tuy nhiên một báo cáo mới đây từ các công ty bảo mật đã lưu ý
rằng xu hướng này có thể gây ra những thiệt hại nặng nề khi chịu sự tấn công của
các hacker.
Theo các chuyên gia hãng phần mềm diệt virus Trend Micro, IoT đang thay
đổi thế giới xung quanh, nó như một cuộc cách mạng công nghiệp mới. Nhưng theo
thống kê của Trend Micro, khi IoT phát triển, chỉ với một cuộc tấn công mạng duy

nhất cũng có thể gây thiệt hại hàng triệu đô la. Điều đáng lo là chỉ trong hai năm
qua, khả năng bị tấn tấn công của các thiết bị IoT đã tăng đáng kể. Khác với cá nhân,
các cuộc tấn công vào hệ thống IoT có nguy cơ làm tổn hại các hồ sơ y tế, thông tin
thẻ tín dụng, và có thể dẫn đến những hậu quả lớn hơn nhiều. Theo ước tính của
Trend Micro, năm 2020 khi số lượng các thiết bị kết nối IoT tăng lên cũng là lúc
các mối đe dọa ngày càng nhiều. Tuy nhiên, các doanh nghiệp vẫn chưa có cách
giải quyết an ninh IoT hiệu quả. [13]
Việc Nghiên cứu xu hướng tấn công bằng mã độc và giải pháp phòng chống
tấn công là rất cần thiết, nhằm đưa ra các xu hướng và phương pháp phù hợp với
thực tiễn tại Việt Nam. Xuất phát từ nhu cầu thực tế cấp thiết của việc để phát hiện
mã độc trong hệ thống, bài luận văn này tập trung vào việc nghiên cứu xu hướng,
kịch bản tấn công mã độc, giải pháp phù hợp phát hiện các máy tính và các thiết bị
IoT bị nhiễm mã độc trong mạng nội bộ nhằm phát hiện sớm và có giải pháp bóc gỡ
hiệu quả.
Luận văn gồm ba chương như sau:


3

Chương 1: Tổng quan về an toàn thông tin
Chương 2: Mã độc và xu hướng tấn công bằng mã độc
Chương 3: Giải pháp phòng chống tấn công bằng mã độc tại trung tâm
VNCERT.
Cuối cùng là phần đánh giá, kết luận và hướng phát triển của Luận văn.


4

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1.1 Khái niệm cơ bản trong an toàn thông tin

1.1.1. Khái niệm về an toàn thông tin
An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực
rộng lớn. Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy
cập trái phép, hiệu chỉnh, xóa thông tin, ... An toàn thông tin liên quan đến hai khía
cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật.
An toàn thông tin số: thuật ngữ này dùng để chỉ viêc bảo vệ thông tin số và
các hệ thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử
dụng, phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm đảm bảo cho các hệ
thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn
sàng, chính xác và tin cậy.
Nội dung của an toàn thông tin số bao gồm bảo vệ an toàn mạng và hạ tầng
thông tin, an toàn máy tính, dữ liệu và ứng dụng công nghệ thông tin. [10]

1.1.2. Mục tiêu của an toàn thông tin
Nội dung của an toàn thông tin số bao gồm bảo vệ an toàn mạng và hạ tầng
thông tin, an toàn máy tính, dữ liệu và ứng dụng công nghệ thông tin.

Hình 1.1: Mô hình C-I-A


5

- Tính bí mật (Confidentiality): Bí mật là sự ngăn ngừa việc tiết lộ trái phép
những thông tin quan trọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần
thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người
dùng không được cấp phép. Đối với an toàn thông tin thì tính bí mật rõ ràng là điều
đầu tiên được nói đến và nó thường xuyên bị tấn công nhất.
- Tính toàn vẹn (Integrity): Toàn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi
trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của
thông tin và hệ thống. Có ba mục đích chính của việc đảm bảo tính toàn vẹn:

o Ngăn cản sự làm biến dạng nội dung thông tin của những người sử
dụng không được phép.
o Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc
vô ý của những người sử dụng được phép.
o Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.
- Tính sẵn sàng (Availability): Tính sẵn sàng bảo đảm các người sử dụng hợp
pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các
thông tin trong hệ thống và tới mạng. Tính sẵn sàng có liên quan đến độ tin cậy của
hệ thống. Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc
này sẽ quan trọng hơn những cái khác, ví dụ: đối với lĩnh vực dược phẩm thì tính bí
mật là quan trọng, đối với lĩnh vực tài chính và ngân hàng thì tính toàn vẹn là quan
trọng, đối với thương mại điện tử thì tính sẵn sàng quan trọng.
Đây là ba nguyên tắc cốt lõi dẫn đường cho tất cả các hệ thống an toàn. Mô
hình này cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các biện pháp
thực hiện an ninh thông tin. Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có
thể gây hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan và có thể
gây mất an toàn thông tin. [14]


6

1.1.3. Nhiệm vụ của an toàn thông tin
Một mô hình rất quan trọng khác có liên quan trực tiếp đến quá trình phát
triển và triển khai các chính sách về an ninh của mọi tổ chức là mô hình bộ ba an
ninh
D – P – R (Detection, Prevention, Response). Ba khía cạnh của mô hình này
là sự phát hiện, sự ngăn chặn và sự phản ứng:

Hình 1.2: Mô hình D – P – R (Detection, Prevention, Response)


Sự phát hiện (Detection): Nó cung cấp mức độ an ninh cần thiết nào đó để
thực hiện các biện pháp ngăn chặn sự khai thác các lỗ hổng. Trong khi phát triển
các giải pháp an ninh mạng, các tổ chức cần phải nhấn mạnh vào các biện pháp
ngăn chặn hơn là vào sự phát hiện và sự phản ứng vì sẽ là dễ dàng, hiệu quả và có
giá trị nhiều hơn để ngăn chặn một sự vi phạm an ninh hơn là thực hiện phát hiện
hoặc phản ứng với nó.
Sự ngăn chặn (Prevention): Cần có các biện pháp cần thiết để thực hiện phát
hiện các nguy cơ hoặc sự vi phạm an ninh trong trường hợp các biện pháp ngăn
chặn không thành công. Một sự vi phạm được phát hiện sớm sẽ dễ dàng hơn để làm
mất tác hại và khắc phục nó. Như vậy, sự phát hiện không chỉ được đánh giá về mặt
khả năng, mà còn về mặt tốc độ, tức là phát hiện phải nhanh.


7

Sự phản ứng (Response): Phải phát triển một kế hoạch để đưa ra phản ứng
phù hợp đối với một số lỗ hổng an ninh. Kế hoạch phải được viết thành văn bản và
phải xác định ai là người chịu trách nhiệm cho các hành động nào và khi thay đổi
các phản ứng và các mức độ cần tăng cường. Tính năng phản ứng của một hệ thống
an ninh không chỉ là năng lực, mà còn là vấn đề tốc độ.
Ngày nay các cuộc tấn công mạng rất đa dạng, sẽ không thể đoán chắc được
chúng sẽ xảy ra khi nào, ở đâu, dạng nào và hậu quả của chúng. Để đảm bảo an
ninh cho một mạng thì cần:
- Phát hiện nhanh
- Phản ứng nhanh
- Ngăn chặn kịp thời
Đây là một nhiệm vụ khó khăn cho các nhà quản lý và các nhà cung cấp dịch
vụ mạng. [1]

1.1.4. Một số thuật ngữ trong an toàn thông tin

Sự định danh (Identification): Hành động của người sử dụng khi xác nhận
một sự định danh tới hệ thống
Sự xác thực(Authentication): Sự xác minh rằng định danh đã khai báo của
người sử dụng là hợp lệ
Sự kiểm toán(Acountability): Sự xác định các hành động hoặc hành vi của
một cá nhân bên trong hệ thống và nắm chắc được trách nhiệm cá nhân hoặc các
hành động của họ
Sự ủy quyền(Authorization): Các quyền được cấp cho một cá nhân (hoặc tiến
trình) mà chúng cho phép truy cập vào tài nguyên trên mạng hoăc máy tính
Sự chống chối từ (Non-repudiation): Bảo đảm không có khả năng chối bỏ
hành động của người dùng hợp lệ.


8

1.2 Lỗ hổng và điểm yếu trong an toàn thông tin.
1.1.5. Lỗ hổng bảo mật
Mối đe dọa (Threats): một mối đe dọa là bất kỳ điều gì mà có thể phá vỡ
tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của một hệ thống mạng. Sự đe dọa có
thể nhiều hình thức và nhiều nguồn khác nhau, ví dụ: mã độc, đối tượng bên trong
tổ chức, thiên tai, cháy, nổ, khủng bố và dịch bệnh.
Lỗ hổng (Vulnerabilities): một lỗ hổng là một điểm yếu vốn có trong thiết kế,
cấu hình hoặc thực hiện của một mạng mà có thể gây cho nó nguy cơ bị đe dọa. Lỗ
hổng sẽ luôn luôn tồn tại và hiện hữu trong các hệ thống và là cửa ngõ nơi mà sự đe
dọa thể hiện. Lỗ hổng ở đây không chỉ là những lỗ hổng trong phần mềm mà còn có
thể là sai sót trong quá trình triển khai cấu hình hay thiết kế bảo mật kém an toàn.
Sự rủi ro (Risk): là độ đo đánh giá lỗ hổng kết hợp với các mối đe dọa dẫn
tới khả năng bị kẻ xấu khai thác thành công. Sự rủi ro sẽ là tổ hợp của mối đe dọa
và lỗ hổng:
Sự rủi ro (Risk) = Mối đe dọa (Threats)  Lỗ hổng (Vulnerabilities)

Nếu như có một mối đe dọa lớn, nhưng rất ít lỗ hổng hạn chế mối đe dọa đó
thì sự rủi ro chỉ là trung bình. Ví dụ, nếu một người sống gần một hàng xóm có tiền
án trộm cắp (tức là mối đe dọa lớn) nhưng người đó luôn khóa của cẩn thận (tức là
hạn chế lỗ hổng đối với mối đe dọa đó) thì khả năng bị mất cắp ở mức trung bình.
Nếu như người đó mắc phải nhiều lỗ hổng nhưng mối đe dọa là không đáng kể thì
sự rủi ro cũng là trung bình. Ngược lại, nếu như sự đe dọa cao và lỗ hổng đối với
mối đe dọa đó là cao thì dẫn đến sự rủi ro rất cao. [1]
Có thể hình dung sự rủi ro theo sơ đồ như sau:


9

Hình 1.3: Mức độ rủi ro theo nguy cơ đe dọa và lỗ hổng

1.1.6. Điểm yếu an toàn thông tin
1.2.2.1. Điểm yếu công nghệ
Điểm yếu trong kỹ thuật gồm có điểm yếu trong giao thức, hệ điều hành và
phần cứng:
− Điểm yếu TCP/IP: TCP/IP cho tới thời điểm hiện nay, đã cho thấy nó thiếu
sự bảo mật nghiêm trọng. Một số kiểu tấn công như SYN flooding, IP Spoofing,
Connection Hijacking, … đã chỉ ra rằng việc thiếu tính bảo mật này đã dẫn đến việc
ra đời và phát triển của hàng loạt các công cụ và kỹ thuật khai thác nhằm vào các
điểm yếu của TCP/IP. Việc khắc phục các lỗ hổng này là hoàn toàn có thể thực hiện
được (với một số giải pháp đã trình bày như TCP Wrapper, Kerberos, SKIP…)
nhưng nhìn chung chúng chưa được phổ biến rộng rãi, có thể máy tính của bạn đã
cài đặt chúng nhưng chắc gì trạm mà bạn muốn trao đổi thông tin đã cài đặt những
giải pháp trên. Như vậy, hầu như việc truyền thông trên Internet hiện nay vẫn chưa


10


đủ mức an toàn cần thiết. Phải chăng đã đến lúc cần phải có một bộ giao thức mới,
IPv6 chẳng hạn, để khắc phục những thứ mà bản thân IPv4 không thể giải quyết
được. [3]

Hình 1.4: Mô hình TCP/IP

− Điểm yếu hệ điều hành: mỗi hệ điều hành đều có những ưu điểm và khuyết
điểm riêng tùy thuộc vào việc lựa chọn của người dùng. Linux và Unix là hệ điều
hành được xem như là ít có điểm yếu hơn Windows. Thực tế, hầu hết mọi người
đều sử dụng các phiên bản của Windows.
− Điểm yếu thiết bị mạng: Hầu hết các thiết bị mạng như là server, switch,
router… đều có điểm yếu trong bảo mật. Nhưng có một chính sách bảo mật tốt cho
việc cấu hình và lắp đặt cho các thiết bị mạng này sẽ làm giảm đi rất nhiều sự ảnh
hưởng của điểm yếu này.

1.2.2.2. Điểm yếu cấu hình
Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các thiếu sót trong việc cấu hình
như là: không bảo mật tài khoản khách hàng, hệ thống tài khoản với password dễ
dàng đoán biết, không bảo mật các cấu hình mặc định trên thiết bị hay lỗi trong việc
cấu hình thiết bị. Các điểm yếu cấu hình có thể:


11

− Tài khoản không được bảo mật: Mỗi user account cần có usename và
password cho mục đích bảo mật. Các username và password này thường được
truyền đi ở dạng clear text trên mạng. Do đó, cần có những chính sách bảo mật user
account như mã hoá, authentication …
− Mật khẩu yếu: Một điểm yếu trong lỗi cấu hình khác là bảo mật account

với password dễ dàng bị đánh cắp. Để ngăn chặn tình trạng đó, người quản trị cần
có những chính sách để không cho phép một password có hiệu lực mãi mãi mà
password này phải có một thời hạn kết thúc.
− Cấu hình sai các dịch vụ: Một vài công ty đã sử dụng địa chỉ thật trên
mạng internet để đánh địa chỉ cho host và server. Điều này tạo nên điểm yếu mà các
hacker sẽ dễ dàng khai thác thông tin. Sử dụng giao thức NAT hoặc PAT có thể giải
quyết vấn đề trên. Sử dụng địa chỉ riêng (private address) cho phép đánh địa chỉ
host và server mà không cần dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì
được router định tuyến ra mạng internet. Đó không phải là biện pháp tối ưu nhất
cho hệ thống. Port trên interface kết nối ra internet phải ở trạng thái open cho phép
users vào mạng internet và ngược lại. Đó là lỗ hổng trên bức tường lửa (firewall)
mà các hacker có thể tấn công vào.
− Các thiết lập mặc định thiếu an toàn: Nhiều sản phẩm phần cứng được
cung cấp mà không có password hoặc là password sẵn có giúp cho nhà quản trị dễ
dàng cấu hình thiết bị. Nó làm cho công việc dễ dàng hơn, như một số thiết bị chỉ
cần cắm vào và hoạt động. Điều này sẽ giúp cho sự tấn công mạng trở nên dễ dàng.
Do đó, ta cần phải thiết lập một chính sách cấu hình bảo mật trên mỗi thiết bị trước
khi thiết bị được lắp đặt vào hệ thống mạng.
− Cấu hình sai các thiết bị mạng: Lỗi cấu hình thiết bị là một lỗ hổng có thể
khai thác để tấn công mạng: password yếu, không có chính sách bảo mật hoặc
không bảo mật user account… đều là lỗi cấu hình thiết bị. Phần cứng và những giao
thức chạy trên thiết bị cũng tạo ra lỗ hổng bảo mật trong mạng. Nếu không có
những chính sách bảo mật cho các thiết bị phần cứng và những giao thức này thì


12

hacker sẽ lợi dụng vào đó để tấn công. Nếu bạn sử dụng SNMP được mặc định thiết
lập thì thông tin có thể bị đánh cắp một cách dễ dàng và nhanh chóng. Do đó, phải
làm mất hiệu lực của SNMP hoặc là thay đổi mặc định thiết lập SNMP có sẵn. [3]


1.2.2.3. Điểm yếu chính sách
Chính sách bảo mật mô tả làm thế nào và ở đâu chính sách bảo mật được
thực hiện. Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất.
Điểm yếu trong chính sách bao gồm: Không có chính sách an ninh bằng văn
bản, thiếu tính liên tục, quản trị lỏng lẻo, thiết lập và thay đổi mà không tuân theo
các chính sách đã nêu và không có kế hoạch khôi phục thảm họa. [3]

1.2.2.4 Điểm yếu con người
Yếu tố con người: Là những người sử dụng máy tính, những người làm việc
với thông tin và sử dụng máy tính trong công việc của mình.
An toàn thông tin được xây dựng trên nền tảng một hệ thống các chính sách,
quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài
nguyên thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các
đối tác, các khách hàng trong một môi trường thông tin toàn cầu. Như vậy, với vị trí
quan trọng của mình, có thể khẳng định vấn đề An toàn thông tin phải bắt đầu từ
các chính sách trong đó con người là mắt xích quan trọng nhất. Con người – khâu
yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin. Hầu như phần lớn các
phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệ thống
thông tin và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra. Việc nhận
thức kém và không tuân thủ các chính sách về an toàn thông tin là nguyên nhân
chính gây ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy định
rất rõ trong các chính sách về an toàn thông tin song việc tuân thủ các quy định lại
không được thực hiện một cách chặt chẽ. Việc đặt một mật khẩu kém chất lượng,
không thay đổi mật khẩu định kỳ hay quản lý mật khẩu lỏng lẻo là những khâu yếu
nhất mà hacker có thể lợi dụng vào đó để xâm nhập và tấn công hệ thống. [3]


13


1.3 Một số kỹ thuật tấn công của tin tặc
1.1.7. Quy trình tấn công của tin tặc
Quy trình thực hiện tấn công vào hệ thống thông tin bao gồm 5 bước được
mô tả theo sơ đồ sau:

Hình 1.5: Quy trình thực hiện tấn công của tin tặc

1.3.1.1 Thu thập thông tin
Thu thập thông tin là hoạt động tìm kiếm, tập hợp thông tin về hệ thống đích
một cách nhiều nhất có thể. Các thông tin cụ thể cần được thu thập như là hệ điều
hành, nền tảng, công nghệ web sử dụng hoặc tìm lỗ hổng bảo mật và khai thác liên
quan đến hệ thống đích.
Đối tượng thu thập:
+ Thông tin dãy mạng: Tên miền, tên miền con, dãy địa chỉ mạng, địa chỉ
IP, các dịch vụ TCP/UDP đang tồn tại, ...
+ Thông tin hệ thống: Tài khoản, nhóm người dùng, bảng định tuyến,
thông tin SNMP, ...
+ Thông tin tổ chức: Thông tin nhân viên, website của tổ chức/đơn vị, cấu
trúc tổ chức, ...


14

Phương pháp thu thập:
+ Tiết lộ của nhân viên tổ chức mục tiêu: Trong giai đoạn đầu của cuộc
kiểm thử, đại diện của tổ chức mục tiêu có thể cung cấp một danh sách
các mục tiêu ban đầu.
+ Được phát hiện bởi tìm kiếm Google: Google là một công cụ tìm kiếm
thông tin rất phong phú và hữu ích.
+ Được phát hiện bởi chuyển vùng DNS: DNS cung cấp rất nhiều thông

tin, nếu việc chuyển vùng được cho phép.
+ Được phát hiện bởi tra cứu ngược DNS: Chúng ta có thể tìm thấy các
máy chủ bằng cách thực hiện tra cứu ngược DNS.
+ Được phát hiện trong quá trình quét mạng: Có rất nhiều phương pháp
để quét mạng để phát hiện máy chủ.
+ Được phát hiện trong quá trình đánh giá vật lý: Nếu việc kiểm thử bao
gồm cả kiểm thử mạng không dây, chúng ta có thể tìm thấy một số máy
chủ thông qua phương pháp này.
+ Được phát hiện bởi sự thỏa hiệp vào một máy chủ: từ một mục tiêu và
tìm kiếm các mục tiêu khác xung quanh
Cách thức thu thập:
+ Tìm kiếm Whois: Để tìm kiếm những thông tin chi tiết hơn về một tên
miền, chúng ta có thể sử dụng những cơ sở dữ liệu Whois.
+ Tìm kiếm thông tin từ trang web: Tìm kiếm thêm thông tin về mục tiêu
thông qua các nguồn thông tin được công bố công khai. Những trang
web trên toàn thế giới là một kho thông tin thường được khai thác. Tìm
kiếm các thông tin như: Thông tin về hoạt động, thông tin về tuyển
dụng, thông tin liên quan đến con người.
+ Phân tích siêu dữ liệu: Một nguồn thông tin rất hữu ích trong quá trình
khảo sát là các siêu dữ liệu được lưu trữ bên trong các tài liệu mà người
kiểm thử xâm nhập có thể thu thập từ trang web và nhân viên mục tiêu.


15

+ Tìm kiếm DNS: Tìm kiếm danh sách các máy chủ DNS liên quan đến
mục tiêu bằng cách tra cứu Whois. Xác định những hệ thống đang trực
tiếp và gián tiếp liên quan đến mục tiêu. Các máy chủ DNS được liệt kê
theo thứ tự máy chủ tên miền chính (primary), thứ cấp (secondary) và
cấp ba (tertiary – nếu có). Các máy chủ tên miền tập trung phân giải tên

miền thành địa chỉ IP, nhưng đó không phải là chức năng duy nhất.
+ Công cụ tìm kiếm: Sử dụng công cụ tìm kiếm có thể truy cập công khai
để tìm những dấu hiệu của các lỗ hổng trên hệ thống. Google, Yahoo và
Bing của Microsoft đều có chứa một lượng lớn thông tin có thể chỉ ra
sự hiện diện của các lỗ hổng trong hệ thống liên quan đến môi trường
mục tiêu. Bằng cách gửi các truy vấn phù hợp với các công cụ tìm kiếm,
chúng ta có thể xác định lỗ hổng hệ thống mà không thực sự gửi bất kỳ
gói dữ liệu trực tiếp nào cho các hệ thống
Các kiểu tấn công có nhiều hình thức khác nhau, nhưng thông thường đều
thực hiện qua các bước như sau:
+ Xác định mục tiêu tấn công: Xác định rõ mục tiêu tấn công, nơi chuẩn bị
tấn công.
+ Thu thập thông tin và tìm lỗ hổng: Khảo sát thu thập thông tin về hệ thống
chuẩn bị tấn công bằng nhiều hình thức. Sau khi đã thu thập thông tin, người tấn
công sẽ dò tìm những thông tin về lỗ hổng bảo mật của hệ thống dựa trên những
thông tin đã thu thập được, phân tích điểm yếu của hệ thống mạng, sử dụng các
công cụ hỗ trợ dò quét, tìm lỗi trên hệ thống đó.
+ Lựa chọn mô hình tấn công và công cụ: Khi đã có được những điểm yếu
của hệ thống mạng, người tấn công sẽ sử dụng các mô hình phù hợp, lựa chọn một
công cụ hoặc tự xây dựng một công cụ để tấn công vào hệ thống.
+ Thực hiện tấn công: Sửa dụng các công cụ hỗ trợ, áp dụng mô hình tấn
công đã lựa chọn và các lỗ hổng hệ thống tiến hành tấn công vào hệ thống, Sau khi
đã tấn công thành công, khai thác được lỗ hổng của hệ thống. Người tấn công sẽ


16

thực hiện việc duy trì với mục đích khai thác và tấn công trong tương lai gần. Người
tấn công có thể sử dụng những thuật như mở cửa sau (backdoor) hoặc cài đặt một
trojan để nhằm mục đích duy trì sự xâm nhập của mình. Việc duy trì và làm chủ

một hệ thống tạo cho kẻ tấn công có đủ những điều kiện để khai thác, phục vụ
những nhu cầu về thông tin. Ngoài ra hệ thống mạng này khi bị chiếm quyền điều
khiển cũng sẽ trở thành nạn nhân của một hệ thống botnet được sử dụng trong các
cuộc tấn công khác. Ví dụ như tấn công từ chối dịch vụ đến một hệ thống khác.
+ Xóa dấu vết: Khi đã tấn công thành công một hệ thống, người tấn công sẽ
cố gắng duy trì sự xâm nhập. Sau đó người tấn công phải làm sao xóa hết dấu vết để
không bị phát hiện hoặc không còn chứng cứ pháp lý. Người tấn công có thể xóa
các tập tin lưu vết, xóa các cảnh báo từ hệ thống phát hiện xâm nhập. Ở các giai
đoạn thu thập thông tin và dò tìm lỗ hổng trong bảo mật, người tấn công thường làm
lưu lượng trong mạng thay đổi khác với lúc bình thường rất nhiều, đồng thời tài
nguyên hệ thống bị ảnh hưởng đáng kể.
Những dấu hiệu này rất có ích cho người quản trị mạng có thể phân tích và
đánh giá tình hình hoạt động của hệ thống mạng. Hầu hết các cuộc tấn công đều tiến
hành tuần tự như các bước đã nêu trên. Làm sao để biết hệ thống mạng đang bị tấn
công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan trọng. [16]

1.3.1.2 Quét và rà soát mạng
Quét là một bước tiếp theo trong tiến trình tấn công hệ thống. Giai đoạn này
giúp chúng ta xác định được nhiều thông tin của mục tiêu cần tấn công. Tức là sau
khi chúng ta tìm được vài thông tin có liên quan đến máy tính cần tấn công, công
đoạn tiếp theo là thu thập thông tin về máy tính đó. Những thông tin cần thu thập
như tên máy, địa chỉ ip, cấu hình máy tính, hệ điều hành, dịch vụ đang chạy, port
đang mở… Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công, cũng như
việc chọn kỹ thuật tấn công nào. Quét còn giúp định vị hệ thống còn hoạt động trên
mạng hay không.
Quét được sử dụng để xác định một hệ thống có trên mạng hay không và có
đang sẵn sàng hoạt động. Công đoạn quét sẽ thu thập thông tin về một hệ thống như


17


địa chỉ IP, hệ điều hành và các dịch vụ chạy trên các máy tính mục tiêu. Có ba loại
quét chủ yếu:
+ Port scanning.
+ Network scanning.
+ Vulnerability scanning.
Đối tượng mà chúng ta đang nhắm tới chính là hệ thống máy tính với những
thành phần của nó. Khi tiến hành quét hệ thống, chúng ta chú ý đến các mục đích
sau:
+ Live System
+ Port
+ Operating System
+ Service
+ IP Address
Phương pháp quét sẽ là kiểm tra xem hệ thống có tồn tại, có đang hoạt động
hay không, kiểm tra các port nào đang được mở mà chúng ta có thể tương tác được,
nhận biết các dịch vụ tương ứng với những port đang mở, phát họa sơ đồ mạng, đặc
biệt chú ý đến những host dễ tấn công, ghi dấu hệ điều hành và những thông tin có
liên quan đến hệ điều hành. [16]

1.3.1.3 Thực hiện thâm nhập
− Thực hiện kết nối và truy cập trực tiếp đến hệ thống mục tiêu.
− Thâm nhập ở mức hệ điều hành, ứng dụng, môi trường mạng.
− Thực hiện leo thang đặc quyền.
Ví dụ: bẻ khóa mật khẩu, tràn bộ đệm, từ chối dịch vụ, chèn phiên…

1.3.1.4. Duy trì kết nối
− Thực hiện sau khi chiếm quyền hệ thống.
− Sử dụng backdoor, Rookits, Trojans.
− Có thể upload, download, thực thi dữ liệu, ứng dụng, thay đổi cấu hình.

− Lợi dụng tấn công các hệ thống khác.