1
LỜI NÓI ĐẦU
Hiện nay với sự phát triển mạnh mẽ của khoa học kỹ thuật
nói chung và công nghệ thông tin nói riêng, việc ứng dụng công nghệ
thông tin, Internet ngày càng trở nên phổ biến trong đời sống hằng
ngày cũng như trong hầu hết các lĩnh vực. Song song với sự phát
triển đó là hàng loạt các nguy cơ về mất an toàn thông tin. Trong
những năm gần đây, các website trên internet, cũng như dữ liệu của
cá cá nhân, tổ chức, chính phủ … đã bị nhiều đợt tấn công của tin tặc.
Xu hướng tấn công, phát tán phần mềm có mã độc vào các cơ quan,
doanh nghiệp là hình thái mới của giới tội phạm tin tặc mang tính
chất quốc gia. Bên cạnh các loại mã độc đã phổ biến thì cũng xuất
hiện các dạng mã độc mới, như mã độc đính kèm trong tập tin văn
bản. Hầu hết người nhận được email đã mở tập tin văn bản đính kèm
và bị nhiễm mã độc khai thác lỗ hổng của phần mềm. Khi xâm nhập
vào máy tính, mã độc này âm thầm kiểm soát toàn bộ máy tính nạn
nhân, mở cổng hậu, cho phép tin tặc điều khiển máy tính nạn nhân từ
xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy tính để
ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu. Có rất
nhiều các website, hệ thống mạng bị ngừng hoạt động nhiều giờ,
nhiều dữ liệu quan trọng bị đánh cắp. Những vụ tấn công đã gây ra
thiệt hại nghiêm trọng và có tác động tiêu cực, ảnh hưởng trực tiếp
đến nhiều cá nhân, doanh nghiệp…Các cuộc tấn công của tin tặc
đang gia tăng về số lượng và mức độ nghiêm trọng. Vì vậy, bảo đảm
an toàn thông tin đang trở thành một nhu cầu thực tế cấp thiết.
Việc Nghiên cứu xu hướng tấn công bằng mã độc và giải
pháp phòng chống tấn công là rất cần thiết, nhằm đưa ra các xu
hướng và phương pháp phù hợp với thực tiễn tại Việt Nam.
Xuất phát từ nhu cầu thực tế cấp thiết của việc để phát hiện
mã độc trong hệ thống, bài luận văn này tập trung vào việc nghiên
cứu xu hướng, kịch bản tấn công mã độc, giải pháp phù hợp phát

hiện mã độc trong mạng nội bộ đảm bảo an toàn thông tin.


2
Luận văn gồm ba chương như sau:
Chương 1: Tổng quan về an toàn thông tin
Chương 2: Mã độc và xu hướng tấn công bằng mã độc
Chương 3: Giải pháp phòng chống tấn công bằng mã độc tại
trung tâm VNCERT.
Cuối cùng là phần đánh giá, kết luận và hướng phát triển của
Luận văn.
CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN
TẤN CÔNG MẠNG
1.1. Khái niệm cơ bản trong an toàn thông tin
1.1.1. Khái niệm về an toàn thông tin
An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là
một lĩnh vực rộng lớn. Nó bao gồm cả những sản phẩm và những quy
trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,...
An toàn thông tin liên quan đến hai khía cạnh đó là an toàn về mặt
vật lý và an toàn về mặt kỹ thuật.
1.1.2. Mục tiêu của an toàn thông tin
Một thông tin được gọi là an toàn khi nó thỏa mãn ba tiêu chí là
tính bí mật, tính toàn vẹn và tính sẵn sàng, ba tiêu chí này đứng trên
ba đỉnh của một tam giác đều, hay cònđược gọi là mô hình tam giác
bảo mật C – I – A (Confidentiality, Integrity, Availability).
1.1.3. Nhiệm vụ của an toàn thông tin
Để đảm bảo an ninh cho một mạng thì cần:
•
Phát hiện nhanh
•

Phản ứng nhanh
•
Ngăn chặn kịp thời
Đây là một nhiệm vụ hết sức khó khăn cho các nhà quản lý và
các nhà cung cấp dịch vụ mạng.


3
1.1.4. Một số thuật ngữ trong an toàn thông tin
1.2. Lỗ hổng và điểm yếu trong an toàn thông tin
1.2.1. Lỗ hổng bảo mật
•
Mối đe dọa (Threats)
•
Lỗ hổng (Vulnerabilities)
•
Sự rủi ro (Risk)
1.2.2. Điểm yếu an toàn thông tin
•
Điểm yếu công nghệ
•
Điểm yếu cấu hình
•
Điểm yếu chính sách
•
Điểm yếu con người
1.3 Một số kỹ thuật tấn công của tin tặc
1.3.1 Một số kỹ thuật tấn công của tin tặc
•
Thu thập thông tin

•
Quét và rà soát mạng
•
Thực hiện thâm nhập
•
Duy trì kết nối
1.3.2 Một số kiểu tấn công phổ biến
1.3.2.1. Tấn công sử dụng mã độc hại
1.3.2.2. Tấn công từ chối dịch vụ (DOS)
1.3.2.3. Tấn công vật lý
1.3.2.4 Tấn công tràn bộ đệm
1.3.2.5 Tấn công Brute Force
1.3.2.6 Tấn công ứng dụng web
1.4 Kết luận chương
Trong chương 1, tác giả đã trình bày Trong chương này sẽ đưa
ra một số khái niệm về an toàn thông tin, lỗ hổng, điểm yếu trong an
toàn thông tin và các quy trình, các kiểu tấn công phổ biến của tin
tặc.


4
CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG
MÃ ĐỘC
2.1. Tổng quan về mã độc máy tính
2.1.1 Khái niệm mã độc
Theo Wikipedia, phần mềm độc hại hay còn gọi là mã độc là
một loại phần mềm hệ thống do các tay tin tặc hay các kẻ phá hoại
tạo ra nhằm gây hại cho các máy tính. Tùy theo cách thức mà tin tặc
dùng, sự nguy hại của các loại phần mềm độc hại này có khác nhau
từ chỗ chỉ hiển thị các cửa sổ hù dọa cho đến việc phá hoại, ăn cắp

thông tin hoặc tấn công chiếm quyền điều khiển máy tính và lây
nhiễm sang các máy tính khác như là virus trong cơ thể của các sinh
vật.
Theo NIST, mã độc được định nghĩa là một chương trình được chèn
một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí
mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. Theo định nghĩa
này mã độc hại bao hàm rất nhiều thể loại như: virus, worm, trojan,
2.1.2. Phân loại mã độc
• Virus
• Worm
• Trojan
• Rootkit
2.1.3 Cách thức lây nhiễm mã độc
• Lây nhiễm theo cách cổ điển
• Lây nhiễm qua thư điện tử
• Lây nhiễm qua mạng Internet
2.1.4 Tác hại của mã độc
2.2 Xu hướng tấn công bằng mã độc
2.2.1 Các xu hướng tấn công bằng mã độc trên thế giới
• Tấn công thông tin thầm lặng gây mất niềm tin
• Nguy cơ tấn công mạng trên đám mây
• Tấn công mạng tự học
• Bảo mật dữ liệu và cơ cấu giá


5
•

Sự hợp tác giữa kẻ thù và tin tặc


2.2.2 Các xu hướng tấn công bằng mã độc tại Việt Nam
•
•
•

Mã độc tống tiền- Ransomeware
Sử dụng mạng xã hội- nguy cơ lây nhiễm mã độc, lừa đảo...
Khai thác và tấn công từ các thiết bị IoT (Internet of ThingsInternet kết nối vạn vật
• Các cuộc tấn công có chủ đích nhằm vào cơ quan chính phủ
và hệ thống hạ tầng trọng yếu
• Các website của các cá nhân, tổ chức của Việt Nam luôn là
mục tiêu tấn công
2.3. Một số biện pháp phòng chống mã độc
• Sử dụng phần mềm an toàn
• Sử dụng Anti-Virus
• Sử dụng tường lửa
• Sử dụng các hệ thống phát hiện xâm nhập
• Cập nhật các bản vá lỗi cho hệ điều hành và ứng dụng
• Bảo vệ tổng quát và bảo vệ theo chiều sâu
2.4 Kết luận chương
Trong chương II, tác giả đã trình bày tổng quan về mã độc máy
tính, cách thức lây nhiễm và tác hại của nó, nêu ra tình hình xu
hướng tấn công bằng mã độc trên thế giới và tại Việt Nam, biện pháp
phòng chống mã độc

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG BẰNG
MÃ ĐỘC TẠI TRUNG TÂM VNCERT
3.1 Quy trình phát hiện và xử lý mã độc tại trung tâm VNCERT
3.1.1 Phát hiện mã độc
Để có thể phát hiện được mã độc đang chạy trên máy tính, người

dùng cần sử dụng kết hợp nhiều công cụ hỗ trợ miễn phí khác nhau
để tìm mã độc. Các công cụ này bao gồm:


6
Công cụ giám sát registry: Regshot, Autoruns, Comodo
Công cụ theo dõi tiến trình đang thực thi: Process XP,
KillSwitch.
Công cụ theo dõi lưu lượng mạng: Wireshark, Tcpdump.
Công cụ phát hiện rootkit trên hệ thống: Kaspersky TDSSKiller.
Để xác định một tập tin có phải là mã độc hay không, người
dùng có thể kiểm tra nó bằng các công cụ quét virus khác nhau bằng
việc sử dụng các trang quét virus trực tuyến như .
3.1.2 Bóc gỡ mã độc
Quy trình bóc gỡ như sau:

Hình 3.15 Quy trình bóc gỡ mã độc
a) Ngắt kết nối mạng
Trong trường hợp khi máy tính bị nhiễm mã độc cần phải ngắt
kết nối mạng để xử lý nhằm tránh một số trường hợp mã độc tự lây
lan qua môi trường mạng hoặc một số loại mã độc kết nối C&C
Server để nhận lệnh điều khiển. Để ngắt kết nối mạng có thể thực
hiện:


7
•

Kết nối internet bằng dây: Rút dây ra để ngắt kết nối
Internet

•
Ngắt kết nối internet bằng Wifi: Tạm disconnect wifi
để ngắt mạng
•
Không muốn rút dây hoặc ngắt wifi: Sử dụng chắc
năng disable mạng để ngắt kết nối
b) Nhận diện các tiến trình và drivers độc hại
Sử dụng Process Explore để nhận diện các tiến trình độc hại
thông qua một số yếu tố như:
•
Không có icon (biểu tượng).
•
Không có thông tin mô tả hoặc tên công ty.
•
Không có ký tên Microsoft images.
•
Chú trọng đến các tiến trình đang chạy từ thư mục
Windows hoặc từ thư mục User Profile
•
Tiến trình được packed.
•
Bao gồm nhiều URLs lạ trong phần strings của tiến
trình.
•
Có kết nối TCP/IP.
•
Có chứa các DLLs hoặc services khả nghi
c) Nhận diện và xóa bỏ các vị trí tự động khởi động của mã
độc
•

Nhận diện vị trí tập tin mã độc
•
Nhận diện vị trí khóa Registry giúp mã độc tự động
khởi động
d) Chấm dứt các tiến trình đã xác định là độc hại
•
Khi đã xác định hoặc nghi ngờ tiến trình độc hại thì
cần phải chấm dứt tiến trình đó.
•
Kích phải chuột vào tiến trình và chọn Kill Process
e) Xóa bỏ các tập tin mã độc
•
Xóa bỏ các tập tin mã độc đã được nhận diện


8
•

Xóa bỏ các khóa Registry giúp mã độc tự động khởi
động
f) Khởi động lại máy tính và tiếp tục nhận diện các loại mã
độc khác
•
Thực hiện lại các bước tương tự như trên để tìm kiếm
và gỡ bỏ mã độc
3.1.3 Các kỹ thuật phân tích mã độc
•
Phân tích sơ lược
•
Phân tích hoạt động

•
Phân tích mã thực thi của mã độc
•
Phương pháp phân tích mã độc tự động
3.2 Triển khai giải pháp phát hiện và phòng chống tấn công
bằng mã độc tại trung tâm VNCERT
3.2.1 Giới thiệu về giải pháp
Giải pháp pháp phát hiện và phòng chống tấn công bằng mã
độc tại trung tâm VNCERT sử dụng phần mềm mã nguồn mở
Maltrail triển khai trên máy chủ chạy hệ điều hành Ubuntu.
Maltrail là một hệ thống phát hiện lưu lượng độc hại, sử dụng
các blacklist công khai có sẵn có chứa các trail độc hại hoặc đáng
ngờ. Kết hợp với các trail tĩnh được biên dịch từ các báo cáo của các
AV khác nhau và danh sách do người dùng tùy chỉnh. Các trail có thể
bao gồm: domain name, URL, IP address hoặc HTTP User-Agent,…
Ngoài ra, nó sử dụng các cơ chế heuristic tiên tiến có thể phát hiện
các mối đe dọa chưa biết.
Ý tưởng của hệ thống là sẽ tạo ra ít công bố bằng cách kết hợp
nhiều sự kiện thành “Threat“. Ưu tiên các hoạt động độc hại từ bên
trong (ví dụ: phần mềm độc hại), từ cảnh báo của CERT. Sử dụng
các kết quả sẵn có dưới hình thức blacklists công khai và malicious
trails (IOCs) công khai. Hệ thống không phải là tối ưu.


9
Hiện tại Maltrail có:
•
58 nguồn cung cấp blacklist hàng ngày (VD:
alienvault, autoshun, badips, ...)
•

413 static sinkhole trail lists (manually collected)
•
3 static malware trail lists dựa trên IOCs từ AV
reports
•
16 static suspicious trail lists (VD browser_hijacking,
computrace, dynamic_domain, ipinfo, superfish, ...)
•
13 heuristic mechanisms (VD: port scanning, long
domains, sinkhole responses, suspicious HTTP requests,
suspicious HTTP user agents, excessive NXDOMAIN,
etc.)

3.2.2 Mô hình triển khai

Hình 3.22 Kiến trúc của Maltrail
 Sensor là thành phần để theo dõi và điều tra lưu lượng
truy cập để tìm kiếm “trails".
 Server là thành phần lưu trữ các sự kiện của Sensor dưới
dạng CSV và phục vụ phân tích theo yêu cầu từ client.
 Client là thành phần để phân tích và báo cáo trên các dữ
liệu thô.
 Trong cấu hình mặc định, Server và Sensor sẽ chạy trên
cùng một máy.


10

Hình 3.23 Mô hình triển khai


3.2.3 Cài đặt và cấu hình hệ thống
Cài đặt Sensor
sudo apt-get install git python-pcapy
git clone />cd maltrail
sudo python sensor.py


11

Hình 3.24 Cài đặt sensor
Cài đặt Server
git clone />cd maltrail
python server.py


12

Hình 3.25 Cài đặt server
Cấu hình hệ thống

Hình 3.26 Cấu hình hệ thống


13
Client
Browser: http://localhost:8338
User: admin
Pass: changeme!

Hình 3.27 Giao diện báo cáo của Maltrail

Tùy biến danh sách


14

Hình 3.28 Cách tùy biến danh sách
Cơ chế hoạt động như sau:
-

Khi dữ liệu của người dùng trao đổi qua switch đã nói
trên, toàn bộ dữ liệu được mirror sang span port, và đẩy
vào module sensor, khi đó, sensor thực hiện capture toàn
bộ lưu lượng này, lưu vào file .pcap tại một đường dẫn
xác định trước.

-

Module server thực hiện định kỳ cập nhật thông tin mới
về virus cũng như cac blacklist đã nói trên vào cơ sở dữ
liệu của Maltrail

-

Server định kì thực hiện quét và so sánh các thông tin từ
nguồn ( tức dữ liệu sensor gửi về) và cơ sở dữ liệu virus,


15
từ đó phân tích vào báo cáo cho người quản trị các kết
quả phân tích, nghi ngờ như hình 3.27

-

Sau khi có kết quả phân tích, các cán bộ quản trị mạng và
bảo mật phối hợp thực hiện bóc gỡ mã độc theo quy trình
đã nêu ở mục 3.1.2

3.3 Thử nghiệm và đánh giá kết quả
3.3.1 Môi trường triển khai
Hệ thống đang được triển khai thử nghiệm tại Trung tâm
VNCERT trên môi trường mã nguồn mở sử dụng hệ điều hành
Ubuntu.
Hệ thống Maltrail được cài đặt đã được công bố rộng rãi trên
Github tại địa chỉ: />
3.3.2 Đánh giá kết quả
Hệ thống hoạt động ổn định 24/24 với một số kết quả đạt
được như phát hiện được hầu hết các máy tính, thiết bị (IOT) bị
nhiễm mã độc có kết nối đến các nguồn đã được công bố.
Đối với công tác cảnh báo và ứng cứu sự cố tại Trung tâm VNCERT,
chẳng hạn theo Công văn số 298/VNCERT-ĐPƯC về việc phát hiện
ra dấu hiệu của chiến dịch tấn công nhằm vào các hệ thống thông tin
quan trọng tại Việt Nam thông qua việc phát tán và điều khiển mã
độc có chủ đích (APT).


16
3.3.3 Một số điểm hạn chế của hệ thống
Hệ thống chỉ dừng lại ở việc phát hiện các thiết bị, máy tính
trong mạng bị nhiễm mã độc có kết nối ra Internet đến những nguồn
đã được công bố, bao gồm:
 58 nguồn cung cấp blacklist hàng ngày (VD: alienvault,

autoshun, badips,...)
 413 static sinkhole trail lists (manually collected)
 3 static malware trail lists dựa trên IOCs từ AV reports
 16 static suspicious trail lists (VD browser_hijacking,
computrace, dynamic_domain, ipinfo, superfish, ...)
 13 heuristic mechanisms
Khi phát hiện các thiết bị, máy tính trong mạng bị nhiễm mã
độc thì các cán bộ kỹ thuật của Trung tâm VNCERT sẽ tiến hành bốc
gỡ và xữ lý mã độc theo các bước như phần trên
Đối với các loại mã độc không có kết nối ra ngoài hoặc các
loại mã độc có kết nối đến các nguồn chưa được công bố thì hệ thống
chưa phát hiện được một cách tự động. Để phát hiện được các loại
mã độc như thế cần phải thực hiện rà soát lại toàn bộ các thành phần
trên các máy tính, thiết bị.
3.4 Kết luận chương
Trong phần nội dung của chương này, luận văn đã làm được một số
yêu cầu bao gồm: trình bày về quy trình và xử lý mã độc tại trung
tâm VNCERT, triển khai giải pháp phát hiện và phòng chống tấn
công bằng mã độc tại vncert. Tác giả đã cài đặt và thử nghiệm giải


17
pháp được đưa ra. Việc sử dụng phần mềm mã nguồn mở Maltrail
triển khai trên máy chủ hệ điều hành Ubuntu. Kết quả cho thấy giải
pháp được khuyến nghị phát hiện được hầu hết các máy tính, thiết bị
(IOT) bị nhiễm mã độc có kết nối đến các nguồn đã được công bố.
Mặt khác, giải pháp chỉ dừng lại ở việc phát hiện các thiết bị, máy
tính trong mạng bị nhiễm mã độc có kết nối ra Internet đến những
nguồn đã được công bố .


KẾT LUẬN
An toàn thông tin ở Việt Nam đang trở thành một vấn đề
nóng bỏng nhất qua hàng loạt các vụ việc các hệ thống lớn bị tấn
công. Luận văn đã nêu ra được điểm yếu, lỗ hổng trong an thông tin
và các kỹ thuật tấn công phổ biến của tin tặc, đánh giá được tình hình
xu hướng tấn công bằng mã độc trên thế giới và việt nam hiện nay từ
đó đưa ra biện pháp khắc phục phòng chống. Mặt khác, các kỹ thuật
tấn công của tin tặc ngày càng tinh vi, phức tạp. Quy trình phát hiện
và xử lý mã độc tại trung tâm Vncert và giải pháp phát hiện phòng
chống chống tấn công đã đưa ra một cách nhìn hệ thống về cách thức
đảm bảo an toàn thông tin.
Các kết quả đat được cụ thể của bài luận văn gồm:
-

Nghiên cứu tổng quan về an toàn thông tin, các lỗ hổng,
điểm yếu trong an toàn thông tin, khái quát được các kỹ
thuật tấn công của tin tặc từ quy trình tấn công và đưa ra
cụ thể các kiểu tấn công phổ biến.


18
-

Nghiên cứu về mã độc và xu hướng tấn công bằng mã
độc của tin tặc trên thế giới và tại Việt Nam. Bài trình
bày rõ về các biện pháp phòng chống mã độc

Bài đề xuất giải pháp phòng chống tấn công mã độc áp dụng
cho đơn vị vừa và nhỏ và cụ thể đang áp dụng tại trung tâm
VNCERT. Nội dung bài đã đưa ra giải pháp phát hiện mã độc Maltrail là hệ thống phát hiện lưu lượng độc hại. Tuy nhiên mô hình

giải pháp này còn số điểm hạn chế chỉ dừng lại ở việc phát hiện các
thiết bị, máy tính trong mạng bị nhiễm mã độc có kết nối ra Internet
đến những nguồn đã được công bố. Đối với các loại mã độc không có
kết nối ra ngoài hoặc các loại mã độc có kết nối đến các nguồn chưa
được công bố thì hệ thống chưa phát hiện được một cách tự động. Để
phát hiện được các loại mã độc như thế cần phải thực hiện rà soát lại
toàn bộ các thành phần trên các máy tính, thiết bị.
Trên đây là toàn bộ luận văn thạc sỹ kỹ thuật của tác giả.
Trong quá trình thực hiện không tránh khỏi những thiếu sót, tác giả
rất monghận được sự đóng góp ý kiến của thầy cô và các bạn.