Tải bản đầy đủ (.pdf) (72 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu phương pháp phát hiện mã độc dựa trên các kỹ thuật học máy (Luận văn thạc sĩ)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.42 MB, 72 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
----------------------------------

TRẦN QUỐC PHƯƠNG

PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CÔNG APT

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI – 2019


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
----------------------------------

TRẦN QUỐC PHƯƠNG

PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CÔNG APT

Chuyên ngành: Hệ thống thông tin
Mã số: 8.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

Người hướng dẫn khoa học: TS. Đỗ Xuân Chợ

HÀ NỘI – 2019



i

LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các số liệu, kết
quả nêu trong Luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công
trình nào khác.

Tác giả

Trần Quốc Phương


ii

LỜI CẢM ƠN
Sau hơn 6 tháng nỗ lực tìm hiểu, nghiên cứu và thực hiện Luận văn về
nội dung “ Phương pháp phân tích mã độc tấn công APT” đã hoàn thành. Ngoài
sự nỗ lực của bản thân, tôi đã nhận được rất nhiều sự quan tâm, giúp đỡ từ phía
nhà trường, cán bộ hướng dẫn, các thầy cô, gia đình, bạn bè trong khoa và tại
cơ quan làm việc. Chính điều này đã mang lại cho tôi sự động viên rất lớn để
tôi có thể hoàn thành tốt bài luận văn của mình. Trước hết tôi xin gửi lời cảm
ơn chân thành đến các thầy cô trường Học viện Bưu chính Viễn thông nói
chung, các thầy cô Phòng sau đại học và Khoa Công nghệ thông tin nói riêng,
đã truyền đạt những kiến thức quý báu cho tôi trong suốt quá trình học tập. Đặc
biệt, trong quá trình làm đề tài luận văn tôi xin gửi lời cảm ơn sâu sắc tới TS
Đỗ Xuân Chợ (Giảng viên – Học viện Bưu chính Viễn thông) người đã tận tình
định hướng, hướng dẫn tôi hoàn thành luận văn tốt nghiệp này. Do thời gian,
trang thiết bị và kiến thức còn hạn chế. Tôi rất mong nhận được sự góp ý từ
phía thầy cô, để luận văn hoàn thiện hơn.
Xin chân thành cảm ơn!

Tác giả

Trần Quốc Phương


iii

MỤC LỤC
LỜI CAM ĐOAN .................................................................................................... i
LỜI CẢM ƠN ......................................................................................................... ii
MỤC LỤC ............................................................................................................. iii
DANH MỤC HÌNH ............................................................................................... vi
DANH MỤC CÁC TỪ VIẾT TẮT ....................................................................... ix
LỜI MỞ ĐẦU ..........................................................................................................1
CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG APT VÀ CÁC GIẢI PHÁP PHÒNG
CHỐNG ...................................................................................................................3
1.1. Tổng quan về APT ........................................................................................3
1.1.1. Khái niệm về APT ..................................................................................3
1.1.2. Các đặc điểm chính của APT ..................................................................3
1.2. Kỹ thuật tấn công APT ..................................................................................4
1.2.1. Giai đoạn 1: Reconnaissance (do thám thông tin) ..................................4
1.2.2. Giai đoạn 2: Gaining Access/Exploitation (truy nhập/xâm nhập) ..........5
1.2.3. Giai đoạn 3 và 4: Internal Recon and Expand Access (thăm dò trong
mạng nội bộ và mở rộng truy nhập) ..................................................................5
1.2.4. Giai đoạn 5 và 6: Gathering and Extracting Data (thu thập và đánh cắp
dữ liệu): .............................................................................................................6
1.2.5. Giai đoạn 7 và 8: Command & Control and Erasing Tracks (duy trì kết
nối tới máy chủ điều khiển bên ngoài và xóa dấu vết) .....................................6
1.3 . Tấn công APT tại Việt Nam và trên Thế giới ..............................................6
1.4. Tổng quan các phương pháp phát hiện và phòng chống tấn công APT ........7

1.4.1. Giám sát giai đoạn Reconnaissance ........................................................9
1.4.2. Giám sát giai đoạn Exploitation ..............................................................9


iv

1.4.3. Giám sát giai đoạn Internal Recon ..........................................................9
1.4.4. Gıám sát giai đoạn Expand Access .......................................................10
1.4.5. Giám sát giai đoạn Gathering Data .......................................................10
1.4.6. Gıám sát giai đoạn Data Exflitration ....................................................11
1.4.7. Giám sát giai đoạn Command & Control .............................................12
1.4.8. Giám sát giai đoạn Erasing Tracks .......................................................13
CHƯƠNG 2. CÁC PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC TẤN CÔNG APT
...............................................................................................................................15
2.1 Phương pháp phân tích mã độc thủ công .....................................................15
2.1.1. Giới thiệu về phân tích tĩnh...................................................................15
2.1.2. Yêu cầu hệ thống phân tích ...................................................................16
2.1.3. Xậy dựng môi trường ............................................................................16
2.1.4. Thực hiện phương pháp ........................................................................17
2.2. Sử dụng các hệ thống tự động phân tích hành vi của mã độc APT ............18
2.2.1. Công nghệ Sandbox ..............................................................................19
2.2.2. Các mục tiêu của một hệ thống phân tích tự động (Sandbox) ..............20
2.2.3. Những thông tin Sandbox thu thập .......................................................20
2.3. Phương pháp phân tích hành vi mã độc thông qua dòng dữ liệu (network
traffic analysis) ...................................................................................................26
2.3.1. Thu thập dòng dữ liệu mạng .................................................................26
2.3.2. Phương pháp phân tích mã độc thông qua phân tích dòng dữ liệu mạng
.........................................................................................................................28
2.4. Kỹ thuật phân tích mã độc APT .....................................................................30
2.4.1. Nhận diện hệ thống bị nhiễm mã độc ...................................................30



v

2.4.2. Xác định nguồn lây nhiễm ....................................................................31
2.4.3. Thu thập mẫu mã độc ............................................................................32
2.4.4. Phân tích thông tin sơ lược ...................................................................33
2.4.5. Phân tích hoạt động ...............................................................................35
2.4.6. Phân tích tĩnh ........................................................................................35
2.4.7. Viết báo cáo tổng kết hành vi hoạt động mã độc ..................................36
2.5 Kết luận chương 2 ........................................................................................36
CHƯƠNG 3. THỰC NGHIỆM VÀ ĐÁNH GIÁ .....................................................37
3.1.

Giới thiệu về công cụ hỗ trợ thực nghiệm ...................................................37

3.2.

Phân tích mã độc APT .................................................................................39

3.2.1 Thực nghiệm phân tích động .....................................................................39
3.2.2 Thực nghiệm phân tích tĩnh .......................................................................46
3.2.3 Giám sát đường truyền ..............................................................................55
3.3.

Kết luận chương 3 .......................................................................................57

KẾT LUẬN ...............................................................................................................58
TÀI LIỆU THAM KHẢO .....................................................................................60



vi

DANH MỤC HÌNH
Hình 1-1: Các giai đoạn trong tấn công APT..............................................................4
Hình 1-2: Khung hệ thống phát hiện tấn công APT ...................................................8
Hình 2-1: Công cụ CFF Explorer ..............................................................................17
Hình 2-2: Công cụ OllyDbg ......................................................................................18
Hình 2-3: Công cụ IDA .............................................................................................18
Hình 2-4:Thông tin chi tiết về file mã độc ................................................................22
Hình 2-5: Thông tin về Signature..............................................................................22
Hình 2-6: Thông tin chụp màn hình chạy mã thực thi ..............................................23
Hình 2-7: Thông tin về files ......................................................................................23
Hình 2-8: Thông tin về Registry ...............................................................................24
Hình 2-9: Thông tin về Mutexes ...............................................................................24
Hình 2-10: Các thông tin về Static Analysis .............................................................24
Hình 2-11: Thông tin về String .................................................................................25
Hình 2-13; Các thông tin về phân tích hành vi .........................................................25
Hình 2-14: Mã độc thực hiện kết nối ra ngoài ..........................................................26
Hình 2-15: Các điểm cần giám sát trên hệ thống mạng ............................................27
Hình 2-16: Mô hình tích hợp các điểm giám sát .......................................................28
Hình 2-17: Cấu hình Rule phát hiện tấn công ...........................................................29
Hình 2.18. Quy trình phân tích mã độc APT ............................................................30
Hình:2.18. Quy trình phân tích sơ lược.....................................................................34
Hình 3.1. Giao diện VMware Workstation 10 ..........................................................37
Hình 3.2. Số lần mã độc thực thi lấy tên thiết bị.......................................................40
Hình 3.3. Số lần thực thi/unpack của mã độc ...........................................................40
Hình 3.4. Danh sách địa chỉ IP ..................................................................................41
Hình 3.5. Một số cổng kết nối ...................................................................................41
Hình 3.6. Một số cổng kết nối UDP ..........................................................................42

Hình 3.7. Data gửi phản hồi từ Server ......................................................................42
Hình 3.8. Thông báo về kết nối với URL .................................................................43


vii

Hình 3.9. Kết nối đến địa chỉ msftncsi của Microsoft ..............................................43
Hình 3.10. Kết nối thất bại đến các IP và Port ..........................................................43
Hình 3.11. Kết nối thất bại đến mã độc đến máy chủ điều khiển .............................44
Hình 3.12. Ping đến từng IP ......................................................................................44
Hình 3.13. Thông tin IOC của mã độc APT .............................................................46
Hình 3.14. Kết quả phân tích hành vi mã độc ...........................................................48
Hình 3.15. Kết quả phân tích Command line console output ...................................48
Hình 3.16. Tệp thực thi của mã độc ..........................................................................48
Hình 3.17. Các kết quả các phần mềm chống mã độc đã phát hiện..........................49
Hình 3.18. Kết quả phân tích bằng Yara ...................................................................50
Hình 3.19. Kết quả phân tích hàm IsDebuggerPresent .............................................50
Hình 3.20. Hàm khởi động của mã độc ....................................................................51
Hình 3.21. Danh sách String mà OllyDBG có thể đọc được ....................................51
Hình 3.22. Danh sách tiến trình trên máy nạn nhân ..................................................52
Hình 3.24. Các API đáng ngờ đã được gọi ...............................................................53
Hình 3.25. Các API của các thư viện windows.........................................................53
Hình 3.26. Hàm nhận diện debugger ........................................................................54
Hình 3.27. Registry change .......................................................................................54


viii

DANH MỤC BẢNG
Bảng 3.1. Danh sách các API mã độc thực thi ..........................................................45

Bảng 3.2. Kết quả trả về thông tin của mã độc .........................................................47
Bảng 3.3. Danh sách thuộc tính của Pcap .................................................................55


ix

DANH MỤC CÁC TỪ VIẾT TẮT
AD

Active Directory

ANTT

An ninh thông tin

APT

Advanced Persistent Threat

C&C

Command and Control

CD

Compact Disc

CSDL

Cở sở dữ liệu


DC

Domain Controller

DDoS

Distributed Denied of Service

DLP

Data Loss Prevention

DNS

Domain Name System

FTP

File Transfer Protocol

HIDS

Host-based Intrusion Detection System

HTTP

HyperText Transfer Protocol

ICMP


Internet Control Message Protocol

IP

Internet Protocol

IPS

Intrusion Prevention System

IRC

Internet Relay Chat

JPEG

Joint Photographic Experts Group

NIDS

Network-based Intrusion Detection System

PAM

Priviledge Account Management

SIEM

Security Information and Event Management


SMTP

Simple Mail Transfer Protocol

SSH

Secure Shell

SSL

Secure Socket Layer

TCP

Tranmission Control Protocol

USB

Univeral Serial Bus

WAF

Web Application Firewall


1

LỜI MỞ ĐẦU
Trong thời đại hiện nay vấn đề tấn công mạng đang trở thành vấn nạn

trên toàn thế giới. Các phương pháp tấn công của tội phạm mạng dần trở nên
đa dạng và vô cùng tinh vi, mục tiêu và động cơ của các cuộc tấn công mạng
cũng dần thay đổi, những cuộc tấn công lớn diễn ra phần lớn với mục đích về
lợi ích kinh tế, chính trị do các nhóm hoặc các tổ chức thực hiện. Trong những
năm vừa qua xuất hiện một loại hình tấn công mới vô cùng nguy hiểm đối với
các hệ thống công nghệ được gọi là APT – Advanced Persistent Threats, hay
còn gọi là “tấn công có chủ đích”. APT thường được thực hiện bởi các nhóm,
các tổ chức tội phạm lớn và có trình độ cao, mục tiêu của chúng nhắm vào là
các cơ quan, tổ chức nhà nước, hoặc các doanh nghiệp tài chính lớn. Để thực
hiện được một cuộc tấn công APT kẻ tấn công thường phải đầu tư rất nhiều
thời gian thăm dò, theo dõi và phân tích đối tượng rất kỹ, rất chi tiết, ngay cả
khi thực hiện các công đoạn khai thác tấn công cũng rất rời rạc tinh vi, thời gian
tấn công có thể kéo dài lên tới hàng năm. Bởi vì vậy các hệ thống và phương
pháp bảo vệ cổ điển, thông thường hầu như không thể phát hiện được các tấn
công APT này (hoặc chỉ phát hiện được một vài phần nhỏ), hậu quả của các
cuộc tấn công APT thường rất nặng về mặt kinh tế, chính trị hoặc uy tín, hình
ảnh của các tổ chức doanh nghiệp. Xuất phát từ thực tế và tính cấp thiết của
vấn đề trên, tôi đã chọn đề tài “ Phương pháp phân tích mã độc tấn công APT”
để góp phần nâng cao khả năng phát hiện và phòng chống APT.
Luận văn đề cập đến việc nghiên cứu trên cơ sở là các phương pháp phân
tích mã độc nhằm phát hiện các cách thức lây nhiễm và các hành vi của mã độc
APT sau khi lây nhiễm để góp phần nâng cao khả năng phát hiện và phòng
chống APT. Bố cục luận văn được chia làm 3 chương:
Chương I: Đề cập đến vấn đề tổng quan về tấn công APT ở Việt Nam và
trên toàn thế giới. Nêu rõ thế nào là một cuộc tấn công APT, các đặc điểm của


2

một cuộc tấn công APT là gì. Phân tích các giai đoạn trong một cuộc tấn công

APT vào hệ thống mạng của doanh nghiệp, tổ chức và cuối cùng là các phương
pháp giám sát phát hiện tấn công APT qua từng giai đoạn này.
Chương II: Tập trung phân tích các biện pháp kỹ thuật phân tích mã độc
tấn công APT phổ biến như là phân tích mã độc thủ công, phân tích mã độc tự
động và phân tích dòng dữ liệu mạng.
Chương III: Đề cập tới mô hình hệ thống mạng truyền thống với những
yếu điểm về mặt đảm bảo ANTT, từ đấy nghiên cứu đề xuất mô hình cải tiến
bổ sung các giải pháp, công nghệ để nâng cao an toàn, đảm bảo phát hiện sớm
các cuộc tấn công nhằm vào hệ thống. Nghiên cứu công nghệ mã nguồn mở 11
Security Onion để thử nghiệm và tích hợp vào hệ thống. Thử nghiệm một cuộc
tấn công APT và cách thức phát hiện điều tra truy vết.


3

CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG APT VÀ CÁC
GIẢI PHÁP PHÒNG CHỐNG
1.1. Tổng quan về APT
1.1.1. Khái niệm về APT
Tấn công APT được gọi là tấn công có chủ đích viết tắt của Advanced
Persistent Threat, được sử dụng để miêu tả một cuộc tấn công dai dẳng nhằm
vào một hệ thống nhất định. APT thường tấn công âm thầm và rất nguy hiểm.
- Advanced (nâng cao): Để ám chỉ rằng kẻ tấn công sử dụng các kỹ thuật
nâng cao nhất có thể để tấn công vào hệ thống đích một cách bài bản, sử dụng
kết hợp nhiều kỹ thuật khác nhau một cách khoa học. Tính Advanced thể hiện
ở khả năng khai thác hệ thống, khả năng ẩn mình, thay đổi liên tục làm cho việc
phát hiện trở nên rất khó khăn.
- Persistent (dai dẳng): Kẻ tấn công thường xác định cụ thể mục tiêu
khai thác với động cơ rất rõ ràng, ẩn mình và khai thác theo từng giai đoạn
trong thời gian dài cho đến khi thành công.

- Threat (mối đe dọa): APT là một mối đe dọa về ANTT cực kỳ lớn bởi
vì động cơ và chủ đích của kẻ tấn công thường rất rõ ràng và có thể mang các
yếu tố chính trị, kinh tế,... thường được thực hiện bởi các tổ chức tội phạm
chuyên nghiệp có bài bàn, trình độ cao và nguồn tài trợ dồi dào.
1.1.2. Các đặc điểm chính của APT
Tấn công APT có các đặc điểm chính sau:
- Targeted (mục tiêu): Kẻ tấn công xác định một cách chính xác mục tiêu
cụ thể để tấn công và khai thác tới những tổ chức, những cá nhân, những quốc
gia cụ thể.
- Persistent (dai dẵng): Quá trình tấn công APT được chia ra thành nhiều
giai đoạn khác nhau trong một thời gian dài. Sử dụng nhiều các kỹ thuật,
phương pháp khác nhau để tấn công vào mục tiêu cho đến khi thành công.


4

- Evasive (ẩn mình): Tấn công APT được thiết kế để có thể qua mặt được
hầu hết các giải pháp đảm bảo an toàn thông tin (ATTT) truyền thống như
Firewall, IDS, Antivirus,.... Khi gửi dữ liệu ra ngoài để tránh việc phát hiện của
các IDS thì kẻ tấn công thực hiện mã hóa dữ liệu hoặc chèn vào các giao thức
mạng thông thường hay được sử dụng.
- Complex (phức tạp): APT phối kết hợp nhiều các kỹ thuật khác nhau
một cách khoa học và bài bản nhằm những mục tiêu là lỗ hổng bảo mật trong
các hệ thống. Các công cụ cho tấn công APT được sử dụng rất nhiều loại khác
nhau.
1.2. Kỹ thuật tấn công APT
Tấn công APT thường được chia chi tiết thành 8 giai đoạn (có thể 6, hoặc
7 giai đoạn tùy vào cách phân tích), bao gồm đầy đủ các giai đoạn của một cuộc
tấn công thông thường và thêm các bước đặc thù của loại tấn công này.


Hình 1-1: Các giai đoạn trong tấn công APT

1.2.1. Giai đoạn 1: Reconnaissance (do thám thông tin)
Đây là giai đoạn đầu tiên kẻ tấn công thực hiện do thám mục tiêu, thu
thập các thông tin liên quan đến hệ thống đích như các website public, tên, địa


5

chỉ Email, các thông tin đăng ký DNS, các thông tin về người dùng liên quan
trên mạng xã hội,.. Mục đích chính là thu thập càng nhiều thông tin liên quan
đến mục tiêu càng tốt, để từ đấy chắt lọc thông tin, tìm ra các điểm yêú có thể
khai thác tấn công.
1.2.2. Giai đoạn 2: Gaining Access/Exploitation (truy nhập/xâm
nhập)
Sau bước do thám thu thập thông tin, kẻ tấn công dựa trên những thông
tin chắt lọc về hệ thống, đặc biệt là các thông tin về người dùng trong hệ thống
thu thập được trên mạng, kẻ tấn công thực hiện tấn công vào người dùng thông
thường bằng cách gửi Email có chứa đường link tới website độc hại, ở giai đoạn
này kẻ tấn công có rất nhiều hình thức để có thể tấn công vào người dùng, có
thể gửi file đính kèm mã độc, có thể sử dụng lỗ hổng 0-day,... mục đích là để
người dùng trong hệ thống click vào file độc hại hoặc truy nhập theo đường
link vào website độc hại để có thể đánh cắp thông tin xác thực, chiếm quyền
điều khiển máy trạm của người dùng. Ngoài ra còn một số kỹ thuật tấn công
khác mà kẻ tấn công thường dùng trong giai đoạn này như: tấn công vào
websites, khai thác các lỗ hổng bảo mật của hệ thống, sử dụng các thiết bị cắm
ngoài như USB có chứa mã độc.
1.2.3. Giai đoạn 3 và 4: Internal Recon and Expand Access (thăm dò
trong mạng nội bộ và mở rộng truy nhập)
Sau khi chiếm đoạt được máy trạm của người dùng kẻ tấn công sẽ thực

hiện do thám các thông tin trong hệ thống từ máy trạm này, kẻ tấn công thường
sử dụng các công cụ rà quét mạng, giám sát các kết nối từ máy trạm lên hệ
thống máy chủ, cố gắng tìm kiếm con đường có thể mở rộng tấn công từ máy
trạm lên các hệ thống máy chủ quan trọng (thông thường nếu có AD kẻ tấn
công sẽ nhắm vào hệ thống này).


6

1.2.4. Giai đoạn 5 và 6: Gathering and Extracting Data (thu thập và
đánh cắp dữ liệu):
Sau khi truy nhập được vào các hệ thống máy chủ quan trọng, kẻ tấn
công sẽ thực hiện tìm kiếm và thu thập các dữ liệu quan trọng, nhạy cảm trên
hệ thống đích và thực hiện gửi dữ liệu ra ngoài, ở bước này hành động gửi dữ
liệu ra ngoài của kẻ tấn công thường được thực hiện chậm dãi, và chia làm
nhiều giai đoạn, các phương thức gửi ra ngoài gần như là các kết nối thông
thường rất khó để phát hiện ra.
1.2.5. Giai đoạn 7 và 8: Command & Control and Erasing Tracks
(duy trì kết nối tới máy chủ điều khiển bên ngoài và xóa dấu vết)
Ở hai gia đoạn cuối này sau khi đã đánh cắp thông tin, dữ liệu gửi ra
ngoài, kẻ tấn công tiếp tục sử dụng các mã độc backdoor duy trì các kết nối ra
máy chủ điều khiển bên ngoài để trao đổi thông tin và nhận các mã lệnh điều
khiển từ xa, đồng thời thực hiện xóa các dấu vết, các log của kẻ tấn công để lại
trên hệ thống, ẩn các tiến trình hoặc hợp thức hóa nó để lẩn tránh làm cho việc
phát hiện dò tìm khó khăn hơn. Trên đây là tổng quát về các giai đoạn tấn công
trong một cuộc tấn công APT, trong mỗi giai đoạn kẻ tấn công có thể sử dụng
nhiều phương pháp kỹ thuật khác nhau để đạt được mục đích, ngoài ra một đặc
điểm nổi bật của tấn công APT đấy là thời gian thực hiện ở mỗi giai đoạn
thường lâu, có thể tình bằng tháng, hoặc hàng năm.
1.3 . Tấn công APT tại Việt Nam và trên Thế giới

Trong vài năm trở lại đây đã có nhiều cuộc tấn công APT diễn ra trên thế
giới và cả ở Việt Nam.
Đặc biệt trong năm 2016-2017 đã diễn ra nhiều cuộc tấn công APT lớn,
hậu quả để lại của các cuộc tấn công này là rất nặng nề, các tổ chức bị tấn công
không có khả năng phát hiện và xử lý kịp thời các tấn công này.
Các cuộc tấn công APT điển hình trong năm 2016-2017 như:


7

- 2/2016 Tấn công mã độc vào 9 Ngân hàng ở Nga gây thiệt hại hơn 1
tỷ dolla.
- 3/2016 Tấn công APT vào hệ thống SWIFT của Ngân hàng trung ương
Bangladesh gây thiệt hại 80 triệu dolla.
- 4/2016 Tấn công vào Panama paper gây thất thoát 2.6 Terabyte dữ liệu
nhạy cảm.
- 5/2016 Tấn công APT vào hệ thống SWIFT của Ngân hàng Tiên Phong
Bank.
- 7/2016 Tấn công APT vào hệ thống mạng Vietnam Arilines chiếm
quyền điều khiển các bảng, màn hình thông báo thông tin chuyến bay...
- 5/2017 Cuộc tấn công APT32 được cho là nhằm vào các tổ chức doanh
nghiệp nước ngoài liên doanh tại Việt Nam, và một số các cơ quan, tổ chức,
doanh nghiệp lớn ở Việt Nam.
- 8/2017 Một chiến dịch tấn công APT lớn nhằm vào các tổ chức ban
nghành, các công ty viễn thông, tập đoàn tài chính ở Việt Nam, có nhiều đặc
điểm liên quan tới cuộc tấn công APT32 mấy tháng trước, và các cuộc APT
nhằm vào Việt Nam trước kia.
1.4. Tổng quan các phương pháp phát hiện và phòng chống tấn công
APT
Tấn công APT thường là một chuỗi các tấn công nhỏ lẻ kết hợp với nhau

trong thời gian dài, vì vậy không có phương pháp cụ thể nào có thể chuyên
dụng cho việc phát hiện hoàn toàn các cuộc tấn công APT. Để phát hiện và
phòng chống tấn công APT hiệu quả cần phải thiết kế một hệ thống chuyên biệt
cho việc giám sát phát hiện, hệ thống này được xây dựng dựa trên cơ chế xoay
quanh các vấn đề sau:


8

Hình 1-2: Khung hệ thống phát hiện tấn công APT

- What (Cái gì): Các bước tấn công là gì? Các phương pháp tấn công là
gì? Các kỹ thuật, tính năng tấn công là gì?
- Where (Ở đâu): Cần phải thực hiện thiết lập giám sát, phát hiện ở những
khu vực, phân vùng mạng nào?
- How (Như thế nào): Các phương pháp phát hiện, giám sát như thế nào?
Các phương pháp phân tích sự kiện thế nào?
- Why (Tại sao): Tại sao lại ảnh hưởng tới khía cạnh kinh doanh?
Thực hiện giám sát, phân tích và cố gắng phát hiện theo từng giai đoạn
tấn công. Cụ thể ở mỗi giai đoạn tấn công, kẻ tấn công có thể sử dụng nhiều
công cụ và kỹ thuật khác nhau, nhưng mục đích cuối cùng vẫn là nhằm đạt
được kết quả theo đúng trình tự các giai đoạn đã biết. Vì vậy việc thiết lập các
hệ thống để thu thập thông tin và giám sát theo từng giai đoạn của tấn công là
biện pháp hữu hiệu nhất cho việc phát hiện và phòng chống tấn công APT.
Với mỗi một giai đoạn tấn công tương ứng cần phải xác định ba yếu tố
sau để giám sát và phòng chống:
- Detection Location (Khu vực cần thiết lập giám sát)


9


- Detection Methods (Các phương pháp giám sát, phát hiện)
- Analysis Methods (Các phương pháp phân tích)
1.4.1. Giám sát giai đoạn Reconnaissance
Đây là giai đoạn khởi đầu của tấn công APT, kẻ tấn công sẽ thực hiện
thăm dò hệ thống từ bên ngoài, rất ít để lại dấu hiệu gì trên hệ thống nên thường
sẽ rất khó có thể phát hiện được dấu hiệu nào thể hiện rõ là khởi đầu của một
cuộc tấn công APT.
- Khu vực cần thiết lập giám sát: Khu vực DMZ, hệ thống mạng biên, hệ
thống Remote Access và hệ thống Mobility, nếu có thể lưu ý thêm tới hệ thống
mạng xã hội của tổ chức (nếu có).
- Các phương pháp giám sát/phát hiện: Phân tích log của Firewall và
máy chủ Web.
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, nhận
dạng theo các mẫu có trước, phân tích tính tương quan.
1.4.2. Giám sát giai đoạn Exploitation
Ở giai đoạn này kẻ tấn công bắt đầu thực hiện các kỹ thuật để xâm nhập
vào hệ thống, vì vậy sẽ có những dấu hiệu và tác động lên các thành phần của
hệ thống, việc giám sát sẽ có nhiều thông tin thu thập hơn so với giai đoạn đầu.
- Khu vực cần thiết lập giám sát: Vùng mạng biên, hệ máy trạm của người
dùng trong hệ thống, hệ thống các máy chủ public ra ngoài.
- Các phương pháp giám sát/phát hiện: Sử dụng hệ thống antivirus, hệ
thống Firewall và Mailgateway, hệ thống Sanboxing, hệ thống IDPS.
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân
tích dựa trên mẫu có trước và phân tích tính tương quan.
1.4.3. Giám sát giai đoạn Internal Recon
Đây là giai đoạn có khả năng phát hiện ra tấn công cao, vì ở giai đoạn
này kẻ tấn công sẽ dùng các công cụ, kỹ thuật để dò tìm, khám phá hệ thống



10

mạng để nhằm khai thác sâu hơn trong hệ thống, vì vậy sẽ để lại nhiều dấu hiệu
bất thường.
- Khu vực cần thiết lập giám sát: Tất cả các vùng mạng
- Các phương pháp giám sát/phát hiện: Sử dụng hệ thống IDPS, Firewall,
SIEM tổng hợp log từ nhiều nguồn.
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân
tích dựa trên mẫu có sẵn và phân tích tính tương quan.
1.4.4. Gıám sát giai đoạn Expand Access
Giai đoạn này là giai đoạn có khả năng phát hiện ra tấn công cao nhất,
bởi vì kẻ tấn công muốn đạt được mục đích của mình là chiếm đoạt hệ thống
và đánh cắp thông tin thì chắc chắn rằng sẽ phải tìm mọi cách rà soát và tấn
công leo thang vào các máy chủ, hệ thống quan trọng, tìm mọi cách để chiếm
đoạt các tài khoản đặc quyền. Chính vì vậy để giám sát và phát hiện tốt tấn
công APT, cần tập trung giám sát chặt chẽ các tài khoản đặc quyền và các máy
chủ, hệ thống trọng yếu. Từ các sự kiện bất thường ở các tài khoản đặc quyền
và các máy chủ quan trọng (thông thường như máy chủ AD) sẽ là đầu mối để
lần ra các dấu hiệu khác của cuộc tấn công.
- Khu vực cần thiết lập giám sát: Các máy chủ trọng yếu trong hệ thống,
các máy trạm quan trọng cũng như các phân vùng chứa dữ liệu nhạy cảm.
- Các phương pháp giám sát/phát hiện: Sử dụng các hệ thống IDPS,
Firewall, xây dựng các usecase giám sát các tài khoản đặc quyền, sử dụng thêm
các công cụ chuyên dụng cho việc monitor như sysmon, hệ thống SIEM.
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân
tích dựa trên mẫu có sẵn và phân tích tính tương quan.
1.4.5. Giám sát giai đoạn Gathering Data
Đây cũng là giai đoạn có nhiều dấu hiệu hỗ trợ cho việc phát hiện tấn
công, mục đích cuối cùng của kẻ tấn công thường là phá hoại hệ thống hoặc



11

đánh cắp thông tin quan trọng, nhạy cảm, tiền. Vì vậy sau khi đã chiếm đoạt
được các hệ thống quan trọng, tài khoản đặc quyền, kẻ tấn công sẽ cố gắng rà
tìm các dữ liệu quan trọng, hoặc các hệ thống liên quan đến tài chính. Chính ở
điểm này có thể thiết lập các giám sát đặc biệt cho các dữ liệu quan trọng, các
hệ thống liên quan đến tài chính,... sẽ hỗ trợ phát hiện kịp thời các dấu hiệu bất
thường, để từ đấy có thể là đầu mối cho việc điều tra về cuộc tấn công.
- Khu vực cần thiết lập giám sát: Các vùng mạng và máy chủ, thư mục,
file chứa dữ liệu quan trọng, nhạy cảm, hoặc các hệ thống liên quan đến tài
chính. Các máy trạm có đặc quyền can thiệp sâu vào hệ thống.
- Các phương pháp giám sát/phát hiện: Sử dụng các hệ thống IDPS,
Firewall, xây dựng các usecase giám sát các tài khoản đặc quyền, các thư mục,
file chứa dữ liệu quan trọng, nhạy cảm, sử dụng thêm các công cụ chuyên dụng
cho việc monitor như sysmon, hệ thống SIEM.
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân
tích dựa trên mẫu có sẵn và phân tích tính tương quan.
1.4.6. Gıám sát giai đoạn Data Exflitration
Giai đoạn này nếu là một cuộc tấn công đánh cắp dữ liệu thông thường
thì dễ phát hiện, tuy nhiên với một cuộc tấn công APT thì tương đối khó phát
hiện. Để đưa được dữ liệu ra ngoài có nhiều cách nhưng thông thường kẻ tấn
công hay sử dụng các phương pháp sau: Gửi qua email ra ngoài, qua đường vật
lý (nếu có thể), qua các giao thức truyền file thông thường như FTP, chiếm đoạt
các website trong mạng và public tài liệu để từ ngoài có thể tải về, chia nhỏ dữ
liệu và gửi qua các giao thức mạng thông thường như DNS, ICMP, HTTP,..
Với tấn công APT đặc thù là sự dai dẵng và âm thầm kéo dài, vì vậy kẻ
tấn công thường sử dụng phương pháp chia nhỏ và gửi dữ liệu ra ngoài trong
nhiều khoảng thời gian khác nhau, sử dụng các giao thức mạng phổ biến. Vì
vậy để phát hiện ra tấn công thất thoát dữ liệu ở giai đoạn này đối với APT là



12

tương đối khó. Để có thể tăng hiệu quả giám sát trong giai đoạn này không có
cách nào khác ngoài việc tăng cường giám sát lưu lượng mạng, thiết lập các hệ
thống theo dõi và phân tích gói tin đi ra ngoài, đặc biệt là các giao thức mạng
phổ biến để từ đó xâu chuỗi sự kiện mới có thể thấy được sự bất thường trong
luồng dữ liệu gửi ra ngoài.
- Khu vực thiết lập giám sát: Tất cả các vùng mạng trong hệ thống, các
máy chủ và máy trạm quan trọng, đặc biệt là các phân vùng có kết nối trực tiếp
ra ngoài.
- Các phương pháp giám sát/phát hiện: Sử dụng các hệ thống DLP,
IDS/IPS, Firewall, xây dựng các usecase giám sát lưu lượng mạng, sử dụng hệ
thống SIEM, hệ thống chặn bắt và phân tích gói tin, các hệ thống network
gateway, các hệ thống Proxy,...đặc biệt giám sát chặt chẽ các luồng dữ liệu kết
nối ra ngoài.
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân
tích dựa trên mẫu có sẵn và phân tích tính tương quan.
1.4.7. Giám sát giai đoạn Command & Control
Ở giai đoạn này cũng là một trong những giai đoạn có thể phát hiện ra
tấn công tốt nhất. Thông thường với các hệ thống an ninh thông tin chưa được
quan tâm và thiết lập tốt, rất khó có thể phát hiện ra tấn công ở các giai đoạn
sớm, và thường chỉ có thể phát hiện ở giai đoạn này. Đây là giai đoạn kẻ tấn
công đã đạt được mục đích ban đầu là chiếm quyền hệ thống và đánh cắp dữ
liệu ra ngoài, tiếp theo kẻ tấn công sẽ cài đặt mã độc (backdoor) vào hệ thống
và duy trì một kết nối ra ngoài tới máy chủ điều khiển từ xa (Command &
Control), kết nối này thường được duy trì lâu dài, nó là kênh điều khiển mã độc
từ xa của kẻ tấn công, và cũng là con đường để chúng vào ra hệ thống một cách
dễ dàng và lâu dài. Hiện tại có rất nhiều các sản phẩm bảo mật, các kênh thông

tin cho phép thu thập các địa chỉ C&C này và cho vào blacklist để theo dõi.


13

Nếu phát hiện có bất cứ một kết nối nào trong hệ thống tới các địa chỉ IP nằm
trong Blacklist này thì đấy rất có thể là dấu hiệu của kênh điều khiển của mã
độc APT đã được cài cắm trong mạng nội bộ.
- Khu vực thiết lập giám sát: Tất cả các phân vùng mạng, vì kẻ tấn công
có thể kết nối ra ngoài từ bất kỳ khu vực, máy chủ, hoặc máy trạm nào có thể
đi ra ngoài.
- Các phương pháp giám sát/phát hiện: Sử dụng các hệ thống IDPS,
Firewall, xây dựng các usecase giám sát lưu lượng mạng, sử dụng hệ thống
SIEM, hệ thống chặn bắt và phân tích gói tin, các hệ thống network gateway,
các hệ thống Proxy,...đặc biệt thiết lập các usecase giám sát các kết nối ra ngoài
các địa chỉ nằm trong danh sách Blacklist (có thể thu thập trên mạng hoặc/và
mất phí mua từ các hãng bảo mật)
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân
tích dựa trên mẫu có sẵn và phân tích tính tương quan.
1.4.8. Giám sát giai đoạn Erasing Tracks
Đây là giai đoạn cuối trong một cuộc tấn công APT, giai đoạn này kẻ tấn
công gần như đã hoàn thành và chỉ cần xóa các dấu vết để lại trên hệ thống
hoặc làm nhiễu thông tin gây khó khăn cho việc phát hiện. Vì vậy nếu không
phát hiện ra tấn công ở các bước trước thì gần như không có khả năng phát hiện
được ở bước này. Có một điểm cần lưu ý để có thể giám sát phát hiện được ở
bước này đó là để thực hiện các thao tác làm sạch dấu vết, kẻ tấn công lại cần
dùng tới các tài khoản đặc quyền cũng như là xóa event log liên quan. Vì vậy
nếu giám sát tốt tài khoản đặc quyền cũng như hệ thống Event log thì vẫn có
khả năng phát hiện ra sự bất thường.
- Khu vực thiết lập giám sát: Các khu vực chứa máy chủ, máy trạm quan

trọng mà có khả năng cao bị tấn công chiếm quyền điều khiển.


14

- Các phương pháp giám sát/phát hiện: Sử dụng các hệ thống IDPS,
Firewall, xây dựng các usecase giám sát tài khoản đặc quyền, giám sát các hoạt
động chỉnh sửa, xóa event log, sử dụng hệ thống SIEM, hệ thống
Antivirus/malware.
- Các phương pháp phân tích: Phân tích phát hiện sự bất thường, phân
tích dựa trên mẫu có sẵn và phân tích tính tương quan. Như vậy thấy rằng,
không có một giải pháp hay kỹ thuật toàn diện nào cho việc phát hiện và phòng
chống tấn công APT, để phát hiện sớm và hạn chế tối đa rủi ro xảy ra cần thực
hiện các kỹ thuật, biện pháp giám sát theo từng giai đoạn tấn công APT.
1.5. Kết luận chương 1
Trong chương 1, luận văn đã trình bày các vấn đề sau:
-

Trình bày tổng quan về tấn công APT cũng như sự nguy hiểm của

tấn công này đối với các tổ chức và chính phủ.
-

Trình bày một số giải pháp và kỹ thuật nhằm phát hiện và cảnh

báo tấn công APT trong hệ thống. Các giải pháp nhằm phát hiện và cảnh báo
tấn công APT thường dựa vào quy trình tấn công và các giai đoạn cụ thể của
cuộc tấn công này.
-


Liệt kê một số chiến dịch tấn công APT đã diễn ra trong thực tế.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×