HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC

THỰC TẬP CƠ SỞ
Đề tài:

NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CƠNG
APT VÀ CÁCH PHỊNG CHỐNG
Sinh viên thực hiện:

NGUYỄN THANH SỸ

AT150449

PHẠM THÁI HỒNG

AT150420

NGUYỄN THỊ LAN HƯƠNG

AT150524

NHĨM 2

Giảng viên hướng dẫn:

ThS. LÊ THỊ HỒNG VÂN

Hà Nội, 10-2021



LỜI NĨI ĐẦU

Ngày nay, tấn cơng có chủ đích đã trở thành mối nguy hiểm thường trực cho các tổ
chức, doanh nghiệp, hạ tầng trọng yếu quốc gia. Được đánh giá là một hình thức tấn
cơng “may đo”, dai dẳng và có chủ đích vào một thực thể, nên khi phát hiện tấn cơng
APT thì thiệt hại cho tổ chức, doanh nghiệp là khó ước lượng được.
Hậu quả của các cuộc tấn công APT là vô cùng nặng nề: tài sản trí tuệ bị đánh cắp
(bí mật thương mại hoặc bằng sáng chế…); thông tin nhạy cảm bị xâm nhập (dữ liệu
cá nhân, hồ sơ nhân viên…); cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (cơ sở
dữ liệu, máy chủ quản trị…) hay toàn bộ tên miền của tổ chức bị chiếm đoạt.
Tuy nhiên, việc phát hiện ra được tấn công APT thường không dễ dàng, vì nó được
sử dụng rất nhiều kĩ thuật tấn cơng mới, các kỹ thuật bypass UAC hoặc obfuscate code
gây khó khăn trong q trình phân tích và phát hiện.
Vì vậy, nhóm quyết định lựa chọn tìm hiểu nghiên cứu đề tài "Nghiên cứu các
phương pháp tấn công APT và cách phịng chống" để mong muốn có thể tìm hiểu
sâu hơn về những kịch bản tấn công, các kĩ thuật tiêu biểu mà nhóm APT thường sử
dụng, từ đó có thể tìm ra những giải pháp, xây dựng hệ thống mạng cơng ty, doanh
nghiệp được an tồn hơn.
❖ Nội dung nghiên cứu của nhóm bao gồm:
-Phần 1: Trình bày tổng quan về an ninh mạng và tấn cơng APT.
Phần này trình bày góc nhìn về an ninh mạng tồn cầu nói chúng và an ninh mạng
trong nước nói riêng, một vài xu hướng tấn công đang hiện hành, khái niệm về tấn
công APT và thực trạng của các cuộc tấn công APT hiện nay.
-Phần 2: Trình bày các phương pháp tấn cơng APT dựa trên mơ hình Mitre ATT&CK,
cách thức phát hiện và phịng chống.
Trong phần 2 sẽ trình bày các giai đoạn của một cuộc tấn cơng APT, phân tích chi tiết

một vài cuộc tấn công, liệt kê một số phương pháp thường dùng, cách phát hiện, cách
phòng chống.


-Phần 3: Mô phỏng tấn công APT dựa trên mô hình MITRE ATT&CK
Phần này sẽ trình bày chi tiết về cách thức xây dựng bài lab, kịch bản giả định, triển
khai tấn công (áp dụng framework MITRE ATT&CK để thực hiện).
❖ Phương pháp nghiên cứu của nhóm:
- Phương pháp nghiên cứu lý thuyết: Tìm hiểu các tài liệu liên quan.
- Phương pháp nghiên cứu thực nghiệm: Mô phỏng tấn công, xây dựng cơng cụ, mơ
hình bài lab để thực nghiệm rút ra kết quả.
- Phương pháp trao đổi khoa học: Trao đổi hướng nghiên cứu với giáo viên hướng
dẫn và trình bày Seminar với các cộng sự để đề xuất và giải quyết các nội dung đồ án
đề ra.


LỜI CAM ĐOAN



MỤC LỤC

DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT ........................................................................ i
DANH MỤC HÌNH VẼ ............................................................................................................ii
DANH MỤC BẢNG BIỂU...................................................................................................... iv
TĨM TẮT ĐỒ ÁN .................................................................................................................... v
CHƯƠNG 1. TỔNG QUAN VỀ AN NINH MẠNG VÀ TẤN CÔNG APT ........................ 6
1.1 Tổng quan về an ninh mạng .......................................................................................... 6
1.1.1 Thực trạng về an toàn không gian mạng trong nước và quốc tế .............................. 6
1.1.2 Các hình thức và mục đích tấn cơng mạng hiện nay ............................................. 10

1.2 Tổng quan tấn cơng có chủ đích APT ......................................................................... 12
1.2.1 Khái niệm ............................................................................................................... 12
1.2.2 Hiện trạng các cuộc tấn công APT trên thế giới .................................................... 13
1.3 Quy mô, đối tượng ảnh hưởng ..................................................................................... 14
1.4 Sự khác biệt của APT với các mối đe dọa truyền thống.............................................. 15
CHƯƠNG 2. CÁC PHƯƠNG PHÁP TẤN CÔNG APT - CÁCH THỨC PHÁT HIỆN
VÀ PHỊNG CHỐNG ............................................................................................................. 17
2.1 Giới thiệu về mơ hình nghiên cứu Cyber killchain và Mitre ATT&CK ..................... 17
2.1.1 Tổng quan về mơ hình Cyber Kill Chain ............................................................... 17
2.1.2 Tổng quan về mơ hình Mitre ATT&CK ................................................................. 18
2.2 Các giai đoạn của cuộc tấn công APT dựa theo mô hình Cyber Kill Chain.............. 22
2.3 Các kỹ thuật phổ biến trong các cuộc tấn cơng APT dựa trên mơ hình MITRE
ATT&CK.............................................................................................................................. 24
2.3.1 Thu thập thông tin .................................................................................................. 24
2.3.2 Khởi tạo truy cập ban đầu ...................................................................................... 27
2.3.3 Duy trì truy cập ...................................................................................................... 29
2.3.4 Thực thi .................................................................................................................. 34
2.3.5 Leo thang đặc quyền .............................................................................................. 37
2.3.6 Mở rộng phạm vi.................................................................................................... 38
2.3.7 Trích xuất dữ liệu ................................................................................................... 41
2.3.8 Ví dụ về các kỹ thuật được sử dụng trong 1 số nhóm APT ................................... 43


2.4 Cách thức phát hiện các cuộc tấn công APT .............................................................. 55
2.4.1 Phân tích tĩnh ......................................................................................................... 55
2.4.2 Phân tích động ....................................................................................................... 61
2.4.3 Các cơng cụ săn tìm và phát hiện tấn công APT ................................................... 69
2.5 Phát hiện và ngăn chặn tấn cơng APT ....................................................................... 73
CHƯƠNG 3. MƠ PHỎNG TẤN CƠNG APT DỰA TRÊN MƠ HÌNH MITRE ATT&CK
.................................................................................................................................................. 75

3.1 Kịch bản tấn công APT giả định ................................................................................. 75
3.2 Mô phỏng tấn công và phát hiện ................................................................................. 77
3.2.1 Thực hiện tấn công ................................................................................................ 77
3.2.2 Thực hiện phát hiện tấn công trên ứng dụng SIEM .............................................. 81
3.3 Đánh giá kết quả .......................................................................................................... 85
KẾT LUẬN ............................................................................................................................. 86
TÀI LIỆU THAM KHẢO ..................................................................................................... 87


DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT

APT

Advanced Persistent Threat

SSL

Secure Sockets Layer

VPN

Virtual Private Network

DoS

Denial of Service

DDoS

Distributed Denial of Service


DNS

Domain Name System

SQL

Structured Query Language

SIEM

Security Information and Event Management

CMS

Content Management System

RCE

Remote Code Execution

i


DANH MỤC HÌNH VẼ

Hình 1.1 Tổng quan các cuộc tấn cơng mạng trong 5 tháng đầu năm 2020 ................... 7
Hình 1.2 Top 10 quốc gia gặp phải phần mềm theo dõi trong năm 2019 ....................... 8
Hình 2.1 Các giai đoạn của một cuộc tấn cơng bằng mơ hình Cyber Kill Chain ......... 18
Hình 2.2 Năm nguyên tắc bảo mật dựa trên mối đe dọa của MITRE ........................... 20

Hình 2.3 Các giai đoạn của một cuộc tấn công APT theo mô hình Cyber Kill Chain .. 24
Hình 2.4 Các kỹ thuật được sử dụng trong giai đoạn Initial Access & Execution của
Mustang Panda .............................................................................................................. 44
Hình 2.5 Hình ảnh minh họa phishing qua email.......................................................... 44
Hình 2.6 Ví dụ chèn VBScript trong file .lnk ............................................................... 45
Hình 2.7 Hình ảnh minh họa cho việc thiết lập run key trong registry ......................... 47
Hình 2.8 File unsecapp.exe gọi hàm LoadLibraryW để nạp http_dll.dll ...................... 47
Hình 2.9 Hình ảnh mơ phỏng q trình chèn SQL để tải tệp độc hại ........................... 48
Hình 2.10 Hình mơ tả Chuỗi tấn công của Earth Baku sử dụng khai thác lỗ hổng
ProxyLogon ................................................................................................................... 49
Hình 2.11 Hình minh họa Earth Baku sử dụng email để gửi liên kết độc hại .............. 49
Hình 2.12 Hình mơ tả cài đặt StealthMutant thơng qua InstallUtil.exe ........................ 50
Hình 2.13 StealthMutant thực hiện quá trình hollowing để thực thi payload của nó ... 50
Hình 2.14 Q trình StealthVector ghi đè DLL mục tiêu bằng payload độc hại của nó
....................................................................................................................................... 51
Hình 2.15 Hình minh hoạ cơng cụ PEid ....................................................................... 56
Hình 2.16 Hình minh hoạ cơng cụ Detect It Easy......................................................... 56
Hình 2.17 Hình minh hoạ cơng cụ Xvolkolak .............................................................. 57
Hình 2.18 Hình ảnh mơ tả q trình unpack file ........................................................... 57
Hình 2.19 Hình ảnh cơng cụ Exeinfo PE ...................................................................... 58
Hình 2.20 Hình ảnh cơng cụ PE bear ............................................................................ 58
Hình 2.21 Hình ảnh cơng cụ CFF explorer ................................................................... 59
Hình 2.22 Hình minh họa IDA ...................................................................................... 60

ii


Hình 2.23 Hình minh họa cơng cụ x32dbg/x64dbg ......................................................60
Hình 2.24 Hình ảnh minh họa cho Regshot ..................................................................61
Hình 2.25 Hình minh họa cơng cụ Autoruns .................................................................62

Hình 2.26 Hình ảnh bên trong của TCPView ................................................................63
Hình 2.27 Hình ảnh các tiến trình trong Proces Explorer .............................................64
Hình 2.28 Giao diện hoạt động của Process Monitor ....................................................65
Hình 2.29 Danh sách các tiến trình trong Process Monitor...........................................65
Hình 2.30 Hình ảnh minh họa sau khi lọc 1 process tên unsecap.exe...........................66
Hình 2.31 Đánh dấu các thơng tin cần thiết ..................................................................66
Hình 2.32 Hình minh họa Wireshark .............................................................................67
Hình 2.33 File word có chứa mã macro độc hại( liên quan đến APT32 gần đây mới
được upload trên virustotal)...........................................................................................68
Hình 2.34 Hình minh họa sử dụng Cerbero Suite để phát hiện ra mã VBA được chèn
trong file word. ..............................................................................................................68
Hình 2.35 Hình ảnh minh họa việc phân tích log bằng SIEM ......................................70
Hình 2.36 Các thành phần trong hệ thống SIEM ..........................................................71
Hình 3.1 Giao diện trang login của website bị tấn cơng ...............................................77
Hình 3.2 Dùng cơng cụ Burpsuite để thực hiện tấn cơng bruteforce ............................77
Hình 3.3 Thực hiện bruteforce thành cơng, login vào website .....................................78
Hình 3.4 Thực hiện up web Shell lên server web ..........................................................78
Hình 3.5 Remote từ máy attacker ..................................................................................79
Hình 3.6 Kiểm tra phiên bản Kernel Linux ...................................................................79
Hình 3.7 Sử dụng payload của CVE 2016-4557 để leo thang quyền root ....................80
Hình 3.8 Thực hiện leo thang quyền root thành cơng ...................................................80
Hình 3.9 Phát hiện tấn cơng bruteforce .........................................................................81
Hình 3.10 Phát hiện file 404.php bị thay đổi nội dung .................................................82
Hình 3.11 Phát hiện kết nối CNC ..................................................................................83
Hình 3.12 Các lệnh mà Attacker đã thực hiện trên hệ thống .........................................84
Hình 3.13 Phát hiện dấu hiệu leo quyền ........................................................................84

iii



DANH MỤC BẢNG BIỂU

Bảng 1.1 Biểu đồ đầu tư vào ngành an ninh mạng trong giai đoạn 2011-2020 .............. 9
Bảng 1.2 Một số loại hình tấn cơng mạng .................................................................... 10
Bảng 3.1 Bảng mơ tả cấu hình các máy được sử dụng trong bài Lab........................... 75
Bảng 3.2 Bảng map các kỹ thuật tấn công dựa trên Mitre ATT&CK ........................... 85

iv


TÓM TẮT ĐỒ ÁN

Nội dung cuốn đồ án này nhằm mục đích đưa ra một cái nhìn tổng quan nhất về tấn
cơng có chủ đích APT. Mục tiêu bản báo cáo là trình bày được hiện trạng của an ninh
mạng trong nước và thế giới, các xu hướng tấn công hiện đang phổ biến, khái niệm về
tấn công APT là gì, thực trạng về các cuộc tấn cơng APT. Tiếp tới sẽ đưa ra và phân
tích các giai đoạn của một cuộc tấn công APT, ánh xạ các kĩ thuật tấn cơng tương ứng
với từng giai đoạn đó, đưa ra một vài ví dụ, phân tích các ví dụ đó nhằm làm nổi bật
được các kĩ thuật được sử dụng trong cuộc tấn công. Phần cuối cùng của bản báo cáo
sẽ là demo thực nghiệm về một cuộc tấn công APT, đánh giá tổng quan và kết luận.

v


CHƯƠNG 1. TỔNG QUAN VỀ AN NINH MẠNG VÀ TẤN
CÔNG APT

Các cuộc tấn công mạng đã tồn tại từ rất lâu, kể từ khi Internet ra đời và đã phát
triển nhanh chóng qua các thập kỷ. Từ viruses, worms trong những ngày đầu cho tới
các malware, botnet như ngày nay. Trong những năm gần đây, một mối đe dọa mới,

tấn cơng có chủ đích (APT), đã xuất hiện. Ban đầu thuật ngữ trên được sử dụng để mô
tả các cuộc tấn công mạng nhằm chống lại các tổ chức quân sự, nhưng đến nay, APT
đã phát triển và khơng cịn nằm trong giới hạn mục đích quân sự. Trong bài báo cáo
này, trước tiên nhóm nghiên cứu sẽ giới thiệu về các đặc điểm của APT và so sánh sự
khác nhau giữa APT và các mối đe dọa truyền thống.

1.1 Tổng quan về an ninh mạng
1.1.1 Thực trạng về an tồn khơng gian mạng trong nước và quốc tế
An ninh mạng hay còn được hiểu là an ninh mạng máy tính, bảo mật cơng nghệ
thơng tin là việc bảo vệ hệ thống tránh khỏi các hành vi trộm cắp hoặc làm tổn hại đến
phần cứng, phần mềm và dữ liệu cũng như các nguyên nhân dẫn đến sự gián đoạn và
chuyển lệch hướng của các dịch vụ đang được cung cấp.
Đối với một quốc gia, an ninh mạng được hiểu là độc lập, chủ quyền, lợi ích quốc
gia trên khơng gian mạng, sự an toàn, phát triển ổn định, vững mạnh của lĩnh vực
thông tin, hệ thống thông tin quốc gia. An ninh mạng là nội dung trọng tâm của an
ninh quốc gia trong điều kiện mới, có mối quan hệ chặt chẽ với các vấn đề an ninh
truyền thống khác như an ninh chính trị nội bộ, an ninh quân sự, an ninh văn hóa tư
tưởng, an ninh kinh tế, an ninh xã hội. Nguy cơ gây mất an ninh mạng là mối đe dọa
lớn và ngày càng gia tăng đối với an ninh quốc gia, an ninh quốc tế.
Theo thống kê của Trung tâm Giám sát an toàn khơng gian mạng quốc gia, Cục An
tồn thơng tin, Bộ Thơng tin và truyền thơng cũng cho thấy, tính từ đầu năm nay đến
hết tháng 5/2020, tổng số cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam
dẫn đến số sự cố là 1.495 cuộc, giảm 43,9% so so với cùng kỳ 5 tháng đầu năm 2019.
Trong gần 1.500 sự cố tấn công mạng vào các hệ thống thơng tin nói trên, tấn cơng lừa


đảo (Phishing) vẫn chiếm đa số, với 701 cuộc, chiếm 46,9%; số cuộc tấn công thay đổi
giao diện (Deface) là 498 cuộc, chiếm 33,3% và số cuộc tấn công cài mã độc
(Malware) là 296 cuộc, chiếm 19,7%. [1]


Hình 1.1 Tổng quan các cuộc tấn công mạng trong 5 tháng đầu năm 2020

Báo cáo International Privacy Day Report 2020 của Kaspersky cho thấy Việt Nam
đứng thứ 9 trên toàn cầu về mức độ bị ảnh hưởng bởi phần mềm gián điệp, với 7.216
người dùng bị tấn công vào năm 2019. Tổng số người dùng bị ảnh hưởng bởi phần
mềm gián điệp năm 2019 tại Việt Nam đã tăng 21,54%, từ 5.937 người dùng trong
năm 2018

[2]

. Phần mềm gián điệp có khả năng xâm nhập vào thông tin của người

dùng, giúp thủ phạm truy cập tin nhắn, hình ảnh, thơng tin mạng xã hội, định vị, âm
thanh hoặc video của nạn nhân. Các phần mềm gián điệp chạy ẩn trong thiết bị mà
không được sự nhận thức và cho phép của người dùng.

[1]

/>
nay
[2]

/>
2020-Kaspersky-report.pdf


Hình 1.2 Top 10 quốc gia gặp phải phần mềm theo dõi trong năm 2019

Theo nghiên cứu, dự kiến chỉ trong 5 năm từ 2018 đến 2023, thế giới sẽ chịu hơn
146 tỷ cuộc tấn công mạng. Nghiên cứu trên chỉ thống kê và dự đốn những cuộc tấn

cơng được báo cáo. Tức số lượng những cuộc tấn công mạng chưa được phát hiện vẫn
là ẩn số (vì các tổ chức như tài chính ngân hàng, sẽ khơng bao giờ cơng bố thơng tin
mình bị tấn cơng mạng, điều đó sẽ làm ảnh hưởng nghiêm trọng tới lòng tin của khách
hàng vào dịch vụ tài chính mà họ cung cấp). Con số đó chắc chắn sẽ kinh khủng hơn
146 tỷ rất rất nhiều lần.
Đứng trước các nguy cơ bị tấn công mạng đầy tiềm ẩn, hiện các doanh nghiệp cũng
như các tổ chức đã quan tâm hơn tới vấn đề bảo vệ hệ thống thông tin và tài sản số của
mình. Tại Mỹ, quốc gia dẫn đầu về số tiền mà ngành công nghiệp an ninh mạng đã huy
động được gần 30 tỷ USD trong 1 thập kỷ qua. Từ năm 2019 đến năm 2020, vốn tài
trợ cho an ninh mạng đã tăng 22%. Trong khi đó, thị trường vốn đầu tư mạo hiểm nói
chung tại Mỹ ghi nhận sự tăng trưởng 15%. Dữ liệu từ Crunchbase cho thấy, vốn đầu
tư mạo hiểm cho an ninh mạng đang có xu hướng tăng lên trong thập kỷ qua, với


khoảng 1.500 công ty nhận được tài trợ kể từ năm 2017. Trong đó, 58% cơng ty trong
giai đoạn gọi vốn hạt giống và 32% là các công ty giai đoạn đầu [1].

Bảng 1.1 Biểu đồ đầu tư vào ngành an ninh mạng trong giai đoạn 2011-2020

Biểu đồ đầu tư vào ngành an ninh mạng
9

800

8

700

7


600

6

500

5

400

4

300

3
2

200

1

100

0

2011

2014

2017


2020

Số vốn được đầu tư(tỷ USD)

0.8

2.4

4.9

7.8

Số công ty được đầu tư

154

468

706

665

Số vốn được đầu tư(tỷ USD)

0

Số công ty được đầu tư

Năm 2020, Covid-19 bùng phát, hàng loạt doanh nghiệp, cơ quan, tổ chức chuyển

sang làm việc từ xa. Nhiều đơn vị buộc phải mở hệ thống ra internet để nhân viên có
thể truy cập và làm việc tại nhà. Các phần mềm làm việc trực tuyến được tìm kiếm và
download rầm rộ. Điều này tạo mơi trường cho kẻ xấu khai thác lỗ hổng, tấn công,
đánh cắp thơng tin. Vì vậy, địi hỏi các tổ chức doanh nghiệp phải biết cách thiết lập
môi trường kết nối an toàn bằng các giải pháp như SSL, VPN… đánh giá an ninh hệ
thống, đánh giá phần mềm trước khi công khai ra internet, cài đặt phần mềm diệt virus,
tường lửa, hệ thống giám sát, … thường xuyên cập nhật bản vá hệ điều hành, trang bị
phương thức xác thực người dùng mạnh như chữ ký số.

[1]

/>
107019


1.1.2 Các hình thức và mục đích tấn cơng mạng hiện nay
Tấn công mạng là bất kỳ hành động nào nhằm vào hệ thống máy tính, cơ sở hạ
tầng, mạng máy tính hoặc thiết bị cá nhân để đánh cắp, thay đổi hoặc phá hủy dữ liệu
hay hệ thống thông tin.
Có hai kiểu tấn cơng mạng chính là: passive và active. Trong các cuộc tấn công
mạng passive, các bên tấn cơng có quyền truy cập trái phép vào mạng, theo dõi và
đánh cắp dữ liệu cá nhân mà không thực hiện bất kỳ thay đổi nào. Các cuộc tấn công
mạng active liên quan đến việc sửa đổi, mã hóa hoặc làm hỏng dữ liệu.
Tấn cơng mạng có rất nhiều hình thức tấn công khác nhau, bảng dưới đây so sánh
một số loại hình tấn cơng phổ biến hiện nay.
Bảng 1.2 Một số loại hình tấn cơng mạng

LOẠI TẤN CƠNG

Tấn cơng bằng phần mềm độc hại

(Malware attack)

Tấn công giả mạo
(Phishing attack)

ĐẶC ĐIỂM
Malware là phần mềm độc hại, được kết
hợp giữa hai từ "malicious" và "software".
Đây là một trong những hình thức đe dọa
mạng phổ biến nhất. Tội phạm mạng và
các hacker tạo ra malware với mục đích
làm phá vỡ hoặc hư hỏng máy tính của
người dùng hợp pháp. Malware thường
được sử dụng nhằm phục vụ cho mục đích
kiếm tiền hoặc tham gia vào các cuộc tấn
cơng mạng có động cơ chính trị.
Phishing là hình thức giả mạo thành một
đơn vị/cá nhân uy tín để chiếm lấy lịng
tin của người dùng, với mục tiêu nhắm
đến việc đánh cắp dữ liệu cá nhân nhạy
cảm như thơng tin thẻ tín dụng, mật khẩu,
tài khoản đăng nhập hoặc cài đặt các phần
mềm độc hại vào máy tính nạn nhân.
Phishing thường được thực hiện bằng
cách sử dụng thư điện tử (email) hoặc tin
nhắn.


Tấn công trung gian
(Man-in-the-middle attack)


Tấn công từ chối dịch vụ
(DoS và DDoS)

Tấn công cơ sở dữ liệu
(SQL injection)

Khai thác lỗ hổng Zero-day
(Zero day attack)

Hay cịn gọi là tấn cơng nghe lén, xảy ra
khi kẻ tấn công mạng xâm nhập vào một
giao dịch đang diễn ra giữa 2 đối tượng,
một khi đã xen vào thành cơng, chúng có
thể chắt lọc và đánh cắp dữ liệu. Một số
biến thể của tấn công trung gian có thể kể
đến như đánh cắp mật khẩu, chuyển tiếp
các thông tin không xác thực. Trong một
số trường hợp, kẻ tấn cơng cịn cài đặt các
ứng dụng khác nhằm thu thập thông tin về
nạn nhân thông qua phần mềm độc hại
(malware).
Hình thức tấn cơng mà tin tặc đánh sập
một hệ thống hoặc máy chủ tạm thời bằng
cách tạo ra một lượng traffic khổng lồ ở
cùng một thời điểm khiến cho hệ thống bị
quá tải. Khi đó, người dùng không thể
truy cập vào mạng trong thời gian tin tặc
tấn cơng. Hình thức tấn cơng này chủ yếu
nhắm vào các mục tiêu như: website, máy

chủ trò chơi, máy chủ DNS… làm chậm,
gián đoạn hoặc đánh sập hệ thống.
Hacker chèn một đoạn code độc hại vào
server sử dụng ngôn ngữ truy vấn có cấu
trúc (SQL), mục đích là để khiến máy chủ
trả về những thông tin quan trọng mà lẽ ra
không được tiết lộ. Các cuộc tấn công
SQL Injection xuất phát từ lỗ hổng của
website, hacker có thể tấn cơng đơn giản
bằng cách chèn một đoạn mã độc vào
thanh công cụ "Tìm kiếm" là đã có thể dễ
dàng tấn cơng những website với mức bảo
mật yếu.
Lỗ hổng Zero-day (hay còn gọi là 0-day)
là thuật ngữ để chỉ những lỗ hổng phần
mềm hoặc phần cứng chưa được biết đến


và chưa được khắc phục. Các hacker có
thể tận dụng lỗ hổng này để tấn công xâm
nhập vào hệ thống máy tính của doanh
nghiệp, tổ chức nhằm đánh cắp hoặc thay
đổi dữ liệu.
Tấn cơng có chủ đích
(Advanced Persistent Threats)

Chi tiết về loại hình tấn cơng này sẽ được
đề cập chi tiết trong mục 1.2

Bên cạnh những mục đích phổ biến như trục lợi phi pháp, tống tiền doanh nghiệp,

hiện thị quảng cáo kiếm tiền, thì cịn tồn tại một số mục đích khác phức tạp và nguy
hiểm hơn: cạnh tranh không lành mạnh giữa các doanh nghiệp, tấn công an ninh hoặc
kinh tế của một quốc gia, tấn công đánh sập một tổ chức tơn giáo,….Ngồi ra, một số
hacker tấn cơng mạng chỉ để mua vui, thử sức, hoặc tị mò muốn khám phá các vấn đề
về an ninh mạng.

1.2 Tổng quan tấn cơng có chủ đích APT
1.2.1 Khái niệm
Advanced Persistent Threats (viết tắt APT) đề cập đến một quá trình tấn cơng máy
tính liên tục, trong đó một tội phạm mạng thực hiện một cuộc tấn công kéo dài chống
lại một mục tiêu cụ thể. APT không phải là mối nguy hiểm an ninh mạng. APT là hoạt
động dài hạn được thiết kế để xâm nhập và trích xuất càng nhiều dữ liệu có giá trị càng
tốt mà khơng bị phát hiện. APT có thể kéo dài trong nhiều tháng và có thể gây thiệt hại
khơng kể xiết cho một doanh nghiệp trong việc dữ liệu bị đánh cắp và bí mật thương
mại.
Chúng là những cuộc tấn cơng mạng có tổ chức gây ra bởi một loạt các tác nhân đe
dọa tinh vi. APT không phải là các cuộc tấn công đánh phá, lấy cắp dữ liệu trong thời
gian ngắn như các mối đe dọa an ninh mạng thông thường. Những đối tượng này
thường lên kế hoạch cho chiến dịch tấn công của chúng một cách cẩn thận để nhắm
vào các mục tiêu chiến lược và thực hiện tấn cơng mục tiêu đó trong một khoảng thời
gian dài.
APT là hình thức tấn cơng phức tạp liên quan đến nhiều giai đoạn và một loạt các
kỹ thuật tấn công, nhiều phương cách tấn công phổ biến. Ban đầu chúng được giới


thiệu là một phần của chiến dịch APT với việc khai thác các lỗ hổng zero-day và
malware, đánh cắp thông tin đăng nhập và sử dụng các công cụ mở rộng phạm vi
kiểm sốt là những ví dụ nổi bật nhất. Các chiến dịch APT thường có xu hướng liên
quan đến nhiều mơ hình tấn cơng và nhiều điểm truy cập.
1.2.2 Hiện trạng các cuộc tấn công APT trên thế giới

Tấn cơng mạng có chủ đích là hình thức tấn cơng nguy hiểm và phức tạp, rất khó
để có thể nhận biết một hệ thống đã bị tấn công APT hay không. Thường các nạn nhân
sau khi bị tấn công lợi dụng khai thác dữ liệu trong một thời gian dài mới phát hiện ra
được hệ thống đã bị tấn cơng. Những cuộc tấn cơng có chủ đích được lên kế hoạch bài
bản với từng đối tượng cụ thể, kẻ tấn cơng có thể dành thời gian vài tháng hoặc thậm
chỉ vài năm chỉ để nhắm tới và tấn công vào một điểm yếu của nạn nhân. Điều này rất
khó để có thể kiểm sốt và thống kê các cuộc tấn công.
Hồi tháng 6/2015, SkyEye, thuộc công ty Trung Quốc Qihoo 360 báo cáo một
nhóm tin tặc APT32 (tên khác: OceanLotus, SeaLotus, Cobalt Kitty) có nguồn gốc từ
Việt Nam đã tấn công liên tục vào các mục tiêu của Trung Quốc như cơ quan chính
phủ, các viện nghiên cứu và các công ty ở Bắc Kinh và Thiên Tân trong ba năm liền.
Cùng khoảng thời gian đó, đầu năm 2016, nhóm này đã tấn cơng một tập đồn hàng
hố thương mại và hãng cơ sở hạ tầng công nghệ của Philippines, cùng với một số
công ty, doanh nghiệp ở Việt Nam. Theo báo cáo của FireEye, một công ty an ninh
mạng của Mỹ, nói rằng nhóm tin tặc đã liên tục cập nhật công nghệ đột nhập, khai thác
thông tin để chiếm đoạt nhiều thông tin quan trọng hơn.
Hay vào ngày 10/06/2017, cơng ty lưu trữ web có trụ sở tại Hàn Quốc Nayana đã
trở thành một trong những nạn nhân quan trọng của ransomware sau khi 153 máy chủ
Linux của họ bị phát hiện bị nhiễm ransomware Erebus do nhóm APT37, nghi ngờ là
cơ quan gián điệp của Triều Tiên phát triển, được phát hiện bởi Trend Micro dưới dạng
biến thể RANSOM_ELFEREBUS_A. Cuộc tấn công ransomware đã ảnh hưởng đến các
trang web, cơ sở dữ liệu và các tệp đa phương tiện của khoảng 3.400 doanh nghiệp sử
dụng dịch vụ của Nayana. Bọn tội phạm mạng yêu cầu thanh tốn 550 bitcoin (hơn 1,6
triệu USD) để mở khóa các tệp được mã hóa. NAYANA sau khi thương lượng với bọn
tội phạm mạng đã đồng ý trả 397,6 bitcoin (khoảng 1,01 triệu USD) trong ba đợt.


Gần đây nhất, ngày 21/05/2020, Air India, hãng hàng không hàng đầu của Ấn Độ,
đã công bố một tuyên bố chính thức trên trang web của họ về một vụ vi phạm dữ liệu.
Thông báo cho biết vi phạm là do sự cố hồi tháng 2 tại nhà cung cấp dịch vụ CNTT

của hãng hàng không, nơi chịu trách nhiệm xử lý thông tin nhận dạng cá nhân (PII)
của khách hàng. Ngay sau thông báo công khai của Air India, cơ sở dữ liệu được cho
là liên quan đến vi phạm an ninh của họ đã được rao bán trên thị trường chợ đen với
giá 3000 USD. Bằng cách sử dụng các cơng cụ săn tìm mối đe dọa bên ngồi, nhóm
Tình báo Đe dọa của Group-IB sau đó đã phát hiện và quy kết trách nhiệm cho một
nhóm tội phạm quốc gia-nhà nước Trung Quốc được gọi là APT41. Chiến dịch có tên
mã là “ColunmTK”. Cuộc tấn cơng mạng nhằm vào nhà cung cấp dịch vụ CNTT này
đã ảnh hưởng đến 4.500.000 đối tượng dữ liệu trên toàn cầu, bao gồm cả dữ liệu liên
quan đến khách hàng của Air India.
Theo thống kê của Mandiant, một công ty con của FireEye, hiện đang có khoảng
128 nhóm hacker trên tồn cầu đã được phát hiện và đặt tên, trong đó có 41 nhóm APT
hiện đang cịn hoạt động trên nhiều khu vực như Trung Quốc, Nga, Việt Nam, Iran, …

1.3 Quy mơ, đối tượng ảnh hưởng
Mỗi nhóm APT thường hoạt động trong các khu vực khác nhau, có mục tiêu khác
nhau qua từng thời điểm, nhưng đa số các nhóm hacker này được sự tài trợ của các tổ
chức cũng như chính phủ nên sẽ thường nhắm tới các mục tiêu là các đơn vị qn sự,
cơng ty tài chính, cơ quan chính phủ, cơ quan truyền thơng,… nhằm phục vụ lợi ích
cho tổ chức, nhà nước.
Ví dụ như APT37, vào thời điểm những năm 2012 nhóm tập trung vào việc nhắm
các mục tiêu chủ yếu là các công ty công và tư nhân ở Hàn Quốc. Nhưng tới những
năm 2017, APT37 đã mở rộng mục tiêu ra ngoài bán đảo Triều Tiên bao gồm Nhật
Bản, Việt Nam và Trung Đông, và sang nhiều ngành quan trọng hơn, bao gồm hóa
chất, điện tử, sản xuất, hàng khơng vũ trụ, ơ tơ và các trung tâm y tế, chăm sóc sức
khỏe. Việc chuyển đổi mục tiêu cũng như mở rộng tầm ảnh hưởng, tấn công ra các
nước khác trong khu vực cho thấy sự thay đổi trong mục đích của nhóm APT này
khơng chỉ cịn nhằm chống phá, tổn hại nền kinh tế của Nam bán đảo Triều Tiên mà đã
dần chuyển sang mục đích thu thập thơng tin, cơng nghệ nhằm phục vụ cho việc phát
triển trong nước.



Hay như vào tháng 2 năm 2020, nhóm APT32 của Việt Nam đã tấn cơng vào các
cơ quan chính phủ thành phố Vũ Hán và bộ Quản lý khẩn cấp của cộng hịa nhân dân
Trung Hoa nhằm tìm kiếm các thông tin điều tra về Covid-19. Mới gần đây, website tài
chính Bloomberg đã tố cáo nhóm này chính là thủ phạm đứng sau những hoạt động tấn
công nhắm vào các cơng ty sản xuất xe hơi nước ngồi như Toyota, Hyundai… Mục
tiêu của họ có thể nhằm khai thác thơng tin của những đối thủ này và phục vụ cho lợi
ích của ngành cơng nghiệp xe hơi của Việt Nam.

1.4 Sự khác biệt của APT với các mối đe dọa truyền thống
Để có thể đạt được mục đích của mình, những kẻ tấn công APT thường sử dụng
nhiều kỹ thuật, dựa trên email để bắt đầu cuộc tấn công bao gồm giả mạo email và lừa
đảo, cùng với sự hỗ trợ của các kỹ thuật khai thác vật lý và khai thác xã hội. Dưới đây
là một số các đặc điểm của hình thức tấn cơng này mà khơng tìm thấy được trong các
hình thức tấn cơng khác:
-

Do thám: Những kẻ tấn cơng thường có thơng tin tình báo bên trong, biết được
đối tượng đang bị nhắm tới cụ thể là ai và hệ thống mà nạn nhân đang sử dụng
là gì, từ đó giúp chúng dễ dàng xây dựng được phương án cụ thể để thực hiện
tấn công nạn nhân. Những thông tin này thường được thu thập thông qua kỹ
thuật xã hội, trên các diễn đàn cộng đồng và rất có thể là do tình báo an ninh
quốc gia-nhà nước gửi về.

-

Thời gian tồn tại: Để có thể khai thác tối đa nguồn lợi ích từ nạn nhân, kẻ tấn
công thường sử dụng các kỹ thuật để tránh bị phát hiện trong thời gian dài,
không chỉ là một giai đoạn lây nhiễm ngắn ngủi mà ta thường thấy trong các
cuộc tấn cơng có mục đích đe dọa, tống tiền nạn nhân. Ở đây, chúng sẽ cố gắng

dọn dẹp dấu vết do mình để lại và thực hiện các hành vi thu thập trong khoảng
thời gian nạn nhân không hoạt động. Kẻ tấn công sẽ luôn để lại backdoor trong
hệ thống nhằm giúp chúng có thể truy nhập lại trong trường hợp truy cập ban
đầu của chúng bị phát hiện. Điều này cho phép chúng xuất hiện một cách lâu
dài, liên tục trong hệ thống.

-

Phần mềm độc hại nâng cao: Đối với những cuộc tấn cơng có chủ đích, hacker
sẽ sử dụng cả các kỹ thuật xâm nhập đã được biết đến, có sẵn cũng như việc kết
hợp, sử dụng thêm một số phương pháp đặc thù để đạt được mục tiêu nhắm tới


của họ. Những kẻ tấn công APT thường sử dụng các phần mềm và tool xâm
nhập có sẵn trên thị trường, nhưng cũng có nhiều đối tượng thực sự có kĩ năng,
chuyên môn cao để tự tạo ra các công cụ tùy chỉnh và phần mềm tấn cơng của
riêng mình, trong trường hợp phải đối mặt với môi trường, hệ thống chuyên
biệt.
-

Lừa đảo: Tấn công APT thường sử dụng các kỹ thuật khai thác trên internet,
bắt đầu từ những kỹ thuật xã hội và lừa đảo. Một khi máy người dùng bị xâm
phạm hoặc thơng tin đăng nhập bị rị rỉ, những kẻ tấn công sẽ ngay lập tức thực
hiện các bước tiếp theo để triển khai công cụ của chúng nhằm theo dõi và lây
lan qua mạng, từ máy đến máy và mạng với mạng, cho đến khi nào chúng tìm
thấy thơng tin liên quan tới mục tiêu, hữu ích cho việc phục vụ q trình tấn
cơng nạn nhân.

-


Tấn công chủ động: Trong mỗi một cuộc tấn công, luôn có sự tham gia của
yếu tố con người; khơng giống như mã độc chỉ tự động gửi lại dữ liệu thu thập
được cho kẻ tấn công mà ta thường thấy trong các cuộc tấn cơng phần mềm.
Thay vào đó, kẻ thù trong trường hợp này là một kẻ tấn công được nhận sự tài
trợ từ cơ quan, đơn vị, tổ chức, nhà nước nào đó, có mục đích, có kỹ năng và có
định hướng từ đó làm cho việc tiếp cận, phản ứng của chúng đối với các cuộc
tấn công vào mục tiêu vô cùng nhanh nhạy.


CHƯƠNG 2. CÁC PHƯƠNG PHÁP TẤN CÔNG APT - CÁCH
THỨC PHÁT HIỆN VÀ PHỊNG CHỐNG

Hiện nay, để phân tích một cuộc tấn công nhắm vào hệ thống mạng, người ta
thường sử dụng một trong hai mơ hình phân tích tấn cơng Cyber Kill Chain hoặc Mitre
ATT&CK. Thoạt nhìn chung hai mơ hình này có vẻ giống nhau nhưng thực sự cách
hoạt động của chúng ra sao, điểm đặc biệt riêng của mỗi hệ thống này như nào, việc
các mơ hình này được ứng dụng vào phân tích tấn cơng APT, chúng sẽ được để cập
trong nội dung tiếp tới của chương.

2.1 Giới thiệu về mơ hình nghiên cứu Cyber killchain và Mitre ATT&CK
2.1.1 Tổng quan về mơ hình Cyber Kill Chain
Cyber Kill Chain là một chuỗi các bước theo dõi những giai đoạn của một cuộc tấn
cơng mạng (cyberattack), tính từ giai đoạn thu thập thông tin (reconnaissance) cho đến
khi thực hiện đánh cắp dữ liệu. Cyber Kill Chain giúp các quản trị viên hiểu thêm về
các cuộc tấn công ransomware hay APT, cũng như cách ngăn chặn chúng.
Mỗi giai đoạn trong Cyber Kill Chain đều liên quan đến một loại hoạt động nhất
định nào đó ở trong cyberattack, bất kể là internal hay external attack. Chúng bao gồm
8 giai đoạn:
-


Giai đoạn 1: Reconnaissance (Thu thập thông tin)

-

Giai đoạn 2: Intrusion (Xâm nhập)

-

Giai đoạn 3: Exploitation (Khai thác)

-

Giai đoạn 4: Privilege Escalation (Leo thang đặc quyền)

-

Giai đoạn 5: Lateral Movement (Lây lan lân cận)

-

Giai đoạn 6: Obfuscation / Anti-forensics

-

Giai đoạn 7: Denial of Service (Từ chối dịch vụ)

-

Giai đoạn 8: Exfiltration (Trích xuất dữ liệu)