CHÀO MỪNG CƠ VÀ CÁC BẠN
ĐẾN VỚI BÀI THUYẾT TRÌNH CỦA
NHĨM 3-LỚP..

APT

NGƠ A (Powerpoint + Thuyết trình)
PHAN B (Dịch bài)
NGUYỄN C (Dịch bài)


ADVANCED PERSISTENT THREAT –
những mối nguy hiểm cao thường
trực. Là dạng tấn công nhắm mục
tiêu sử dụng rất nhiều công nghệ,
bao gồm cả phần mềm tải,
Microsoft SQL ® injection, phần
mềm độc hại, phần mềm gián điệp,
lừa đảo trực tuyến, và thư rác.


Khác nhau giữa APT với các dạng
tấn công mục tiêu khác là gì ?

Tùy
chỉnh
các
cuộc
tấn
cơng

Thấp
và
chậm

Khát
vọng
cao

Mục
tiêu


Tùy
Khát
chỉnh
Thấp
vọn
các
Mục
và
cuộc
tiêu
g
chậm
tấn
cao
cơng

APT được thiết kế để
Các

cáo
rộng
rãi về
Những
cuộc
tấn
cơng
làmbáo
thỏa
mãn
những
các
cuộc
tấn
cơng
APT
u
cầu
của
gián
điệpđã
APT
xuất
hiện
trong
được đưa ra tại chính
quốc
tếgian
và
là

các
APT
thường
sử
dụng
thời
dài
khi
phủ,
các
cơ hoặc
sở
vật
chất,
dịchquốc
các chiến
nhà
thầu
những
kẻ
tấn
cơng
những
cơng
cụ
tùy
Mục tiêu
của
APT
bao

phịng,
và
nhà
sản
xuất
âm thầm hoạt động
biến
caophẩm
và
gồm
sự,các
chính
trị,
các qn
sản
cócơng
tính
với thu
sự
giám
sát
vàthị
cạnh
tranh
cao
trên
hoặc
thập
thơng
tin

nghệ
xâm
nhập,
được
tương
tác
liên
tục
cho
trường
tồn
cầu.
tình
báo
kinh
tế,
dữBên
liệu
cạnh
đó,
APT
cóbiệt
thể
tấn
phát
triển
đặc
cho
đến
khi

những
kẻ
bí
mật
hoặc
mối
đe tấn
dọa
cơng nhà
cung
cấp
hoặc
cơng
đạt
được
những
thương
mại
bí
mật,
gián
chiến
dịch
..
đối
tác hoạt
tổ chức
làm
kinh
đoạn

động
hay
mục đích xác định
doanh với mục tiêu chính
thậm chí
phá
của
họ.
của
họhủy các
thiết bị


Các APT
liên
quan
như thế
nào?

Dù không phải tất cả các tổ chức đều
trơng có vẻ là mục tiêu của APT,
nhưng chúng là mối đe dọa có thật và
nghiêm trọng.

Bất kì tổ chức nào cũng có lợi ích từ
việc hiểu rõ hơn về APT, bởi kĩ thuật
APT có khả năng được tăng thêm bởi
hacker chính và tội phạm mạng.
Cuối cùng, bất kì ai cũng có thể là đối
tượng của cuộc tấn cơng và APT là ví

dụ của các cuộc tấn cơng mục tiêu cao
cấp, dài hạn và quy mô lớn. Nếu bạn
hiểu rõ APT hơn, bạn có thể bảo vệ tổ
chức của mình trước bất kì mối đe
dọa nào.


Tấn công APT hoạt
động như thế nào?

Xâm
nhập

Lục lọi

Chiếm
giữ

Chuyển
dữ liệu


GIAI ĐOẠN 1: XÂM NHẬP
Khi lên mục tiêu tấn công, hacker thường xâm
nhập vào mạng của các tổ chức sử dụng kỹ thuật
xã hội, lỗ hổng zero-day, lây nhiễm SQL, malware
hoặc các phương thức khác.
Trong khi các cuộc tấn công thơng thường có
mục tiêu ngắn hạn, sử dụng phương pháp smash
and grab, các cuộc xâm nhập của APT được thiết

kế để tạo một đầu cầu để từ đó bắt đầu hoạt
động bí mật trong thời gian dài.


Lỗ
hổng
zeroday

Hoạt
động
thủ
công


Do
thám

Kĩ thuật
xã hội

Tấn công APT thường thuê một số lượng lớn
những người nghiên cứu có thể dành nhiều tháng
tìm hiểu các mục tiêu của họ và tự làm quen với
các hệ thống, quy trình, và con người, kể cả đối tác
và nhà cung cấp. Thơng tin có thể được thu thập
trực tuyến và sử dụng các phương pháp theo dõi
thông thường.

Sự xâm nhập thường được thực hiện qua việc
sử dụng kĩ thuật xã hội, như là lợi dụng sự tin

tưởng của các nhân viên để ấn vào các đường
link hay mở file đính kèm cái mà tới từ các
đồng nghiệp và đối tác tin cậy.


Lỗ hổng
zero-day

Zero-day là các lỗ hổng bảo mật mà các nhà phát
triển phần mềm khơng biết đến và do đó có thể
được khai thác bởi kẻ tấn cơng trước khi nhà phát
triển có thể cung cấp một bản vá hoặc sửa chữa.
Kết quả là, mục tiêu bị tấn công không có bất kì
một sự chuẩn bị nào, họ hồn tồn mất cảnh giác.

Hoạt
động thủ
công

Những cuộc tấn công thông thường hoặc trên diện
rộng thường tự động tấn công để tối đa hóa khả
năng thành cơng. “Spray and pray phishing” được
spam tự động để nhắm tới hàng nghìn người sử
dụng với hi vọng có ai đó sẽ nhấp vào link hoặc file
đính kèm và kích hoạt sự xâm nhập.


GIAI ĐOẠN 2: LỤC LỌI
Khi xâm nhập được vào bên trong, kẻ tấn
công lập sơ đồ hệ thống của tổ chức bị tấn

cơng, qt các dữ liệu bí mật.
Sự lục tìm có thể bao gồm cá dữ liệu khơng được
bảo vệ, hệ thống mạng cũng như là các lỗ hổng
phần mềm, phần cứng, thông tin tiếp xúc được và
đường dẫn các nguồn, hoặc điểm truy cập.


Các cuộc tấn cơng APT có nhiều phương pháp hơn và
tiến hành trong thời gian dài để tránh bị phát hiện.

Đa vector
Các APT thường sử
dụng phối hợp các kĩ
thuật lục lọi. Một khi
malware có mặt trên
hệ thống máy chủ,
các cơng cụ mở rộng
có thể được tải xuống
để cần cho mục đích
tìm kiếm các phần
mềm, phần cứng và
lỗ hổng mạng.

Bí mật, chui
sâu

Q trình lục lọi
thơng tin được
thiết kế để tránh
bị phát hiện bằng

mọi giá, dùng kĩ
thuật xáo trộn để
ẩn mình bên trong
tổ chức nạn nhân.
Cụ thể, nó sử dụng
mã spaghetti, một
kĩ thuật được dùng
làm cho việc phân
tích và phát hiện
các malware trở
nên khó khăn hơn.

Nghiên cứu
và phân
tích
Các nỗ lực tìm
kiếm được đi
kèm với việc
nghiên cứu và
phân tích trên hệ
thống và dữ liệu
được tìm thấy,
bao gồm mạng,
tên người dùng,
mật khẩu...


GIAI ĐOẠN 2: LỤC LỌI
Một khi APT bị phát hiện, câu hỏi đầu tiên là nó đã ở đó bao lâu rồi? Không giống như các
cuộc tấn công nhắm mục tiêu điển hình, nếu như số tài khoản đã bị đánh cắp, nó sẽ khơng

khó để định ngày tấn cơng và đánh giá thiệt hại. Tuy nhiên, với APT, có thể không thể nào xác
định được khi mà cuộc tấn cơng diễn ra. Nạn nhân có thể phải lục lại các nhật kí hoặc thậm
chí vứt bỏ thiết bị bởi sự xâm nhập và lục lọi được che dấu quá tốt.
Trong một vài trường hợp, chuỗi APT có thể tìm thấy khá dễ dàng. Nhưng sự xuất hiện đó có
thể là để đánh lừa. Kill-chain có thể là cố ý để lộ để khiến nạn nhân sao nhãng trong khi thủ
phạm tiến hành không bị phát hiện qua các mục tiêu thực tế của chúng.


GIAI ĐOẠN 3: CHIẾM GIỮ
Trong giai đoạn chiếm giữ, dữ liệu lưu trữ
trên hệ thống khơng được bảo vệ có thể bị
truy cập ngay lập tức.
Ngồi ra, các rootkit có thể được cài đặt
lén trên hệ thống mục tiêu và điểm truy
cập mạng để chiếm giữ dữ liệu và khiến
chúng chuyển ra khỏi tổ chức.


GIAI ĐOẠN 3: CHIẾM GIỮ

Thời gian
Điều
ẩn náu
khiển
lâu dài

Trong một số trường hợp
APT kéo theo sự điều khiển
APTlửađược
thiết

kế
chập
hoặc tắt
các phần
mềm
tự động hoặc
hệ
để chiếm
đoạt
thống phần cứng. Ngày
thông
tinthiết
trong
càng
nhiều các
bị vật
lý được
khiểndài
bởi bị
thờiđiều
gian
bộ vi xử lý, khả năng xáo
trộn là càng cao hơn.


• (VTC14)_Những vụ tấn công mạng gây chấn động thế giới.mp4


GIAI ĐOẠN 4: CHUYỂN DỮ LIỆU
Một khi những kẻ xâm nhập có

nắm quyền kiểm sốt hệ thống
mục tiêu, họ có thể tiến hành
hành vi trộm cắp tài sản trí tuệ
hay các dữ liệu bí mật.


Truyền dữ liệu

Phân tích liên tục
Trong khi đó, đánh cắp số thẻ tín dụng từ một cuộc

Sau tín hiệu chỉ huy và điều
khiển, các dữ liệu thu hoạch có
thể được gửi lại cho đội tấn công
chủ cơ sở hoặc rõ ràng (bằng thư
Web, ví dụ) hoặc các gói trong gói
dữ liệu được mã hóa hoặc các
tập tin nén với mật khẩu bảo vệ.

tấn công nhắm mục tiêu một cách nhanh chóng được
đóng gói để bán, thơng tin bị bắt giữ bởi APT
thường được nghiên cứu tại chiều dài các manh mối
để cơ hội chiến lược. Dữ liệu như vậy có thể bị
hướng dẫn sử dụng phân tích của các chuyên gia lĩnh
vực để trích xuất bí mật thương mại, dự đoán
chuyển động cạnh tranh, và kế hoạch cơ động truy
cập.


PHẢI LÀM GÌ ?



Trên
thực
dù tỷ lệ phần trăm
Sym
anttế,
ec mặc
c
u
n
g
cđến
ấp đtổánchức
của
APT
ảnh
hưởng
của
h
g
i
á
b
ả
o
Cách
tốt
nhất
để

chuẩn
bị
cho
m
ậ
t
n
g
h
i
ê
m
bạn có thể tương đốinthấp,
nhưng
thật
g
ặ
t
c
ó
t
h
ể
g
i
ú
p
APT
là
đảm

bảo
bạn
được
bảo
vệ
p
h
á
khơng may,t h
cơiệhội
có
thể
là
nạn
n nbạn
hững nguy cơ
tiềm
tốt
trước
cuộc
tấn
cơng
được
nhân
của
cuộc
tấn
cơng
ẩnmột
từcác

các cuộc tấn c
ơ
ng
nhắm
mục
tiêu
lại
là
khá
cao.
nhắm
mục
tiêu
nói
chung.
đ ượ c n

hắm mục tiêu
.