HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

NGUYỄN QUỐC TUẤN

NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CÔNG
CÓ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM
TÍCH HỢP DỮ LIỆU TỈNH LONG AN

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

TP.HỒ CHÍ MINH -2017


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

NGUYỄN QUỐC TUẤN

NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CÔNG
CÓ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM
TÍCH HỢP DỮ LIỆU TỈNH LONG AN
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ SỐ:

0 60.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VÕ VĂN KHANG

TP. HỒ CHÍ MINH -2017


i

LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất cứ công trình nào.
TPHCM, Ngày 15 tháng 8 năm 2017
Học viên thực hiện luận văn

Nguyễn Quốc Tuấn


ii

LỜI CÁM ƠN
Lời đầu tiên em xin gửi lời cảm ơn đến toàn thể quý thầy, cô giáo Học viện
Công nghệ Bưu chính Viễn thông đã tận tình chỉ bảo em trong suốt thời gian học
tập tại nhà trường.
Em xin gửi lời cảm ơn sâu sắc đến thầy TS.Võ Văn Khang, người đã trực
tiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốt
thời gian làm luận văn tốt nghiệp.
Bên cạnh đó, để hoàn thành luận văn tốt nghiệp, em cũng đã nhận được rất
nhiều sự giúp đỡ, những lời động viên quý báu của bạn bè, gia đình và đồng nghiệp.
Em xin chân thành cảm ơn.
Tuy nhiên, do thời gian có hạn, mặc dù đã nỗ lực hết sức mình, nhưng chắc

rằng luận văn của em khó tránh khỏi thiếu sót. Em rất mong nhận được sự thông
cảm và chỉ bảo tận tình của quý thầy cô và các bạn.
Trân trọng cảm ơn.
TPHCM, ngày 15 tháng 8 năm 2017
Học viên thực hiện luận văn

Nguyễn Quốc Tuấn


iii

MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... i
LỜI CÁM ƠN ............................................................................................................ ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT ................................................v
DANH SÁCH BẢNG ............................................................................................... vi
DANH SÁCH HÌNH VẼ ......................................................................................... vii
MỞ ĐẦU .....................................................................................................................1
Chương 1 - TỔNG QUAN VỀ TẤN CÔNG APT .................................................4
1.1 Tổng quan về tấn công có chủ đích APT .......................................................4
1.2

Lịch sử phát triển của tấn công APT..............................................................4

1.3

Tấn công APT thông qua công cụ malware ...................................................8

1.4


Tấn công APT thông qua các hình thức khác ................................................8

1.5

Xác định các đặc tính của APT ....................................................................10

1.6

Sự khác biệt của APT với các mối đe dọa truyền thống ..............................12

1.7

Kết luận chương 1 ........................................................................................15

Chương 2 - CÁCH THỨC TẤN CÔNG APT VÀ PHƯƠNG PHÁP PHÒNG
CHỐNG .....................................................................................................16
2.1 Phân tích các giai đoạn tấn công APT .........................................................16
2.2

Các thuật toán điều khiển và cập nhật tính năng của APT ..........................21

2.3

Phương pháp phát hiện các cuộc tấn công APT ..........................................22

2.3.1 Phân tích tĩnh .........................................................................................22
2.3.2 Phân tích động .......................................................................................24
2.3.3 Cập nhật và phân tích thông qua các công cụ .......................................26
2.4


Các công cụ phòng chống APT hiện đại và nguyên lý hoạt động ...............27

2.4.1 Công cụ của hãng bảo mật FireEye .......................................................27
2.4.2 Công cụ của hãng bảo mật McAfee ......................................................31
2.4.3 Công cụ của hãng bảo mật NPCore.......................................................33
2.5

Kết luận chương 2 ........................................................................................35

Chương 3 - XÂY DỰNG VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN
TOÀN THÔNG TIN CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU TRƯỚC
CÁC CUỘC TẤN CÔNG APT .................................................................36
3.1 Hiện trạng hạ tầng Trung tâm tích hợp dữ liệu tỉnh Long An .....................36


iv

3.2

Các nguy cơ mất an toàn trên hệ thống thông tin ........................................40

3.3

Giới thiệu về sự cần thiết bảo đảm an toàn thông tin đối với Trung tâm tích
hợp dữ liệu tỉnh Long An .............................................................................43

3.4

Mô hình hóa biện pháp bảo vệ Trung tâm Tích hợp dữ liệu tỉnh Long An

chống lại các cuộc tấn công APT .................................................................47

3.4.1 Một số phương pháp phòng chống APT ...............................................47
3.4.2 Mô hình an toàn cho Trung tâm THDL ................................................51
3.4.3 Khuyến nghị áp dụng yêu cầu kỹ thuật cho Trung tâm THDL .............52
3.5

Phương pháp đánh giá an toàn thông tin theo hướng tiếp cận phòng chống
APT ..............................................................................................................55

3.5.1 Giới thiệu về các công cụ đánh giá .......................................................55
3.5.2 Thực nghiệm tấn công ...........................................................................57
3.5.3 Kịch bản tấn công ..................................................................................57
3.5.4 Mô phỏng tấn công ................................................................................58
3.5.5 Đề xuất giải pháp cho Trung tâm TTDL ...............................................62
3.5.6 Kết quả thử nghiệm và đánh giá ............................................................63
3.6

Kết luận chương 3 ........................................................................................65

KẾT LUẬN VÀ KIẾN NGHỊ...................................................................................66
DANH MỤC TÀI LIỆU THAM KHẢO ..................................................................67


v

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT
Viết tắt
APT
DNS

FTP
HTTP
HTTPS
IP
ISO

Tiếng anh

Tiếng việt

Advanced Persistent Threat
Domain Name System
File Transfer Protocol
Hyper Text Transfer
Protocol
Hyper Text Transfer

Mối đe dọa liên tục nâng cao
Hệ thống tên miền
Giao thức chuyển nhượng tập tin
Giao thức truyền tải siêu văn bản

Protocol Secure

mật trên Internet

Internet Protocol
International Organization

Giao thức kết nối Internet


Trao đổi thông tin một cách bảo

Tổ chức tiêu chuẩn hóa quốc tế

for Standardization
WAF
SIEM

Web Application Firewall
Security Information

Tường lửa ứng dụng web
Giám sát an toàn mạng

Event Managemet
TTDL

Data Center

AV

Antivirus

DLP
NAC
URL
DMZ

Data Leak Prevention

Network Access Control
Uniform Resource Locator
Demilitarized Zone

Trung tâm tích hợp dữ liệu
Phần mềm phòng chống virút
Ngăn chặn rò rỉ dữ liệu
Điều khiển truy cập mạng
Tham chiếu tài nguyên mạng
Internet
Vùng mạng trung lập giữa mạng
nội bộ và mạng internet

SSL
IDS/IPS

Secure Sockets Layer

Tiêu chuẩn của công nghệ bảo
mật

Intrusion detection

Phát hiện xâm nhập/ phát hiện và

system/Intrusion Prevention

ngăn chặn xâm nhập

System

C&C

Command and control

Máy chủ điều khiển


vi

DANH SÁCH BẢNG
Số hiệu bảng

Tên bảng

Trang

1.1

Những khác biệt giữa tấn công APT và tấn công truyền

14

thống
3.1

Hiện trạng cơ sở hạ tầng của Trung tâm THDL

36

3.2


Hiện trạng máy chủ

37

3.3

Chi tiết tường lửa

39

3.4

Danh sách trang thông tin điện tử

44

3.5

Số lượng Email trong tháng 02/2017

45

3.6

Tình hình giải quyết hồ sơ Quý I/2017 của tỉnh

46

3.7


Tình hình trao đổi văn bản tính đến ngày 16/4/2017

46


vii

DANH SÁCH HÌNH VẼ
Số hiệu hình vẽ

Tên hình vẽ

Trang

1.1

Giả mạo email với nội dung đính kèm có mã độc

8

1.2

Kỹ thuật watering hole

10

1.3

Tấn công vào điểm yếu nhất của hệ thống


13

2.1

Các giai đoạn của cuộc tấn công APT

16

2.2

Các cửa hậu kết nối với các máy chủ C&C

17

2.3

Đoạn script sử dụng trinh sát dò quét thông tin

19

2.4

Thuật toán DGA trong mã độc Locky

22

2.5

Dấu hiệu nhận biết của phần mềm Darkcomet


27

2.6

Các thành phần FireEye tích hợp tạo thành giải

27

pháp phòng chống APT tổng thể FireEye
2.7

Mô hình tích hợp của FireEye

29

2.8

Môi trường giả lập FireEye MVX

30

2.9

Xử lý song song trong môi trường MVX

31

2.10


Giải pháp của hãng McAfee

31

2.11

Mô hình triển khai

32

2.12

Bảo mật của hãng NPCore

33

2.13

Mô hình hệ thống của Zombie ZERO

34

3.1

Mô hình Trung tâm THDL

40

3.2


Công khai tiến độ giải quyết hồ sơ hành chính và

46

văn bản điện tử của tỉnh
3.3

Mô hình Trung tâm TTDL hoàn chỉnh

51

3.4

Quét Cổng thông tin điện tử tỉnh (longan.gov.vn)

52

3.5

Giao diện Kali Linux

56

3.6

Giao diện Veil-Evasion

57

3.7


Tạo IP và Port để lắng nghe

59

3.8

Công cụ mFileBinder

59


viii

3.9

Giả mạo email

60

3.10

Lắng nghe kết nối

61

3.11

Kết nối đã được tạo


62

3.12

Giao diện của USM

63

3.13

Giao diện ghi nhận sự cố

64

3.14

Giao diện chi tiết sự cố

64


1

MỞ ĐẦU
1. Tính cấp thiết của đề tài
Trong những năm gần đây, các cuộc tấn công mạng có quy mô và mức độ
lớn gia tăng dẫn đến gây mất mát dữ liệu, thiệt hại về kinh tế. Theo thống kê của
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), năm 2016 có 13.000
trang web bị hack, đến 15/5/2017 có hơn 5.500 trang web bị hack với hơn 10.900
liên kết (URL) bị tấn công hoặc cài mã độc. Trong quý I/2017, ghi nhận có 952 sự

cố website lừa đảo, 2.709 trang web bị tấn công thay đổi giao diện, 2.381 sự cố phát
tán mã độc. Trong đó, website của cơ quan nhà nước có 64 website bị tấn công thay
đổi giao diện, 2 website bị phát tán mã độc, 3 website bị tấn công lừa đảo. Đối với
tỉnh Long An, Trung tâm tích hợp dữ liệu của tỉnh đang quản lý vận hành các hệ
thống thông tin trọng điểm của tỉnh bao gồm: Hệ thống Cổng thông tin điện tử, hệ
thống thư điện tử, hệ thống quản lý văn bản và điều hành, hệ thống một cửa điện tử
phục vụ cho nhu cầu chỉ đạo điều hành của lãnh đạo tỉnh và công tác chuyên môn
của các cơ quan hành chính nhà nước trên địa bàn tỉnh. Vì vậy, việc đảm bảo an
toàn thông tin cho Trung tâm tích hợp dữ liệu của tỉnh là vấn đề hết sức quan trọng.
Theo các chuyên gia bảo mật trong thời gian tới, tình hình tội phạm mạng
tiếp tục diễn biến phức tạp, khó lường. Thay vì các kiểu tấn công trước đây đã dùng
chúng sẽ sử dụng công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để
tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn.
Một trong các dạng tấn công tiêu biểu, được nhắc đến rất nhiều hiện nay là
tấn công APT (Advanced Persistent Threat). Tấn công APT là hình thức tấn công
nguy hiểm, có chủ đích mục tiêu rõ ràng và sử dụng nhiều loại phương pháp, công
nghệ tinh vi và phức tạp để tấn công vào mục tiêu nhằm đạt được những thông tin
mật, nhạy cảm. Theo thông tin từ Hiệp hội an toàn thông tin VNISA, tháng 5 năm
2015, Hãng bảo mật của Mỹ là FireEye đã công bố nghiên cứu và báo cáo của mình
về phương thức kỹ thuật và chỉ đích danh nhóm tấn công APT30 xuất phát từ Trung
Quốc đã tấn công và thâm nhập nhiều năm qua vào các máy tính của Việt Nam đặc
biệt là các đối tượng phóng viên báo đài. Báo cáo đã cho thấy các kiểu tấn công


2

APT thông dụng đã được công bố vẫn tiếp tục uy hiếp đến an ninh thông tin tại Việt
Nam, khi ý thức của người sử dụng vẫn chưa được nâng cao.Mặc dù thiệt hại mà
cuộc tấn công APT gây ra rất nghiêm trọng tuy nhiên việc phòng chống tấn công
APT hiện nay vẫn bị xem nhẹ và chưa được đầu tư đúng đắn. Do đó, việc nghiên

cứu về cơ chế hoạt động của tấn công APT và giải pháp phòng chống là điều rất
quan trọng sẽ góp phần bảo vệ tốt hơn hệ thống thông tin của mình. Từ đó học viên
đã chọn đề tài “nghiên cứu biện pháp phát hiện tấn công có chủ đích APT để
bảo vệ Trung tâm tích hợp dữ liệu tỉnh Long An” để có cái nhìn tổng quan về
tấn công APT, nghiên cứu các giải pháp phòng chống và từ đó đề xuất giải pháp
phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ liệu tỉnh Long An.

2. Tổng quan vấn đề cần nghiên cứu
Vấn đề bảo đảm an toàn thông tin cho các hệ thống thông tin là một trong
những vấn đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận
hành và bảo dưỡng hệ thống thông tin. Ngày nay, các cuộc tấn công trên không gian
mạng đang có xu hướng nhắm vào các cơ quan hành chính nhà nước với những mục
đích và có ý đồ rõ ràng nhằm gây nhiễu thông tin cũng như phá hoại thông tin của
các tổ chức hành chính nhà nước (thu thập thông tin tình báo có tính chất thù địch,
đánh cắp dữ liệu, làm mất uy tín của cơ quan tổ chức, phá hoại, gây bất ổn hạ tầng
CNTT, viễn thông, điện lực….). Việc nghiên cứu về cơ chế hoạt động của tấn công
APT và giải pháp phòng chống nhằm đưa ra cái nhìn tổng quan về tấn công APT,
tìm hiểu các biện pháp phát hiện cuộc tấn công APT, tìm hiểu các giải pháp phòng
chống tấn công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn công này
cho Trung tâm tích hợp dữ liệu tỉnh Long An.

3. Mục đích nghiên cứu
Nghiên cứu công nghệ tấn công APT: kỹ thuật, giai đoạn, mục đích, phương
pháp; tìm hiểu các biện phát phát hiện cuộc tấn công APT, tìm hiểu các giải pháp
phòng chống tấn công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn
công này cho Trung tâm tích hợp dữ liệu tỉnh Long An.


3


4. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu: Hiện trạng Trung tâm tích hợp dữ liệu tỉnh Long An;
nghiên cứu các phương pháp tấn công, mã độc hại trong cuộc tấn công APT; vấn đề
an toàn thông tin tại Trung tâm tích hợp dữ liệu tỉnh Long An; cách thức tấn công
APT vào hệ thống thông tin; giải pháp khắc phục, biện pháp bảo vệ chống lại các
cuộc tấn công APT.
Phạm vi nghiên cứu:Nghiên cứu các phương pháp tấn công trong cuộc tấn
công có chủ đích APT.

5. Phương pháp nghiên cứu
Nghiên cứu lý thuyết: Nghiên cứu lý thuyết về cơ chế hoạt động và lây
nhiễm malware; nghiên cứu các hình thức tấn công APT phổ biến trong những năm
gần đây; các phương pháp phát hiện và phòng chống APT.
Khảo sát thực tế: Khảo sát mô hình Trung tâm Tích hợp dữ liệu tỉnh Long
An; tìm hiểu các công cụ bảo vệ hiện hữu của Trung tâm Tích hợp dữ liệu tỉnh
Long An.
Luận văn gồm 3 chương và phần kết luận tập trung nghiên cứu những vấn đề
sau:
Chương 1: Tổng quan về tấn công APT
Chương 2: Cách thức tấn công APT và phương pháp phòng chống
Chương 3: Xây dựng và đề xuất một số giải pháp bảo đảm an toàn thông tin
cho Trung tâm tích hợp dữ liệu trước các cuộc tấn công APT


4

Chương 1 - TỔNG QUAN VỀ TẤN CÔNG APT
1.1 Tổng quan về tấn công có chủ đích APT
Advanced Persistent Threat là một từ viết tắt được phát triển bởi
MANDIANT, nhưng đã được đề cập trước đó bởi Mike Cloppart, được dùng để mô

tả kiểu tấn công dai dẳng và có chủ đích vào một thực thể được nhắm đến. Thông
thường tấn công APT có sự chuẩn bị kỹ càng và được thực hiện, hỗ trợ bởi một tổ
chức hoặc cao cấp hơn là chính phủ của một nước nào đó nhằm tìm kiếm thông tin
tình báo từ cá nhân, doanh nghiệp, chính phủ nước khác.
Các thành phần của kỹ thuật tấn công APT [12]:
Advanced (Nâng cao): thuật ngữ Advanced chỉ các kiểu tấn công cao cấp
hơn các thể loại thông thường. Trong APT, tin tặc sử dụng các malware và các biến
thể khác nhau để tiến hành qua mặt và xâm nhập vào hệ thống. Các malware này
phần lớn có thể qua mặt được các phương pháp bảo vệ truyền thống khác như
Firewall, IPS, và phần mềm diệt virus.
Persistent (Dai dẳng): thuật ngữ Persistent mang ý nghĩa việc tấn công luôn
theo sát để đạt được mục đích của nó. Mục tiêu tấn công sẽ không bị tấn công ngay
tức thì mà các mã độc sẽ đi theo nhiều đường khác nhau cho đến khi xâm nhập vào
hệ thống, sau đó chờ thời cơ. Chúng chỉ thực sự kích hoạt tấn công khi phát hiện
đúng mục tiêu.
Threat (Mối đe dọa): APT là một mối đe dọa bởi vì nó có tiềm lực và chủ
đích. Các cuộc tấn công APT được thực hiện bởi các hoạt động kết hợp, có mục tiêu
cụ thể và kẻ tấn công có kỹ năng, có tổ chức và có nguồn tài trợ dồi dào.

1.2 Lịch sử phát triển của tấn công APT
Câu hỏi chúng ta phải tự hỏi là: "Nguồn gốc cuộc tấn công APT có từ đâu?".
Trước khi thuật ngữ APT được sử dụng, có một số phiên bản nguyên thủy của APT.
Ngày nay thiết lập một cuộc tấn công APT được dựa trên nền tảng cơ bản gọi là một
botnet trong đó có máy chủ chỉ huy và kiểm soát (C&C). Hầu hết chúng được tự


5

động bởi những Bot (như Zombies). Botnet đã tồn tại trong một thời gian rất dài kể
từ năm 1999. Trước tấn công APT chúng được chỉ đạo phối hợp cẩn thận bởi một tổ

chức tội phạm như cuộc tấn công APT.
Một số cuộc tấn công APT điển hình [13]:
- Operation Aurora (2010).
- NightDragon (2009 - 2011).
- Operation Shady Rat (2006 – 2011).
- Stuxnet (2010).
- Shamoon (2012).
- Năm 2016 xảy ra vụ tin tặc tấn công các sân bay tại Việt Nam ngày
29/7/2016.
- Operation Aurora (2010)
Operation Aurora còn được gọi là "chiến dịch ánh ban mai" bao gồm các vụ
tấn công gián điệp diễn ra trên mạng internet trong khoảng nửa cuối năm 2009.
Những cuộc tấn công trong chiến dịch Operation Aurora có đích đến là vài chục
công ty, tổ chức toàn cầu. Trong đó Google, Adobe Systems, Juniper Networks và
Rackspace công khai thừa nhận họ bị tấn công, trong khi giới nghiên cứu cho rằng
các đại gia như Yahoo, Symantec, Northrop Grumman và Dow Chemical cũng chịu
chung số phận. Theo ước tính của hãng Cyber Diligence, chiến dịch này gây thiệt
hại cho mỗi công ty nạn nhân khoảng 100 triệu USD.
“Operation Aurora” là kiểu tấn công phối hợp, cách tấn công này chứa một
đoạn mã máy tính được dùng để khai thác lỗ hổng bảo mật trong Internet Explorer
nhằm chiếm quyền truy cập hệ thống máy tính. Khi khai thác thành công chúng sẽ
được mở rộng để tải về và kích hoạt các phần mềm độc hại trong hệ thống. Các
cuộc tấn công được khởi xướng một cách bí mật khi người dùng truy cập vào các
trang web độc hại (trong khi người dùng lại tin rằng đó là các trang web có uy tín),
cuối cùng các máy tính được kết nối tới 1 máy chủ từ xa.
- NightDragon (2009 - 2011)


6


Một chiến dịch không gian mạng được phối hợp và có đích ngắm bắt đầu vào
tháng 11/2009, có tên là “Con rồng Đêm” (Night Dragon), được tiến hành chống lại
các công ty toàn cầu về dầu lửa, năng lượng và hóa dầu. Cuộc tấn công sử dụng các
kỹ thuật gồm kỹ thuật xã hội, spear phishing, khai thác các lỗ hổng hệ điều hành,...
Sau việc xác định các công cụ, kỹ thuật và các hoạt động mạng được sử dụng trong
các cuộc tấn công, McAfee khẳng định rằng các cuộc tấn công đó đã xuất phát
trước tiên tại Trung Quốc. Cuộc tấn công ăn cắp các sở hữu trí tuệ từ các công ty
khí đốt và dầu mỏ lớn.
- Operation Shady Rat (2006 – 2011)
Ngày 3/8/2011, hãng bảo mật McAfee cảnh báo: Mỹ và nhiều nước cùng
một số tổ chức quốc tế và các công ty quốc phòng của Mỹ đang là mục tiêu của một
chiến dịch tấn công mạng trên toàn cầu có tên "Chiến dịch Chuột náu mình"
(Operation Shady RAT).
Các tin tặc đã thực hiện chiến dịch khủng bố an ninh mạng này từ năm 2006
và nhiều chuyên gia cho rằng tác giả của nó là các tin tặc tại Trung Quốc. Có 72
mục tiêu "đã bị tổn thương" trong các cuộc tấn công mạng này, trong đó có nhiều
website chính phủ của các nước Mỹ, Canađa, Ấn Độ, Hàn Quốc... Ngoài ra, hệ
thống máy tính của các tổ chức đa phương như Liên hợp quốc, Hiệp hội các quốc
gia Đông Nam Á (ASEAN), Ủy ban Olympic Quốc tế (IOC), các Ủy ban Olympic
quốc gia, một phòng thí nghiệm của Bộ Năng lượng Mỹ và nhiều tập đoàn quốc
phòng Mỹ cũng nằm trong danh sách nạn nhân "Chiến dịch Chuột náu mình". Tin
tặc còn tìm cách truy cập và đánh cắp những dữ liệu nhạy cảm về các hệ thống quân
sự và liên lạc vệ tinh của Mỹ.
- Stuxnet (2010)
Phát hiện vào tháng 6/2010 một sâu máy tính có tên gọi “Stuxnet” đã tấn
công một cơ sở hạt nhân của Iran tại Natanz. Stuxnet đã nhiễm vào hơn 60.000 máy
tính, quá nửa trong số đó là ở Iran.
Stuxnet là một chương trình máy tính tinh vi được thiết kế để xâm nhập và
giành quyền kiểm soát đối với các hệ thống từ xa theo một cách thức bán tự chủ. Nó



7

đại diện cho một thế hệ mới các phần mềm độc hại dạng sử dụng một lần (“fireand-forget” malwares). Các đối tượng mà Stuxnet nhắm tới đều được cách ly (airgapped), nghĩa là chúng không kết nối với mạng internet công cộng và sự xâm nhập
đòi hỏi phải sử dụng các thiết bị trung gian ví dụ như USB để giành quyền tiếp cận
và thiết lập kiểm soát. Khai thác bốn lỗ hổng bảo mật zero-day vì vậy không có thời
gian để phát triển và phân phối các miếng vá, Stuxnet đã sử dụng các password mặc
định của Siemens để truy cập vào các hệ điều hành Windows khai thác triệt để
những lỗ hổng để phá hoại. “Stuxnet” đã phá hoại hoạt động của hàng nghìn máy li
tâm ở cơ sở làm giàu hạt nhân Natans của Iran.
- Shamoon (2012)
Virus Shamoon tấn công tập đoàn dầu khí Saudi Aramco của Ả Rập Saudi
xóa khoảng 75% dữ liệu của khoảng 30.000 máy tính của công ty vào tháng 8/2012.
Hãng khí đốt RasGas của Qatar cũng bị vi rút Shamoon tấn công, nhiều dữ
liệu của hãng này biến thành hình ảnh lá cờ Mỹ đang bị đốt. Mỹ cáo buộc Iran đứng
sau vụ tấn công này.
- Năm 2016 xảy ra vụ tin tặc tấn công các sân bay tại Việt Nam ngày
29/7/2016
Cuộc tấn công mạng ngày 29/07/2016 vào công tác phục vụ bay của các sân
bay Nội Bài, Tân Sơn Nhất… là cuộc tấn công mạng có chuẩn bị công phu (sử dụng
mã độc không bị nhận diện bởi các các phần mềm chống virus); xâm nhập cả chiều
sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu
khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau,
vùng miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan
tới các sự kiện kinh tế, chính trị. Có dấu hiệu cho thấy hệ thống đã bị tin tặc xâm
nhập từ giữa năm 2014, tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn
mới, được thiết kế riêng cho cuộc tấn công ngày 29/7/2016 và đã vượt qua được các
công cụ giám sát an ninh thông thường (như các phần mềm chống virus).
Cuộc tấn công diễn ra trên diện rộng với 02 điểm chính là cảng hàng không
Nội Bài và Tân Sơn Nhất, cùng với một số sân bay nhỏ khác cũng bị ảnh hưởng do



8

hệ thống CNTT phục vụ khách hàng được kết nối liên thông với nhau. Ngoài ra
website của Vietnam Airlines và hệ thống điều khiển màn hình, loa phát thanh của
các sân bay trên cũng bị xâm nhập và thay đổi dữ liệu.

1.3 Tấn công APT thông qua công cụ malware
Những kẻ tấn công APT có sẵn một kho công cụ để khởi động và duy trì
cuộc tấn công. Các công cụ cho tấn công APT (APT Toolkit):
Malware – viết tắt của malicious software (phần mềm độc hại), là một thuật
ngữ chỉ bất kì chương trình phần mềm nào được tạo ra để thực hiện các hành động
trái phép và thường là có hại. Viruses, backdoors, keyloggers, ăn cắp mật khẩu và
các chương trình Trojan khác, Word và Excel macro viruses, boot sector viruses,
script viruses (batch, windows shell, java, vv...) Trojans, crimeware, spyware và
adware là một vài ví dụ về các phần mềm được coi là độc hại.

1.4 Tấn công APT thông qua các hình thức khác
- Kỹ thuật Social Engineering
Trong tấn công APT, kẻ tấn công sử dụng spear-phishing email (một dạng
phishing) đính kèm với file có vẻ vô hại mà mục tiêu có khả năng sẽ mở. Hoặc liên
kết đến các trang web có nhúng mã độc hại (được biết đến như là một cuộc tấn công
watering hole). Các chương trình khác như file (.xls, .doc, .txt,…) và PDF cũng
được tận dụng khai thác để thực thi phần mềm độc hại.
Các bước xâm nhập máy tính nạn nhân sử dụng spear phishing email được
mô tảnhư hình 1.1dưới đây:


9


Hình 1.1: Giả mạo email với nội dung đính kèm có mã độc
Tấn công “watering hole” là hình thức tấn công thông qua việc lừa người
dùng truy cập vào các website chứa mã độc. Kẻ tấn công thường nhắm đến các
website có nhiều người truy cập, các trang web đen hoặc tạo ra các website riêng
của chúng để lừa người dùng và cố gắng chèn các mã khai thác liên quan đến các lỗ
hổng trình duyệt vào website. Bất cứ khi nào người dùng truy cập vào website, các
mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng.
Kỹ thuật tấn công “watering hole” thường hoạt động theo kịch bản sau [19]:
- Kẻ tấn công sẽ cố gắng thu thập các dữ liệu về tổ chức, doanh nghiệp mà
họ muốn tấn công. Các thông tin thu thập có thể bao gồm danh sách các website mà
các nhân viên hay thành phần lãnh đạo của tổ chức thường xuyên truy cập. Và bắt
đầu tìm kiếm các website mà họ để có thể xâm nhập, ngoài ra hacker thường sử
dụng kỹ thuật tấn công “local attack” để tìm kiếm nhiều các website trên cùng một
máy chủ để thực hiện tấn công.
- Sau khi đã chiếm được quyền điều khiển của một website mà các nhân viên
của tổ chức thường xuyên truy cập. Hacker sẽ thực hiện chèn các mã khai thác vào
website. Thông thường thì sẽ là các lỗ hổng bao gồm cả lỗ hổng đã có bản vá hay
các cả lỗ hổng Zero-day để khai thác qua trình duyệt, flash hay Java (Flash & java
thường được cài đặt mặc định trên máy tính của người sử dụng).
- Bất cứ khi nào ai đó hoặc nhân viên của tổ chức truy cập vào website này
thì lập tức mã độc sẽ được thực thi và hacker có thể chiếm được quyền điều khiển
cũng như cài đặt các chương trình độc hại được điều khiển từ xa (RAT- Remote
Administration Tool) lên máy tính nạn nhân từ đó khai thác các thông tin từ người
dùng hoặc sử dụng chính máy đó làm zombie để tấn công các máy tính khác.


10

Hình 1.2: Kỹ thuật watering hole

- Khai thác các lỗ hổng Zero-day và các Exploit khác
Một zero-day exploit là một lỗ hổng trong một sản phẩm phần mềm mà cho
phép một kẻ tấn công thực thi mã không mong muốn hoặc giành quyền kiểm soát
máy tính của mục tiêu. Những exploit này thường được khai thác trong các cuộc tấn
công spear-phishing và watering hole. Các kẻ tấn công khai thác các lỗ hổng zeroday chưa từng được biết đến hoặc chưa từng được công bố.
- Insiders và Recruits
Nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa
chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân
viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết. Đó chính là
Insider Attack - tấn công nội bộ. Insider Attack có một thế mạnh rất lớn, vì những
gián điệp này được phép truy cập vật lý vào hệ thống của tổ chức, và di chuyển ra
vào tự do trong tổ chức đó.
- Forged và Fake Certificates (giả mạo chứng chỉ điện tử)
Thông thường kẻ tấn công sử dụng các chứng chỉ SSL giả mạo cho các
website không có thật và mạo danh là một trang web hợp pháp. Những kẻ tấn công
thường sử dụng các chứng chỉ số tự ký (self-signed) hoặc các chứng chỉ ăn cắp
được (những chứng chỉ này được hầu hết các trình duyệt chấp nhận).

1.5 Xác định các đặc tính của APT
Các đặc tính của tấn công APT:


11

- Targeted (mục tiêu):
Hacker nhắm mục tiêu đến những tổ chức, cá nhân, quốc gia cụ thể để tấn
công đánh cắp dữ liệu hoặc gây thiệt hại,…
- Persistent (Dai dẳng)
Quá trình tấn công APT diễn ra trong nhiều giai đoạn khác nhau trong một
thời gian dài. Để đánh cắp dữ liệu, hacker phải xác định các lỗ hổng, đánh giá kiểm

soát an ninh hiện tại, tăng mức độ tin cậy để truy cập vào mạng của mục tiêu, tìm
kiếm các dữ liệu cần thiết và cuối cùng trích xuất những dữ liệu này. Toàn bộ quá
có thể mất vài tháng hoặc thậm chí vài năm. Sử dụng nhiều các kỹ thuật, phương
pháp khác nhau để tấn công vào mục tiêu đến khi thành công.
Để đạt được mục đích đã đề ra thì hacker cần phải thực hiện rất nhiều các
công đoạn khác nhau, tấn công vào nhiều các thành phần trong hệ thống do vậy một
gợi ý trong việc phát hiện các tấn công APT là cần kết hợp, xâu chuỗi nhiều sự kiện
an ninh lại với nhau.
APT dai dẳng vì kẻ tấn công rất kiên trì và tập trung để tránh bị phát hiện. Nếu
một tổ chức là mục tiêu của APT thì tổ chức đó có thể phải chịu một thất bại
nghiêm trọng bởi hình thức tấn công này mất rất nhiều tháng nghiên cứu và lập kế
hoạch.
- Evasive (Tránh né và ẩn mình)
Tấn công APT được thiết kế có hệ thống để có thể tránh các sản phẩm bảo mật
truyền thống mà hầu hết các tổ chức đã sử dụng như Firewall, IPS, Antivirus, …
Một số ví dụ điển hình về khả năng tránh né và ẩn mình của APT:
+ Để đạt được quyền truy cập vào máy chủ của mục tiêu, tấn công phải tránh
bị tường lửa mạng phát hiện thì kẻ tấn công thường sử dụng các Port và Service hợp
lệ (như HTTP (80), HTTPS (443), SMTP (25),…). Khi đó, các thiết bị bảo mật sẽ
không thể phát hiện ra mối nguy hại cho hệ thống để có thể ngăn chặn được tấn
công.
+ Những kẻ tấn công thường thiết kế những mã độc riêng cho từng mục tiêu
và chưa từng bị phát biện bởi AV vì không có trong tập mẫu. Chính đặc điểm mới


12

này khiến cho AV không thể bảo vệ được nạn nhân, nên nạn nhân rất khó biết được
sự tồn tại của tấn công mặc dù chúng đã đang tấn công hệ thống của mình.
+ Khi gửi dữ liệu ra ngoài để tránh việc phát hiện của các IPS thì hacker thực

hiện việc mã hóa dữ liệu. Khi đó, dữ liệu của nạn nhân bị đánh cắp mà nạn nhân
không hề biết.
- Complex (Phức tạp)
Điểm khác biệt lớn giữa tấn công APT và các cuộc tấn công khác là việc APT
sử dụng phối kết hợp nhiều các kỹ thuật khác nhau một cách khoa học và bài bản
nhằm những mục tiêu nhiều lỗ hổng bảo mật trong các tổ chức. Lý do để gọi nó là
Advanced Persistent Threat là bởi vì nó được lên kế hoạch rất khoa học và được
thực hiện và phối hợp với tất cả các công cụ có sẵn. Tấn công APT có mục tiêu là
một tổ chức cụ thể (hoặc nhóm các tổ chức). APT có thể sử dụng một loạt các công
cụ từ malware đơn giản đến phức tạp. Những mã độc hại được tạo ra để khai thác
các lỗ hổng "zero-day" (các lỗ hổng chưa từng được biết đến hoặc chưa từng được
công bố). Ví dụ, một cuộc tấn công APT có thể dựa trên kỹ thuật lừa đảo (social
engineering) qua điện thoại để xác định cá nhân cần thiết trong tổ chức; lừa đảo
email gửi đến những cá nhân cần thiết với các liên kết đến một trang web chứa mã
Javascript để cài đặt công cụ truy cập từ xa,...

1.6 Sự khác biệt của APT với các mối đe dọa truyền thống
Sự khác biệt quan trọng nhất giữa APT và các mối đe dọa truyền thống đó là
đặc điểm targeted (mục tiêu). Trong khi việc bảo vệ vòng ngoài (vành đai) và sử
dụng các kiểm soát an ninh tiêu chuẩn có thể bảo vệ một tổ chức từ những cuộc tấn
công tiêu chuẩn, các kỹ thuật này có thể không đủ khi đối mặt với APT. Các kẻ tấn
công kiên nhẫn có thể chờ đợi những lỗ hổng mới để khai phá một điểm yếu hoặc
có thể kết hợp các lỗ hổng nhỏ thành một lỗ hổng lớn để tấn công.
Một kẻ tấn công trong APT có thể mất vài tháng hoặc thậm chí nhiều năm để
trích xuất dữ liệu của mục tiêu, đánh bại các hệ thống đầy đủ tính năng và cấu hình
tốt. Sau đây là một số đặc điểm khác biệt giữa APT và các hình thức tấn công khác:


13


- Thu thập thông tin: APT thực hiện một số lượng lớn sự trinh sát thông tin
mã nguồn mở và đóng để làm tăng cơ hội thành công gần như 100%.
- Low and slow: Các cuộc tấn công APT xảy ra trong thời gian dài những kẻ
tấn công APT thực hiện di chuyển low and slow (thấp và chậm) và giám sát liên tục
cho đến khi đạt được mục tiêu của họ.
- Hình thức tấn công liên tục nâng cao: APT được thiết kế để đáp ứng với
các yêu cầu của hoạt động gián điệp quốc tế hoặc phá hoại. Mục tiêu của APT có
thể bao gồm quân sự, chính trị hoặc thu thập thông tin tình báo kinh tế, dữ liệu bí
mật thương mại làm gián đoạn hoạt động của tổ chức.
- Nhắm vào các điểm yếu nhất của hệ thống:
Điểm yếu của hệ thống mà các kẻ tấn công APT thường nhắm đến đó là các
cá nhân. Các tấn công truyền thống thường nhắm mục tiêu là các máy chủ bởi vì đó
là nơi chứa các dữ liệu quan trọng. Tuy nhiên, các kẻ tấn công APT biết được rằng
máy chủ là nơi được bảo vệ và thường khó khăn hơn nhiều để có thể đột nhập vào.
Vì vậy, dễ dàng hơn khi nhắm mục tiêu vào những đối tượng có truy cập vào các
thông tin quan trọng và những người dùng. Việc lừa đảo người dùng mở một file
đính kèm hoặc truy cập vào một liên kết là rất dễ dàng và nó trở thành một trong
những phương pháp được ưa thích [19].
Tuy nhiên, cần xác định rằng đây không phải phương pháp duy nhất APT sử
dụng. Ngay sau khi phương pháp này không còn chứng minh được tính khả thi, các
kẻ tấn công sẽ nhanh chóng chuyển sang một phương pháp mới. Ngoài ra, APT đảm
bảo truy cập liên tục vào hệ thống của mục tiêu. Tấn công vào điểm yếu nhất của hệ
thống - thiết bị người dùng cuối được mô tả như hình 1.3.


14

Hình 1.3:Tấn công vào điểm yếu nhất của hệ thống
- Duy trì việc truy cập dài hạn:
APT thường muốn tiếp cận lâu dài vào tổ chức, luôn tìm kiếm thông tin có

giá trị. Tùy từng mục tiêu tấn công, kẻ tấn công không muốn ăn cắp những thông tin
mà đôi khi muốn gây ra các thiệt hại lâu dài.
Quá trình tấn công diễn ra theo nhiều giai đoạn khác nhau và trong khoảng
thời gian dài. Đồng thời sử dụng nhiều công cụ, kỹ thuật khác nhau để tấn công vào
mục tiêu.
Trước khi thực hiện tấn công, kẻ tấn công thực hiện thăm dò về mục tiêu,
chuẩn bị các công cụ đảm bảo cho cuộc tấn công sẽ thành công. Để thực hiện xâm
nhập vào hệ thống mục tiêu, những kẻ tấn công APT thường thực hiện gửi email có
đính kèm mã độc hại hoặc liên kết đến trang web độc hại để dụ dỗ nạn nhân truy
cập vào. Sau khi xâm nhập thành công vào hệ thống nạn nhận, kẻ tấn công tìm cách
cài đặt backdoor để giành quyền truy cập trong hệ thống mục tiêu đồng thời trích
xuất dữ liệu để đưa ra bên ngoài. Tấn công APT rất khó phát hiện và là cuộc tấn
công nguy hiểm. Vì vậy, việc hiểu biết để có phương pháp bảo vệ tối ưu là cần thiết
[10].
Trong bảng 1.1, tổng kết lại những khác biệt giữa tấn công APT và các mối
đe dọa truyền thống.
Bảng 1.1: Những khác biệt giữa tấn công APT và tấn công truyền thống
Tấn công truyền thống
Kẻ tấn công
Mục tiêu
Mục đích
Tiếp cận

Chủ yếu là cá nhân

Tấn công APT

Nhóm có tổ chức, được xác
định và có nguồn lực tốt
Không xác định, hệ thống chủ Các tổ chức, cơ quan chính

yếu là cá nhân, đơn lẻ
phủ, các doanh nghiệp thương
mại cụ thể
Lợi ích tài chính, khả năng thể Lợi thế cạnh tranh, lợi ích
hiện bản thân
chiến lược
Một lần, phá và lấy cắp trong Nỗ lực lặp đi lặp lại, di
thời gian ngắn
chuyển thấp và chậm, thích
ứng để chống lại các phòng


15

thủ, duy trì sự hiện diện dài
hạn

1.7 Kết luận chương 1
Những kết quả đạt được trong chương 1 như sau:
- Trình bày các vấn đề cơ bản nhất về tấn công APT như khái niệm, lịch sử,
các đặc điểm, các hình thức tấn công.
- Trình bày về sự khác biệt giữa tấn công APT và các tấn công truyền thống.