Tải bản đầy đủ (.pdf) (31 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.57 MB, 31 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

NGUYỄN QUỐC TUẤN

NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CÔNG
CÓ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM
TÍCH HỢP DỮ LIỆU TỈNH LONG AN
CHUYÊN NGÀNH :
MÃ SỐ:

0

HỆ THỐNG THÔNG TIN

60.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VÕ VĂN KHANG

TP.HỒ CHÍ MINH– 2017


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS. Võ Văn Khang

Phản biện 1: ………………………………………………


Phản biện 2: ………………………………………………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại
Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: ... giờ .... ngày ..... tháng .... năm ….....
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1

MỞ ĐẦU
1.

Tính cấp thiết của đề tài
Trong những năm gần đây, các cuộc tấn công mạng có quy mô và mức độ lớn gia

tăng dẫn đến gây mất mát dữ liệu, thiệt hại về kinh tế. Theo thống kê của Trung tâm Ứng
cứu khẩn cấp máy tính Việt Nam (VNCERT), năm 2016 có 13.000 trang web bị hack, đến
15/5/2017 có hơn 5.500 trang web bị hack với hơn 10.900 liên kết (URL) bị tấn công hoặc
cài mã độc. Trong quý I/2017, ghi nhận có 952 sự cố website lừa đảo, 2.709 trang web bị
tấn công thay đổi giao diện, 2.381 sự cố phát tán mã độc. Trong đó, website của cơ quan
nhà nước có 64 website bị tấn công thay đổi giao diện, 2 website bị phát tán mã độc, 3
website bị tấn công lừa đảo. Đối với tỉnh Long An, Trung tâm tích hợp dữ liệu của tỉnh đang
quản lý vận hành các hệ thống thông tin trọng điểm của tỉnh bao gồm: Hệ thống Cổng thông
tin điện tử, hệ thống thư điện tử, hệ thống quản lý văn bản và điều hành, hệ thống một cửa
điện tử phục vụ cho nhu cầu chỉ đạo điều hành của lãnh đạo tỉnh và công tác chuyên môn
của các cơ quan hành chính nhà nước trên địa bàn tỉnh. Vì vậy, việc đảm bảo an toàn thông
tin cho Trung tâm tích hợp dữ liệu của tỉnh là vấn đề hết sức quan trọng.
Theo các chuyên gia bảo mật trong thời gian tới, tình hình tội phạm mạng tiếp tục

diễn biến phức tạp, khó lường. Thay vì các kiểu tấn công trước đây đã dùng chúng sẽ sử
dụng công nghệ mới và liên tục thay đổi phương thức, thủ đoạn để tránh bị phát hiện dẫn
đến việc phòng chống là vô cùng khó khăn.
Một trong các dạng tấn công tiêu biểu, được nhắc đến rất nhiều hiện nay là tấn công
APT (Advanced Persistent Threat). Tấn công APT là hình thức tấn công nguy hiểm, có chủ
đích mục tiêu rõ ràng và sử dụng nhiều loại phương pháp, công nghệ tinh vi và phức tạp để
tấn công vào mục tiêu nhằm đạt được những thông tin mật, nhạy cảm. Theo thông tin từ
Hiệp hội an toàn thông tin VNISA, tháng 5 năm 2015, Hãng bảo mật của Mỹ là FireEye đã
công bố nghiên cứu và báo cáo của mình về phương thức kỹ thuật và chỉ đích danh nhóm
tấn công APT30 xuất phát từ Trung Quốc đã tấn công và thâm nhập nhiều năm qua vào các
máy tính của Việt Nam đặc biệt là các đối tượng phóng viên báo đài. Báo cáo đã cho thấy
các kiểu tấn công APT thông dụng đã được công bố vẫn tiếp tục uy hiếp đến an ninh thông
tin tại Việt Nam, khi ý thức của người sử dụng vẫn chưa được nâng cao. Mặc dù thiệt hại
mà cuộc tấn công APT gây ra rất nghiêm trọng tuy nhiên việc phòng chống tấn công APT
hiện nay vẫn bị xem nhẹ và chưa được đầu tư đúng đắn. Do đó, việc nghiên cứu về cơ chế
hoạt động của tấn công APT và giải pháp phòng chống là điều rất quan trọng sẽ góp phần


2
bảo vệ tốt hơn hệ thống thông tin của mình. Từ đó học viên đã chọn đề tài “nghiên cứu
biện pháp phát hiện tấn công có chủ đích APT để bảo vệ Trung tâm tích hợp dữ liệu
tỉnh Long An” để có cái nhìn tổng quan về tấn công APT, nghiên cứu các giải pháp phòng
chống và từ đó đề xuất giải pháp phòng chống cuộc tấn công này cho Trung tâm tích hợp dữ
liệu tỉnh Long An.

2. Tổng quan vấn đề cần nghiên cứu
Vấn đề bảo đảm an toàn thông tin cho các hệ thống thông tin là một trong những vấn
đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng hệ
thống thông tin. Ngày nay, các cuộc tấn công trên không gian mạng đang có xu hướng nhắm
vào các cơ quan hành chính nhà nước với những mục đích và có ý đồ rõ ràng nhằm gây

nhiễu thông tin cũng như phá hoại thông tin của các tổ chức hành chính nhà nước (thu thập
thông tin tình báo có tính chất thù địch, đánh cắp dữ liệu, làm mất uy tín của cơ quan tổ
chức, phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực….). Việc nghiên cứu về cơ
chế hoạt động của tấn công APT và giải pháp phòng chống nhằm đưa ra cái nhìn tổng quan
về tấn công APT, tìm hiểu các biện pháp phát hiện cuộc tấn công APT, tìm hiểu các giải
pháp phòng chống tấn công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn công
này cho Trung tâm tích hợp dữ liệu tỉnh Long An.

3. Mục đích nghiên cứu
Nghiên cứu công nghệ tấn công APT: kỹ thuật, giai đoạn, mục đích, phương pháp;
tìm hiểu các biện phát phát hiện cuộc tấn công APT, tìm hiểu các giải pháp phòng chống tấn
công APT và từ đó đề xuất giải pháp để phòng chống cuộc tấn công này cho Trung tâm tích
hợp dữ liệu tỉnh Long An.

4. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu: Hiện trạng Trung tâm tích hợp dữ liệu tỉnh Long An; nghiên
cứu các phương pháp tấn công, mã độc hại trong cuộc tấn công APT; vấn đề an toàn thông
tin tại Trung tâm tích hợp dữ liệu tỉnh Long An; cách thức tấn công APT vào hệ thống
thông tin; giải pháp khắc phục, biện pháp bảo vệ chống lại các cuộc tấn công APT.
Phạm vi nghiên cứu:Nghiên cứu các phương pháp tấn công trong cuộc tấn công có
chủ đích APT.


3

5. Phương pháp nghiên cứu
Nghiên cứu lý thuyết: Nghiên cứu lý thuyết về cơ chế hoạt động và lây nhiễm
malware; nghiên cứu các hình thức tấn công APT phổ biến trong những năm gần đây; các
phương pháp phát hiện và phòng chống APT.
Khảo sát thực tế: Khảo sát mô hình Trung tâm Tích hợp dữ liệu tỉnh Long An; tìm

hiểu các công cụ bảo vệ hiện hữu của Trung tâm Tích hợp dữ liệu tỉnh Long An.
Luận văn gồm 3 chương và phần kết luận tập trung nghiên cứu những vấn đề sau:
Chương 1: Tổng quan về tấn công APT
Chương 2: Cách thức tấn công APT và phương pháp phòng chống
Chương 3: Xây dựng và đề xuất một số giải pháp bảo đảm an toàn thông tin cho
Trung tâm tích hợp dữ liệu trước các cuộc tấn công APT


4

Chương 1 - TỔNG QUAN VỀ TẤN CÔNG APT
1.1 Tổng quan về tấn công có chủ đích APT
Advanced Persistent Threat là một từ viết tắt được phát triển bởi MANDIANT,
nhưng đã được đề cập trước đó bởi Mike Cloppart, được dùng để mô tả kiểu tấn công dai
dẳng và có chủ đích vào một thực thể được nhắm đến. Thông thường tấn công APT có sự
chuẩn bị kỹ càng và được thực hiện, hỗ trợ bởi một tổ chức hoặc cao cấp hơn là chính phủ
của một nước nào đó nhằm tìm kiếm thông tin tình báo từ cá nhân, doanh nghiệp, chính phủ
nước khác.
Các thành phần của kỹ thuật tấn công APT [12]:
Advanced (Nâng cao): thuật ngữ Advanced chỉ các kiểu tấn công cao cấp hơn các thể
loại thông thường. Trong APT, tin tặc sử dụng các malware và các biến thể khác nhau để
tiến hành qua mặt và xâm nhập vào hệ thống. Các malware này phần lớn có thể qua mặt
được các phương pháp bảo vệ truyền thống khác như Firewall, IPS, và phần mềm diệt virus.
Persistent (Dai dẳng): thuật ngữ Persistent mang ý nghĩa việc tấn công luôn theo sát
để đạt được mục đích của nó. Mục tiêu tấn công sẽ không bị tấn công ngay tức thì mà các
mã độc sẽ đi theo nhiều đường khác nhau cho đến khi xâm nhập vào hệ thống, sau đó chờ
thời cơ. Chúng chỉ thực sự kích hoạt tấn công khi phát hiện đúng mục tiêu.
Threat (Mối đe dọa): APT là một mối đe dọa bởi vì nó có tiềm lực và chủ đích. Các
cuộc tấn công APT được thực hiện bởi các hoạt động kết hợp, có mục tiêu cụ thể và kẻ tấn
công có kĩ năng, có tổ chức và có nguồn tài trợ dồi dào.


1.2 Lịch sử phát triển của tấn công APT
Câu hỏi chúng ta phải tự hỏi là: "Nguồn gốc cuộc tấn công APT có từ đâu?". Trước
khi thuật ngữ APT được sử dụng, có một số phiên bản nguyên thủy của APT. Ngày nay
thiết lập một cuộc tấn công APT được dựa trên nền tảng cơ bản gọi là một botnet trong đó
có máy chủ chỉ huy và kiểm soát (C&C). Hầu hết chúng được tự động bởi những Bot (như
Zombies). Botnet đã tồn tại trong một thời gian rất dài kể từ năm 1999. Trước tấn công APT
chúng được chỉ đạo phối hợp cẩn thận bởi một tổ chức tội phạm như cuộc tấn công APT.
Một số cuộc tấn công APT điển hình [13]:
- Operation Aurora (2010)
- NightDragon (2009 - 2011)
- Operation Shady Rat (2006 – 2011)


5
- Stuxnet (2010)
- Shamoon (2012)
- Năm 2016 xảy ra vụ tin tặc tấn công các sân bay tại Việt Nam ngày 29/7/2016.

1.3 Tấn công APT thông qua công cụ malware
1.4 Tấn công APT thông qua các hình thức khác
- Kỹ thuật Social Engineering
- Khai thác các lỗ hổng Zero-day và các Exploit khác
- Insiders và Recruits
- Forged và Fake Certificates (giả mạo chứng chỉ điện tử)

1.5 Xác định các đặc tính của APT
Các đặc tính của tấn công APT:
- Targeted (mục tiêu):
- Persistent (Dai dẳng)

- Evasive (Tránh né và ẩn mình)
- Complex (Phức tạp)
Điểm khác biệt lớn giữa tấn công APT và các cuộc tấn công khác là việc APT sử dụng
phối kết hợp nhiều các kỹ thuật khác nhau một cách khoa học và bài bản nhằm những mục
tiêu nhiều lỗ hổng bảo mật trong các tổ chức. Lý do để gọi nó là Advanced Persistent Threat
là bởi vì nó được lên kế hoạch rất khoa học và được thực hiện và phối hợp với tất cả các
công cụ có sẵn. Tấn công APT có mục tiêu là một tổ chức cụ thể (hoặc nhóm các tổ chức).
APT có thể sử dụng một loạt các công cụ từ malware đơn giản đến phức tạp. Những mã độc
hại được tạo ra để khai thác các lỗ hổng "zero-day" (các lỗ hổng chưa từng được biết đến
hoặc chưa từng được công bố). Ví dụ, một cuộc tấn công APT có thể dựa trên kỹ thuật lừa
đảo (social engineering) qua điện thoại để xác định cá nhân cần thiết trong tổ chức; lừa đảo
email gửi đến những cá nhân cần thiết với các liên kết đến một trang web chứa mã
Javascript để cài đặt công cụ truy cập từ xa,...

1.6 Sự khác biệt của APT với các mối đe dọa truyền thống
Sự khác biệt quan trọng nhất giữa APT và các mối đe dọa truyền thống đó là đặc
điểm targeted (mục tiêu). Trong khi việc bảo vệ vòng ngoài (vành đai) và sử dụng các kiểm
soát an ninh tiêu chuẩn có thể bảo vệ một tổ chức từ những cuộc tấn công tiêu chuẩn, các kỹ
thuật này có thể không đủ khi đối mặt với APT. Các kẻ tấn công kiên nhẫn có thể chờ đợi


6
những lỗ hổng mới để khai phá một điểm yếu hoặc có thể kết hợp các lỗ hổng nhỏ thành
một lỗ hổng lớn để tấn công.
Trong bảng 1.1, tổng kết lại những khác biệt giữa tấn công APT và các mối đe dọa
truyền thống.
Bảng 1.1: Những khác biệt giữa tấn công APT và tấn công truyền thống
Tấn công truyền thống
Kẻ tấn công
Mục tiêu

Mục đích
Tiếp cận

Tấn công APT

Chủ yếu là cá nhân

Nhóm có tổ chức, được xác
định và có nguồn lực tốt
Không xác định, hệ thống chủ yếu Các tổ chức, cơ quan chính
là cá nhân, đơn lẻ
phủ, các doanh nghiệp thương
mại cụ thể
Lợi ích tài chính, khả năng thể Lợi thế cạnh tranh, lợi ích
hiện bản thân
chiến lược
Một lần, phá và lấy cắp trong thời Nỗ lực lặp đi lặp lại, di chuyển
gian ngắn
thấp và chậm, thích ứng để
chống lại các phòng thủ, duy trì
sự hiện diện dài hạn

1.7 Kết luận chương 1
Những kết quả đạt được trong chương 1 như sau:
- Trình bày các vấn đề cơ bản nhất về tấn công APT như khái niệm, lịch sử, các đặc
điểm, các hình thức tấn công.
- Trình bày về sự khác biệt giữa tấn công APT và các tấn công truyền thống.

Chương 2 - CÁCH THỨC TẤN CÔNG APT VÀ PHƯƠNG
PHÁP PHÒNG CHỐNG

2.1 Phân tích các giai đoạn tấn công APT
Tấn công APT có mục tiêu là một tổ chức cụ thể (hoặc nhóm các tổ chức). APT có
thể sử dụng một loạt các công cụ từ malware đơn giản đến phức tạp, những mã độc hại được
tạo ra để khai thác các lỗ hổng "zero-day" [5].
Các giai đoạn trong một cuộc tấn công APT [14] được mô tả như hình 2.1.

Tổn thương ban
đầu

Thiết lập
chỗ đứng

Leo thang
quyền ưu
tiên

Trinh sát
nội bộ

Dịch
chuyển biên

Duy trì sự
hiện diện

Hình 2.1: Các giai đoạn của cuộc tấn công APT

Hoàn tất
nhiệm vụ



7
- Tổn thương ban đầu (Initial Compromise)
- Thiết lập chỗ đứng (Establish Foothold)
- Leo thang quyền ưu tiên (Escalate Privileges)
- Trinh sát nội bộ (Internal Reconnaissance)
- Dịch chuyển biên (Move Laterally)
- Duy trì sự hiện diện (Maintain Presence)
- Hoàn tất nhiệm vụ (Complete Mission)

2.2 Các thuật toán điều khiển và cập nhật tính năng của APT
Máy chủ C&C đóng một vai trò thiết yếu trong việc điều khiển phần mềm độc hại.
Những kẻ tấn công thiết lập các máy chủ C&C để phân phối các lệnh hoặc thu thập dữ liệu
nhạy cảm từ các máy tính của nạn nhân.
Các thiết lập C&C đơn giản dựa trên các IP được mã hóa cứng có thể dễ dàng được
phát hiện. Nhà phân tích có thể liệt kê danh sách đen địa chỉ IP hoặc tên miền của máy chủ
C&C và có thể cấm truy cập hoặc rộng hơn gỡ bỏ máy chủ xuống. Để hạn chế việc bị phát
hiện máy chủ C&C, hiện nay các biến thể của mã độc đã sử dụng thuật toán sinh tên miền
(Domain Generation Algorithm – DGA) để tương thích với phương pháp giao tiếp với C&C
thông thường của mã độc [21].
Các mã độc sử dụng DGA để định kỳ tạo ra một số lượng lớn các tên miền có thể sử
dụng truyền thông với máy chủ C&C, và chỉ để một tên miền sống vào một thời điểm nhất
định, các máy tính bị lây nhiễm mã độc sẽ cố gắng liên lạc với một số tên miền nhất định
này mỗi ngày để nhận các bản cập nhật tính năng và lệnh từ máy chủ C&C. Những tên miền
được sinh ra trong DGA phần lớn không được đăng ký và là những tên miền không tồn tại
NXDomain (Non-eXistent Domain).
Kẻ tấn công lợi dụng DGA có thể qua mặt cơ chế chặn theo tên miền, chống đánh
sập tên miền và chống phân tích động và trích xuất tên miền C&C.
Ví dụ: Đoạn mã giả được đánh dấu trong hình 2.4 thể hiện mã độc Locky (một loại
mã độc ransomware) sử dụng DGA sinh tên miền mới dựa trên ngày tháng năm hiện tại.

Với thuật toán này, 6 địa chỉ C&C được tạo ra mỗi ngày.


8

2.3 Phương pháp phát hiện các cuộc tấn công APT
2.3.1 Phân tích tĩnh
2.3.2 Phân tích động
2.3.3 Cập nhật và phân tích thông qua các công cụ thu thập thông tin tình báo
2.4

Các công cụ phòng chống APT hiện đại và nguyên lý hoạt động

2.4.1 Công cụ của hãng bảo mật FireEye
Các thành phần của giải pháp FireEye
Mô hình tích hợp

2.4.2 Công cụ của hãng bảo mật McAfee
Mô hình triển khai

2.4.3 Công cụ của hãng bảo mật NPCore
Đặc điểm của Zombie ZERO

2.5 Kết luận chương 2
Trong chương 2 đã nghiên cứu được các giai đoạn tấn công APT, các phương pháp
phát hiện tấn công APT. Trình bày được một số giải pháp phòng chống tấn công APT của
các hãng bảo mật hiện nay.

Chương 3 - XÂY DỰNG VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP
BẢO ĐẢM AN TOÀN THÔNG TIN CHO TRUNG TÂM TÍCH

HỢP DỮ LIỆU TRƯỚC CÁC CUỘC
TẤN CÔNG APT
3.1 Hiện trạng hạ tầng Trung tâm tích hợp dữ liệu tỉnh Long An
Trung tâm tích hợp dữ liệu của tỉnh Long An được đầu tư xây dựng từ năm 2005 và
được bổ sung thêm một số trang thiết bị từ các dự án được triển khai (Dự án Một cửa điện
tử, dự án Nâng cấp Hệ thống thư điện tử, Cổng thông tin điện tử,…). Tuy nhiên, các trang
thiết bị được đầu tư chỉ phục vụ riêng lẻ không có tính dự phòng, nguy cơ tiềm ẩn mất an
toàn dữ liệu, an toàn thông tin. Đến nay hiện trạng cơ sở hạ tầng của Trung tâm THDL được
trình bày như bảng 3.1 dưới đây:


9
Bảng 3.1: Hiện trạng cơ sở hạ tầng của Trung tâm THDL
STT
1
2

3

4
5

6

7

Tên thiế t bi, ̣ ha ̣ng
mu ̣c
Máy chủ


Ghi chú

23 máy chủ
- 01 đường truyền Internet tốc độ cao của mạng chuyên dụng do
Cục Bưu điện trung ương cung cấp và 01 đường truyền FTTH
Đường truyề n
của Viễn thông Long An.
- 18 địa chỉ IP tĩnh
- 01 thiết bị lọc thư rác Barracuda Spam Firewall 300;
- 03 thiết bị tường lửa;
Các thiế t bi ba
̣ ̉ o mâ ̣t - 04 thiết bị Switch;
- 01 thiết bị Router;
- 03 thiết bị Modem ADSL.
Thiết bị lưu trữ
01 thiết bị lưu trữ dữ liệu SAN.
- 03 UPS lưu trữ điện;
Thiết bị điện
- 01 máy phát điện 100KVA, hê ̣ thố ng ATS;
- 01 hệ thống báo khói, nhiệt;
- 01 hệ thống chống sét;
Các thiết bị phụ trợ - 01 hệ thống làm mát;
- Tủ Rack;
- Cáp mạng AMP Cat5.
- 15 bộ bản quyền Microsoft Windows Server 2008, 2012
Phầ n mề m hê ̣ thố ng
- 2 Bộ bản quyền Microsoft SQL Server 2008.
- Chi tiết máy chủ được thể hiện ở bảng 3.2 dưới đây:
Bảng 3.2: Hiện trạng máy chủ


STT

Tên thiết bị

1

Máy chủ - IBM
System x3650

2

Máy chủ - IBM
System x3650
M2

3

SQL Servers

Cấu hình
x3650
CPU: Xeon Quad Core
E5405 2.00 Ghz 2
RAM: 2GB PC2-5300 CL5
ECC DDR2
HDD: 146GB 15K 3.5in HS
SAS HDD
x3650 M2
CPU: Xeon 4C E5540
2.53GHz

RAM: 4GB DDR3-1333
2Rx4 LP RDIMM
HDD: 146 GB 2.5in SFF
Slim-HS 15K 6Gbps SAS,
300 GB 2.5in SFF Slim-HS
10K 6Gbps SAS
x3650 M3

Số
lượng

Hiện trạng

3

01 máy đang chạy web,
một cửa và sms;
01 máy đang chạy
Edge;
01 máy chạy Domain

1

Đang chạy Mailbox

1

Chạy cơ sở dữ liệu



10
STT

Tên thiết bị

4

Exchange
Mailbox Server

5

SharePoint
Servers

6

Server IBM
System x3650
M4 8Core

7

Server IBM
System x3650
M4 8Core

8

Server HP

ProLiant
DL380 Gen9

9

Server IBM

Cấu hình
CPU: Xeon 6C E5645
2.4Ghz
RAM: 4GB PC3L-10600
CL9 ECC DDR3 1333MHz
LP RDIMM
HDD: 146 GB 2.5in SFF
Slim-HS 15K 6Gbps SAS
x3650 M3
CPU: Xeon 6C E5645
2.4Ghz
RAM: 4GB PC3L-10600
CL9 ECC DDR3 1333MHz
LP RDIMM
HDD: 146 GB 2.5in SFF
Slim-HS 15K 6Gbps SAS
x3650 M3
CPU: 2 x Xeon 6C E5645
2.40GHz
RAM: 4GB PC3L-10600
CL9 ECC DDR3 1333MHz
HDD: 146 GB 2.5in SFF
Slim-HS 15K 6Gbps SAS

x3650 M4
CPU: 2 x Xeon 8C E5-2660
2.2GHz
RAM: 8GB PC3-12800 CL11
ECC DDR3 1600MHz LP
RDIMM
HDD: 300GB 2.5in SFF 15K
6Gbps SAS HDD
x3650 M4
CPU: 2 x Xeon 8C E5-2660
2.2GHz
RAM: 8GB PC3-12800 CL11
ECC DDR3 1600MHz LP
RDIMM
HDD: 300GB 2.5in SFF 15K
6Gbps SAS
HP ProLiant DL380 Gen9
CPU: 2 x Xeon E5-2630v3
2.4GHz
RAM: 4 x 8GB 1Rx4 PC42133P-R Kit
HDD: 300GB 12G SAS 15K
2.5in SC ENT
x3650 M3

Số
lượng

Hiện trạng

1


Đang chạy Mailbox

4

Cổng thông tin điện tử
của tỉnh

2

Sử dụng cho Ban
QLKKT

2

Đang chạy SrIndex,
Backend

3

Đang chạy Hệ thống
cho Trung tâm phục vụ
Hành chính công

6

Đang chạy Hệ thống


11

Tên thiết bị

STT

System x3650
M3 8Core

Cấu hình

Số
lượng

CPU: Xeon 8C E5-2660
2.2GHz
RAM: 8GB 2.5in
SAS/SATA
HDD: 3x146GB 2.5in SFF
15K 6Gbps HS SAS

Hiện trạng
Quản lý văn bản và
điều hành của một số
sở ngành, UBND huyện
và Hệ thống Quản lý
khiếu nại tố cáo

- Chi tiết thiết bị tường lửađược thể hiện ở bảng 3.3 dưới đây:
Bảng 3.3: Chi tiết tường lửa

2


Tên thiết bị
Thiết bị tường lửa FortiGate FG-310B Bundle Security
Appliance
Firewall - Cisco ASA5510

3

Firewall Cisco ASA 5515

1

4

Thiết bị lọc thư rác Barracuda Spam Firewall 300

1

STT
1









Số lượng

1

Đường truyền kết nối:
Số kết nối FTTH: 02; Tốc độ kết nối: 60 Mbps.
Số kết nối mạng TSLCD: 01; Tốc độ kết nối: 32 Mbps.
Các ứng dụng đang được cài đặt, triển khai tại Trung tâm THDL:
Hệ thống Cổng thông tin điện tử của tỉnh và các trang thành phần.
Hệ thống Thư điện tử của tỉnh.
Hệ thống Một cửa điện tử của tỉnh.
Hệ thống Quản lý văn bản và điều hành.
Hệ thống Quản lý khiếu nại tố cáo.
- Mô hình kiến trúc của Trung tâm THDL Long An như hình 3.1 dưới đây:

1


12

Hình 3.1: Mô hình Trung tâm THDL
Tại hệ thống máy chủ của Trung tâm TTDL phân chia hệ thống mạng thành các
vùng:
* Vùng Internal Server
Các máy tính trong hệ thống mạng LAN có thể truy cập vào các máy chủ ứng dụng,
máy chủ dữ liệu nội bộ.
* Vùng DMZ
Các hệ thống mạng ngoài có thể truy xuất vào vùng này:
- Người dân tra cứu thông qua hệ thống một cửa điện tử, Cổng dịch vụ công đặt tại
Web Server.
- UBND các huyện, thị xã, thành phố truyền dữ liệu cũng thông qua modem kết nối
vào vùng này.


3.2 Các nguy cơ mất an toàn trên hệ thống thông tin
* Nguy cơ mất an toàn thông tin về khía cạnh vật lý
* Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin
* Nguy cơ bị tấn công bởi các phần mềm độc hại
* Nguy cơ xâm nhập từ lỗ hổng bảo mật
* Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu
* Nguy cơ mất an toàn thông tin do sử dụng email
* Nguy cơ mất an toàn thông tin trong quá trình truyền tin


13

3.3 Giới thiệu về sự cần thiết bảo đảm an toàn thông tin đối với Trung tâm tích
hợp dữ liệu tỉnh Long An
- Hiện tại Trung tâm THDL của tỉnh đang quản lý vận hành các hệ thống dùng chung
của tỉnh bao gồm:
• Hệ thống Cổng thông tin điện tử của tỉnh và các trang thành phần: Hệ thống đang
vận hành Cổng thông tin điện tử của tỉnh và Trang thông tin điện tử thành phần của các Sở,
ban, ngành và UBND cấp huyện với số lượng 44 sites.
• Hệ thống Thư điện tử của tỉnh: Hệ thống thư điện tử của tỉnh với tên miền
, đã được triển khai từ tỉnh đến huyện và xã. Đến nay, có trên
5.000 hộp thư điện tử đã được cấp cho các cơ quan, đơn vị và CBCC-VC trên địa bàn tỉnh.
Số lượng gửi nhận email hàng tháng khá lớn thể hiện ở bảng 3.5.
Bảng 3.5: Số lượng Email trong tháng 02/2017
Số email gửi

Số email nhận

27903


44886

• Hệ thống Một cửa điện tử của tỉnh: Hệ thống này được triển khai đồng bộ ở 17/19
Sở ngành tỉnh, 15 UBND cấp huyện và 192 UBND cấp xã.
Bảng 3.6: Tình hình giải quyết hồ sơ Quý I/2017 của tỉnh
Tiếp nhận hồ sơ

Giải quyết(HS)

114.527

Đúng hạn(HS)

113.959

Tỷ lệ đúng hạn(%)

84.843

74

• Hệ thống Quản lý văn bản và điều hành được triển khai đồng bộ ở 15 UBND cấp
huyện và 19 Sở ban ngành tỉnh.
Bảng 3.7: Tình hình trao đổi văn bản tính đến ngày 16/4/2017
Văn bản đến

Văn bản đi

Tổng số văn bản


535.493

94.007

629.500

• Hệ thống Quản lý khiếu nại tố cáo (Hệ thống này được triển khai đồng bộ ở 16 Sở
ban ngành và 15 UBND cấp huyện).
Hiện tại, Hệ thống Một cửa điện tử và Hệ thống Quản lý văn bản và điều hành được
kết nối trên Cổng thông tin điện tử của Chính phủ, qua đó công khai tình trạng giải quyết hồ


14
sơ hành chính trên địa bàn tỉnh, tăng cường hiệu quả trong cải cách hành chính, thúc đẩy
môi trường làm việc chuyên nghiệp, hiệu quả, minh bạch cho người dân và doanh nghiệp.

Hình 3.2: Công khai tiến độ giải quyết hồ sơ hành chính và văn bản điện tử của
tỉnh
( />so?categoryId=100003401)

3.4 Mô hình hóa biện pháp bảo vệ Trung tâm Tích hợp dữ liệu tỉnh Long An
chống lại các cuộc tấn công APT
Tấn công APT được kẻ tấn công thực hiện rất tinh vi, bao gồm nhiều bước và được
thiết kế riêng cho từng hệ thống, do đó điểm yếu của APT là nó có thể thành công với một
số nạn nhân nhất định vì kẻ tấn công thường viết mã độc dựa trên các lỗ hổng đang tồn tại
trên hệ thống của nạn nhân.
Mặt khác, mỗi tổ chức luôn luôn phải có kế hoạch ứng phó tấn công APT. Luôn thực
hiện theo phương châm “phòng hơn chống” để giảm thiểu được tối đa tổn thất mà APT gây
ra cho chính cơ quan, đơn vị mình.


3.4.1 Một số phương pháp phòng chống APT
Vì APT đòi hỏi nhiều công cụ cũng như các giai đoạn tấn công để thành công do vậy,
giải pháp bảo mật thông minh đó là việc thực hiện chiến lược phòng thủ đa tầng (kết hợp
nhiều lớp bảo vệ) để chống lại APT. Sau đây là các công nghệ và kỹ thuật cần áp dụng trong
chiến lược này.
Antivirus:
Antivirus trở nên quen thuộc với mỗi người sử dụng máy tính. Các hệ thống antivirus
được sử dụng rộng rãi để ngăn chặn, phát hiện và remove (loại bỏ) nhiều phần mềm độc hại,
bao gồm virus máy tính, sâu, trojan, keylogger, plug-in độc hại trình duyệt, adware,
spyware.


15
Firewalls:
Tường lửa có một lịch sử lâu dài trong việc ngăn chặn hoặc cho phép các gói tin
mạng dựa trên nguồn gốc và địa chỉ IP đích và số cổng.
Penetration Testing:
Đánh giá độ an toàn bằng cách tấn công (đánh trận giả). Hay chính là người sử dụng
phải thực hiện một số công việc sau đây:
- Xác định khả năng bị tấn công, khả năng kết hợp các nguy cơ nhỏ thành mối nguy
cơ lớn.
- Xác định các nguy cơ mà các công cụ tự động không phát hiện được.
- Khả năng của hệ thống trong việc ngăn chặn các loại hình tấn công.
- Lượng hoá các vấn đề cần đầu tư cho bảo mật.
Data Leak Prevention (DLP - ngăn chặn rò rỉ dữ liệu):
Tăng cường giám sát lưu lượng truy cập cho hoạt động bên ngoài độc hại như các
yêu cầu từ các trang web độc hại, các server DNS động và truyền file nhạy cảm.
Quét email từ bên ngoài và lưu lượng web đối với một tập các quy tắc động để ngăn
chặn dữ liệu bị đánh cắp.

Whitelisting:
Network whitelisting có thể được sử dụng để chỉ cho phép giao vận nội bộ nhất định
nào đó đạt được các tài nguyên mạng khác. Network whitelisting cũng có thể ngăn chặn
người dùng truy cập vào bất cứ trang web trực tuyến nào mà không được chấp thuận một
cách rõ ràng. Ứng dụng whitelisting có thể được sử dụng để chỉ cho phép một danh sách
tập hợp các ứng dụng chạy trên máy tính. Điều này có thể ngăn chặn kẻ tấn công chạy các
chương trình mới trên máy tính của mục tiêu.
Blacklisting:
Trong khi một whitelist là một danh sách rõ ràng những gì được cho phép thực hiện
hoặc truy cập vào các tài nguyên, thì một blacklist là danh sách những item bị ngăn truy cập
vào tài nguyên, các trang web, hoặc ứng dụng được coi là không an toàn.
Instrution Prevention(IPS)/Instrution Detection (IDS):
Việc sử dụng một sản phẩm IPS và IDS, một tổ chức có thể thêm một lớp giám sát
giao vận để theo sát hoạt động đáng nghi. Một hệ thống IPS/IDS tốt cũng sẽ cảnh báo nhân
viên IT về các mối đe dọa tiềm tàng đang phát triển.
Two-Factor Authentication (Xác thực dùng hai nhân tố)


16
Có nhiều hình thức của xác thực dùng hai nhân tố có sẵn cho người dùng cuối. Bằng
cách thực hiện xác thực hai yếu tố cho người dùng từ xa hoặc người dùng mà yêu cầu truy
cập thông tin nhạy cảm, một tổ chức có thể gây khó khăn cho kẻ tấn công, những kẻ tấn
công sẽ cần phải cung cấp một form định danh thứ hai để truy cập vào mạng. Phương pháp
xác thực dùng hai nhân tố được sử dụng thông thường bao gồm username và password tiêu
chuẩn cộng với một token xác thực dựa trên phần mềm hoặc phần cứng, nó cung cấp mật
khẩu sử dụng một lần, phải nhập vào khi username và password được trình bày cho các máy
chủ xác thực.
Web Filtering/IP reputation:
Web filtering để chặn truy cập đến các trang web không tốt cũng như các trang web
chứa các phần mềm độc hại.

Network Access Control (NAC - Điều khiển truy cập mạng):
Giải pháp kiểm tra tính tuân thủ bảo mật của hệ thống. NAC là một giải pháp có thể
ngăn chặn các máy tính trên mạng truy cập vào các nguồn tài nguyên. Các máy móc thiết bị
kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh đều bị chặn lại hoặc cô lập và
thông báo cho người quản trị.
Application Control (Kiểm soát ứng dụng):
Ngày nay, các dịch vụ Web như Facebook, Twitter và Skype rất phổ biến. Trong khi
nhiều đơn vị đã chấp nhận và cho phép sử dụng các nền tảng này, việc truy cập toàn diện và
không giới hạn đến các dịch vụ này có thể đặt tổ chức trước các mỗi đe dọa và phần mềm
độc hại trên web. Application Control cho phép xác định và kiểm soát các ứng dụng trên
mạng, bất kể cổng, giao thức hay địa chỉ IP. Sử dụng các công cụ như phân tích hành vi,
liên kết người dùng cuối và phân loại ứng dụng có thể xác định và ngăn chặn các ứng dụng
và các malware độc hại tiềm tàng.
Web Gateway:
Web Gateway lọc chặn virus, Spyware, Phishing, trước khi chúng có thể thâm nhập
vào hệ thống, ngăn chặn nguy cơ mất dữ liệu. Web Gateway tự động bảo vệ chống lại các
mối đe dọa khi người dùng truy cập Internet. Bằng cách kết hợp với điều khiển ứng dụng,
quét phần mềm độc hại, kiểm tra web theo thời gian thực, lọc URL, và phát hiện chống
botnet.
Mail Gateway:


17
Mail Gateway được tích hợp khả năng phòng chống thư rác nhiều lớp và chống lừa
đảo (anti-phishing) sử dụng bộ lọc mã độc và phần mềm gián điệp. Khả năng lọc nội dung
(content filtering) của Mail Gateway giúp tổ chức dễ dàng thiết lập các chính sách kiểm soát
việc tuân thủ ứng dụng CNTT của người dùng và ngăn chặn rò rỉ dữ liệu.
Device Control:
Kiểm soát được thiết bị ngoại vi nào được phép sử dụng trong đơn vị hay tổ chức.
Security Information Event Management (SIEM):

Là một giải pháp hoàn chỉnh, đầy đủ cho phép các tổ chức thực hiện việc giám sát
các sự kiện an toàn thông tin cho một hệ thống.
Security for Endpoint:
Ngăn chặn virus trên các máy trạm, khả năng chống bùng nổ virus trong mạng cục
bộ, kiểm soát việc truy cập web của Client. Quản lý tập trung toàn bộ hệ thống phòng chống
virus và ngăn chặn Client truy cập tới các trang web độc hại trên Internet.

3.4.2 Mô hình an toàn cho Trung tâm THDL

Hình 3.3: Mô hình Trung tâm TTDL hoàn chỉnh
Trong mô hình Trung tâm THDL ở hình 3.3, Hệ thống được chia làm 5 vùng riêng
biệt:


18
- Vùng DMZ: là nơi tập trung các máy chủ cung cấp các dịch vụ ra bên ngoài bao
gồm Front-end Web server, Front-end Mail Server, Front-end Sharepoint.
- Vùng Server: Tập trung các máy chủ cơ sở dữ liệu SQL Servers, LDAP.
- Vùng Application: Tập trung các máy chủ ứng dụng Web Portal, Mail server.
- Vùng Management: Tập trung các máy chủ LAN Management, Security
Management.
- Vùng WAN: Bao gồm các máy tính ở các sở ngành, UBND cấp huyện.
Trong đó, hệ thống External Firewall bố trí thiết bị tường lửa (Firewall) có tích hơ ̣p
tích năng phát hiện xâm nhập IPS bảo vê ̣ các máy chủ trong vùng an toàn, vùng quản trị,
tăng cường khả năng dự phòng, sẵn sàng cao; bố trí thiết bị bảo mật ứng dụng Web
Application Firewall (WAF) giúp bảo vệ các ứng dụng web, phát hiện ngăn chặn những
khai thác của tin tặc đối với cổng thông tin điện tử của tỉnh và các trang thông tin điện tử
thành phần; vùng Internal Firewall bố trí tường lửa có tốc độ cao, có khả năng bảo mật tầng
ứng dụng, có khả năng phân tích, phát hiện, cảnh báo với những xâm nhập bất hợp pháp của
tin tặc,...; bố trí thêm phần mềm theo dõi hoạt động của hệ thống, có khả năng tự động phân

tích những bất thường của thiết bị, của các ứng dụng dùng trong hệ thống,... có nhiệm vụ
dùng để quản lý và phân tích file log tập trung ở vùng Management.

3.4.3 Khuyến nghị áp dụng yêu cầu kỹ thuật cho Trung tâm THDL
3.4.3.1 Đánh giá an toàn thông tin cho Trung tâm THDL
Nhằm tăng cường công tác bảo đảm an toàn thông tin cho Trung tâm THDL tỉnh
Long An, phòng tránh các cuộc tấn công mạng (đặc biệt là tấn công có chủ đích APT).
Trung tâm THDL tỉnh định kỳ được triển khai đánh giá an toàn thông tin đối với Cổng
thông tin điện tử tỉnh, các trang thông tin điện tử thành phần, các ứng dụng dùng chung trên
nền web base và hệ thống các máy chủ.
Phần mềm sử dụng để đánh giá an toàn thông tin là phần mềm Acunetix Web
Vulnerability Scanner 10.5 và phần mềm Nessus Vulnerability Scanner.


19

Hình 3.4: Quét Cổng thông tin điện tử tỉnh (longan.gov.vn)

3.4.3.2 Yêu cầu kỹ thuật cho Trung tâm THDL
* Yêu cầu về thiết kế hệ thống:
- Có phương án chặn lọc phần mềm độc hại trên môi trường mạng;
- Có phương án phòng chống tấn công từ chối dịch vụ
- Có phương án giám sát an toàn hoạt động cho hệ thống
- Có phương án giám sát an toàn thông tin
- Có phương án quản lý tập trung việc sao lưu, dự phòng hệ thống
- Có phương án quản lý tập trung các phần mềm phòng chống mã độc trên các máy
chủ/máy tính người dùng trong hệ thống
- Có phương án bảo đảm an toàn cho mạng không dây (nếu có)
- Các thiết bị mạng chính có thiết kế dự phòng
* Yêu cầu về kiểm soát truy nhập từ bên ngoài mạng:

- Phân quyền và cấp quyền truy nhập từ bên ngoài vào hệ thống theo theo từng người
dùng hoặc nhóm người dùng căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý
- Giới hạn số lượng kết nối đồng thời từ một địa chỉ nguồn và tổng số lượng kết nối
đồng thời cho từng ứng dụng, dịch vụ hệ thống cung cấp theo năng lực thực tế của hệ thống
* Yêu cầu về kiểm soát truy nhập từ bên trong mạng:
- Giới hạn truy nhập các ứng dụng, dịch vụ bên ngoài theo thời gian.
* Yêu cầu về nhật ký hệ thống:
-Thông tin về truy cập ứng dụng dịch vụ cần ghi nhật ký bao gồm:


20
+ Thời gian kết nối,
+ Thông tin kết nối mạng (địa chỉ IP, cổng kết nối),
+ Hành động đối với kết nối (cho phép, ngăn chặn),
+ Thông tin các thiết bị đầu cuối kết nối vào hệ thống theo địa chỉ vật lý và logic,
+ Thông tin cảnh báo từ các thiết bị;
- Lưu trữ và quản lý tập trung nhật ký hệ thống trên hệ thống quản lý nhật ký hệ
thống tập trung, gửi dữ liệu nhật ký hệ thống về hệ thống trung tâm theo thời gian thực;
- Lưu trữ nhật ký hệ thống của thiết bị tối thiểu 03 tháng.
* Yêu cầu về phòng chống xâm nhập:
- Có phương án phòng chống xâm nhập để bảo vệ các vùng mạng máy chủ công
cộng, máy chủ nội bộ, máy chủ cơ sở dữ liệu và vùng mạng nội bộ;
* Yêu cầu về phòng chống phần mềm độc hại:
- Có phương án phòng chống phần mềm độc hại trên môi trường mạng để bảo vệ
vùng mạng nội bộ;
- Tự động cập nhật thời gian thực cơ sở dữ liệu cho hệ thống phòng chống phần mềm
độc hại.
- Bảo đảm năng lực hệ thống bảo đảm đáp ứng đủ theo yêu cầu theo quy mô số lượng
người dùng và dịch vụ, ứng dụng của hệ thống cung cấp.
* Yêu cầu về bảo vệ thiết bị hệ thống:

- Hạn chế được số lần đăng nhập sai khi quản trị hoặc kết nối quản trị từ xa theo địa
chỉ IP nguồn;
- Phân quyền truy nhập, quản trị thiết bị đối với các tài khoản quản trị có quyền hạn
khác nhau.
* Yêu cầu về xác thực:
- Hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với một tài khoản
nhất định;
- Thiết lập cấu hình để vô hiệu hóa tài khoản nếu tài khoản đó đăng nhập sai nhiều
lần vượt số lần quy định.
* Yêu cầu về kiểm soát truy nhập máy chủ:
- Thay đổi cổng quản trị mặc định của máy chủ;
- Giới hạn địa chỉ IP nguồn được phép truy nhập, quản trị máy chủ từ xa;


21
- Thiết lập hệ thống để không cho phép quản trị máy chủ trực tiếp từ các mạng bên
ngoài; thực hiện gián tiếp thông qua kết nối mạng riêng ảo hoặc các phương thức khác
tương đương.

3.5 Phương pháp đánh giá an toàn thông tin theo hướng tiếp cận phòng chống
APT
3.5.1 Giới thiệu về các công cụ đánh giá
3.5.1.1 VMware Workstation 12
Máy ảo là một chương trình đóng vai trò như một máy vi tính ảo. Nó chạy trên hệ
điều hành hiện tại (hệ điều hành chủ) và cung cấp phần cứng ảo tới hệ điều hành khách.
VMware là một phần mềm ảo hóa máy tính mạnh mẽ dành cho các nhà phát triển, kiểm tra
phần mềm và các chuyên gia IT cần chạy nhiều hệ điều hành cùng một lúc trên một máy
PC.
Chức năng của VMware:
- Giúp một máy tính có thể chạy song song nhiều hệ điều hành.

- Giúp khai thác tối đa công suất có thể của máy tính.
- Tăng tính linh hoạt khi nâng cấp phần cứng.

3.5.1.2 Kali Linux
Kali Linux là một OS rất hữu ích đối với những chuyên gia đánh giá bảo mật, một
OS tập hợp và phân loại gần như tất cả các công cụ thiết yếu mà bất kỳ một chuyên gia đánh
giá bảo mật nào cũng cần sử dụng để tác nghiệp.
Kali Linux chính là bản nâng cấp cao cấp hơn của BackTrack.
Kali được cài đặt hơn 200 công cụ tùy theo nhu cầu đánh giá. Nếu những công cụ
này không được sắp xếp và phân loại rõ ràng thì khả năng sử dụng khi thực hiện đánh giá
bảo mật sẽ không tối ưu. So với BackTrack, tất cả các công cụ trên Kali đều được phân loại
dựa trên mục đích sử dụng của nó.
Phân loại đầu tiên là Information Gathering (Thu thập thông tin). Nhóm phân loại
này gồm những công cụ tập trung vào việc thu thập thông tin về mục tiêu. Trong phân loại
này có một số lượng lớn các công cụ được phân chia theo loại thông tin cần thu thập.
Ví dụ, OS Fingerprinting (Thu thập thông tin về hệ điều hành), Network Scanners
(Dò quét cổng, dò quét mạng, dò quét phiên bản dịch vụ), SSL Analysis (Phân tích giao
thức SSL), VoIP Analysis (Phân tích giao thức VoIP) và còn nhiều công cụ khác nữa.


22
Từ những công cụ này, chúng ta có thể chọn ra một công cụ rất nổi tiếng, rất hiệu
quả khi thực hiện đánh giá bảo mật hạ tầng mạng, đó là Nmap. Đây là một công cụ thăm dò,
phân tích, do thám mạng rất hữu dụng.
Sniffing/Spoofing (Nghe lén/Giả mạo) cung cấp các công cụ để intercept lưu lượng
mạng trên đường truyền, Web hoặc lưu lượng VoIP. Một trong những chương trình Sniffer
tốt nhất hiện nay là Wireshark. Với Wireshark bạn sẽ có thể intercept lưu lượng mạng và có
thể xác định giao thức được sử dụng, phân tích và highlight các dữ liệu quan trọng.

3.5.1.3 Veil-Evasion

Veil-Evasion là công cụ trong bộ Veil-Framework sử dụng để tạo ra các payload có
khả năng qua mặt phần mềm antivirus [23].

3.5.2 Thực nghiệm tấn công
Máy tấn công: Sử dụng HĐH Kali Linux 2.0.
Máy nạn nhân: Windows 7.
Công cụ: mFileBinder, Veil-Evasion, Armitage.
Lỗ hổng khai thác: sử dụng payload từ công cụ Veil-Evasion.

3.5.3 Kịch bản tấn công
Một cán bộ trong cơ quan X của tỉnh Long An được trang bị máy tính để làm việc.
Trên máy tính này có chứa tài liệu quan trọng về các gói thầu dự án.
Một kẻ tấn công đã tấn công vào máy tính của cán bộ này và đánh cắp các dữ liệu
quan trọng đó.
Kẻ tấn công đã sử dụng một file pdf có chứa mã độc và gửi cho nạn nhân, bằng
phương pháp Social Engineering (kỹ thuật xã hội), kẻ tấn công tạo ra một email với nội
dung hấp dẫn để dụ nạn nhân download file pdf về.
Sau khi nạn nhân download và mở file pdf, kẻ tấn công đã có thể chiếm được quyền
điều khiển máy tính và thực hiện các hành vi cần thiết để khai thác, đánh cắp dữ liệu.

3.5.4 Mô phỏng tấn công
- Giai đoạn thăm dò:
Kẻ tấn công xác định mục tiêu cần tấn công, ở đây là anh cán bộ trong cơ quan X của
tỉnh Long An.
- Giai đoạn chuẩn bị tấn công:


23
+ Sau khi xác định được các thông tin của nạn nhân, kẻ tấn công sử dụng chương
trình Armitage nhằm khai thác lỗ hổng và xâm nhập.

+ Máy tấn công: Sử dụng HĐH Kali Linux 2.0.
+ Công cụ: Armitage.
+ Lỗ hổng: payload tạo ra từ công cụ Veil-Evasion.
- Giai đoạn tấn công:
Kẻ tấn công tiến hành thực hiện các nội dung sau:
Cài đặt Veil-Framework vào HĐH Kali, sau đó thực hiện mở công cụ Veil-Evasion
bằng dòng lệnh ./Veil-Evasion.py, chương trình có giao diện như hình 3.6.
Tiếp theo, kẻ tấn công sẽ xác định payload cần tạo trong chương trình, ở đây kẻ tấn
công sẽ tạo payload ở vị trí số 6 (c/meterpreter/rev_tcp) với các lệnh như hình 3.7.
Sử dụng cú pháp LHOST 192.168.1.4 để đặt địa chỉ IP của máy dùng để tấn công và
LPORT 4444 là cổng dùng để lắng nghe.

Hình 3.7: Tạo IP và Port để lắng nghe
Sau khi dùng lệnh generate, chương trình sẽ tự động tạo ra một file mã độc .exe
(madocAPT.exe)
Tiếp theo, kẻ tấn công sử dụng công cụ mFileBinder để chèn mã độc vào file pdf để
thực hiện giả mạo email như hình 3.8.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×