Bản tin số 2

0
217

I. Botnet là gì?

1. Tổng quan:

​            Botnet thuật ngữ đầy đủ là “Bots network” dùng để chỉ một mạng lưới các máy tính bị chi phối bởi ai đó và bị điều khiển bởi một con máy tính khác từ xa. Botnet là một phần mềm độc hại, đa phần các máy tính đều bị nhiễm bởi một Bot nào đó mà chúng ta không thể nào phát hiện được.

Các máy tính đang bị nhiễm Botnet được gọi là các “Zombie”. Máy tính bị nhiễm sẽ bị chi phối bởi một Botmaster ở trên và điều khiển mọi hoạt động của máy tính đang dính mã độc làm cản trở hoạt động, gián đoán gây mất nhiều thời gian, giảm năng suất công việc của người dùng.

Cách chúng ta trở thành nạn nhân của nó giống như việc bị lây nhiễm malware, và cách thức chiếm và sử dụng dữ liệu đánh cắp cũng chỉ với mục đích riêng của hacker

Hình 1. Mô hình C&C: Botnet Command and Cotrol Server

2. Mục đích tấn công của Botnet:

Botnet có thể vào bằng nhiều đường và ở nhiều dạng thù khác nhưng những mục đích của nó có thể là:

  • Gửi mail spam: cách thức kiếm tiền phổ biến của các Spammer. Hơn nữa các Botnet cũng tạo ra các web gian lận chèn bổ sung quảng cáo chạy trên nền web, người sử dụng tương tác click vào link quảng cáo sẽ tạo ra tiền cho các Hacker.
  • Các cuộc tấn công DdoS dùng Botnet xảy ra liên tục. Bot Herder sẽ lập trình ra một link website bất kỳ nào đó và điều khiển tất cả các máy tính là nạn nhân của Bot truy cập vào website đó, tạo ra tình trạng nghẽn mạng, dẫn đến không truy cập được nữa. Gửi hăm dọa, làm gian lận và tống tiền người dùng.
  • Botnet đào tiền ảo từ một máy tính lớn, giúp chúng thu về tiền ảo như Bitcoin và các chi phí khác sẽ bị chịu bởi người dùng.

Botnet cũng tạo và phát tán các loại virut, malware đến máy tính bạn và dùng nó tiếp tục lây lan sang các máy tính khác để tạo một mạng lưới Botnet lớn rộng để thu được nhiều lợi nhuận hơn.

Hình 2: Kiến trúc mạng lưới Botnet

3. Phân loại Botnet:

Botnet có 2 loại cơ bản là DNS và IRC. Mỗi loại có một chức năng riêng và ưu điểm riêng.

DNS Bot: dễ thực hiện và điều khiển đơn giản không quá cầu kỳ, được dùng để chạy Bot trên nền Web. Nhưng vẫn bị hạn chế trong việc trao đổi thông tin giữa Bot master và các Bot.

IRC Bot: Giúp trao đổi thông tin giữa Bot Master và các Bot, điều khiển qua mạng chat IRC. Nhưng lại bị phụ thuộc vào các IRC và người quản trị Server.

4. Giải pháp phòng ngừa botnet:

1. Hãy cẩn thận với những USB hay thiết bị lạ cắm vào máy tính: trong USB đó có thể đã có sẵn một con bot từ máy khác, khi gắn vào PC của bạn, nó sẽ lây nhiễm và lén cài trong PC mà bạn không hề hay biết.

2. Sử dụng phần mềm diệt virus có bản quyền chống virus với những máy tính ở môi trường bạn thường tiếp xúc có nhiều nguy cơ (ví dụ: máy tính để bàn ở tiệm photocopy vv…).

3. Cẩn thận khi lướt web. Đây là cách rất hay được tin tặc hay sử dụng vì có thể dễ dàng lừa bạn tải về một file hình, file tài liệu nào đó nhưng thực chất có malware bên trong.

4. Đối với thiết bị di động, Người sử dụng chỉ nên cài app đã được xác nhận là an toàn và chỉ cài từ Play Store hay App Store, không sử dụng các kho app bên thứ ba. Hiện nay có khá nhiều malware xuất hiện trên cả Android lẫn máy iOS (đã jailbreak) để biến smartphone thành một con bot trong mạng lưới.

5. Camera an ninh là một mối nguy hiểm mới khi nói về botnet. Những camera với nguồn gốc không rõ ràng, chủ yếu là đồ Trung Quốc không thương hiệu, có khả năng bị nhúng sẵn botnet mà anh em không hề hay biết. Hãy lựa chọn camera từ những hãng uy tín và thường xuyên giám sát đường truyền xem có gì lạ xảy ra hay không.

II. Tổng quan các giải pháp, thiết bị chống tấn công có chủ đích.

APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc chọn, sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong nhiều tuần, nhiều tháng hoặc nhiều năm cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Một khi vào được trong mạng, tin tặc cố giấu mình để không bị phát hiện trong khi sử dụng một số loại phần mềm độc hại (malware) để đánh cắp thông tin quan trọng và gửi đến nơi khác phân tích rồi bán lại trên thị trường chợ đen.

Hình 1: Các bước thực hiện tấn công có chủ đích.

1. Triển khai phòng thủ theo chiều sâu

Phòng thủ theo chiều sâu hay bảo mật theo lớp không thể thiếu trong chiến lược an ninh mạng, đây là một trong những phương pháp tốt nhất để ngăn chặn cuộc tấn công APT. Nó có nghĩa kiểm soát các điểm ra vào mạng, sử dụng tường lửa thế hệ mới, triển khai các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hệ thống giám sát thông tin và sự cố bảo mật (SIEM), bổ sung hệ thống quản lý lỗ hổng, sử dụng phương thức xác thực và quản lý danh tính chắc chắn, cập nhật các bản vá bảo mật và thực hiện bảo vệ đầu cuối.

2. Sử dụng các kỹ thuật phát hiện và giám sát

Giám sát chặt chẽ việc kiểm soát an ninh giúp bạn nhận diện các dấu hiệu cảnh báo sớm của một cuộc tấn công APT, thường xuất hiện dưới dạng file log và lưu lượng dữ liệu bất thường, hay các hoạt động bất thường khác. Việc giám sát tất cả lưu lượng ra vào mạng, lưu lượng nội bộ, và tất cả các thiết bị truy cập mạng là hết sức quan trọng. Việc giám sát liên tục không chỉ giúp bạn phát hiện hoạt động đáng ngờ sớm nhất có thể mà còn làm giảm khả năng các cuộc xâm nhập leo thang hoặc kéo dài. Kết quả giám sát còn có thể dùng làm chứng cứ pháp lý nếu cuộc tấn công xảy ra.

3. Sử dụng dịch vụ đánh giá, phân tích mối đe dọa

Một số hãng bảo mật cung cấp dịch vụ đánh giá mối đe dọa, thu thập dữ liệu thô về các mối đe dọa mới xuất hiện từ nhiều nguồn khác nhau, sau đó phân tích và sàng lọc để tạo ra thông tin hữu ích, có thể hành động. Thông tin này thường ở dạng dữ liệu cung cấp cho các hệ thống kiểm soát an ninh, hay các báo cáo phục vụ cho các nhà quản lý CNTT và giám đốc điều hành để giúp họ hiểu được tình hình về các mối đe dọa trong lĩnh vực của mình.

4. Đào tạo nâng cao nhận thức bảo mật

Gần như mọi cuộc thảo luận về bảo mật CNTT đều đề cập đến sự cần thiết của việc đào tạo nâng cao nhận thức. Làm cho nhân viên thấu hiểu rủi ro của việc nhấn vào những liên kết không rõ ràng trong email và nhận biết những kỹ thuật lừa đảo sẽ biến họ thành những đối tác trong cuộc chiến chống lại các mối đe dọa bảo mật, giúp bảo vệ mạng và dữ liệu mà họ nắm giữ.

Hình 2: Nâng cao nhận thức về an toàn thông tin trong mọi hoạt động.

5. Lập kế hoạch ứng phó sự cố

Dù nỗ lực hết mình và trang bị những công nghệ đắt tiền thì việc bảo mật của tổ chức hay doanh nghiệp vẫn sẽ bị vi phạm ở điểm nào đó: hầu hết các chuyên gia đều cho rằng vấn đề là “khi nào” chứ không phải “có xảy ra hay không”. Một kế hoạch ứng phó sự cố hữu hiệu có thể dập tắt cuộc tấn công, giảm thiểu thiệt hại và chặn bớt rò rỉ dữ liệu, giảm thiểu tổn hại uy tín thương hiệu.

Hình 3: Xây dựng kế hoạch an toàn thông tin khi làm việc.

Mọi tổ chức, bất kể quy mô, đều có thể bị tấn công APT. Hiểu cách thức APT hoạt động, xây dựng hệ thống phòng thủ tốt nhất trong khả năng của mình và giáo dục nhân viên nhận biết hành vi mờ ám có thể hạn chế thiệt hại, và trong một số trường hợp có thể ngăn chặn cuộc tấn công ngay từ đầu.

III. Phân loại và phát hiện lỗ hổng của hệ thống thông tin

1. Tổng quan

Lỗ hổng của hệ thống thông tin (HTTT) là khiếm khuyết của các thành phần phần mềm, phần cứng hoặc của toàn bộ hệ thống có thể bị sử dụng để thực hiện các mối đe dọa an toàn thông tin (ATTT) của hệ thống. Bất kỳ HTTT nào cũng đều có những lỗ hổng nhất định, chúng có thể được sinh ra trong mọi giai đoạn thuộc vòng đời của hệ thống. Lỗ hổng phần mềm có thể xuất hiện khi có những sai sót mà lập trình viên phạm phải ở giai đoạn phát triển phần mềm.

Hình 1: Lỗ hổng An toàn thông tin (Minh họa)

2. Phân loại lỗ hổng an toàn thông tin

Trong bản tin này, trình bày tóm tắt cách phân loại theo cách tiếp cận được đề xuất trong tiêu chuẩn GOST P56546-2-15 của Liên bang Nga, với 3 tiêu chí: khu vực phát sinh lỗ hổng, các khiếm khuyết của HTTT và vị trí xuất hiện các lỗ hổng. 

a. Lỗ hổng theo khu vực phát sinh

Bao gồm: Lỗ hổng code, lỗ hổng cấu hình, lỗ hổng kiến trúc và lỗ hổng tổ chức.

b. Lỗ hổng phát sinh do các khiếm khuyết của hệ thống thông tin

Trong HTTT tồn tại những khiếm khuyết sẽ làm xuất hiện nhiều lỗ hổng. Ví dụ: những khiếm khuyết dẫn đến rò rỉ, hoặc lộ thông thông tin tiếp cận hạn chế; khiếm khuyết liên quan đến tràn bộ nhớ (khi phần mềm thực hiện các bản ghi dữ liệu vượt ra ngoài giới hạn của bộ nhớ vùng đệm, kết quả là dữ liệu được ghi phía trước hoặc tiếp sau bộ đệm bị hư hại). 

c. Lỗ hổng theo vị trí xuất hiện

Lỗ hổng trong đảm bảo chương trình toàn hệ thống: lỗ hổng hệ điều hành (lỗ hổng hệ thống tệp, lỗ hổng chế độ tải, lỗ hổng trong các cơ chế quản lý quy trình…), lỗ hổng hệ thống quản lý cơ sở dữ liệu.

Lỗ hổng trong phần mềm ứng dụng, phần mềm chuyên dùng, trong đảm bảo chương trình của các phương tiện kỹ thuật.

Lỗ hổng trong các thiết bị cầm tay, như: hệ điều hành các thiết bị di động, giao diện truy cập không dây….

Lỗ hổng trong các thiết bị mạng như: bộ định tuyến, tổng đài, cầu; các trang bị viễn thông khác như: giao thức dịch vụ mạng, giao thức điều khiển thiết bị viễn thông….

Lỗ hổng trong các thiết bị bảo vệ thông tin. Bao gồm lỗ hổng trong các phương tiện quản lý truy cập (kiểm soát tính toàn vẹn, phần mềm chống mã độc, hệ thống phát hiện xâm nhập, tường lửa…).

Bên cạnh đó, GOST P56546-2-15 còn phân loại lỗ hổng dựa trên các tiêu chí tìm kiếm như: tên của hệ điều hành, nền tảng phát triển, tên phần mềm và phiên bản, mức độ nguy hại của lỗ hổng, ngôn ngữ lập trình và dịch vụ sử dụng để vận hành phần mềm.

3. Phát hiện lỗ hổng của hệ thống thông tin

Để phát hiện, xác định và đánh giá các lỗ hổng của HTTT và loại bỏ chúng, người ta sử dụng các phương tiện phân tích an toàn hệ thống. Các phương tiện này cho phép kiểm tra toàn diện hệ thống, máy chủ mạng, hệ điều hành, phần mềm ứng dụng, bộ định tuyến, tường lửa, giao thức.… Từ đó, xây dựng tài liệu mô tả cho từng lỗ hổng được phát hiện và khuyến cáo cách khắc phục.

Hình 2. Mô hình phát hiện lỗ hổng tổng quát

            Việc tìm ra lỗ hổng bảo mật và khắc phục kịp thời là vô cùng quan trong và cần thiết. Ngoài việc cập nhật thường xuyên các bản vá, bản nâng cấp phần mềm thì cách đơn giản nhưng cũng khá hữu hiệu đó là sử dụng các công cụ quét lỗ hổng bảo mật.

            Các công cụ này khá đa dạng có thể là các phần mềm miễn phí hay các phần mềm trả phí. Trong đó miễn phí chỉ yếu là phần mềm scan lỗ hổng website.

Một số phần mềm scan lỗ hổng website thông dụng như:

– Retina Network Security Scanner: giúp tìm ra lỗ hổng và những phần dễ bị tổn thương nhất trên hệ thông máy tính. Nó giúp quét toàn bộ hệ thống.

– QualysGuard: công cụ quét trình duyệt an toàn

– GFI LanGuard: gúp kiểm tra netwwork

– Rapid 7: Rapid7 Nexpose là dòng sản phẩm rò quét phát hiện, quản lý và đưa ra giải pháp khắc phục lỗ hổng bảo mật. Nexpose Enterprise với khả năng khám phá, phát hiện, xác minh, phân loại mức độ rủi ro và đưa ra báo cáo phân tích ảnh hưởng của các rủi ro đó khi bị tấn công. Đây được xem là công cụ quét lỗ hổng bảo mật tốt nhất hiện nay. Tại Việt Nam, công cụ được khá nhiều các doanh nghiệp CNTT sử dụng.

IV. Những hiểu biết về tấn công từ chối dịch vụ – DDOS

1. Tổng quan:

Có thể bạn đã nghe nói về các cuộc tấn công từ chối dịch vụ hay tấn công DDOS thường được thực để tấn công vào các trang web, nhưng bạn cũng có thể là một nạn nhân của các cuộc tấn công đó.

Trong một cuộc “tấn công từ chối dịch vụ“, một kẻ tấn công sẽ cố gắng ngăn cản người dùng truy cập tới các website hay các dịch vụ trực tuyến. Mục tiêu nhắm đến của kiểu tấn công này là các máy tính và các kết nối của mạng của máy tính đó, các máy chủ web và kết nối mạng, dịch vụ của các website đó, một kẻ tấn công có thể ngăn cản bạn truy cập vào email, các website hay các tài khoản trực tuyến (banking, v.v).

Cách phổ biến và cung hay gặp nhất của tấn công DOS là khi một kẻ tấn công cố gắng làm “ngập lụt” (flood) mạng của bạn bằng cách gửi những dòng dữ liệu lớn tới mạng hay máy chủ website của bạn. Cuộc tấn công “từ chối dịch vụ” khiến bạn không thể truy cập vào trang web hay dịch vụ đó nữa.

            2. Tấn công DDOS là gì?

Trong một cuộc tấn công DDOS, một kẻ tấn tấn công không chỉ sử dụng máy tính của mình mà còn lợi dụng hay sử dụng hợp pháp các máy tính khác. Bằng việc lợi dụng các lỗ hổng bảo mật hay các điểm yếu của ứng dụng, một kẻ tấn công có thể lấy quyền kiểm soát máy tính của bạn. Sau đó họ chúng có thể lợi dụng máy tính của bạn để gửi các dữ liệu hay các yêu với số lượng lớn vào một trang web hoặc gửi các thư rác đến một địa chỉ email cụ thể. Gọi là tấn công từ chối dịch vụ “phân tán – Distributed” vì kẻ tấn công có thể sử dụng nhiều máy tính, bao gồm cả chính bạn để thực hiện các cuộc tấn công từ chối dụng vụ.

            3. Làm thế nào để biết một cuộc tấn công đang xảy ra?

Không phải tất cả các sự gián đoạn của dịch vụ là kết quả của một cuộc tấn công từ chối dịch vụ. Có thể có các vấn đề kỹ thuật với một mạng luwois cụ thể hoặc người quản trị hệ thống thực hiện bảo trì. Tuy nhiên các triệu chứng sau đây có thể chỉ ra một cuộc tấn công DOS hoặc DDOS từ các hệ thống website hay các website:

  • Thực trạng cho thấy mạng của bạn hay hệ thống bị chậm một cách bất thường (mở file hay truy cập vào website)
  • Một trang cụ thể nào đó của website không thể truy cập được.
  • Không thể truy cập vào bất kỳ trang website nào
  • Gia tăng đáng kể lượng thư rác mà bạn nhận được trong tài khoản.

            4. Làm thế nào để tránh các vấn đề xảy đến?

Thật không may rằng, không có một cách hiệu quả để ngăn chặn việc bạn, các website của bạn hay các hệ thống của công ty bạn có thể trở thành nạn nhân của một cuộc tấn công DOS hay DDOS, nhưng có một số bước sau đây bạn có thể làm theo để giảm thiểu khả năng rằng bạn có thể trở thành nạn nhân nhằm tấn công các máy tính khác:

  • Cài đặt và duy trì một phần mềm diệt virus (Antivirus Software)
  • Cài đặt một Firewall (tường lửa) và cấu hình nó để hạn chế các lưu lượng truy cập vào và đi từ máy tính của bạn.
  • Thực hiện các thực hành bảo mật để phân tán cho địa chỉ Email của bạn. Áp dụng các bộ lọc thu điện tử có thể giúp bạn quản lý tốt hơn các lưu lượng truy cập không mong muốn đến địa chỉ email của bạn.

Hình 2: Các phần mềm diệt virus phổ biến

5. Bạn nên làm gì nếu bạn nghĩ mình đang gặp một cuộc tấn công

Mặc dù nếu bạn xác định chính xác một cuộc tấn công DOS hay DDOS, điều này không có nghĩa rằng bạn sẽ có thể xác định được đích tấn công thực sự (trong trường hợp bạn bị biến thành nguồn tấn công) hay các nguồn gốc của cuộc tấn công tới website của bạn. Hãy liên lạc sớm với các chuyên gia thích hợp để được trợ giúp:

Hình 3: bảo mật thông tin.

  • Nếu bạn nhận thấy rằng bạn không thể truy cập vào các file riêng của bạn hay bất kỳ website bên ngoài nào từ máy tính của bạn, hãy liên lạc với quản trị mạng của bạn. Nó có thể cho thấy máy tính của bạn hay mạng công ty bạn đang bị tấn công.
  • Nếu bạn có một số kinh nghiệm nghiệm về máy tính bạn có thể xem xét việc liên lạc với các nhà cung cấp dịch vụ Internet (ISP). Nếu có một vấn đề với hệ thống của bạn, các ISP có thể tư vấn cho bạn thực hiện các hành động thích hợp.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây