Thứ Năm, 15 tháng 8, 2013

Vòng đời các mối đe dọa thường trực cao cấp


Thời gian gần đây, chúng ta thường được nghe nhiều hơn về các mối đe dọa thường trực cao cấp - APT (Advanced Persistent Threat), gắn liền với các cuộc tấn công bất tận trên không gian mạng để gián điệp thông tin, ăn cắp thông tin - dữ liệu và hoặc phá hoại các cơ sở hạ tầng của các quốc gia.
Tạp chí Tin học và Đời sống số tháng 03/2012 đã “Giới thiệu sơ lược mô hình độ chín an ninh không gian mạng”, đề cập tới 4 đặc trưng của các phần mềm độc hại cao cấp và 5 mức độ đối phó đối với các cuộc tấn công không gian mạng (ANKGM) để đánh giá khả năng phòng thủ tích cực mạng máy tính của một quốc gia trước các cuộc tấn công không gian mạng (KGM) ngày nay. Khái niệm phần mềm độc hại cao cấp được nêu ở đây chính là phần cốt lõi của các APT, khi được kết hợp với một chu trình vòng đời có tính toán, sẽ có khả năng để bằng mọi cách, thường trong một khoảng thời gian dài hoặc đủ dài, để đạt được mục đích cuối cùng là ăn cắp bằng được các thông tin - dữ liệu và/hoặc phá hoại bằng được các cơ sở hạ tầng bị ngắm đích của các nạn nhân.
Mandiant, một công ty về an ninh thông tin, cuối tháng 02/2013 đã đưa ra báo cáo “APT1 - Phát hiện một trong các đơn vị gián điệp không gian mạng của Trung Quốc”, đã tiết lộ hàng loạt các thông tin liên quan tới các hoạt động và kho vũ khí của 1 trong số 20 đơn vị APT mà Mandiant đang điều tra cùng với mô hình các mối đe dọa thường trực cao cấp mà các đơn vị APT đó thường xuyên tiến hành hiện nay đối với các hệ thống thông tin của các nạn nhân bị ngắm đích. Tin học và Đời sống sẽ đề cập tới đơn vị bị phát hiện đó, APT1 hay Đơn vị 61398 của Quân Giải phóng Nhân dân Trung Hoa vào một dịp khác, dù cái tên APT1 sẽ luôn được nhắc tới trong bài viết này.
Mô hình vòng đời tấn công của Mandiant gồm có 7 bước như trong hình vẽ, bao gồm:
Bước 1: Tổn thương ban đầu
Tổn thương ban đầu đại diện cho các phương pháp mà những kẻ thâm nhập trái phép sử dụng để trước hết thâm nhập được vào mạng của một tổ chức đích. Như với hầu hết các nhóm APT, làm phishing xiên cắm (spear phishing) là kỹ thuật được sử dụng phổ biến nhất của APT1. Các thư điện tử phishing xiên cắm hoặc có chứa tệp gắn kèm độc hại hoặc một đường siêu liên kết tới một tệp độc hại. Dù chủ đề và văn bản trong thân của thư điện tử thường là phù hợp với người nhận, APT1 cũng tạo ra các tài khoản webmail bằng việc sử dụng các tên người có thật - các tên mà quen với người nhận, như một đồng nghiệp, lãnh đạo công ty, và nhân viên phòng CNTT, hoặc cố vấn của công ty - và sử dụng các tài khoản đó để gửi đi các thư điện tử. Như là một ví dụ của thế giới thực, đây là một thư điện tử phishing xiên cắm mà APT1 đã gửi đi cho các nhân viên của Mandiant:
Date: Wed, 18 Apr 2012 06:31:41 -0700
From: Kevin Mandia
Subject: Internal Discussion on the Press Release
Hello,
Shall we schedule a time to meet next week?
We need to finalize the press release.
Details click here.
Kevin Mandia
Ngày tháng: Thứ tư, ngày 18/04/2012 06:31:41 -0700
Từ: Kevin Mandia
Chủ đề: Thảo luận Nội bộ về Thông cáo báo chí
Hello,
Liệu chúng ta có đặt lịch được về thời gian gặp gỡ vào tuần sau được không?
Chúng ta cần hoàn tất thông cáo báo chí.
Các chi tiết hãy nháy vào đây.
Kevin Mandia
Mới nhìn thoáng qua, thư điện tử đó dường như là từ CEO của Mandiant, Kevin Mandia. Tuy nhiên, soi xét kỹ hơn chỉ ra rằng thư điện tử đó không phải được gửi đi từ một tài khoản thư điện tử của Mandiant, mà từ “kevin.mandia@rocketmail.com”. Rocketmail là một dịch vụ webmail tự do. Tài khoản “kevin.mandia@rocketmail.com” không thuộc về ông Mandia. Thay vào đó, một tác nhân của APT1 có khả năng đã ký cho tài khoản đó một cách đặc biệt cho sự kiện phishing xiên cắm này. Nếu ai đó đã nháy vào đường liên kết vào ngày đó (mà đã không ai làm thế, may thay), thì máy tính của họ có thể đã tải về Internal_Discussion_Press_Release_In_Next_Week8.zip”, là tên của một tệp ZIP độc hại. Tệp độc hại này có khả năng thực thi được, cài một cửa hậu tùy biến của APT1 được gọi là WEBC2-TABLE.
Dù các tệp mà các tác nhân của APT1 gắn vào hoặc liên kết tới các thư điện tử phishing xiên cắm không phải luôn ở định dạng ZIP, thì điều này là xu thế vượt trội đã được quan sát thấy trong vài năm gần đây. Bên dưới là ví dụ các tên tệp mà APT1 đã sử dụng với các tệp ZIP độc hại:
2012ChinaUSAviationSymposium.zip
Employee-Benefit-and-Overhead-Adjustment-Keys.zip
MARKET-COMMENT-Europe-Ends-Sharply-Lower-On-Data-Yields-Jump.zip
Negative_Reports_Of_Turkey.zip
New_Technology_For_FPGA_And_Its_Developing_Trend.zip
North_Korean_launch.zip
Oil-Field-Services-Analysis-And-Outlook.zip
POWER_GEN_2012.zip
Proactive_Investors_One2One_Energy_Investor_Forum.zip
Social-Security-Reform.zip
South_China_Sea_Security_Assessment_Report.zip
Telephonics_Supplier_Manual_v3.zip
The_Latest_Syria_Security_Assessment_Report.zip
Updated_Office_Contact_v1.zip
Updated_Office_Contact_v2.zip
Welfare_Reform_and_Benefits_Development_Plan.zip
Các tên tệp, ví dụ, bao gồm các chủ đề quân sự, kinh tế và ngoại giao, gợi ý dải rộng lớn các nền công nghiệp mà APT1 ngắm tới. Một số tên cũng là chung (như, “updated_office_contact_v1.zip”) và có thể được sử dụng cho các mục tiêu trong bất kỳ nền công nghiệp nào. Trong một số trường hợp, những người nhận thư điện tử mà không có nghi ngờ gì đã trả lời các thông điệp phishing xuyên cắm, tin tưởng họ đang giao tiếp với những người quen của họ. Có trường hợp một người đã trả lời, “Tôi không chắc liệu điều này có là hợp pháp, nên tôi đã không mở nó”. Trong vòng 20 phút, ai đó tại APT1 đã trả lời với một thư điện tử súc tích: “Nó là hợp pháp” (“It's legit”).
Một số tác nhân APT1 đã tạo ra các phần mềm độc hại bên trong các tệp ZIP của họ trông giống như các tệp PDF của Adobe bên dưới. Đây là một ví dụ:
Đây không phải là một tệp PDF. Nó trông giống như tên tệp có phần mở rộng PDF nhưng tên tệp thực sự bao gồm 119 khoảng trống sau “.pdf” đi theo sau cùng là “.exe” - phần mở rộng thực sự của tệp đó. APT1 đã làm cho biểu tượng của tệp thực thi thành biểu tượng của Adobe để hoàn tất mưu mẹo đó. Tuy nhiên, tệp này thực sự là một mẹo chèo kéo tới một cửa hậu mà APT1 tùy biến được gọi là WEBC2-QBP.
Bước 2: Thiết lập chỗ đứng
Việc thiết lập chỗ đứng có liên quan tới các hành động đảm bảo sự kiểm soát các hệ thống mạng đích từ bên ngoài mạng đó. APT1 thiết lập một chỗ đứng một khi những người nhận thư điện tử mở một tệp độc hại và một cửa hậu được cài đặt vào sau đó. Một cửa hậu là phần mềm mà cho phép một kẻ thâm nhập trái phép gửi đi các lệnh tới hệ thống đó từ ở xa. Trong hầu hết các trường hợp, các cửa hậu APT khởi tạo các kết nối đi ra ngoài tới máy chủ “chỉ huy và kiểm soát” - C2 (Command and Control) của kẻ thâm nhập trái phép. Những kẻ thâm nhập trái phép của APT sử dụng chiến thuật này vì trong khi các tường lửa mạng thường giỏi trong việc giữ cho các phần mềm độc hại bên ngoài mạng không khởi xướng được sự giao tiếp với các hệ thống bên trong mạng, thì lại ít tin cậy hơn trong việc giữ cho phần mềm độc hại đã nằm sẵn ở bên trong mạng rồi không giao tiếp được với các hệ thống bên ngoài.
Trong khi những kẻ thâm nhập trái phép của APT1 thỉnh thoảng sử dụng các cửa hậu có sẵn một cách công khai như Poison Ivy và Gh0st RAT, thì đa số lớn các lần chúng sử dụng những gì dường như là các cửa hậu tùy biến của riêng chúng. Mandiant đã ghi lại 42 họ các cửa hậu trong kho vũ khí phần mềm độc hại mà chỉ riêng một mình nhóm APT1 đã sử dụng một cách giấu giếm trong các cuộc tấn công của nhóm. Cùng với chúng là 1.007 hàm băm MD5 có liên quan tới phần mềm độc hại của APT1. Dưới đây là mô tả các cửa hậu của APT1 trong 2 chủng loại: “Các cửa hậu đầu cầu đổ bộ” và “Các cửa hậu tiêu chuẩn”.
Các cửa hậu đầu cầu đổ bộ
Các cửa hậu đầu cầu đổ bộ thường có các đặc trưng tối thiểu. Chúng đưa ra cho kẻ tấn công một nơi đặt chân để thực hiện các tác vụ đơn giản như truy xuất các tệp, thu thập thông tin hệ thống cơ bản và làm bật dậy nhanh sự thực thi của các khả năng đáng kể khác hơn so với một cửa hậu tiêu chuẩn.
Các cửa hậu đầu cầu đổ bộ của APT1 thường là những gì được gọi là cửa hậu WEBC2. Các cửa hậu WEBC2 là dạng cửa hậu của APT1 có lẽ được biết tới nhiều nhất, và là lý do vì sao một số công ty an ninh tham chiếu tới APT1 như là “Comment Crew” (Đội chú giải). Một cửa hậu WEBC2 được thiết kế để trích xuất một trang web từ một máy chủ C2. Nó mong đợi trang web đó có chứa các thẻ HTML đặc biệt; cửa hậu đó sẽ cố gắng dịch các dữ liệu giữa các thẻ như là các lệnh. Các phiên bản cũ hơn của WEBC2 đọc các dữ liệu giữa các chú giải HTML, dù qua thời gian thì các biến thể WEBC2 đã tiến hóa để đọc được cả các dữ liệu có bên trong các dạng thẻ khác. Từ sự quan sát trực tiếp, có thể khẳng định rằng APT1 từng sử dụng các cửa hậu WEBC2 từ tháng 07/2006. Tuy nhiên, thời gian biên dịch đầu tiên có được đối với WEBC2-KT3 là 23/01/2004, gợi ý là APT1 từng tạo ra các cửa hậu WEBC2 từ đầu năm 2004. Dựa vào hơn 400 mẫu các biến thể WEBC2 đã được tích cóp, dường như là APT1 có sự truy cập trực tiếp tới các lập trình viên mà đã thường xuyên phát hành các biến thể WEBC2 mới hơn 6 năm qua.
Ví dụ, 2 đường dẫn được xây dựng ở đây, đã bị phát hiện trong các ví dụ WEBC2-TABLE, giúp minh họa cách mà APT1 đã và đang xây dựng rồi các biến thể WEBC2 mới như một phần của một qui trình được phát triển liên tục:
Ví dụ mẫu A
MD5: d7aa32b7465f55c368230bb52d52d885
Ngày biên dịch: 23/02/2012
\work\code\2008-7-8muma\mywork\winInet_ winApplication2009-8-7\mywork\ aaaaaaa2012-2-23\Release\aaaaaaa.pdb
Ví dụ mẫu B
MD5: c1393e77773a48b1eea117a302138554
Ngày biên dịch: 07/08/2009
D:\work\code\2008-7-8muma\mywork\winInet_ winApplication2009-8-7\mywork\aaaaaaa\ Release\aaaaaaa.pdb
Các họ WEBC2
WEBC2-AUSOV WEBC2-KT3
WEBC2-ADSPACE WEBC2-QBP
WEBC2-BOLID WEBC2-RAVE
WEBC2-CLOVER WEBC2-TABLE
WEBC2-CSON WEBC2-TOCK
WEBC2-DIV WEBC2-UGX
WEBC2-GREENCAT WEBC2-YAHOO
WEBC2-HEAD WEBC2-Y21K

và nhiều họ vẫn còn chưa được phân loại
Một “đường dẫn được xây dựng” mở ra thư mục từ đó lập trình viên xây dựng và biên dịch mã nguồn của anh ta. Các ví dụ đó, được biên soạn hơn 2.5 năm, đã được biên soạn trong một thư mục có tên là “work\code\...\mywork”. Các trường hợp “làm việc” gợi ý rằng làm việc trong WEBC2 là công việc hàng ngày của ai đó và không phải là dự án phụ hoặc sở thích riêng. Hơn nữa, chuỗi được xây dựng trong Mẫu A bao gồm “2012-2-23” (ngày 23/02/2012) - nó khớp với ngày tháng biên soạn của Mẫu A. Chuỗi được xây dựng trong Mẫu B thiếu “2012-2-23” nhưng bao gồm “2009-8-7” (ngày 07/08/2009) - nó cũng khớp với ngày tháng biên soạn của Mẫu B. Điều này gợi ý rằng mã được sử dụng để biên soạn Mẫu A từng được sửa đổi từ mã mà đã được sử dụng để biên soạn Mẫu B từ 2.5 năm trước đó. Sự tồn tại của “2008-7-8” (Ngày 08/07/2008) gợi ý rằng mã cho cả 2 mẫu từng được sửa đổi từ một phiên bản đã tồn tại vào tháng 07/2008, một năm trước khi Mẫu B được tạo ra. Loạt ngày tháng này chỉ ra rằng việc phát triển và sửa đổi cửa hậu WEBC2 là qui trình dài hạn và được lặp đi lặp lại.
Các cửa hậu WEBC2 thường trao cho những kẻ tấn công của APT1 một tập hợp ngắn gọn và sơ bộ các lệnh để phát tới các hệ thống của nạn nhân, bao gồm: (1) Mở một trình biên dịch shell lệnh tương tác (thường là cmd.exe của Windows); (2) Tải về và thực thi một tệp; (3) Ngủ (như, giữ là không tích cực) trong một khoảng thời gian được chỉ định cho các cửa hậu WEBC2 thường được đóng gói với các thư điện tử phishing xiên cắm.
Một khi được cài đặt, những kẻ thâm nhập trái phép của APT1 có lựa chọn để nói cho các hệ thống nạn nhân để tải về và thực thi các phần mềm độc hại bổ sung theo lựa chọn của họ. Các cửa hậu WEBC2 làm việc vì mục tiêu được kỳ vọng của chúng, nhưng chúng thường có ít các tính năng hơn so với “Các cửa hậu tiêu chuẩn” được mô tả bên dưới.
Các cửa hậu tiêu chuẩn
Cửa hậu tiêu chuẩn, không phải như WEBC2 của APT1 thường giao tiếp bằng việc sử dụng giao thức HTTP (để trộn với giao thông web hợp pháp) hoặc một giao thức tùy biến mà các tác giả của phần mềm độc hại đã tự họ thiết kế. Các cửa hậu đó trao cho những kẻ thâm nhập trái phép của APT một danh sách các cách thức trà đi xát lại để kiểm soát các hệ thống của nạn nhân, bao gồm: (1) Tạo/sửa/xóa/thực thi các chương trình; (2) Tải về/tải lên các tệp; (3) Tạo/xóa các thư mục; (4) Liệt kê/khởi tạo/dừng các qui trình; (5) Sửa đổi đăng ký hệ thống; (6) Chụp các ảnh màn hình của người sử dụng; (7) Chộp các gõ bàn phím; (8) Chộp chuyển động của chuột; (9) Khởi tạo một trình biên dịch lệnh shell tương tác; (10) Tạo một giao diện (như, đồ họa) cho Remote Desktop; (11) Thu thập các mật khẩu; (12) Đếm những người sử dụng; (13) Đếm các hệ thống khác trong mạng; (14) Ngủ (như, không tích cực) trong một khoảng thời gian được chỉ định; (15) Đăng xuất cho người sử dụng hiện hành; (16) Tắt hệ thống
Các chức năng đó là đặc tính của hầu hết các cửa hậu, và không có hạn chế đối với APT1 hoặc thậm chí APT. Ví dụ, bất kỳ ai mà muốn kiểm soát một hệ thống từ xa có khả năng sẽ đặt ra các chức năng như “Tải lên/tải về các tệp” vào trong một cửa hậu.
Các giao tiếp giấu giếm
Một số cửa hậu của APT cố bắt chước giao thông hợp pháp của Internet khác với giao thức HTTP. APT1 đã tạo ra một số giao thức đó, bao gồm: (1) MACROMAIL bắt chước MSN Messenger; (2) GLOOXMAIL bắt chước Jabber/XMPP; (3) CALENDAR bắt chước Gmail Calendar.
Khi những người phòng thủ mạng thấy các giao tiếp giữa các cửa hậu đó và các máy chủ C2 của chúng, họ có thể dễ dàng bỏ qua chúng như là các giao thông mạng hợp pháp. Hơn nữa, nhiều cửa hậu của APT1 sử dụng mã hóa SSL sao cho các giao tiếp được ẩn dấu trong một đường hầm SSL được mã hóa. Các chứng thực SSL công khai của APT1 cũng được đưa ra trong một tài liệu khác để mọi người có thể kết hợp chúng vào các chữ ký mạng của họ, không là trọng tâm của bài viết này.
Bước 3. Leo thang quyền ưu tiên
Việc leo thang các quyền ưu tiên có liên quan tới việc có được các khoản (hầu hết thường là các tên người sử dụng và các mật khẩu) mà sẽ cho phép truy cập tới các tài nguyên nhiều hơn bên trong mạng. Trong giai đoạn này và 2 giai đoạn tiếp sau, APT1 không khác nhiều so với những kẻ thâm nhập trái phép của APT khác (hoặc những kẻ thâm nhập trái phép nói chung). APT1 sử dụng áp đảo các công cụ sẵn sàng một cách công khai để gạt bỏ các hàm băm mật khẩu khỏi các hệ thống của nạn nhân để giành lấy các ủy quyền của người sử dụng hợp pháp.
APT1 đã sử dụng các công cụ leo thang quyền ưu tiên sau:
Công cụ
Mô tả
Website
cachedump
Chương trình này trích tách các hàm băm mật khẩu được lưu lại từ một đăng ký hệ thống
Hiện được đóng gói với fgdump (bên dưới)
fgdump
Trình loại bỏ hàm băm mật khẩu của Windows
http://www.foofus.net/fizzgig/fgdump/
gsecdump
Giành lấy hàm băm mật khẩu từ đăng ký của Windows, bao gồm cả tệp SAM, các ủy quyền miền được lưu giữ tạm và các bí mật LSA
http://www.truesec.se
lslsass
Loại bỏ các hàm băm mật khẩu phiên đăng nhập tích cực khỏi qui trình lsass
http://www.truesec.se
mimikatz
Tiện ích trước hết được sử dụng cho việc loại bỏ các hàm băm mật khẩu
http://blog.gentilkiwi.com/mimikatz
Bộ công cụ truyền hàm băm
Cho phép một kẻ thâm nhập trái phép “truyền” một hàm băm mật khẩu (không biết mật khẩu gốc ban đầu) để đăng nhập vào các hệ thống
http://oss.coresecurity.com/projects/pshtoolkit.htm
pwdump7
Loại bỏ các hàm băm mật khẩu khỏi đăng ký của Windows
http://www.tarasco.org/security/pwdump_7/
pwdumpX
Loại bỏ các hàm băm mật khẩu khỏi đăng ký của Windows
Công cụ nói gốc ở http://reedarvin.thearvins.com/,
nhưng site lại không đưa ra phần mềm này vào ngày báo cáo này được viết
Bước 4: Trinh sát nội bộ
Trong giai đoạn trinh sát nội bộ, kẻ thâm nhập trái phép thu thập thông tin về môi trường của nạn nhân. Giống như hầu hết những kẻ thâm nhập trái phép APT (và không APT), APT1 trước hết sử dụng các lệnh có sẵn của hệ điều hành để khai thác một hệ thống bị tổn thương và môi trường được kết nối mạng của nó. Dù chúng thường đơn giản gõ các lệnh đó vào một trình biên dịch lệnh shell, đôi khi những kẻ thâm nhập trái phép có thể sử dụng các bó script để tăng tốc qui trình đó. Bên dưới chỉ các nội dung của bó script mà APT1 đã sử dụng ít nhất ở các mạng của 4 nạn nhân.
@echo off
ipconfig /all>>”C:\WINNT\Debug\1.txt”
net start>>”C:\WINNT\Debug\1.txt”
tasklist /v>>”C:\WINNT\Debug\1.txt”
net user >>”C:\WINNT\Debug\1.txt”
net localgroup administrators>>”C:\WINNT\Debug\1.txt”
netstat -ano>>”C:\WINNT\Debug\1.txt”
net use>>”C:\WINNT\Debug\1.txt”
net view>>”C:\WINNT\Debug\1.txt”
net view /domain>>”C:\WINNT\Debug\1.txt”
net group /domain>>”C:\WINNT\Debug\1.txt”
net group “domain users” /domain>>”C:\WINNT\Debug\1.txt”
net group “domain admins” /domain>>”C:\WINNT\Debug\1.txt”
net group “domain controllers” /domain>>”C:\WINNT\Debug\1.txt”
net group “exchange domain servers” /domain>>”C:\WINNT\Debug\1.txt”
net group “exchange servers” /domain>>”C:\WINNT\Debug\1.txt”
net group “domain computers” /domain>>”C:\WINNT\Debug\1.txt”
Script này thực hiện các chức năng sau và lưu các kết quả vào một tệp văn bản: (1) Hiển thị thông tin cấu hình mạng của nạn nhân; (2) Liệt kê các dịch vụ đã bắt đầu trong hệ thống của nạn nhân; (3) Liệt kê các tiến trình hiện đang chạy; (4) Liệt kê các tài khoản trong hệ thống; (5) Liệt kê các tài khoản với các quyền ưu tiên của người quản trị; (6) Liệt kê các kết nối mạng hiện hành; (7) Liệt kê các chia sẻ mạng được kết nối hiện hành; (8) Liệt kê các hệ thống khác trong mạng; (9) Liệt kê các máy tính các tài khoản mạng theo nhóm (“các trình kiểm soát miền - domain controllers”, “những người sử dụng của miền - domain users”, “các quản trị viên của miền - domain admins”, …)
Bước 5: Dịch chuyển biên
Một khi một kẻ thâm nhập trái phép của APT có một chỗ đứng bên trong mạng và một tập hợp các ủy quyền hợp pháp, thì đơn giản đối với kẻ thâm nhập trái phép đó để di chuyển xung quanh mạng đó mà không bị dò tìm ra: (1) Chúng có thể kết nối tới các tài nguyên được chia sẻ trong các hệ thống khác; (2) Chúng có thể thực thi các lệnh trong các hệ thống có sử dụng công cụ “psexec” sẵn có một cách công khai từ Microsoft Sysinternals hoặc Task Scheduler được xây dựng sẵn trong Windows (“at.exe”).
Các hành động đó là khó để dò tìm ra vì những người quản trị hệ thống hợp pháp cũng sử dụng các kỹ thuật đó để thực hiện các hành động xung quanh mạng.
Bước 6: Duy trì sự hiện diện
Trong giai đoạn này, kẻ thâm nhập trái phép thực hiện các hành động để đảm bảo sự kiểm soát liên tục, dài hạn đối với các hệ thống chủ chốt trong môi trường mạng nằm bên ngoài mạng đó. APT1 làm điều này theo 3 cách.
  • Cài đặt các cửa hậu mới vào nhiều hệ thống. Thông qua việc nằm lại của chúng trong mạng (mà có thể hàng năm trời), APT1 thường cài đặt các cửa hậu mới khi chúng có quyền khai thác được nhiều hệ thống hơn trong môi trường đó. Sau đó, nếu một cửa hậu bị phát hiện và bị xóa, thì chúng vẫn còn có các cửa hậu khác mà chúng có thể sử dụng. Thường được dò tìm ra nhiều họ cửa hậu của APT1 nằm rải rác xung quanh mạng của một nạn nhân khi APT1 từng hiện diện trong thời gian nhiều hơn vài tuần.
  • Sử dụng các ủy quyền VPN hợp pháp. Các tác nhân và các tin tặc của APT nói chung luôn tìm kiếm các ủy quyền hợp lệ để thủ vai một người sử dụng hợp lệ. Được quan sát thấy APT1 sử dụng các tên người sử dụng và mật khẩu ăn cắp được để đăng nhập các mạng riêng ảo (VPN) của các nạn nhân khi các VPN chỉ được bảo vệ bằng một yếu tố duy nhất. Từ đó chúng có khả năng truy cập bất kỳ thứ gì mà những người sử dụng được thủ vai được phép truy cập bên trong mạng đó.
  • Đăng nhập vào các cổng web. Một khi được trang bị với các ủy quyền ăn cắp được, những kẻ thâm nhập trái phép của APT1 cũng cố gắng để đăng nhập vào các cổng web mà mạng đưa ra. Điều này bao gồm không chỉ các website có giới hạn, mà còn cả các hệ thống thư điện tử dựa trên web như Microsoft Outlook Web Access.
Bước 7: Hoàn tất nhiệm vụ
Tương tự như các nhóm APT đang bị theo dõi, một khi APT1 tìm được các tệp cần quan tâm thì họ sẽ nén chúng thành các tệp lưu trữ trước khi ăn cắp chúng. Những kẻ thâm nhập trái phép của APT hầu hết thường sử dụng tiện ích nén RAR cho tác vụ này và đảm bảo rằng các lưu trữ được bảo vệ bằng mật khẩu. Một số kẻ thâm nhập trái phép của APT1 đôi khi sử dụng các bó script để hỗ trợ chúng trong tiến trình đó, như được minh họa bên dưới. (Các vị trí của “XXXXXXXX” làm mù đi văn bản mà từng có trong bó script thực tế đó).
Sau khi tạo ra các tệp nén bằng RAR, những kẻ tấn công của APT1 sẽ truyền các tệp ra khỏi mạng theo các cách thức nhất quán với các nhóm APT khác, bao gồm cả việc sử dụng Giao thức Truyền Tệp – FTP (File Transfer Protocol) hoặc các cửa hậu đang tồn tại. Nhiều lần các tệp RAR của chúng là quá lớn nên những kẻ tấn công chia chúng thành các phần nhỏ trước khi truyền chúng đi. Đoạn script bên dưới chỉ ra một lệnh của RAR với lựa chọn “-v200”, nó có nghĩa là tệp RAR sẽ được chia nhỏ thành các phần nhỏ hơn 200MB.
@echo off
cd /d c:\windows\tasks
rar.log a XXXXXXXX.rar -v200m “C:\Documents and Settings\Place\My
Documents\XXXXXXXX” -hpsmy123!@#
del *.vbs
del %0
Không giống như hầu hết các nhóm APT khác đang bị theo dõi, APT1 sử dụng 2 tiện ích ăn cắp thư điện tử được tin tưởng là độc nhất vô nhị đối với APT1. Cái đầu, GETMAIL, đã được thiết kế đặc biệt để trích xuất các thông điệp thư điện tử, các tệp gắn kèm và các thư mục trong các tệp lưu trữ (“PST”) của Microsoft Outlook.
Các tệp lưu trữ của Microsoft Outlook có thể là lớn, thường lưu trữ các thư điện tử đáng giá hàng năm. Chúng có thể quá lớn để truyền ra khỏi mạng một cách nhanh chóng, và kẻ thâm nhập trái phép có thể không quan tâm về việc ăn cắp mọi thư điện tử. Tiện ích GETMAIL cho phép những kẻ thâm nhập trái phép của APT1 tính mềm dẻo để lấy chỉ các thư điện tử nào giữa những ngày tháng mà chúng lựa chọn. Trong một trường hợp, đã được quan sát thấy một kẻ thâm nhập trái phép của APT1 quay lại một máy bị tổn thương 1 lần trong mỗi tuần trong vòng 4 tuần để ăn cắp chỉ các thư điện tử của tuần trước đó.
Trong khi GETMAIL ăn cắp thư điện tử trong các tệp lưu trữ của Microsoft Outlook, thì tiện ích thứ 2, MAPIGET, từng được thiết kế đặc biệt để ăn cắp thư điện tử mà còn chưa được lưu trữ và vẫn nằm trong một Microsoft Exchange Server (Máy chủ thư điện tử Exchange của Microsoft). Để vận hành thành công, MAPIGET yêu cầu tổ hợp tên người sử dụng/mật khẩu (username/password) mà máy chủ Exchange sẽ chấp nhận. MAPIGET trích xuất thư điện tử từ các tài khoản được chỉ định vào các tệp văn bản (đối với phần thân của thư điện tử) và tách bạch các tệp gắn kèm, nếu có.
Một số lưu ý từ mô hình độ chín an ninh không gian mạng
Vì mô hình vòng đời các mối đe dọa thường trực cao cấp có liên quan tới mô hình độ chín ANKGM mà đã được nhắc tới ở đầu bài viết này, cụ thể là liên quan chặt chẽ tới tính tương hợp của hệ thống thông tin và các tiêu chuẩn trao đổi dữ liệu về nhận thức tình huống bảo an thông tin ở mức C của mô hình độ chín ANKGM, bài viết này sẽ nhắc lại một vài lưu ý chính được rút ra từ 5 mức độ đối phó đối với các cuộc tấn công KGM từ mô hình độ chín ANKGM đó như sau:
  • Để có được những thông tin kịp thời, chính xác nhằm đối phó với sự việc mất an ninh theo một cách thống nhất giữa tất cả các bên tham gia trong việc đảm bảo an toàn an ninh các hệ thống thông tin, thì tính tương hợp và các tiêu chuẩn dựa vào sự trao đổi dữ liệu về nhận thức tình huống bảo an thông tin là một yếu tố sống còn.
  • Việc không đạt được tính tương hợp dựa vào các tiêu chuẩn trao đổi dữ liệu về nhận thức tình huống bảo an thông tin ở mức C thì sẽ không thể tiến tới các mức cao hơn B và A trong mô hình độ chín ANKGM được. Nói cách khác, nếu không đạt được tính tương hợp thì hệ thống thông tin không bao giờ đạt được mức C trong mô hình độ chín ANKGM được.
  • Khi xây dựng các hệ thống thông tin hướng tới chính phủ điện tử (CPĐT), nên kết hợp với mô hình độ chín ANKGM, đặc biệt đối với các bên có trách nhiệm tham gia trong việc đảm bảo an toàn an ninh các hệ thống thông tin, để vừa đạt được các mục tiêu về giải quyết các vấn đề nghiệp vụ cũng như các mục tiêu về an ninh của toàn bộ hệ thống thông qua việc đảm bảo tính tương hợp cho các thông tin - dữ liệu dựa vào các tiêu chuẩn mở.
  • Nếu chỉ đạt tới mức C trong mô hình này, mà không với tới được các mức B và A, có nghĩa là hệ thống chỉ có khả năng chế ngự được những mối đe dọa thông thường, mà không có khả năng chế ngự được các mối đe dọa thường trực cao cấp (APT) và các mối đe dọa từ các nhà nước quốc gia.
Thay cho lời kết
Việc nắm rõ được các bước tiến hành trong mô hình vòng đời các mối đe dọa thường trực cao cấp, cùng với sự triển khai những gợi ý cần thiết từ mô hình độ chín ANKGM sẽ giúp cho các chuyên gia và các nhà chuyên môn về an ninh thông tin có được các thông tin cần thiết cơ bản nhất để có được các bước chuẩn bị cho các kế hoạch đối phó với APT một cách có hiệu quả nhất, một công việc thực sự khó khăn đối với các hệ thống thông tin của các cơ quan nhà nước Việt Nam hiện nay.
Trần Lê
Bài đăng trên tạp chí Tin học & Đời sống, số tháng 08/2013, trang 42-47.

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.