Hiểu về an ninh mạng (Phần 2)

Sự xâm nhiễm

Sự xâm nhiễm thường có một khía cạnh xã hội, như lôi kéo người dùng để bấm vào một đường link xấu trong một email nặc danh, hay lừa họ vào một trang networking, hoặc gửi họ đến một trang mạng với hình ảnh bị xâm nhiễm chẳng hạn. Vì vậy, việc hiểu được cách phần mềm malware và exploit đã trở nên gắn kết chặt chẽ với nhau nhưu thế nào trong một vòng tuần hoàn tấn công tân tiến là một điều vô cùng quan trọng. Các exploit được dùng để nhắm tới các điểm yếu trên những máy chủ mà bọn xấu nhắm tới. Hầu hết các exploit ngày nay dùng để chọc thủng hệ thống của mực tiêu đủ để làm nhiễm nó bởi các phần mềm malware với các thứ tự các bước như sau: một exploit được kích hoạt, tạo ra một lỗi tràn bộ đệm, thứ cho phép kẻ tấn công quyền truy cập vào shell.

Với quyền truy cập shell, kẻ tấn công có thể truyền hầu như mọi payload. Bước đầu tiên là tạo lỗ hổng trên máy đối tượng, sau đó truyền malware vào máy thông qua ứng dụng hoặc kết nối đã được mở sẵn. Điều này được biết đến như là cuộc tấn công Drive-by-download, nó là máy thông dụng nhất dùng để truyền malware tân tiến, hiện đại. Thực ra, một nghiên cứu của Công ty an ninh mạng Palo Alto Networks xác nhận khoảng 90% malware không xác định hoặc malware đã có đối tượng, có khả năng tránh được những phần mềm diệt virus thông thường, được truyền từ các ứng dụng web ở thời gian thực chứ không phải qua e-mail.

Sự xâm nhiễm phần lớn phụ thuộc vào sự lẩn trốn và xâm hại các chương trình bảo mật truyền thống. Các cuộc tấn công nhằm vào đối tượng thường sẽ có một phần mềm được phát triển đặc biệt dành riêng cho mạng lưới của đối tượng đó. Kỹ thuật này cho phép kẻ tấn công có thể gửi malware vào máy đối tượng, biết rằng sẽ không bị các phần mềm diệt virus phát hiện ra. Một cách khác để lẩn tránh hệ thống bảo mật là xâm nhiễm máy người dùng thông qua liên kết mà phần mềm bảo mật không thể truy cứu, như là kênh bị mã hóa. Việc chuyển giao tấn công thường mờ mịt, ví dụ như trong lưu lượng Mã SSL (Secure Sockets Layer – Lớp socket Bảo mật) hoặc những mã độc quyền khác được sử dụng trong ứng dụng mạng P2P (peer-to-peer – ngang hàng) và IM (Instant Messaging – Nhắn Tin Tức Thời).

Xu hướng của thời đại hiện nay là các mối nguy hại không nhất thiết phải đến từ tệp đính kèm thực thi trong email. Chỉ cần một đường link là đủ. Đây là lý do vì sao mạng xã hội, mail công ty, bảng tin nhắn, hoặc từ những nền tảng blog vi mô như Twitter đang dần trở thành nơi trung gian yêu thích của các kẻ tấn công, để truyền nhiễm virus.

Sự liên tục

Một khi máy tính của đối tượng bị xâm nhiễm, kẻ tấn công cần bảo đảm sự liên tục (tính bền bỉ hoặc khả năng sống sót của hắn trên mạng lưới). Rootkit và bootkit thường được cài vào máy của đối tượng vì mục đích trên. Rootkit là malware cung cấp lợi thế (cơ bản) cho kẻ tấn công khi truy cập vào máy đối tượng. Bootkit là một bản biến thể nâng cấp của Rootkit, thường được dùng để tấn công máy được bảo vệ bởi ổ đĩa có mã hóa.

Backdoor (cổng sau) cho phép kẻ tấn công lẻn qua được thủ tục xác thực để truy cập vào hệ thống đối tượng. Backdoor thường được cài đặt như là phương án dự phòng trường hợp malware bị tìm thấy và xóa khỏi hệ thống. Poison Ivy là một ví dụ cho một loại backdoor được dùng để tấn công Công ty An ninh mạng RSA (đã đề cập ở phần 1).

Cuối cùng, malware anti-AV (chống phần mềm diệt virus) thường được cài để vô hiệu hóa bất cứ phần mềm diệt virus hợp pháp nào trên máy đối tượng, từ đó Nhiều chương trình diệt virus hoạt động bằng cách xâm nhiễm Bản ghi quản lý khởi động (Master Boot Record – MBR) của máy đối tượng.

Sự kết nối

Kết nối rất quan trọng trong việc tấn công APT thành công. Nói ngắn gọn, nếu không thể truyền đạt thông tin, cuộc tấn công phối hợp trong khoảng thời gian dài gần như là không thể. Các kẻ tấn công phải có khả năng kết nối với hệ thống máy bị nhiễm hoặc bộ điều khiển để dễ dàng ra lệnh và điều khiển, cũng như để chiết xuất dữ liệu đánh cắp từ hệ thống hoặc network của mục tiêu.

Khi tấn công, việc kết nối cần lén lút và không được làm gì để mạng lưới nghi ngờ. Dòng lưu lượng như vậy thường mờ ám hoặc được giấu sau các thủ thuật như là:

• Mã hóa: SSL, SSH (Bảo mật Shell – Secure Shell), hoặc một ứng dụng tùy chỉnh nào đó khác. Mã độc quyền cũng được sử dụng thường xuyên. Ví dụ, BitTorrent được biết đến bởi khả năng mã hóa độc quyền và là thiết bị tấn công yêu thích, có thể được dùng cho cả xâm nhiễm và ra lệnh, kiểm soát.
• Gian lận: thông qua các máy chủ proxy, thiết bị truy cập máy tính từ xa (như là LogMeIn!, RDP, và GoToMyPC), hoặc luồng các ứng dụng bên trong những ứng dụng khác (được cho phép) hoặc bằng giao thức mạng.
• Chiếm cổng: sử dụng mạng ẩn danh hoặc nhảy cổng (port hopping) để luồng qua các cổng mở sẵn. Ví dụ như botnet khét tiếng trong việc gửi hướng dẫn chỉ thị-kiểm soát thông qua IRC (Internet Relay Chat – Chat chuyển tiếp Internet) ở các cổng nonstandard.
• Tấn công Fast Flux (hoặc Hệ thống tên miền động – Dynamic DNS) qua nhiều máy chủ bị nhiễm, chuyển hướng dòng lưu lượng, và gây khó khăn cho nhóm điều tra số nhận ra dòng lưu lượng đang đi đâu.

Chỉ thị và điều khiển

Ra lệnh và điều khiển tập trung nhắm vào nền tảng kết nối đã được thiết lập nhưng mục đích chủ yếu là đảm bảo việc tấn công nằm trong tầm kiểm soát, dễ quản lý và được cập nhật liên tục.

Ra lệnh và điều khiển thường được hoàn thành thông qua các ứng dụng thông dụng như mail công ty, truyền thông, network đồng đẳng, blog, và bảng tin nhắn (message board). Dòng lưu lượng chỉ thị-điều khiển không nổi bật hay gây nghi ngờ, thường được mã hóa và tận dụng được backdoor và proxy.

Vai trò chủ đạo của Malware

Hiện nay, kỹ năng tấn công đã có bước phát triển và malware đóng một vai trò lớn trong kho vũ khí của bọn tội phạm cũng như trong quá trình tấn công. Những kẻ tấn công đã phát triển nhiều phương pháp mới để truyền malware (như drive-by-downloads), che giấu sự kết nối thông tin (bằng cách mã hóa), và tránh phần mềm dò tìm dựa trên chữ ký số truyền thống.

Malware được truyền bởi kẻ tấn công chuyên nghiệp, giống như viên bi trong trò chơi tinh mắt. Một tên lừa đảo đường phố bày ra trò tinh mắt bên lề đường để lừa mục tiêu (hoặc nạn nhân) dõi mắt theo viên bi, trong khi thực ra nó chỉ là một bài tập cho bàn tay khéo léo của hắn.

Tương tự, các cuộc tấn công an ninh mạng phụ thuộc vào sự dẻo dai của đôi tay –  cách xâm nhiễm, sự liên tục, và truyền đạt thông tin mà không bị phát hiện.

Thật không may, cách chúng ta nhìn nhận malware và thói quen bảo mật cũ kỹ khiến chúng ta nghĩ rằng malware là viên bi – một payload có thể thực hiện được, có lẽ được đính kèm trong e-mail. Nhưng để hiểu rõ, kiểm soát, và thành công phản kháng lại các mối đe dọa ngày càng tiên tiến, chúng ta cần tập trung vào không chỉ ở viên bi (malware), mà còn ở tất cả các phần chuyển động khác.

Các Bài học Bảo mật và Cơ hội Then chốt.

Ngay cả khi các cuộc tấn công có tinh vi, tiên tiến đến mức nào thì cũng để lộ vài sơ hở. Vài quan sát và cơ hội quan trọng để cân nhắc gồm có

Sự kết nối là linh hồn của cuộc tấn công. Các mối đe dọa hiện nay là dạng tấn công mạng lưới, vì vậy chúng cần phải có một mạng lưới để kết nối, truyền đạt thông tin. Nếu chúng không thể kết nối thì cuộc tấn công phần lớn đã được trung hòa.

Vô số cơ hội để phát hiện và liên thông với nhau. Bởi vì có rất nhiều bước liên quan trong vòng đời của một cuộc tấn công tiên tiến, có rất nhiều cơ hội để xác định và phản công lại các mối đe dọa.

Cơ cấu, thay vì chức năng, mới là mối đe dọa. Nếu kẻ tấn công có thể xâm nhiễm đối tượng, duy trì, truyền đạt thông tin, và quản lý được các máy chủ bị xâm nhiễm, thì kẻ tấn công có thể làm hầu hết mọi thứ. Hãy xem mối đe dọa như là khối cơ cấu tổ chức mở rộng, chứ không đơn giản như là chức năng của một payload (phần dữ liệu vận chuyển) nhất định.

Mối đe dọa tồn tại giữa những quy tắc, bạn đã bảo mật quá mức. Tường lửa, chống xâm nhập, diệt virus, bộ lọc nội dung,… những giải pháp bảo mật này từ lâu đã được tách ra để giúp máy được bảo vệ “tối ưu”. Nhưng những chương trình này làm mọi thứ khó khăn hơn, nếu không phải là không thể, trong việc xác định, tương thông, và phản lại các cuộc tấn công phức tạp, có tổ chức, sẽ cần nhiều vật trung gian, bao gồm:

• Ứng dụng: dùng để trà trộn và kích hoạt các mối đe dọa
• Trang web và URL (địa chỉ web): dùng làm máy chủ và kích hoạt các mối đe dọa.
• Lỗ hổng: Tạo quyền truy cập Shell đến máy mục tiêu.
• Malware: Giúp kiểm soát và sử dụng máy đã dưới quyền điều khiển.
• Tệp file: Từng dùng để cập nhật malware và trộm dữ liệu.

Bảo mật cần mở rộng hơn ra ngoài phạm vi. Các tổ chức cần tập trung vào vấn đề mở rộng khả năng hiển thị, rộng hơn ra khỏi phạm vi mạng lưới, cả bên trong lẫn bên ngoài. Việc này tốt nhất nên được thực hiện với kỹ thuật phân đoạn mạng và tường lửa thế hệ tiếp theo nhằm áp dụng các trung tâm kiểm soát lên dòng lưu thông của mạng lưới ở cả phía trong và ngoài (như truy cập từ xa và di động).

Trời sẽ KHÔNG sập đâu! Các mối đe dọa hiện nay không tân tiến đến mức chúng ta không thể kiểm soát được nó đâu. Chúng không hoàn toàn mới, chỉ là chúng được sắp xếp tốt hơn và giấu ở những nơi thường thấy hơn rất nhiều. Vẫn luôn tồn tại các giải pháp, và các doanh nghiệp, tổ chức có thể áp dụng những phương pháp tốt nhất và thích nghi với những thay đổi trong tình cảnh toàn mối nguy hại (threat landscape). Đừng rơi vào cái bẫy “APT ăn mất bài tập về nhà của tôi”! Có thể bọn tấn công đã tiên tiến hơn, nhưng tính bảo mật cũng có những bước tiến hệt vậy.

Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.

Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com

Thegioibantin.com | Vina-Aspire News

(Dịch bởi Vina Aspire)

Nguồn: Cybersecurity for Dummies