SlideShare a Scribd company logo

Apt oct-2014

nghia le trung
nghia le trung

Bài trình bày trong phiên khai mạc Security Bootcamp 2014 ngày 17/10/2014 tại Đà Nẵng.

Technology
1 of 20
Download to read offline
TẤN CÔNG VÀ KHAI THÁC MẠNG MÁY TÍNH THEO MÔ HÌNH THƯỜNG TRỰC CAO CẤP (APT) SECURITY BOOTCAMP 2014, PHIÊN KHAI MẠC ĐÀ NẴNG, 17/10/2014 NGƯỜI TRÌNH BÀY: LÊ TRUNG NGHĨA VĂN PHÒNG PHỐI HỢP PHÁT TRIỂN MÔI TRƯỜNG KHOA HỌC & CÔNG NGHỆ, BỘ KHOA HỌC & CÔNG NGHỆ Email: letrungnghia.foss@gmail.com Blogs: http://vn.myblog.yahoo.com/ltnghia http://vnfoss.blogspot.com/ Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/ HanoiLUG wiki: http://wiki.hanoilug.org/
Nội dung 1. Phân biệt các khái niệm liên quan tới APT 2. Đặc trưng APT của các phần mềm độc hại cao cấp 3. Vòng đời tấn công APT 4. Hạ tầng của APT1 5. Nạn nhân của APT1 6. Kho vũ khí và dấu ấn của APT1 7. Tóm tắt Tài liệu & thông tin tham khảo An ninh an toàn mạng và thông tin = Phải hiểu biết, không Phải tin tưởng!
1. Phân biệt các khái niệm liên quan tới APT APT - Advanced Persistent Threat - Đe dọa thường trực cao cấp Một số khái niệm liên quan: 1. Đơn vị APT - đơn vị tấn công & khai thác mạng theo mô hình APT Ví dụ: Đơn vị APT1 là 1 trong 20 đơn vị APT gốc Trung Quốc, là đơn vị 61398 của quân đội Trung Quốc mà Mandiant phát hiện. 2. Phần mềm độc hại cao cấp - so sánh với loại thông thường 3. Mô hình vòng đời APT - Mô hình nhiều bước, sử dụng để tấn công mạng có chủ đích, thường là để ăn cắp thông tin - dữ liệu.
2. Đặc trưng APT của phần mềm độc hại cao cấp So sánh phần mềm độc hại THÔNG THƯỜNG vs CAO CẤP 1. Mức độ giấu giếm: từ mở - công khai tới được ngụy trang cẩn thận. 2. Mức độ nhận biết: từ có thể nhận biết được & có thể vá được tới không nhận biết được và toàn lỗi ngày số 0 (không vá mà khai thác). 3. Mức độ rộng rãi: từ có mục đích chung & rộng khắp tới có chủ đích nhằm vào từng người - từng mục tiêu & nạn nhân cụ thể. 4. Mức độ thường trực: từ chỉ một lần tới thường trực thường xuyên. Phân loại này gắn liền với mô hình độ chín an ninh không gian mạng - CSMM (Cyber Security Maturity Model).
3. Mô hình vòng đời APT Giống như việc mang kỹ thuật chiến tranh với nhiều bước khác nhau trong một qui trình thống nhất vào việc xây dựng các phần mềm phục vụ cho một chiến dịch tấn công một đồn bốt cụ thể. - Các bước giữa 'Thiết lập chỗ đứng' và 'Hoàn tất nhiệm vụ' không phải luôn xảy ra đúng trật tự mỗi lần trong thực tế. - Khi nằm rồi trong mạng, chu kỳ trinh sát, nhận diện dữ liệu, dịch chuyển biên để truy cập các dữ liệu, và 'Hoàn tất nhiệm vụ' bằng việc ăn cắp các dữ liệu sẽ được lặp lại vô định cho tới khi chúng bị loại bỏ hoàn toàn khỏi mạng.
3.1 Gây tổn thương ban đầu Sử dụng mọi biện pháp nhằm thâm nhập vào mạng đích. - Nhằm vào cá nhân bị hại có chủ đích cụ thể - Sử dụng email thông điệp spear (xiên cắm) phishing (1) gắn tệp độc hại; (2) liên kết tới tệp độc hại; (3) liên kết tới website độc hại; - Sử dụng mạng xã hội hoặc chat gắn tệp độc hại tới nạn nhân. - Cài mã độc lên các website mà nạn nhân thường hay viếng thăm. ◄ Địa chỉ email không phải của người quen biết dù tên y hệt của người quen biết. ◄ Phần mở rộng tệp gắn kèm .exe được ngụy trang thành .pdf với 119 dấu trống.
3.2 Thiết lập chỗ đứng Để đảm bảo truy cập và kiểm soát (các) máy tính của tổ chức nạn nhân từ bên ngoài. - Sử dụng các cửa hậu (1) phổ biến công khai (Gh0st RAT & Poison Ivy ...); (2) của thế giới ngầm; (3) tự viết để thiết lập kết nối giữa mạng của tổ chức nạn nhân với máy tính do kẻ tấn công kiểm soát. - Cách giao tiếp với cửa hậu: từ văn bản thô tới mã hóa cao cấp. - Truy cập cửa hậu vào hệ thống qua lệnh shell hoặc GUI. - Cửa hậu là phần mềm cho phép kẻ thâm nhập trái phép một hệ thống gửi các lệnh tới hệ thống đó từ ở xa. - Cửa hậu khởi tạo kết nối ra ngoài tới máy chủ C2 của kẻ tấn công. - Có 2 dạng cửa hậu: (1) tiêu chuẩn và (2) đầu cầu đổ bộ (như WEBC2).
3.3 Leo thang quyền ưu tiên Giành quyền ưu tiên truy cập càng cao càng tốt tới càng nhiều tài nguyên hơn càng tốt trong hệ thống nạn nhân. Sử dụng công cụ để phá các hàm băm mật khẩu (nếu cần) để: - Có được của nạn nhân (1) username - password; (2) chứng thực số sử dụng PKI; (3) phần mềm máy trạm VPN... - Lợi dụng bất kỳ tài khoản được ưu tiên nào: (1) quản trị miền; (2) các dịch vụ miền; (3) quản trị hệ thống; (4) ưu tiên bất kỳ. Các công cụ leo thang quyền ưu tiên thường được sử dụng: cachedump, fgdump, gsecdump, lslsass, mimikatz, bộ công cụ truyền hàm băm, pwdump7, pwdumpX, ...
3.4 Trinh sát nội bộ Thu thập các thông tin về môi trường làm việc của nạn nhân. - Sử dụng các lệnh có sẵn của hệ điều hành để lấy các thông tin - dữ liệu về mạng nội bộ, các mối quan hệ tin cậy, nhóm & người sử dụng; - Nhận diện thông tin - dữ liệu cần quan tâm bằng mọi biện pháp có thể như: phần mở rộng tệp, từ khóa, ngày tháng sửa đổi... - Máy chủ tệp, email và DNS thường là mục tiêu hàng đầu - Tự viết script để tự động hóa trinh sát & nhận diện dữ liệu quan tâm Script tự động hóa trinh sát nội bộ: - Hiển thị thông tin cấu hình mạng - Liệt kê các dịch vụ, tiến trình, tài khoản, tài khoản với quyền ưu tiên quản trị, kết nối mạng hiện hành, chia sẻ mạng hiện hành được kết nối, máy tính theo nhóm tài khoản.
3.5 Dịch chuyển biên Lần mò tới các hệ thống, máy tính khác có các thông tin - dữ liệu cần thiết phải lấy. - Lợi dụng các ủy quyền (credentials) của nạn nhân và các công cụ truyền hàm băm để truy cập thêm tới các máy trong mạng nạn nhân - Sử dụng PsExec hoặc Windows Task Scheduler để thực thi các lệnh và cài đặt phần mềm độc hại lên các máy ở xa. Các hành động như trên khó bị phát hiện ra vì các quản trị hợp pháp hệ thống cũng sử dụng các kỹ thuật y hệt đó để làm việc với mạng.
3.6 Duy trì sự hiện diện Đảm bảo sự kiểm soát liên tục từ bên ngoài đối với hệ thống của nạn nhân. - Tìm cách cài thêm càng nhiều cửa hậu càng tốt, chứ không chỉ dựa vào cửa hậu được cài từ bước 2 'Thiết lập chỗ đứng' → nạn nhân sẽ khó xác định và loạt bỏ hết được các cửa hậu bị cài vào. - Sử dụng ủy quyền PKI hoặc VPN hợp lệ để ngụy trang như người sử dụng hợp pháp của hệ thống. - Đăng nhập vào các cổng Web có hạn chế trong nội bộ như: các website nội bộ và cả hệ thống thư điện tử dựa vào Microsoft Outlook Web Access.
3.7 Hoàn tất nhiệm vụ Tìm cách tốt nhất để nén và chuyển dữ liệu lấy được ra khỏi mạng của nạn nhân. - Có thể sử dụng RAR, ZIP hoặc 7-Zip để nén dữ liệu lấy được - Bảo vệ các dữ liệu nén bằng mật khẩu - Sử dụng các công cụ truyền tệp FTP khác nhau & các cửa hậu đang tồn tại để chuyển dữ liệu đã được nén ra khỏi mạng của nạn nhân. - Cách thức và thời điểm chuyển dữ liệu được tính toán cẩn thận.
4. Hạ tầng của APT1 -1 Sử dụng các hệ thống trung gian để tấn công, cách thức được gọi là nhảy qua hoặc 'nhảy lò cò' (hop) → từ 882 địa chỉ IP, trong đó 817 từ TQ. APT1 kết nối cửa hậu bằng sử dụng: (1) WEBC2 viết bằng tay; (2) giao diện HTRAN đặt ở các điểm lò cò, như kẻ chặn đường để truyền lệnh tới các cửa hậu; (3) Máy chủ C2 ở các điểm lò cò. Công cụ truyền gói HTRAN - HUC Packet Transmit Tool
4. Hạ tầng của APT1 -2 Máy chủ: 2 năm 2012-13 đã có: - 937 máy chủ C2 ở 849 IP riêng quản lý hàng ngàn máy chủ khác. - Phần lớn là các máy chủ: FTP, Web (cho WEBC2), RDP - kiểm soát hệ thống bằng đồ họa từ xa; HTRAN để ủy quyền; C2 để quản lý bộ hơn 40 cửa hậu của APT1. Sử dụng 2551 FQDN thay vì IP: - Nếu mất kiểm soát một điểm nhảy lò cò thì có thể “trỏ” địa chỉ FQDN (Fully Qualified Domain Name) C2 đó tới một địa chỉ IP khác và lấy lại được sự kiểm soát đối với các cửa hậu của nạn nhân. Từ 2004 APT1 đăng ký 107 vùng DNS: Một vùng (zone) DNS đại diện cho một bộ sưu tập các FQDN có kết thúc cùng tên. Người đăng ký vùng DNS thêm được tùy thích số miền con có cùng kết thúc tên vùng và kiểm soát các phân giải IP các FQDN đó. Chiếm dụng các FQDN khác để: - Đặt phần mềm độc hại lên các website hợp pháp - Biến các FQDN bị chiếm dụng thành các địa chỉ C2 Nhiều cách thức khác nữa... để mở rộng hạ tầng
5. Nạn nhân của APT1 Từ 2004, APT1 đã lấy hàng trăm TB dữ liệu của 141 tổ chức đại diện cho 20 nền công nghiệp; - 115 nạn nhân ở Mỹ, 5 ở Anh. - Thời gian lâu nhất nằm trong mạng là 1.764 ngày = 4 năm 10 tháng - 6.5 TB dữ liệu nén là lượng lớn nhất bị lấy đi từ 1 tổ chức trong 10 tháng. Các nền công nghiệp bị tấn công nhiều nhất: (1) CNTT; (2) Vũ trụ; (3) Hành chính nhà nước; (4) Vệ tinh & viễn thông; (5) Nghiên cứu khoa học & tư vấn năng lượng; (6) Năng lượng; (7) Giao thông; (8) Xây dựng & sản xuất; (9) Các tổ chức quốc tế; (10) Các dịch vụ kỹ thuật; ...
6. Kho vũ khí & dấu ấn của APT1 -1 Kho vũ khí của APT1 gồm 40 bộ các cửa hậu, tất cả nhằm vào hệ điều hành Windows, hơn 1.000 hàm băm MD5, hàng chục chứng thực số SSL... được liệt kê trong các tài liệu phụ lục đi kèm theo báo cáo của Mandiant. APT1 chỉ là 1 trong số 20 nhóm APT có gốc gác Trung Quốc mà Mandiant đã theo dõi và công bố, chưa ai biết 19 nhóm APT còn lại là ai, làm gì, kho vũ khí của họ thế nào?
6. Kho vũ khí & dấu ấn của APT1 -2 - Quý I/2013, trong tài liệu của Mandiant, lần đầu tiên Mỹ chỉ đích danh đơn vị APT1, hay 61398 của quân đội Trung Quốc với 3 cá nhân trực tiếp tham gia các vụ tấn công mạng. - Tháng 05/2014, lần đầu tiên Mỹ truy nã 5 nhân viên của đơn vị 61398 truy cập trái phép, gián điệp và ăn cắp thông tin mạng.
7. Tóm tắt - APT1 là đơn vị 61398 của quân đội Trung Quốc, 1 trong số ít nhất 20 nhóm, chuyên tham gia vào các chiến dịch tấn công và khai thác mạng theo mô hình thường trực cao cấp APT, có trụ sở chính ở Thượng Hải, Trung Quốc. - Mô hình thường trực cao cấp gồm 7 bước, một khi được lén lút gài vào trong hệ thống của nạn nhân, sẽ tạo các cửa hậu và kết nối về các máy chủ chỉ huy kiểm soát để triển khai, mở rộng việc tấn công, khai thác và cuối cùng là chuyển các dữ liệu về các máy chủ của bên tấn công. - Tấn công APT chỉ dừng lại khi tất cả các cửa hậu bị quét sạch hoàn toàn. - APT1 thường không tấn công trực tiếp tới các hệ thống đích, mà qua các hệ thống trung gian, gọi là cơ chế 'nhảy lò cò'. Để thực hiện được điều này, APT1 làm mọi cách để phát triển hạ tầng dựa chủ yếu vào FQDN. - 20 ngành công nghiệp và hàng trăm tổ chức ở nhiều nước, nhiều nhất là ở Mỹ, là nạn nhân của các cuộc tấn công APT ăn cắp dữ liệu. - APT1 có kho vũ khí gồm nhiều bộ cửa hậu, các hàm băm MD5, các chứng thực SSL..., phục vụ để tấn công vào các hệ thống máy tính chạy Windows.
Tài liệu & thông tin tham khảo 1. http://intelreport.mandiant.com/; 2. APT1 - Phát hiện một trong các đơn vị gián điệp không gian mạng của Trung Quốc. Mandiant xuất bản năm 2013, 84 trang; 3. APT1 - Exposing One of China's Cyber Espionage Units. Appendix C: The Malware Arsenal; http://intelreport.mandiant.com/ 4. APT1 - Exposing One of China's Cyber Espionage Units. Appendix F: APT1 SSL Certificates; http://intelreport.mandiant.com/ ; 5. APT1 - Exposing One of China's Cyber Espionage Units. Appendix D: FQDNs; http://intelreport.mandiant.com/ ; 6. APT1 - Exposing One of China's Cyber Espionage Units. Appendix E: MD5s; http://intelreport.mandiant.com/ ; 7. Vòng đời các mối đe dọa thường trực cao cấp; 8. Cyber Security Maturity Model, Robert Lentz, Former DoD CISO, Deputy Assistant Secretary Cyber; 9. US indicts five in China's secret 'Unit 61398' for cyber-spying on US firms (+video)
An ninh an toàn mạng và thông tin = Phải hiểu biết, không Phải tin tưởng! Cảm ơn! Hỏi đáp LÊ TRUNG NGHĨA Email: letrungnghia.foss@gmail.com Blogs: http://vnfoss.blogspot.com/ http://letrungnghia.mangvn.org/ Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/ HanoiLUG wiki: http://wiki.hanoilug.org/

Recommended

Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Security Bootcamp
 
Báo cáo thực tập - Đàm Văn Sáng
Báo cáo thực tập - Đàm Văn SángBáo cáo thực tập - Đàm Văn Sáng
Báo cáo thực tập - Đàm Văn Sáng
Đàm Văn Sáng
 
Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang
Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật QuangSecurity Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang
Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang
Security Bootcamp
 
Nguyen minhthanh cain & abel
Nguyen minhthanh cain & abelNguyen minhthanh cain & abel
Nguyen minhthanh cain & abel
phanleson
 
Cain & abel
Cain & abelCain & abel
Cain & abel
phanleson
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
Security Bootcamp
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Quý Đồng Nast
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Quý Đồng Nast
 

Recommended

Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Tấn công và khai thác mạng máy tính theo mô hình thường trực cao cấp APT - Lê...
Security Bootcamp
 
Báo cáo thực tập - Đàm Văn Sáng
Báo cáo thực tập - Đàm Văn SángBáo cáo thực tập - Đàm Văn Sáng
Báo cáo thực tập - Đàm Văn Sáng
Đàm Văn Sáng
 
Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang
Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật QuangSecurity Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang
Security Bootcamp 2013 - Tấn công bằng mã độc - Trương Minh Nhật Quang
Security Bootcamp
 
Nguyen minhthanh cain & abel
Nguyen minhthanh cain & abelNguyen minhthanh cain & abel
Nguyen minhthanh cain & abel
phanleson
 
Cain & abel
Cain & abelCain & abel
Cain & abel
phanleson
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
Security Bootcamp
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Quý Đồng Nast
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Quý Đồng Nast
 
Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoS
Thieu Mao
 
Tài liệu ôn tập atm nc
Tài liệu ôn tập atm ncTài liệu ôn tập atm nc
Tài liệu ôn tập atm nc
duytruyen1993
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
Long Prồ
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
Anhh Hữu
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
 
Info sec nov-2014
Info sec nov-2014Info sec nov-2014
Info sec nov-2014
nghia le trung
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
Con Ranh
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
v7q3t
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
peterh18
 
Isas semina
Isas seminaIsas semina
Isas semina
hoangt_ti22
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
nataliej4
 
Bao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.comBao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.com
phanleson
 
Canh bao hinh thuc lay nhiem ransomware
Canh bao hinh thuc lay nhiem ransomwareCanh bao hinh thuc lay nhiem ransomware
Canh bao hinh thuc lay nhiem ransomware
thanglx
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
MasterCode.vn
 
Al
AlAl
Al
royalebabyphat
 
The results of Russian Wine Fair 2012
The results of Russian Wine Fair 2012The results of Russian Wine Fair 2012
The results of Russian Wine Fair 2012
Asti Group Exhibition Company
 
Foss intro-sep-2016
Foss intro-sep-2016Foss intro-sep-2016
Foss intro-sep-2016
nghia le trung
 
Extracting ruby gem
Extracting ruby gemExtracting ruby gem
Extracting ruby gem
Yura Tolstik
 
Presentación1
Presentación1Presentación1
Presentación1
Sebastian-cepa
 
Science
ScienceScience
Science
royalebabyphat
 
Session 2 - Q&A
Session 2 - Q&ASession 2 - Q&A
Session 2 - Q&A
The Digital Insurer
 

More Related Content

What's hot

Tài liệu ôn tập atm nc
Tài liệu ôn tập atm ncTài liệu ôn tập atm nc
Tài liệu ôn tập atm nc
duytruyen1993
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
Long Prồ
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
Con Ranh
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
v7q3t
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
peterh18
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
MasterCode.vn
 

What's hot (15)

Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoS
 
Tài liệu ôn tập atm nc
Tài liệu ôn tập atm ncTài liệu ôn tập atm nc
Tài liệu ôn tập atm nc
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Info sec nov-2014
Info sec nov-2014Info sec nov-2014
Info sec nov-2014
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
 
Isas semina
Isas seminaIsas semina
Isas semina
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
 
Bao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.comBao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.com
 
Canh bao hinh thuc lay nhiem ransomware
Canh bao hinh thuc lay nhiem ransomwareCanh bao hinh thuc lay nhiem ransomware
Canh bao hinh thuc lay nhiem ransomware
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
 

Viewers also liked

Unit 1 review
Unit 1 reviewUnit 1 review
Unit 1 review
cblockus
 
Dokumen.tips user manual-aplikasi-pcarepdf
Dokumen.tips user manual-aplikasi-pcarepdfDokumen.tips user manual-aplikasi-pcarepdf
Dokumen.tips user manual-aplikasi-pcarepdf
Yasser AnFis
 
Design et nettsted
Design et nettstedDesign et nettsted
Design et nettsted
arlenaslide
 

Viewers also liked (15)

Al
AlAl
Al
 
The results of Russian Wine Fair 2012
The results of Russian Wine Fair 2012The results of Russian Wine Fair 2012
The results of Russian Wine Fair 2012
 
Foss intro-sep-2016
Foss intro-sep-2016Foss intro-sep-2016
Foss intro-sep-2016
 
Extracting ruby gem
Extracting ruby gemExtracting ruby gem
Extracting ruby gem
 
Presentación1
Presentación1Presentación1
Presentación1
 
Science
ScienceScience
Science
 
Session 2 - Q&A
Session 2 - Q&ASession 2 - Q&A
Session 2 - Q&A
 
Estructuras de control
Estructuras de controlEstructuras de control
Estructuras de control
 
Atribuicoes caubr 06_2015_web
Atribuicoes caubr 06_2015_webAtribuicoes caubr 06_2015_web
Atribuicoes caubr 06_2015_web
 
Unit 1 review
Unit 1 reviewUnit 1 review
Unit 1 review
 
DBW-2014
DBW-2014DBW-2014
DBW-2014
 
Dokumen.tips user manual-aplikasi-pcarepdf
Dokumen.tips user manual-aplikasi-pcarepdfDokumen.tips user manual-aplikasi-pcarepdf
Dokumen.tips user manual-aplikasi-pcarepdf
 
If we are all unique, why do we categorize?
If we are all unique, why do we categorize?If we are all unique, why do we categorize?
If we are all unique, why do we categorize?
 
Ghế rung- Ghế rung ăn bột cho bé
Ghế rung- Ghế rung ăn bột cho béGhế rung- Ghế rung ăn bột cho bé
Ghế rung- Ghế rung ăn bột cho bé
 
Design et nettsted
Design et nettstedDesign et nettsted
Design et nettsted
 

Similar to Apt oct-2014

Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn LộcSlide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Loc Tran
 
ISA Server 2006-Athena
ISA Server 2006-AthenaISA Server 2006-Athena
ISA Server 2006-Athena
xeroxk
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Linh Hoang
 
Trien vongfoss trongquansu
Trien vongfoss trongquansuTrien vongfoss trongquansu
Trien vongfoss trongquansu
nghia le trung
 
firewall
firewallfirewall
firewall
toan
 

Similar to Apt oct-2014 (20)

Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn LộcSlide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
 
Security standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorterSecurity standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorter
 
Security standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorterSecurity standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorter
 
ATTT.pptx
ATTT.pptxATTT.pptx
ATTT.pptx
 
E Lib&Learning
E Lib&LearningE Lib&Learning
E Lib&Learning
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snort
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
 
Info sec in-business-august-2014
Info sec in-business-august-2014Info sec in-business-august-2014
Info sec in-business-august-2014
 
Bc attt t01_th03
Bc attt t01_th03Bc attt t01_th03
Bc attt t01_th03
 
Tấn Công DDOS
Tấn Công DDOSTấn Công DDOS
Tấn Công DDOS
 
Bài giảng hack web.ppt
Bài giảng hack web.pptBài giảng hack web.ppt
Bài giảng hack web.ppt
 
ISA Server 2006-Athena
ISA Server 2006-AthenaISA Server 2006-Athena
ISA Server 2006-Athena
 
Mo hinh osi-7lop-va-khuyencao-baove-dulieu
Mo hinh osi-7lop-va-khuyencao-baove-dulieuMo hinh osi-7lop-va-khuyencao-baove-dulieu
Mo hinh osi-7lop-va-khuyencao-baove-dulieu
 
INT1484-Bai-thuc-hanh-01.pdf
INT1484-Bai-thuc-hanh-01.pdfINT1484-Bai-thuc-hanh-01.pdf
INT1484-Bai-thuc-hanh-01.pdf
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
 
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdfAn Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
An Ninh Mạng Và Kỹ Thuật Session Hijacking.pdf
 
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdffile_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
file_1_mot_so_ky_thuat_tan_cong_mang_pptx_0046.pdf
 
Trien vongfoss trongquansu
Trien vongfoss trongquansuTrien vongfoss trongquansu
Trien vongfoss trongquansu
 
firewall
firewallfirewall
firewall
 
Báo cáo cuối kì
Báo cáo cuối kìBáo cáo cuối kì
Báo cáo cuối kì
 

Apt oct-2014

  • 1. TẤN CÔNG VÀ KHAI THÁC MẠNG MÁY TÍNH THEO MÔ HÌNH THƯỜNG TRỰC CAO CẤP (APT) SECURITY BOOTCAMP 2014, PHIÊN KHAI MẠC ĐÀ NẴNG, 17/10/2014 NGƯỜI TRÌNH BÀY: LÊ TRUNG NGHĨA VĂN PHÒNG PHỐI HỢP PHÁT TRIỂN MÔI TRƯỜNG KHOA HỌC & CÔNG NGHỆ, BỘ KHOA HỌC & CÔNG NGHỆ Email: letrungnghia.foss@gmail.com Blogs: http://vn.myblog.yahoo.com/ltnghia http://vnfoss.blogspot.com/ Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/ HanoiLUG wiki: http://wiki.hanoilug.org/
  • 2. Nội dung 1. Phân biệt các khái niệm liên quan tới APT 2. Đặc trưng APT của các phần mềm độc hại cao cấp 3. Vòng đời tấn công APT 4. Hạ tầng của APT1 5. Nạn nhân của APT1 6. Kho vũ khí và dấu ấn của APT1 7. Tóm tắt Tài liệu & thông tin tham khảo An ninh an toàn mạng và thông tin = Phải hiểu biết, không Phải tin tưởng!
  • 3. 1. Phân biệt các khái niệm liên quan tới APT APT - Advanced Persistent Threat - Đe dọa thường trực cao cấp Một số khái niệm liên quan: 1. Đơn vị APT - đơn vị tấn công & khai thác mạng theo mô hình APT Ví dụ: Đơn vị APT1 là 1 trong 20 đơn vị APT gốc Trung Quốc, là đơn vị 61398 của quân đội Trung Quốc mà Mandiant phát hiện. 2. Phần mềm độc hại cao cấp - so sánh với loại thông thường 3. Mô hình vòng đời APT - Mô hình nhiều bước, sử dụng để tấn công mạng có chủ đích, thường là để ăn cắp thông tin - dữ liệu.
  • 4. 2. Đặc trưng APT của phần mềm độc hại cao cấp So sánh phần mềm độc hại THÔNG THƯỜNG vs CAO CẤP 1. Mức độ giấu giếm: từ mở - công khai tới được ngụy trang cẩn thận. 2. Mức độ nhận biết: từ có thể nhận biết được & có thể vá được tới không nhận biết được và toàn lỗi ngày số 0 (không vá mà khai thác). 3. Mức độ rộng rãi: từ có mục đích chung & rộng khắp tới có chủ đích nhằm vào từng người - từng mục tiêu & nạn nhân cụ thể. 4. Mức độ thường trực: từ chỉ một lần tới thường trực thường xuyên. Phân loại này gắn liền với mô hình độ chín an ninh không gian mạng - CSMM (Cyber Security Maturity Model).
  • 5. 3. Mô hình vòng đời APT Giống như việc mang kỹ thuật chiến tranh với nhiều bước khác nhau trong một qui trình thống nhất vào việc xây dựng các phần mềm phục vụ cho một chiến dịch tấn công một đồn bốt cụ thể. - Các bước giữa 'Thiết lập chỗ đứng' và 'Hoàn tất nhiệm vụ' không phải luôn xảy ra đúng trật tự mỗi lần trong thực tế. - Khi nằm rồi trong mạng, chu kỳ trinh sát, nhận diện dữ liệu, dịch chuyển biên để truy cập các dữ liệu, và 'Hoàn tất nhiệm vụ' bằng việc ăn cắp các dữ liệu sẽ được lặp lại vô định cho tới khi chúng bị loại bỏ hoàn toàn khỏi mạng.
  • 6. 3.1 Gây tổn thương ban đầu Sử dụng mọi biện pháp nhằm thâm nhập vào mạng đích. - Nhằm vào cá nhân bị hại có chủ đích cụ thể - Sử dụng email thông điệp spear (xiên cắm) phishing (1) gắn tệp độc hại; (2) liên kết tới tệp độc hại; (3) liên kết tới website độc hại; - Sử dụng mạng xã hội hoặc chat gắn tệp độc hại tới nạn nhân. - Cài mã độc lên các website mà nạn nhân thường hay viếng thăm. ◄ Địa chỉ email không phải của người quen biết dù tên y hệt của người quen biết. ◄ Phần mở rộng tệp gắn kèm .exe được ngụy trang thành .pdf với 119 dấu trống.
  • 7. 3.2 Thiết lập chỗ đứng Để đảm bảo truy cập và kiểm soát (các) máy tính của tổ chức nạn nhân từ bên ngoài. - Sử dụng các cửa hậu (1) phổ biến công khai (Gh0st RAT & Poison Ivy ...); (2) của thế giới ngầm; (3) tự viết để thiết lập kết nối giữa mạng của tổ chức nạn nhân với máy tính do kẻ tấn công kiểm soát. - Cách giao tiếp với cửa hậu: từ văn bản thô tới mã hóa cao cấp. - Truy cập cửa hậu vào hệ thống qua lệnh shell hoặc GUI. - Cửa hậu là phần mềm cho phép kẻ thâm nhập trái phép một hệ thống gửi các lệnh tới hệ thống đó từ ở xa. - Cửa hậu khởi tạo kết nối ra ngoài tới máy chủ C2 của kẻ tấn công. - Có 2 dạng cửa hậu: (1) tiêu chuẩn và (2) đầu cầu đổ bộ (như WEBC2).
  • 8. 3.3 Leo thang quyền ưu tiên Giành quyền ưu tiên truy cập càng cao càng tốt tới càng nhiều tài nguyên hơn càng tốt trong hệ thống nạn nhân. Sử dụng công cụ để phá các hàm băm mật khẩu (nếu cần) để: - Có được của nạn nhân (1) username - password; (2) chứng thực số sử dụng PKI; (3) phần mềm máy trạm VPN... - Lợi dụng bất kỳ tài khoản được ưu tiên nào: (1) quản trị miền; (2) các dịch vụ miền; (3) quản trị hệ thống; (4) ưu tiên bất kỳ. Các công cụ leo thang quyền ưu tiên thường được sử dụng: cachedump, fgdump, gsecdump, lslsass, mimikatz, bộ công cụ truyền hàm băm, pwdump7, pwdumpX, ...
  • 9. 3.4 Trinh sát nội bộ Thu thập các thông tin về môi trường làm việc của nạn nhân. - Sử dụng các lệnh có sẵn của hệ điều hành để lấy các thông tin - dữ liệu về mạng nội bộ, các mối quan hệ tin cậy, nhóm & người sử dụng; - Nhận diện thông tin - dữ liệu cần quan tâm bằng mọi biện pháp có thể như: phần mở rộng tệp, từ khóa, ngày tháng sửa đổi... - Máy chủ tệp, email và DNS thường là mục tiêu hàng đầu - Tự viết script để tự động hóa trinh sát & nhận diện dữ liệu quan tâm Script tự động hóa trinh sát nội bộ: - Hiển thị thông tin cấu hình mạng - Liệt kê các dịch vụ, tiến trình, tài khoản, tài khoản với quyền ưu tiên quản trị, kết nối mạng hiện hành, chia sẻ mạng hiện hành được kết nối, máy tính theo nhóm tài khoản.
  • 10. 3.5 Dịch chuyển biên Lần mò tới các hệ thống, máy tính khác có các thông tin - dữ liệu cần thiết phải lấy. - Lợi dụng các ủy quyền (credentials) của nạn nhân và các công cụ truyền hàm băm để truy cập thêm tới các máy trong mạng nạn nhân - Sử dụng PsExec hoặc Windows Task Scheduler để thực thi các lệnh và cài đặt phần mềm độc hại lên các máy ở xa. Các hành động như trên khó bị phát hiện ra vì các quản trị hợp pháp hệ thống cũng sử dụng các kỹ thuật y hệt đó để làm việc với mạng.
  • 11. 3.6 Duy trì sự hiện diện Đảm bảo sự kiểm soát liên tục từ bên ngoài đối với hệ thống của nạn nhân. - Tìm cách cài thêm càng nhiều cửa hậu càng tốt, chứ không chỉ dựa vào cửa hậu được cài từ bước 2 'Thiết lập chỗ đứng' → nạn nhân sẽ khó xác định và loạt bỏ hết được các cửa hậu bị cài vào. - Sử dụng ủy quyền PKI hoặc VPN hợp lệ để ngụy trang như người sử dụng hợp pháp của hệ thống. - Đăng nhập vào các cổng Web có hạn chế trong nội bộ như: các website nội bộ và cả hệ thống thư điện tử dựa vào Microsoft Outlook Web Access.
  • 12. 3.7 Hoàn tất nhiệm vụ Tìm cách tốt nhất để nén và chuyển dữ liệu lấy được ra khỏi mạng của nạn nhân. - Có thể sử dụng RAR, ZIP hoặc 7-Zip để nén dữ liệu lấy được - Bảo vệ các dữ liệu nén bằng mật khẩu - Sử dụng các công cụ truyền tệp FTP khác nhau & các cửa hậu đang tồn tại để chuyển dữ liệu đã được nén ra khỏi mạng của nạn nhân. - Cách thức và thời điểm chuyển dữ liệu được tính toán cẩn thận.
  • 13. 4. Hạ tầng của APT1 -1 Sử dụng các hệ thống trung gian để tấn công, cách thức được gọi là nhảy qua hoặc 'nhảy lò cò' (hop) → từ 882 địa chỉ IP, trong đó 817 từ TQ. APT1 kết nối cửa hậu bằng sử dụng: (1) WEBC2 viết bằng tay; (2) giao diện HTRAN đặt ở các điểm lò cò, như kẻ chặn đường để truyền lệnh tới các cửa hậu; (3) Máy chủ C2 ở các điểm lò cò. Công cụ truyền gói HTRAN - HUC Packet Transmit Tool
  • 14. 4. Hạ tầng của APT1 -2 Máy chủ: 2 năm 2012-13 đã có: - 937 máy chủ C2 ở 849 IP riêng quản lý hàng ngàn máy chủ khác. - Phần lớn là các máy chủ: FTP, Web (cho WEBC2), RDP - kiểm soát hệ thống bằng đồ họa từ xa; HTRAN để ủy quyền; C2 để quản lý bộ hơn 40 cửa hậu của APT1. Sử dụng 2551 FQDN thay vì IP: - Nếu mất kiểm soát một điểm nhảy lò cò thì có thể “trỏ” địa chỉ FQDN (Fully Qualified Domain Name) C2 đó tới một địa chỉ IP khác và lấy lại được sự kiểm soát đối với các cửa hậu của nạn nhân. Từ 2004 APT1 đăng ký 107 vùng DNS: Một vùng (zone) DNS đại diện cho một bộ sưu tập các FQDN có kết thúc cùng tên. Người đăng ký vùng DNS thêm được tùy thích số miền con có cùng kết thúc tên vùng và kiểm soát các phân giải IP các FQDN đó. Chiếm dụng các FQDN khác để: - Đặt phần mềm độc hại lên các website hợp pháp - Biến các FQDN bị chiếm dụng thành các địa chỉ C2 Nhiều cách thức khác nữa... để mở rộng hạ tầng
  • 15. 5. Nạn nhân của APT1 Từ 2004, APT1 đã lấy hàng trăm TB dữ liệu của 141 tổ chức đại diện cho 20 nền công nghiệp; - 115 nạn nhân ở Mỹ, 5 ở Anh. - Thời gian lâu nhất nằm trong mạng là 1.764 ngày = 4 năm 10 tháng - 6.5 TB dữ liệu nén là lượng lớn nhất bị lấy đi từ 1 tổ chức trong 10 tháng. Các nền công nghiệp bị tấn công nhiều nhất: (1) CNTT; (2) Vũ trụ; (3) Hành chính nhà nước; (4) Vệ tinh & viễn thông; (5) Nghiên cứu khoa học & tư vấn năng lượng; (6) Năng lượng; (7) Giao thông; (8) Xây dựng & sản xuất; (9) Các tổ chức quốc tế; (10) Các dịch vụ kỹ thuật; ...
  • 16. 6. Kho vũ khí & dấu ấn của APT1 -1 Kho vũ khí của APT1 gồm 40 bộ các cửa hậu, tất cả nhằm vào hệ điều hành Windows, hơn 1.000 hàm băm MD5, hàng chục chứng thực số SSL... được liệt kê trong các tài liệu phụ lục đi kèm theo báo cáo của Mandiant. APT1 chỉ là 1 trong số 20 nhóm APT có gốc gác Trung Quốc mà Mandiant đã theo dõi và công bố, chưa ai biết 19 nhóm APT còn lại là ai, làm gì, kho vũ khí của họ thế nào?
  • 17. 6. Kho vũ khí & dấu ấn của APT1 -2 - Quý I/2013, trong tài liệu của Mandiant, lần đầu tiên Mỹ chỉ đích danh đơn vị APT1, hay 61398 của quân đội Trung Quốc với 3 cá nhân trực tiếp tham gia các vụ tấn công mạng. - Tháng 05/2014, lần đầu tiên Mỹ truy nã 5 nhân viên của đơn vị 61398 truy cập trái phép, gián điệp và ăn cắp thông tin mạng.
  • 18. 7. Tóm tắt - APT1 là đơn vị 61398 của quân đội Trung Quốc, 1 trong số ít nhất 20 nhóm, chuyên tham gia vào các chiến dịch tấn công và khai thác mạng theo mô hình thường trực cao cấp APT, có trụ sở chính ở Thượng Hải, Trung Quốc. - Mô hình thường trực cao cấp gồm 7 bước, một khi được lén lút gài vào trong hệ thống của nạn nhân, sẽ tạo các cửa hậu và kết nối về các máy chủ chỉ huy kiểm soát để triển khai, mở rộng việc tấn công, khai thác và cuối cùng là chuyển các dữ liệu về các máy chủ của bên tấn công. - Tấn công APT chỉ dừng lại khi tất cả các cửa hậu bị quét sạch hoàn toàn. - APT1 thường không tấn công trực tiếp tới các hệ thống đích, mà qua các hệ thống trung gian, gọi là cơ chế 'nhảy lò cò'. Để thực hiện được điều này, APT1 làm mọi cách để phát triển hạ tầng dựa chủ yếu vào FQDN. - 20 ngành công nghiệp và hàng trăm tổ chức ở nhiều nước, nhiều nhất là ở Mỹ, là nạn nhân của các cuộc tấn công APT ăn cắp dữ liệu. - APT1 có kho vũ khí gồm nhiều bộ cửa hậu, các hàm băm MD5, các chứng thực SSL..., phục vụ để tấn công vào các hệ thống máy tính chạy Windows.
  • 19. Tài liệu & thông tin tham khảo 1. http://intelreport.mandiant.com/; 2. APT1 - Phát hiện một trong các đơn vị gián điệp không gian mạng của Trung Quốc. Mandiant xuất bản năm 2013, 84 trang; 3. APT1 - Exposing One of China's Cyber Espionage Units. Appendix C: The Malware Arsenal; http://intelreport.mandiant.com/ 4. APT1 - Exposing One of China's Cyber Espionage Units. Appendix F: APT1 SSL Certificates; http://intelreport.mandiant.com/ ; 5. APT1 - Exposing One of China's Cyber Espionage Units. Appendix D: FQDNs; http://intelreport.mandiant.com/ ; 6. APT1 - Exposing One of China's Cyber Espionage Units. Appendix E: MD5s; http://intelreport.mandiant.com/ ; 7. Vòng đời các mối đe dọa thường trực cao cấp; 8. Cyber Security Maturity Model, Robert Lentz, Former DoD CISO, Deputy Assistant Secretary Cyber; 9. US indicts five in China's secret 'Unit 61398' for cyber-spying on US firms (+video)
  • 20. An ninh an toàn mạng và thông tin = Phải hiểu biết, không Phải tin tưởng! Cảm ơn! Hỏi đáp LÊ TRUNG NGHĨA Email: letrungnghia.foss@gmail.com Blogs: http://vnfoss.blogspot.com/ http://letrungnghia.mangvn.org/ Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/ HanoiLUG wiki: http://wiki.hanoilug.org/