Quá trình truy vết, xâu chuỗi, phân tích các sự kiện liên quan đến ; các báo cáo đã cho thấy nhiều biến thể sử dụng các tài khoản có đặc quyền và được tin cậy để kết nối với các hệ thống trong một môi trường. Cụ thể, giao thức SMB (Server Message Block) được sử dụng cho kênh giao tiếp giữa các hệ thống, ví dụ: từ máy trạm tới Domain Controllers hoặc File Servers cũng thường được kẻ tấn công sử dụng. Các chính sách tường lửa Windows có thể được cấu hình để hạn chế phạm vi giao tiếp được phép giữa các điểm đầu cuối thông thường trong một môi trường. Chính sách tường lửa này có thể được áp dụng cục bộ hoặc toàn bộ thông qua chính sách nhóm (GPOs). Các cổng và giao thức thông thường nên bị chặn giữa máy trạm với máy trạm - và máy trạm đến các máy không phải Domain Controllers và File Servers bao gồm:
- SMB (TCP/445, TCP/135, TCP/139)
- Giao thức Điều khiển Máy tính từ xa (TCP/3389)
- Quản lý Máy tính từ xa Windows / Remote PowerShell (TCP/80, TCP/5985, TCP/5986)
- WMI (dải cổng động được gán thông qua DCOM)
Sử dụng chính sách nhóm (Group Policy), các cài đặt được liệt kê trong Bảng 1 có thể được cấu hình cho tường lửa Windows để hạn chế giao tiếp đến cho các điểm cuối trong một môi trường được quản lý.
.jpg)
Bảng 1. Trạng thái cấu hình khuyến nghị của Windows Firewall
Ngoài ra, để đảm bảo rằng chỉ các quy tắc được quản lý tập trung được thực thi trong một sự kiện ngăn chặn và không bị thay đổi bởi tác nhân độc hại, cài đặt cho “Apply local firewall rules” và “Apply local connection security rules” phải được đặt thành “NO” như Hình 1.
.jpg)
Hình 1. Cài đặt tùy chỉnh cấu hình tường lửa miền của Windows
Khi hệ thống xảy ra tấn công , để nhanh chóng kiểm soát và cô lập các hệ thống bị nghi ngờ, tính năng “Block all connections” của tường lửa Windows (Hình 2) sẽ ngăn mọi kết nối đến hệ thống được thiết lập. Đây là cài đặt có thể dễ dàng được áp dụng trên máy trạm, laptop - nhưng có thể ảnh hưởng đến hoạt động thông thường của hệ thống nếu được áp dụng cho máy chủ; tuy nhiên, nếu ransomware đang lan rộng trong một môi trường, điều này có thể là bước cần thiết để kiểm soát một cách nhanh chóng.
.jpg)
Hình 2. Cài đặt “Block all connections” của tường lửa Windows
Lưu ý: Khi sự kiện đã được kiểm soát và được xem xét là “an toàn” để thiết lập lại kết nối giữa các hệ thống trong một môi trường, thông qua chính sách nhóm (Group Policy), cài đặt “Inbound Connections” có thể được thay đổi trở lại thành “Allow” nếu cần thiết.
Các giao thức và cổng được liệt kê trong Bảng 2 đại diện cho những con đường phổ biến nhất mà những kẻ tấn công hoặc các tác nhân đe dọa sử dụng để di chuyển qua mạng khi chúng tìm kiếm dữ liệu quý giá trên hệ thống. Nếu việc chặn tất cả kết nối đến cho các điểm cuối thông thường không khả thi, ít nhất, các giao thức và cổng được liệt kê trong Bảng 2 nên được xem xét để chặn bằng cách sử dụng tường lửa Windows.
Bảng 2. Các quy tắc chặn đề xuất của tường lửa Windows
Đối với bất kỳ ứng dụng cụ thể nào có thể yêu cầu kết nối đến các điểm cuối, người dùng cuối, chính sách tường lửa trên máy của người dùng nên được cấu hình để cho phép các địa chỉ IP cụ thể của những hệ thống được phép kết nối vào.
Bên cạnh đó, tường lửa Windows có thể được cấu hình để chặn các chương trình thực hiện các kết nối ra bên ngoài. Trong quá trình phân tích các sự kiện ransomware, một số các tập tin hợp lệ của Windows được kẻ tấn công sử dụng để tải về các mã độc và công cụ mã hóa từ cả nội bộ và các vị trí bên ngoài. Để bảo vệ chống lại chiến thuật này, một tổ chức có thể tận dụng một loạt các quy tắc của tường lửa Windows để chặn các chương trình thực hiện kết nối ra bên ngoài. Ví dụ: powershell. exe và bitsadmin.exe. Hình 3 thể hiện cấu hình các quy tắc tường lửa Windows để từ chối khả năng các chương trình cụ thể thiết lập kết nối ra ngoài từ một điểm cuối.
.jpg)
Hình 3. Quy tắc tường lửa Windows để chặn các chương trình cụ thể không thực kết nối ra bên ngoài
Giao thức máy tính từ xa (RDP_ Remote Desktop Protocol) thường được tận dụng để có quyền truy cập từ xa vào hệ thống và triển khai phần mềm độc hại. Các hệ thống có RDP kết nối với Internet phải đối mặt với rủi ro ngày càng cao. Những kẻ tấn công có thể tận dụng RDP để xâm nhập tổ chức, di chuyển trong hệ thống mạng, thực hiện các cuộc tấn công bằng ransomware và lấy cắp dữ liệu.
Để đảm bảo an toàn, hệ thống kết nối đến Internet cần được đánh giá, rà quét để phát hiện các hệ thống có RDP (TCP/3389) và các giao thức khác (chẳng hạn như SMB - TCP/445) có thể truy cập được từ Internet. Ít nhất, RDP và SMB không được tiếp xúc trực tiếp với lưu lượng truy cập vào và ra đến/từ Internet. Nếu cần thiết cho nhu cầu vận hành, cần triển khai các biện pháp kiểm soát rõ ràng để hạn chế các nguồn địa chỉ IP có thể tương tác với các hệ thống sử dụng các giao thức này. Một số giải pháp nhằm gia cố cho các hệ thống bắt buộc triển khai giao thức RDP bao gồm:
- Giải pháp xác thực đa yếu tố: Giải pháp này có thể được thực thi thông qua tích hợp với các giải pháp xác thực đa yếu tố của bên thứ ba hoặc bằng cách sử dụng Cổng máy tính từ xa và Máy chủ xác thực đa yếu tố Azure với RADIUS.
- Xác thực cấp mạng (NLA_ Network Level Authentication): Giải pháp này cung cấp thêm một lớp xác thực trước cho các máy chủ RDP, tăng cường bảo mật bằng cách yêu cầu xác thực trước khi thiết lập kết nối nhằm giảm thiểu các cuộc tấn công vét cạn. Việc cấu hình NLA (Hình 4) có thể được thực hiện thông qua Giao diện người dùng (UI) hoặc chính sách nhóm.
.jpg)
Hình 4. Bật Xác thực cấp mạng (NLA)
Như chúng ta đã biết, chia sẻ quản trị (administrative shares) là các chia sẻ mạng ẩn mà hệ điều hành Windows tự động tạo ra để cho phép quản trị viên truy cập từ xa vào hệ thống.
Các chia sẻ này thường không hiển thị khi duyệt qua mạng nhưng vẫn có thể được truy cập nếu biết tên chia sẻ và có quyền phù hợp. Một số biến thể của ransomware sẽ cố gắng xác định các chia sẻ quản trị, bao gồm những chia sẻ không được ánh xạ một cách rõ ràng vào một ký tự ổ đĩa cụ thể và sử dụng chúng để kết nối đến các điểm cuối trong toàn bộ môi trường. Để tăng cường kiểm soát, các tổ chức có thể vô hiệu hóa nhanh chóng các chia sẻ mặc định quản trị hoặc ẩn để không thể truy cập trên các điểm cuối. Điều này có thể được thực hiện bằng cách sửa đổi registry, dừng dịch vụ, hoặc bằng cách sử dụng mẫu chính sách nhóm Các chia sẻ quản trị và ẩn thông thường trên các điểm cuối bao gồm: ADMIN$; C$; D$; IPC$. Vô hiệu hóa chia sẻ quản trị và ẩn trên máy chủ, đặc biệt là Domain Controllers, có thể ảnh hưởng đáng kể đến hoạt động và chức năng của các hệ thống trong một môi trường dựa trên miền. Ngoài ra, nếu PsExec được sử dụng trong một môi trường, việc vô hiệu hóa chia sẻ quản trị (ADMIN$) có thể hạn chế khả năng sử dụng công cụ này để tương tác từ xa với các điểm cuối.
Phương pháp Registry: Sử dụng Registry, các chia sẻ quản trị và ẩn có thể được vô hiệu hóa trên các điểm cuối (Hình 5 và Hình 6).
.jpg)
Hình 5. Giá trị Registry để vô hiệu hóa các chia sẻ quản trị trên các máy trạm
.jpg)
Hình 6. Giá trị Registry để vô hiệu hóa các chia sẻ quản trị trên các máy chủ
*Còn nữa...
Trần Nhật Long - Trung tâm Công nghệ thông tin và Giám sát an ninh mạng và Nguyễn Văn Khoa - Đại học Kỹ thuật - Hậu cần Công an nhân dân
13:00 | 30/07/2024
11:00 | 23/06/2024
20:00 | 07/06/2024
14:00 | 11/09/2024
Keylogger là phần cứng hoặc phần mềm có khả năng theo dõi tất cả các hoạt động thao tác nhập bàn phím, trong đó có các thông tin nhạy cảm như tên người dùng, mật khẩu thẻ tín dụng, thẻ ngân hàng, tài khoản mạng xã hội hay các thông tin cá nhân khác. Keylogger thậm chí có thể ghi lại các hành động gõ phím từ bàn phím ảo, bao gồm các phím số và ký tự đặc biệt. Bài báo sẽ hướng dẫn độc giả cách thức phát hiện và một số biện pháp kiểm tra, ngăn chặn các chương trình Keylogger nhằm bảo vệ máy tính trước mối đe dọa nguy hiểm này.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
13:00 | 07/10/2024
