i
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.
Tác giả luận văn
Phan Thị Phương
ii
LỜI CẢM ƠN
Tôi xin chân thành cảm ơn tới khoa Quốc tế & Đào tạo sau đại học của Học
viện Công nghệ Bưu chính Viễn thông và các thầy cô đã tận tình giảng dạy và giúp
đỡ truyền đạt cho tôi nhiều kiến thức bổ ích cho hoạt động thực tiễn của bản thân
cũng như đúc kết kiến thức vào bản luận văn này.
Đặc biệt, tôi xin bày tỏ lòng biết ơn sâu sắc tới Tiến sỹ Nguyễn Trọng
Đường, người đã tận tình hướng dẫn và đóng góp nhiều ý kiến quí báu giúp tôi hoàn
thành luận văn này.
Mặc dù đã rất cố gắng hoàn thành luận văn, nhưng với thời gian và khả năng
cho phép, nên luận văn không thể tránh khỏi còn những thiếu sót, hạn chế. Tôi rất
mong được sự góp ý chân thành của các thầy cô, bạn bè để bản luận văn của tôi
được hoàn thiện hơn.
Xin chân thành cảm ơn!
Hà Nội, tháng 1 năm 2018
HỌC VIÊN
1.2 Lỗ hổng và điểm yếu trong an toàn thông tin. ............................................................. 8
1.1.5.
Lỗ hổng bảo mật ............................................................................................................ 8
1.1.6.
Điểm yếu an toàn thông tin ....................................................................................... 9
1.3 Một số kỹ thuật tấn công của tin tặc .......................................................................... 13
1.1.7.
Quy trình tấn công của tin tặc ................................................................................ 13
1.1.8.
Một số kiểu tấn công phổ biến ............................................................................... 18
1.4 Kết luận chương ......................................................................................................... 23
CHƯƠNG 2: MÃ ĐỘC VÀ XU HƯỚNG TẤN CÔNG BẰNG MÃ ĐỘC ............24
2.1 Tổng quan về mã độc máy tính .................................................................................. 24
2.1.1 Khái niệm mã độc ............................................................................................................... 24
2.1.2 Phân loại mã độc ................................................................................................................ 24
2.1.3 Cách thức lây nhiễm mã độc ........................................................................................... 29
2.1.4 Tác hại của mã độc ............................................................................................................ 31
iv
Viết tắt
Tiếng Anh
Tiếng Việt
DNS
Domain Name System
Hệ thống phân giải tên miền
DoS
Denial of Service
Tấn công từ chối dịch vụ
DDoS
Distribute Denial of Service
Tấn công từ chối dịch vụ phân
tán
LDAP
Denial of Service
UDP
Giao thức không liên kết
and Technology
SMTP
Simple Mail Transfer Protocol
Giao thức truyền tải thư tín đơn
giản
URL
Uniform Resource Locator
Đường dẫn nguồn tài nguyên
trên internet
VNCERT Vietnam Computer Emergency
Response Team
Trung tâm Ứng cứu khẩn cấp
máy tính Việt Nam
vi
DANH MỤC BẢNG
Hình 3.18 Các thông tin cơ bản của tập tin
Mô hình TCP/IP
10
Hình 1.5
Quy trình thực hiện tấn công của tin tặc
13
Hình 1.6
Mô hình tấn công từ chối dịch vụ phân tán
19
Hình 2.1
Phân loại mã độc
25
Hình 2.2
Tổn thất do mã độc gây ra năm 2012
32
Hình 2.3
Màn hình lọc gói tin theo thông tin
52
Hình 3.6
Hiển thị bộ lọc
52
Hình 3.7
Màn hình xem chi tiết gói tin
52
Hình 3.8
Chi tiết thời gian giao tiếp server-client
53
Hình 3.9
Khung hiển thị chi tiết thông tin
54
Hình 3.10 Cách filter theo ngữ cảnh
viii
Hình 3.20 Mã nguồn Maltrail
67
Hình 3.21 Blacklist được sử dụng bởi Maltrail
68
Hình 3.22 Kiến trúc của Maltrail
68
Hình 3.23 Mô hình triển khai
69
Hình 3.24 Cài đặt sensor
69
Hình 3.25 Cài đặt server
70
Hình 3.26 Cấu hình hệ thống
70
máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu. Có rất nhiều
các website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều dữ liệu quan trọng
bị đánh cắp. Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và có tác động tiêu
cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Các cuộc tấn công của
tin tặc đang gia tăng về số lượng và mức độ nghiêm trọng. Vì vậy, bảo đảm an toàn
thông tin đang trở thành một nhu cầu thực tế cấp thiết.
Song song với đó là cách mạng công nghiệp 4.0 đang diễn ra tại nhiều nước
phát triển. Nó mang đến cho nhân loại cơ hội để thay đổi bộ mặt các nền kinh tế,
nhưng tiềm ẩn nhiều rủi ro khôn lường. Những yếu tố cốt lõi của Kỹ thuật số trong
CMCN 4.0 sẽ là: Trí tuệ nhân tạo (AI), Vạn vật kết nối - Internet of Things (IoT) và
dữ liệu lớn (Big Data).
Trên lĩnh vực công nghệ sinh học, Cách mạng Công nghiệp 4.0 tập trung vào
nghiên cứu để tạo ra những bước nhảy vọt trong Nông nghiệp, Thủy sản, Y dược,
chế biến thực phẩm, bảo vệ môi trường, năng lượng tái tạo, hóa học và vật liệu.
2
Cuối cùng là lĩnh vực Vật lý với robot thế hệ mới, máy in 3D, xe tự lái, các vật liệu
mới (graphene, skyrmions…) và công nghệ nano.
Hiện Cách mạng Công nghiệp 4.0 đang diễn ra tại các nước phát triển như
Mỹ, châu Âu, một phần châu Á. Bên cạnh những cơ hội mới, cách mạng công
nghiệp 4.0 cũng đặt ra cho nhân loại nhiều thách thức phải đối mặt. [12]
IoT hay Internet Of Things (vạn vật kết nối Internet) đang trở thành xu
hướng của thế giới, tuy nhiên một báo cáo mới đây từ các công ty bảo mật đã lưu ý
rằng xu hướng này có thể gây ra những thiệt hại nặng nề khi chịu sự tấn công của
các hacker.
Theo các chuyên gia hãng phần mềm diệt virus Trend Micro, IoT đang thay
đổi thế giới xung quanh, nó như một cuộc cách mạng công nghiệp mới. Nhưng theo
thống kê của Trend Micro, khi IoT phát triển, chỉ với một cuộc tấn công mạng duy
1.1.1. Khái niệm về an toàn thông tin
An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực
rộng lớn. Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy
cập trái phép, hiệu chỉnh, xóa thông tin, ... An toàn thông tin liên quan đến hai khía
cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật.
An toàn thông tin số: thuật ngữ này dùng để chỉ viêc bảo vệ thông tin số và
các hệ thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử
dụng, phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm đảm bảo cho các hệ
thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn
sàng, chính xác và tin cậy.
Nội dung của an toàn thông tin số bao gồm bảo vệ an toàn mạng và hạ tầng
thông tin, an toàn máy tính, dữ liệu và ứng dụng công nghệ thông tin. [10]
1.1.2. Mục tiêu của an toàn thông tin
Nội dung của an toàn thông tin số bao gồm bảo vệ an toàn mạng và hạ tầng
thông tin, an toàn máy tính, dữ liệu và ứng dụng công nghệ thông tin.
Hình 1.1: Mô hình C-I-A
5
- Tính bí mật (Confidentiality): Bí mật là sự ngăn ngừa việc tiết lộ trái phép
những thông tin quan trọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần
thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người
dùng không được cấp phép. Đối với an toàn thông tin thì tính bí mật rõ ràng là điều
đầu tiên được nói đến và nó thường xuyên bị tấn công nhất.
- Tính toàn vẹn (Integrity): Toàn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi
trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của
thông tin và hệ thống. Có ba mục đích chính của việc đảm bảo tính toàn vẹn:
Sự phát hiện (Detection): Nó cung cấp mức độ an ninh cần thiết nào đó để
thực hiện các biện pháp ngăn chặn sự khai thác các lỗ hổng. Trong khi phát triển
các giải pháp an ninh mạng, các tổ chức cần phải nhấn mạnh vào các biện pháp
ngăn chặn hơn là vào sự phát hiện và sự phản ứng vì sẽ là dễ dàng, hiệu quả và có
giá trị nhiều hơn để ngăn chặn một sự vi phạm an ninh hơn là thực hiện phát hiện
hoặc phản ứng với nó.
Sự ngăn chặn (Prevention): Cần có các biện pháp cần thiết để thực hiện phát
hiện các nguy cơ hoặc sự vi phạm an ninh trong trường hợp các biện pháp ngăn
chặn không thành công. Một sự vi phạm được phát hiện sớm sẽ dễ dàng hơn để làm
mất tác hại và khắc phục nó. Như vậy, sự phát hiện không chỉ được đánh giá về mặt
khả năng, mà còn về mặt tốc độ, tức là phát hiện phải nhanh.
7
Sự phản ứng (Response): Phải phát triển một kế hoạch để đưa ra phản ứng
phù hợp đối với một số lỗ hổng an ninh. Kế hoạch phải được viết thành văn bản và
phải xác định ai là người chịu trách nhiệm cho các hành động nào và khi thay đổi
các phản ứng và các mức độ cần tăng cường. Tính năng phản ứng của một hệ thống
an ninh không chỉ là năng lực, mà còn là vấn đề tốc độ.
Ngày nay các cuộc tấn công mạng rất đa dạng, sẽ không thể đoán chắc được
chúng sẽ xảy ra khi nào, ở đâu, dạng nào và hậu quả của chúng. Để đảm bảo an
ninh cho một mạng thì cần:
- Phát hiện nhanh
- Phản ứng nhanh
- Ngăn chặn kịp thời
Đây là một nhiệm vụ khó khăn cho các nhà quản lý và các nhà cung cấp dịch
vụ mạng. [1]
1.1.4. Một số thuật ngữ trong an toàn thông tin
Nếu như có một mối đe dọa lớn, nhưng rất ít lỗ hổng hạn chế mối đe dọa đó
thì sự rủi ro chỉ là trung bình. Ví dụ, nếu một người sống gần một hàng xóm có tiền
án trộm cắp (tức là mối đe dọa lớn) nhưng người đó luôn khóa của cẩn thận (tức là
hạn chế lỗ hổng đối với mối đe dọa đó) thì khả năng bị mất cắp ở mức trung bình.
Nếu như người đó mắc phải nhiều lỗ hổng nhưng mối đe dọa là không đáng kể thì
sự rủi ro cũng là trung bình. Ngược lại, nếu như sự đe dọa cao và lỗ hổng đối với
mối đe dọa đó là cao thì dẫn đến sự rủi ro rất cao. [1]
Có thể hình dung sự rủi ro theo sơ đồ như sau:
9
Hình 1.3: Mức độ rủi ro theo nguy cơ đe dọa và lỗ hổng
1.1.6. Điểm yếu an toàn thông tin
1.2.2.1. Điểm yếu công nghệ
Điểm yếu trong kỹ thuật gồm có điểm yếu trong giao thức, hệ điều hành và
phần cứng:
− Điểm yếu TCP/IP: TCP/IP cho tới thời điểm hiện nay, đã cho thấy nó thiếu
sự bảo mật nghiêm trọng. Một số kiểu tấn công như SYN flooding, IP Spoofing,
Connection Hijacking, … đã chỉ ra rằng việc thiếu tính bảo mật này đã dẫn đến việc
ra đời và phát triển của hàng loạt các công cụ và kỹ thuật khai thác nhằm vào các
điểm yếu của TCP/IP. Việc khắc phục các lỗ hổng này là hoàn toàn có thể thực hiện
được (với một số giải pháp đã trình bày như TCP Wrapper, Kerberos, SKIP…)
nhưng nhìn chung chúng chưa được phổ biến rộng rãi, có thể máy tính của bạn đã
cài đặt chúng nhưng chắc gì trạm mà bạn muốn trao đổi thông tin đã cài đặt những
giải pháp trên. Như vậy, hầu như việc truyền thông trên Internet hiện nay vẫn chưa
10
với password dễ dàng bị đánh cắp. Để ngăn chặn tình trạng đó, người quản trị cần
có những chính sách để không cho phép một password có hiệu lực mãi mãi mà
password này phải có một thời hạn kết thúc.
− Cấu hình sai các dịch vụ: Một vài công ty đã sử dụng địa chỉ thật trên
mạng internet để đánh địa chỉ cho host và server. Điều này tạo nên điểm yếu mà các
hacker sẽ dễ dàng khai thác thông tin. Sử dụng giao thức NAT hoặc PAT có thể giải
quyết vấn đề trên. Sử dụng địa chỉ riêng (private address) cho phép đánh địa chỉ
host và server mà không cần dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì
được router định tuyến ra mạng internet. Đó không phải là biện pháp tối ưu nhất
cho hệ thống. Port trên interface kết nối ra internet phải ở trạng thái open cho phép
users vào mạng internet và ngược lại. Đó là lỗ hổng trên bức tường lửa (firewall)
mà các hacker có thể tấn công vào.
− Các thiết lập mặc định thiếu an toàn: Nhiều sản phẩm phần cứng được
cung cấp mà không có password hoặc là password sẵn có giúp cho nhà quản trị dễ
dàng cấu hình thiết bị. Nó làm cho công việc dễ dàng hơn, như một số thiết bị chỉ
cần cắm vào và hoạt động. Điều này sẽ giúp cho sự tấn công mạng trở nên dễ dàng.
Do đó, ta cần phải thiết lập một chính sách cấu hình bảo mật trên mỗi thiết bị trước
khi thiết bị được lắp đặt vào hệ thống mạng.
− Cấu hình sai các thiết bị mạng: Lỗi cấu hình thiết bị là một lỗ hổng có thể
khai thác để tấn công mạng: password yếu, không có chính sách bảo mật hoặc
không bảo mật user account… đều là lỗi cấu hình thiết bị. Phần cứng và những giao
thức chạy trên thiết bị cũng tạo ra lỗ hổng bảo mật trong mạng. Nếu không có
những chính sách bảo mật cho các thiết bị phần cứng và những giao thức này thì
12
hacker sẽ lợi dụng vào đó để tấn công. Nếu bạn sử dụng SNMP được mặc định thiết
lập thì thông tin có thể bị đánh cắp một cách dễ dàng và nhanh chóng. Do đó, phải
làm mất hiệu lực của SNMP hoặc là thay đổi mặc định thiết lập SNMP có sẵn. [3]
1.3 Một số kỹ thuật tấn công của tin tặc
1.1.7. Quy trình tấn công của tin tặc
Quy trình thực hiện tấn công vào hệ thống thông tin bao gồm 5 bước được
mô tả theo sơ đồ sau:
Hình 1.5: Quy trình thực hiện tấn công của tin tặc
1.3.1.1 Thu thập thông tin
Thu thập thông tin là hoạt động tìm kiếm, tập hợp thông tin về hệ thống đích
một cách nhiều nhất có thể. Các thông tin cụ thể cần được thu thập như là hệ điều
hành, nền tảng, công nghệ web sử dụng hoặc tìm lỗ hổng bảo mật và khai thác liên
quan đến hệ thống đích.
Đối tượng thu thập:
+ Thông tin dãy mạng: Tên miền, tên miền con, dãy địa chỉ mạng, địa chỉ
IP, các dịch vụ TCP/UDP đang tồn tại, ...
+ Thông tin hệ thống: Tài khoản, nhóm người dùng, bảng định tuyến,
thông tin SNMP, ...
+ Thông tin tổ chức: Thông tin nhân viên, website của tổ chức/đơn vị, cấu
trúc tổ chức, ...
14
Phương pháp thu thập:
+ Tiết lộ của nhân viên tổ chức mục tiêu: Trong giai đoạn đầu của cuộc
kiểm thử, đại diện của tổ chức mục tiêu có thể cung cấp một danh sách
các mục tiêu ban đầu.
+ Được phát hiện bởi tìm kiếm Google: Google là một công cụ tìm kiếm
thông tin rất phong phú và hữu ích.
+ Được phát hiện bởi chuyển vùng DNS: DNS cung cấp rất nhiều thông
miền thành địa chỉ IP, nhưng đó không phải là chức năng duy nhất.
+ Công cụ tìm kiếm: Sử dụng công cụ tìm kiếm có thể truy cập công khai
để tìm những dấu hiệu của các lỗ hổng trên hệ thống. Google, Yahoo và
Bing của Microsoft đều có chứa một lượng lớn thông tin có thể chỉ ra
sự hiện diện của các lỗ hổng trong hệ thống liên quan đến môi trường
mục tiêu. Bằng cách gửi các truy vấn phù hợp với các công cụ tìm kiếm,
chúng ta có thể xác định lỗ hổng hệ thống mà không thực sự gửi bất kỳ
gói dữ liệu trực tiếp nào cho các hệ thống
Các kiểu tấn công có nhiều hình thức khác nhau, nhưng thông thường đều
thực hiện qua các bước như sau:
+ Xác định mục tiêu tấn công: Xác định rõ mục tiêu tấn công, nơi chuẩn bị
tấn công.
+ Thu thập thông tin và tìm lỗ hổng: Khảo sát thu thập thông tin về hệ thống
chuẩn bị tấn công bằng nhiều hình thức. Sau khi đã thu thập thông tin, người tấn
công sẽ dò tìm những thông tin về lỗ hổng bảo mật của hệ thống dựa trên những
thông tin đã thu thập được, phân tích điểm yếu của hệ thống mạng, sử dụng các
công cụ hỗ trợ dò quét, tìm lỗi trên hệ thống đó.
+ Lựa chọn mô hình tấn công và công cụ: Khi đã có được những điểm yếu
của hệ thống mạng, người tấn công sẽ sử dụng các mô hình phù hợp, lựa chọn một
công cụ hoặc tự xây dựng một công cụ để tấn công vào hệ thống.
+ Thực hiện tấn công: Sửa dụng các công cụ hỗ trợ, áp dụng mô hình tấn
công đã lựa chọn và các lỗ hổng hệ thống tiến hành tấn công vào hệ thống, Sau khi
đã tấn công thành công, khai thác được lỗ hổng của hệ thống. Người tấn công sẽ
16
thực hiện việc duy trì với mục đích khai thác và tấn công trong tương lai gần. Người
tấn công có thể sử dụng những thuật như mở cửa sau (backdoor) hoặc cài đặt một
trojan để nhằm mục đích duy trì sự xâm nhập của mình. Việc duy trì và làm chủ
địa chỉ IP, hệ điều hành và các dịch vụ chạy trên các máy tính mục tiêu. Có ba loại
quét chủ yếu:
+ Port scanning.
+ Network scanning.
+ Vulnerability scanning.
Đối tượng mà chúng ta đang nhắm tới chính là hệ thống máy tính với những
thành phần của nó. Khi tiến hành quét hệ thống, chúng ta chú ý đến các mục đích
sau:
+ Live System
+ Port
+ Operating System
+ Service
+ IP Address
Phương pháp quét sẽ là kiểm tra xem hệ thống có tồn tại, có đang hoạt động
hay không, kiểm tra các port nào đang được mở mà chúng ta có thể tương tác được,
nhận biết các dịch vụ tương ứng với những port đang mở, phát họa sơ đồ mạng, đặc
biệt chú ý đến những host dễ tấn công, ghi dấu hệ điều hành và những thông tin có
liên quan đến hệ điều hành. [16]
1.3.1.3 Thực hiện thâm nhập
− Thực hiện kết nối và truy cập trực tiếp đến hệ thống mục tiêu.
− Thâm nhập ở mức hệ điều hành, ứng dụng, môi trường mạng.
− Thực hiện leo thang đặc quyền.
Ví dụ: bẻ khóa mật khẩu, tràn bộ đệm, từ chối dịch vụ, chèn phiên…
1.3.1.4. Duy trì kết nối
− Thực hiện sau khi chiếm quyền hệ thống.
− Sử dụng backdoor, Rookits, Trojans.
− Có thể upload, download, thực thi dữ liệu, ứng dụng, thay đổi cấu hình.
Copyright: Tài liệu đại học ©