Tweet
Định nghĩa về các tác nhân nguy hại (Threat Actors)
Các tác nhân nguy hại là các cá nhân (hoặc nhóm hoạt động với mục đích cá nhân), Thực hiện một cuộc tấn công hoặc chịu trách nhiệm cho một sự cố an ninh ảnh hưởng hoặc có khả năng ảnh hưởng đến một tổ chức hoặc cá nhân.
Dưới đây là một số loại tác nhân nguy hại:
+ Script kiddies: Là những người sử dụng các tập lệnh Script hiện có hoặc các công cụ để hack vào máy tính và mạng của các cá nhân, doanh nghiệp hay tổ chức. Họ không thể tự hack mà phải sử dụng các công cụ do các hacker tạo ra để thực hiện các hành vi tấn công. Thông thường các script kiddies không biết được hậu quả có thể gây ra đến đâu, do họ không phải là người trực tiếp tạo ra các công cụ, các cuộc tấn công của script kiddies thường sẽ là DOS hoặc DDOS.
+ Các nhóm tội phạm có tổ chức: Mục đích của họ thường là đánh cắp thông tin của các cá nhân, doanh nghiệp hay tổ chức, hoặc lừa đảo người khác để kiếm tiền.
+ Các nhà tài trợ nhà nước và chính phủ: Các đại lý này quan tâm đến việc đánh cắp dữ liệu, bao gồm sở hữu trí tuệ và dữ liệu nghiên cứu và phát triển từ các nhà sản xuất lớn, cơ quan chính phủ và nhà thầu quốc phòng.
+ Hack activists: Những người thực hiện các cuộc tấn công không gian mạng nhằm mục đích thúc đẩy một sự nghiệp xã hội hoặc chính trị.
+ Các nhóm khủng bố: Các nhóm này được thúc đẩy bởi niềm tin chính trị hoặc tôn giáo.
Ban đầu, thuật ngữ hacker được sử dụng cho một người đam mê máy tính. Một hacker là một người thích tìm hiểu hoạt động nội bộ của một hệ thống, máy tính và mạng máy tính và sẽ tiếp tục hack cho đến khi anh ta hiểu mọi thứ về hệ thống. Theo thời gian, báo chí nổi tiếng bắt đầu mô tả tin tặc là những cá nhân đột nhập máy tính có mục đích độc hại. Ngành công nghiệp đã phản ứng mạnh mẽ lại thế giới của các cracker, viết tắt của một criminal hacker. Thuật ngữ cracker được phát triển để mô tả các cá nhân tìm cách xâm phạm sự bảo mật của hệ thống mà không có sự cho phép từ một bên được ủy quyền. Với tất cả sự nhầm lẫn này về cách phân biệt kẻ tốt với kẻ xấu, thuật ngữ ethical hacker đã được hình thành. Một ethical hacker là một cá nhân thực hiện các bài kiểm tra bảo mật và các hoạt động đánh giá lỗ hổng khác để giúp các tổ chức bảo vệ cơ sở hạ tầng của họ. Đôi khi ethical hacker được gọi là tin tặc mũ trắng.
Động cơ và ý định của hacker khác nhau. Một số hacker hoạt động hoàn toàn hợp pháp, trong khi những người khác thường xuyên vi phạm pháp luật.
Hãy cùng xem xét một số loại hacker phổ biến:
+ Hacker mũ trắng: Những cá nhân này thực hiện những cuộc tấn công hay xâm nhập một cách hợp pháp để giúp các công ty và tổ chức an toàn. Nhiệm vụ của họ là phải kiểm tra mạng của mình giống như cách mà một hacker tội phạm thực hiện hành vi tấn công để hiểu rõ hơn về các lỗ hổng hiện hữu trong hệ thống mạng của mình.
+ Hacker mũ đen: Những cá nhân này thực hiện các hoạt động tấn công, xâm nhập bất hợp pháp như các tổ chức tội phạm.
+ Hacker mũ xám: Những cá nhân này thường tuân thủ luật pháp nhưng đôi khi mạo hiểm với mặt tối hơn của việc hack. Sẽ là phi đạo đức khi sử dụng những cá nhân này để thực hiện nhiệm vụ bảo mật cho tổ chức của bạn bởi vì bạn không bao giờ hiểu rõ được họ đang làm vì mục đích tốt hay xấu.
Hiểu về Threat Intelligence là gì
Threat Intelligence được gọi là kiến thức về mối nguy hại hiện có hoặc mới nổi để làm một ngân hàng danh sách về các mối nguy hại, bao gồm cả mạng và hệ thống. Threat Intelligence bao gồm bối cảnh, cơ chế, chỉ số thỏa hiệp (IoCs), hàm ý và lời khuyên hành động. Threat Intelligence được gọi là thông tin về các vật thể quan sát, các chỉ số về ý định thỏa hiệp (IoCs) và khả năng của các tác nhân nguy hại bên trong và bên ngoài và các cuộc tấn công của chúng. Threat Intelligence bao gồm các mục tiêu cụ thể như chiến thuật, kỹ thuật và quy trình của những kẻ thù này. Mối nguy hại tình báo, mục đích chính là để thông báo các quyết định kinh doanh liên quan đến các rủi ro và tác động liên quan đến các mối nguy hại.
Chuyển đổi các định nghĩa này sang ngôn ngữ chung có thể chuyển thành mối nguy hại tình báo là bằng chứng dựa trên kiến thức về các khả năng của các tác nhân nguy hại bên trong và bên ngoài. Loại dữ liệu này có thể có lợi cho trung tâm hoạt động bảo mật (security operations center - SOC) của bất kỳ tổ chức nào. Tình báo nguy hại mở rộng nhận thức về an ninh mạng ngoài mạng nội bộ bằng cách tiêu thụ thông tin tình báo từ các nguồn khác trên Internet có liên quan đến các mối nguy hại có thể đối với bạn hoặc tổ chức của bạn. Chẳng hạn, bạn có thể tìm hiểu về các mối nguy hại đã tác động đến các tổ chức bên ngoài khác. Sau đó, bạn có thể chủ động chuẩn bị thay vì phản ứng một khi mối nguy hại được nhìn thấy đối với mạng của bạn. Cung cấp một sự phong phú về nguồn cấp dữ liệu là một dịch vụ mà các nền tảng tình báo nguy hại thường cung cấp.
Hình minh họa 1-3 cho thấy một quy trình Threat Intelligence năm bước để đánh giá các nguồn và thông tin tình báo mối nguy hại.
Nhiều nền tảng Threat Intelligence và service khác nhau có sẵn trên thị trường hiện nay. Threat Intelligence mạng tập trung vào việc cung cấp thông tin hành động về các đối thủ, bao gồm cả IoC. Nguồn cấp dữ liệu Threat Intelligence giúp bạn ưu tiên tín hiệu từ các hệ thống nội bộ trước các mối nguy hại chưa biết. Trí thông minh đe doạ trực tuyến cho phép bạn tập trung hơn vào điều tra an ninh mạng vì thay vì mù quáng tìm kiếm các sự kiện bất thường và mới, bạn có thể tìm kiếm các IoC, địa chỉ IP, URL hoặc các mẫu khai thác lỗ hổng cụ thể.
Một số tiêu chuẩn đang được phát triển để phổ biến thông tin tình về các mối nguy hại.
Sau đây là một vài ví dụ:
+ Cấu trúc thông tin nguy hại eXpression (Structured Threat Information eXpression - STIX): Một ngôn ngữ thể hiện được thiết kế để chia sẻ thông tin về các phương thức tấn công mạng. Chi tiết STIX có thể chứa dữ liệu, chẳng hạn như địa chỉ IP hoặc tên miền của các máy chủ điều khiển và quản lí (và thường được gọi là C2 hoặc CnC), malware hashes, v.v. STIX ban đầu được phát triển bởi MITRE và hiện được OASIS duy trì. Bạn có thể lấy thêm thông tin tại http://stixproject.github.io/
+ Trao đổi thông tin một cách tự động đáng tin cậy (Trusted Automated eXchange of Indicator Information - TAXII): Một cơ chế vận chuyển mở, chuẩn hóa việc trao đổi tự động các thông tin đe doạ trực tuyến. TAXII ban đầu được phát triển bởi MITRE và hiện được OASIS duy trì. Bạn có thể lấy thêm thông tin tại http://taxiiproject.github.io/
+ Cyber Observable eXpression (CybOX): Một lược đồ được tiêu chuẩn hóa miễn phí để xác định, nắm bắt, mô tả và truyền đạt các sự kiện của các thuộc tính trạng thái có thể quan sát được trong miền vận hành. CybOX ban đầu được phát triển bởi MITRE và hiện được OASIS duy trì. Bạn có thể lấy thêm thông tin tại https://cyboxproject.github.io/
+ Các chỉ số mở của thỏa hiệp (Open Indicators of Compromise - OpenIOC): Một khung mở để chia sẻ thông tin về mối nguy hại ở định dạng machine-digestible. Tìm hiểu thêm tại http://www.openioc.org/
+ Open Command and Control (OpenC2): Một ngôn ngữ dùng để chỉ huy và kiểm soát các công nghệ phòng thủ không gian mạng. Diễn đàn OpenC2 là một cộng đồng của các bên liên quan đến an ninh mạng được Mỹ tạo điều kiện. Cơ quan an ninh Quốc gia. OpenC2 hiện là ủy ban kỹ thuật (TC) của OASIS và là trọng điểm về kỹ thuật. Bạn có thể lấy thêm thông tin tại https://www.oasis-open.org/committees/openc2/
Cần lưu ý rằng nhiều nguồn bảo mật cho mã nguồn mở và không bảo mật của Google cũng có thể được sử dụng để bảo vệ mối nguy hại. Một số ví dụ về các nguồn này là phương tiện truyền thông xã hội, diễn đàn, blog và trang web của nhà cung cấp.
Kho GitHub sau đây bao gồm hàng ngàn tài liệu tham khảo và tài nguyên liên quan đến trí thông minh nguy hại, săn lùng mối nguy hại, hack đạo đức, kiểm tra thâm nhập, pháp y kỹ thuật số, ứng phó sự cố, nghiên cứu lỗ hổng, phát triển khai thác, kỹ thuật đảo ngược, v.v. link: https://github.com/The-Art-of-Hacking/h4cker
Bạn sẽ tìm hiểu thêm về các tài nguyên này trong suốt bài viết.
Chẩn đoán các mối nguy hại phổ biến
Phần mềm độc hại (hay malware): bao gồm virus, ransomware, rootkit, trojans, worms, backdoors , công cụ kênh bí mật, phần mềm gián điệp (Spyware) và các mối nguy hại nâng cao (APTs). Walware có thể gây ra một loạt thiệt hại, từ hiển thị tin nhắn, đến việc làm cho các chương trình hoạt động thất thường, mã hóa tệp và yêu cầu tiền chuộc giải mã chúng, thậm chí phá hủy dữ liệu hoặc ổ cứng.
Viruses và Worms
Một điều làm cho virus trở nên độc đáo là virus thường cần một chương trình hoặc tệp lưu trữ để lây nhiễm. Virus đòi hỏi một số loại tương tác của con người. Virus có thể đi từ hệ thống này sang hệ thống khác mà không cần sự tương tác của con người. Khi virus thực thi, nó có thể sao chép lại và lây nhiễm nhiều hệ thống hơn. Ví dụ, virus có thể tự gửi email cho mọi người trong danh sách địa chỉ của bạn và sau đó lặp đi lặp lại quá trình này từ mỗi máy tính người dùng mà nó lây nhiễm. Lượng lưu lượng truy cập khổng lồ đó có thể dẫn đến việc từ chối dịch vụ rất nhanh.
Phần mềm gián điệp (Spyware) có liên quan chặt chẽ với virus và worms. Phần mềm gián điệp được coi là một loại phần mềm độc hại. Theo nhiều cách, phần mềm gián điệp tương tự như một Trojan vì hầu hết người dùng đều không biết rằng chương trình đã được cài đặt và chương trình ẩn mình ở một vị trí tối nghĩa. Phần mềm gián điệp đánh cắp thông tin từ người dùng và cũng ăn hết băng thông. Nếu điều đó không đủ, phần mềm gián điệp cũng có thể chuyển hướng lưu lượng truy cập web của bạn và làm phiền bạn một cách cực độ với các trò chơi pop up khó chịu. Nhiều người dùng xem phần mềm gián điệp như một loại virus khác.
Phần này bao gồm một lịch sử ngắn gọn về virus máy tính, các loại virus phổ biến và một số cuộc tấn công virus được biết đến nhiều nhất. Ngoài ra, một số công cụ được sử dụng để tạo virus và các phương pháp phòng ngừa tốt nhất sẽ được thảo luận
Các loại và phương thức truyền dữ liệu
Mặc dù Virus có lịch sử bắt nguồn từ năm 1980, nhưng phương tiện hay cách thức lây nhiễm của chúng đã thay đổi qua nhiều năm. Virus phụ thuộc vào con người để lây lan chúng. Virus yêu cầu hoạt động của con người, chẳng hạn như khởi động máy tính, thực thi tự động chạy trên phương tiện kỹ thuật số (ví dụ: CD, DVD, USB, ổ cứng ngoài, v.v.) hoặc mở tệp đính kèm email. Phần mềm độc hại lan truyền qua mạng
máy tính theo một số cách cơ bản sau:
+ Master boot record infection: Đây là phương pháp tấn công cổ điển. Nó hoạt động bằng cách tấn công vào bản ghi khởi động chính của ổ cứng.
+ BIOS infection: phương thức tấn công này hoàn toàn có thể khiến hệ thống không thể hoạt động hoặc thiết bị có thể bị treo trước khi tự kiểm tra Power On (POST) được bắt đầu.
+ File infection: đối với phương thức tấn công này thì phần mềm độc hại sẽ phụ thuộc vào người dùng để thực thi tệp. Các tệp có đuôi như .com và .exe thường được sử dụng cho phương thức tấn công này. Một số hình thức kỹ thuật tấn công qua mạng xã hội (Social Engineering) thường được sử dụng để khiến người dùng thực hiện chương trình. Các kỹ thuật tấn công một cách tự động sau khi có sự tương tác của người dùng đến file thực thi chứa mã độc bao gồm đổi tên chương trình hoặc cố gắng che dấu phần mở rộng .exe và làm cho nó xuất hiện dưới dạng đồ họa – hình ảnh (.jpg, .bmp, .png, .svg hay tương tự).
+ Macro infection: Virus Macro khai thác các dịch vụ scripting được cài đặt trên máy tính của bạn. Thao tác và sử dụng macro trong các tài liệu Microsoft Excel, Microsoft Word và Microsoft Pox-verPoint đã được sử dụng để tấn công là rất phổ biến trong quá khứ.
+ Cluster: Loại Virus này có thể sửa đổi các mục trong bảng thư mục để nó trỏ người dùng hoặc hệ thống xử lý vào phần mềm độc hại chứ không phải chương trình thực tế.
+ Multipartite: Kiểu virus này có thể sử dụng nhiều hơn một phương thức lan truyền và nhắm mục tiêu cả các tệp chương trình khởi động và chương trình. Một ví dụ là Virus NATAS (được viết dưới dạng Satan đánh vần ngược).
Sau khi máy tính của bạn bị nhiễm, phần mềm độc hại có thể thực hiện rất nhiều thứ để để tấn công vào nhiều điểm yếu trong máy tính của chúng ta. Một số loại virus lây lan rất nhanh, loại virus này được gọi là fast infection. Virus fast infection lây nhiễm bất kỳ tập tin nào mà chúng có khả năng lây nhiễm. Một số loại virus khác lại có tốc độ lây lan chậm hơn, loại virus này được gọi là sparse infection. Spare infection đòi hỏi virus phải cần một khoảng thời gian nhất định để có thể lây nhiễm cho các file hoặc lan rộng thiệt hại mà nó gây ra. Kỹ thuật tấn công này sử dụng để giúp cho virus tránh bị phát hiện (dân gian có câu “chậm mà chắc” là cách miêu tả gần giống với phương thức tấn công của Sparse infection). Một vài virus lại từ bỏ việc lây nhiễm file mà thực thi việc tự load nó vào RAM hay ổ cứng để có thể tấn công một cách lâu dài và phạm vi ảnh hưởng lớn hơn khi can thiệp cả vào boot sector.
Khi các công ty chống virus và bảo mật đã phát triển các cách tốt hơn để phát hiện phần mềm độc hại, các tác giả của mềm độc hại đã chống lại bằng cách cố gắng phát triển phần mềm độc hại khó phát hiện hơn. Ví dụ, vào năm 2012, Flame được cho là phần mềm độc hại tinh vi nhất cho đến nay. Flame có khả năng lây lan sang các hệ thống khác qua mạng cục bộ. Nó có thể ghi lại âm thanh, ảnh chụp màn hình và hoạt động bàn phím và có thể biến máy tính bị nhiễm thành Bluetooth Beacons cố tải xuống thông tin liên lạc từ các thiết bị hỗ trợ Bluetooth gần đó. Một kỹ thuật khác mà các nhà phát triển phần mềm độc hại đã cố gắng là biết virus trở nên đa dạng (virus polymorphic). Một virus polymorphic có thể thay đổi signature của nó mỗi khi nó sao chép và lây nhiễm một tệp mới. Kỹ thuật này làm cho chương trình chống virus khó phát hiện hơn nhiều. Những người tạo ra phần mềm độc hại không đồng ý lan truyền Virus và phần mềm độc hại khác theo cách họ đã sử dụng. Phần lớn phần mềm độc hại ngày nay được viết cho một mục tiêu cụ thể. Bằng cách hạn chế sự lây lan của phần mềm độc hại và chỉ nhắm mục tiêu vào một vài nạn nhân, các nhà phát triển phần mềm độc hại tìm ra phần mềm độc hại và tạo signature để phát hiện nó khó hơn nhiều đối với các công ty chống virus.
Có khi nào virus không phải là virus? Có khi nào virus chỉ là một trò lừa bịp? Một trò lừa bịp virus không gì khác hơn là một chuỗi các lá thư, meme hoặc email khuyến khích bạn chuyển tiếp nó cho bạn bè của bạn để cảnh báo họ về sự diệt vong sắp xảy ra hoặc một số sự kiện đáng chú ý khác. Để thuyết phục người đọc chuyển tiếp trò lừa bịp, email sẽ chứa một số thông tin nghe có vẻ chính thức có thể bị nhầm là hợp lệ.
Malware Payloads
Phần mềm độc hại phải đặt các payload của họ ở đâu đó. Họ luôn có thể ghi đè lên một phần của tệp bị nhiễm, nhưng làm như vậy sẽ phá hủy nó. Hầu hết các nhà phát triển phần mềm độc hại muốn tránh bị phát hiện càng lâu càng tốt và có thể không viết chương trình để hủy ngay lập tức các tệp. Một cách mà người viết phần mềm độc hại có thể thực hiện điều này là đặt mã phần mềm độc hại ở đầu hoặc cuối các tập tin bị nhiễm bệnh. Phần mềm độc hại được biết đến như là một phần mềm dự phòng lây nhiễm các chương trình bằng cách đặt viral code của nó vào đầu tệp bị nhiễm, trong khi đó, một ứng dụng phụ đặt mã của nó vào cuối tệp bị nhiễm. Cả hai kỹ thuật đều giữ nguyên tệp, với mã độc được thêm vào đầu hoặc cuối tệp.
Không có vấn đề gì về kỹ thuật lây nhiễm, tất cả các Virus đều có một số thành phần phổ biến cơ bản, như được nêu chi tiết trong danh sách sau đây. Ví dụ: tất cả các Virus đều có chung thói quen tìm kiếm và lây nhiễm.
+ Thói quen tìm kiếm (Search Routine): Thói quen tìm kiếm chịu trách nhiệm định vị các tệp mới, dung lượng ổ đĩa hoặc RAM để lây nhiễm. Thói quen tìm kiếm có thể bao gồm hồ sơ cá nhân. Hồ sơ có thể được sử dụng để xác định môi trường và biến hình thành phần mềm độc hại hiệu quả hơn và có khả năng bỏ qua việc phát hiện.
+ Thói quen lây nhiễm (Infection Routine): Thói quen tìm kiếm là vô ích nếu Virus không có cách nào để tận dụng những phát hiện này. Do đó, thành phần thứ hai của Virus là thói quen lây nhiễm. Phần virus này chịu trách nhiệm sao chép Virus và gắn nó vào một máy chủ phù hợp. Phần mềm độc hại cũng có thể sử dụng thói quen lây nhiễm / khởi động lại thói quen để thỏa hiệp hơn nữa hệ thống bị ảnh hưởng.
+ Payloads: Hầu hết các virus khác không dừng tại đây và cũng chứa một payloads. Mục đích của thói quen payloads có thể là xóa ổ cứng, hiển thị thông báo cho màn hình hoặc có thể gửi virus cho 50 người trong danh sách địa chỉ email của bạn. Nhiều người có thể không bao giờ biết rằng virus thậm chí còn tồn tại.
+ Thói quen chống phát hiện (Antidetection routine): Nhiều loại virus cũng có thể có thói quen chống phát hiện. Mục tiêu của nó là giúp làm cho virus giống như tàng hình hơn và tránh bị phát hiện.
+ Thói quen kích hoạt (Trigger routine): Mục tiêu của thói quen kích hoạt là khởi chạy các payload tại một số thời gian nhất định trong ngày. Kích hoạt có thể được thiết lập để thực hiện một hành động nhất định tại một thời điểm nhất định.
Tín Phan
Còn phần tiếp theo
Các tác nhân nguy hại là các cá nhân (hoặc nhóm hoạt động với mục đích cá nhân), Thực hiện một cuộc tấn công hoặc chịu trách nhiệm cho một sự cố an ninh ảnh hưởng hoặc có khả năng ảnh hưởng đến một tổ chức hoặc cá nhân.
Dưới đây là một số loại tác nhân nguy hại:
+ Script kiddies: Là những người sử dụng các tập lệnh Script hiện có hoặc các công cụ để hack vào máy tính và mạng của các cá nhân, doanh nghiệp hay tổ chức. Họ không thể tự hack mà phải sử dụng các công cụ do các hacker tạo ra để thực hiện các hành vi tấn công. Thông thường các script kiddies không biết được hậu quả có thể gây ra đến đâu, do họ không phải là người trực tiếp tạo ra các công cụ, các cuộc tấn công của script kiddies thường sẽ là DOS hoặc DDOS.
+ Các nhóm tội phạm có tổ chức: Mục đích của họ thường là đánh cắp thông tin của các cá nhân, doanh nghiệp hay tổ chức, hoặc lừa đảo người khác để kiếm tiền.
+ Các nhà tài trợ nhà nước và chính phủ: Các đại lý này quan tâm đến việc đánh cắp dữ liệu, bao gồm sở hữu trí tuệ và dữ liệu nghiên cứu và phát triển từ các nhà sản xuất lớn, cơ quan chính phủ và nhà thầu quốc phòng.
+ Hack activists: Những người thực hiện các cuộc tấn công không gian mạng nhằm mục đích thúc đẩy một sự nghiệp xã hội hoặc chính trị.
+ Các nhóm khủng bố: Các nhóm này được thúc đẩy bởi niềm tin chính trị hoặc tôn giáo.
Ban đầu, thuật ngữ hacker được sử dụng cho một người đam mê máy tính. Một hacker là một người thích tìm hiểu hoạt động nội bộ của một hệ thống, máy tính và mạng máy tính và sẽ tiếp tục hack cho đến khi anh ta hiểu mọi thứ về hệ thống. Theo thời gian, báo chí nổi tiếng bắt đầu mô tả tin tặc là những cá nhân đột nhập máy tính có mục đích độc hại. Ngành công nghiệp đã phản ứng mạnh mẽ lại thế giới của các cracker, viết tắt của một criminal hacker. Thuật ngữ cracker được phát triển để mô tả các cá nhân tìm cách xâm phạm sự bảo mật của hệ thống mà không có sự cho phép từ một bên được ủy quyền. Với tất cả sự nhầm lẫn này về cách phân biệt kẻ tốt với kẻ xấu, thuật ngữ ethical hacker đã được hình thành. Một ethical hacker là một cá nhân thực hiện các bài kiểm tra bảo mật và các hoạt động đánh giá lỗ hổng khác để giúp các tổ chức bảo vệ cơ sở hạ tầng của họ. Đôi khi ethical hacker được gọi là tin tặc mũ trắng.
Động cơ và ý định của hacker khác nhau. Một số hacker hoạt động hoàn toàn hợp pháp, trong khi những người khác thường xuyên vi phạm pháp luật.
Hãy cùng xem xét một số loại hacker phổ biến:
+ Hacker mũ trắng: Những cá nhân này thực hiện những cuộc tấn công hay xâm nhập một cách hợp pháp để giúp các công ty và tổ chức an toàn. Nhiệm vụ của họ là phải kiểm tra mạng của mình giống như cách mà một hacker tội phạm thực hiện hành vi tấn công để hiểu rõ hơn về các lỗ hổng hiện hữu trong hệ thống mạng của mình.
+ Hacker mũ đen: Những cá nhân này thực hiện các hoạt động tấn công, xâm nhập bất hợp pháp như các tổ chức tội phạm.
+ Hacker mũ xám: Những cá nhân này thường tuân thủ luật pháp nhưng đôi khi mạo hiểm với mặt tối hơn của việc hack. Sẽ là phi đạo đức khi sử dụng những cá nhân này để thực hiện nhiệm vụ bảo mật cho tổ chức của bạn bởi vì bạn không bao giờ hiểu rõ được họ đang làm vì mục đích tốt hay xấu.
Hiểu về Threat Intelligence là gì
Threat Intelligence được gọi là kiến thức về mối nguy hại hiện có hoặc mới nổi để làm một ngân hàng danh sách về các mối nguy hại, bao gồm cả mạng và hệ thống. Threat Intelligence bao gồm bối cảnh, cơ chế, chỉ số thỏa hiệp (IoCs), hàm ý và lời khuyên hành động. Threat Intelligence được gọi là thông tin về các vật thể quan sát, các chỉ số về ý định thỏa hiệp (IoCs) và khả năng của các tác nhân nguy hại bên trong và bên ngoài và các cuộc tấn công của chúng. Threat Intelligence bao gồm các mục tiêu cụ thể như chiến thuật, kỹ thuật và quy trình của những kẻ thù này. Mối nguy hại tình báo, mục đích chính là để thông báo các quyết định kinh doanh liên quan đến các rủi ro và tác động liên quan đến các mối nguy hại.
Chuyển đổi các định nghĩa này sang ngôn ngữ chung có thể chuyển thành mối nguy hại tình báo là bằng chứng dựa trên kiến thức về các khả năng của các tác nhân nguy hại bên trong và bên ngoài. Loại dữ liệu này có thể có lợi cho trung tâm hoạt động bảo mật (security operations center - SOC) của bất kỳ tổ chức nào. Tình báo nguy hại mở rộng nhận thức về an ninh mạng ngoài mạng nội bộ bằng cách tiêu thụ thông tin tình báo từ các nguồn khác trên Internet có liên quan đến các mối nguy hại có thể đối với bạn hoặc tổ chức của bạn. Chẳng hạn, bạn có thể tìm hiểu về các mối nguy hại đã tác động đến các tổ chức bên ngoài khác. Sau đó, bạn có thể chủ động chuẩn bị thay vì phản ứng một khi mối nguy hại được nhìn thấy đối với mạng của bạn. Cung cấp một sự phong phú về nguồn cấp dữ liệu là một dịch vụ mà các nền tảng tình báo nguy hại thường cung cấp.
Hình minh họa 1-3 cho thấy một quy trình Threat Intelligence năm bước để đánh giá các nguồn và thông tin tình báo mối nguy hại.
Hình 1-3: Mô hình mô tả quá trình hoạt động của Threat Intelligence
Nhiều nền tảng Threat Intelligence và service khác nhau có sẵn trên thị trường hiện nay. Threat Intelligence mạng tập trung vào việc cung cấp thông tin hành động về các đối thủ, bao gồm cả IoC. Nguồn cấp dữ liệu Threat Intelligence giúp bạn ưu tiên tín hiệu từ các hệ thống nội bộ trước các mối nguy hại chưa biết. Trí thông minh đe doạ trực tuyến cho phép bạn tập trung hơn vào điều tra an ninh mạng vì thay vì mù quáng tìm kiếm các sự kiện bất thường và mới, bạn có thể tìm kiếm các IoC, địa chỉ IP, URL hoặc các mẫu khai thác lỗ hổng cụ thể.
Một số tiêu chuẩn đang được phát triển để phổ biến thông tin tình về các mối nguy hại.
Sau đây là một vài ví dụ:
+ Cấu trúc thông tin nguy hại eXpression (Structured Threat Information eXpression - STIX): Một ngôn ngữ thể hiện được thiết kế để chia sẻ thông tin về các phương thức tấn công mạng. Chi tiết STIX có thể chứa dữ liệu, chẳng hạn như địa chỉ IP hoặc tên miền của các máy chủ điều khiển và quản lí (và thường được gọi là C2 hoặc CnC), malware hashes, v.v. STIX ban đầu được phát triển bởi MITRE và hiện được OASIS duy trì. Bạn có thể lấy thêm thông tin tại http://stixproject.github.io/
+ Trao đổi thông tin một cách tự động đáng tin cậy (Trusted Automated eXchange of Indicator Information - TAXII): Một cơ chế vận chuyển mở, chuẩn hóa việc trao đổi tự động các thông tin đe doạ trực tuyến. TAXII ban đầu được phát triển bởi MITRE và hiện được OASIS duy trì. Bạn có thể lấy thêm thông tin tại http://taxiiproject.github.io/
+ Cyber Observable eXpression (CybOX): Một lược đồ được tiêu chuẩn hóa miễn phí để xác định, nắm bắt, mô tả và truyền đạt các sự kiện của các thuộc tính trạng thái có thể quan sát được trong miền vận hành. CybOX ban đầu được phát triển bởi MITRE và hiện được OASIS duy trì. Bạn có thể lấy thêm thông tin tại https://cyboxproject.github.io/
+ Các chỉ số mở của thỏa hiệp (Open Indicators of Compromise - OpenIOC): Một khung mở để chia sẻ thông tin về mối nguy hại ở định dạng machine-digestible. Tìm hiểu thêm tại http://www.openioc.org/
+ Open Command and Control (OpenC2): Một ngôn ngữ dùng để chỉ huy và kiểm soát các công nghệ phòng thủ không gian mạng. Diễn đàn OpenC2 là một cộng đồng của các bên liên quan đến an ninh mạng được Mỹ tạo điều kiện. Cơ quan an ninh Quốc gia. OpenC2 hiện là ủy ban kỹ thuật (TC) của OASIS và là trọng điểm về kỹ thuật. Bạn có thể lấy thêm thông tin tại https://www.oasis-open.org/committees/openc2/
Cần lưu ý rằng nhiều nguồn bảo mật cho mã nguồn mở và không bảo mật của Google cũng có thể được sử dụng để bảo vệ mối nguy hại. Một số ví dụ về các nguồn này là phương tiện truyền thông xã hội, diễn đàn, blog và trang web của nhà cung cấp.
Kho GitHub sau đây bao gồm hàng ngàn tài liệu tham khảo và tài nguyên liên quan đến trí thông minh nguy hại, săn lùng mối nguy hại, hack đạo đức, kiểm tra thâm nhập, pháp y kỹ thuật số, ứng phó sự cố, nghiên cứu lỗ hổng, phát triển khai thác, kỹ thuật đảo ngược, v.v. link: https://github.com/The-Art-of-Hacking/h4cker
Bạn sẽ tìm hiểu thêm về các tài nguyên này trong suốt bài viết.
Chẩn đoán các mối nguy hại phổ biến
Phần mềm độc hại (hay malware): bao gồm virus, ransomware, rootkit, trojans, worms, backdoors , công cụ kênh bí mật, phần mềm gián điệp (Spyware) và các mối nguy hại nâng cao (APTs). Walware có thể gây ra một loạt thiệt hại, từ hiển thị tin nhắn, đến việc làm cho các chương trình hoạt động thất thường, mã hóa tệp và yêu cầu tiền chuộc giải mã chúng, thậm chí phá hủy dữ liệu hoặc ổ cứng.
Viruses và Worms
Một điều làm cho virus trở nên độc đáo là virus thường cần một chương trình hoặc tệp lưu trữ để lây nhiễm. Virus đòi hỏi một số loại tương tác của con người. Virus có thể đi từ hệ thống này sang hệ thống khác mà không cần sự tương tác của con người. Khi virus thực thi, nó có thể sao chép lại và lây nhiễm nhiều hệ thống hơn. Ví dụ, virus có thể tự gửi email cho mọi người trong danh sách địa chỉ của bạn và sau đó lặp đi lặp lại quá trình này từ mỗi máy tính người dùng mà nó lây nhiễm. Lượng lưu lượng truy cập khổng lồ đó có thể dẫn đến việc từ chối dịch vụ rất nhanh.
Phần mềm gián điệp (Spyware) có liên quan chặt chẽ với virus và worms. Phần mềm gián điệp được coi là một loại phần mềm độc hại. Theo nhiều cách, phần mềm gián điệp tương tự như một Trojan vì hầu hết người dùng đều không biết rằng chương trình đã được cài đặt và chương trình ẩn mình ở một vị trí tối nghĩa. Phần mềm gián điệp đánh cắp thông tin từ người dùng và cũng ăn hết băng thông. Nếu điều đó không đủ, phần mềm gián điệp cũng có thể chuyển hướng lưu lượng truy cập web của bạn và làm phiền bạn một cách cực độ với các trò chơi pop up khó chịu. Nhiều người dùng xem phần mềm gián điệp như một loại virus khác.
Phần này bao gồm một lịch sử ngắn gọn về virus máy tính, các loại virus phổ biến và một số cuộc tấn công virus được biết đến nhiều nhất. Ngoài ra, một số công cụ được sử dụng để tạo virus và các phương pháp phòng ngừa tốt nhất sẽ được thảo luận
Các loại và phương thức truyền dữ liệu
Mặc dù Virus có lịch sử bắt nguồn từ năm 1980, nhưng phương tiện hay cách thức lây nhiễm của chúng đã thay đổi qua nhiều năm. Virus phụ thuộc vào con người để lây lan chúng. Virus yêu cầu hoạt động của con người, chẳng hạn như khởi động máy tính, thực thi tự động chạy trên phương tiện kỹ thuật số (ví dụ: CD, DVD, USB, ổ cứng ngoài, v.v.) hoặc mở tệp đính kèm email. Phần mềm độc hại lan truyền qua mạng
máy tính theo một số cách cơ bản sau:
+ Master boot record infection: Đây là phương pháp tấn công cổ điển. Nó hoạt động bằng cách tấn công vào bản ghi khởi động chính của ổ cứng.
+ BIOS infection: phương thức tấn công này hoàn toàn có thể khiến hệ thống không thể hoạt động hoặc thiết bị có thể bị treo trước khi tự kiểm tra Power On (POST) được bắt đầu.
+ File infection: đối với phương thức tấn công này thì phần mềm độc hại sẽ phụ thuộc vào người dùng để thực thi tệp. Các tệp có đuôi như .com và .exe thường được sử dụng cho phương thức tấn công này. Một số hình thức kỹ thuật tấn công qua mạng xã hội (Social Engineering) thường được sử dụng để khiến người dùng thực hiện chương trình. Các kỹ thuật tấn công một cách tự động sau khi có sự tương tác của người dùng đến file thực thi chứa mã độc bao gồm đổi tên chương trình hoặc cố gắng che dấu phần mở rộng .exe và làm cho nó xuất hiện dưới dạng đồ họa – hình ảnh (.jpg, .bmp, .png, .svg hay tương tự).
+ Macro infection: Virus Macro khai thác các dịch vụ scripting được cài đặt trên máy tính của bạn. Thao tác và sử dụng macro trong các tài liệu Microsoft Excel, Microsoft Word và Microsoft Pox-verPoint đã được sử dụng để tấn công là rất phổ biến trong quá khứ.
+ Cluster: Loại Virus này có thể sửa đổi các mục trong bảng thư mục để nó trỏ người dùng hoặc hệ thống xử lý vào phần mềm độc hại chứ không phải chương trình thực tế.
+ Multipartite: Kiểu virus này có thể sử dụng nhiều hơn một phương thức lan truyền và nhắm mục tiêu cả các tệp chương trình khởi động và chương trình. Một ví dụ là Virus NATAS (được viết dưới dạng Satan đánh vần ngược).
Sau khi máy tính của bạn bị nhiễm, phần mềm độc hại có thể thực hiện rất nhiều thứ để để tấn công vào nhiều điểm yếu trong máy tính của chúng ta. Một số loại virus lây lan rất nhanh, loại virus này được gọi là fast infection. Virus fast infection lây nhiễm bất kỳ tập tin nào mà chúng có khả năng lây nhiễm. Một số loại virus khác lại có tốc độ lây lan chậm hơn, loại virus này được gọi là sparse infection. Spare infection đòi hỏi virus phải cần một khoảng thời gian nhất định để có thể lây nhiễm cho các file hoặc lan rộng thiệt hại mà nó gây ra. Kỹ thuật tấn công này sử dụng để giúp cho virus tránh bị phát hiện (dân gian có câu “chậm mà chắc” là cách miêu tả gần giống với phương thức tấn công của Sparse infection). Một vài virus lại từ bỏ việc lây nhiễm file mà thực thi việc tự load nó vào RAM hay ổ cứng để có thể tấn công một cách lâu dài và phạm vi ảnh hưởng lớn hơn khi can thiệp cả vào boot sector.
Khi các công ty chống virus và bảo mật đã phát triển các cách tốt hơn để phát hiện phần mềm độc hại, các tác giả của mềm độc hại đã chống lại bằng cách cố gắng phát triển phần mềm độc hại khó phát hiện hơn. Ví dụ, vào năm 2012, Flame được cho là phần mềm độc hại tinh vi nhất cho đến nay. Flame có khả năng lây lan sang các hệ thống khác qua mạng cục bộ. Nó có thể ghi lại âm thanh, ảnh chụp màn hình và hoạt động bàn phím và có thể biến máy tính bị nhiễm thành Bluetooth Beacons cố tải xuống thông tin liên lạc từ các thiết bị hỗ trợ Bluetooth gần đó. Một kỹ thuật khác mà các nhà phát triển phần mềm độc hại đã cố gắng là biết virus trở nên đa dạng (virus polymorphic). Một virus polymorphic có thể thay đổi signature của nó mỗi khi nó sao chép và lây nhiễm một tệp mới. Kỹ thuật này làm cho chương trình chống virus khó phát hiện hơn nhiều. Những người tạo ra phần mềm độc hại không đồng ý lan truyền Virus và phần mềm độc hại khác theo cách họ đã sử dụng. Phần lớn phần mềm độc hại ngày nay được viết cho một mục tiêu cụ thể. Bằng cách hạn chế sự lây lan của phần mềm độc hại và chỉ nhắm mục tiêu vào một vài nạn nhân, các nhà phát triển phần mềm độc hại tìm ra phần mềm độc hại và tạo signature để phát hiện nó khó hơn nhiều đối với các công ty chống virus.
Có khi nào virus không phải là virus? Có khi nào virus chỉ là một trò lừa bịp? Một trò lừa bịp virus không gì khác hơn là một chuỗi các lá thư, meme hoặc email khuyến khích bạn chuyển tiếp nó cho bạn bè của bạn để cảnh báo họ về sự diệt vong sắp xảy ra hoặc một số sự kiện đáng chú ý khác. Để thuyết phục người đọc chuyển tiếp trò lừa bịp, email sẽ chứa một số thông tin nghe có vẻ chính thức có thể bị nhầm là hợp lệ.
Malware Payloads
Phần mềm độc hại phải đặt các payload của họ ở đâu đó. Họ luôn có thể ghi đè lên một phần của tệp bị nhiễm, nhưng làm như vậy sẽ phá hủy nó. Hầu hết các nhà phát triển phần mềm độc hại muốn tránh bị phát hiện càng lâu càng tốt và có thể không viết chương trình để hủy ngay lập tức các tệp. Một cách mà người viết phần mềm độc hại có thể thực hiện điều này là đặt mã phần mềm độc hại ở đầu hoặc cuối các tập tin bị nhiễm bệnh. Phần mềm độc hại được biết đến như là một phần mềm dự phòng lây nhiễm các chương trình bằng cách đặt viral code của nó vào đầu tệp bị nhiễm, trong khi đó, một ứng dụng phụ đặt mã của nó vào cuối tệp bị nhiễm. Cả hai kỹ thuật đều giữ nguyên tệp, với mã độc được thêm vào đầu hoặc cuối tệp.
Không có vấn đề gì về kỹ thuật lây nhiễm, tất cả các Virus đều có một số thành phần phổ biến cơ bản, như được nêu chi tiết trong danh sách sau đây. Ví dụ: tất cả các Virus đều có chung thói quen tìm kiếm và lây nhiễm.
+ Thói quen tìm kiếm (Search Routine): Thói quen tìm kiếm chịu trách nhiệm định vị các tệp mới, dung lượng ổ đĩa hoặc RAM để lây nhiễm. Thói quen tìm kiếm có thể bao gồm hồ sơ cá nhân. Hồ sơ có thể được sử dụng để xác định môi trường và biến hình thành phần mềm độc hại hiệu quả hơn và có khả năng bỏ qua việc phát hiện.
+ Thói quen lây nhiễm (Infection Routine): Thói quen tìm kiếm là vô ích nếu Virus không có cách nào để tận dụng những phát hiện này. Do đó, thành phần thứ hai của Virus là thói quen lây nhiễm. Phần virus này chịu trách nhiệm sao chép Virus và gắn nó vào một máy chủ phù hợp. Phần mềm độc hại cũng có thể sử dụng thói quen lây nhiễm / khởi động lại thói quen để thỏa hiệp hơn nữa hệ thống bị ảnh hưởng.
+ Payloads: Hầu hết các virus khác không dừng tại đây và cũng chứa một payloads. Mục đích của thói quen payloads có thể là xóa ổ cứng, hiển thị thông báo cho màn hình hoặc có thể gửi virus cho 50 người trong danh sách địa chỉ email của bạn. Nhiều người có thể không bao giờ biết rằng virus thậm chí còn tồn tại.
+ Thói quen chống phát hiện (Antidetection routine): Nhiều loại virus cũng có thể có thói quen chống phát hiện. Mục tiêu của nó là giúp làm cho virus giống như tàng hình hơn và tránh bị phát hiện.
+ Thói quen kích hoạt (Trigger routine): Mục tiêu của thói quen kích hoạt là khởi chạy các payload tại một số thời gian nhất định trong ngày. Kích hoạt có thể được thiết lập để thực hiện một hành động nhất định tại một thời điểm nhất định.
Tín Phan
Còn phần tiếp theo