apt oct-2014
DESCRIPTION
Bài trình bày trong phiên khai mạc Security Bootcamp 2014 ngày 17/10/2014 tại Đà Nẵng.TRANSCRIPT
TẤN CÔNG VÀ KHAI THÁC MẠNG MÁY TÍNH
THEO MÔ HÌNH THƯỜNG TRỰC CAO CẤP (APT)
SECURITY BOOTCAMP 2014, PHIÊN KHAI MẠC
ĐÀ NẴNG, 17/10/2014
NGƯỜI TRÌNH BÀY: LÊ TRUNG NGHĨAVĂN PHÒNG PHỐI HỢP PHÁT TRIỂN MÔI TRƯỜNG KHOA HỌC & CÔNG NGHỆ,
BỘ KHOA HỌC & CÔNG NGHỆ
Email: [email protected]: http://vn.myblog.yahoo.com/ltnghia
http://vnfoss.blogspot.com/ Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/HanoiLUG wiki: http://wiki.hanoilug.org/
Nội dung1. Phân biệt các khái niệm liên quan tới APT
2. Đặc trưng APT của các phần mềm độc hại cao cấp
3. Vòng đời tấn công APT
4. Hạ tầng của APT1
5. Nạn nhân của APT1
6. Kho vũ khí và dấu ấn của APT1
7. Tóm tắt
Tài liệu & thông tin tham khảo
An ninh an toàn mạng và thông tin= Phải hiểu biết, không Phải tin tưởng!
1. Phân biệt các khái niệm liên quan tới APT
APT - Advanced Persistent Threat - Đe dọa thường trực cao cấp
Một số khái niệm liên quan: 1. Đơn vị APT - đơn vị tấn công & khai thác mạng theo mô hình APT Ví dụ: Đơn vị APT1 là 1 trong 20 đơn vị APT gốc Trung Quốc, là đơn vị 61398 của quân đội Trung Quốc mà Mandiant phát hiện.2. Phần mềm độc hại cao cấp - so sánh với loại thông thường3. Mô hình vòng đời APT - Mô hình nhiều bước, sử dụng để tấn công mạng có chủ đích, thường là để ăn cắp thông tin - dữ liệu.
2. Đặc trưng APT của phần mềm độc hại cao cấp
So sánh phần mềm độc hạiTHÔNG THƯỜNG vs CAO CẤP
1. Mức độ giấu giếm: từ mở - công khai tới được ngụy trang cẩn thận.2. Mức độ nhận biết: từ có thể nhận biết được & có thể vá được tới không nhận biết được và toàn lỗi ngày số 0 (không vá mà khai thác). 3. Mức độ rộng rãi: từ có mục đích chung & rộng khắp tới có chủ đích nhằm vào từng người - từng mục tiêu & nạn nhân cụ thể. 4. Mức độ thường trực: từ chỉ một lần tới thường trực thường xuyên.
Phân loại này gắn liền với mô hình độ chín an ninh không gian mạng - CSMM (Cyber Security Maturity Model).
3. Mô hình vòng đời APT
- Các bước giữa 'Thiết lập chỗ đứng' và 'Hoàn tất nhiệm vụ' không phải luôn xảy ra đúng trật tự mỗi lần trong thực tế.
- Khi nằm rồi trong mạng, chu kỳ trinh sát, nhận diện dữ liệu, dịch chuyển biên để truy cập các dữ liệu, và 'Hoàn tất nhiệm vụ' bằng việc ăn cắp các dữ liệu sẽ được lặp lại vô định cho tới khi chúng bị loại bỏ hoàn toàn khỏi mạng.
Giống như việc mang kỹ thuật chiến tranh với nhiều bước khác nhau trong một qui trình thống nhất vào việc xây dựng các phần mềm phục vụ cho một chiến dịch tấn công một đồn bốt cụ thể.
3.1 Gây tổn thương ban đầu
- Nhằm vào cá nhân bị hại có chủ đích cụ thể- Sử dụng email thông điệp spear (xiên cắm) phishing (1) gắn tệp độc hại; (2) liên kết tới tệp độc hại; (3) liên kết tới website độc hại; - Sử dụng mạng xã hội hoặc chat gắn tệp độc hại tới nạn nhân.- Cài mã độc lên các website mà nạn nhân thường hay viếng thăm.
Sử dụng mọi biện pháp nhằm thâm nhập vào mạng đích.
◄ Địa chỉ email không phải của người quen biết dù tên y hệt của người quen biết.
◄ Phần mở rộng tệp gắn kèm .exe được ngụy trang thành .pdf với 119 dấu trống.
3.2 Thiết lập chỗ đứng
- Sử dụng các cửa hậu (1) phổ biến công khai (Gh0st RAT & Poison Ivy ...); (2) của thế giới ngầm; (3) tự viết để thiết lập kết nối giữa mạng của tổ chức nạn nhân với máy tính do kẻ tấn công kiểm soát. - Cách giao tiếp với cửa hậu: từ văn bản thô tới mã hóa cao cấp.- Truy cập cửa hậu vào hệ thống qua lệnh shell hoặc GUI.
Để đảm bảo truy cập và kiểm soát (các) máy tính của tổ chức nạn nhân từ bên ngoài.
- Cửa hậu là phần mềm cho phép kẻ thâm nhập trái phép một hệ thống gửi các lệnh tới hệ thống đó từ ở xa. - Cửa hậu khởi tạo kết nối ra ngoài tới máy chủ C2 của kẻ tấn công.
- Có 2 dạng cửa hậu: (1) tiêu chuẩn và (2) đầu cầu đổ bộ (như WEBC2).
3.3 Leo thang quyền ưu tiên
Sử dụng công cụ để phá các hàm băm mật khẩu (nếu cần) để: - Có được của nạn nhân (1) username - password; (2) chứng thực số sử dụng PKI; (3) phần mềm máy trạm VPN...- Lợi dụng bất kỳ tài khoản được ưu tiên nào: (1) quản trị miền; (2) các dịch vụ miền; (3) quản trị hệ thống; (4) ưu tiên bất kỳ.
Các công cụ leo thang quyền ưu tiên thường được sử dụng: cachedump, fgdump, gsecdump, lslsass, mimikatz, bộ công cụ truyền hàm băm, pwdump7, pwdumpX, ...
Giành quyền ưu tiên truy cập càng cao càng tốt tới càng nhiều tài nguyên hơn càng tốt trong hệ thống nạn nhân.
3.4 Trinh sát nội bộ
- Sử dụng các lệnh có sẵn của hệ điều hành để lấy các thông tin - dữ liệu về mạng nội bộ, các mối quan hệ tin cậy, nhóm & người sử dụng; - Nhận diện thông tin - dữ liệu cần quan tâm bằng mọi biện pháp có thể như: phần mở rộng tệp, từ khóa, ngày tháng sửa đổi...- Máy chủ tệp, email và DNS thường là mục tiêu hàng đầu- Tự viết script để tự động hóa trinh sát & nhận diện dữ liệu quan tâm
Thu thập các thông tin về môi trường làm việc của nạn nhân.
Script tự động hóa trinh sát nội bộ:- Hiển thị thông tin cấu hình mạng- Liệt kê các dịch vụ, tiến trình, tài khoản, tài khoản với quyền ưu tiên quản trị, kết nối mạng hiện hành, chia sẻ mạng hiện hành được kết nối, máy tính theo nhóm tài khoản.
3.5 Dịch chuyển biên
- Lợi dụng các ủy quyền (credentials) của nạn nhân và các công cụ truyền hàm băm để truy cập thêm tới các máy trong mạng nạn nhân- Sử dụng PsExec hoặc Windows Task Scheduler để thực thi các lệnh và cài đặt phần mềm độc hại lên các máy ở xa.
Các hành động như trên khó bị phát hiện ra vì các quản trị hợp pháp hệ thống cũng sử dụng các kỹ thuật y hệt đó để làm việc với mạng.
Lần mò tới các hệ thống, máy tính khác có các thông tin - dữ liệu cần thiết phải lấy.
3.6 Duy trì sự hiện diện
- Tìm cách cài thêm càng nhiều cửa hậu càng tốt, chứ không chỉ dựa vào cửa hậu được cài từ bước 2 'Thiết lập chỗ đứng' → nạn nhân sẽ khó xác định và loạt bỏ hết được các cửa hậu bị cài vào. - Sử dụng ủy quyền PKI hoặc VPN hợp lệ để ngụy trang như người sử dụng hợp pháp của hệ thống.- Đăng nhập vào các cổng Web có hạn chế trong nội bộ như: các website nội bộ và cả hệ thống thư điện tử dựa vào Microsoft Outlook Web Access.
Đảm bảo sự kiểm soát liên tục từ bên ngoài đối với hệ thống của nạn nhân.
3.7 Hoàn tất nhiệm vụ
- Có thể sử dụng RAR, ZIP hoặc 7-Zip để nén dữ liệu lấy được- Bảo vệ các dữ liệu nén bằng mật khẩu- Sử dụng các công cụ truyền tệp FTP khác nhau & các cửa hậu đang tồn tại để chuyển dữ liệu đã được nén ra khỏi mạng của nạn nhân. - Cách thức và thời điểm chuyển dữ liệu được tính toán cẩn thận.
Tìm cách tốt nhất để nén và chuyển dữ liệu lấy được ra khỏi mạng của nạn nhân.
4. Hạ tầng của APT1 -1
APT1 kết nối cửa hậu bằng sử dụng: (1) WEBC2 viết bằng tay; (2) giao diện HTRAN đặt ở các điểm lò cò, như kẻ chặn đường để truyền lệnh tới các cửa hậu; (3) Máy chủ C2 ở các điểm lò cò.
Sử dụng các hệ thống trung gian để tấn công, cách thức được gọi là nhảy qua hoặc 'nhảy lò cò' (hop) → từ 882 địa chỉ IP, trong đó 817 từ TQ.
Công cụ truyền gói HTRAN - HUC Packet Transmit Tool
4. Hạ tầng của APT1 -2
Sử dụng 2551 FQDN thay vì IP:- Nếu mất kiểm soát một điểm nhảy lò cò thì có thể “trỏ” địa chỉ FQDN (Fully Qualified Domain Name) C2 đó tới một địa chỉ IP khác và lấy lại được sự kiểm soát đối với các cửa hậu của nạn nhân.Từ 2004 APT1 đăng ký 107 vùng DNS:Một vùng (zone) DNS đại diện cho một bộ sưu tập các FQDN có kết thúc cùng tên. Người đăng ký vùng DNS thêm được tùy thích số miền con có cùng kết thúc tên vùng và kiểm soát các phân giải IP các FQDN đó. Chiếm dụng các FQDN khác để:- Đặt phần mềm độc hại lên các website hợp pháp - Biến các FQDN bị chiếm dụng thành các địa chỉ C2Nhiều cách thức khác nữa... để mở rộng hạ tầng
Máy chủ: 2 năm 2012-13 đã có:- 937 máy chủ C2 ở 849 IP riêng quản lý hàng ngàn máy chủ khác.- Phần lớn là các máy chủ: FTP, Web (cho WEBC2), RDP - kiểm soát hệ thống bằng đồ họa từ xa; HTRAN để ủy quyền; C2 để quản lý bộ hơn 40 cửa hậu của APT1.
5. Nạn nhân của APT1
Các nền công nghiệp bị tấn công nhiều nhất:(1) CNTT; (2) Vũ trụ; (3) Hành chính nhà nước; (4) Vệ tinh & viễn thông; (5) Nghiên cứu khoa học & tư vấn năng lượng; (6) Năng lượng; (7) Giao thông; (8) Xây dựng & sản xuất; (9) Các tổ chức quốc tế; (10) Các dịch vụ kỹ thuật; ...
Từ 2004, APT1 đã lấy hàng trăm TB dữ liệu của 141 tổ chức đại diện cho 20 nền công nghiệp;- 115 nạn nhân ở Mỹ, 5 ở Anh.- Thời gian lâu nhất nằm trong mạng là 1.764 ngày = 4 năm 10 tháng - 6.5 TB dữ liệu nén là lượng lớn nhất bị lấy đi từ 1 tổ chức trong 10 tháng.
6. Kho vũ khí & dấu ấn của APT1 -1
Kho vũ khí của APT1 gồm40 bộ các cửa hậu, tất cả nhằm vào hệ điều hành Windows, hơn 1.000 hàm băm MD5, hàng chục chứng thực số SSL... được liệt kê trong các tài liệu phụ lục đi kèm theo báo cáo của Mandiant.
APT1 chỉ là 1 trong số 20 nhóm APT có gốc gác Trung Quốc mà Mandiant đã theo dõi và công bố, chưa ai biết 19 nhóm APT còn lại là ai, làm gì, kho vũ khí của họ thế nào?
6. Kho vũ khí & dấu ấn của APT1 -2
- Quý I/2013, trong tài liệu của Mandiant, lần đầu tiên Mỹ chỉ đích danh đơn vị APT1, hay 61398 của quân đội Trung Quốc với 3 cá nhân trực tiếp tham gia các vụ tấn công mạng.- Tháng 05/2014, lần đầu tiên Mỹ truy nã 5 nhân viên của đơn vị 61398 truy cập trái phép, gián điệp và ăn cắp thông tin mạng.
7. Tóm tắt
- APT1 là đơn vị 61398 của quân đội Trung Quốc, 1 trong số ít nhất 20 nhóm, chuyên tham gia vào các chiến dịch tấn công và khai thác mạng theo mô hình thường trực cao cấp APT, có trụ sở chính ở Thượng Hải, Trung Quốc.- Mô hình thường trực cao cấp gồm 7 bước, một khi được lén lút gài vào trong hệ thống của nạn nhân, sẽ tạo các cửa hậu và kết nối về các máy chủ chỉ huy kiểm soát để triển khai, mở rộng việc tấn công, khai thác và cuối cùng là chuyển các dữ liệu về các máy chủ của bên tấn công. - Tấn công APT chỉ dừng lại khi tất cả các cửa hậu bị quét sạch hoàn toàn.- APT1 thường không tấn công trực tiếp tới các hệ thống đích, mà qua các hệ thống trung gian, gọi là cơ chế 'nhảy lò cò'. Để thực hiện được điều này, APT1 làm mọi cách để phát triển hạ tầng dựa chủ yếu vào FQDN.- 20 ngành công nghiệp và hàng trăm tổ chức ở nhiều nước, nhiều nhất là ở Mỹ, là nạn nhân của các cuộc tấn công APT ăn cắp dữ liệu.- APT1 có kho vũ khí gồm nhiều bộ cửa hậu, các hàm băm MD5, các chứng thực SSL..., phục vụ để tấn công vào các hệ thống máy tính chạy Windows.
Tài liệu & thông tin tham khảo
1. http://intelreport.mandiant.com/; 2. APT1 - Phát hiện một trong các đơn vị gián điệp không gian mạng
của Trung Quốc. Mandiant xuất bản năm 2013, 84 trang; 3. APT1 - Exposing One of China's Cyber Espionage Units. Appendix C: The
Malware Arsenal; http://intelreport.mandiant.com/ 4. APT1 - Exposing One of China's Cyber Espionage Units. Appendix F:
APT1 SSL Certificates; http://intelreport.mandiant.com/ ; 5. APT1 - Exposing One of China's Cyber Espionage Units. Appendix D:
FQDNs; http://intelreport.mandiant.com/ ; 6. APT1 - Exposing One of China's Cyber Espionage Units. Appendix E:
MD5s; http://intelreport.mandiant.com/ ; 7. Vòng đời các mối đe dọa thường trực cao cấp; 8. Cyber Security Maturity Model, Robert Lentz, Former DoD CISO, Deputy
Assistant Secretary Cyber; 9. US indicts five in China's secret 'Unit 61398' for cyber-spying on US firms
(+video)
Cảm ơn!
Hỏi đáp
LÊ TRUNG NGHĨA
Email: [email protected]: http://vnfoss.blogspot.com/
http://letrungnghia.mangvn.org/Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/HanoiLUG wiki: http://wiki.hanoilug.org/
An ninh an toàn mạng và thông tin= Phải hiểu biết, không Phải tin tưởng!