Tác giả: tungcmc

CMC Cyber Security tham gia chiến dịch bóc gỡ mã độc trên toàn quốc
17 Th9
Hướng tới mục tiêu dài hạn là đảm bảo an toàn cho người dùng trên không gian mạng Việt Nam, thúc đẩy chuyển đổi số quốc gia, Bộ TT&TT vừa phát động chiến dịch “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020”. Công ty CMC Cyber Security sẽ cùng với các doanh nghiệp khác như VNPT, Viettel, FPT, BKAV, Kaspersky… phối hợp cùng Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT thông tin thực hiện chiến dịch.
Chiến dịch hướng đến việc giảm 50% tỷ lệ lây nhiễm mã độc, và giảm 50% địa chỉ IP nằm trong 10 mạng botnet phổ biến. Không còn nằm trong báo cáo của các hãng về tỉ lệ lây nhiễm mã độc trong khoảng thời gian nhất định, thời gian dự kiến là kéo dài trong 2 tháng. Đồng thời, chiến dịch cũng góp phần cải thiện mức độ tin cậy của quốc gia trong hoạt động giao dịch điện tử, thúc đẩy phát triển kinh tế – xã hội, góp phần bảo đảm quốc phòng, an ninh của đất nước.
Chiến dịch sẽ được chia làm 3 giai đoạn: trước, trong và sau chiến dịch. Trong đó, giai đoạn trước chiến dịch gồm việc thống nhất, chuẩn bị kỹ lưỡng cho các kế hoạch, sự kiện bao hàm. Hiện tại, chiến dịch đã bắt đầu bước vào giai đoạn 2.
Giai đoạn trong chiến dịch kéo dài khoảng 1 tháng bao gồm các công đoạn: đánh giá hoạt động 10 mạng botnet lớn cần ưu tiên xử lý; đánh giá ở mức ISP; xây dựng công cụ hỗ trợ; triển khai công cụ trên diện rộng, theo đó, người sử dụng sẽ được tải miễn phí các công cụ để kiểm tra và bóc gỡ mã độc ra khỏi máy tính của mình. “Sau chiến dịch, chúng tôi sẽ đánh giá kết quả và dự kiến thực hiện các chiến dịch tiếp theo”, đại diện NCSC nói.
Triển khai trên toàn không gian mạng Việt Nam, chiến dịch được thực hiện đồng bộ tại tất cả các tỉnh, thành phố từ cấp địa phương đến cấp trung ương, thông qua hệ thống đơn vị chuyên trách về CNTT các bộ, ngành, địa phương; các tập đoàn, tổng công ty nhà nước; các ngân hàng thương mại cổ phần, các tổ chức tài chính.
Ngoài ra, chiến dịch còn nhận được sự ủng hộ từ các tổ chức, tập đoàn và các hãng bảo mật lớn trên thế giới như Kaspersky, Group-IB, FireEye, F-Secure, ESET để lan tỏa hiệu quả cũng như lợi ích đến người dùng Internet Việt Nam.
“Chiến dịch đã và đang được triển khai từng bước. Chúng tôi hy vọng hoạt động này sẽ thu được kết quả khả quang sẽ mang lại kết quả khả quan, góp phần làm sạch mã độc trên không gian mạng Việt Nam, đảm bảo an toàn cho các giao dịch của các cơ quan, doanh nghiệp và người dân trong bối cảnh Việt Nam đang đẩy nhanh chuyển đổi số, hướng tới phát triển Chính phủ số, kinh tế số và xã hội số”, đại diện Cục An toàn thông tin chia sẻ.
CMC Cyber Security giúp Finhay bảo vệ  thông tin và tài sản người dùng an toàn tuyệt đối
26 Th8

Vừa qua, CMC Cyber Security vừa triển khai đánh giá bảo mật, kiểm định chất lượng sản phẩm, đảm bảo an toàn cho các sản phẩm công nghệ của Finhay trước các nguy cơ tấn công mạng.

Cách mạng công nghiệp 4.0 đã và đang diễn ra với tốc độ nhanh, tạo ra những thay đổi rõ rệt trong lĩnh vực ngân hàng, đầu tư – tích lũy. Sự thay đổi này dẫn đến phải thay đổi mô hình quản trị, cấu trúc quản lý, thay đổi các sản phẩm dịch vụ trong các ngân hàng, đồng thời phải tăng cường quản trị rủi ro, đảm bảo an ninh mạng và bảo vệ thông tin của khách hàng.

Trước thực tế đó, CMC Cyber Security đã tư vấn, hỗ trợ kiểm thử bảo mật cho các sản phẩm ở website và ứng dụng của Finhay trên nền tảng thiết bị di động. Cụ thể, các chuyên gia của CMC CS đã đánh giá mức độ an toàn thông tin bằng cách xâm nhập thử các sản phẩm công nghệ nhằm mục đích tìm ra lỗ hổng và tư vấn các giải pháp khắc phục cho đối tác của mình. Ngoài ra CMC cũng tư vấn cho Finhay các giải pháp về giám sát, cảnh báo sớm, kiểm soát các việc lộ lọt dữ liệu nhạy cảm ra Internet, từ đó liên tục cải tiến các phương án phòng thủ và bảo vệ dữ liệu nội bộ tốt hơn.

Qua sự hợp tác này, CMC Cyber Security giúp người dùng sản phẩm công nghệ cao Finhay yên tâm giao dịch mà không cần lo lắng về rủi ro tài chính của mình trong không gian mạng. Từ đó, hỗ trợ cho Finhay cung cấp các sản phẩm tin cậy, được chứng nhận là sản phẩm an toàn trước cuộc tấn công mạng cho các nhà đầu tư kiếm thêm lợi nhuận.

Finhay là ứng dụng thông minh hàng đầu Việt Nam cho đầu tư – tích lũy vừa và nhỏ. Với các sản phẩm tài chính cá nhân đa dạng và đột phá trên nền tảng số, sự minh bạch về tài chính và nền tảng công nghệ mạnh, Finhay giúp người dùng tích lũy và đầu tư linh hoạt từ nguồn vốn nhỏ lẻ để tạo dựng tài sản và bảo vệ tương lai.

CMC Cyber Security là công ty thành viên thuộc tập đoàn CMC – Tập đoàn công nghệ top 2 Việt Nam. CMC Cyber Security tự hào được xây dựng từ một đội ngũ chuyên gia có trình độ và đạt nhiều bằng cấp quốc tế với mục tiêu trở thành đơn vị chiến lược của Tập đoàn trong lĩnh vực nghiên cứu, phát triển các phần mềm và dịch vụ an toàn thông tin.

Chúng tôi cung cấp các sản phẩm diệt virus cho cá nhân và các dịch vụ đánh giá, giám sát ANAT TT, xây dựng SOC, tư vấn các giải pháp về an ninh an toàn thông tin cho hệ thống của tổ chức/doanh nghiệp. Công ty luôn mong muốn mang đến cho khách hàng là cá nhân, doanh nghiệp và các tổ chức trong mọi lĩnh vực những giải pháp bảo mật thực sự hiệu quả với giá cả hợp lý, chất lượng phục vụ chuyên nghiệp nhất.

 

 

 

CMC Cyber Security có thêm kỹ sư đạt chứng chỉ bảo mật thế giới OSCP
27 Th7

Mới đây, Công ty CMC Cyber Security vừa có thêm kỹ sư đạt chứng chỉ Offensive Security Certified Professional – OSCP. Đây là một trong những chứng chỉ đánh giá an toàn thông tin uy tín trên thế giới.

OSCP là một chương trình chứng chỉ mà tập trung vào những kỹ năng tấn công và kiểm thử bảo mật. Nó bao gồm 2 phần: một bài thi pentest trong vòng 24h. Kết quả thi sau đó phải được viết thành báo cáo bằng Tiếng Anh, thẩm định trong 7 ngày trước khi chính thức công bố kết quả.

Chứng chỉ OSCP nằm trong TOP 5 chứng chỉ thâm nhập và kiểm thử đáng mơ ước cho các chuyên gia bảo mật và là một trong những chứng chỉ đòi hỏi phần thi thực hành. Tại kỳ thi, các kỹ sư phải thể hiện khả năng nghiên cứu hệ thống mạng, phát hiện các lỗ hổng hay điểm yếu về bảo mật trong hệ thống ứng dụng từ đó giúp các chuyên gia đánh giá được mức độ rủi ro cũng như xây dựng các phương pháp ứng phó và khắc phục sự cố. Có thể nói, đánh giá quan trọng nhất trong kỳ thi chính là tư duy nhạy bén và kỹ năng thực thi dưới áp lực lớn.

Ông Hà Thế Phương – Phó Tổng Giám đốc Công ty CMC Cyber Security cho biết: “Để cung cấp các dịch vụ đánh giá bảo mật đạt tiêu chuẩn quốc tế, công ty luôn chú trọng, đẩy mạnh nâng cao trình độ, năng lực của các kỹ sư. Đồng thời, CMC Cyber Security cũng luôn động viên, ủng hộ các kỹ sư tham gia các cuộc thi để đạt được các chứng chỉ uy tín, có giá trị bậc nhất thế giới”.

CMC Cyber Security là đơn vị đã có hơn 10 năm kinh nghiệm triển khai cung cấp dịch vụ đánh giá an toàn thông tin chuyên nghiệp với nhiều dự án cho các khách hàng lớn, việc kỹ sư của công ty đạt được chứng chỉ OSCP là sự bổ sung thiết thực cho chất lượng đánh giá hệ thống thông tin trọng yếu ở cả cấp độ quốc gia và trên thế giới.

Đây cũng chính là minh chứng rõ ràng nhất cho năng lực, trình độ của đội ngũ kỹ sư an toàn thông tin của CMC Cyber Security, giúp khách hàng yên tâm hơn về chất lượng dịch vụ đánh giá an toàn thông tin mà công ty đang cung cấp.

CMC Cyber Security có thêm kỹ sư đạt chứng chỉ bảo mật uy tín thế giới OSCP
23 Th7

Mới đây, Công ty CMC Cyber Security vừa có thêm kỹ sư đạt chứng chỉ Offensive Security Certified Professional – OSCP. Đây là một trong những chứng chỉ đánh giá an toàn thông tin uy tín trên thế giới.

OSCP là một chương trình chứng chỉ mà tập trung vào những kỹ năng tấn công và kiểm thử bảo mật. Nó bao gồm 2 phần: một bài thi pentest trong vòng 24h. Kết quả thi sau đó phải được viết thành báo cáo bằng Tiếng Anh, thẩm định trong 7 ngày trước khi chính thức công bố kết quả.
Chứng chỉ OSCP nằm trong TOP 5 chứng chỉ thâm nhập và kiểm thử đáng mơ ước cho các chuyên gia bảo mật và là một trong những chứng chỉ đòi hỏi phần thi thực hành. Tại kỳ thi, các kỹ sư phải thể hiện khả năng nghiên cứu hệ thống mạng, phát hiện các lỗ hổng hay điểm yếu về bảo mật trong hệ thống ứng dụng từ đó giúp các chuyên gia đánh giá được mức độ rủi ro cũng như xây dựng các phương pháp ứng phó và khắc phục sự cố. Có thể nói, đánh giá quan trọng nhất trong kỳ thi chính là tư duy nhạy bén và kỹ năng thực thi dưới áp lực lớn.
Ông Hà Thế Phương – Phó Tổng Giám đốc Công ty CMC Cyber Security cho biết: “Để cung cấp các dịch vụ đánh giá bảo mật đạt tiêu chuẩn quốc tế, công ty luôn chú trọng, đẩy mạnh nâng cao trình độ, năng lực của các kỹ sư. Đồng thời, CMC Cyber Security cũng luôn động viên, ủng hộ các kỹ sư tham gia các cuộc thi để đạt được các chứng chỉ uy tín, có giá trị bậc nhất thế giới”.
CMC Cyber Security là đơn vị đã có hơn 10 năm kinh nghiệm triển khai cung cấp dịch vụ đánh giá an toàn thông tin chuyên nghiệp với nhiều dự án cho các khách hàng lớn, việc kỹ sư của công ty đạt được chứng chỉ OSCP là sự bổ sung thiết thực cho chất lượng đánh giá hệ thống thông tin trọng yếu ở cả cấp độ quốc gia và trên thế giới.
Đây cũng chính là minh chứng rõ ràng nhất cho năng lực, trình độ của đội ngũ kỹ sư an toàn thông tin của CMC Cyber Security, giúp khách hàng yên tâm hơn về chất lượng dịch vụ đánh giá an toàn thông tin mà công ty đang cung cấp.
Lễ ra mắt “Nền tảng cung cấp dịch vụ Trung tâm Điều hàng an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối chia sẻ thông tin”
03 Th7

Sáng ngày 03/07/2020, đại diện Công ty CMC Cyber Security đã tham dự Lễ ra mắt “Nền tảng cung cấp dịch vụ trung tâm điều hành an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối chia sẻ thông tin” tại trụ sở Bộ Thông tin và Truyền thông (TT&TT)

Sự kiện có sự tham dự của Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng cùng đại diện các đơn vị thuộc Bộ, đơn vị chuyên trách về Công nghệ thông tin (CNTT), an toàn thông tin (ATTT) của các bộ, cơ quan ngang bộ và 63 Sở TT&TT trên cả nước.

Tại sự kiện, Công ty CMC Cyber Security được công nhận là đơn vị có dịch vụ SOC đạt tiêu chuẩn về kỹ thuật, nhân lực để đảm bảo an toàn cho hệ thống thông tin của các Bộ, Ban, Ngành và đơn vị địa phương, đồng thời đáp ứng yêu cầu kết nối, chia sẻ thông tin về Trung tâm Giám sát an ninh mạng quốc gia theo tinh thần của Chỉ thị số 14/CT-TTg và Công văn số 1552-BTTTT-CATTT.

Phát biểu tại buổi lễ, Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Thành Hưng cho biết, tiêu chí lựa chọn nền tảng bao gồm: chất lượng tốt, có thể cung cấp dưới dạng dịch vụ và không yêu cầu cơ quan, tổ chức phải có lực lượng chuyên trách về công nghệ thông tin, an toàn thông tin mạng mới có thể triển khai được hoặc có thể triển khai ngay.

8 doanh nghiệp cung cấp nền tảng dịch vụ SOC đáp ứng yêu cầu kết nối, chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia trực thuộc Cục ATTT, Bộ TT&TT gồm Công ty CMC Cyber Security, Viettel Cyber Security, VNPT, BKAV, FPT, Cyradar, VNCS Global và SAVIS.

Đây là cơ hội để các doanh nghiệp cung cấp dịch vụ an toàn, an ninh mạng được tiếp cận, lắng nghe và tìm hiểu nhu cầu, điều kiện của các Sở TT-TT. Trên cơ sở đó doanh nghiệp có thể đáp ứng tốt hơn việc triển khai các hệ thống SOC cũng như mở rộng thị trường.

Sự ra đời của nền tảng SOC không chỉ góp phần đảm bảo an toàn, an ninh mạng cho quá trình chuyển đổi số quốc gia theo đúng tinh thần chỉ đạo của Thủ tướng Chính phủ mà còn giúp các Bộ, ngành, địa phương rút ngắn 90% khối lượng, thời gian triển khai mô hình “4 lớp”; Giúp các doanh nghiệp Việt Nam đẩy mạnh đầu tư các giải pháp, công nghệ tiên tiến, tiến tới làm chủ và hình thành hệ sinh thái các sản phẩm ATTT “Made in Vietnam”.

Đồng thời, lễ ra mắt đánh dấu một bước quan trọng, khẳng định các doanh nghiệp Việt Nam đủ năng lực nghiên cứu, phát triển và đã sẵn sàng cung cấp dịch vụ đảm bảo an toàn, an ninh mạng cho thị trường trong nước và có thể vươn ra thế giới.

Một số hình ảnh tại buổi lễ:




Lợi dụng tình hình dịch bệnh Covid-19 đang diễn biến phúc tạp các tin tặc đã đánh vào nhu cầu nhắm bắt thông tin của người dân trên toàn thế giới để phát tán mã độc. Kẻ tấn công lừa người dùng tải xuống và chạy một phần mềm độc hại có giao diện được tải về từ một nguồn chính thống nhưng chạy ngầm một tiến trình khác.

Mẫu mã độc lần này được định danh là AZORult, một loại malware được phát hiện từ năm 2016, có chức năng thu thập dữ liệu của web browser như cookie, lịch sử duyệt web, user id, mật khẩu và cả khóa mã hóa.

Phân tích chuyên sâu

Mẫu Corona-virus-Map.com.exe

Hash: 73da2c02c6f8bfd4662dc84820dcd983

File Type: Portable Executable 32

File Info: Microsoft Visual C++ 8, Autoit

Kẻ tấn công sẽ đánh lừa người dùng tải xuống một file có tên “Corona-virus-Map.com.exe”. File này được viết bằng Autoit nên ta có thể dễ dàng decompile và lấy được source code của mã độc.

Đoạn script cho ta thấy nó sẽ tạo một thư mực ở “%APPDATA%/Z11062600” và cài đặt 2 file là “Corona.exe”, “Corona-virus-Map.com.exe” rồi khởi chạy hai file đó.

Mẫu Corona-virus-Map.com.exe

Hash: 07b819b4d602635365e361b96749ac3e

File Type: Portable Executable 32

File Info: Microsoft Visual Studio .NET

File “Corona-virus-Map.com.exe” được thả xuống máy người dùng là một file .Net, qua bóc tách và phân tích. Chức năng chủ yếu của file này là lấy dữ liệu từ “hxxps://gisanddata[.]maps.arcgis[.]com/apps/opsdashboard/index[.]html#/bda7594740fd40299423467b48e9ecf6” để hiển thị cho người dùng giao diện bản đồ lây nhiễm Covid-19 nhằm lấy lòng tin khiến người dùng không nghi ngờ.

Mẫu Corona.exe

Hash: 1beba1640f5573cbac5552ae02c38f33

File Type: Portable Executable 32

File Info: Rar archive

File “Corona.exe” khi được khởi chạy sẽ tạo ra hai file, một là Corona.bat, hai là Corona.sfx.exe. Trong đó, file bat có nội dung như sau:

@echo off
Corona.sfx.exe -p3D2oetdNuZUqQHPJmcMDDHYoqkyNVsFk9r -dC:\Windows\System32

Tiến trình của file “Corona.exe” sẽ dùng cmd để chạy file “Corona.bat” và từ đó khởi chạy “Corona.sfx.exe”. File “Corona.sfx.exe” này sẽ tạo ra và chạy một file Corona.exe nữa có chức năng tương tự như file Corona.exe đầu tiên là tạo ra và khởi chạy hai file tiếp là bin.exe và Build.exe ở thư mục “%APPDATA%/Z58538177”. Để dễ hình dung, ta có processes graph như sau:

Mẫu bin.exe

Hash: c4852ee6589252c601bc2922a35dd7da

File Type: Portable Executable 32

File Info: Borland Delphi

Đây là file thực thi chính của mã độc. Được các nhà bảo mật định danh là AZORult, một chủng loại malware chuyên đánh cắp dữ liệu. Ngay khi vào máy nạn nhân malware sẽ lấy tất cả thông tin định danh của mấy như Guid, thông tin phiên bản, username, computername rồi tự tạo một guid riêng:

Từ guid vừa tạo, mã độc dùng để Mutex để tránh cho hai chương trình malware sẽ chạy cùng lúc.

Mã độc mã hóa lại thông tin định danh mày và cũng ngay lập tức giải mã địa chỉ C&C

Mã độc kết nối tới C&C server cùng với thông tin định danh của máy nạn nhân và server trả về một lượng lớn dữ liệu

Sau khi mã độc giải mã dữ liệu tải xuống, ta có thể thấy chúng tải một danh sách các thư viện động xuống máy nạn nhân và ghi vào thư mục “%TEMP%2fda”

Mã độc liệt kê một danh sách dài giàng giạc các đường dẫn mà từ đó ta có thể xác định được mục tiêu của mã độc nhắm vào đâu. Chúng đánh căp dữ liệu của các trình duyệt như Firefox, Chrome, Chronium, Brave, Edge, Comodo, Kometa,Cococ, Opera, 360, … các trình quán lý email như Outlook, Thunderbird,… và còn nhiều phần mềm nũa. Các thư viện được tải về dùng để cung cấp các hàm cần thiết để kẻ tấn công có thể đọc dữ liệu.

Ví dụ như malware sẽ truy vấn dữ liệu profile của Outlook trong registry

Hay đánh cắp mật khẩu truy cập vào server firezilla

 

Ngay cả tiền ảo của nạn nhân cũng bị sờ đến

Cuối cùng, malware gửi dữ liệu thu được mã hóa chúng và gửi lại cho C&C server. Malware chạy lệnh để xóa file.

C:\\Windows\\system32\\timeout.exe 3 & del \”bin.exe\

Mẫu Build.exe

Hash: F6A5E02F46D761D3890DEBD8F2084D37 File Type: Portable Executable 32 File Info: UPX v3.0, Autoit

Có rất nhiều công cụ giúp ta có thể unpack được UPX ví dụ như CFF Explorer. File này khi thực thi sẽ tự tạo bản sao vào thư mục “%APPDATA%/amd64_netfx4-system.runti..dowsruntime.ui.xaml.Globalization.Fontgroups.exe” và khởi chạy. Cũng như dropper đầu tiên của mã độc ta chỉ cần decompile file Autoit là có thể lấy được mã nguồn

Ta tiết kiệm được rất nhiều thời gian khi mẫu mã độc này không bị obfuscated quá phức tạp. Qua quá trình phân tích và tìm kiếm thông tin, Ta có thể kết luận hoạt động chủ yếu của mẫu là đánh cắp các thông tin từ cookie của trình duyệt, đánh cắp khóa mã hóa, tắt cấu hình proxy, thay đổi thuộc tính của file để ẩn danh.

IOC

Hash

  • MD5: 73da2c02c6f8bfd4662dc84820dcd983
  • MD5: 07b819b4d602635365e361b96749ac3e
  • MD5: 1beba1640f5573cbac5552ae02c38f33
  • MD5: c4852ee6589252c601bc2922a35dd7da
  • MD5: F6A5E02F46D761D3890DEBD8F2084D37
  • MD5: e9dcbecca02b600ce135f7d58b8cd830
  • MD5: 3cb9fc1ee05f49438455ba1aea3bca4e

Domain

  • coronavirusstatus[.]space

Các bước làm sạch

  • Tìm các file md5 trên tại các thư mục:
    • %APPDATA%/Z11062600
    • %APPDATA%/Z58538177
    • %APPDATA%/amd64_netfx4-system.runti..dowsruntime.ui.xaml
  • Ngắt tất cả tiến trình của các file trên (nếu có)
  • Xóa tất cả các file trên (nếu có và nếu đúng mã hash)
  • Xóa task scheduler link tới file Windows.Globalization.Fontgroups.exe > Ngoài ra có thể sử dụng phần mềm của các hãng diệt virus tin cậy để xử lý

Kết luận

Mức độ nguy hiểm của dịch Covid-19 là không cần bàn cãi. Kẻ xấu đang khai thác triệt để sự phổ biến của các thông tin liên quan đến coronavirus trên web và nhiều người có thể sẽ trở thành con mồi của các cuộc tấn công. Người dùng cần phải bình tĩnh bảo vệ bản thân trước virus sinh học và cả virus máy tính. > Để theo dõi bản đồ tình hình dịch an toàn người dùng nên truy cập theo trang web https://coronavirus.jhu.edu/map.html của trường đại học Johns Hopkins

Sự cố lộ thông tin người dùng ngân hàng cần được phân tích kỹ để đưa ra phương án khắc phục tận gốc rễ
11 Th12
Theo Phó TGĐ CMC Cyber Security Hà Thế Phương, các tổ chức, doanh nghiệp, trong đó có các ngân hàng khi xảy ra sự cố mất an toàn thông tin thì cần phân tích kĩ lưỡng sự cố, đưa ra các phương án khắc phục tận gốc rễ vấn đề để không xảy ra sự cố tương tự.

Những năm gần đây, hàng loạt các vụ tấn công mạng nhằm vào các ngân hàng, tổ chức tài chính tại Việt Nam đã xảy ra và có xu hướng gia tăng mạnh mẽ hơn. Gần đây nhất, ngày 21/11, thông tin của khoảng 2 triệu khách hàng của Ngân hàng tại Việt Nam đã bị chia sẻ miễn phí trên diễn đàn quốc tế dành cho hacker chuyên về chia sẻ dữ liệu.

Trong chia sẻ tại Diễn đàn an toàn, an ninh thông tin trên không gian mạng 2019 vừa được tổ chức hôm qua, ngày 27/11 tại TP.HCM, các chuyên gia đều nhận định rằng, hoạt động tấn công mạng nhằm vào các cơ sở hạ tầng thông tin trọng yếu của các tổ chức, tập đoàn kinh tế, tài chính tiếp tục diễn biến phức tạp với tính chất, mức độ ngày càng phức tạp, nguy hiểm. Theo Phó Cục trưởng Cục An toàn thông tin (Bộ TT&TT) Nguyễn Trọng Đường, ngân hàng đang là một trong những đích ngắm thường xuyên của tội phạm mạng.

Để làm rõ hơn về thực trạng công tác đảm bảo an toàn thông tin (ATTT) của đơn vị, doanh nghiệp hoạt động trong lĩnh vực ngân hàng, tài chính, báo ICTnews vừa có cuộc trao đổi với ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security.

Ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security.

Từ thực tế hỗ trợ các cơ quan, đơn vị, doanh nghiệp thời gian qua, ông đánh giá thế nào về đầu tư cũng như nhận thức, năng lực đảm bảo ATTT của các ngân hàng, tổ chức tài chính?

Trong bối cảnh thị trường ATTT trong nước còn mới và Việt Nam vẫn còn ít các chính sách, tiêu chuẩn đảm bảo ATTT ngành, các ngân hàng và tổ chức tài chính lớn nhờ có cơ hội hòa nhập thị trường quốc tế sớm hơn nên đã đầu tư để bảo đảm an toàn hệ thống của mình theo các tiêu chuẩn của quốc tế.

Tuy nhiên, việc đầu tư sẽ rất khác nhau đối với từng ngân hàng: có ngân hàng đầu tư dài hạn và xây dựng đội ngũ chuyên gia bảo đảm ATTT riêng của mình, cũng có ngân hàng chọn hướng thuê ngoài các dịch vụ đảm bảo ATTT, có ngân hàng chỉ dùng các giải pháp ngoại, được đánh giá top thế giới… Song nhìn chung, các ngân hàng, đơn vị tài chính lớn đều có những sự nhìn nhận và đầu tư mạnh mẽ, thực tế hơn về việc đảm bảo ATTT.

Tuy nhiên, thực tế cho thấy, đầu tư các công nghệ tốt chỉ là một phần việc trong nhiệm vụ bảo đảm ATTT của tổ chức, ngoài ra vẫn còn rất nhiều công việc nội bộ mà các ngân hàng phải thực hiện như: giám sát, có các phương án xử lý sự cố phù hợp, các phương án quản trị rủi ro nội bộ, có quy trình phối hợp giữa nhiều phòng ban, các cuộc diễn tập thường xuyên để rèn luyện đội ngũ cũng như thử quy trình…

Ông nghĩ sao khi có ý kiến cho rằng những vụ tấn công mạng lớn như các vụ tấn công gây lộ lọt thông tin người dùng ngân hàng, tổ chức cung cấp dịch vụ chính là “hồi chuông cảnh tỉnh” để doanh nghiệp quan tâm hơn đến ATTT?

Sự cố mất ATTT nào cũng mang lại thiệt hại cho tổ chức, nhỏ thì sẽ làm gián đoạn hoạt động của một thành phần nào đó, lớn hơn là ảnh hưởng tới khách hàng của tổ chức đó hay danh tiếng của tổ chức. Các sự cố này luôn là các ví dụ điển hình để tư vấn cho những người đứng đầu tổ chức quan tâm hơn về việc đảm bảo ATTT tin cho hệ thống của mình.

Tôi cho rằng, các đơn vị, doanh nghiệp không nên xấu hổ và giấu đi các sự cố mất ATTT. Các sự cố này cần được phân tích kĩ lưỡng và đưa ra phương án khắc phục tận gốc rễ vấn đề để không xảy ra các sự cố tương tự lần sau.

Lãnh đạo CMC từng phản ánh sự cố mất ATTT nóng mấy cũng chỉ sau 2 tuần là bị quên lãng và nhiều đơn vị lại lơ là việc đảm bảo an toàn các hệ thống. Hiện tình trạng này đã được cải thiện chưa, thưa ông?

Đến nay, tình trạng nêu trên mặc dù đã có cải thiện nhưng vẫn còn tồn tại ở rất nhiều doanh nghiệp. Như tôi đã chia sẻ ở trên, đây là vấn đề tư duy và trách nhiệm của người đứng đầu. Nếu người đứng đầu tổ chức, doanh nghiệp không quan tâm tới ATTT, không đầu tư đủ cho ATTT thì những nhân sự kỹ thuật ở dưới cũng sẽ không có khả năng phòng thủ, chống lại các cuộc tấn công của tin tặc.

Thực tế là, khi sự cố mất ATTT xảy ra, nhiều chủ doanh nghiệp thường quy trách nhiệm ngay cho bộ phận CNTT hoặc bộ phận phụ trách ATTT chứ không đánh giá lại một cách rộng hơn là tổ chức mình đã quan tâm tới việc bảo đảm ATTT hay chưa? có đầu tư đủ cho việc đảm bảo ATTT không?

Phó Tổng giám đốc CMC Cyber Security cho biết, hạn chế về nguồn lực CNTT, an toàn thông tin luôn có thể giải quyết bằng các dịch vụ thuê ngoài (Ảnh Trung tâm điều hành an ninh mạng CMC SOC)

Vậy để phòng tránh cũng như kịp thời xử lý các sự cố tấn công mạng có thể xảy ra, các ngân hàng, tổ chức tài chính cần lưu ý, quan tâm đến vấn đề gì?

Theo tôi bây giờ vấn đề không còn là dùng giải pháp gì hoặc dùng kĩ thuật gì để phòng thủ nữa, đã có rất nhiều giải pháp, tư vấn, công nghệ rất mới và tốt của cả Việt Nam và thế giới. Việc quan trọng hiện nay là thay đổi nhận thức của lớp lãnh đạo, những người phải coi việc đảm bảo an toàn thông tin là trách nhiệm của họ, để có những quan tâm và đầu tư đúng mức hơn cho an toàn thông tin.

Một trong những giải pháp mà tôi nghĩ nên làm, đó là việc quy trách nhiệm khi xảy ra sự cố an toàn thông tin cho những người đứng đầu cơ quan, tổ chức, tổ chức; hơn là đẩy phần trách nhiệm quá lớn này cho bộ phận phụ trách an toàn thông tin hoặc CNTT.

Theo kết quả khảo sát của Cục ATTT, 2 nhân tố gây trở ngại lớn nhất cho việc đảm bảo ATTT của ngân hàng là: nhân viên thường xuyên vi phạm các chính sách an toàn, bảo mật thông tin và hạn chế về nguồn nhân lực CNTT, ATTT. Xin ông cho biết các ngân hàng cần làm gì để vượt qua những trở ngại này?

Đào tạo, truyền thông nhận thức về ATTT, diễn tập xử lý sự cố ATTT và giám sát liên tục 24/7 là những biện pháp mà tổ chức có thể áp dụng để cải thiện tình hình vi phạm chính sách ATTT của người dùng. Việc đào tạo và diễn tập cần phải được thực hiện thường xuyên, hãy coi đây là nhiệm vụ truyền thông nội bộ mà các tổ chức cần làm, phải làm hơn là những việc chỉ làm cho có và cho đủ một quy định nào đó.

Hạn chế về nguồn lực CNTT, ATTT luôn có thể giải quyết bằng các dịch vụ thuê ngoài. Các doanh nghiệp trong nước hãy tin tưởng và trao cơ hội cho các dịch vụ thuê ngoài đảm bảo ATTT do các các công ty Việt Nam cung cấp. Cộng đồng ATTT Việt Nam luôn muốn tăng cường chất lượng dịch vụ, chung tay hỗ trợ các doanh nghiệp trong nước đối đầu với các nguy cơ ngày càng nguy hiểm và phức tạp về bảo mật hiện nay.

CMC CẢNH BÁO CHIẾN DỊCH APT MỚI LỢI DỤNG UNIKEY TẤN CÔNG NGƯỜI DÙNG VIỆT NAM
03 Th12

 

Thông tin chung

MD5: 08e71118bad94617bf25a0d42db6a564

Filename: KBDUS.dll

Hệ thống giám sát CMDD của CMC phát hiện được mẫu mã độc lợi dụng phần mềm Unikey để tấn công người dùng Việt Nam. Unikey là phần mềm gõ tiếng việt dành cho Windows rất phổ biến tại Việt Nam. Lợi dụng điều này, kẻ tấn công có thể tạo ra các bộ cài unikey sử dụng file UnikeyNT.exe chính thống nhưng chèn thêm vào cùng thư mục mã độc nguy hiểm và sử dụng nhiều kỹ thuật để lừa chạy trên máy người dùng (exploit, phishing …). Do đó người dùng chỉ nên tải phiên bản chính thức của unikey từ trang web unikey.org cũng như không mở các tập tin lạ đường dẫn lạ. Đồng thời cũng update các bản vá lỗ hổng cho Windows.

 

 

Phân tích kỹ thuật

Trong case dưới đây, tệp tin kbdus.dll(PE 32bit) chứa mã độc đã được chèn kèm theo cùng thư mục với UnikeyNT.exe(phiên bản 4.0 RC2 Build 091101 NT). Kẻ tấn công cũng thay đổi thuộc tính về thời gian của tệp tin kbdus.dll về cùng với thời gian của file UnikeyNT.exe để người dễ dàng đánh lừa người dùng hơn. Thực chất file này được compile vào khoảng đầu tháng 10 năm 2019.

 

Kbdus.dll

kbdus.dll là một thư viện sẽ được load lên khi người dùng sử dụng layout bàn phím US(id 0x00000409). Kẻ tấn công đã thực hiện phân tích cách hoạt động của Unikey và nhận ra khi UnikeyNT.exe load dll kèm theo là UKhook40.dll, sẽ thực thi hàm LoadKeyboardLayoutA để load layout với id là 0x00000409. Khi đó kbdus.dll sẽ được load lên. Vì đặt sẵn kbdus.dll trong cùng thư mục với UnikeyNT.exe, tệp tin này sẽ được ưu tiên load trước do đó sẽ thực thi mã độc chứa trong nó.

Tại hàm DllMain của dll, mã độc đã tạo ra 1 thread mới để thực thi các hành vi độc hại của nó.

Mã độc tạo ra mutex với tên “Global\mFNXzY0g” để tránh thực thi chồng chéo nhau. Các string được mã độc sử dụng hầu hết đã bị obfuscate bằng stackstring hoặc hàm mã hóa riêng. Hàm mã hóa ở đây được thiết lập đơn giản bằng cách cộng vào giá trị của mỗi kí tự thêm 1(ví dụ kí tự “K” dạng hex có giá trị là 0x4b sẽ được mã hóa thành 0x4c ứng với kí tự “L”). Trên ida pro có thể sử dụng idapython để patch lại các kí tự này. Đối với stackstring, có thể dùng script ironstring.py của flare-teamđể đơn giản hóa việc phân tích.

Sau khi tạo và kiểm tra mutex, mã độc tiến hành đọc dữ liệu từ các khóa registry đặc biệt. Nhiều khả năng các khóa này được tạo ra khi người dùng thực hiện chạy file cài đặt được kẻ tấn công chuẩn bị. Đầu tiên là giá trị “CB5JQLWSYQP2CWVRMJ8NB4CCUE1B8K4A” ở trong key “HKEY_CLASS_ROOT.kci\PersistenHandler”. Giá trị này sẽ chứa 1 cấu trúc bao và dữ liệu xlm. Thông tin trong cấu trúc bao gồm một số giá trị để mã độc kiểm tra sau khi tiến hành giải mã dữ liệu như kích thước trước và sau của dữ liệu xlm, md5 trước và sau của dữ liệu đó.

Dữ liệu được giải mã ra là định dạng xlm, sẽ được mã độc đọc vào 1 vùng nhớ thông qua các api trong thư viện xmllite.dll.

Giá trị tiếp theo trong khóa “HKEY_CLASS_ROOT.kci\PersistenHandler” được đọc là “F430D64D98E6EAC972380D568F080E08”. Tại đây chứa một cấu trúc dữ liệu khác cũng bao gồm các thông tin về kích thước và md5 của dữ liệu trong nó. Dựa vào phần struct này, mã độc sẽ decrypt ra một file PE khác với cách thức decrypt và kiểm tra tương tự như quá trình xử lý dữ liệu xml.

File PE này là 1 dll này có tên là Knocker.dll và export ra hàm tên là Construct, có thời gian compile gần như cùng lúc với file kbdus.dll ở trên. Mã độc tiến hành load dll lên memory. Sau đó, mã độc tìm đến địa chỉ hàm Construct và thực thi nó với tham số là địa chỉ của cấu trúc dữ liệu xml data đã đọc trước đó.

Thông qua các API như VirtualAlloc, VirtualProtect, LoadLibrary, GetProcAddress, file PE đã được map lên bộ nhớ như một file PE thông thường. Trước khi thực thi hàm Construct, mã độc cũng thực thi qua hàm DllMain trong dll để đảm bảo dll hoạt động bình thường.

 

Knocker.dll – Construct

Tại hàm construct, mã độc copy dữ liệu nhận được từ tham số truyền vào 1 vùng nhớ khác, sau đó bắt đầu thu thập thông tin máy tính người dùng. Thông tin bị thu thập bao gồm CPU, RAM, thông tin Windows, computer name, organization, thông tin về user, ngôn ngữ, timezone, card mạng, thông tin ổ phân vùng cài đặt hệ điều hành.

Sau đó mã độc tạo ra UUID trong khóa “HKEY_CLASS_ROOT.kci\PersistenHandler”. lưu lại 2 giá trị md5. Giá trị thứ nhất được tạo ra từ thông tin về user sid, username, computer name. Thông tin md5 thứ 2 dựa trên các giá trị của cpu, ram, disk, network adapter.

Mã độc tiếp tục tạo ra 1 string để định danh máy tính có dạng “PC: %s; MAC: %s; SerVer: %f”. Dữ liệu này sẽ nằm trong 1 struct mà mã độc sẽ mã hóa ở dạng base64 để gửi đi sử dụng method là GET.

Thông tin request gửi đến C&C có dạng:

“hxxp://news.vnxahoi[.]com:443/4BwhFJ9p/job.php?[UUID][data\_in\_base64]”

Với user agent là:

“Mozilla/4.0 (compatible; MSIE 8.0; Win32)”

Header kèm theo là:

“Content-Length:%d\r\nCache-Control: no-cache\r\nMD5:%s\r\nConnection: Close\r\n”

Trong lần kết nối đầu tiên, mã độc chờ đợi nhận được một command để thực thi. Và lần kết nối thứ 2 sẽ được gửi đi tương tự như lần 1 với mục đích report lại việc thực thi của command nhưng sử dụng phương thức POST và request thay đổi với định dạng:

“hxxp://news.vnxahoi[.]com:443/4BwhFJ9p/job.php?[UUID][create\_process\_sate]”.

Đây là bước cuối cùng trong quá trình thực thi của mã độc. Tuy nhiên, ở thời điểm hiện tại, response trả về là 404 Not Found nên mã độc không thể tiếp tục thực hiện các hành vi khác của mình.

 

Thông tin về c&c

Kiểm tra thử một số thông tin về domain của c&c biết được ip mà domain này trỏ đến là 125[.]212.218.121.

Một số domain khác trỏ đến ip này là:

Đánh giá mức độ nguy hiểm

Đây là chiến dịch tấn công được đầu tư nghiên cứu kỹ, rất nguy hiểm và khó bị phát hiện. Vì unikey là bộ gõ văn bản rất phổ biến ở Việt Nam, có thể nói là máy tính nào dùng Windows ở Việt Nam cũng đều cài đặt phần mềm Unikey. Những kẻ tấn công chỉ cần drop file kbdus.dll vào thư mục chứa unikey là có thể khai thác được máy của nạn nhân. Khuyến cáo người sử dụng nên kiểm tra kỹ thư mục cài đặt Unikey, loại bỏ file kbdus.dll hoặc sử dụng sản phẩm chống mã độc để bảo vệ máy tính của mình. CMDD của CMC đã cập nhật mẫu mã độc kbdus.dll, người dùng có thể download tại đường dẫn sau: https://cmccybersecurity.com/cmc-antivirus-free/

CMC CYBER SECURITY THAM GIA HỌP BÁO “NGÀY AN TOÀN THÔNG TIN VIỆT NAM 2019”
03 Th12

Sáng nay, tại văn phòng Bộ Thông tin & Truyền thông, đại diễn cho Công ty CMC Cyber Security, Tổng giám đốc Tạ Hoàng Linh và Phó Tổng Giám đốc Hà Thế Phương đã tham gia buổi họp báo cho chương trình “An toàn thông tin Việt Nam 2019” được tổ chức vào ngày 29/11 sắp tới.

Phát biểu tại buổi gặp mặt báo chí, ông Tạ Hoàng Linh, Tổng Giám đốc CMC Cyber Security cho biết: “Hiện nay, vai trò của an ninh an toàn thông tin ngày càng quan trọng. CMC Cyber Security là một đơn vị nhìn nhận được tầm quan trọng của lĩnh vực an ninh an toàn thông tin từ rất sớm và rất kiên trì đi theo dù lĩnh vực này rất rộng và khó.

Về góc nhìn của một doanh nghiệp, tôi nghĩ đây là một cơ hội cho các doanh nghiệp Việt Nam phát triển các sản phẩm, giải pháp phù hợp cho một tầng lớp nhất định trong lĩnh vực an toàn thông tin. CMC Cyber Security sẽ tiếp tục đầu tư mạnh mẽ hơn nữa cho đội ngũ các chuyên gia và sản phẩm để có thể đóng góp được một phần nào đấy trong sự phát triển chung của lĩnh vực an ninh an toàn thông tin”.

Ông Tạ Hoàng Linh, Tổng Giám đốc CMC Cyber Security phát biểu tại buổi gặp mặt báo chí.

Buổi họp báo còn có sự tham dự của Thứ trưởng Bộ thông tin và Truyền thông Nguyễn Thành Hưng, đại diện Lãnh đạo các đơn vị đồng tổ chức sự kiện như Cục An toàn thông tin (Bộ TTTT), Cục ANTT (Bộ (GDDT), Bộ Tư kệnh 86 (Bộ Quốc phòng), Ban Cơ yếu Chính phủ, Cục A05 (Bộ Công an) và một số doanh nghiệp tham gia sự kiện và đại diện của 30 cơ quan báo chí.

Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, Chủ tịch VNISA cho biết: Hội thảo năm nay có Cục trưởng Cục Tiêu chuẩn hoá của Liên minh Viễn thông quốc tế (ITU) tham dự trình bày những quan điểm, định hướng, khuyến nghị và đánh giá về xếp hạng ATTT của Việt Nam.

Thứ trưởng cũng nhấn mạnh đảm bảo ATTT giống như việc quan tâm đến y tế dự phòng theo phương châm “phòng bệnh hơn chữa bệnh”. Để làm được việc này thì nhận thức rất quan trọng, tránh “việc nước đến chân mới nhảy”. Hội thảo – triển lãm và các sự kiện liên quan được tổ chức nhằm nâng cao nhận thức, tăng cường công tác đào tạo… bảo đảm ATTT. Từ nhận thức sẽ có những hành động cụ thể.

“Hiện nay, Việt Nam cũng như nhiều quốc gia trên thế giới đẩy mạnh cuộc cách mạng công nghiệp lần thứ tư và quá trình chuyển đổi số. Bởi vậy, phát triển năng lực quốc gia về an toàn, an ninh mạng là điều kiện tiên quyết để xây dựng Chính phủ điện tử, xây dựng kinh tế số, phục vụ hoạt động của nhà nước, doanh nghiệp và người dân”, Ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký VNISA chia sẻ.

Hội thảo năm nay được tổ chức với chủ đề : “Nâng tầm An toàn, An ninh mạng quốc gia trong kỷ nguyên số”

Tổ chức với một quy mô lớn nhất từ trước đến nay, Hội thảo An toàn Thông tin Việt Nam  2019 năm nay có chủ đề lớn, bao trùm, thể hiện khát vọng của những người làm ATTT “Nâng tầm An toàn, An ninh mạng quốc gia trong kỷ nguyên số” (Enhancing national cybersecurity in the digital era).

“Đây sẽ là một diễn đàn quan trọng cấp quốc gia, là sự kiện nổi bật nhất về an toàn, an ninh mạng trong năm 2019 tại Việt Nam”, ông Vũ Quốc Thành nhấn mạnh.

Ngày An toàn Thông tin 2019 là sự kiện thường niên lần thứ 12, do Hiệp hội An toàn thông tin Việt Nam (VNISA) chủ trì, phối hợp với Cục An toàn thông tin (Bộ TT&TT) và Bộ Tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng) tổ chức, dưới sự bảo trợ của Bộ Thông tin và Truyền thông.

Hội thảo sẽ tập trung phân tích tầm nhìn, định hướng của chính phủ về tăng cường bảo đảm an toàn, an ninh mạng tại Việt Nam; chính sách, thực trạng, nhu cầu ứng dụng và phát triển công nghệ an toàn thông tin (ATTT) và giải pháp nâng cao thứ hạng về an toàn, an ninh mạng của Việt Nam.

Chương trình Hội thảo gồm phiên Toàn thể vào buổi sáng và 02 phiên Chuyên đề vào buổi chiều, với gần 30 bài phát biểu, tham luận của Lãnh đạo các cơ quan quản lý nhà nước trong lĩnh vực an toàn, an ninh mạng; các nhà quản lý, chuyên gia cao cấp về ATTT của các công ty lớn trong và ngoài nước.

Ông Hà Thế Phương – Phó Tổng Giám đốc CMC Cyber Security trả lời PV của báo chí về các vấn đề liên quan đến an ninh an toàn thông tin hiện nay.

PHÁT HIỆN MÃ ĐỘC MỚI CÓ THỂ ĂN CẮP QUYỀN ĐĂNG NHẬP FACEBOOK VÀ GMAIL CỦA NGƯỜI DÙNG VIỆT NAM
18 Th11

Hệ thống giám sát và phòng thủ mã độc tập trung CMDD của CMC Cyber Security vừa phát hiện ra dòng mã độc sử dụng PlugX RAT đang tấn công người dùng Việt Nam, có thể lấy cookies của các trang web như Facebook, Gmail, Outlook… kể cả khi người dùng đã bật xác thực 2 bước.

Trong thông tin cảnh báo mới được CMC Cyber Security phát ra về dòng mã độc mới sử dụng PlugX RAT đang tấn công người dùng Việt Nam, chuyên gia Bùi Hồng Sơn cho biết, khi người dùng đã đăng nhập vào các trang web, thông tin về trạng thái đăng nhập sẽ được lưu trong cookie. Qua quá trình kiểm tra, đối với trang Facebook, các cookies này có thể cho phép kẻ tấn công đánh cắp phiên đăng nhập. Ngoài ra, việc lộ cookies từ các trang khác như Gmail, Yahoo, Outlook cũng rất nguy hiểm, đều là các thông tin nhạy cảm mà kẻ tấn công có thể khai thác phục vụ các mục đích xấu.

PlugX là một công cụ độc hại với rất nhiều phiên bản khác nhau được sử dụng nhiều trong các cuộc tấn công APT trên thế giới trong đó bao gồm cả các cuộc tấn công vào Việt Nam.

Theo phân tích của chuyên gia CMC Cyber Security Bùi Hồng Sơn, quá trình thực thi của dòng mã độc này trên máy tính của người dùng sẽ trải qua các giai đoạn: File exe được kí bởi các tổ chức lớn được thực thi và load kèm 1 DLL độc hại bị sửa đổi; DLL đọc file payload đi kèm và thực thi shellcode trong payload; Shellcode sẽ giải mã và giải nén payload dưới dạng DLL sau đó sẽ thực thi payload này, DLL sẽ cài đặt tự động chạy lên hệ thống thông qua windows service hay registry, chạy các tiến trình con khác và inject code vào các tiến trình của windows; các tiến trình bị inject code thực thi các chức năng của PlugX.

Sau khi hoàn tất việc cài đặt và “inject code” lên các tiến trình khác, công cụ PlugX bắt đầu thực thi các chức năng của mình thông qua việc nhận lệnh từ C&C (máy chủ điều khiển – PV) hoặc nhận lệnh trực tiếp thông qua backdoor (cửa hậu – PV).

Các lệnh từ C&C có thể bao gồm: Đọc, ghi file, thư mục, Keylogger; Lấy thông tin về mạng kết nối tới, lấy thông tin các kết nối TCP, UDP; Quản lí Port; Quản lí phiên của user như lock screen, logoff, shutdown, restart; Lấy thông tin về danh sách tiến trình và các module trong tiến trình, tắt tiến trình;

Thêm, sửa, xóa, và truy vấn các thông tin trong registry, chụp ảnh màn hình; Lấy thông tin các dịch vụ được cài đặt, thay đổi cài đặt, trạng thái và xóa các dịch vụ; Thực thi các truy vấn về SQL nếu phát hiện SQL Server trên máy tính nạn nhân; Tạo ra backdoor cho phép kẻ tấn công trực tiếp hoặc gián tiếp thực thi lệnh từ xa trên máy tính nạn nhân.

Nhấn mạnh tấn công APT được tổ chức chặt chẽ, có sự đầu tư lớn về tài chính, công nghệ và bước chuẩn bị nên rất khó để hệ thống bảo mật phát hiện được, chuyên gia CMC Cyber Security Bùi Hồng Sơn khuyến nghị các tổ chức cần có phương án để phòng, chống lại tấn công APT bằng các biện pháp như: Triển khai phòng thủ theo chiều sâu từ các điểm ra vào mạng cho đến thiết bị cuối; Sử dụng các công nghệ, kỹ thuật, phương pháp giám sát hệ thống để phát hiện sớm dấu hiệu bị tấn công; Sử dụng các dịch vụ đánh giá lỗ hổng, mối đe dọa để hạn chế các đường tấn công; Lập kế hoạch ứng phó sự cố trước để giảm thiểu thiệt hại khi bị tấn công.

Bên cạnh đó, các tổ chức cũng cần quan tâm đến công tác đào tạo nâng cao nhận thức về đảm bảo an toàn thông tin cho cán bộ, nhân viên trong tổ chức giúp họ đảm bảo an toàn cho mạng và các thông tin họ nắm giữ.

Hướng đến các biện pháp phòng chống trên, hiện CMC Cyber Security đã xây dựng giải pháp giám sát và phòng thủ mã độc tập trung cho các thiết bị cuối (CMDD), Trung tâm SOC giám sát hệ thống và cung cấp các dịch vụ đánh giá, rà soát lỗ hổng bảo mật cùng một số dịch vụ hỗ trợ khác nhắm giúp các tổ chức, cơ quan phòng chống lại các cuộc tấn công APT một cách chủ động. Người dùng cá nhân có thể tải phầm mềm diệt virus miễn phí tại đây.