Tác giả: tungcmc

CMC CYBER SECURITY THAM GIA HỌP BÁO “NGÀY AN TOÀN THÔNG TIN VIỆT NAM 2019”
14 Th11

Sáng nay, tại văn phòng Bộ Thông tin & Truyền thông, đại diễn cho Công ty CMC Cyber Security, Tổng giám đốc Tạ Hoàng Linh và Phó Tổng Giám đốc Hà Thế Phương đã tham gia buổi họp báo cho chương trình “An toàn thông tin Việt Nam 2019” được tổ chức vào ngày 29/11 sắp tới.

Phát biểu tại buổi gặp mặt báo chí, ông Tạ Hoàng Linh, Tổng Giám đốc CMC Cyber Security cho biết: “Hiện nay, vai trò của an ninh an toàn thông tin ngày càng quan trọng. CMC Cyber Security là một đơn vị nhìn nhận được tầm quan trọng của lĩnh vực an ninh an toàn thông tin từ rất sớm và rất kiên trì đi theo dù lĩnh vực này rất rộng và khó.

Về góc nhìn của một doanh nghiệp, tôi nghĩ đây là một cơ hội cho các doanh nghiệp Việt Nam phát triển các sản phẩm, giải pháp phù hợp cho một tầng lớp nhất định trong lĩnh vực an toàn thông tin. CMC Cyber Security sẽ tiếp tục đầu tư mạnh mẽ hơn nữa cho đội ngũ các chuyên gia và sản phẩm để có thể đóng góp được một phần nào đấy trong sự phát triển chung của lĩnh vực an ninh an toàn thông tin”.

Buổi họp báo còn có sự tham dự của Thứ trưởng Bộ thông tin và Truyền thông Nguyễn Thành Hưng, đại diện Lãnh đạo các đơn vị đồng tổ chức sự kiện như Cục An toàn thông tin (Bộ TTTT), Cục ANTT (Bộ (GDDT), Bộ Tư kệnh 86 (Bộ Quốc phòng), Ban Cơ yếu Chính phủ, Cục A05 (Bộ Công an) và một số doanh nghiệp tham gia sự kiện và đại diện của 30 cơ quan báo chí.

Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, Chủ tịch VNISA cho biết: Hội thảo năm nay có Cục trưởng Cục Tiêu chuẩn hoá của Liên minh Viễn thông quốc tế (ITU) tham dự trình bày những quan điểm, định hướng, khuyến nghị và đánh giá về xếp hạng ATTT của Việt Nam.

Thứ trưởng cũng nhấn mạnh đảm bảo ATTT giống như việc quan tâm đến y tế dự phòng theo phương châm “phòng bệnh hơn chữa bệnh”. Để làm được việc này thì nhận thức rất quan trọng, tránh “việc nước đến chân mới nhảy”. Hội thảo – triển lãm và các sự kiện liên quan được tổ chức nhằm nâng cao nhận thức, tăng cường công tác đào tạo… bảo đảm ATTT. Từ nhận thức sẽ có những hành động cụ thể.

“Hiện nay, Việt Nam cũng như nhiều quốc gia trên thế giới đẩy mạnh cuộc cách mạng công nghiệp lần thứ tư và quá trình chuyển đổi số. Bởi vậy, phát triển năng lực quốc gia về an toàn, an ninh mạng là điều kiện tiên quyết để xây dựng Chính phủ điện tử, xây dựng kinh tế số, phục vụ hoạt động của nhà nước, doanh nghiệp và người dân”, Ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký VNISA chia sẻ.

Hội thảo năm nay được tổ chức với chủ đề : “Nâng tầm An toàn, An ninh mạng quốc gia trong kỷ nguyên số”

Tổ chức với một quy mô lớn nhất từ trước đến nay, Hội thảo An toàn Thông tin Việt Nam  2019 năm nay có chủ đề lớn, bao trùm, thể hiện khát vọng của những người làm ATTT “Nâng tầm An toàn, An ninh mạng quốc gia trong kỷ nguyên số” (Enhancing national cybersecurity in the digital era).

“Đây sẽ là một diễn đàn quan trọng cấp quốc gia, là sự kiện nổi bật nhất về an toàn, an ninh mạng trong năm 2019 tại Việt Nam”, ông Vũ Quốc Thành nhấn mạnh.

Ngày An toàn Thông tin 2019 là sự kiện thường niên lần thứ 12, do Hiệp hội An toàn thông tin Việt Nam (VNISA) chủ trì, phối hợp với Cục An toàn thông tin (Bộ TT&TT) và Bộ Tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng) tổ chức, dưới sự bảo trợ của Bộ Thông tin và Truyền thông.

Hội thảo sẽ tập trung phân tích tầm nhìn, định hướng của chính phủ về tăng cường bảo đảm an toàn, an ninh mạng tại Việt Nam; chính sách, thực trạng, nhu cầu ứng dụng và phát triển công nghệ an toàn thông tin (ATTT) và giải pháp nâng cao thứ hạng về an toàn, an ninh mạng của Việt Nam.

Chương trình Hội thảo gồm phiên Toàn thể vào buổi sáng và 02 phiên Chuyên đề vào buổi chiều, với gần 30 bài phát biểu, tham luận của Lãnh đạo các cơ quan quản lý nhà nước trong lĩnh vực an toàn, an ninh mạng; các nhà quản lý, chuyên gia cao cấp về ATTT của các công ty lớn trong và ngoài nước.

Ông Hà Thế Phương – Phó Tổng Giám đốc CMC Cyber Security trả lời PV của báo chí về các vấn đề liên quan đến an ninh an toàn thông tin hiện nay.

PHÂN TÍCH MẪU RANSOMWARE PETYA
08 Th11

Ransomware Petya

Trỗi dậy từ đống tro tàn của Wannacry, một hiểm họa mới bắt đầu: Petya. Trong hai năm 2016 và 2017, ransomware Petya và những biến thể của nó đã ảnh hưởng đến hàng nghìn máy tính trên toàn thế giới. Ngay sau khi ransomware Wannacry vừa có dấu hiệu lắng xuống, Petya nỗi lên như một sự thay thế hoàn hảo.

Điểm đặc biệt của loại malware này là nó không mã hóa các tập tin dữ liệu của người dùng mà thay đổi Master Boot Record(MBR) và mã hóa Master File Table (MFT) khiến cho người dùng thậm chí còn không boot được vào hệ điều hành.

Cách thức hoạt động của Petya – Nguồn: Microsoft.com

Theo các nguồn thông tin, cuộc tấn công của ransomware Petya bắt nguồn từ công ty M.E.Doc, một công ty kiểm toán có trụ sở tại Ukrainian, thông qua phần mềm của M.E.Doc có chứa Petya trong một bản cập nhật. Ngoài ra, Petya còn được chèn trong các file văn bản được gửi có chủ đích tới các cơ quan tổ chức khi người dùng mở lên thì ransomware sẽ lừa người dùng kích hoạt marco có sẵn trong các phiên bản của Office.

Stage 1: High level

Trên không gian mạng hiện nay có rất nhiều biến thể của ransomware Petya nhưng trong bài viết này ta sẽ tập trung phân tích mẫu:

SHA-256:26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739

Ta dễ dàng nhận ra mẫu ransomware cần phải được unpack trước khi thực thi các lệnh thực. Trong quá trình debug ransomware có gọi đến các hàm như VirtualProtect và VirtualAlloc để phân bổ và thay đổi quyền của một vùng nhớ mới. Phỏng đoán ràng đây sẽ là vùng nhớ chứa mã thực của ransomware sau khi unpack. Vậy nên ta chỉ cần đặt breakpoint ở điểm đầu của vùng nhớ mới được tạo ra và đây là kết quả:

Như ta thấy trong hình trên, trong cửa sổ hexdump là header của một pe file. Dump toàn bộ section này ra ta thu được một file Setup.dll với đầy đủ import table rất dễ đọc.

Đi qua lần lượt các hàm được thực hiện trong file Setup.dll khi được khởi chạy. Đầu tiên, ransomware Petya lấy thông tin ổ cứng của nạn nhân bằng hàm DeviceIoControl để láy vị trí vật lý của một volume trên ổ cứng, thông tin về chủng loại, kích thước, tích chất của phân vùng ổ cứng(bằng IOCTL_DISK_GET_PARTITION_INFO_EX, PARTITION_INFORMATION_EX, ). Dưới đây là pseudocode hàm lấy vị trí vật lý của một volumn trên một hoặc nhiều ổ cứng:

v1 = this;
  BytesReturned = 0;
  v2 = GetSystemDirectoryA(0, 0);
  v3 = v2;
  if ( !v2 )
    return 0;
  v5 = (CHAR *)sub_239090(v2);
  if ( !GetSystemDirectoryA(v5, v3) )
    return 0;
  *(_DWORD *)FileName = 1546542172;
  v9 = *v5;
  v10 = 58;
  sub_239070(v5);
  v6 = CreateFileA(FileName, 0, 3u, 0, 3u, 0, 0);
  if ( v6 == (HANDLE)-1 )
  {
    CloseHandle((HANDLE)0xFFFFFFFF);
    return 0;
  }
  DeviceIoControl(v6, 0x560000u, 0, 0, &OutBuffer, 0x20u, &BytesReturned, 0);
  // Trong do 0x560000 là IoControlCode duoc thay lan luot la 0x70048, 0x70000 trong cac ham con lai de lay thong tin o dia  
  CloseHandle(v6);
  qmemcpy(v1, "\\\\.\\PhysicalDrive", 17);
  v1[17] = v12 + 48;
  v1[18] = 0;
  return 1;

Sau đó, ransomware tạo một buffer chứa link trả tiền chuộc “hxxp://petya5koahtsf7sv[.]onion/[Random]”, “hxxp://petya37h5tbhyvki[.]onion/[Random]” Ransom Note. Và gọi đến hàm CryptGenRandom để tạo ra khóa cá nhân của nạn nhân.

  v4 = (_DWORD *)phProv;
  *(_DWORD *)phProv = 0;
  if ( !CryptAcquireContextA(&phProv, 0, 0, 1u, 0xF0000000) )
    return -60;
  if ( !CryptGenRandom(phProv, dwLen, pbBuffer) )
    return -60;
  CryptReleaseContext(phProv, 0);
  *v4 = dwLen;
  return 0;

Kết thúc payload, ransomware dùng NtRaiseHardError để ép máy khởi động lại

v0 = GetCurrentProcess();
  if ( !OpenProcessToken(v0, 0x28u, &TokenHandle) )
    return 0;
  LookupPrivilegeValueA(0, "SeShutdownPrivilege", (PLUID)NewState.Privileges);
  NewState.PrivilegeCount = 1;
  NewState.Privileges[0].Attributes = 2;
  AdjustTokenPrivileges(TokenHandle, 0, &NewState, 0, 0, 0);
  if ( GetLastError() )
    return 0;
  v2 = GetModuleHandleA("NTDLL.DLL");
  v3 = GetProcAddress(v2, "NtRaiseHardError");
  ((void (__cdecl *)(signed int, _DWORD, _DWORD, _DWORD, signed int, char *))v3)(-1073740976, 0, 0, 0, 6, &v5);
  return 1;

Stage 2: Low level

Giờ ta phân tích mã độc được chèn vào MBR của ổ đĩa:

Từ kết quả dump ra từ \.\PhysicalDrive0 ta có:

  • Sector 0: Điểm được bootloader độc đầu tiên
  • Sector 1-33: Toàn bộ là 0x37
  • Sector 34-49: Đoạn kernel của ransomware
  • Sector 50-53: Trống
  • Sector 54: Nonce, CNC và Personal Key
  • Sector 55-56: Data được mã hóa

Khi máy khởi động đoạn mã của ransomware sẽ được thực thi:

Để đọc sector tử ổ đĩa nó sử dụng interrupt 13

Tiếp đến, Ransomware sẽ check xem MBR đã bị mã hóa chưa?

Nếu chưa mã hóa, Petya sử dụng thuật toán Salsa20 để khóa MFT.

MFT (Master File Table) là thành phần quan trọng nhất trong hệ thống NTFS. MFT chứa thông tin về tất cả các tập tin và thư mục trong ổ đĩa logic.

Sau khi mã hóa xong màn hình chính sẽ được hiển thị

Khi người dùng nhập key Petya sẽ kiểm tra định dạng của key:

  • Có độ dài 16 byte
  • Chỉ chấp nhận các ký tự sau 123456789abcdefghijkmnopqrstuvwxABCDEFGHJKLMNPQRSTUVWX

Mặc dù, ta hoàn toàn có thể bypass check_key bằng cách đổi địa chỉ của một số hàm jump nhưng như vậy cũng không giải mã được MFT. Tuy nhiên, do giới hạn về kích thước của các sector nên ransomware Petya không triển khai đầy đủ thuật toán Salsa 20 nên ta có thể brute force được key giải mã.

Trong quá trình giải mã của Petya ta thấy:

  • Petya load lên bộ nhớ 512 byte của sector thứ 55(đây là dữ liệu cần được giải mã)
  • Petya load lên bộ nhớ 8 byte ở offset 0x6c21 ngay trước CNC trong sector thứ 54(đây là nonce)

Ta có được bản mã và nonce. Ta hoàn toàn có thể đọc thuật toán của salsa và tự viết script brute force hoặc sử dụng script được viết bằng golang của một anh bạn rất tốt bụng leo-stone.

Tổng kết

Việc tạo ra một ransomware được khởi chạy ở boot sector, mã hóa MBR và MFT là một hướng đi rất thú vị. Tuy nhiên, việc triển khai ransomware dưới tầng kernel đã tạo ra một vài lỗ hổng trong lúc triển khai thuật toán mã hóa giúp cho chúng ta có thể giải mã mà không cần key. Điều này đã khiến cho Petya phiên bản đầu thể không lây nhiễm rộng rãi. Mặc dù vậy, những mã độc có hướng đi như Petya, ví dụ như Goldeneye, đã tạo cảm hứng cho hacker phát triển những ransomware tấn công vào tầng kernel, đặt ra thách thức cho các nhà bảo mật.

CẢNH BÁO RANSOMWARE CRY36/NEMESIS ĐANG LÂY LAN RỘNG RÃI
06 Th11

Các chuyên gia phân tích mã độc của CMC Cyber Sercurity vừa ghi nhận có ít nhất 4 đơn vị bị nhiễm ransomware Cry36/Nemesis tất cả dữ liệu người dùng (ngoại trừ các file có thể gây lỗi cho hệ điều hành) bị mã hóa và đổi phần mở rộng thành “.[id]_WECANHELP”.

Mẫu ransomware có phần mở rộng “.[id]_WECANHELP” là biến thể mới nhất của Cry36/Nemesis được phát hiện lần đầu tiên vào 9/8/2019. Khi lây nhiễm vào máy tính nạn nhân nó bắt đầu quét nhanh tất cả phân vùng ổ đĩa, phân vùng chia sẻ để xác định dữ liệu người dùng và bỏ qua các file thực thi, file hệ thống. Cuối cùng, ransomware mã hóa dữ liệu, trong mỗi thư mục nó mã hóa đều được để lại một file chứa các thông tin để nạn nhân có thể conteac với kẻ tấn công và ID của nạn nhân. Biến thể của Cry36/Nemesis thường được gửi vào máy tính của nạn nhân thông qua các cổng RDP được bảo mật kém, spam email hoặc giả làm các phần mềm lừa người dùng tải về.

Hiện nay, chưa có phương pháp nào hiệu quả để phá mã khóa của Cry36/Nemesis. Tuy vậy, các nạn nhân tuyệt đối không được trả tiền chuộc cho kẻ tấn công. Đã có rất nhiều trường hợp được ghi nhận, sau khi trả tiền chuộc nạn nhân cũng không giải mã được dữ liệu hoặc dữ liệu giải mã ra bị lỗi. Đồng thời việc trả tiền cho kẻ tấn công sẽ thức đẩy hắn quay lại một lần nữa.

Để phòng ngừa nguy cơ trở thành nạn nhân của Cry36/Nemesis, người dùng nên ngắt các cổng dịch vụ RDP nếu không cần sử dụng đến, thiết lập các quy tắc cho tường lửa để giới hạn người sử dụng, truy cập từ xa đến server, đảm bảo nguồn gốc của phần mềm, email trước khi mở.

CMC CYBER SECURITY PHÂN TÍCH MẪU MALWARE DẠNG LNK CỦA NHÓM APT PANDA
31 Th10

Gần đây, CMC CyberSecurity nhận được một số mẫu mã độc được cho là do nhóm tin tặc Panda phát triển. Nhằm tấn công APT tới các tổ chức chính phủ các nước, trong đó có các tổ chức của Việt Nam.

Các mẫu nhận được sau khi phân tích có thể chia làm 2 loại. Mỗi loại sử dụng 1 cách thực thi payload khác nhau nhưng vẫn có một số đặc điểm chung sau:

  • Sử dụng file shortcut .lnk kèm theo đuôi .doc(ví dụ sample.doc.lnk) để đánh lừa người dùng.
  • File lnk đính kèm theo file hta có thể thực thi được vbscript.
  • Script mở file document đính kèm cho người dùng và ngầm thực thi payload.

Dựa trên nội dung của các file tài liệu được chuẩn bị để đánh lừa người dùng, có thể phỏng đoán rằng mục tiêu mà kẻ tấn công muốn nhắm đến là người dùng thuộc một số đơn vị trong cơ quan nhà nước Việt Nam.

   1.  Phân tích kỹ thuật

  1.1.  Phân tích file lnk loại 1

File LNK

File mẫu là 1 file shortcut có phần mở rộng đuôi là .lnk, thường được đặt tên kèm theo đuôi .doc để đánh lừa người dùng do đuôi .lnk sẽ được Windows ẩn đi. Điểm đáng ngờ là ở phần target của file shortcut. Thông thường, target của shortcut thường trỏ đến 1 thư mục hay 1 file đích. Tuy nhiên, target của các mẫu đều chứa đoạn command có dạng sau:

%comspec% /c for %x in (%temp%=%cd%) do for /f "delims==" %i in ('dir "%x\GIAYMOI.doc.lnk" /s /b') do start m%windir:~-1,1%hta.exe "%i"

Đoạn lệnh trên đã được obfuscate bằng cách sử dụng biến %comspec% để thay cho việc gọi trực tiếp chuỗi “cmd.exe” và chữ “s” trong tên file mshta.exe được lấy bằng cách cắt ký tự cuối cùng của giá trị chứa trong biến “%windir%”(thường là C:\Windows).

Mshta.exe là 1 ứng dụng của microsoft phát triển nhằm tận dụng ưu điểm xây dựng nhanh ứng dụng thông qua html, css, vbscript, javascript. Sử dụng mshta và định dạng file .hta, ta có thể mở 1 trang html như 1 ứng dụng. Định dạng file hta cũng giống như file html. Bằng cách thêm thẻ tag <HTA:APPLICATION/> vào trong thẻ <head> của file html ta đã có file hta có thể được mở thông qua ứng dụng mshta.

<HTA:APPLICATION icon="#" WINDOWSTATE="minimize" SHOWINTASKBAR="no" SYSMENU="no"  CAPTION="no" />

File hta có thể bị chèn thêm vào trước header của nó. Tận dụng điều này,

kẻ tấn công đã chèn vào trước nó 1 file lnk với command mở chính nó bằng mshta.exe để thực thi file hta nhúng kèm. Khi người dùng mở file lnk, sẽ thực thi command trong target của file lnk và thực thi file mshta.exe để mở chính nó.

File HTA

Mặc định, mshta.exe có thể thực thi cả javascript và vbscript nhúng trong file hta nhờ sử dụng các dll liên quan. File hta nhúng kèm khi mở lên sẽ có các thuộc tính: chạy thu nhỏ(minimize), không hiện trên taskbar, không có menu và caption. Nhiệm vụ duy nhất của nó là thực thi đoạn mã vbscript độc hại.

Đoạn mã vbscript đã bị obfuscate(làm rối) để khiến quá trình phân tích gặp khó khăn. Sau khi deobfuscate, có thể thấy đoạn mã chứa 1 data ở dạng binary.

Sau đó, đoạn mã sử dụng ADODB object để lưu lại binary data thành 1 file vào thư mục %temp% với tên là 3.ps1.

Cuối cùng sẽ thực thi file 3.ps1 bằng dòng lệnh

powershell.exe -exec bypass -file & szTempPath, Null, Instance, MWcWurrkfEbtfWdZTY

3.ps1

Đoạn mã powershell tiếp tục bị làm rối bằng các sử dụng base64 để encode toàn bộ nội dung của nó. Sau khi decode toàn bộ nội dung, script sẽ được tiếp tục chạy thông qua hàm iex của powershell.

Nội dung sau khi decode của script cũng bị làm rối để khiến cho nội dung của nó trở nên khó hiểu hơn. Sau khi phân tích, có thể biết được tổng quát nội dung và nhiệm vụ của đoạn mã như sau:

  • Đoạn mã kiểm tra quyền Administrator của user hiện tại và lưu kết quả vào 1 biến.
  • Tiến hành decode file .doc ở dạng base64 và lưu file này vào thư mục %temp%. Sau đó sẽ mở file này lên cho user.
  • Nếu script được chạy với quyền của Administrator, file .dat sẽ được lưu vào trong th thư mục “%windir%\debug”. Nếu không, thư mục %temp% sẽ được dùng để lưu file .dat.
  • Công cụ InstallUtil(v2.0 hoặc 4.0) sẽ được dùng để làm loader thực thi file payload .dat. Khi có quyền Administrator, script sẽ copy 2 file InstallUtil.exe và schtasks.exe của windows vào thư mục %temp%. Riêng file schtasks.exe(tiện ích của microsoft dùng để lên lịch tự động chạy 1 số chương trình, tác vụ 1) sẽ được đổi tên thành “wtask.exe”.
  • Sau đó dùng cmd để thực thi file wtask.exe tự động chạy có mục đích là tải thực thi file loader để chạy file .dat với quyền SYSTEM.
  • Nếu như không có quyền Administrator, loader sẽ được thực thi gián tiếp thông qua vbscript. Đoạn mã cũng kiểm tra và điều chỉnh cách thực thi cho phù hợp khi phát hiện có sản phẩm antivirus cài đặt trên máy tình.
  • Sau khi thực thi tiến trình “wtask.exe” sẽ tạo ra 1 entry trong Task Scheduler để thực thi

Final Payload

InstallUtil.exe khi thực hiện load file payload tmp_FlVnNI.dat sẽ tiếp tục decode 1 đoạn shellcode ở dạng base64 và copy phần giải mã được vào 1 vùng nhớ được cấp phát với thuộc tính PAGE_EXECUTE_READWRITE và tạo ra 1 thread để thực thi shellcode.

Shellcode sẽ tự giải mã 1 phần code của nó bằng thuật toán xor với key là 0x44. Sau khi giải mã 0xcf2 byte, shellcode sẽ thực thi phần được giải mã.

Đây là payload cuối cùng để thực hiện kết nối đến server của attacker. Hiện tại đã không thể kết nối được đến server này.

Phân tích file lnk loại 2

First stage

Tương tự như loại 1, loại 2 cũng là 1 file lnk được nhúng vào trước file hta. Ở giai đoạn thực thi vbscript, script này giải mã và lưu vào thư mục %temp% 3 file binary ở dạng base64 và 1 file document.

File document sau đó sẽ được mở cho user.

Trong khi đó, script sẽ thực thi file 3.exe để thực hiện các hành vi độc hại.

Second stage

File thực thi 3.exe thực  chất là 1 file sạch, nhưng sẽ load 1 file dll đã bị chỉnh sửa chứa mã độc.

Để làm điều này, attacker chỉ cần tìm 1 dll được load bằng hàm LoadLibrary trong file 3.exe(ở trường hợp này là http_dll.dll), sau đó tạo ra 1 file dll độc hại với tên trùng với tham số của hàm LoadLibrary và để cùng thư mục với file 3.exe. Khi gọi LoadLibrary, 3.exe sẽ tìm dll trong cùng thư mục trước và load nó lên.

http_dll.dll khi được load lên sẽ thực hiện tìm hàm VirtualProtect để chỉnh sửa thuộc tính của 16 byte vùng nhớ của module vừa load nó lên tại RVA là 0x157a thành PAGE_EXECUTE_READWRITE. Trong trường hợp này, vị trí sửa sẽ là lệnh jz 0x401533.

Để thực hiện hành vi độc hại, lệnh jz 0x401533 sẽ được thay thế bằng 3 lệnh push FFFFFFFF, push http_dll.10001230 và lệnh “ret” để chuyển hướng chương trình 3.exe sang hàm sub_10001230 của dll, sau đó chương trình sẽ để cho 3.exe thực thi tiếp.

Tại hàm sub_10001230, mã độc sẽ đọc file http_dll.dat trong cùng thư mục. Nội dung ở phần đầu của file dat này là 1 string có null-terminated và phần data. String này sẽ được sử dụng để là key giải mã cho phần data của file dat.

Sau đó, mã độc sẽ tạo ra 1 vùng nhớ mới để chứa phần giải mã được tiến hành bằng thuật toán xor với key là string trong file dat như trên.

Mã độc tiếp tục thay đổi thuộc tính của vùng nhớ mới này bằng thuộc tính PAGE_EXECUTE_READWRITE và thực thi shellcode tại địa chỉ này.

Nội dung giải mã thu được là 1 file PE dạng RAW, tuy nhiên đã được lồng vào rất khéo 1 shellcode, bắt đầu từ offset 0. Shellcode này có nhiệm vụ như 1 loader, load file PE dạng raw này để có thể thực thi được.

Đầu tiên, shellcode tìm địa chỉ của kernel32.dll sau đó lấy địa chỉ các hàm LoadLibray, GetProcAddress, ZwFlushIntructionCache, VirtualAlloc bằng cách so sánh hash tên của các hàm được kernel32 export.

Sau đó, Loader đọc header của file PE, thực hiện map các section lên các vùng nhớ tương ứng, realloc lại một số địa chỉ và resolve lại Import Address Table của file. Sau khi hoàn tất, luồng thực thi chương trình sẽ được chuyển qua hàm DllMain của file PE này.

Final Payload

Tại đây, mã độc sẽ tiến hành lấy 1 số đường dẫn để sử dụng, sau đó giải mã 1 phần data section để sử dụng.

Kết quả giải mã là 1 số strings bao gồm tên khóa autorun, ip c&c server.

Sau đó, mã độc sẽ thực hiện các hành vi sau:

  • Tạo bản sao của 3 file thực thi vào thư mục profile của user hoặc alluserprofile nếu có đủ quyền administrator.
  • Thêm và khóa autorun để tự kích hoạt file thực thi vừa drop ra khi khởi động lại máy. Đồng thời tự khởi chạy lại nếu đây là lần chạy đầu tiên của nó. Mã độc phân biệt điều này bằng cách chèn thêm 1 tham số nữa cho nó ở các lần chạy tiếp theo.
  • Tạo mutex, kết nối đến server để nhận lệnh từ server.
    • Tạo backdoor cho phép kẻ tấn công thực thi lệnh từ xa.
    • Hỗ trợ nhiều command khác nhau bao gồm upload file, thư mục, list folder, đọc file, lấy thông tin máy tính, user,…

Kết luận

Bằng cách sử dụng nhiều kỹ thuật tấn công khác nhau và làm rối trong khi thực thi cho thấy rằng người đứng sau phát triển mã độc đã đầu tư không ít thời gian để nghiên cứu mục tiêu và phát triển phương pháp tấn công cho phù hợp. APT là một loại tấn công nguy hiểm, được đầu tư kỹ lưỡng nhằm đánh cắp các thông tin quan trọng và gây nhiều thiệt hại cho tổ chức. Để phòng ngừa các cuộc tấn công APT, luôn luôn chuẩn bị các phương án đề phòng và giám sát liên tục mới có thể đảm bảo tính an toàn cho hệ thống của người dùng cũng như cả tổ chức.

C&C ip, domain

185.239.226.19

185.239.226.61

43.254.217.67

167.88.178.24

www.yahoorealtors.com

yahoorealtors.com

web.officeproduces.com

web.officeproduces.com

up.officeproduces.com

we.officeproduces.com

download.officeproduces.com

aridndvn.ccom

Infosecvn.com

CHỈ CẨN MỞ MỘT HÌNH ẢNH BÌNH THƯỜNG, ĐIỆN THOẠI CỦA BẠN ĐÃ CÓ THỂ BỊ “HACK”
30 Th10

Ngày nay, các clip lặp ngắn, GIF có ở khắp mọi nơi trên phương tiện truyền thông xã hội , trên bảng tin nhắn, trên các cuộc trò chuyện, giúp người dùng thể hiện hoàn hảo cảm xúc của mình, khiến mọi người có thể vui vẻ, thư giãn và làm nổi bật ý nghĩa truyền đạt của cuộc trò chuyện. Nhưng điều gì sẽ xảy ra nếu một lời chào GIF trông ngây thơ với tin nhắn Chào buổi sáng, Chúc mừng sinh nhật hoặc Giáng sinh vui vẻ “hack” chiếc điện thoại đang cầm trên tay của bạn?

Ứng dụng WhatsApp (một ứng dụng nhắn tin đa nền tảng) gần đây đã vá một lỗ hổng bảo mật quan trọng trong ứng dụng dành cho Android, lô hổng này từ khi phát hiện vẫn chưa được vá sau 3 tháng, sau khi bị phát hiện và nếu bị khai thác, có thể cho phép tin tặc xâm nhập các thiết bị Android và có khả năng đánh cắp các tệp, tài nguyên trong máy, và nghiêm trọng hơn là các tin nhắn trò chuyện hoặc tài khoản của ứng dụng khác có trên máy nạn nhân.

WhatsApp Remote Code Execution Vulnerability

Lỗ hổng, được public với ID là CVE-2019-11932, là một lỗ hổng “double-free” , hiểu đơn giản là gọi hàm free 2 lần khi sử bộ nhớ động HEAP trong C. Lỗ hổng này không có trong mã nguồn của ứng dụng WhatsApp mà có trong thư viện mã nguồn mở mà WhatsApp sử dụng để xử lý ảnh.

Được phát hiện bởi nhà nghiên cứu bảo mật người Việt Nam Phạm Hồng Nhật vào tháng 5 năm nay, lỗ hổng này dẫn đến các cuộc tấn công thực thi mã từ xa (RCE), cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị di động có sử dụng WhatsApp.

“Payload (mã khai thác) được thực thi trong WhatsApp context. Do đó, nó có quyền đọc SDCard và truy cập cơ sở dữ liệu tin nhắn WhatsApp”, tác giả trả lời trong cuộc phỏng vấn với Thehackernews.

“Mã độc hại sẽ có tất cả các quyền mà WhatsApp có, bao gồm ghi âm, truy cập máy ảnh, truy cập hệ thống tệp, cũng như các tập tin sandbox của WhatsApp bao gồm cơ sở tin nhắn, các cuộc trò chuyện được bảo vệ bởi ứng dụng, v.v.

Lỗ hổng này hoạt động ra sao?

WhatsApp sử dụng thư viện phân tích cú pháp để tạo bản xem trước (preview) cho các tệp GIF khi người dùng mở thiết bị của họ trước khi gửi các tệp này cho bạn bè hay gia đình.

Vì vậy lỗ hổng này không được “kích hoạt” bằng cách gửi tệp GIF độc hại cho nạn nhân. Thay vào dó nó được kích hoạt khi nạn nhân chọn bộ thư viện WhatsApp Gallery Picker và gửi những tấm ảnh này cho người khác.

Bạn đọc có thể xem PoC tại đây:

Để khai thác lỗ hổng này, tất cả những gì kẻ tấn công cần làm là gửi tệp GIF độc hại được tạo thủ công (chèn mã độc) cho người dùng Android thông qua bất kỳ kênh trực tuyến và đợi người dùng mở thư viện hình ảnh trong WhatsApp.

Tuy nhiên, nếu kẻ tấn công muốn gửi tệp GIF cho nạn nhân thông qua bất kỳ nền tảng nhắn tin nào như WhatsApp hoặc Messenger, họ cần gửi tệp đó dưới dạng tệp tài liệu thay vì tệp đính kèm tệp phương tiện, vì khi nén hình ảnh được sử dụng bởi các dịch vụ này sẽ làm sai lệch mã độc hại ẩn trong hình ảnh .

Phiên bản ứng dụng tồn tại lỗ hổng, và các bản vá

Lỗ hổng này ảnh hưởng đến các phiên bản ứng dụng WhatsApp 2.19.230 và các phiên bản cũ hơn chạy trên hệ điều hành Android 8.1 và 9.0, không tồn tại với hệ điều hành Android 8.0 trở xuống.

“Trong các phiên bản Android cũ hơn, lỗ hổng “double-free” vẫn có thể được tác động. Tuy nhiên, do hàm malloc gọi bởi system sau khi gọi các hàm free, ứng dụng chỉ có thể bị khai thác khi tôi kiểm soát được các thanh ghi trên PC”, nhà nghiên cứu viết.

Tác giả Pham Hong Nhat nói với The Hacker News rằng anh ấy đã báo cáo lỗ hổng cho Facebook, người sở hữu WhatsApp, vào cuối tháng 7 năm nay và công ty đã phát triển một bản vá bảo mật trong phiên bản WhatsApp 2.19.244, được phát hành vào tháng 9.

Do đó, để bảo vệ thiết bị của mình trước mọi nguy cơ từ lỗ hổng này, bạn nên cập nhật WhatsApp lên phiên bản mới nhất từ ​​Cửa hàng Google Play càng sớm càng tốt.

Bên cạnh đó, do lỗ hổng nằm trong thư viện nguồn mở, nên cũng có thể bất kỳ ứng dụng Android nào khác sử dụng cùng thư viện bị ảnh hưởng cũng có thể dễ bị tấn công tương tự.Nhà phát triển thư viện GIF bị ảnh hưởng, đó là Android GIF Drawable, cũng đã phát hành phiên bản 1.2.18 của phần mềm để vá lỗ hổng “double-free” này.

WhatsApp cho iOS không bị ảnh hưởng bởi lỗ hổng này.

Chúng tôi sẽ có một bài phân tích kĩ thuật về lỗ hổng này, mời bạn đọc chú ý theo dõi và đón xem.

Nguồn: Thehackernews.com

CMC CYBER SECURITY CẢNH BÁO: CHIẾN DỊCH APT TẤN CÔNG VÀO CÁC CƠ QUAN HÀNH CHÍNH NHÀ NƯỚC VIỆT NAM
29 Th10

Vào khoảng đầu tháng 9 vừa qua, hệ thống CMC Threat Intelligence nhận được thông tin về cuộc tấn công mạng nhắm vào một số đơn vị hành chính các tỉnh phía bắc Việt Nam. Công ty CMC Cyber Security đã có những phân tích sâu về những file mã độc được sử dụng trong chiến dịch tấn công này.

Qua quá trình tìm hiểu và phân tích các dấu hiệu, mẫu mã đôc phục vụ cho cuộc tấn công này, các chuyên gia phân tích mã độc của CMC Cyber Security nhận định nhóm tấn công có khả năng bắt nguồn từ Trung Quốc. Cụ thể, chuyên gia xác định được các văn bản độc hại tấn công vào Việt Nam trong chiến dịch này bắt nguồn từ nhóm Mustang Panda, một nhóm tin tặc được đánh giá rất cao bởi những chiến dịch rất bài bản, có kỹ thuật và chiến thuật đặc biệt.

Các file văn bản độc hại hacker sử dụng

Các mẫu nhận được sau khi phân tích có thể chia làm hai loại. Mỗi loại sử dụng một cách thực thi payload khác nhau nhưng vẫn có một số đặc điểm chung sau:

  • Các sample được gửi tới nạn nhân được nén trong file zip để tránh bị chặn bởi các ứng dụng.
  • Trong file nén có chứa  file shortcut .lnk kèm theo đuôi .doc(ví dụ sample.doc.lnk) để đánh lừa người dùng.
  • File lnk đính kèm theo file hta có thể thực thi được script.
  • Script mở file document đính kèm cho người dùng và ngầm thực thi payload.

Với loại thứ nhất, mẫu là một file shortcut có phần mở rộng đuôi là .lnk, thường được đặt tên kèm theo đuôi .doc để đánh lừa người dùng do đuôi .lnk sẽ được Windows ẩn đi. Điểm đáng ngờ là ở phần target của file shortcut. Tuy nhiên, target của mẫu chứa một đoạn command để khởi chạy tiến trình Mshta.exe để thực thi file hta nhúng kèm. Khi người dùng mở file lnk, máy sẽ thực thi command trong target của file lnk và thực thi file mshta.exe để mở chính nó.

Tương tự như loại một, loại hai cũng là một file lnk được nhúng vào trước file hta. Ở giai đoạn thực thi vbscript, đoạn script trong malware sẽ giải mã và lưu vào thư mục %temp% 2 file binary, 1 file là payload và 1 file document để hiển thị cho người dùng.

Mục đích của tất các các mẫu thu thập được đều là connect đến c&c server, download các mã độc nhằm đánh cắp thông tin người dùng và cung cấp chức năng điều khiển máy từ xa.

Điều đáng nói nhất là độ tinh xảo trong các file tài liệu được tạo ra nhằm đánh lừa người dùng. Khác với những mẫu apt ta phải đối mặt một vài năm trước, tài liệu “mồi” được viết rất cẩu thả, câu cú lủng củng, tài liệu chắp vá với hình thức không phù hợp với văn bản chính quy thì gần đây, độ chính xác và tỉ mỉ trong các văn bản tấn công rất dễ lừa được người dùng. Đặc biệt ngay cả trong nội dung, văn bản cũng được thể hiện rõ mục đích chính trị.

Trước việc ngăn chặn toàn diện chiến dịch tấn công APT rất khó khăn, các chuyên gia của CMC Cyber Security đưa ra khuyến cáo cho khách hàng các biện pháp ngăn ngừa, giảm thiểu và phát hiện sớm các tác hại của APT:

  • Đối với người dùng:
    • Cẩn trọng khi tiếp nhận email, đường link, tệp tin lạ.
    • Xác thực chính xác nguồn gửi an toàn, đáng tin cậy.
    • Sử dụng các công cụ Endpoint Security.
  • Đối với doanh nghiệp:
    • Triển khai các hệ thống giám sát, phát hiện hoặc ngăn chặn xâm nhập trái phép.
    • Định kỳ đánh giá, kiểm định các mối nguy hại đối với hệ thống.
    • Nâng cao nhận thức của từng cá nhân trong tập thể về tránh nhiệm đảm bảo an ninh, an toàn thông tin.
    • Có kế hoạch ứng phó với sự cố

Hiện nay CMC Cyber Security đã có phần mềm phiên bản mới nhất của CMC Antivirus/CMC Internet Security, người dùng cá nhân có thể cài phần mềm chống virus trên di động và máy tính để ngăn chặn kịp thời trước khi máy tính bị lây nhiễm.

GIẢI PHÁP TỰ ĐỘNG ĐÁNH GIÁ LỖ HỔNG BẢO MẬT C-VAP SỰ LỰA CHỌN HÀNG ĐẦU CỦA CÁC NHÀ QUẢN TRỊ HỆ THỐNG
22 Th10

Trước thực trạng tội phạm mạng công nghệ cao hiện nay đang ngày càng phát triển với các vụ tấn công lớn về quy mô và tính chất, CMC Cyber Security – Công ty hàng đầu Việt Nam về An ninh ATTT đã tích lũy các công nghệ và kinh nghiệm để cung cấp giải pháp CMC Vulnerability Assessment Platform (C-VAP).

Đây là công cụ có khả năng hỗ trợ quản trị mạng chủ động trong việc rà quét đánh giá lỗ hổng trong hệ thống của mình để sớm có phương án bảo vệ, khắc phục và là sự lựa chọn hàng đầu cho các nhà quản trị hệ thống.

Giải pháp có các tính năng nổi bật như:

  • Phát hiện top 10 lỗ hổng bảo mật OWASP bao gồm SQL Injection, Cross Site Scripting, Broken Authentication, Broken Access Control,…
  • Tích hợp AI, Machine Learning giúp phát hiện sớm lỗ hổng, cảnh báo nhanh, chính xác giúp giảm thời gian hệ thống có nguy cơ bị tấn công.
  • Cập nhật dữ liệu lỗ hổng liên tục nhờ CMC Threat IntelligenceTM – nền tảng thu thập, chia sẻ dữ liệu về các hiểm họa an ninh an toàn thông tin trên thế thới giới, kết nối với các nguồn dữ liệu quốc tế như Proofpoint, Pulsedive, Anomali, Virustotal, OTX, MISP, v.v..
  • Dữ liệu chuẩn quốc tế, dễ dàng tích hợp với các hệ thống điều hành an ninh mạng của cơ quan, tổ chức.
  • Báo cáo phân tích theo nhiều cấp độ, phù hợp với cấp quản lý C-level hoặc chuyên viên quản trị hệ thống

Đặc biệt, giải pháp tự động đánh giá lỗ hổng bảo mật C-VAP sẽ đem lại rất nhiều lợi ích cho khách hàng:

  • Cơ chế hoạt động nghiêm ngặt tuân thủ 4 bước (Lên kế hoạch, rà soát, khai thác, báo cáo).
  • Mô hình triển khai rõ ràng.
  • Dễ dàng triển khai lắp đặt.
  • Chủ động rà quét lỗ hổng có nguy cơ bị khai thác trong hệ thống, website.
  • Báo cáo, kết quả rà soát, khuyến nghị giúp khách hàng có góc nhìn tổng quan về hiện trạng hệ thống, từ đó sớm có các phương án khắc phục và cải thiện hiện trạng an toàn thông tin của tổ chức.
  •  Yêu cầu về đảm bảo về an ninh an toàn thông tin của Chính phủ (Luật An ninh mạng, Luật An toàn thông tin, Nghị định 85/2018/NĐ-CP, …)
Mô hình triển khai Giải pháp Giải pháp tự đánh giá lỗ hổng bảo mật C-VAP

Về cơ chế hoạt động, C-VAP hoạt động tuân thủ theo 4 bước chính:

  • Lên kế hoạch: Thu thập thông tin hệ thống, xác định phạm vi rà quét.
  • Rà soát: Rà soát mạng, ứng dụng web, thiết bị mạng và thiết bị mobile.
  • Khai thác: Tiến hành khai thác lỗ hổng tìm được.và tấn công nâng quyền.
  • Báo cáo: Báo cáo đánh giá mức độ nguy hiểm và khuyến cáo khắc phục cho từng lỗ hổng tìm thấy; Tạo báo cáo cho nhiều cấp độ người dùng khác nhau như kỹ thuật, quản lý…; Xuất báo cáo với nhiều định dạng PDF, DOCX, CSV,…
CMC CYBER SECURIRY RA MẮT GIẢI PHÁP TƯỜNG LỬA ỨNG DỤNG WEB C-WAF
22 Th10

Giải pháp tường lửa ứng dụng web C-WAF (CMC Web Application Firewall) là một phần của bộ bảo đảm an toàn thông tin do CMC CS cung cấp cho các doanh nghiệp, dịch vụ tích hợp trên cloud bảo vệ trang web, các API trước các cuộc tấn công, các mối đe dọa đã từng hoặc chưa từng được biết đến bằng các công cụ ruleset mạnh mẽ được tính hợp trí tuệ nhân tạo AI giúp nâng cao hiệu năng hoạt động.

CMC WAP có các tính năng nổi bật như sau:

  • Bảo vệ ứng dụng (Application protection)

CMC WAF bảo vệ website trước top 10 mối đe dọa của OWASP bao gồm Cross-Site Scripting (XSS) và SQL Injection.

Bảo vệ website trước các cuộc tấn công DDoS tầng ứng dụng (layer 7): Tất cả lưu lượng truy cập đến được thống kê liên tục và nếu vượt quá ngưỡng sẽ được kiểm tra để xác minh nó đến từ con người.

Virtual patching vulnerabilities: CMC WAF tạo ra một lá chắn ảo giúp bảo vệ website trước các nguy cơ bị tấn công trong khi các lỗ hổng thực sự đang vá.

HTTPS/SSL qua WAF: Bảo mật liên tục việc truyền dữ liệu giữa người quản trị và người dùng, sử dụng các chứng chỉ SSL (SSL Certificates) của WAF.

  • Tập quy tắc (rule) mạnh mẽ, dễ dàng tùy chỉnh

CMC CS liên tục nghiên cứu và cải thiện việc phát hiện và giảm thiểu nguy cơ đến từ các mối đe dọa. Ngoài ra, CMC WAF cho phép người dùng có thể thêm các quy tắc tùy chỉnh của riêng mình hoặc bật / tắt các quy tắc bất kỳ sẵn có.

  • Giám sát thời gian thực & Phân tích

CMC WAF cung cấp thông tin chi tiết theo thời gian thực về lưu lượng truy cập web và các sự kiện bảo mật.

  • Phát hiện hành vi bất thường sử dụng AI

Cải thiện khả năng phát hiện các mối đe dọa mới và các lỗ hổng zero-day bằng cách tận dụng kỹ thuật mô hình hóa chủ đề (topic modeling) được hỗ trợ bởi CMC SOC AI để phát hiện các yêu cầu ứng dụng bất thường và xác định xem chúng có phải là mối đe dọa hay không.

  • CMC Threat Intelligence

Threat Intelligence là một cơ sở dữ liệu về các mối đe dọa, điểm yếu có thể bị khai thác trên không gian mạng. CMC TI được nghiên cứu, phát triển và tối ưu bởi các chuyên gia của CMC CS, giúp giảm tỉ lệ phát hiện sai (false positive), giúp tiết kiệm thời gian cho hoạt động quản lý.

CMC WAF sử dụng CMC TI giúp hỗ trợ phát hiện, ngăn chặn các mối đe dọa tấn công vào website

Bên cạnh đó, giải pháp CMC WAF còn đem đến cho khách hàng rất nhiều quyền lợi và ưu điểm:

  • Bảo vệ 24/7 ứng dụng, website trước các mối đe dọa thuộc top 10 OWASP bao gồm Cross-site Scripting và SQL Injection.
  • Giao diện dashboard dễ dàng quản lý hoạt động của firewall, traffic mạng.
  • Ứng dụng công nghệ AI và Machine Learning giúp phát hiện các mối đe dọa tức thì.
  • Dễ dàng tùy chỉnh các bộ quy tắc (rule) cho firewall phù hợp với đặc thù của khách hàng.
  • Dễ dàng mở rộng quy mô do được tích hợp trên cloud.
  • Tuân thủ tiêu chuẩn bảo mật dữ liệu thẻ PCI-DSS dành cho các ngân hàng.

Về cơ chế hoạt động, CMC WAF cung cấp giải pháp bảo vệ liên tục cho website và các ứng dụng sử dụng cơ chế phân tích traffic mạng và chỉ cho phép các yêu cầu truy cập hợp lệ thông qua.

KỸ SƯ ĐẦU TIÊN CỦA CMC CYBER SECURITY ĐẠT CHỨNG CHỈ CHUYÊN GIA VỀ BẢO MẬT UY TÍN TRÊN THẾ GIỚI OSCE
21 Th10

Kỹ sư đầu tiên của Công ty CMC Cyber Security vừa chinh phục thành công chứng chỉ Offensive Security Certified Expert – OSCE. Đây là một trong những chứng chỉ đánh giá an toàn thông tin uy tín trên thế giới.

OSCE là được công nhận là một trong những chứng chỉ đánh giá an toàn thông tin khó trong ngành. Theo thống kê từ LinkedIn, tính đến hiện tại trên thế giới chỉ có gần 3.000 người vượt qua kỳ thi và chinh phục thành công chứng chỉ uy tín OSCE.

Để được nhận chứng nhận OSCE, các kỹ sư đã phải trải qua rất nhiều khó khăn, thử thách và áp lực. Mỗi kỹ sư đều phải hoàn thành khóa học Cracking the Perimeter (CTP), trải qua tối thiểu 30 ngày thực hành tấn công các lab trên hệ thống của Offensive Security và vượt qua kỳ thi online kéo dài 48 giờ liên tục.

Kết quả thi sau đó phải được viết thành báo cáo bằng Tiếng Anh, thẩm định trong 7 ngày trước khi chính thức công bố kết quả. Lộ trình khắt khe này là minh chứng rõ ràng nhất về vị trí và năng lực của người sở hữu nó. Đây có lẽ là khoảng thời gian đáng nhớ nhất với nhiều kỷ niệm khó quên của các kỹ sư khi chinh phục chứng chỉ OSCE.

Tại kỳ thi, các kỹ sư đã thể hiện khả năng nghiên cứu, thu thập thông tin của mình, xác định tất cả lỗ hổng tồn tại và thực hiện mọi cuộc công, khai thác lỗ hổng bảo mật phức tạp nhằm chiếm quyền điều khiển hệ thống. Có thể nói, đánh giá quan trọng nhất trong kỳ thi chính là tư duy nhạy bén và kỹ năng thực thi dưới áp lực lớn.

Ông Hà Thế Phương – Phó Tổng Giám đốc Công ty CMC Cyber Security chia sẻ: “Tôi rất vui mừng khi công ty có kỹ sư đầu tiên đạt được chứng chỉ chuyên gia về bảo mật uy tín thế giới OSCE. Để cung cấp các dịch vụ đánh giá bảo mật đạt tiêu chuẩn quốc tế, CMC Cyber Security luôn chú trọng đẩy mạnh nâng cao trình độ, năng lực của các kỹ sư. Đồng thời, công ty luôn động viên, ủng hộ các kỹ sư tham gia các cuộc thi để đạt được các chứng chỉ uy tín, có giá trị bậc nhất thế giới”.

Ông Phương cũng cho biết thêm, CMC Cyber Security là đơn vị đã có hơn 10 năm kinh nghiệm triển khai cung cấp dịch vụ đánh giá an toàn thông tin chuyên nghiệp với nhiều dự án cho các khách hàng lớn, việc kỹ sư của công ty đạt được chứng chỉ OSCE là sự bổ sung thiết thực cho chất lượng đánh giá hệ thống thông tin trọng yếu ở cả cấp độ quốc gia và trên thế giới. Đây cũng chính là minh chứng rõ ràng nhất cho năng lực, trình độ của đội ngũ kỹ sư an toàn thông tin của CMC Cyber Security, giúp khách hàng yên tâm hơn về chất lượng dịch vụ đánh giá an toàn thông tin mà công ty đang cung cấp.

CMC bắt tay cùng Viettel, BKAV, VNCS, CyRadar  thành lập Câu lạc bộ Đánh giá, kiểm định an toàn thông tin Việt Nam
20 Th9

Câu lạc bộ Kiểm tra, đánh giá và kiểm định an toàn thông tin Việt Nam vừa được Hiệp hội An toàn thông tin Việt Nam (VNISA) thành lập với 8 thành viên sáng lập gồm CMC, Viettel, FPT, BKAV, VNCS, CyRadar, HPT và MISOFT.

Là tổ chức chuyên môn trực thuộc Hiệp hội An toàn thông tin Việt Nam – VNISA, Câu lạc bộ Kiểm tra, đánh giá và kiểm định an toàn thông tin Việt Nam bao gồm các thành viên thuộc VNISA hoạt động trong lĩnh vực an toàn thông tin mạng, tự nguyện tham gia Câu lạc bộ và tuân thủ Quy chế của Câu lạc bộ.

Cụ thể, theo quyết định thành lập, Câu lạc bộ Kiểm tra, đánh giá và kiểm định an toàn thông tin Việt Nam có 8 thành viên sáng lập là Công ty An ninh mạng Viettel, Công ty cổ phần An toàn thông tin CyRadar, Công ty cổ phần BKAV, Công ty cổ phần Công nghệ an ninh không gian mạng Việt Nam (VNCS), Công ty cổ phần Dịch vụ công nghệ tin học HPT, Công ty cổ phần Phát triển phần mềm và hỗ trợ công nghệ (MISOFT), Công ty TNHH An ninh An toàn thông tin CMC, Trung tâm An ninh mạng FPT.

Có tên giao dịch quốc tế là Vietnam Cyber Security Assessment and Audit Club (VSAC), hoạt động của Câu lạc bộ Kiểm tra, đánh giá và kiểm định an toàn thông tin Việt Nam hướng tới mục đích giúp các thành viên của Câu lạc bộ và cộng đồng nâng cao kiến thức trong lĩnh vực dịch vụ an toàn thông tin; đồng thời thúc đẩy thị trường dịch vụ an toàn thông tin ở Việt Nam phát triển, có sự cạnh tranh lành mạnh giữa các đơn vị cung cấp dịch vụ.

Câu lạc bộ có các nhiệm vụ như: phân tích, nghiên cứu, đề xuất và triển khai các biện pháp để xây dựng, phát triển thị trường dịch vụ kiểm tra, đánh giá và kiểm định an toàn thông tin ở Việt Nam; tham gia đóng góp ý kiến xây dựng chính sách của nhà nước, xây dựng các tiêu chuẩn, quy chuẩn kiểm tra đánh giá an toàn thông tin của nhà nước; xây dựng tiêu chí, tiêu chuẩn trong lĩnh vực kiểm tra, đánh giá và kiểm định an toàn thông tin của Hiệp hội.

Bên cạnh đó, Câu lạc bộ mới thành lập này của VNISA cũng sẽ là nơi chia sẻ các kinh nghiệm, kiến thức liên quan dịch vụ kiểm tra, đánh giá và kiểm định an toàn thông tin của các thành viên Câu lạc bộ và cộng đồng; hỗ trợ các thành viên trong Câu lạc bộ đánh giá đánh giá chất lượng các dịch vụ kiểm tra, đánh giá và kiểm định an toàn thông tin theo đề xuất của các thành viên.

Được biết, trong kế hoạch công tác năm 2019, VNISA đã dự kiến với sự hỗ trợ của Cục An toàn thông tin – Bộ TT&TT, sẽ xây dựng, triển khai chương trình đào tạo, cấp chứng chỉ kiểm định viên An toàn thông tin Việt Nam nhằm góp phần từng bước phát triển lực lượng kiểm định viên an toàn thông tin độc lập, chuyên nghiệp và là lực lượng dân sự.

Ủng hộ đề xuất của VNISA, tại cuộc gặp mặt hội viên VNISA đầu năm 2019 diễn ra hồi tháng 3, đại diện Cục An toàn thông tin đã cho biết: “Bất cứ nước nào mạnh về an toàn thông tin thì Hiệp hội chuyên ngành của nước đó cũng rất mạnh, có uy tín. Trên thế giới, những tiêu chuẩn thường được hình thành bởi các Hiệp hội. Xuất phát từ quan điểm nhà nước làm ít, Hiệp hội, doanh nghiệp, lực lượng dân sự làm là chính, Cục cam kết năm nay một trong những mục tiêu quan trọng nhất của Cục là sẽ tập trung nguồn lực hỗ trợ Hiệp hội xây dựng, triển khai được thành công chương trình đào tạo, cấp chứng chỉ kiểm định viên an toàn thông tin”.