Mạng botnet Sality hay còn gọi là KuKu, là một mạng lưới các thiết bị máy tính bị nhiễm phần mềm độc hại và được điều khiển bởi tin tặc từ xa. Một mạng botnet có thể bao gồm hàng trăm nghìn, thậm chí hàng triệu máy tính. Mỗi bot đóng vai trò như một công cụ để phát tán mã độc, virus và tấn công DDoS. Loại mã độc này tấn công vào các máy tính sử dụng hệ điều hành Windows.
APT (Advanced Persistent Threat) là thuật ngữ để mô tả một cuộc tấn công kỹ thuật cao có chủ đích nhằm đánh vào những yếu điểm của hệ thống. Mục tiêu của những cuộc tấn công này thường là các cơ quan an ninh, cơ quan chính phủ và các doanh nghiệp lớn.
Thông thường các mạng botnet hoạt động dựa trên sự chỉ đạo của Bot Master thông qua các máy chủ C&C. Trong đó các máy tính nhiễm mã độc sẽ trở thành Bot và nhận lệnh điều khiển từ C&C Server. Các lệnh điều khiển thường là tấn công DDoS, phát tán mã độc, gửi tin nhắn spam... Mạng botnet Sality chủ yếu để phát tán thư rác, tạo các proxy, ăn cắp thông tin cá nhân, lây nhiễm vào các máy chủ web biến các máy chủ này thành máy chủ điều khiển của mạng botnet để tiếp tục mở rộng mạng botnet.
Hình thức tấn công DDoS botnet xuất hiện với tần suất cao và quy mô lớn. Theo đó, tin tặc sử dụng một lượng lớn bot để gửi hàng loạt yêu cầu truy cập đến mục tiêu, đẩy hệ thống vào trạng thái quá tải, tiêu tốn hết băng thông và khiến cho các dịch vụ mạng không thể hoạt động. Có hai hình thức tấn công DDoS botnet phổ biến hiện nay là TCP SYN và UDP flood. Để tăng cường khả năng tấn công, tin tặc thường kết hợp với việc sử dụng HTTP flood hay còn được gọi là spidering nhằm tấn công đối tượng trên web gây ra tình trạng đình trệ hoạt động của hệ thống hoặc dịch vụ mạng.
Ngoài ra, DDoS botnet còn làm gián đoạn các dịch vụ trực tuyến của cơ quan, tổ chức, doanh nghiệp, bao gồm cửa hàng trực tuyến, ngân hàng trực tuyến và các ứng dụng di động khác, gây khó khăn trong quá trình sử dụng và tạo trải nghiệm không tốt cho người dùng, ảnh hưởng rất lớn đến với uy tín và doanh thu của cơ quan, tổ chức, doanh nghiệp.
Theo báo cáo thống kê kết nối chia sẻ dữ liệu về mã độc, giám sát của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), tính đến tháng 3/2024 đã ghi nhận 364.369 địa chỉ IP của Việt Nam nằm trong mạng botnet (giảm 32.78% so với tháng 01/2024), trong đó có 95 địa chỉ IP của cơ quan, tổ chức nhà nước (6 địa chỉ IP Bộ/Ngành, 89 địa chỉ IP Tỉnh/Thành).
Hình 1. Một số cơ quan, địa phương có địa chỉ IP nằm trong mạng botnet
Theo thống kê của NCSC, chỉ tính riêng tháng 3/2024, hệ thống kỹ thuật của NCSC đã ghi nhận có 76.507 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước. Số lượng điểm yếu, lỗ hổng nêu trên là rất lớn, do đó, Cục An toàn thông tin đã chỉ đạo NCSC triển khai đánh giá, xác định các lỗ hổng nguy hiểm, có ảnh hưởng trên diện rộng và hướng dẫn các Bộ/Ngành khắc phục. Đặc biệt có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công APT. Bảng 1 thể hiện một số lỗ hổng vẫn còn tồn tại trên nhiều máy chưa được xử lý.
Bảng 1. Một số lỗ hổng đang tồn tại trên nhiều máy tính
Bên cạnh các điểm yếu/lỗ hổng ghi nhận, Hệ thống kỹ thuật của NCSC còn phân tích và phát hiện nhiều máy tính của cơ quan nhà nước có kết nối đến địa chỉ IP/Domain nghi ngờ độc hại do các phần mềm phòng chống mã độc đã ghi nhận. Thống kê TOP 6 kết nối nghi ngờ phát sinh phổ biến như Bảng 2.
Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Một số lỗ hổng trên các sản phẩm/dịch vụ phổ biến tại Việt Nam: Totolink: CVE-2022-25134, CVE[1]2022-25133; Huawei: CVE-2021-40043, CVE-2021- 22441,Foxit: CVE-2022-24356, CVE-2022-24368; TP-Link: CVE-2022-22922, CVE-2022-24354; IBM: CVE-2021-39026, CVE-2021-38935; WatchGuard: CVE-2022-23176, CVE-2022-25363; Apache: CVE-2022-24288, CVE-2021-45229.
Một số tên miền độc hại có nhiều kết nối từ Việt Nam như: differentia.ru; a.asense. in; disorderstatus.ru; ww2.bbbjdnxbgp3.ru; atomictrivia.ru; a.deltaheavy.ru; morphed.ru; sdk. asense.in; ydbnsrt.me; soplifan.ru.
Sử dụng tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS)
Tường lửa hoạt động như một bức tường ảo giữa mạng nội bộ và mạng công cộng, kiểm soát và giám sát lưu lượng mạng đi qua. Khi có một gói tin mạng gửi đến hệ thống, tường lửa sẽ quét gói tin này và xác định liệu có hợp lệ và an toàn hay không. Nếu gói tin này không đáng tin cậy hoặc đang mang tính chất đe dọa, tường lửa sẽ không cho gói tin đó tiếp cận hệ thống.
Hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng thủ xâm nhập (IPS) là hai công nghệ chống xâm nhập được sử dụng phổ biến trong mạng và hệ thống bảo mật hiện nay. Cụ thể, IDS hoạt động bằng cách giám sát lưu lượng mạng và dữ liệu trong hệ thống, từ đó phát hiện các hành vi không bình thường hoặc biểu hiện của các cuộc tấn công từ botnet. Điều này giúp tăng tính tự động hóa và trong việc ngăn chặn các cuộc tấn công từ botnet.
Sử dụng giải pháp bảo vệ ứng dụng web và API (WAAP) hoặc chống botnet bằng công nghệ AI Load Balancing
WAAP là tập hợp các giải pháp tiên tiến giúp bảo vệ các ứng dụng web và API khỏi các cuộc tấn công SQL injection, XSS và tấn công API. Bên cạnh đó, WAAP còn giúp doanh nghiệp chống lại các cuộc tấn công DDoS botnet. Bằng cách kiểm soát lưu lượng truy cập và xác định những hành vi không bình thường, WAAP giúp giảm thiểu tác động của tấn công lên hệ thống và duy trì tính sẵn sàng hoạt động của ứng dụng. Ngoài ra, giải pháp này còn có thể xác định và chặn các hành vi không hợp lệ từ người dùng và botnet, đồng thời giúp phát hiện các hình thức tấn công mới.
Sự kết hợp của hơn 2.300 PoP và dung lượng 2.600 Tbps của các Mạng phân phối nội dung (Content Delivery Network - CDN) liên minh cho phép hệ thống VNIS chống DDoS qua mạng phân tán toàn cầu. Khi một CDN bị tấn công, hệ thống cân bằng tải AI sẽ tự động chuyển đổi CDN đó sang một CDN khác mạnh hơn, giúp tối ưu hiệu suất truyền tải và ngăn chặn các tấn công áp đảo lưu lượng như botnet. TT IP/Domain nghi ngờ 1 cdn[.]specialtaskevents[.]com 2 near[.]flyspecialline[.]com 3 aitsatho[.]com 4 ak[.]feethach[.]com 5 four[.]startperfectsolutions[.]com 6 epicunitscan[.]info Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Giám sát đường truyền, giám sát lưu lượng mạng, kiểm soát truy cập
Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.
Giám sát lưu lượng mạng là một trong những phương pháp hiệu quả để phát hiện sớm các hoạt động đáng ngờ trong hệ thống. Khi triển khai giám sát lưu lượng mạng, các công cụ và hệ thống được sử dụng để theo dõi, thu thập và phân tích lưu lượng mạng trong thời gian thực. Các hoạt động mạng của hệ thống được quản lý chặt chẽ để phát hiện những bất thường nhanh chóng. Những dấu hiệu cảnh báo có thể bao gồm sự tăng đột ngột trong lưu lượng mạng, lưu lượng từ một số địa chỉ IP không xác định hoặc quá nhiều yêu cầu từ một nguồn duy nhất. Điều này giúp cho việc đối phó nhanh chóng và ngăn chặn các cuộc tấn công từ botnet trước khi chúng gây hậu quả lớn đối với hệ thống.
TÀI LIỆU THAM KHẢO [1]. Bộ thông tin và truyền thông, Báo cáo Giám sát an toàn không gian mạng quốc gia năm 2023. [2]. Chính Phủ, Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ : Về việc nâng cao năng lực phòng, chống phần mềm độc hại”. [3]. Bộ Thông tin và Truyền thông: Hướng dẫn số 2290/ BTTTT-CATTT về việc hướng dẫn kết nối, chia sẻ thông tin về mã độc giữa các hệ thống kỹ thuật. [4]. Chính phủ, Quyết định số 392/QĐ-TTg của Thủ tướng Chính phủ: Phê duyệt chương trình mục tiêu phát triển ngành công nghiệp công nghệ thông tin đến năm 2020, tầm nhìn đến năm 2025. |
Trần Minh Thảo - Học viện Cảnh sát nhân dân
09:00 | 08/03/2024
15:00 | 15/07/2024
14:00 | 22/02/2024
10:00 | 13/09/2024
10:00 | 19/06/2024
Ngày 18/6, tại Thừa Thiên Huế, Cục Cơ yếu Đảng - Chính quyền, Ban Cơ yếu Chính phủ đã tổ chức triển khai máy tính an toàn đa giao diện có cài đặt sản phẩm mật mã - MTCD-3M (3M) và tập huấn, hướng dẫn quản lý, sử dụng máy 3M cho cán bộ, chuyên viên các phòng chuyên môn thuộc Văn phòng Tỉnh ủy và văn thư các cơ quan tham mưu giúp việc Tỉnh ủy.
14:00 | 23/05/2024
Trình duyệt Chrome đang được rất nhiều người tin dùng bởi độ ổn định và khả năng bảo mật. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu của tin tặc.
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
08:00 | 09/01/2024
Nhiều người trong chúng ta thường có thói quen chỉ để ý đến việc bảo vệ an toàn máy tính và điện thoại của mình nhưng lại thường không nhận ra rằng đồng hồ thông minh (ĐHTM) cũng có nguy cơ bị tấn công mạng. Mặc dù ĐHTM giống như một phụ kiện cho các thiết bị chính nhưng chúng thường được kết nối với điện thoại, máy tính cá nhân và có khả năng tải các ứng dụng trên mạng, cài đặt tệp APK hay truy cập Internet. Điều đó có nghĩa là rủi ro mất an toàn thông tin trước các cuộc tấn công của tin tặc là điều không tránh khỏi. Vậy nên để hạn chế những nguy cơ này, bài báo sau đây sẽ hướng dẫn người dùng cách sử dụng ĐHTM an toàn nhằm tránh việc bị tin tặc lợi dụng đánh cắp thông tin.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
13:00 | 30/09/2024