Mạng botnet Sality hay còn gọi là KuKu, là một mạng lưới các thiết bị máy tính bị nhiễm phần mềm độc hại và được điều khiển bởi tin tặc từ xa. Một mạng botnet có thể bao gồm hàng trăm nghìn, thậm chí hàng triệu máy tính. Mỗi bot đóng vai trò như một công cụ để phát tán mã độc, virus và tấn công DDoS. Loại mã độc này tấn công vào các máy tính sử dụng hệ điều hành Windows.
APT (Advanced Persistent Threat) là thuật ngữ để mô tả một cuộc tấn công kỹ thuật cao có chủ đích nhằm đánh vào những yếu điểm của hệ thống. Mục tiêu của những cuộc tấn công này thường là các cơ quan an ninh, cơ quan chính phủ và các doanh nghiệp lớn.
Thông thường các mạng botnet hoạt động dựa trên sự chỉ đạo của Bot Master thông qua các máy chủ C&C. Trong đó các máy tính nhiễm mã độc sẽ trở thành Bot và nhận lệnh điều khiển từ C&C Server. Các lệnh điều khiển thường là tấn công DDoS, phát tán mã độc, gửi tin nhắn spam... Mạng botnet Sality chủ yếu để phát tán thư rác, tạo các proxy, ăn cắp thông tin cá nhân, lây nhiễm vào các máy chủ web biến các máy chủ này thành máy chủ điều khiển của mạng botnet để tiếp tục mở rộng mạng botnet.
Hình thức tấn công DDoS botnet xuất hiện với tần suất cao và quy mô lớn. Theo đó, tin tặc sử dụng một lượng lớn bot để gửi hàng loạt yêu cầu truy cập đến mục tiêu, đẩy hệ thống vào trạng thái quá tải, tiêu tốn hết băng thông và khiến cho các dịch vụ mạng không thể hoạt động. Có hai hình thức tấn công DDoS botnet phổ biến hiện nay là TCP SYN và UDP flood. Để tăng cường khả năng tấn công, tin tặc thường kết hợp với việc sử dụng HTTP flood hay còn được gọi là spidering nhằm tấn công đối tượng trên web gây ra tình trạng đình trệ hoạt động của hệ thống hoặc dịch vụ mạng.
Ngoài ra, DDoS botnet còn làm gián đoạn các dịch vụ trực tuyến của cơ quan, tổ chức, doanh nghiệp, bao gồm cửa hàng trực tuyến, ngân hàng trực tuyến và các ứng dụng di động khác, gây khó khăn trong quá trình sử dụng và tạo trải nghiệm không tốt cho người dùng, ảnh hưởng rất lớn đến với uy tín và doanh thu của cơ quan, tổ chức, doanh nghiệp.
Theo báo cáo thống kê kết nối chia sẻ dữ liệu về mã độc, giám sát của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), tính đến tháng 3/2024 đã ghi nhận 364.369 địa chỉ IP của Việt Nam nằm trong mạng botnet (giảm 32.78% so với tháng 01/2024), trong đó có 95 địa chỉ IP của cơ quan, tổ chức nhà nước (6 địa chỉ IP Bộ/Ngành, 89 địa chỉ IP Tỉnh/Thành).
Hình 1. Một số cơ quan, địa phương có địa chỉ IP nằm trong mạng botnet
Theo thống kê của NCSC, chỉ tính riêng tháng 3/2024, hệ thống kỹ thuật của NCSC đã ghi nhận có 76.507 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước. Số lượng điểm yếu, lỗ hổng nêu trên là rất lớn, do đó, Cục An toàn thông tin đã chỉ đạo NCSC triển khai đánh giá, xác định các lỗ hổng nguy hiểm, có ảnh hưởng trên diện rộng và hướng dẫn các Bộ/Ngành khắc phục. Đặc biệt có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công APT. Bảng 1 thể hiện một số lỗ hổng vẫn còn tồn tại trên nhiều máy chưa được xử lý.
Bảng 1. Một số lỗ hổng đang tồn tại trên nhiều máy tính
Bên cạnh các điểm yếu/lỗ hổng ghi nhận, Hệ thống kỹ thuật của NCSC còn phân tích và phát hiện nhiều máy tính của cơ quan nhà nước có kết nối đến địa chỉ IP/Domain nghi ngờ độc hại do các phần mềm phòng chống mã độc đã ghi nhận. Thống kê TOP 6 kết nối nghi ngờ phát sinh phổ biến như Bảng 2.
Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Một số lỗ hổng trên các sản phẩm/dịch vụ phổ biến tại Việt Nam: Totolink: CVE-2022-25134, CVE[1]2022-25133; Huawei: CVE-2021-40043, CVE-2021- 22441,Foxit: CVE-2022-24356, CVE-2022-24368; TP-Link: CVE-2022-22922, CVE-2022-24354; IBM: CVE-2021-39026, CVE-2021-38935; WatchGuard: CVE-2022-23176, CVE-2022-25363; Apache: CVE-2022-24288, CVE-2021-45229.
Một số tên miền độc hại có nhiều kết nối từ Việt Nam như: differentia.ru; a.asense. in; disorderstatus.ru; ww2.bbbjdnxbgp3.ru; atomictrivia.ru; a.deltaheavy.ru; morphed.ru; sdk. asense.in; ydbnsrt.me; soplifan.ru.
Sử dụng tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS)
Tường lửa hoạt động như một bức tường ảo giữa mạng nội bộ và mạng công cộng, kiểm soát và giám sát lưu lượng mạng đi qua. Khi có một gói tin mạng gửi đến hệ thống, tường lửa sẽ quét gói tin này và xác định liệu có hợp lệ và an toàn hay không. Nếu gói tin này không đáng tin cậy hoặc đang mang tính chất đe dọa, tường lửa sẽ không cho gói tin đó tiếp cận hệ thống.
Hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng thủ xâm nhập (IPS) là hai công nghệ chống xâm nhập được sử dụng phổ biến trong mạng và hệ thống bảo mật hiện nay. Cụ thể, IDS hoạt động bằng cách giám sát lưu lượng mạng và dữ liệu trong hệ thống, từ đó phát hiện các hành vi không bình thường hoặc biểu hiện của các cuộc tấn công từ botnet. Điều này giúp tăng tính tự động hóa và trong việc ngăn chặn các cuộc tấn công từ botnet.
Sử dụng giải pháp bảo vệ ứng dụng web và API (WAAP) hoặc chống botnet bằng công nghệ AI Load Balancing
WAAP là tập hợp các giải pháp tiên tiến giúp bảo vệ các ứng dụng web và API khỏi các cuộc tấn công SQL injection, XSS và tấn công API. Bên cạnh đó, WAAP còn giúp doanh nghiệp chống lại các cuộc tấn công DDoS botnet. Bằng cách kiểm soát lưu lượng truy cập và xác định những hành vi không bình thường, WAAP giúp giảm thiểu tác động của tấn công lên hệ thống và duy trì tính sẵn sàng hoạt động của ứng dụng. Ngoài ra, giải pháp này còn có thể xác định và chặn các hành vi không hợp lệ từ người dùng và botnet, đồng thời giúp phát hiện các hình thức tấn công mới.
Sự kết hợp của hơn 2.300 PoP và dung lượng 2.600 Tbps của các Mạng phân phối nội dung (Content Delivery Network - CDN) liên minh cho phép hệ thống VNIS chống DDoS qua mạng phân tán toàn cầu. Khi một CDN bị tấn công, hệ thống cân bằng tải AI sẽ tự động chuyển đổi CDN đó sang một CDN khác mạnh hơn, giúp tối ưu hiệu suất truyền tải và ngăn chặn các tấn công áp đảo lưu lượng như botnet. TT IP/Domain nghi ngờ 1 cdn[.]specialtaskevents[.]com 2 near[.]flyspecialline[.]com 3 aitsatho[.]com 4 ak[.]feethach[.]com 5 four[.]startperfectsolutions[.]com 6 epicunitscan[.]info Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Giám sát đường truyền, giám sát lưu lượng mạng, kiểm soát truy cập
Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.
Giám sát lưu lượng mạng là một trong những phương pháp hiệu quả để phát hiện sớm các hoạt động đáng ngờ trong hệ thống. Khi triển khai giám sát lưu lượng mạng, các công cụ và hệ thống được sử dụng để theo dõi, thu thập và phân tích lưu lượng mạng trong thời gian thực. Các hoạt động mạng của hệ thống được quản lý chặt chẽ để phát hiện những bất thường nhanh chóng. Những dấu hiệu cảnh báo có thể bao gồm sự tăng đột ngột trong lưu lượng mạng, lưu lượng từ một số địa chỉ IP không xác định hoặc quá nhiều yêu cầu từ một nguồn duy nhất. Điều này giúp cho việc đối phó nhanh chóng và ngăn chặn các cuộc tấn công từ botnet trước khi chúng gây hậu quả lớn đối với hệ thống.
TÀI LIỆU THAM KHẢO [1]. Bộ thông tin và truyền thông, Báo cáo Giám sát an toàn không gian mạng quốc gia năm 2023. [2]. Chính Phủ, Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ : Về việc nâng cao năng lực phòng, chống phần mềm độc hại”. [3]. Bộ Thông tin và Truyền thông: Hướng dẫn số 2290/ BTTTT-CATTT về việc hướng dẫn kết nối, chia sẻ thông tin về mã độc giữa các hệ thống kỹ thuật. [4]. Chính phủ, Quyết định số 392/QĐ-TTg của Thủ tướng Chính phủ: Phê duyệt chương trình mục tiêu phát triển ngành công nghiệp công nghệ thông tin đến năm 2020, tầm nhìn đến năm 2025. |
Trần Minh Thảo - Học viện Cảnh sát nhân dân
09:00 | 08/03/2024
15:00 | 15/07/2024
14:00 | 22/02/2024
10:00 | 13/09/2024
10:00 | 19/06/2024
Ngày 18/6, tại Thừa Thiên Huế, Cục Cơ yếu Đảng - Chính quyền, Ban Cơ yếu Chính phủ đã tổ chức triển khai máy tính an toàn đa giao diện có cài đặt sản phẩm mật mã - MTCD-3M (3M) và tập huấn, hướng dẫn quản lý, sử dụng máy 3M cho cán bộ, chuyên viên các phòng chuyên môn thuộc Văn phòng Tỉnh ủy và văn thư các cơ quan tham mưu giúp việc Tỉnh ủy.
10:00 | 17/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Keylogger là phần cứng hoặc phần mềm có khả năng theo dõi tất cả các hoạt động thao tác nhập bàn phím, trong đó có các thông tin nhạy cảm như tên người dùng, mật khẩu thẻ tín dụng, thẻ ngân hàng, tài khoản mạng xã hội hay các thông tin cá nhân khác. Keylogger thậm chí có thể ghi lại các hành động gõ phím từ bàn phím ảo, bao gồm các phím số và ký tự đặc biệt. Bài báo sẽ hướng dẫn độc giả cách thức phát hiện và một số biện pháp kiểm tra, ngăn chặn các chương trình Keylogger nhằm bảo vệ máy tính trước mối đe dọa nguy hiểm này.
14:00 | 11/09/2024