TỔNG HỢP LÝ THUYẾT - AN TOÀN MẠNG NÂNG CAO

MỤC LỤC
CHƯƠNG 1: DÒ QUÉT VÀ LIỆT KÊ.......................................................................... 2
CHƯƠNG 2: CONNECTION SECURITY................................................................... 3
1. IP sec......................................................................................................................... 3
2. SSH: Secure Shell..................................................................................................... 4
3. SSL và TLS............................................................................................................... 6
4. VPN........................................................................................................................... 6
CHƯƠNG 4: AN TOÀN DỊCH VỤ Ở XA..................................................................... 7
1. FPT............................................................................................................................ 7
2. TFTP......................................................................................................................... 7
3. TELNET................................................................................................................... 8
4. SSH............................................................................................................................ 8
5. IPMI.......................................................................................................................... 8
6. NTP........................................................................................................................... 8
7. SNMP........................................................................................................................ 9
8. LDAP........................................................................................................................ 9
9. VNC.......................................................................................................................... 9
10. Unix RPC Services – Remote procedure call..................................................... 10
11. Bảo vệ các dịch vụ và countermeasures............................................................. 10
CHƯƠNG 5: REVERSE TCP...................................................................................... 10
1. Các khái niệm......................................................................................................... 10
2. Khi nào thì dùng reverse TCP.............................................................................. 10
3. Set up reverse TCP................................................................................................ 11
4. Tạo Reverse TCP shellcode:.................................................................................. 11
CHƯƠNG 6: APT ATTACK........................................................................................ 11
1. Khái niệm............................................................................................................... 11
2. Các đặc trưng......................................................................................................... 12
3. Các giai đoạn của APT.......................................................................................... 12
3.1 Nhắm mục tiêu................................................................................................. 12
3.2 Quyền truy cập................................................................................................. 12
3.3 Trinh sát........................................................................................................... 13
3.4 Các hành động có mục đích bên lề.................................................................. 13
3.5 Thu thập và lọc dữ liệu.................................................................................... 13
 3.6. Quản lý và bảo trì........................................................................................... 13
4. Các chiến dịch APT điển hình.............................................................................. 14
5. Các tool APT.......................................................................................................... 14
6. Cơ chế để mà malware tộn tại sau khi reboot máy............................................. 14
7. Quy trình ứng phó sự cố........................................................................................ 14
8. Cách tấn công phổ biến nhất................................................................................. 15
9. Phát hiện APT........................................................................................................ 17

CHƯƠNG 1: DÒ QUÉT VÀ LIỆT KÊ

- Các dịch vụ kiểm tra an toàn, bảo mật.

- Phương pháp đánh giá an ninh mạng:

+ Liệt kê mạng để xác định mạng IP và máy chủ
+ Quét và thăm dò mạng hàng loạt để xác định các máy chủ có khả năng bị attack
+ Điều tra các lỗ hổng và thăm dò mạng để có nhiều thông tin hơn
+ Khai thác lỗ hổng bảo mật và phá vỡ cơ chế bảo mật
 CHƯƠNG 2: CONNECTION SECURITY
1. IP sec
- IP sec vận hành ở Internet Layer trong mô hình TCP/IP

- IP sec là không bắt buộc ở IP v4 nhưng bắt buộc ở IP v6.

- IP sec có thể sử dụng để bảo mật traffic trong LAN hoặc VPN. Nó có thể được cấu hình
để đáp ứng những thứ như tính bảo mật, xác thực, toàn vẹn, packet filtering, chống lại
reply attack.
- IP sec có thể sử dụng nhiều thuật toán mã hóa khác nhau, tùy vào người admin cài đặt.
- IP sec gồm 2 cơ chế chính: Authentication Header (AH) và Encapsulating security
Payload (ESP)
+ AH bảo vệ tính toàn vẹn và xác thực, không có tính bảo mật.
+ ESP mang đến khả năng bảo mật, xác thực nguồn dữ liệu, toàn vẹn dữ liệu,
chống reply attack, giới hạn bảo mật dòng dữ liệu.
* Transport mode: Cả 2 đầu đều phải cài đặt IP sec. Trong gói tin gửi đi thì
IP header không được mã hóa, vì thế trong bài lab ta dùng wire shark bắt
gói thì thấy được địa chỉ nguồn và đích – 2 địa chỉ này nằm trong IP header.
* Tunnel mode: 1 đầu không bắt buộc cài đặt IP sec. dataram ban đầu sẽ
được đóng gói và nó sẽ nằm ở trong một datagram mới cùng với security
field. Chế độ này là gateway-to-gateway. Chế độ này đảm bảo tính bảo mật
vì các router trung gian sẽ không thể đọc được các datagram đi qua, hơn
nữa địa chỉ nguồn và địa chỉ đích được ẩn giấu.
Câu hỏi: So sánh transport mode và Tunnel mode.
- Security Associations (SA) là trạng thái thiết lập giữa 2 phía host để giao tiếp. Nếu giao
tiếp 1 chiều thì cần 1 SA, còn giao tiếp qua lại thì cần 2 SA, vì thế người ta thường cấu
hình SA theo cặp.
- Chức năng của SA là nó lưu trữ thông tin của thuật toán, khóa, thời gian tồn tại của
khóa để phục vụ cho công việc sinh khóa, giải mã, và xác thực một ESP packet
- SA chống lại Reply attack, và nó chứa thông tin để thông báo rằng tunnel mode hay
transport mode đang được sử dụng.
- Internet Key Exchange Protocol (IKE): Khi mà số lượng các node nhỏ thì có thể cấu
hình các key bằng tay. Giải pháp khi mà nhiều node đó là IKEv1 và IKEv2.
- Mục tiêu của IKE là xác thực một thực thể và thiết lập mới những thông tin mật được
chia sẽ giữa các bên.
- IKE vận hành gồm 2 giai đoạn: 1) cài đặt một SA như là secure channel để mà sau này
thực hiện trao đổi giữa các bên 2) trao đổi khóa (có thể là nhiều khóa)
- Cài đặt IPsec ở Linux: Phổ biến nhất là Openswan. Openswan gồm 2 thành phần chính,
đó là pluto và kernel ip sec (optional)
+pluto là một daemon (chương trình chạy ngầm) để kiểm soát trao đổi khóa IKE.
+kernel thì tùy chọn thôi, cài đặt nếu muốn dùng thêm mấy tính năng khác.
- Ở openswan thì luồng dữ liệu được mã hóa, và các host không liên quan sẽ không biết
được nội dung. Một host nếu muốn thiết lập mới một kết nối mã hóa thì nó cần tra cứu
các public key của host và sau đó mới có thể sử dụng.
- Cài đặt IPsec ở windows: có thể bật và cài đặt Ipsec ở Group Policy for Windows hoặc
Network Connection Wizard.

2. SSH: Secure Shell

- Các mô hình chi tiết hơn ở dưới cuối tài liệu
- Giao thức SSH được phát triển vào năm 1995 tại Phần Lan, bởi một nhà nghiên cứu có
tên Tatu Ylonen. SSH tạo ra một channel để chạy shell ở một máy đầu xa, với đặc điểm
là nó sẽ mã hóa dữ liệu giữa 2 hệ thống.
- SSH sử dụng TCP/IP là cơ chế truyền tải, thường là port 22 trên máy chủ là nơi mà
dữ liệu khi trao đổi sẽ được mã hóa và giải mã.
- Giao thức SSH đảm bảo việc xác thực, mã hóa và toàn vẹn của dữ liệu khi được
truyền qua mạng. Nó sẽ tự động mã hóa và giải mã dữ liệu khi gửi.

- SSH có cấu trúc Client-Server:

- Một trong những đặc tính của SSH là Port fowarding.
- Port forwarding đôi khi được gọi là tunneling vì kết nối SSH cung cấp một tunnel
an toàn.
- Port forwarding sẽ chuyển hướng (redirecting) bất kỳ kết nối TCP/IP nào vào một SSH
session. Mà ở trong một SSH session thì kết nối đó sẽ được mã hóa, toàn vẹn và xác thực.
Lệnh kiểu như “ssh –L 2001:localhost:143” sẽ tạo ra một tunnel. Trong đó, cổng 2001 là
cổng của máy local, -L là viết tắt của local
Câu hỏi: Khi nào dùng Local port forwarding và Remote port forwarding
 Trả lời: Nếu ứng dụng TCP client (có kết nối mà user muốn chuyển tiếp)
đang chạy cục bộ trên máy SSH client, thì sử dụng local forwarding. Nếu
không, ứng dụng khách nằm trên SSH server thì sử dụng tính năng remote
forwarding.
- Trong một SSH session, thì SSH sẽ tạo ra nhiều channel hoặc logical stream để vận
chuyển dữ liệu, đồng thời cũng tạo channel mới cho mỗi lần sử dụng port forwarding.
3. SSL và TLS
- Là viết tắt của Secure socket layer và Transport layer security.
- Là các giao thức cung cấp khả năng mã hóa phiên và đảm bảo tính toàn vẹn cho các gói
được gửi từ 1 máy tới 1 máy khác.
- Dùng ở mô hình client-to-server hoặc server-to-server
- Nó có khả năng cung cấp tính năng xác thực server cho client hoặc xác thực client
cho server thông qua chứng chỉ bảo mật kỹ thuật số mang tên X.509.
- TLS là một nâng cấp từ SSL

- Ứng dụng nhiều nhất của SSL là giữa một web client và một web server vì nó được hỗ
trợ bởi web browser và web server ở tất cả nền tảng. Nó cũng là tiêu chuẩn mã hóa cho
HTTP
- HTTP qua giao thức SSL sử dụng port 443 (default). Một firewall nằm giữa internet và
webserver mà sử dụng SSL thì cho phép luồng dữ liệu ra vào trên cổng 443
- SSL có 2 thành phần: SSL Handshake protocol và SSL record layer
4. VPN
Virtual Private Networks là một tunnel an toàn thông qua một mạng không an toàn,
chẳng hạn internet.
Các loại VPN:
- VPN:PPTP: Point to point tunneling protocol là một giao thức tunneling layer 2. Giao
thức này đóng gói PPP packet thành các IP datagram bằng cách thêm GRE header và IP
header vô.
- VPN:L2TP: là một giao thức tunneling chuẩn công nghiệp. Cung cấp tunneling và
authentication. Sử dụng Ipsec để cung cấp mã hóa.

- VPN: Hardware VPN solutions: Cung cấp khả năng mã hóa gồm SSL và IPsec. Như là
hệ sinh thái Cisco, Juniper, Nortel
Có thể tạo ra VPN cross-platform bằng Open VPN.

CHƯƠNG 4: AN TOÀN DỊCH VỤ Ở XA

1. FPT
- Cung cấp quyền truy cập tệp từ xa, thường để bảo trì và duy trì các ứng dụng web.
- FTP dễ bị tấn công bởi các hình thức tấn công như:
+ Brute force password
+ Duyệt web ẩn danh và khai thác các lỗi phần mềm
+ Khai thác xác thực lỗ hổng
- Nmap thực hiện dịch vụ mạng và fingerprinting các hệ điều hành thông qua cờ -A
- Cờ -A sẽ gọi ftp-anon script để kiểm tra tính xác thực của các truy cập ẩn danh và trả về
cấu trúc thư mục của server
2. TFTP
- Trivial file transfer prototol sử dụng UDP port 69 và không yêu cầu xác thực, máy
khách đọc và ghi vào máy chủ bằng định dạng gói dữ liệu.
- Tuy nhiên, trong các mạng nội bộ lớn, TFTP được sử dụng để cung cấp các tệp cấu hình
và image ROM tới thiết bị cầm tay VoIP và các thiết bị khác.
- TFTP được khai thác qua các hình thức tấn công như:
+ Lấy tài liệu, dữ liệu từ máy chủ (vd như file cấu hình)
+ Bypassing điều khiển để ghi dữ liệu lên máy chủ (vd thay thế một image ROM)
+ Thực thi code qua lỗi tràn bộ đệm hoặc lỗi bộ
nhớ 3. TELNET
- Telnet cung cấp khả năng truy cập vào command-line của server và các thiết bị nhúng.
Giao thức này không bảo mật, và session có thể bị đánh hơi/quét thấy hoặc bị đối thủ chủ
động tấn công bằng quyền truy cập mạng.
- Telnet dễ bị tấn công bởi: Brute-force password, tìm những thông tin xác thực mặc
định. Khai thác ẩn danh lỗi phần mềm của telnet server/
4. SSH
- Các dịch vụ SSH cung cấp quyền truy cập được mã hóa vào các hệ thống bao gồm các
thiết bị nhúng và máy chủ dựa trên Unix.
- Ba hệ thống con thường được tiếp xúc với người dùng như sau:
* Secure shell (SSH), cung cấp quyền truy cập dòng lệnh
* Bản sao an toàn (SCP), cho phép người dùng gửi và truy xuất tệp
* FTP an toàn (SFTP), cung cấp tính năng truyền tệp phong phú
Cổng TCP 22 được sử dụng theo mặc định để hiển thị SSH và các hệ thống con của nó.
- SSH có thể bị tấn công bởi:
* Brute-force
* Quyền truy cập được cấp do lộ khóa cá nhân hoặc yếu điểm tạo khóa
* Khai thác ẩn danh từ xa các lỗi phần mềm đã biết (không có thông tin xác thực) *
Khai thác xác thực các khiếm khuyết đã biết, dẫn đến leo thang đặc quyền
5. IPMI
Intelligent Platform Management Interface - Giao diện quản lý nền tảng thông minh
- Bộ điều khiển quản lý bo mạch chủ (BMC) là máy tính nhúng cung cấp khả năng giám
sát ngoài băng tần cho máy tính để bàn và máy chủ. Các sản phẩm của BMC được bán
dưới nhiều thương hiệu, bao gồm HP iLO, Dell DRAC và Sun ILOM. Các thiết bị này
thường hiển thị dịch vụ IPMI qua cổng UDP 623
- Có thể khai thác lỗi bằng cách:
* Truy xuất mã băm mật khẩu từ xa qua RAKP
* Bỏ qua xác thực mật mã bằng 0 dẫn đến quyền truy cập quản trị
6. NTP
- Network Time Protocol (NTP) là một giao thức mạng để đồng bộ hóa đồng hồ giữa các
hệ thống máy tính qua các mạng dữ liệu chuyển mạch gói, có độ trễ thay đổi.
- Các dịch vụ NTP thường chạy trên cổng UDP 123 của các thiết bị mạng và hệ thống
dựa trên Unix.
- Sử dụng các tập lệnh ntp-info và ntp-monlist trong Nmap để truy vấn các dịch vụ có thể
truy cập. Các phản hồi thường tiết lộ phiên bản phần mềm máy chủ, chi tiết hệ điều
hành và cấu hình NTP, bao gồm địa chỉ IP của các đối tác công khai và không công
khai.
7. SNMP
- Các dịch vụ Giao thức Quản lý Mạng Đơn giản (Simple Network Management
Protocol-SNMP) thường được chạy trên các thiết bị chuyển mạch, bộ định tuyến và hệ
điều hành máy chủ được quản lý (ví dụ: Microsoft Windows Server và Linux) cho mục
đích giám sát.
- SNMP được truy cập khi cung cấp một chuỗi community hợp lệ trong một gói dữ liệu
UDP đến cổng 16.
- Các dịch vụ SNMP dễ bị tấn công từ xa theo các lớp sau:
* Liệt kê người dùng qua SNMPv3
* Brute-force chuỗi community và mật khẩu người dùng
* Hiển thị thông tin hữu ích thông qua đọc dữ liệu SNMP (đặc quyền thấp)
* Khai thác thông qua ghi dữ liệu SNMP (đặc quyền cao)
* Khai thác các lỗi triển khai phần mềm, dẫn đến hậu quả không mong muốn (ví dụ: thực
thi mã từ xa đặc quyền)
8. LDAP
-Lightweight Directory Access Protocol
- Thường được tìm thấy khi chạy trên các máy chủ Microsoft Active Directory, Exchange
và IBM Domino.
- LDAP là một giao thức mở cung cấp các dịch vụ thông tin thư mục qua IP. Dịch vụ thư
mục cung cấp thông tin về người dùng, hệ thống, mạng, dịch vụ và ứng dụng trên toàn
mạng.
- Giao thức hiện tại được nhiều triển khai sử dụng là LDAP 3.0
- Các máy chủ LDAP tiếp xúc dễ bị tấn công từ xa các lớp sau:
* Rò rỉ thông tin qua ràng buộc ẩn danh
* Brute-force
* Sửa đổi dữ liệu đã xác thực trong thư mục LDAP
* Khai thác lỗi phần mềm máy chủ LDAP (có hoặc không có thông tin xác thực)
9. VNC
- Virtual Network Computing
- Máy tính mạng ảo (VNC) là một ứng dụng sử dụng giao thức remote frame buffer
(RFB) để cung cấp quyền truy cập từ xa vào các máy chủ
- Các dịch vụ RFB thường lắng nghe trên cổng TCP 5900 nhưng có thể sử dụng các dịch
vụ khác (ví dụ: 4900 và 6000). Giao thức có thể mở rộng thông qua các loại mã hóa tùy
ý, hỗ trợ truyền và nén tệp trong các gói bao gồm UltraVNC và TightVNC.
- Triển khai VNC dễ bị tấn công từ xa các lớp sau:
* Brute-force
* Khai thác ẩn danh các lỗi phần mềm đã biết
10. Unix RPC Services – Remote procedure call
- Một số Unix daemon (ví dụ: các thành phần NIS (Network Information Service) và
NFS (Network File System)) hiển thị các dịch vụ RPC qua các dynamic high port.
- Để theo dõi các điểm cuối đã đăng ký và hiển thị cho khách hàng danh sách các dịch vụ
RPC có sẵn, dịch vụ portmapper lắng nghe trên TCP và UDP cổng 111 (và cổng 32771
trong Oracle Solaris)
Các cách tấn công: Query RPC endpoint, query NIS và thu thập dữ liệu
11. Bảo vệ các dịch vụ và countermeasures
- Giảm bề mặt tấn công mạng bất cứ khi nào có thể
- Duy trì các gói và thư viện phần mềm máy chủ để phủ nhận các điểm yếu đã biết.
- Các hoạt động bảo trì từ xa nên được cung cấp thông qua kết nối được xác thực an toàn
(ví dụ: VPN hoặc SSH)
- Nếu sử dụng SNMP, hãy đảm bảo rằng sử dụng thông tin đăng nhập mạnh mẽ
- Tăng cường bảo mật SSH
- Tăng cường bảo mật DNS
- Trong môi trường Microsoft, hãy cân nhắc việc thực thi cấp chức năng miền cao nhất

CHƯƠNG 5: REVERSE TCP

1. Các khái niệm
Bind shell là một loại shell, mà trong đó máy nạn nhân sẽ mở một port để giao tiếp hoặc
listen kết nối tới. Attacker sau đó sẽ kết nối đến máy nạn nhân để thực thi lệnh.
Reverse shell là một loại shell mà trong đó máy nạn nhân giao tiếp ngược lại với máy
attacker. Máy attacker có listen port để nhận kết nối từ máy nạn nhân, có nghĩa là code
hoặc lệnh của attacker trước đó đã được thực hiện thành công.
Reverse TCP là một loại shell. Reverse shell nhiều khả năng có thể vượt firewall, vì
client/victim sẽ kết nối trở lại máy attacker
2. Khi nào thì dùng reverse TCP
- Khi máy mục tiêu ở phía sau mạng riêng khác
- Tường lửa của máy mục tiêu chặn lại kết nối mà ta đang muốn bind shell.
- Payload của attacker không thể bind một port vì lý do nào đó.
- Không thể quyết định xem nên dùng hình thức tấn công nào.
- Có 168 reverse shell khác nhau trong metasploit framework
3. Set up reverse TCP
Khi tạo ra reverse TCP với một trong hai cách msfpayload hoặc msfvenom thì phải biết
cấu hình LHOST và LPORT
LHOST là IP máy tấn công, là IP mà attacker muốn máy nạn nhân kết nối tới.
LHOST không nên là localhost hoặc 127.0.0.1 hoặc 0.0.0.0 vì thế có nghĩa là bảo máy
target kết nối đến chính nó
LPORT là port mà attacker muốn máy nạn nhân kết nối đến.

Tạo payload có khả năng thực thi, dùng những cách có thể để chép payload qua máy nạn
nhân, set up các thông số ở máy attacker, chạy payload trên victim
4. Tạo Reverse TCP shellcode:
Các bước:
- Viết 1 chương trình để lấy reverse shell ở bất kỳ ngôn ngữ nào như c, perl
- Compile và disassemble
- Viết lại và tối ưu hóa chương trình bằng assembly
- Compile và disassemble
- Lấy reverse TCP shellcode

CHƯƠNG 6: APT ATTACK

1. Khái niệm
- Thuật ngữ Advanced Persistent Threat được tạo ra bởi các nhà phân tích trong Lực
lượng Không quân Hoa Kỳ vào năm 2006. Nó mô tả ba khía cạnh của những kẻ tấn công
đại diện cho hồ sơ, ý định và cấu trúc của chúng:
Advanced - Nâng cao: Kẻ tấn công thông thạo các phương pháp xâm nhập mạng và kỹ
thuật quản trị và có khả năng tạo ra các công cụ và khai thác tùy chỉnh.
Persistent - Kiên trì: Kẻ tấn công có mục tiêu dài hạn và làm việc để đạt được mục tiêu
của mình mà không bị phát hiện.
Threat - Đe doạ: Kẻ tấn công có tổ chức, được tài trợ, có động cơ và có cơ hội phổ biến.
2. Các đặc trưng
- Những kẻ tấn công tìm cách loại bỏ chướng ngại vật
- Thường không bao gồm phá hoại
- Xóa sạch dấu vết hành động của họ khỏi nhật ký hệ thống
- Các công cụ APT sử dụng các chức năng bình thường hàng ngày có sẵn trong hệ điều
hành và ẩn trong hệ thống tệp "trong tầm nhìn rõ ràng."
- Không muốn cản trở hoặc làm gián đoạn hoạt động hệ thống bình thường của các máy
chủ mà chúng xâm phạm
- Thực hành các kỹ thuật tấn công, thâm nhập, trinh sát, di chuyển bên, quản lý và lọc dữ
liệu cấu hình thấp
- Kỹ thuật phổ biến nhất được các nhóm APT sử dụng để truy cập vào các mạng mục tiêu
là lừa đảo trực tuyến
- Lừa đảo nhẹ dựa trên e-mail, có thể bao gồm phần mềm độc hại cố tình cố tình khai
thác phần mềm trên máy tính của người dùng
- Những kẻ tấn công thường sử dụng các mạng máy tính đã bị xâm nhập trước đó như là
"các lỗ hổng" để ẩn đằng sau cho các giao tiếp chỉ huy và điều khiển được ủy quyền
- Các kỹ thuật phổ biến và phổ biến được quan sát trong các chiến dịch APT bao gồm
chèn SQL vào các trang web mục tiêu, khai thác “meta” của phần mềm máy chủ web, lừa
đảo và khai thác các ứng dụng mạng xã hội
- Các kỹ thuật xã hội phổ biến như mạo danh người dùng để trợ giúp nhân viên bàn, "làm
rơi" USB bị nhiễm, phần cứng hoặc phần mềm bị nhiễm
- Metasploit là một công cụ bảo mật máy tính cung cấp thông tin về các lỗ hổng phần
mềm, phát triển chữ ký IDS và cải thiện kiểm tra thâm nhập.
3. Các giai đoạn của APT
3.1 Nhắm mục tiêu
Targeting
Những kẻ tấn công thu thập thông tin về mục tiêu từ các nguồn công khai hoặc riêng tư
Các phương pháp kiểm tra có thể giúp cho phép truy cập. Điều này có thể bao gồm quét
lỗ hổng bảo mật, kỹ thuật xã hội và lừa đảo trực tuyến.
Mục tiêu có thể cụ thể hoặc có thể là một chi nhánh / đối tác có thể cung cấp quyền truy
cập tài sản đảm bảo thông qua mạng lưới kinh doanh
3.2 Quyền truy cập
Những kẻ tấn công có quyền truy cập và xác định các phương pháp hiệu quả nhất để khai
thác hệ thống thông tin và thế trận an ninh của tổ chức mục tiêu.
Dữ liệu nhận dạng của máy chủ bị xâm phạm (địa chỉ IP, DNS, số lượt chia sẻ NetBIOS
đã liệt kê, địa chỉ máy chủ DNS / DHCP, Hệ điều hành, v.v.) cũng như thu thập thông tin
xác thực hoặc thông tin hồ sơ nếu có thể để tạo điều kiện cho các xâm phạm bổ sung.
Những kẻ tấn công có thể cố gắng làm xáo trộn ý định của họ bằng cách cài đặt phần
mềm giả mạo hoặc phần mềm độc hại khác
3.3 Trinh sát
Những kẻ tấn công liệt kê các chia sẻ mạng, khám phá kiến trúc mạng, dịch vụ tên, bộ
điều khiển miền, dịch vụ thử nghiệm và quyền quản trị để truy cập các hệ thống và ứng
dụng khác.
Họ có thể cố gắng xâm phạm tài khoản Active Directory hoặc tài khoản quản trị cục bộ
có đặc quyền miền được chia sẻ.
Những kẻ tấn công thường cố gắng che giấu các hoạt động bằng cách tắt tính năng chống
vi-rút và ghi nhật ký hệ thống
3.4 Các hành động có mục đích bên lề
Một khi những kẻ tấn công đã xác định phương pháp truyền qua hệ thống với thông tin
xác thực phù hợp và đã xác định được mục tiêu, chúng sẽ tiến hành di chuyển ngang qua
mạng tới các máy chủ khác.
Các hoạt động thường không liên quan đến việc sử dụng phần mềm độc hại hoặc các
công cụ khác với những công cụ đã được cung cấp bởi hệ điều hành máy chủ bị xâm
nhập, chẳng hạn như lệnh shell, lệnh NetBIOS, Windows Terminal Services, VNC hoặc
các công cụ tương tự khác được quản trị viên mạng sử dụng
3.5 Thu thập và lọc dữ liệu
Những kẻ tấn công thường thiết lập các điểm thu thập và lấy cắp dữ liệu thông qua các
phần mềm cắt mạng được khuyến khích, hoặc sử dụng các kỹ thuật mã hóa tùy chỉnh (và
phần mềm độc hại) để làm xáo trộn các tệp dữ liệu và các thông tin liên quan đến việc
đào thải.
Trong nhiều trường hợp, những kẻ tấn công đã sử dụng phần mềm sao lưu hiện có hoặc
các công cụ quản trị khác được quản trị viên hệ thống và mạng của chính tổ chức bị xâm
phạm sử dụng.
Việc lấy sạch dữ liệu có thể là “cấp liệu nhỏ giọt” hoặc “bắn cháy”, kỹ thuật này tùy
thuộc vào nhận thức của kẻ tấn công về khả năng của tổ chức trong việc nhận ra sự mất
mát dữ liệu hoặc những kẻ tấn công cần phải lấy sạch dữ liệu nhanh chóng
3.6. Quản lý và bảo trì
Một mục tiêu khác của APT là duy trì quyền truy cập theo thời gian. Điều này yêu cầu
quản trị và duy trì các công cụ và thông tin đăng nhập.
Những kẻ tấn công sẽ thiết lập nhiều phương pháp truy cập từ xa vào mạng của các máy
chủ bị xâm nhập và xây dựng các cờ hoặc trình kích hoạt để cảnh báo chúng về những
thay đổi đối với kiến trúc bị xâm phạm, để chúng có thể thực hiện các hành động bảo trì
Những kẻ tấn công thường cố gắng cải tiến các phương pháp truy cập của họ để phản ánh
gần nhất hồ sơ người dùng tiêu chuẩn, thay vì tiếp tục dựa vào các công cụ hoặc phần
mềm độc hại được chọn
4. Các chiến dịch APT điển hình
Một số cuộc tấn công APT, được đặt tên mã bởi các nhà điều tra:
Aurora, Nitro, ShadyRAT, Lurid, Night Dragon, Stuxnet, DuQu
Mỗi hoạt động liên quan đến hoạt động, bao gồm truy cập, trinh sát, di chuyển bên, thao
túng hệ thống thông tin và đánh cắp thông tin cá nhân hoặc thông tin được bảo vệ.
Ví dụ Aurora: Những kẻ tấn công đã giành được quyền truy cập vào mạng của nạn nhân
bằng cách sử dụng các e-mail lừa đảo có chủ đích được gửi đến các nhân viên của công ty.
Email chứa một liên kết đến một trang web Đài Loan lưu trữ một JavaScript độc hại.
Khi người nhận e-mail nhấp vào liên kết và truy cập trang web, JavaScript đã khai thác lỗ
hổng Internet Explorer cho phép thực thi mã từ xa.
JavaScript độc hại không bị phát hiện bởi chữ ký chống vi-rút. Nó hoạt động bằng cách
chèn mã shell với đoạn code đã được chuẩn bị trước.
5. Các tool APT
Gh0st Attack
DarkComet RAT
PlasmaRAT
NingaliNET
Marble codes
6. Cơ chế để mà malware tộn tại sau khi reboot máy
Sử dụng các khóa “Run” Registry keys khác nhau
Tạo một dịch vụ
Tham gia vào một dịch vụ hiện có
Sử dụng một scheduled task
Ngụy trang thông tin liên lạc dưới dạng lưu lượng truy cập hợp lệ
Ghi đè bản ghi khởi động chính
Ghi đè BIOS của hệ thống
7. Quy trình ứng phó sự cố
- Các nhà điều tra sử dụng các TOOL trong trường hợp này bao gồm sự kết hợp của
Sysinternals và các công cụ pháp y:
• AccessData FTK Imager
• Sysinternals Autoruns
• Sysinternals Process Explorer
- Thứ tự thu thập bằng chứng dựa trên sự biến động của dữ liệu:
7.1• Memory capture
Đầu tiên thực hiện kết xuất bộ nhớ của máy tính bị xâm phạm
Kết xuất này có thể hữu ích cho việc phân tích phần mềm độc hại liên quan trong Công
cụ khung biến động, ví dụ như FTK Imager.
Một số công cụ phân tích bộ nhớ có sẵn bao gồm HBGary FDPro và Responder Pro,
Mandiant Memoryze và The Volatile Framework
Phân tích bộ nhớ là một phần quan trọng của phân tích APT vì nhiều công cụ hoặc
phương pháp được sử dụng bởi những kẻ tấn công sẽ liên quan đến quá trình tiêm hoặc
các kỹ thuật làm xáo trộn khác.
7.2• Page hoặc swap page
Bộ nhớ ảo được sử dụng bởi hệ điều hành Windows được lưu trữ trong một tệp có tên là
Pagefile.sys (Pagefile)
Tệp trang có thể chứa thông tin có giá trị về việc lây nhiễm phần mềm độc hại hoặc các
cuộc tấn công có chủ đích
Hyberfil.sys chứa dữ liệu trong bộ nhớ được lưu trữ trong khi hệ thống ở chế độ Ngủ
đông và có thể cung cấp thêm dữ liệu cho người kiểm tra
7.3• Thông tin process đang chạy
7.4• Dữ liệu mạng như các cổng lắng nghe hoặc các kết nối hiện có với các hệ thống khác
7.5• System Registry (nếu có)
7.6• Tệp nhật ký hệ thống hoặc ứng dụng
7.7• Hình ảnh pháp y của (các) đĩa
7.8• Phương tiện sao lưu
8. Cách tấn công phổ biến nhất
1. Gửi mail
2. Mở mail, bấm phải link độc. Link này trỏ đến địa chỉ độc
3. Trang tự tải trojan về máy, sau đó nó tự chạy
4. Sau khi thực thi, trình tải xuống truyền tải một hướng dẫn được mã hóa base64 tới một
dropsite khác mà từ đó một ống nhỏ giọt Trojan được phân phối. Trojan dropper được sử
dụng để cài đặt một cửa hậu Trojan:
a. Được đóng gói vào ống nhỏ giọt và sau đó tự xóa, và cửa hậu Trojan bắt đầu báo hiệu
cho máy chủ C&C được lập trình thành tệp nhị phân của nó hoặc
b. Được yêu cầu từ dropsite (có thể giống nhau), theo chi tiết cấu hình hệ thống mà ống
nhỏ giọt giao tiếp với dropsite. Sau đó, ống nhỏ giọt tự xóa và cửa hậu Trojan bắt đầu
phát tín hiệu đến máy chủ C&C được lập trình thành tệp nhị phân của nó
Bước 5, 6
Trojan dropper thường cài đặt cửa sau Trojan vào c: \ windows \ system32 và đăng ký
DLL hoặc EXE trong phần HKLM \ System \ <Controlset> \ Services của sổ đăng ký, -
thường là dịch vụ hỗ trợ netsvcs -k svchost.exe phím (để chạy như một dịch vụ và tồn tại
khi khởi động lại).
Cửa hậu Trojan thường sử dụng tên tệp tương tự, nhưng hơi khác với tên tệp Windows.
Bước 7, 8: command and control server
Cửa hậu Trojan sử dụng mã hóa SSL để liên lạc với máy chủ C&C của nó thông qua một
máy chủ proxy hoặc "cutout". Thông thường, một số proxy được sử dụng khi chuyển tiếp
để che giấu đường dẫn đến máy chủ C&C thực tế. Báo hiệu thường là định kỳ, chẳng hạn
như năm phút hoặc giờ một lần.
Kẻ tấn công tương tác với cửa hậu Trojan thông qua mạng proxy hoặc đôi khi trực tiếp từ
máy chủ C&C. Thông tin liên lạc thường được mã hóa SSL, ngay cả khi sử dụng các
cổng không chuẩn.
Bước 9, 10
Kẻ tấn công thường bắt đầu với danh sách Tên máy tính và tài khoản Người dùng để
hiểu về các quy ước đặt tên được sử dụng, sau đó sử dụng công cụ chuyển mã băm hoặc
công cụ kết xuất bảo mật (thường là các công cụ HOOKMSGINA hoặc GSECDUMP) để
thu thập thông tin tài khoản thư mục cục bộ và hoạt động.
Kẻ tấn công thường sử dụng leo thang đặc quyền dịch vụ để trinh sát ban đầu để có được
chuyển động bên trong mạng. Ví dụ: nếu kẻ tấn công khai thác một ứng dụng dễ bị tấn
công (IE, v.v.) để đạt được các đặc quyền cục bộ, họ thường sử dụng Tác vụ đã lên lịch
để khởi tạo trình bao lệnh với quyền quản trị hoặc dịch vụ. Đây là một lỗ hổng được biết
đến trong tất cả các phiên bản Windows ngoại trừ Win 7 và thường được sử dụng; do đó,
các Nhiệm vụ đã lên lịch cũng rất quan trọng để xem xét
Bước 11,12
Kẻ tấn công bẻ khóa mật khẩu ngoại tuyến và sử dụng thông tin đăng nhập để thực hiện
việc trinh sát mạng bị xâm nhập thông qua cửa hậu Trojan, bao gồm quét mạng, chia sẻ
và liệt kê các dịch vụ sử dụng DOS. Điều này giúp kẻ tấn công xác định tính khả dụng
của truy cập bên.
Sau khi xác định được quyền truy cập ngang qua mạng, kẻ tấn công sẽ chuyển sang các
tiện ích quản trị của Windows như lệnh MSTSC (RDP), SC, NET, v.v. Nếu truy cập bên
bị cản trở bởi phân đoạn mạng, kẻ tấn công thường sử dụng các tiện ích proxy NAT.
Bước 13, 14
Khi các hoạt động do thám và di chuyển ngang của mạng đã hoàn tất, kẻ tấn công sẽ chuyển
sang giai đoạn thứ hai và cài đặt thêm các Trojan cửa sau và các tiện ích proxy ngược (chẳng
hạn như HTRAN) để cho phép truy cập trực tiếp hơn và thiết lập các điểm đi ra.
Các điểm đầu ra được sử dụng để thu thập và lấy cắp thông tin độc quyền được nhắm
mục tiêu, thường là trong các gói ZIP hoặc RAR được mã hóa, thường được đổi tên thành
tệp GIF.
9. Phát hiện APT
Phương pháp đơn giản nhất là một thủ tục hành chính đơn giản. Ví dụ: một tập lệnh đăng
nhập tạo chỉ mục hệ thống tệp (c: \ dir / a / s / TC> \ index \% computername% _% date%
.txt) có thể được sử dụng cho kiểm tra các thay đổi được thực hiện đối với hệ thống tệp
Các quy tắc SMS thông báo nhật ký quản trị (cục bộ và miền) đến các máy trạm và máy
chủ có thể giúp xác định một mô hình hoạt động hoặc tiết lộ thông tin hữu ích để điều tra
các sự cố này
Các quy tắc tường lửa hoặc IDS giám sát RDP / VNC / CMD.EXE gửi đến hoặc các tài
khoản CNTT quản trị và khóa cũng có thể là các chỉ báo về hoạt động đáng ngờ
Các công nghệ phát hiện chính: Các sản phẩm bảo mật điểm cuối, bao gồm chống vi-rút,
HIPS và kiểm tra tính toàn vẹn của hệ thống tệp.
 TỔNG HỢP SƠ ĐỒ/MÔ HÌNH
Chương 2: SSH

Hình 1 Mô hình SSH

Hình 2 Giao thức SSH đảm bảo tính xác thực, mã hóa, toàn vẹn dữ liệu
Chương 7: PSAD
TỔNG HỢP CÁC LOẠI TẤN CÔNG
1. IPsec(Internet Protocol Security).
 IPSec bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền
tảng Internet Protocol như xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho
mỗi gói Internet Protocol trong quá trình truyền thông tin.
 Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network
layer) của mô hình OSI.
2. Các chức năng cơ bản của IPSec.
 Chứng thực
- IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn công man in the
middle, từ khả năng lừa tấn công đến từ những truy cập vào mạng, khỏi những kẻ tấn công thay đổi
nội dung của gói dữ liệu.
- IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thông tin. IPSec có thể dùng
kerberos, preshared key, hay các chứng nhận số cho việc chứng nhận.
- Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các máy tính có kết nối
mạng thì không nên dùng Kerberos v5 vì trong suốt quá trình dàn xếp ở chế độ chính , mỗi thành
phần ngang cấp ở chế độ chính sẽ gởi phần nhận dạng máy tính của nó ở dạng chưa được mã hoá đến
các thành phần khác.
Phần nhận dạng máy tính này không được mã hoá cho đến khi sự mã hoá toàn bộ tải trọng diễn ra
trong giai đoạn xác thực của sự dàn xếp với chế độ chính. Một kẻ tấn công có thể gởi một gói tin
Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy
tính. Để bảo vệ máy tính được kết nối Internet nên sử dụng sự xác thực chứng nhận.
Đối với tính năng an toàn cải tiến, không nên sử dụng sự xác thực bằng PreshareKey vì nó là một
phương thức khá yếu. Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần văn bản. Sự xác thực
bằng PresharedKey được cung cấp cho các mục đích liên vận hành và phải tuân thủ các quy tắc IPSec,
chỉ nên dùng PreshareKey cho việc kiểm nghiệm.
 Toàn vẹn dữ liệu
- Toàn vẹn dữ liệu là đảm bảo gói dữ liệu còn nguyên vẹn trong quá trình lưu thông trên mạng, không
bị mất hoặc bị thay đổi.
- IPSec dùng một thuật toán băm (MD5, SHA-1…) để đảm bảo dữ liệu không bị can thiệp vào. Một
checksum được gọi là một mã chứng nhận tin nhắn hash được tính toán cho dữ liệu của gói. Một khi
gói bị thay đổi trong khi truyền đi thì tin nhắn hash đã được thay đổi sẽ được lưu lại, thay đổi này sẽ
bị xóa bởi máy tính nhận.
 Bảo mật dữ liệu
- IPSec sử dụng các thuật toán mã hóa (DES, 3DES…) để mã hóa dữ liệu, đảm bảo gói dữ liệu truyền đi
sẽ không thể bị giải mã bởi những kẻ tấn công.
3. VPN là gì ? IPsec VPN là gì ?
 VPN (virtual private network) là một kết nối được mã hóa giữa 2 hay nhiều máy tính với
nhau. Các kết nối VPN diễn ra trên các public network, nhưng dữ liệu trao đổi trên VPN vẫn
riêng tư bởi vì nó đã được mã hóa. VPN giúp có thể truy cập và trao đổi dữ liệu bí mật một
cách an toàn qua cơ sở hạ tầng mạng dùng chung, chẳng hạn như Internet công cộng.
 Nhiều VPN sử dụng bộ giao thức IPsec để thiết lập và chạy các kết nối được mã hóa này.
4. IPsec hoạt động như thế nào ?
Kết nối IPsec bao gồm các bước sau:
 Trao đổi khóa(key exchange): Key là cần thiết để mã hóa; Key là một chuỗi ký tự ngẫu
nhiên có thể được sử dụng để "khóa" (mã hóa) và "mở khóa" (giải mã) thông điệp. IPsec
thiết lập các Key với sự trao đổi Key giữa các thiết bị được kết nối, để mỗi thiết bị có thể
giải mã tin nhắn của thiết bị khác.
 Packet headers and trailers: Tất cả dữ liệu được gửi qua mạng được chia thành các phần
nhỏ hơn được gọi là gói. Các gói chứa cả payload hoặc dữ liệu thực tế đang được gửi và
các header, hoặc thông tin về dữ liệu đó để các máy tính nhận gói biết phải làm gì với
chúng. IPsec thêm một số tiêu đề vào các gói dữ liệu chứa thông tin xác thực và mã hóa.
IPsec cũng thêm các trailers, đi sau payload của mỗi gói
  Xác thực(authentication): IPsec cung cấp xác thực cho từng gói tin, giống như một con
dấu xác thực trên một vật phẩm. Điều này đảm bảo rằng các gói đến từ một nguồn đáng
tin cậy và không phải là kẻ tấn công.
 Mã hóa(Encryption): IPsec mã hóa payload bên trong mỗi gói và header IP của mỗi gói
(trừ khi chế độ transport được sử dụng thay vì chế độ tunnel). Điều này giữ cho dữ liệu
được gửi qua IPsec an toàn và riêng tư.
 Truyền(Transmission): Các gói IPsec được mã hóa truyền qua một hoặc nhiều mạng đến
đích của chúng bằng giao thức transport. Ở giai đoạn này, lưu lượng IPsec khác với lưu
lượng IP thông thường ở chỗ nó thường sử dụng UDP làm giao thức truyền tải hơn là
TCP . TCP, thiết lập các kết nối chuyên dụng giữa các thiết bị và đảm bảo rằng tất cả các
gói đều đến được nơi. UDP, không thiết lập các kết nối chuyên dụng này. IPsec sử dụng
UDP vì điều này cho phép các gói IPsec vượt qua tường lửa .
 Giải mã(Decryption): Ở đầu kia của giao tiếp, các gói tin được giải mã và các ứng dụng (ví
dụ: trình duyệt) giờ đây có thể sử dụng dữ liệu được gửi tới.
5. Các giao thức được dùng trong IPsec.
 Xác thực Header (AH): Giao thức AH đảm bảo rằng các gói dữ liệu đến từ một nguồn
đáng tin cậy và dữ liệu không bị giả mạo, giống như một con dấu chống giả mạo trên
một sản phẩm tiêu dùng. Các header này không cung cấp bất kỳ mã hóa nào; chúng
không giúp che giấu dữ liệu khỏi những kẻ tấn công.
 Giao thức bảo mật đóng gói (ESP): ESP mã hóa tiêu đề IP và payload cho mỗi gói - trừ khi
transport mode được sử dụng, trong trường hợp này, nó chỉ mã hóa payload. ESP thêm
header riêng và trailer vào mỗi gói dữ liệu.
 Security Association (SA): SA đề cập đến một số giao thức được sử dụng để đàm phán
các khóa và thuật toán mã hóa. Một trong những giao thức SA phổ biến nhất là Internet
Key Exchange (IKE).
 Cuối cùng, mặc dù Giao thức Internet (IP) không phải là một phần của bộ IPsec, nhưng
IPsec chạy trực tiếp trên IP.
6. Khác nhau giữa IPsec tunnel mode và IPsec transport mode.
IPsec tunnel mode được sử dụng giữa hai bộ định tuyến chuyên dụng(routers), với mỗi bộ định tuyến hoạt
động như một đầu của "đường hầm" ảo thông qua mạng public. Trong tunnel mode IPsec, IP header gốc
chứa đích đến cuối cùng của gói tin được mã hóa, cùng với payload gói tin. Để cho các bộ định tuyến trung
gian biết nơi chuyển tiếp các gói tin, IPsec thêm một IP header mới. Tại mỗi đầu cuối của đường hầm, các
bộ định tuyến giải mã các IP header để chuyển các gói tin đến đích của chúng.
Trong transport mode, payload của mỗi gói được mã hóa, nhưng IP header ban đầu thì không. Do đó, các
bộ định tuyến trung gian có thể xem đích cuối cùng của mỗi gói - trừ khi sử dụng một giao thức đường
hầm riêng biệt (chẳng hạn như GRE ).
7. IPsec thường dùng port nào ?
IPsec thường sử dụng cổng 500.

1. APT
Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ một tập hợp các quá trình
tấn công hệ thống máy tính bí mật và liên tục, thường được sắp xếp bởi một người hoặc
một nhóm người (hackers) nhắm vào một thực thể cá biệt. Tấn công APT thường nhắm tới
các tổ chức tư nhân, nhà nước hoặc cả hai vì các động cơ kinh doanh hoặc chính trị.
Advanced: Kẻ tấn công thông thạo các phương pháp xâm nhập mạng và kỹ thuật quản trị và
có khả năng tạo ra các cách khai thác tùy chỉnh và công cụ.
Persistent: Kẻ tấn công có mục tiêu dài hạn và nỗ lực để đạt được mục tiêu của mình mà
không bị phát hiện.
Threat: Kẻ tấn công có tổ chức, được tài trợ, có động cơ và có mặt khắp nơi cơ hội.
Các Giai Đoạn
 Targeting (Nhắm mục tiêu): thu thập thông tin từ nguồn public hoặc private, dùng các
phương pháp kiểm tra như quét lỗ hỏng, spear-phishing, social engineering.
 Access (Truy cập): Truy cập và xác định các cách khai thác hiệu quả nhất đối với hệ
thống thông tin và an ninh của tổ chức. Xâm nhập vào các dữ liệu của máy chủ (địa chỉ
IP, DNS/DHCP server…) cũng như thu thập thông tin xác thực hoặc thông tin hồ sơ, cài
các phần mềm giả mạo hoặc phần mềm độc hại.
 Reconnaissance (Do thám): Liệt kê các chia sẻ mạng, khám phá các kiến trúc mạng, tên
dịch vụ, kiểm tra dịch vụ và quyền admin để truy cập vào hệ thống hoặc ứng dụng. Cố
gắng xâm phạm vào tài khoản AD.
 Lateral Movement (Mở rộng khai thác): tiếp tục mở rộng sự hiện diện của chúng tại các
hệ thống khác trong TTDL trong cùng mạng doanh nghiệp bị nhiễm, lây lan, xâm nhập và
đánh cắp các quyền điều khiển của các User quan trọng (cả User Administrator).
 Data collection and exfiltration (Thu thập và đánh cắp dữ liệu): đánh cắp sau đó và tuồn
ra Internet bằng các cách truyền thống trên các giao thức cho phép thông thường của
hệ thống Firewall như FTP hay HTTP. Chúng có thể mã hoá các dữ liệu trước khi hành
động hoặc chuyển dữ liệu này ra khỏi doanh nghiệp tới một máy tính bị nhiễm khác.
 Administration and maintenance (Quản lí và duy trì): Duy trì truy cập mọi lúc, thành lập
nhiều phương pháp truy cập vào mạng của máy bị xâm phạm, gắn cờ hoặc kích hoạt
trigger.
Giải pháp: Giám sát đường truyền, lưu lượng nội bộ,triển khai tường lửa, cập nhật bản vá,
mã hóa các kênh truyền kết nối, sử dụng các công cụ lọc thư rác và quét virus cho hệ thông
mail, ghi lại nhật kí hoạt động, nâng cao nhận thức về phishing.
2. IPSec
G
3. Giải pháp về các dạng tấn công mạng phổ biến hiện
nay
 Tấn công Malware
+ Spyware
+ Ransomware
+ Virus
+ Worm
Giải pháp:
.Sao lưu dữ liệu thường xuyên
.Thường xuyên cập nhật phần mềm
.Cẩn thận với các Link hoặc File lạ.

 Phishing
+ Giả mạo Email
+ Giả mạo Website
Giải pháp:
. Không Click vào các đường dẫn được gửi đến Email nếu không chắc chắn an toàn
. Dùng bộ lọc thư rác, lừa đảo
. Luôn cập nhật phần mềm, ứng dụng đề phòng các lỗ hổng bảo mật có thể bị tấn công
. Cảnh giác với các Email có xu hướng thúc giục
. Dùng các công cụ hạn chế Phishing: SpoofGuard, Anti-phishing Domain Advisor, Netcraft
Anti-phishing Extension

 Tấn công từ chối dịch vụ

+ SYN Flood
+ UDP Flood/Ping Flood
+ Khuếch đại DNS
Giải pháp:
. Theo dõi lưu lượng truy cập của bạn như dùng tool SiLK, Argus
. Nếu biết được IP thì dùng ACL để lọc

 Tấn công trung gian (Man-in-the-middle attack)

+ Sniffing
+ Packet Injection
+ Gỡ rối phiên
+ Loại bỏ SSL
Giải pháp:
. Đảm bảo các Website truy cập đã cài SSL.
. Không mua hàng hoặc gửi dữ liệu nhạy cảm khi dùng mạng công cộng.
. Không nhấp vào Link hoặc Email độc hại.
. Có các công cụ bảo mật thích hợp được cài đặt trên hệ thống.
. Tăng cường bảo mật cho hệ thống mạng.

 Khai thác lỗ hỏng ZeroDay

Giải pháp:
. Thường xuyên cập nhật phần mềm và hệ điều hành
. Triển khai giám sát bảo mật theo thời gian thực
. Triển khai hệ thống IDS và IPS
. Sử dụng phần mềm quét lỗ hổng bảo mật

GIẢI PHÁP HẠN CHẾ TỔNG QUÁT:

Đối với cá nhân:
 Bảo vệ mật khẩu cá nhân bằng cách: đặt mật khẩu phức tạp, bật tính năng bảo mật 2
lớp – xác nhận qua điện thoại,… Chi tiết tại: 3 kiểu Tấn công Password cơ bản & cách
phòng chống
 Hạn chế truy cập vào các điểm Wifi công cộng
 Không sử dụng phần mềm bẻ khóa (crack)
 Luôn cập nhật phần mềm, hệ điều hành lên phiên bản mới nhất.
 Cẩn trọng khi duyệt Email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo.
 Tuyệt đối không tải các File hoặc nhấp vào đường link không rõ nguồn gốc.
 Hạn chế sử dụng các thiết bị ngoại vi (USB, ổ cứng) dùng chung.
 Sử dụng một phần mềm diệt Virus uy tín.
Đối với doanh nghiệp:
 Xây dựng một chính sách bảo mật với các điều khoản rõ ràng, minh bạch
 Lựa chọn các phần mềm, đối tác một cách kỹ càng. Ưu tiên những bên có cam kết bảo
mật và cam kết cập nhật bảo mật thường xuyên.
 Tuyệt đối không sử dụng các phần mềm Crack
 Luôn cập nhật phần mềm, Firmware lên phiên bản mới nhất.
 Sử dụng các dịch vụ lưu trữ đám mây uy tín cho mục đích lưu trữ.
 Đánh giá bảo mật & Xây dựng một chiến lược an ninh mạng tổng thể cho doanh nghiệp,
bao gồm các thành phần: bảo mật Website, bảo mật hệ thống máy chủ, mạng nội bộ,
hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hành…
 Tổ chức các buổi đào tạo, Training kiến thức sử dụng Internet an toàn cho nhân viên.
4. SSL
 SSL và TLS là các giao thức cung cấp tính toàn vẹn và mã hóa phiên cho
các gói được gửi từ máy tính này sang máy tính khác.
 Chúng có thể được sử dụng để bảo mật lưu lượng mạng từ client đến server hoặc
server đến server.
 Nó cũng cung cấp xác thực của server đến client và của client đến server thông qua
chứng chỉ X.509.
 Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức SSL
handshake. Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu. Giao
thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để trao đổi
một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.
Thuật toán mã hóa dùng trong SSL: DES, 3-DES, DSA, KEA, RSA, RSA-KeyExchange, RC2 và
RC4
Trong đó các thuật toán trao đổi khoá như KEA, RSA key exchange được sử dụng để 2 bên
client và server xác lập khoá đối xứng.
Thuật toán băm dùng trong SSL: MD5, SHA-1
Khi một client và server trao đổi thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác
định bộ mã hoá mạnh nhất có thể và sử dụng chúng trong phiên giao dịch SSL.
5. Reverse Shell và Bind Shell
 Bind Shell là loại shell mà máy mục tiêu sẽ mở 1 port giao tiếp và đang lắng nghe chờ
kết nối tới. Attakcer sẽ kết nối thẳng tới port đang lắng nghe mở mục tiêu và sau đó
thực thi code hoặc các lệnh trên máy mục tiêu.
 Reverse Shell là loại shell mà máy mục tiêu kết nối ngược đến máy Attacker. Attacker sẽ
mở một port lắng nghe để nhận kết nối tới từ máy mục tiêu bằng cách sử dụng mã hoặc
thực thi lệnh sẽ đạt được
6. BotNet
Botnet là một mạng các máy tính được điều khiển từ xa bởi tin tặc. Ở đây, một tên tội
phạm mạng thực hiện vai trò của một “botmaster” sử dụng virus Trojan để xâm phạm bảo
mật của một số máy tính và kết nối chúng vào mạng vì mục đích xấu. Mỗi máy tính trên
mạng hoạt động như một “bot”, và được kẻ xấu kiểm soát để lây truyền malware, spam
hoặc nội dung độc hại nhằm khởi động cuộc tấn công.