SECUITY365

CERT MASTER

,
1 comment on (Comptia Security+) Chapter 2 Type of Attack Indicators Phần 2

(Comptia Security+) Chapter 2 Type of Attack Indicators Phần 2

(Comptia Security+) Chapter 2 Type of Attack Indicators Phần 1

Command &  Control (Lệnh và Kiểm soát)

Các máy chủ điều khiển và ra lệnh được tin tặc sử dụng để kiểm soát phần mềm độc hại đã được tung ra nhằm vào các mục tiêu. Sự lây nhiễm phần mềm độc hại hiếm khi xảy ra ở một tệp trên một máy khi một cuộc tấn công xảy ra trong một doanh nghiệp. Nhiều phần tử phần mềm độc hại, trên nhiều hệ thống, dưới nhiều ID khác nhau, tất cả đều hoạt động để cung cấp phương tiện cho tin tặc xâm nhập lại hệ thống, thường thấy trong các doanh nghiệp. Các phần tử phần mềm độc hại này cũng hoạt động để lọc dữ liệu bị đánh cắp.

Bot là gì ?

Bot là một phần mềm đang hoạt động thực hiện một số tác vụ, dưới sự điều khiển của một chương trình khác. Một loạt các bot được kiểm soát trên toàn mạng trong một nhóm và toàn bộ tập hợp được gọi là botnet (kết hợp các thuật ngữ bot và mạng). Một số mạng botnet là hợp pháp và thực hiện các hành động mong muốn theo cách phân tán. Các botnet bất hợp pháp hoạt động theo cùng một kiểu, với các bot được phân phối và điều khiển từ một tập hợp các máy chủ điều khiển và chỉ huy trung tâm. Bots có thể thực hiện rất nhiều việc — từ làm gia tăng thư rác đến thực hiện hành vi gian lận, cài đặt phần mềm gián điệp, v.v.

Botnet tiếp tục nâng cao các mối đe dọa phần mềm độc hại. Một số botnet mới nhất được thiết kế để khai thác bitcoin, sử dụng sức mạnh xử lý phân tán để đạt được lợi nhuận. Một trong những mạng botnet nổi tiếng hơn cả là Zeus, một mạng botnet thực hiện việc ghi nhật ký tổ hợp phím và được sử dụng chủ yếu cho mục đích đánh cắp thông tin ngân hàng. Zeus có liên quan đến việc phân phối ransomware CryptoLocker. Một mạng botnet nổi tiếng khác là Conficker, đã lây nhiễm cho hàng triệu máy trên toàn thế giới. Mạng botnet Conficker là một trong những phần mềm độc hại được nghiên cứu nhiều nhất, với một nhóm làm việc chung trong ngành – chính phủ được triệu tập để chống lại nó.

Crypto-malware

Suy nghĩ đầu tiên khi người ta nhìn thấy thuật ngữ crypto-malware là nghĩ đến ransomware. Nhưng đó sẽ là sai lầm. Phần mềm độc hại tiền điện tử là tên mà ngành bảo mật đặt cho phần mềm độc hại sử dụng tài nguyên của hệ thống để khai thác tiền điện tử. Đây thực sự chỉ là một cuộc tấn công ăn cắp dịch vụ trong đó kẻ tấn công đang sử dụng chu kỳ CPU của máy tính của người khác để thực hiện khai thác tiền điện tử.

Logic Bomb

Logic bombs, không giống như virus và trojan, là một loại phần mềm độc hại được cài đặt một cách có chủ ý, thường được cài đặt bởi một người dùng được ủy quyền. Bom logic là một đoạn mã nằm im trong một khoảng thời gian cho đến khi sự kiện hoặc ngày tháng nào đó gọi ra trọng tải (payload) độc hại của chúng. Ví dụ về bom logic có thể là một chương trình được đặt để tải và chạy tự động, đồng thời kiểm tra định kỳ cơ sở dữ liệu nhân sự hoặc bảng lương của tổ chức cho một nhân viên cụ thể. Nếu nhân viên không được tìm thấy, trọng tải độc hại sẽ thực thi, xóa các tệp quan trọng của công ty.

Nếu sự kiện là một ngày hoặc giờ cụ thể, chương trình sẽ thường được coi là một quả bom hẹn giờ. Trong một ví dụ nổi tiếng, một nhân viên bất mãn đã để lại một quả bom hẹn giờ ngay trước khi bị sa thải. Hai tuần sau, hàng ngàn hồ sơ khách hàng đã bị xóa. Cuối cùng, cảnh sát đã có thể lần ra mã độc đối với nhân viên cũ bất mãn, người đã bị truy tố vì hành động của anh ta. Anh ta đã hy vọng rằng hai tuần trôi qua kể từ khi bị sa thải sẽ khiến các nhà điều tra cho rằng anh ta không thể là người đã gây ra việc xóa hồ sơ.

Bom logic rất khó phát hiện vì chúng thường được cài đặt bởi người dùng có thẩm quyền và đặc biệt, đã được cài đặt bởi các quản trị viên, những người cũng thường chịu trách nhiệm bảo mật. Điều này cho thấy sự cần thiết của việc tách biệt các nhiệm vụ và đánh giá định kỳ tất cả các chương trình và dịch vụ đang chạy trên một hệ thống. Bom logic cũng minh họa sự cần thiết phải duy trì một chương trình sao lưu hoạt động để nếu tổ chức của bạn mất các tệp quan trọng cho loại mã độc hại này, khi đó chỉ mất các giao dịch đã xảy ra kể từ lần sao lưu gần đây nhất, dẫn đến không mất dữ liệu vĩnh viễn.

Spyware

Spyware               là phần mềm “do thám” người dùng, ghi lại và báo cáo về các hoạt động của họ. Thường được cài đặt mà người dùng không biết, phần mềm gián điệp có thể thực hiện một loạt các hoạt động. Spyware có thể ghi lại các lần gõ phím (thường được gọi là keylogging) khi người dùng đăng nhập vào các trang web cụ thể. Nó có thể giám sát cách người dùng áp dụng một phần mềm cụ thể, chẳng hạn như để giám sát các nỗ lực gian lận trong trò chơi. Thoạt đầu, nhiều việc sử dụng phần mềm gián điệp có vẻ vô hại, nhưng việc giám sát trái phép hệ thống có thể bị lạm dụng rất dễ dàng. Trong các trường hợp khác, phần mềm gián điệp được thiết kế đặc biệt để lấy cắp thông tin. Nhiều tiểu bang đã thông qua luật cấm cài đặt phần mềm chưa được phê duyệt, nhưng phần mềm gián điệp có thể phá vỡ vấn đề này thông qua các thỏa thuận cấp phép người dùng cuối phức tạp và khó hiểu. Một trong những spyware mà tôi thường minh họa tại các chương trình đào tạo là PowerSpy cho PC hay Mspy trên điện thoại di động.

Keylogger

Như tên cho thấy, keylogger là một phần mềm ghi lại tất cả các lần gõ phím mà người dùng nhập vào. Keylogger theo khía cạnh riêng không nhất thiết là xấu, vì bạn có thể coi Microsoft Word là một keylogger. Điều khiến keylogger trở thành một phần mềm độc hại là khi hoạt động của nó (1) người dùng không xác định được và (2) không nằm trong sự kiểm soát của người dùng. Keylogger đã được bán trên thị trường cho nhiều mục đích sử dụng — từ giám sát hoạt động của con bạn hoặc hoạt động của vợ / chồng, đến duy trì hồ sơ về những gì đã được thực hiện trên máy. Keylogger độc hại có một số đặc điểm cụ thể: chúng thường bị ẩn khỏi chế độ xem của người dùng, ngay cả khi nhìn vào Trình quản lý tác vụ và chúng được sử dụng chống lại lợi ích của người dùng cuối. Tin tặc sử dụng keylogger để lấy mật khẩu và các phần thông tin nhạy cảm khác, cho phép chúng sử dụng những bí mật này để hoạt động với tư cách là người dùng mà không cần sự đồng ý của người dùng. Chức năng keylogger thậm chí còn được tìm thấy trong các chương trình hợp pháp, nơi các lần nhấn phím được ghi lại cho các mục đích “hợp pháp” và sau đó được lưu trữ theo cách cho phép người dùng trái phép lấy cắp dữ liệu. Ví dụ Unikey là một keylogger hợp pháp.

Remote-Access Trojans (Trojan truy cập từ xa (RAT))

Remote-access trojan (RAT) là một bộ công cụ được thiết kế để cung cấp khả năng giám sát bí mật và / hoặc khả năng truy cập trái phép vào hệ thống mục tiêu. RAT thường bắt chước hành vi của keylogger và trình duyệt gói tin bằng cách sử dụng bộ sưu tập tự động các lần gõ phím, tên người dùng, mật khẩu, ảnh chụp màn hình, lịch sử trình duyệt, e-mail, nhật ký trò chuyện, v.v. nhưng chúng cũng làm như vậy với một thiết kế thông minh. RAT cũng có thể sử dụng phần mềm độc hại để lây nhiễm hệ thống bằng mã có thể được sử dụng để tạo điều kiện thuận lợi cho việc khai thác mục tiêu. Thay vì chỉ thu thập thông tin, RAT trình bày nó cho kẻ tấn công dưới dạng để tạo điều kiện thuận lợi cho khả năng truy cập trái phép vào máy mục tiêu. Điều này thường liên quan đến việc sử dụng các giao thức truyền thông được cấu hình đặc biệt được thiết lập khi máy tính mục tiêu bị lây nhiễm lần đầu. Cửa hậu này vào máy mục tiêu có thể cho phép kẻ tấn công truy cập không bị kiểm soát, bao gồm khả năng giám sát hành vi của người dùng, thay đổi cài đặt máy tính, duyệt và sao chép tệp, truy cập hệ thống được kết nối, v.v. RAT thường được sử dụng bởi các tác nhân đe dọa có tay nghề cao hơn, mặc dù có những RAT đủ dễ dàng để ngay cả những người mới bắt đầu sử dụng.

RAT nên được coi là một dạng phần mềm độc hại khác, nhưng thay vì chỉ là một chương trình, RAT có một người điều hành đằng sau và  hướng dẫn gây ra thiệt hại dai dẳng hơn. RAT có thể được gửi qua email lừa đảo, lỗ hổng bảo mật, hoặc bất kỳ trong số vô số các vectơ lây nhiễm phần mềm độc hại khác. RAT thường liên quan đến việc tạo ra các cấu trúc tệp ẩn trên hệ thống và dễ bị phát hiện bởi các chương trình chống phần mềm độc hại hiện đại. Có một số họ RAT chính, nhưng một danh sách đầy đủ sẽ dài và ngày càng tăng. Khi đối mặt với một đối thủ lành nghề hơn, không có gì lạ khi tìm thấy các gói RAT đã được sửa đổi để sử dụng cụ thể, chẳng hạn như chương trình được sử dụng trong vụ tấn công lưới điện Ukraine năm 2015.

Sau đây là một bài giới thiệu về RAT, Backdoor / Trojan trong chương trình CEH (www.cehvietnam.com)

Rootkit

Rootkit là một dạng phần mềm độc hại được thiết kế đặc biệt để sửa đổi hoạt động của hệ điều hành theo một cách nào đó nhằm tạo điều kiện cho chức năng không tiêu chuẩn. Lịch sử của rootkit quay trở lại thời kỳ đầu của hệ điều hành UNIX, nơi rootkit là tập hợp các công cụ quản trị được sửa đổi. Ban đầu được thiết kế để cho phép một chương trình kiểm soát tốt hơn các chức năng của hệ điều hành khi nó bị lỗi hoặc không phản hồi, kỹ thuật này đã phát triển và được sử dụng theo nhiều cách khác nhau. Một trường hợp   đã xảy ra tại Sony BMG Corporation, khi   rootkit được sử dụng để cung cấp công nghệ bảo vệ bản sao trên một số đĩa CD của công ty. Hai vấn đề chính dẫn đến việc Sony hoàn toàn thất bại: Thứ nhất, phần mềm đã sửa đổi hệ thống mà không có sự chấp thuận của người dùng. Thứ hai, phần mềm đã mở một lỗ hổng bảo mật trên các hệ thống chạy Windows, tạo ra một lỗ hổng có thể khai thác ở cấp rootkit. Điều này khiến trường hợp của Sony bị gắn nhãn là phần mềm độc hại, đây là cách sử dụng rootkit phổ biến nhất.

Một rootkit có thể làm được nhiều thứ — trên thực tế, nó có thể làm hầu như mọi thứ mà hệ điều hành làm. Rootkit sửa đổi hạt nhân hệ điều hành và các chức năng hỗ trợ, thay đổi bản chất hoạt động của hệ thống. Rootkit được thiết kế để tránh, bằng cách lật đổ hoặc trốn tránh, các chức năng bảo mật của hệ điều hành để tránh bị phát hiện. Rootkit hoạt động như một dạng phần mềm độc hại có thể thay đổi mức độ ưu tiên của chuỗi để tăng hiệu suất của ứng dụng, thực hiện thao tác ghi khóa, hoạt động như một trình dò ​​tìm, ẩn các tệp khác khỏi các ứng dụng khác hoặc tạo các cửa hậu trong hệ thống xác thực. Việc sử dụng chức năng rootkit để ẩn các quy trình và tệp khác cho phép kẻ tấn công sử dụng một phần của máy tính mà người dùng hoặc các ứng dụng khác không biết điều gì đang xảy ra. Điều này ẩn mã khai thác khỏi các chương trình chống vi-rút và chống phần mềm gián điệp, hoạt động như một chiếc áo tàng hình.

Rootkit có thể tải trước khi hệ điều hành tải, hoạt động như một lớp ảo hóa, như trong SubVirt và Blue Pill. Rootkit có thể tồn tại trong phần sụn và chúng đã được chứng minh trong cả thẻ video và thẻ mở rộng. Rootkit có thể tồn tại dưới dạng các mô-đun thư viện có thể tải được, thay đổi hiệu quả các phần của hệ điều hành bên ngoài hạt nhân. Thông tin thêm về các rootkit cụ thể trong tự nhiên có thể được tìm thấy tại http://www.antirootkit.com.

Mẹo thi Năm loại rootkit tồn tại: firmware, virtual, kernel, library và application.

Một khi rootkit được phát hiện, nó cần phải được gỡ bỏ và dọn dẹp. Do tính chất xâm lấn của rootkit và thực tế là nhiều khía cạnh của rootkit không dễ dàng phát hiện, hầu hết các quản trị viên hệ thống thậm chí không cố gắng xóa hoặc xóa rootkit. Việc sử dụng hình ảnh hệ thống sạch đã được chụp trước đó và mô phỏng lại máy sẽ dễ dàng hơn nhiều so với việc cố gắng xác định độ sâu và độ rộng của thiệt hại và cố gắng sửa các tệp riêng lẻ.

Sau đây là một video hay về rootkit cài cắm trong firmware được trình bày tại BlackHat ASIA 2017 https://www.youtube.com/watch?v=P3yMXspLzoY

Backdoor

Backdoor  ban đầu (và đôi khi vẫn là) không có gì khác hơn là các phương pháp được các nhà phát triển phần mềm sử dụng để đảm bảo rằng họ có thể truy cập vào một ứng dụng, ngay cả khi có điều gì đó xảy ra trong tương lai để ngăn chặn các phương pháp truy cập thông thường. Một ví dụ sẽ là một mật khẩu được mã hóa cứng có thể được sử dụng để truy cập vào chương trình trong trường hợp quản trị viên quên mật khẩu hệ thống của chính họ. Vấn đề rõ ràng với loại cửa hậu này (đôi khi còn được gọi là cửa sập) là vì nó được mã hóa cứng nên không thể gỡ bỏ nó. Nếu kẻ tấn công biết được cửa hậu, tất cả các hệ thống chạy phần mềm đó sẽ dễ bị tấn công.

Thuật ngữ backdoor cũng và phổ biến hơn, được sử dụng để chỉ các chương trình mà kẻ tấn công cài đặt sau khi truy cập trái phép vào hệ thống để đảm bảo rằng chúng có thể tiếp tục có quyền truy cập không hạn chế vào hệ thống, ngay cả khi phương thức truy cập ban đầu của chúng bị phát hiện và bị chặn. Backdoor cũng có thể được cài đặt bởi các cá nhân được ủy quyền một cách vô tình nếu họ chạy phần mềm có chứa trojan (đã giới thiệu trước đó). Các cửa hậu thông thường bao gồm NetBus và Back Orifice. Cả hai điều này, nếu chạy trên hệ thống của bạn, có thể cho phép kẻ tấn công truy cập từ xa vào hệ thống của bạn — quyền truy cập cho phép chúng thực hiện bất kỳ chức năng nào trên hệ thống của bạn. Một biến thể của backdoor là rootkit, đã được thảo luận trong phần trước, được thiết lập không phải để giành quyền truy cập root mà là để đảm bảo tiếp tục truy cập root.

Posted by:

CERT MASTER

CERT MASTER

One response to “(Comptia Security+) Chapter 2 Type of Attack Indicators Phần 2”

  1. (Comptia Security+) Chapter 2 Type of Attack Indicators Phần 3 – COMPTIA ELEARNING – CERTMASTER LAB VÀ VOUCHER THI CHỨNG CHỈ QUỐC TẾ – LIÊN HỆ ZALO CERTMASTER 0948432780

    […] (Comptia Security+) Chapter 2 Type of Attack Indicators Phần 2 […]

    Like

    Reply

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: