Lê Trung Nghĩa

1. TẤN CÔNG VÀ KHAI THÁC MẠNG MÁY TÍNH
THEO MÔ HÌNH THƯỜNG TRỰC CAO CẤP (APT)
SECURITY BOOTCAMP 2014, PHIÊN KHAI MẠC
ĐÀ NẴNG, 17/10/2014
NGƯỜI TRÌNH BÀY: LÊ TRUNG NGHĨA
VĂN PHÒNG PHỐI HỢP PHÁT TRIỂN MÔI TRƯỜNG KHOA HỌC & CÔNG NGHỆ,
BỘ KHOA HỌC & CÔNG NGHỆ
Email: letrungnghia.foss@gmail.com
Blogs: http://vn.myblog.yahoo.com/ltnghia
http://vnfoss.blogspot.com/
Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/
HanoiLUG wiki: http://wiki.hanoilug.org/

2. Nội dung
1. Phân biệt các khái niệm liên quan tới APT
2. Đặc trưng APT của các phần mềm độc hại cao cấp
3. Vòng đời tấn công APT
4. Hạ tầng của APT1
5. Nạn nhân của APT1
6. Kho vũ khí và dấu ấn của APT1
7. Tóm tắt
Tài liệu & thông tin tham khảo
An ninh an toàn mạng và thông tin
= Phải hiểu biết, không Phải tin tưởng!

3. 1. Phân biệt các khái niệm liên quan tới APT
APT - Advanced Persistent Threat - Đe dọa thường trực cao cấp
Một số khái niệm liên quan:
1. Đơn vị APT - đơn vị tấn công & khai thác mạng theo mô hình APT
Ví dụ: Đơn vị APT1 là 1 trong 20 đơn vị APT gốc Trung Quốc, là đơn
vị 61398 của quân đội Trung Quốc mà Mandiant phát hiện.
2. Phần mềm độc hại cao cấp - so sánh với loại thông thường
3. Mô hình vòng đời APT - Mô hình nhiều bước, sử dụng để tấn công
mạng có chủ đích, thường là để ăn cắp thông tin - dữ liệu.

4. 2. Đặc trưng APT của phần mềm độc hại cao cấp
So sánh phần mềm độc hại
THÔNG THƯỜNG vs CAO CẤP
1. Mức độ giấu giếm: từ mở - công
khai tới được ngụy trang cẩn thận.
2. Mức độ nhận biết: từ có thể nhận
biết được & có thể vá được tới không
nhận biết được và toàn lỗi ngày số 0
(không vá mà khai thác).
3. Mức độ rộng rãi: từ có mục đích
chung & rộng khắp tới có chủ đích
nhằm vào từng người - từng mục tiêu
& nạn nhân cụ thể.
4. Mức độ thường trực: từ chỉ một
lần tới thường trực thường xuyên.
Phân loại này gắn liền với mô hình độ chín an ninh không
gian mạng - CSMM (Cyber Security Maturity Model).

5. 3. Mô hình vòng đời APT
Giống như việc mang kỹ thuật
chiến tranh với nhiều bước khác
nhau trong một qui trình thống
nhất vào việc xây dựng các phần
mềm phục vụ cho một chiến dịch
tấn công một đồn bốt cụ thể.
- Các bước giữa 'Thiết lập chỗ đứng' và 'Hoàn tất nhiệm vụ' không phải
luôn xảy ra đúng trật tự mỗi lần trong thực tế.
- Khi nằm rồi trong mạng, chu kỳ trinh sát, nhận diện dữ liệu, dịch
chuyển biên để truy cập các dữ liệu, và 'Hoàn tất nhiệm vụ' bằng việc
ăn cắp các dữ liệu sẽ được lặp lại vô định cho tới khi chúng bị loại bỏ
hoàn toàn khỏi mạng.

6. 3.1 Gây tổn thương ban đầu
Sử dụng mọi biện pháp nhằm
thâm nhập vào mạng đích.
- Nhằm vào cá nhân bị hại có chủ đích cụ thể
- Sử dụng email thông điệp spear (xiên cắm) phishing (1) gắn tệp độc
hại; (2) liên kết tới tệp độc hại; (3) liên kết tới website độc hại;
- Sử dụng mạng xã hội hoặc chat gắn tệp độc hại tới nạn nhân.
- Cài mã độc lên các website mà nạn nhân thường hay viếng thăm.
◄ Địa chỉ email
không phải của
người quen biết
dù tên y hệt của
người quen biết.
◄ Phần mở rộng tệp gắn
kèm .exe được ngụy trang
thành .pdf với 119 dấu trống.

7. 3.2 Thiết lập chỗ đứng
Để đảm bảo truy cập và kiểm
soát (các) máy tính của tổ
chức nạn nhân từ bên ngoài.
- Sử dụng các cửa hậu (1) phổ biến công khai (Gh0st RAT & Poison
Ivy ...); (2) của thế giới ngầm; (3) tự viết để thiết lập kết nối giữa mạng
của tổ chức nạn nhân với máy tính do kẻ tấn công kiểm soát.
- Cách giao tiếp với cửa hậu: từ văn bản thô tới mã hóa cao cấp.
- Truy cập cửa hậu vào hệ thống qua lệnh shell hoặc GUI.
- Cửa hậu là phần mềm cho phép kẻ
thâm nhập trái phép một hệ thống gửi
các lệnh tới hệ thống đó từ ở xa.
- Cửa hậu khởi tạo kết nối ra ngoài
tới máy chủ C2 của kẻ tấn công.
- Có 2 dạng cửa hậu: (1) tiêu chuẩn và (2) đầu cầu đổ bộ (như WEBC2).

8. 3.3 Leo thang quyền ưu tiên
Giành quyền ưu tiên truy cập
càng cao càng tốt tới càng
nhiều tài nguyên hơn càng tốt
trong hệ thống nạn nhân.
Sử dụng công cụ để phá các hàm băm mật khẩu (nếu cần) để:
- Có được của nạn nhân (1) username - password; (2) chứng thực số
sử dụng PKI; (3) phần mềm máy trạm VPN...
- Lợi dụng bất kỳ tài khoản được ưu tiên nào: (1) quản trị miền; (2) các
dịch vụ miền; (3) quản trị hệ thống; (4) ưu tiên bất kỳ.
Các công cụ leo thang quyền ưu tiên thường được sử dụng:
cachedump, fgdump, gsecdump, lslsass, mimikatz, bộ công cụ truyền
hàm băm, pwdump7, pwdumpX, ...

9. 3.4 Trinh sát nội bộ
Thu thập các thông tin về môi
trường làm việc của nạn nhân.
- Sử dụng các lệnh có sẵn của hệ điều hành để lấy các thông tin - dữ
liệu về mạng nội bộ, các mối quan hệ tin cậy, nhóm & người sử dụng;
- Nhận diện thông tin - dữ liệu cần quan tâm bằng mọi biện pháp có thể
như: phần mở rộng tệp, từ khóa, ngày tháng sửa đổi...
- Máy chủ tệp, email và DNS thường là mục tiêu hàng đầu
- Tự viết script để tự động hóa trinh sát & nhận diện dữ liệu quan tâm
Script tự động hóa trinh sát nội bộ:
- Hiển thị thông tin cấu hình mạng
- Liệt kê các dịch vụ, tiến trình, tài
khoản, tài khoản với quyền ưu tiên
quản trị, kết nối mạng hiện hành,
chia sẻ mạng hiện hành được kết
nối, máy tính theo nhóm tài khoản.

10. 3.5 Dịch chuyển biên
Lần mò tới các hệ thống, máy
tính khác có các thông tin - dữ
liệu cần thiết phải lấy.
- Lợi dụng các ủy quyền (credentials) của nạn nhân và các công cụ
truyền hàm băm để truy cập thêm tới các máy trong mạng nạn nhân
- Sử dụng PsExec hoặc Windows Task Scheduler để thực thi các lệnh
và cài đặt phần mềm độc hại lên các máy ở xa.
Các hành động như trên khó bị phát hiện ra vì các quản trị hợp pháp
hệ thống cũng sử dụng các kỹ thuật y hệt đó để làm việc với mạng.

11. 3.6 Duy trì sự hiện diện
Đảm bảo sự kiểm soát liên tục
từ bên ngoài đối với hệ thống
của nạn nhân.
- Tìm cách cài thêm càng nhiều cửa hậu càng tốt, chứ không chỉ dựa
vào cửa hậu được cài từ bước 2 'Thiết lập chỗ đứng' → nạn nhân sẽ
khó xác định và loạt bỏ hết được các cửa hậu bị cài vào.
- Sử dụng ủy quyền PKI hoặc VPN hợp lệ để ngụy trang như người sử
dụng hợp pháp của hệ thống.
- Đăng nhập vào các cổng Web có hạn chế trong nội bộ như: các
website nội bộ và cả hệ thống thư điện tử dựa vào Microsoft Outlook
Web Access.

12. 3.7 Hoàn tất nhiệm vụ
Tìm cách tốt nhất để nén và
chuyển dữ liệu lấy được ra
khỏi mạng của nạn nhân.
- Có thể sử dụng RAR, ZIP hoặc 7-Zip để nén dữ liệu lấy được
- Bảo vệ các dữ liệu nén bằng mật khẩu
- Sử dụng các công cụ truyền tệp FTP khác nhau & các cửa hậu đang
tồn tại để chuyển dữ liệu đã được nén ra khỏi mạng của nạn nhân.
- Cách thức và thời điểm chuyển dữ liệu được tính toán cẩn thận.

13. 4. Hạ tầng của APT1 -1
Sử dụng các hệ thống trung
gian để tấn công, cách thức
được gọi là nhảy qua hoặc
'nhảy lò cò' (hop) → từ 882
địa chỉ IP, trong đó 817 từ TQ.
APT1 kết nối cửa hậu bằng sử dụng:
(1) WEBC2 viết bằng tay; (2) giao diện
HTRAN đặt ở các điểm lò cò, như kẻ
chặn đường để truyền lệnh tới các cửa
hậu; (3) Máy chủ C2 ở các điểm lò cò.
Công cụ truyền gói HTRAN -
HUC Packet Transmit Tool

14. 4. Hạ tầng của APT1 -2
Máy chủ: 2 năm 2012-13 đã có:
- 937 máy chủ C2 ở 849 IP riêng
quản lý hàng ngàn máy chủ khác.
- Phần lớn là các máy chủ: FTP,
Web (cho WEBC2), RDP - kiểm
soát hệ thống bằng đồ họa từ xa;
HTRAN để ủy quyền; C2 để quản
lý bộ hơn 40 cửa hậu của APT1.
Sử dụng 2551 FQDN thay vì IP:
- Nếu mất kiểm soát một điểm nhảy lò cò thì có thể “trỏ” địa
chỉ FQDN (Fully Qualified Domain Name) C2 đó tới một địa
chỉ IP khác và lấy lại được sự kiểm soát đối với các cửa
hậu của nạn nhân.
Từ 2004 APT1 đăng ký 107 vùng DNS:
Một vùng (zone) DNS đại diện cho một bộ sưu tập các
FQDN có kết thúc cùng tên. Người đăng ký vùng DNS
thêm được tùy thích số miền con có cùng kết thúc tên vùng
và kiểm soát các phân giải IP các FQDN đó.
Chiếm dụng các FQDN khác để:
- Đặt phần mềm độc hại lên các website hợp pháp
- Biến các FQDN bị chiếm dụng thành các địa chỉ C2
Nhiều cách thức khác nữa... để mở rộng hạ tầng

15. 5. Nạn nhân của APT1
Từ 2004, APT1 đã lấy hàng trăm
TB dữ liệu của 141 tổ chức đại diện
cho 20 nền công nghiệp;
- 115 nạn nhân ở Mỹ, 5 ở Anh.
- Thời gian lâu nhất nằm trong mạng
là 1.764 ngày = 4 năm 10 tháng
- 6.5 TB dữ liệu nén là lượng lớn nhất
bị lấy đi từ 1 tổ chức trong 10 tháng.
Các nền công nghiệp bị tấn công nhiều nhất:
(1) CNTT; (2) Vũ trụ; (3) Hành chính nhà
nước; (4) Vệ tinh & viễn thông; (5) Nghiên
cứu khoa học & tư vấn năng lượng; (6) Năng
lượng; (7) Giao thông; (8) Xây dựng & sản
xuất; (9) Các tổ chức quốc tế; (10) Các dịch
vụ kỹ thuật; ...

16. 6. Kho vũ khí & dấu ấn của APT1 -1
Kho vũ khí của APT1 gồm
40 bộ các cửa hậu, tất cả
nhằm vào hệ điều hành
Windows, hơn 1.000 hàm
băm MD5, hàng chục
chứng thực số SSL...
được liệt kê trong các tài
liệu phụ lục đi kèm theo
báo cáo của Mandiant.
APT1 chỉ là 1 trong số
20 nhóm APT có gốc
gác Trung Quốc mà
Mandiant đã theo dõi
và công bố, chưa ai
biết 19 nhóm APT còn
lại là ai, làm gì, kho vũ
khí của họ thế nào?

17. 6. Kho vũ khí & dấu ấn của APT1 -2
- Quý I/2013, trong tài liệu của Mandiant,
lần đầu tiên Mỹ chỉ đích danh đơn vị
APT1, hay 61398 của quân đội Trung
Quốc với 3 cá nhân trực tiếp tham gia các
vụ tấn công mạng.
- Tháng 05/2014, lần đầu tiên Mỹ truy nã 5
nhân viên của đơn vị 61398 truy cập trái
phép, gián điệp và ăn cắp thông tin mạng.

18. 7. Tóm tắt
- APT1 là đơn vị 61398 của quân đội Trung Quốc, 1 trong số ít nhất 20 nhóm,
chuyên tham gia vào các chiến dịch tấn công và khai thác mạng theo mô
hình thường trực cao cấp APT, có trụ sở chính ở Thượng Hải, Trung Quốc.
- Mô hình thường trực cao cấp gồm 7 bước, một khi được lén lút gài vào
trong hệ thống của nạn nhân, sẽ tạo các cửa hậu và kết nối về các máy chủ
chỉ huy kiểm soát để triển khai, mở rộng việc tấn công, khai thác và cuối
cùng là chuyển các dữ liệu về các máy chủ của bên tấn công.
- Tấn công ATP chỉ dừng lại khi tất cả các cửa hậu bị quét sạch hoàn toàn.
- ATP1 thường không tấn công trực tiếp tới các hệ thống đích, mà qua các
hệ thống trung gian, gọi là cơ chế 'nhảy lò cò'. Để thực hiện được điều này,
APT1 làm mọi cách để phát triển hạ tầng dựa chủ yếu vào FQDN.
- 20 ngành công nghiệp và hàng trăm tổ chức ở nhiều nước, nhiều nhất là ở
Mỹ, là nạn nhân của các cuộc tấn công APT ăn cắp dữ liệu.
- APT1 có kho vũ khí gồm nhiều bộ cửa hậu, các hàm băm MD5, các chứng
thực SSL..., phục vụ để tấn công vào các hệ thống máy tính chạy Windows.

19. Tài liệu & thông tin tham khảo
1. http://intelreport.mandiant.com/;
2. APT1 - Phát hiện một trong các đơn vị gián điệp không gian mạng
của Trung Quốc. Mandiant xuất bản năm 2013, 84 trang;
3. APT1 - Exposing One of China's Cyber Espionage Units. Appendix C: The
Malware Arsenal; http://intelreport.mandiant.com/
4. APT1 - Exposing One of China's Cyber Espionage Units. Appendix F:
APT1 SSL Certificates; http://intelreport.mandiant.com/ ;
5. APT1 - Exposing One of China's Cyber Espionage Units. Appendix D:
FQDNs; http://intelreport.mandiant.com/ ;
6. APT1 - Exposing One of China's Cyber Espionage Units. Appendix E:
MD5s; http://intelreport.mandiant.com/ ;
7. Vòng đời các mối đe dọa thường trực cao cấp;
8. Cyber Security Maturity Model, Robert Lentz, Former DoD CISO, Deputy
Assistant Secretary Cyber;
9. US indicts five in China's secret 'Unit 61398' for cyber-spying on US firms
(+video)

20. An ninh an toàn mạng và thông tin
= Phải hiểu biết, không Phải tin tưởng!
Cảm ơn!
Hỏi đáp
LÊ TRUNG NGHĨA
Email: letrungnghia.foss@gmail.com
Blogs: http://vnfoss.blogspot.com/
http://letrungnghia.mangvn.org/
Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/
HanoiLUG wiki: http://wiki.hanoilug.org/